DE102017200991A1

DE102017200991A1 - Method and security device for tamper-resistant provision of a security zone identifier to a device

Info

Publication number: DE102017200991A1
Application number: DE102017200991.8A
Authority: DE
Inventors: Rainer Falk
Original assignee: Siemens AG
Current assignee: Siemens AG
Priority date: 2017-01-23
Filing date: 2017-01-23
Publication date: 2018-07-26

Abstract

Verfahren zum manipulationsgeschützten Bereitstellen einer Sicherheitszonenkennung (SZI) ein Gerät (FD), wobei das Gerät (F) in einem Datenübertragungsnetzwerk mit mindestens einer Sicherheitszone angeordnet ist, mit den folgenden Schritten:- Bereitstellen (S10, S60) einer Sicherheitszonenkennung (SZI), die die aktuelle Sicherheitszone, der das Gerät (FD) aktuell zugeordnet ist, von einer Sicherheitsvorrichtung (SZS) ,- Überprüfen (S20, S62) der Sicherheitszonenkennung (SZI) im Gerät (FD) oder durch einen Kommunikationspartner (14, BS) des Geräts (FD), und- Ausführen (S30, S63) einer Aktion in Abhängigkeit vom Ergebnis der Überprüfung. Durch das Verfahren und entsprechende Geräte und Sicherheitsvorrichtungen wird eine Zuordnung eines Gerätes bzw. eines Datenpakets von einem Gerät zu einer Sicherheitszone innerhalb und außerhalb der Sicherheitszone, in der sich das Gerät aktuell befindet, ermöglicht.Method for the tamper-evident provision of a security zone identifier (SZI) of a device (FD), the device (F) being arranged in a data transmission network having at least one security zone, comprising the following steps: - providing (S10, S60) a security zone identifier (SZI) which the current security zone to which the device (FD) is currently assigned by a security device (SZS), - checking (S20, S62) the security zone identifier (SZI) in the device (FD) or by a communication partner (14, BS) of the device ( FD), and Execute (S30, S63) an action depending on the result of the check. The method and corresponding devices and security devices enable an appliance or a data packet to be assigned from a device to a security zone inside and outside the security zone in which the device is currently located.

Description

Die Erfindung betrifft ein Verfahren und eine Sicherheitsvorrichtung zum manipulationsgeschützten Bereitstellen einer Sicherheitszonenkennung an ein Gerät, sowie das Gerät, das in einem Datenübertragungsnetz mit mindestens einer Sicherheitszone angeordnet ist.The invention relates to a method and a security device for tamper-resistant provision of a security zone identifier to a device, as well as the device which is arranged in a data transmission network with at least one security zone.

Datenübertragungsnetze werden nicht nur in Telekommunikationsnetzwerken, sondern mittlerweile auch in Industrieanlagen eingesetzt, um verschiedene Komponenten, wie beispielsweise Feldgeräte, Sicherheitssignale und Steuerungskomponenten miteinander zu verbinden. Solche Industrieanlagen, beispielsweise Fertigungs-, Energieverteilungs- oder auch Verkehrssicherungsanlagen sind häufig in Zellen oder Sicherheitszonen strukturiert, in denen sich zugeordnete Komponenten befinden. Das Datenkommunikationsnetz, an das die Komponenten zum Austausch von Nachrichten bzw. Daten angeschlossen sind, ist entsprechend in Sicherheitszonen, im Weiteren auch kurz als Zonen bezeichnet, strukturiert.Data transmission networks are used not only in telecommunications networks, but now also in industrial plants to connect various components, such as field devices, security signals and control components with each other. Such industrial plants, such as manufacturing, energy distribution or traffic safety systems are often structured in cells or security zones in which associated components are located. The data communication network, to which the components are connected for the exchange of messages or data, is accordingly structured in security zones, also referred to below as zones.

Häufig wird eine solche Sicherheitszone durch eine Firewall bzw. ein Conduit von anderen Zonen oder Teilnetzen getrennt und vor unerlaubtem Datenverkehr geschützt. Die Zugehörigkeit eines Gerätes zu einer durch die Netzwerk-Struktur definierten Sicherheitszone stellt daher eine sicherheitsrelevante Information dar. Diese Information liegt heute aber nur implizit vor.Often, such a security zone is separated from other zones or subnets by a firewall or conduit and protected from unauthorized traffic. The fact that a device belongs to a security zone defined by the network structure therefore represents security-relevant information. However, this information is only available implicitly today.

Eine Netzwerkstruktur kann beispielsweise durch die Vergabe einer IP-Adresse und DNS-Namens definiert sein. Eine Zonenzugehörigkeit der Komponente kann in einem solchen Fall über deren IP Adresse bzw. des DNS-Namens ermittelt werden. Dies erfordert jedoch eine spezielle Netzwerkstruktur und Netzwerkkonfiguration. Dies ist daher aufwendig und fehleranfällig zu verwalten. Außerdem ist eine solche Zuordnung unflexibel und kann gegebenenfalls in bestehenden Installationen nicht eingerichtet werden.A network structure may be defined, for example, by the assignment of an IP address and DNS name. A zone membership of the component can be determined in such a case via their IP address or the DNS name. However, this requires a special network structure and network configuration. This is therefore time consuming and error prone to manage. In addition, such a mapping is inflexible and may not be established in existing installations.

Um die Zugehörigkeit einer Komponente zu einem Teilnetz zu ermitteln, ist ein sogenannter „Hop255-Trick“ bekannt. Anhand eines Zählers, der durch jeden Router dekrementiert wird, kann ermittelt werden, ob ein IP-Paket über einen lokalen Link, d.h. von einer Komponente innerhalb eines Teilnetzes, abgesendet wurde. Wenn der Zähler den maximal möglichen Wert von 255 aufweist, kann das Datenpaket mit hoher Wahrscheinlichkeit nicht durch einen Router weitergeleitet worden sein. Folglich wurde das Paket von einer Komponente innerhalb der Zone versendet.In order to determine the affiliation of a component to a subnet, a so-called "Hop255 trick" is known. By means of a counter which is decremented by each router, it can be determined whether an IP packet is transmitted over a local link, i. from a component within a subnetwork. If the counter has the maximum possible value of 255, the data packet may not have been routed through a router with high probability. As a result, the package was shipped from a component within the zone.

Bei einem Internet Portokoll der Version 6 IPv6 sind Link-Local Adressen bekannt. Datenpakete mit solchen Link-Local Adressen werden nicht geroutet und können somit nur Empfänger innerhalb einer Zone erreichen. Wenn ein Paket mit einer solchen Sendeadresse empfangen wird, befindet sich der Sender im gleichen Netzwerksegment beziehungsweise in der gleichen Zone. Sowohl der Hop255-Trick wie auch Link-Local-Adressen sind jedoch nur lokal innerhalb einer Zone auswertbar.With an Internet Protocol version 6 IPv6, link-local addresses are known. Data packets with such link-local addresses are not routed and thus can only reach recipients within a zone. When a packet is received with such a send address, the sender is in the same network segment or in the same zone. However, both the Hop255 trick and link-local addresses can only be evaluated locally within a zone.

Es ist des Weiteren bekannt, eine Zuordnungsinformation eines Gerätes zu einem Betreiber oder einem Fertigungsbereich in einem digitalen Zertifikat des Gerätes einzucodieren. Diese Information ist aber nur eine logische Zuordnung, die unabhängig von dem tatsächlichen Ort des Gerätes ist.It is further known to encode a mapping information of a device to an operator or a manufacturing area in a digital certificate of the device. However, this information is only a logical assignment, which is independent of the actual location of the device.

Es ist daher die Aufgabe der Erfindung, eine Möglichkeit zu schaffen, die eine Zuordnung eines Gerätes bzw. eines Datenpakets von einem Gerät zu einer Sicherheitszone innerhalb und außerhalb der Sicherheitszone, in der sich das Gerät aktuell befindet, zu ermöglichen.It is therefore an object of the invention to provide a way to allow an assignment of a device or a data packet from a device to a security zone inside and outside the security zone in which the device is currently located.

Die Aufgabe wird durch die in den unabhängigen Ansprüchen beschriebenen Maßnahmen gelöst. In den Unteransprüchen sind vorteilhafte Weiterbildungen der Erfindung dargestellt.The object is achieved by the measures described in the independent claims. In the dependent claims advantageous developments of the invention are shown.

