DE102019217512A1 - Method for operating an industrial control system - Google Patents

Method for operating an industrial control system Download PDF

Info

Publication number
DE102019217512A1
DE102019217512A1 DE102019217512.0A DE102019217512A DE102019217512A1 DE 102019217512 A1 DE102019217512 A1 DE 102019217512A1 DE 102019217512 A DE102019217512 A DE 102019217512A DE 102019217512 A1 DE102019217512 A1 DE 102019217512A1
Authority
DE
Germany
Prior art keywords
function
security
control system
trust
level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102019217512.0A
Other languages
German (de)
Inventor
Michael Langfinger
Julien Rausch
Tobias Buhlinger
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102019217512.0A priority Critical patent/DE102019217512A1/en
Priority to CN202011258996.8A priority patent/CN112799354A/en
Publication of DE102019217512A1 publication Critical patent/DE102019217512A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM]
    • G05B19/4185Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM] characterised by the network communication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/33Director till display
    • G05B2219/33139Design of industrial communication system with expert system

Abstract

Verfahren zum Betreiben eines industriellen Steuerungssystems, wie eines Energieerzeugungs- und Übertragungssystems und/oder eines Fertigungssystems, wobei jede Hierarchieebene des Steuerungssystems eine Sicherheits-Hierarchieebene ist, jede Hierarchieebene eine separate, abgeschlossene Sicherheitsstufe mit jeweils eigenem Vertrauensanker für die jeweiligen Hierarchiestufe des Steuerungssystems bildet, sodass im Falle einer von einer Überprüfungsinstanz, beispielsweise einer Firmware, erkannten kompromittierten Funktion einer einzelnen oder mehrerer Hierarchien die Gesamtintegrität des Systems nicht beeinträchtigt wird, da in diesem Fall nur die kompromittierte Funktion und der dieser Funktion eindeutig zugeordnete Vertrauensanker, insbesondere einer Hierarchie, identifiziert und/oder abgeschaltet wird.Method for operating an industrial control system, such as a power generation and transmission system and / or a manufacturing system, each hierarchical level of the control system being a safety hierarchical level, each hierarchical level forming a separate, self-contained safety level with its own trust anchor for the respective hierarchical level of the control system, so that In the case of a compromised function of a single or multiple hierarchies recognized by a checking authority, for example firmware, the overall integrity of the system is not impaired, since in this case only the compromised function and the trust anchor clearly assigned to this function, in particular a hierarchy, are identified and / or is switched off.

Description

Die vorliegende Erfindung betrifft ein Verfahren zum Betreiben eines industriellen Steuerungssystems, wie eines Energieerzeugungs- und Übertragungssystems und/oder eines Fertigungssystems.The present invention relates to a method for operating an industrial control system, such as a power generation and transmission system and / or a manufacturing system.

Nach Stand der Technik wird die Realisierung mehrerer Sicherheitshierarchien /-Anwendungsszenarien, zum Beispiel das sichere Laden von Firmware bei Systemstart (Secure Boot) und das sichere Speichern von Gerätegeheimnissen (Secure Storage) bzw. damit verbunden auch die Geräteidentität, auf eine vertrauenswürdige Instanz zurückgeführt.According to the state of the art, the implementation of several security hierarchies / application scenarios, for example the secure loading of firmware at system start-up (Secure Boot) and the secure storage of device secrets (Secure Storage) or the associated device identity, is traced back to a trustworthy entity.

Die Integrität des Systems - z. B. Sandboxen, Secure Boot, Secure Communication, Secure Storage und die Geräteidentität - ist somit abhängig von der Integrität einer einzelnen Vertrauensquelle, eines Vertrauensankers („Root of Trust“).The integrity of the system - e.g. B. Sandboxes, Secure Boot, Secure Communication, Secure Storage and the device identity - is therefore dependent on the integrity of a single source of trust, a trust anchor ("Root of Trust").

Wird die Integrität der Vertrauensquelle verletzt, so wirkt sich dies auf alle Hierarchien/Szenarien aus. Ein Beispiel für eine solche Verletzung ist das Auslesen/Manipulieren des AES-Schlüssels, der zum Signieren/Verschlüsseln verwendet wird.If the integrity of the source of trust is violated, this affects all hierarchies / scenarios. An example of such a violation is reading / manipulating the AES key that is used for signing / encrypting.

Eine Sicherheitslücke in einer einzelnen Sicherheitshierarchie bzw. Sicherheitsmerkmal beschädigt im Stand der Technik die Gesamtintegrität des Systems, da viele, oftmals sogar alle Sicherheitsmerkmale, voneinander abhängig sind. Dies soll in vorliegender Anmeldung vermieden werden.In the prior art, a security gap in an individual security hierarchy or security feature damages the overall integrity of the system, since many, often even all, security features are dependent on one another. This should be avoided in the present application.