Gemäß einem ersten Aspekt betrifft die Erfindung ein Verfahren zum manipulationsgeschützten Bereitstellen einer Sicherheitszonenkennung an ein Gerät, wobei das Gerät in einem Datenübertragungsnetzwerk mit mindestens einer Sicherheitszone angeordnet ist, mit den Schritten:

- Bereitstellen einer Sicherheitszonenkennung, die die aktuelle Sicherheitszone der das Gerät aktuell zugeordnet ist, kennzeichnet von einer Sicherheitsvorrichtung,
- Überprüfen der Sicherheitszonenkennung im Gerät oder durch einen Kommunikationspartner des Geräts, und
- Ausführen einer Aktion in Abhängigkeit vom Ergebnis der Überprüfung.

According to a first aspect, the invention relates to a method for tamper-resistant provision of a security zone identifier to a device, wherein the device is arranged in a data transmission network with at least one security zone, with the steps:

Providing a security zone identifier, which is the current security zone to which the device is currently assigned, indicates a security device,
- Checking the security zone ID in the device or by a communication partner of the device, and
- Execute an action depending on the result of the check.

Durch die Zuordnung einer Sicherheitszonenkennung zu einem Gerät beziehungsweise zu einer von dem Gerät erzeugten und versandten Nachricht kann diese Kennung nicht nur in der Zone selbst ausgewertet werden, sondern beispielsweise in ein Kommunikationsprotokoll derart eingefügt werden, dass die Sicherheitszonenkennung über die Sicherheitszone hinweg übertragen wird. In einem Empfänger, beispielsweise einer anderen Komponente bzw. einem Kommunikationspartner außerhalb der Sicherheitszone kann die Sicherheitszonenkennung empfangen und ausgewertet werden.By assigning a security zone identifier to a device or to a message generated and sent by the device, this identifier can be evaluated not only in the zone itself but, for example, be inserted into a communication protocol such that the security zone identifier is transmitted across the security zone. In a receiver, for example another component or a communication partner outside the security zone, the security zone identifier can be received and evaluated.

In einer vorteilhaften Ausführungsform wird die Sicherheitszonenkennung innerhalb einer Sicherheitszone fest zugewiesen oder zeitlich wechselnd zugewiesen. In an advantageous embodiment, the security zone identifier is assigned permanently within a security zone or assigned temporally changing.

Eine feste Zuordnung hat den Vorteil, wenig Prozessorlast und Übertragungskapazität zur Vergabe und Verteilung der Sicherheitszonenkennung zu verursachen und erzeugt somit nur geringe Last im Gerät und im Datenübertragungsnetzwerk. Eine zeitlich wechselnde Zuweisung, beispielsweise eine periodische Neuzuweisung oder durch ein Ereignis ausgelöste Neuzuweisung, bietet eine höhere Sicherheit. Ein unerlaubter Dritter muss die verwendete Sicherheitszonenkennung kontinuierlich überwachen, um die aktuelle Sicherheitszonenkennung zu ermitteln.A fixed allocation has the advantage of causing little processor load and transmission capacity for the allocation and distribution of the security zone identifier and thus generates only low load in the device and in the data transmission network. A time-varying assignment, such as a periodic reassignment or reallocation triggered by an event, provides greater security. An unauthorized third party must continuously monitor the security zone ID used to determine the current security zone ID.

In einer vorteilhaften Ausführungsform wird die Sicherheitszonenkennung kryptographisch erzeugt und/oder kryptographisch geschützt bereitgestellt.In an advantageous embodiment, the security zone identifier is generated cryptographically and / or provided cryptographically protected.

Die Sicherheitszonenkennung kann beispielsweise als Hashkette basierend auf einen zufälligen Startwert realisiert sein. Dies hat den Vorteil, dass die verwendete Sicherheitszonenkennung von einem unerlaubten Dritten kaum vorhergesagt werden kann. Die Bereitstellung der Sicherheitszonenkennung kann geschützt, beispielsweise durch eine kryptographische Prüfsumme wie eine Nachrichten-Authentisierungs-Kennung (Message Authentication Code)oder eine digitale Signatur, erfolgen. Dadurch kann die Sicherheitszonenkennung bei der Übertragung nicht im Klartext abgehört oder verändert werden. Die Sicherheitszonenkennung kann somit vom Gerät selbst oder auch vom Kommunikationspartner selbst oder von einer mit dem Kommunikationspartner in Verbindung stehenden anderen Vorrichtungen für sicherheitsrelevante Funktionen verwendet werden.The security zone identifier can be realized, for example, as a hash chain based on a random start value. This has the advantage that the security zone identifier used can hardly be predicted by an unauthorized third party. The provision of the security zone identifier can be protected, for example by a cryptographic checksum such as a message authentication code (Message Authentication Code) or a digital signature. As a result, the security zone identifier can not be heard or changed in plain text during transmission. The security zone identifier can thus be used by the device itself or by the communication partner itself or by other devices connected to the communication partner for security-relevant functions.

In einer vorteilhaften Ausführungsform weist die kryptographisch geschützte Sicherheitszonenkennung eine Aktualitätsinformation auf.In an advantageous embodiment, the cryptographically protected security zone identifier has up-to-date information.

Dadurch kann ein Replay-Angriff erschwert werden oder auch eine Aktualisierung der Sicherheitszonenkennung angestoßen werden.This can make a replay attack more difficult or trigger an update of the security zone identifier.

In einer vorteilhaften Ausführungsform wird die Sicherheitszonenkennung zur Überprüfung einer Anfrage in einer Kontrollvorrichtung verwendet.In an advantageous embodiment, the security zone identifier is used to check a request in a control device.

Beispielsweise kann die Sicherheitszonenkennung bei der Anmeldung eines Gerätes an einem Steuerungssystem verwendet werden oder zur Beantragung eines Security-Tokens, beispielsweise einem digitalen Zertifikat oder eines Tokens in Java Script Objektnotation (JSON), verwendet werden. Bei einer Anmeldung oder einer Registrierung (Onboarding) eines Gerätes bei einem Backend-Dienst kann ein Gerät dadurch nachweisen, dass es sich innerhalb einer bestimmten Sicherheitszone befindet. Dies ist insbesondere dann sicher durchführbar, wenn die Sicherheitszonenkennung kryptographisch geschützt, beispielsweise durch einen Message Authentication Code oder digitale Signatur bereitgestellt wurde. Eine Anmeldung eines Gerätes an einem Backend-Dienst kann wiederholt erfolgen, z.B. einmal täglich. Dazu kann das Gerät sich z.B. mittels eines Geräteschlüssels oder mittels eines JSON-Gerätetokens gegenüber dem Backend-System authentisieren. Bei der Authentisierung kann es eine Sicherheitszonenkennung übermitteln. Dadurch wird eine Mehrfaktor-Geräteauthentisierung realisiert, da das Gerät neben der Authentisierung mittels des Geräteschlüssels oder JSON-Gerätetokens eine Sicherheitszonenkennung als zusätzliche Authentisierungsinformation übermittelt. Ein Gerät muss für eine Authentisierung im Allgemeinen dem Backend-Dienst bekannt sein, d.h. in einer Registrierungsdatenbank mit bekannten Geräten eingetragen sein. Um ein Gerät beim Backend-Dienst bekannt zu machen, kann das Gerät, z.B. anhand der Geräteseriennummer, eines Geräte-Identifiers wie z. B. ein projektierbarer Gerätename, des Geräteschlüssels, Gerätezertifikats, registriert werden. Dies wird auch als „Onboarding“ bezeichnet. Ein registriertes Gerät kann sich daraufhin am Backend-Dienst anmelden. Auch bei der Registrierung eines Gerätes an einem Backend, d.h. bei einem Onboarding, kann das Gerät eine Sicherheitszonenkennung bereitstellen. Diese kann als Teil der Geräteregistrierungsinformation durch das Backend-System gespeichert werden. In einer Variante ist eine Registrierung eines Gerätes nur erfolgreich, wenn die bereitgestellte Sicherheitszoneninformation mit einer erwarteten Soll-Sicherheitszoneninformation übereinstimmt.For example, the security zone identifier can be used when logging in a device on a control system or used to request a security token, for example a digital certificate or a token in Java Script Object Notation (JSON). When logging in or registering (onboarding) a device with a backend service, a device can prove that it is within a certain security zone. This can be carried out safely in particular if the security zone identifier has been protected cryptographically, for example by a message authentication code or digital signature. An application of a device to a backend service may be repeated, e.g. once a day. For this purpose, the device can e.g. authenticate to the backend system using a device key or JSON device token. During authentication, it can transmit a security zone identifier. As a result, a multi-factor device authentication is realized because the device transmits a security zone identifier as additional authentication information in addition to the authentication using the device key or JSON device tokens. A device generally needs to know the backend service for authentication, i. be registered in a registration database with known devices. In order to make a device known in the backend service, the device, e.g. based on the device serial number, a device identifier such. For example, a configurable device name, the device key, device certificate, can be registered. This is also referred to as "onboarding". A registered device can then log in to the backend service. Also when registering a device on a backend, i. upon onboarding, the device may provide a security zone identifier. This can be stored as part of the device registration information by the backend system. In one variant, registration of a device is only successful if the provided security zone information matches an expected target security zone information.

In einer vorteilhaften Ausführungsform wird die Sicherheitszonenkennung von dem Gerät selbst zur Überprüfung der Zugehörigkeit des Gerätes zur angegebenen Sicherheitszone verwendet.In an advantageous embodiment, the security zone identifier is used by the device itself for checking the affiliation of the device to the specified security zone.

Beispielsweise prüft das Gerät selbst, ob es sich noch in der Sicherheitszone, die durch die Sicherheitszonenkennung gekennzeichnet ist, befindet. Dazu vergleicht das Gerät die von der Sicherheitsvorrichtung empfangene Sicherheitszonenkennung mit der erwarteten Sicherheitszonenkennung. Durch diese Überprüfung können einfach Aktionen, die beispielsweise bei einem Wechsel der Sicherheitszone durchzuführen sind, ausgelöst werden. Ebenso ist möglich, dass ein Backend-Dienst bei der Anmeldung eines Geräts überprüft, ob das Gerät sich in der gleichen Sicherheitszone befindet wie bei der Registrierung. Dazu vergleicht das Backend-System die bei der Registrierung des Gerätes bereitgestellte Sicherheitszoneninformation mit der bei der Anmeldung bereitgestellten Sicherheitszoneninformation auf Übereinstimmung. In einer Variante überprüft das Backend-System bei der Anmeldung, ob die vom Gerät bei der Anmeldung bereitgestellte Sicherheitszoneninformation mit einer Soll-Sicherheitszoneninformation übereinstimmt.For example, the device itself checks to see if it is still in the security zone identified by the security zone identifier. To do this, the device compares the security zone identifier received from the security device with the expected security zone identifier. This check can be used to simply initiate actions to be performed, for example, when the security zone is changed. It is also possible for a backend service to check that a device is in the same security zone as it did when it registered. For this purpose, the back-end system compares the security zone information provided during the registration of the device with the security zone information provided at the time of registration for compliance. In a variant checked the backend system when logging whether the security zone information provided by the device at logon matches a target security zone information.

Durch die Überprüfung der Zugehörigkeit des Gerätes zu einer Sicherheitszone kann das Gerät selbst abhängig vom Prüfungsergebnis die eigene Konfiguration anpassen. Dies erlaubt eine einfache Migration von Geräten in und deren Anpassung an eine andere Sicherheitszone. So können z.B. Safety-kritische Funktionen nur dann freigeschaltet werden, wenn sich das Gerät in der erwarteten Sicherheitszone befindet.By checking whether the device belongs to a safety zone, the device itself can adapt its own configuration depending on the test result. This allows easy migration of devices into and their adaptation to another security zone. Thus, e.g. Safety-critical functions are only released when the device is in the expected safety zone.

In einer vorteilhaften Ausführungsform werden als Aktion bei einem negativen Prüfergebnis ein Sperren des Geräts, ein Löschen gespeicherter Schlüssel oder ein Bereitstellen eines Alarmsignals im Gerät ausgeführt.In an advantageous embodiment, as an action in the case of a negative test result, the device is locked, a stored key is deleted, or an alarm signal is provided in the device.

Dies ermöglicht es dem Gerät selbstständig und auf einfache Weise Sicherheitszonen-abhängige Einstellungen vorzunehmen und gegebenenfalls kurzfristig auf einen unerlaubten Transfer des Gerätes in eine andere Zone zu reagieren.This allows the device independently and easily to make security-zone-dependent settings and, if necessary, to react at short notice to an unauthorized transfer of the device to another zone.

In einer vorteilhaften Ausführungsform wird die Sicherheitszonenkennung innerhalb der Sicherheitszone mittels einer Broadcast-/Multicast-Nachricht ausgesendet und lediglich den Geräte innerhalb der Sicherheitszone bereitgestellt.In an advantageous embodiment, the security zone identifier is transmitted within the security zone by means of a broadcast / multicast message and provided only to the devices within the security zone.

Dies Broadcast-/Multicast-Nachrichten können unverschlüsselt bereitgestellt werden. Alternativ kann ein Gruppenschlüssel für den Schutz der Übertragung verwendet werden, wie dies beispielsweise bei IEEE 802.11 WLAN, MACsec nach IEEE 802.1ae/af unterstützt wird. Dadurch kann auf einfache Weise allen Geräten, die sich innerhalb der Sicherheitszone aufhalten, dieselbe Sicherheitszonenkennung mitgeteilt werden. Dies ist bandbreiteneffizient und ohne spezifische Kenntnisse der Geräte möglich.These broadcast / multicast messages can be provided unencrypted. Alternatively, a group key can be used to protect the transmission, as supported for IEEE 802.11 WLAN, MACsec IEEE 802.1ae / af, for example. As a result, all devices that are within the security zone can easily be notified of the same security zone identifier. This is bandwidth efficient and possible without specific knowledge of the devices.

In einer vorteilhaften Ausführungsform wird eine Sicherheitszonenkennung, insbesondere eine Geräte-spezifische Sicherheitszonenkennung, einem Gerät individuell bereitgestellt.In an advantageous embodiment, a security zone identifier, in particular a device-specific security zone identifier, is provided individually to a device.

Dies hat den Vorteil, das Geräteparameter oder Eigenschaften des Gerätes bei einer Bereitstellung der Sicherheitszonenkennung berücksichtigt werden können und beispielsweise Geräte, die keine Betriebserlaubnis in der Sicherheitszone haben, frühzeitig erkannt werden. Solchen Geräten kann beispielsweise keine Sicherheitszonenkennung zugewiesen werden.This has the advantage that device parameters or properties of the device can be taken into account when providing the security zone identifier and, for example, devices that have no operating permit in the security zone can be detected early. For example, such devices can not be assigned a security zone identifier.

In einer vorteilhaften Ausführungsform wird die Sicherheitszonenkennung ausschließlich von einer Sicherheitsvorrichtung, insbesondere einem Router, einer Firewall oder einem Conduit, der bzw. die sich vorzugsweise innerhalb bzw. direkt angrenzend an der entsprechenden Sicherheitszone befinden, an ein Gerät das sich innerhalb der gleichen Sicherheitszone befindet, bereitgestellt. Es ist jedoch beispielsweise auch möglich, dass die Sicherheitszonenkennung von einem entfernten System, z.B. einem Cloud-Backend-Service, erzeugt und einer Sicherheitszonenverteilvorrichtung der Sicherheitszone bereitgestellt wird. Die Sicherheitszonenkennung kann dann durch die Sicherheitszonenverteilvorrichtung der Sicherheitszone den Knoten der Sicherheitszone bereitgestellt werden.In an advantageous embodiment, the security zone identifier is exclusively from a security device, in particular a router, a firewall or a conduit, which are preferably located within or directly adjacent to the corresponding security zone, to a device which is located within the same security zone, provided. However, it is also possible, for example, for the security zone identifier to be from a remote system, e.g. a cloud backend service, generated and provided to a security zone distribution device of the security zone. The security zone identifier may then be provided by the security zone distribution device of the security zone to the node of the security zone.