Aufgabe der vorliegenden Erfindung ist es daher ein industrielles Steuerungssystem wie ein Energieerzeugungs- und Übertragungssystems und/oder eines Fertigungssystems anzubieten, welches im Falle des Vorhandenseins einer Sicherheitslücke im Steuerungssystem die Gesamtintegrität des Systems, teilweise, vorzugsweise vollständig erhält.The object of the present invention is therefore to offer an industrial control system such as a power generation and transmission system and / or a manufacturing system which, in the event of a security gap in the control system, partially, preferably completely, maintains the overall integrity of the system.

Mit Hilfe von separaten, abgeschlossenen Security Hierarchien für jeden einzelnen Use-Case (Secure Boot, Secure Storage, etc.) wird dieses Risiko zumindest minimiert, vorzugsweise sogar ganz ausgeschlossen. Gewährleistung einer Geräteteilintegrität bei Ausfall einer Teilintegrität wird daher erstmals ermöglicht.With the help of separate, closed security hierarchies for each individual use case (Secure Boot, Secure Storage, etc.), this risk is at least minimized, preferably even completely eliminated. It is therefore possible for the first time to guarantee partial device integrity in the event of a partial integrity failure.

Durch eine breite Verwendung von unterschiedlichen Mechanismen erhöht sich die Gerätegesamtintegrität, da bei einer Sicherheitsschwachstelle und dessen Ausnutzung nur das jeweilige Security Feature/Szenario ausgehebelt wird. Andere Security Features/Szenarien sind davon nicht betroffen und besitzen immer noch ihre Integrität. Somit ist immer eine Geräteintegrität gewährleistet.The broad use of different mechanisms increases the overall device integrity, since only the respective security feature / scenario is undermined in the event of a security vulnerability and its exploitation. Other security features / scenarios are not affected and still have their integrity. Device integrity is thus always guaranteed.

Das hier beschriebene Verfahren beruht daher unter anderem darauf, zumindest eine erste Hierarchieebene sowie zumindest eine zweite Hierarchieebene bereitzustellen, wobei die Hierarchieebenen in, insbesondere datentechnischem, Austausch miteinander stehen, sodass jede einzelne Hierarchieebene zumindest eine bestimmte Funktion zum Steuern und/oder Regeln des Steuerungssystems zugeordnet wird.The method described here is therefore based, among other things, on providing at least a first hierarchical level and at least a second hierarchical level, the hierarchical levels being in exchange with one another, in particular in terms of data technology, so that each individual hierarchical level is assigned at least one specific function for controlling and / or regulating the control system becomes.

Unter einer „Hierarchieebene des Steuerungssystems“ kann, unter anderem, eine Anordnung von Speichern einer Rechnerarchitektur aus Sicht eines Hauptprozessors verstanden werden, wobei Hierarchieebenen durch die Höhe der Zugriffsgeschwindigkeit, sinkende Kosten und/oder steigender Speicherkapazität und/oder steigender Zugriffseinheit geordnet sein können.A “hierarchical level of the control system” can be understood, among other things, to mean an arrangement of memories of a computer architecture from the point of view of a main processor, whereby hierarchical levels can be ordered by the level of the access speed, falling costs and / or increasing storage capacity and / or increasing access unit.

Auch kann man im Sinne der Erfindung unter dem Begriff einer „Hierarchieebene“ zumindest einen Sicherheitsbaustein verstehen. Ein „Sicherheitsbaustein“ kann als ein Sicherheitszertifikat verstanden werden (was jedoch nicht zwangsläufig ist). Die Sicherheitsbausteine können unter einer Ordnung (einer Hierarchie) oder innerhalb einer Ordnungsstufe (also einer gemeinsamen Hierarchiestufe) angeordnet sein. Mit anderen Worten sind dann die Sicherheitsbausteine nicht hierarchisch aufgebaut. Sie entsprechen, in zumindest einer Ausführungsform, parallel aufgebauten Sicherheitsszenarien.In the context of the invention, the term “hierarchy level” can also be understood to mean at least one security module. A "safety module" can be understood as a safety certificate (but this is not necessarily). The safety modules can be arranged under an order (a hierarchy) or within an order level (i.e. a common hierarchy level). In other words, the safety modules are then not structured hierarchically. In at least one embodiment, they correspond to security scenarios set up in parallel.

Bei einer Speicherhierarchie kann es sich um ein Prozessorregister, einen Prozessorcache, einen Arbeitsspeicher, einen Distributed Memory, einen Massenspeicher und/oder einen Wechseldatenträger handeln.A memory hierarchy can be a processor register, a processor cache, a main memory, a distributed memory, a mass storage device and / or a removable storage medium.

Auch können verschiedene Speicherebenen in einer Datenbank des Steuerungssystems je nach ihrer Geschwindigkeit als Primärspeicher, Sekundärspeicher oder Tertiärspeicher bezeichnet werden.Different storage levels in a database of the control system can also be designated as primary storage, secondary storage or tertiary storage, depending on their speed.