In einfacher Weise kann dadurch sichergestellt werden, dass ein Gerät die Sicherheitszonenkennung einer Sicherheitszone nur dann erhält, wenn sich das Gerät tatsächlich in diesem Bereich bzw. Gebiet der Sicherheitszone befindet. Ein Abhören der Sicherheitszonenkennung außerhalb der Sicherheitszone ist nur begrenzt möglich. Ein Conduit, das eine Sicherheitszone begrenzt, kann beispielsweise Bereitstellungsanfragen für eine Sicherheitszonenkennung blockieren, insbesondere nicht weiterleiten. Die Verwendung eines Router, einer Firewall oder einem Conduit als Sicherheitsvorrichtung erlaubt eine Nutzung bereits vorhandener Hardware und ist somit kostengünstig.In a simple way, this ensures that a device only receives the security zone identifier of a security zone if the device is actually located in this area or zone of the security zone. Listening to the security zone identifier outside the security zone is only possible to a limited extent. For example, a conduit bounding a security zone may block, in particular not forward, provisioning requests for a security zone identifier. The use of a router, a firewall or a conduit as a security device allows the use of existing hardware and is therefore inexpensive.

In einer vorteilhaften Ausführungsform wird die Sicherheitszonenkennung in ein Sicherheitstoken des Geräts bereitgestellt.In an advantageous embodiment, the security zone identifier is provided in a security token of the device.

Ein Sicherheitstoken kann beispielsweise ein Java Script Objektnotation JSON Web Token JWT oder ein digitales Zertifikat, sein. Die Sicherheitszonenkennung kann beispielsweise als Attribut in ein solches Sicherheitstoken codiert sein.A security token may be, for example, a Java Script object notation JSON Web Token JWT or a digital certificate. For example, the security zone identifier may be coded as an attribute in such a security token.

In einer vorteilhaften Ausführungsform ist die Sicherheitszonenkennung ein textueller Name oder ein kryptographischer, pseudozufälliger Kenner.In an advantageous embodiment, the security zone identifier is a textual name or a cryptographic, pseudorandom identifier.

Der textuelle Name kann beispielsweise ein projektierbarer Bezeichner sein, der beispielsweise eine Information zur Struktur des Datennetzes enthält. Dadurch kann die Security-Funktion der Sicherheitszone einen kryptographischer Kenner, insbesondere ein Hashwert eines öffentlichen Schlüssels, für die Identifizierung der Sicherheitszone verwenden. Dies hat den Vorteil, dass eine Sicherheitszone, die z.B. durch einen Router/Conduit oder eine Firewall begrenzt wird, als die gleiche Sicherheitszone manipulationsgeschützt wiedererkannt werden kann (sameness authentication der Sicherheitszone), ohne dass eine explizite Konfiguration der Sicherheitszonenkennung notwendig ist.The textual name can be, for example, a configurable identifier that contains, for example, information about the structure of the data network. As a result, the security function of the security zone can use a cryptographic connoisseur, in particular a hash value of a public key, for the identification of the security zone. This has the advantage that a safety zone, e.g. is limited by a router / conduit or a firewall, as the same security zone can be recognized tamper-proof (sameness authentication of the security zone), without an explicit configuration of the security zone identifier is necessary.

Gemäß einem weiteren Aspekt betrifft die Erfindung ein Gerät, das sich in einem Datenübertragungsnetzwerk mit mindestens einer Sicherheitszone befindet, umfassend einer Sicherheitszoneneinheit, wobei die Sicherheitszoneneinheit derart ausgebildet ist

- eine Sicherheitszonenkennung, die die aktuelle Sicherheitszone, der das Gerät aktuell zugeordnet ist, von einer Sicherheitsvorrichtung zu empfangen,
- die Sicherheitszonenkennung zu überprüfen oder einem Kommunikationspartner des Geräts zur Überprüfung bereitzustellen, und
- eine Aktion in Abhängigkeit vom Ergebnis der Überprüfung auszuführen.

According to a further aspect, the invention relates to a device which is located in a data transmission network with at least one security zone, comprising a security zone unit, wherein the security zone unit is designed in this way

a security zone identifier which receives the current security zone to which the device is currently assigned from a security device,
- check the security zone identifier or provide it to a communication partner of the device for review, and
- perform an action depending on the result of the check.

Dadurch wird vorteilhafter Weise eine Zuordnung eines Gerätes bzw. eines Datenpakets, das von einem Gerät erzeugt und gesendet wird, zu einer Sicherheitszone ermöglich. Die Sicherheitszonenkennung kann in unterschiedlichen Funktionen des Gerätes verwendet werden, beispielsweise zur automatischen Konfiguration des Gerätes abhängig von der Sicherheitszone in der es sich befindet.This advantageously makes it possible to assign a device or a data packet, which is generated and sent by a device, to a security zone. The security zone identifier can be used in different functions of the device, for example to automatically configure the device depending on the security zone in which it is located.

Gemäß einem weiteren Aspekt betrifft die Erfindung eine Sicherheitsvorrichtung zum manipulationsgeschützten Bereitstellen einer aktuellen Sicherheitszonenkennung an ein Gerät in einem Datenübertragungsnetzwerk mit mindestens einer Sicherheitszone, wobei die Sicherheitsvorrichtung derart ausgebildet ist, eine Sicherheitszonenkennung, die eine bestimmte Sicherheitszone des Datennetzwerks identifiziert an ein Gerät das sich lokal in der entsprechenden Sicherheitszone befindet, bereitzustellen.In another aspect, the invention relates to a security device for tamper-resistant provisioning of a current security zone identifier to a device in a communications network having at least one security zone, the security device being adapted to identify a security zone identifier identifying a particular security zone of the data network to a device located locally in the corresponding security zone.

Gemäß einem weiteren Aspekt betrifft die Erfindung ein Computerprogrammprodukt, das direkt in einen Speicher eines digitalen Computers ladbar ist und Programmcodeteile umfasst, die dazu geeignet sind, die Schritte des beschriebenen Verfahrens durchzuführen.In another aspect, the invention relates to a computer program product that is directly loadable into a memory of a digital computer and includes program code portions that are adapted to perform the steps of the described method.

Sofern es in der nachfolgenden Beschreibung nicht anders angegeben ist, beziehen sich die Begriffe „durchführen“, „berechnen“, „rechnergestützt“, „rechnen“, „feststellen“, „generieren“, „konfigurieren“, „rekonstruieren“ und dergleichen, vorzugsweise auf Handlungen und/oder Prozesse und/oder Verarbeitungsschritte, die Daten verändern und/oder erzeugen und/oder die Daten in andere Daten überführen, wobei die Daten insbesondere als physikalische Größen dargestellt werden oder vorliegen können, beispielsweise als elektrische Impulse. Insbesondere sollte der Ausdruck „Computer“ möglichst breit ausgelegt werden, um insbesondere alle elektronischen Geräte mit Datenverarbeitungseigenschaften abzudecken. Computer können somit beispielsweise Personal Computer, Server, Feldgeräte und andere Kommunikationsgeräte, die rechnergestützt Daten verarbeiten können, Prozessoren und andere elektronische Geräte zur Datenverarbeitung sein.Unless otherwise indicated in the following description, the terms "perform," "compute," "compute," "compute," "determine," "generate," "configure," "reconstruct," and the like, preferably to actions and / or processes and / or processing steps that modify and / or generate data and / or transfer the data to other data, the data being or may be presented as physical quantities, such as electrical impulses. In particular, the term "computer" should be interpreted as broadly as possible to cover in particular all electronic devices with data processing capabilities. Computers can thus be, for example, personal computers, servers, field devices and other communication devices that can process data in a computer-aided manner, processors and other electronic devices for data processing.

Ein Computerprogrammprodukt, wie z.B. ein Computerprogramm-Mittel, kann beispielsweise als Speichermedium, wie z.B. Speicherkarte, USB-Stick, CD-ROM, DVD, oder auch in Form einer herunterladbaren Datei von einem Server in einem Netzwerk bereitgestellt oder geliefert werden. Dies kann zum Beispiel in einem drahtlosen Kommunikationsnetzwerk durch die Übertragung einer entsprechenden Datei mit dem Computerprogrammprodukt oder dem Computerprogramm-Mittel erfolgen.A computer program product, such as a computer program means may, for example, be used as a storage medium, e.g. Memory card, USB stick, CD-ROM, DVD, or even in the form of a downloadable file provided by a server in a network or delivered. This can be done, for example, in a wireless communication network by transmitting a corresponding file with the computer program product or the computer program means.

Ausführungsbeispiele des erfindungsgemäßen Verfahrens, Geräts und der erfindungsgemäßen Sicherheitsvorrichtung sind in den Zeichnungen beispielhaft dargestellt und werden anhand der nachfolgenden Beschreibung näher erläutert. Es zeigen:

1 ein Datenübertragungsnetzwerk eines beispielhaften Automatisierungssystems mit einer Ausführungsform eines erfindungsgemäßen Gerätes und einer erfindungsgemäßen Sicherheitsvorrichtung in schematischer Darstellung;
2 ein Ausführungsbeispiel eines erfindungsgemäßen Verfahrens in Form eines Flussdiagramms;
3A ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens mit einer erfolgreichen Überprüfung einer Sicherheitszonenkennung in einem Gerät in Form eines Ablaufdiagramms;
3B ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens mit einer nicht erfolgreichen Überprüfung einer Sicherheitszonenkennung in einem Gerät in Form eines Ablaufdiagramms; und
4 ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens mit einer Überprüfung der Sicherheitszonenkennung in einer Kontrollvorrichtung in Form eines Ablaufdiagramms.

Embodiments of the inventive method, apparatus and the safety device according to the invention are shown by way of example in the drawings and are explained in more detail with reference to the following description. Show it:

1 a data transmission network of an exemplary automation system with an embodiment of an inventive device and a security device according to the invention in a schematic representation;
2 an embodiment of a method according to the invention in the form of a flow chart;
3A an embodiment of the method according to the invention with a successful verification of a security zone identifier in a device in the form of a flowchart;
3B an embodiment of the inventive method with an unsuccessful verification of a security zone identifier in a device in the form of a flowchart; and
4 An embodiment of the method according to the invention with a review of the security zone identifier in a control device in the form of a flow chart.

Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen.Corresponding parts are provided in all figures with the same reference numerals.

1 zeigt ein Automatisierungssystem 10 mit zwei Sicherheitszonen, einer ersten Sicherheitszone 12 und einer zweiten Sicherheitszone 13. Entsprechend strukturiert ist ein Datenübertragungsnetzwerk 11 im Automatisierungssystem 10 implementiert. Es verbindet einerseits die Sicherheitszone 12 sowie die Sicherheitszone 13 über ein öffentliches Internet oder über ein geschlossenes Datenübertragungsnetz mit einem oder mehreren Kontrollvorrichtungen 14. Die Kontrollvorrichtung 14 kann beispielsweise als ein oder mehrere Server ausgebildet sein, die sogenannte Backend Services bereitstellt. Ein Beispiel für einen Backend-Service ist ein Dienst zur vorausschauende Wartung (predictive maintenance), der Diagnosedaten von Geräten 21, 22, 23, 31, 32, 33, 34 mittels Datenanalysealgorithmen wie z.B. einer Ermittlung von statistischen Kennzahlen wie z.B. Mittelwert oder Varianz oder einer Auswertung durch einen neuronalen Netzwerk-Analysealgorithmus, analysiert. Ebenso ist möglich, dass ein Backend-Dienst Steuerungsfunktionen realisiert, die auch als Cloud-Robotik (Cloud Robotics) bezeichnet werden können. So kann z.B. ein Fertigungsroboter oder ein autonomes Flurförderfahrzeug bzw. ein führerloses Transportsystem durch eine Cloud-basierte bzw. Backend-basierte Steuerungsfunktion gesteuert oder überwacht werden. 1 shows an automation system 10 with two security zones, a first security zone 12 and a second security zone 13 , Structured accordingly is a data transmission network 11 in the automation system 10 implemented. On the one hand, it connects the security zone 12 as well as the security zone 13 via a public Internet or via a closed data transmission network with one or more control devices 14 , The control device 14 For example, it can be configured as one or more servers, the so-called backend services provides. An example of a backend service is a predictive maintenance service, the diagnostic data of devices 21 . 22 . 23 . 31 . 32 . 33 . 34 using data analysis algorithms such as a determination of statistical measures such as mean or variance or an evaluation by a neural network analysis algorithm analyzed. It is also possible that a back-end service realizes control functions, which can also be referred to as cloud robotics. For example, a production robot or an autonomous industrial truck or a driverless transport system can be controlled or monitored by a cloud-based or back-end-based control function.

Innerhalb einer Sicherheitszone 12 sind Geräte 21, 22, 23, beispielsweise Feldgeräte, eine Sicherheitsvorrichtung 20 sowie beispielsweise eine Gateway 24 über das Datenübertragungsnetz 11 miteinander verbunden. Über das Gateway 24 ist eine Anbindung an die Komponenten außerhalb der ersten Sicherheitszone 12 realisiert. Entsprechend sind Geräte 31, 32, 33 in der zweiten Sicherheitszone 13 mit einer Sicherheitsvorrichtung 30 und einer Gateway 34 verbunden. Innerhalb einer Sicherheitszone 12, 13 ist für die Geräte 21, 22, 23 beziehungsweise 31, 32, 33, eine beispielsweise wechselnde, vorzugsweise kryptographisch erzeugte, und/oder kryptographisch geschützt übertragene Sicherheitszonenkennung verfügbar.Within a security zone 12 are devices 21 . 22 . 23 For example, field devices, a safety device 20 as well as a gateway 24 over the data transmission network 11 connected with each other. About the gateway 24 is a connection to the components outside the first security zone 12 realized. Accordingly are devices 31 , 32, 33 in the second security zone 13 with a safety device 30 and a gateway 34 connected. Within a security zone 12 . 13 is for the devices 21 . 22 . 23 respectively 31 . 32 . 33 , an example of changing, preferably cryptographically generated, and / or cryptographically protected transmitted security zone identifier available.

Die Sicherheitszonenkennung wird von der Sicherheitsvorrichtung 20 beziehungsweise 30 der jeweiligen Sicherheitszone 12 beziehungsweise 13 bereitgestellt. Die Sicherheitsvorrichtung 20 beziehungsweise 30 kann als integriert in dem Gateway 24, das beispielsweise als Firewall, als Conduit und/oder als Router ausgebildet ist, integriert ausgebildet sein oder als physisch eigenständige Vorrichtung bereitgestellt werden. Unter einem Conduit wird gemäß einem Entwurf für den Standard IEC 62443-3.2 ein Kommunikationskanal zwischen Sicherheitszonen verstanden. Die Sicherheitszonenkennung einer Sicherheitszone 12, 13 ist außerhalb dieser Sicherheitszone 12, 13 nicht verfügbar. Insbesondere kann sie nur für diejenigen Feldgeräte verfügbar sein, die sich in der jeweiligen Sicherheitszone befinden.The security zone identifier is provided by the security device 20 respectively 30 the respective security zone 12 respectively 13 provided. The security device 20 or 30 may be integrated in the gateway 24 , which is designed, for example, as a firewall, as a conduit and / or as a router, be designed to be integrated or provided as a physically independent device. Under a conduit, according to a draft standard IEC 62443 - 3.2 a communication channel between security zones understood. The security zone identifier of a security zone 12 . 13 is outside this security zone 12 . 13 not available. In particular, it can only be available for those field devices that are located in the respective safety zone.

Zur Bereitstellung der Sicherheitszonenkennung einer Sicherheitszone 12, 13, wird beispielsweise eine Link-Local-IP-Adresse oder ein nicht routbares Protokoll der Ebene 2 des OSI-Referenzmodells verwendet. Dadurch wird eine Bereitstellung lediglich innerhalb einer Sicherheitszone gewährleistet. Vorzugsweise wird die Sicherheitszonenkennung automatisch wiederholt übertragen.To provide the security zone identifier of a security zone 12 . 13 , For example, becomes a link-local IP address or a non-routable level protocol 2 of the OSI reference model. This ensures deployment only within a security zone. Preferably, the security zone identifier is transmitted automatically repeatedly.

Anhand des Gerätes 23 in der Sicherheitszone 12 wird der Aufbau eines erfindungsgemäßen Gerätes beschrieben. Das Gerät 23 umfasst eine Sicherheitszoneneinheit 26, die derart ausgebildet ist, die Sicherheitszonenkennung, die die aktuelle Sicherheitszone kennzeichnet, zu empfangen und abzuspeichern. Die Sicherheitszoneneinheit 26 kann veranlassen, dass die Sicherheitszonenkennung in Nachrichten, die an andere Komponenten übermittelt werden, eincodiert wird. In der Sicherheitszoneneinheit 26 wird die Sicherheitszonenkennung überprüft und/oder gegebenenfalls einem Kommunikationspartner zur weiteren Überprüfung bereitstellt. Ein solcher Kommunikationspartner des Geräts ist beispielsweise die Kontrollvorrichtung 14.Based on the device 23 in the security zone 12 the structure of a device according to the invention will be described. The device 23 includes a security zone unit 26 which is adapted to receive and store the security zone identifier identifying the current security zone. The security zone unit 26 can cause the security zone identifier to be encoded in messages sent to other components. In the security zone unit 26 the security zone identifier is checked and / or optionally provided to a communication partner for further verification. Such a communication partner of the device is for example the control device 14 ,

Die Sicherheitszoneneinheit 26 führt des Weiteren eine Aktion in Abhängigkeit vom Ergebnis der Überprüfung aus. Das Ergebnis der Überprüfung kann einerseits durch die Sicherheitszoneneinheit 26 beziehungsweise das Gerät 23 selbst ermittelt worden sein. Das Überprüfungsergebnis kann aber auch durch die Kontrollvorrichtung 14, die die Überprüfung durchgeführt hat, an das Gerät 23 übermittelt beziehungsweise vom Gerät empfangen worden sein.The security zone unit 26 further executes an action depending on the result of the check. The result of the check can be on the one hand by the security zone unit 26 or the device 23 determined by himself. The test result can also be determined by the control device 14 , which has carried out the inspection, to the device 23 transmitted or received by the device.

Eine Sicherheitsvorrichtung 20, 30 ist derart ausgebildet, eine Sicherheitszonenkennung, die eine bestimmte Sicherheitszone des Datenübertragungsnetzwerks 11 identifiziert an ein Gerät 21, 22, 23 bzw. 31, 32, 33, das sich lokal in der Sicherheitszone 12 bzw. 13 befindet, bereitzustellen.A security device 20 . 30 is designed such a security zone identifier, which is a certain security zone of the data transmission network 11 identified to a device 21 . 22 . 23 respectively. 31 . 32 . 33 located locally in the security zone 12 respectively. 13 is to provide.

Die Sicherheitszonenkennung kann in einer Variante als Sicherheitstoken, beispielsweise als ein Java Script Objektnotations Token (JSON) oder als digitales Zertifikat bereitgestellt werden. Ein solcher Sicherheitstoken wird von einer Sicherheitsvorrichtung 20, 30 ausgestellt, die lokal innerhalb der Sicherheitszone 12, 13 erreichbar ist. Diese Sicherheitsvorrichtung 20, 30 der Sicherheitszone 12, 13 stellt lediglich Sicherheitstoken für Geräte 21, 22, 23 bzw. 31, 32, 33 aus, die sich innerhalb des Sicherheitszone 12, 13 befinden. Dadurch kann ein Gerät selbst prüfen oder gegenüber Dritten nachweisen, dass es sich aktuell in der Sicherheitszone 12, 13 befindet.The security zone identifier can be provided in a variant as a security token, for example as a Java Script Object Notation Token (JSON) or as a digital certificate. Such a security token is provided by a security device 20 . 30 issued locally within the security zone 12 . 13 is reachable. This safety device 20 . 30 the security zone 12 . 13 only provides security tokens for devices 21 . 22 . 23 respectively. 31 . 32 , 33 out, located within the security zone 12 . 13 are located. This allows a device to check itself or prove to third parties that it is currently in the security zone 12 . 13 located.

Insbesondere enthält ein Sicherheitstoken eines Gerätes oder eines Nutzers des Gerätes die Sicherheitszonenkennung. Diese kann als Attribut codiert sein. Die Sicherheitszonenkennung kann aber auch ein textueller Name der Sicherheitszone oder ein kryptographischer, pseudozufälliger Kenner sein. In diesem Fall verwendet die Sicherheitsvorrichtung 20, 30 der Sicherheitszone 12, 13 einen kryptographischen Kenner, insbesondere einen Hashwert eines öffentlichen Schlüssels, für die Identifizierung der Sicherheitszone. Dies hat den Vorteil, dass eine Sicherheitszone, die beispielsweise durch einen Router oder Conduit begrenzt wird, als die gleiche Sicherheitszone manipulationsgeschützt wiedererkannt werden kann ohne dass eine explizite Konfiguration der Sicherheitszonenkennung notwendig ist. Dies wird auch als sameness authentication der Sicherheitszone bezeichnet.In particular, a security token of a device or a user of the device contains the security zone identifier. This can be encoded as an attribute. The security zone identifier can also be a textual name of the security zone or a cryptographic, pseudorandom identifier. In this case, the security device uses 20 . 30 the security zone 12 . 13 a cryptographic connoisseur, in particular a public key hash value, for the identification of the security zone. This has the advantage that a security zone, which is limited for example by a router or conduit, can be recognized as tamper-resistant as the same security zone without an explicit security zone Configuration of the security zone identifier is necessary. This is also called seed authentication of the security zone.

2 zeigt nun explizit ein Flussdiagramm und die einzelnen Verfahrensschritte des erfindungsgemäßen Verfahrens. Im Ausgangszustand start befindet sich beispielsweise das Gerät 21 in der Sicherheitszone 12. Das Gerät 12 kann dabei erstmals in die Sicherheitszone 12 eingebracht worden sein und noch keine Sicherheitskennung der Sicherheitszone 12 enthalten oder bereits eine Sicherheitskennung der Sicherheitszone 12 enthalten. 2 now explicitly shows a flowchart and the individual process steps of the method according to the invention. In the initial state start, for example, the device 21 is located in the security zone 12 , The device 12 can enter the safety zone for the first time 12 have been introduced and still no security identifier of the security zone 12 contain or already contain a security identifier of the security zone 12.

In einem ersten Verfahrensschritt S10 wird eine Sicherheitszonenkennung, die die aktuelle Sicherheitszone, in der das Gerät aktuell zugeordnet ist, von einer Sicherheitsvorrichtung dem Gerät bereitgestellt.In a first method step S10, a security zone identifier that provides the current security zone in which the device is currently assigned is provided to the device by a security device.

Die bereitgestellte Sicherheitszonenkennung kann einen zeitlich fest bleibenden oder wechselnden Wert aufweisen. Im erstgenannten Fall wird immer die gleiche Sicherheitszonenkennung innerhalb einer Sicherheitszone übertragen. Im zweitgenannten Fall wird nach einer bestimmten Zeit der Wert der Sicherheitszonenkennung geändert. Die Sicherheitszonenkennung einer Sicherheitszone wird insbesondere lokal nur innerhalb dieser Sicherheitszone bereitgestellt. Die Sicherheitszonenkennungen der Sicherheitszone 12 beziehungsweise Sicherheitszone 13 haben dabei einen unterschiedlichen Wert beziehungsweise eine unterschiedliche Ausbildung. Ein Gerät erhält die Sicherheitszonenkennung einer Sicherheitszone 12, 13 nur dann, wenn sich das Gerät 21, 22, 23 tatsächlich in der Sicherheitszone 12 befindet.The provided security zone identifier may have a fixed or changing value. In the former case, the same security zone identifier is always transmitted within a security zone. In the second case, after a certain time, the value of the security zone identifier is changed. The security zone identifier of a security zone is provided in particular locally only within this security zone. The security zone identifiers of the security zone 12 or security zone 13 have a different value or a different training. A device receives the security zone identifier of a security zone 12 . 13 only if the device 21 . 22 . 23 actually in the security zone 12 located.

Des Weiteren kann die Sicherheitszonenkennung, insbesondere eine kryptographisch geschützte Sicherheitszonenkennung, eine Aktualitätsinformation aufweisen. Die Aktualitätsinformation kann entweder eine zeitliche Angabe oder ein Zählwert, der fortlaufend inkrementiert wird, sein.Furthermore, the security zone identifier, in particular a cryptographically protected security zone identifier, may have up-to-date information. The up-to-date information may be either a time indication or a count that is incremented incrementally.

Eine gemeinsame Sicherheitszonenkennung, die für jedes der Geräte 21, 22, 23 innerhalb einer Sicherheitszone einen gleichen Wert aufweist, kann beispielsweise als Broadcast beziehungsweise Multicast-Nachricht übertragen werden. Dies kann unverschlüsselt erfolgen. Alternativ kann ein Gruppenschlüssel, beispielsweise entsprechend dem IEEE-Standard 802.11 für WLAN oder entsprechend dem IEEE 802.1ae/af für Media Access Control Sicherheit MACsec, für den Schutz der Übertragung verwendet werden.A common security zone identifier common to each of the devices 21 . 22 . 23 Within a security zone has the same value, for example, as a broadcast or multicast message can be transmitted. This can be done unencrypted. Alternatively, a group key, for example, according to the IEEE standard 802.11 for WLAN or according to the IEEE 802.1ae / af for Media Access Control Security MACsec, used for protection of transmission.

In einer anderen Variante kann die Sicherheitszonenkennung einem Gerät 21, 22, 23 individuell bereitgestellt werden. Dabei erhält jedes Gerät eine für das Gerät spezifische Sicherheitszonenkennung. Dies kann zum Beispiel erreicht werden, indem je Identität eines Feldgerätes ein eigener Startwert oder ein eigener Schlüssel bei der Erzeugung der Sicherheitszonenkennung verwendet wird.In another variant, the security zone identifier can be a device 21 . 22 . 23 be provided individually. Each device receives a security zone identifier specific to the device. This can be achieved, for example, by using a separate start value or a separate key for the generation of the security zone identifier for each identity of a field device.

Ein Verfahrensschritt S20 überprüft das Gerät 21, 22, 23 oder ein Kommunikationspartner des Geräts die Sicherheitszonenkennung. Abhängig vom Prüfungsergebnis kann das Gerät dann eine Aktion ausführen, siehe Schritt S30. Anschließend endet das Verfahren in Zustand end.A method step S20 checks the device 21 . 22 . 23 or a communication partner of the device, the security zone identifier. Depending on the test result, the device may then perform an action, see step S30. Then the process ends in state end.

Ein Gerät kann beispielsweise die Sicherheitszone 12 durch die bereitgestellte Sicherheitszonenkennung identifizieren, in der es sich aktuell befindet und abhängig davon beispielsweise die eigene Konfiguration anpassen, siehe auch 3A. So können beispielsweise Safety-kritische Funktionen nur dann freigeschaltet werden, wenn sich das Gerät 21, 22, 23 in der erwarteten Sicherheitszone 12 befindet.For example, a device can be the security zone 12 identify by the provided security zone identifier in which it is currently located and, for example, customize its own configuration, see also 3A , For example, safety-critical functions can only be activated when the device is in operation 21 . 22 . 23 in the expected safety zone 12 located.

Das Gerät 21, 22, 23 kann mit Hilfe der Sicherheitszonenkennung selbst prüfen, ob es sich noch in der vorgesehenen Sicherheitszone 12 befindet, siehe 3B. Falls dies nicht der Fall ist, kann das Gerät 21, 22, 23 sich zum Beispiel sperren, gespeicherte Schlüssel löschen oder ein Alarmsignal bereitstellen. Dazu vergleicht das Gerät die empfangene Sicherheitszoneninformation mit der erwarteten Sicherheitszoneninformation.The device 21 . 22 . 23 With the help of the security zone identifier, it can even check whether it is still in the designated security zone 12 is located, see 3B , If this is not the case, the device may 21 . 22 . 23 for example, locking, erasing stored keys or providing an alarm signal. For this purpose, the device compares the received security zone information with the expected security zone information.

Weiterhin kann das Gerät 21, 22, 23, das sich innerhalb der ersten Sicherheitszone 12 befindet, im weiteren auch als erstes Gerät bezeichnet, seine Sicherheitszonenkennung an ein zweites Gateway 34 oder ein Feldgerät 31, 32, 33 einer zweiten Sicherheitszone 13 weiterleiten. Dadurch können das zweite Gateway 34 oder das Gerät 31, 32, 33 der zweiten Sicherheitszone 13 überprüfen, ob sich das erste Gerät 21, 22, 23 tatsächlich, wie erwartet, in der ersten Sicherheitszone befindet.Furthermore, the device can 21 . 22 . 23 located within the first security zone 12 located, hereinafter also referred to as the first device, its security zone identifier to a second gateway 34 or a field device 31 . 32 . 33 a second security zone 13 hand off. This allows the second gateway 34 or the device 31 . 32 . 33 the second security zone 13 Check if the first device 21 . 22 . 23 actually, as expected, located in the first security zone.

Auch ist es möglich, dass ein erstes Gateway 24 der ersten Sicherheitszone 12 die Sicherheitszonenkennung einer Kommunikation des ersten Geräts 21, 22, 23 zuordnet. Dadurch ist diese Sicherheitszonenkennung auch für Geräte bekannt, die die Sicherheitszonenkennung selbst nicht auswerten und ihrer eigenen Kommunikation hinzufügen können.It is also possible that a first gateway 24 the first security zone 12 the security zone identifier of a communication of the first device 21 . 22 . 23 assigns. As a result, this security zone identifier is also known for devices that can not evaluate the security zone identifier itself and add it to its own communication.

3A zeigt ein Beispiel, bei dem ein Gerät FD, beispielsweise eine Feldgerät, eine zeitlich wechselnde und kryptographisch geschützt erzeugte Sicherheitszonenkennungen SZI_A (i) von einer Sicherheitsvorrichtung SZS_A empfängt. 3A shows an example in which a device FD, for example, a field device, a time-varying and cryptographically protected security zone identifications SZI _A (i) receives from a security device SZS _A.

Dazu ermittelt die Sicherheitsvorrichtung SZS beispielsweise einen zufälligen Wert SW als Startwert und erzeugt davon abhängig iterativ eine Folge von Sicherheitszonenkennungen SZI (i) :

SZI(0):=SW
SZI(i+1):=H(SZI(i)), wobei H eine sichere Hash-Funktion, zum Beispiel entsprechend dem SHA256 Algorithmus, ist.

For this purpose, the security device SZS determines, for example, a random value SW as the starting value and, depending on this, iteratively generates a sequence of security zone identifiers SZI (i):

UIL (0): = SW
SZI (i + 1): = H (SZI (i)), where H is a secure hash function, for example according to the SHA256 algorithm.

Alternativ kann eine Schlüsselableitungsfunktion KDF unter Verwendung eines Schlüssels K verwendet werden:

SZI(0):=SW
SZI(i+1):=KDF(K,SZI(i))

Alternatively, a key derivation function KDF using a key K may be used:

UIL (0): = SW
SZI (i + 1) = KDF (K, SZI (i))

In einer anderen Variante wird die Sicherheitszonenkennung SZI(i) von einem kryptographischen Schlüssel und einem Aktualitätsparameter unter Verwendung eines kryptographischen Algorithmus, wie beispielsweise dem AES-Algorithmus, erzeugt. Die Sicherheitszonenkennung SZI(i) ergibt sich wie folgt:

SZI(i):=AES_K(i)

In another variant, the security zone identifier SZI (i) is generated by a cryptographic key and an up-to-date parameter using a cryptographic algorithm, such as the AES algorithm. The security zone identifier SZI (i) results as follows:

SZI (i): = AES _K (i)

In einer weiteren Variante wird eine Sicherheitszonenkennung SZI individuell für ein bestimmtes Feldgerät FD mit der Identität ID_FD vergeben. Dies kann zum Beispiel dadurch erreicht werden, dass je Gerätekennung ID_FD ein eigener Startwert SW oder ein eigener Schlüssel K_FD zur Erzeugung der Sicherheitszonenkennung SZI verwendet wird.In a further variant, a security zone identifier SZI is assigned individually for a specific field device FD with the identity ID _FD . This can be achieved, for example, by using a separate start value SW or a separate key K _FD for generating the security zone identifier SZI for each device identifier ID _FD .

Im Gerät FD sind als Referenzinformation beispielsweise der verwendete Startwert SW und der verwendete Algorithmus bzw. die Ableitungsfunktion und die Schlüssel zur Bildung der Sicherheitszonenkennung SZI (i) bekannt. Alternativ können die expliziten Werte der erlaubten Sicherheitszonenkennung SZI (i) als Referenz vorliegen.In the device FD, for example, the starting value SW used and the algorithm used or the derivative function and the keys for forming the security zone identifier SZI (i) are known as reference information. Alternatively, the explicit values of the permitted security zone identifier SZI (i) can be present as a reference.

Im Weiteren wird die empfangene Sicherheitszonenkennung SZI_A (i) im Gerät unter Verwendung einer Referenzinformation überprüft, siehe S50. Die Referenzinformation kann dabei beispielsweise eine projektierte Sicherheitszone sein, in der das Feldgerät installiert sein sollte. Bei Empfang einer gültigen, aktuellen Sicherheitszonenkennung SZI_A(i) entsperrt sich das Gerät und es wird beispielsweise eine Steuerfunktion aktiviert und/oder es wird ein Zugriff auf Ein- und Ausgabeschnittstellen und/oder ein Zugriff auf einen kryptographischen Schlüssel des Gerätes freigegeben, siehe Schritt S51.Furthermore, the received security zone identifier SZI _A (i) in the device is checked using reference information, see S50. The reference information can be, for example, a configured safety zone in which the field device should be installed. Upon receipt of a valid, current security zone identifier SZI _A (i), the device unlocks and, for example, a control function is activated and / or access to input and output interfaces and / or access to a cryptographic key of the device is enabled, see step S51.

Bei Empfang einer weiteren Sicherheitszonenkennung SZI_A(i+1), überprüft im Schritt S52 das Gerät FD diese Kennung und behält bei positivem Prüfergebnis in Schritt S53 das Gerät im entsperrten Zustand.Upon receipt of another security zone identifier SZI _A (i + 1), the device FD checks this identifier in step S52 and retains the device in the unlocked state if the test result is positive in step S53.

3B zeigt das gleiche Feldgerät FD, das als Referenzinformation die Sicherheitszonenkennung SZI_A (i) nicht aber die Sicherheitszonenkennung SZI_B(i), die beispielsweise innerhalb einer anderen Sicherheitszone B vergeben wird, umfasst. Nach Empfang der Sicherheitszonenkennung SZI_B(i) führt das Feldgerät FD eine Überprüfung S52 der Sicherheitszonenkennung SZI_B(i) durch und erzielt ein negatives Überprüfungsergebnis. Als Aktion darauf sperrt sich das Gerät selbst beziehungsweise bleibt gesperrt, siehe S56. Eine ähnliche Aktion kann auch beim Ausbleiben des Empfangs einer gültigen aktuellen Sicherheitszonenkennung der erwarteten Sicherheitszone erfolgen. 3B shows the same field device FD, which as a reference information, the security zone identifier SZI _A (i) but not the security zone identifier SZI _B (i), which is awarded for example within another security zone _B comprises. After receiving the security zone identifier SZI _B (i), the field device FD carries out a check S52 of the security zone identifier SZI _B (i) and achieves a negative verification result. As an action on the device locks itself or remains locked, see S56. A similar action may also be taken in the absence of receiving a valid current security zone identifier of the expected security zone.

4 zeigt ein Beispiel, bei dem sich das Gerät FD, bei einer Kontrollvorrichtung, beispielsweise einem Backend-Service BS, unter Verwendung eines Geräteschlüssels authentisiert. Zusätzlich dazu erwartet der Backend-Service BS vom Gerät FD eine aktuelle gültige Sicherheitszonenkennung SZI_A(i), um vom Backend-Service BS akzeptiert zu werden. 4 shows an example in which the device FD authenticates to a control device, for example a back-end service BS, using a device key. In addition, the backend service BS expects the device FD to have a current valid security zone identifier SZI _A (i) to be accepted by the backend service BS.

Die Sicherheitszonenkennung SZI_A (i) wird von einer Sicherheitsvorrichtung SZS_A bereitgestellt und vom Feldgerät FD in Schritt S60 empfangen. Anschließend sendet das Feldgerät FD eine Authentisierungsanfrage an den Backend-Service BS. Dort wird das Gerät FD anhand eines Geräteschlüssels DeviceKey authentisiert, siehe S61. Erst nach erfolgreicher Überprüfung der Sicherheitszonenkennung SZI_A(i), siehe S62, akzeptiert der Backend-Service das Gerät FD, siehe S63 und sendet eine Bestätigungsnachricht OK an das Gerät FD zurück.The security zone identifier SZI _A (i) is provided by a security device SZS _A and received by the field device FD in step S60. Subsequently, the field device FD sends an authentication request to the backend service BS. There the device FD is authenticated by means of a device key DeviceKey, see S61. Only after successful verification of the security zone identifier SZI _A (i), see S62, the backend service accepts the device FD, see S63 and sends back a confirmation message OK to the device FD.

Alle beschriebenen und/oder gezeichneten Merkmale können im Rahmen der Erfindung vorteilhaft miteinander kombiniert werden. Die Erfindung ist nicht auf die beschriebenen Ausführungsbeispiele beschränkt.All described and / or drawn features can be advantageously combined with each other within the scope of the invention. The invention is not limited to the described embodiments.

Claims

Method for the tamper-evident provision of a security zone identifier (SZI _A ) of a device (FD), the device (F) being arranged in a data transmission network with at least one security zone, comprising the following steps: - providing (S10, S60) a security zone identifier SZIA (i), the current security zone to which the device (FD) is currently assigned by a security device (SZS _A ), - checking (S20, S62) the security zone identifier (SZI _A ) in the device (FD) or by a communication partner (14, BS) of the device (FD); and - executing (S30, S63) an action depending on the result of the check.

Method according to the preceding claim, wherein the security zone identifier (SZI _A ) within a security zone (12, 13) is assigned permanently or is assigned temporally changing.

Method according to one of the preceding claims, wherein the security zone identifier (SZI _A ) is cryptographically generated and / or provided cryptographically protected.

Method according to Claim 3 , wherein the cryptographically protected security zone identifier (SZI _A ) has up-to-date information.

Method according to one of the preceding claims, wherein the security zone identifier (SZI _A ) for checking a request to a control device (14, BS) is transmitted.

Method according to one of the preceding claims, wherein the security zone identifier (SZI _A ) is used for checking the affiliation of the device (FD) to the security zone of the device itself.

Method according to Claim 6 , as an action in a positive test result, a configuration of the device (FD) by the device (FD) itself is adjusted.

Method according to Claim 6 in which the device is locked (FD), stored keys are deleted, or an alarm signal is provided in the device (FD) as an action in the event of a negative check result.

Method according to one of the preceding claims, wherein the security zone identifier (SZI _A ) within the security zone by means of a broadcast / multicast message sent and only the devices within the security zone is provided.

Method according to one of Claims 1 to 8th , wherein a security zone identifier (SZI _A ), in particular a device-specific security zone identifier, is provided individually to a device.

Method according to one of the preceding claims, wherein the security zone identifier (SZI _A ) is provided in a security token of the device (FD).

Method according to one of the preceding claims, wherein the security zone identifier (SZI _A ) exclusively by a security device (SZS _A ), in particular a router, a firewall or a conduit, which is located within the security zone, to a device (FD) within the Security Zone is provided.

Method according to one of the preceding claims, wherein the security zone identifier (SZI _A ) is a textual name or a cryptographic pseudorandom security zone identifier.

Device located in a data transmission network (11) with at least one security zone (12, 13), comprising a security zone unit (26), wherein the security zone unit (26) is designed in this way a security zone identifier which receives the current security zone to which the device (21, 22, 23, 31, 32, 33) is currently assigned from a security device (20, 30), - check the security zone identifier or provide it to a communication partner (14) of the device for review, and - perform an action depending on the result of the check.

Security device for tamper-resistant provision of a current security zone identifier to a device (21, 22, 23, 31, 32, 33) in a data transmission network (11) having at least one security zone 12, 13), wherein the security device (20, 30) is designed such a security zone identifier identifying a particular security zone (12, 13) of the communications network (11) identified to a device (21, 22, 23, 31, 32, 33) located locally in the corresponding security zone (12, 13).

A computer program product directly loadable into a memory of a digital computer comprising program code portions adapted to perform the steps of the method of any one of Claims 1 to 13 perform.