Die einzelnen Hierarchieebenen sind durch oder innerhalb zumindest eines elektronischen Bauelements des Steuerungssystems abgebildet oder können dadurch abgebildet werden, wobei jede der Hierarchieebenen eine Sicherheitshierarchieebene ist.The individual hierarchy levels are mapped by or within at least one electronic component of the control system or can be mapped thereby, each of the hierarchy levels being a security hierarchy level.

Eine „Sicherheitshierarchieebene“ ist eine solche Hierarchieebene, welche Bedingungen für die Konstruktion eines Sicherheitsmechanismus in softwaretechnischer und/oder strukturell haptischer Sicht (durch eine Konstruktion und Ausführung eines Mikrochips) erzeugt werden.A “security hierarchy level” is a hierarchy level that creates conditions for the construction of a security mechanism in terms of software technology and / or structurally haptic (through the construction and execution of a microchip).

Gemäß zumindest einer Ausführungsform bildet jede Hierarchieebene eine separate, abgeschlossene Sicherheitsstufe mit jeweils eigenem Vertrauensanker für die jeweiligen Hierarchiestufen des Steuerungssystems.According to at least one embodiment, each hierarchical level forms a separate, self-contained security level, each with its own Trust anchor for the respective hierarchy levels of the control system.

Ein Vertrauensanker kann ein Zertifikat zum Beispiel einer Stammzertifizierungsinstanz sein oder durch eine solche Instanz erzeugt werden, sodass als Stammzertifikat oder Wurzelzertifikat diese dann den Vertrauensanker der jeweiligen Infrastruktur zum Beispiel der jeweiligen Hierarchie oder Hierarchieordnung darstellt.A trust anchor can be a certificate of a root certification authority, for example, or it can be generated by such an authority so that, as a root certificate or root certificate, this then represents the trust anchor of the respective infrastructure, for example of the respective hierarchy or hierarchy order.

Insbesondere ist so sichergestellt, dass im Falle einer von einer Überprüfungsinstanz, beispielsweise einer Firmware erkannte kompromittierte Funktion einer einzelnen oder mehrerer Hierarchien die Gesamtintegrität des Systems nicht beeinträchtigt wird, da in diesem Fall nur die kompromittierte Funktion und der dieser Funktion eindeutig zugeordnete Vertrauensanker, insbesondere eine Hierarchie, identifiziert und/oder abgeschaltet wird.In particular, this ensures that in the case of a compromised function of a single or multiple hierarchies recognized by a checking instance, for example firmware, the overall integrity of the system is not impaired, since in this case only the compromised function and the trust anchor clearly assigned to this function, in particular a Hierarchy, identified and / or switched off.

Das hier beschriebene System und insbesondere eine Datenbank des Systems und/oder einzelne Hierarchieebenen des hier beschriebenen Systems (sogar eventuell bezogen auf einzelne Datensätze des Systems) gelten als dann kompromittiert, wenn Daten manipuliert sein könnten und wenn der Eigentümer (z. B. der Administrator) des Systems keine Kontrolle über die korrekte Funktionsweise oder den korrekten Inhalt mehr hat bzw. einen Angreifer ein anderes Ziel der Manipulation erreicht hat.The system described here and in particular a database of the system and / or individual hierarchy levels of the system described here (even possibly related to individual data records of the system) are considered to be compromised if data could be manipulated and if the owner (e.g. the administrator ) the system no longer has control over the correct functioning or the correct content or an attacker has achieved another manipulation goal.

Mit anderen Worten wird es daher durch die oben genannte Erfindung möglich, dass das System zum Beispiel ungestört oder in einer Art Notfallmodus weiterläuft, obwohl entlang der Sicherheitsschnur ausgehend von dem nicht mehr vertrauenswürdigen Verankerungselement eine unzulässige Veränderung, das heißt eine Kompromittierung, festgestellt wurde.In other words, the above-mentioned invention makes it possible, for example, for the system to continue to run undisturbed or in a kind of emergency mode, although an impermissible change, i.e. a compromise, was found along the safety cord starting from the no longer trustworthy anchoring element.

Insbesondere handelt es sich bei einer „separaten“ abgeschlossenen Sicherheitshierarchie um eine solche Hierarchie, insbesondere Hierarchieebene, welche zum Beispiel im Falle des Feststellens einer Kompromittierung einen Sicherheitsmechanismus auslöst, der jedoch im Wesentlichen keine, vorzugsweise keinerlei, Auswirkungen auf eine zweite, dritte oder vierte Security-Sicherheitshierarchie hat.In particular, a “separate” closed security hierarchy is such a hierarchy, in particular a hierarchy level, which, for example, if a compromise is detected, triggers a security mechanism which, however, has essentially no, preferably no effects on a second, third or fourth security -Security hierarchy has.

Die übrigen, nicht kompromittierten Sicherheitshierarchien, können daher, wie obig bereits dargestellt, unabhängig voneinander oder auch zusammen die Funktionsfähigkeit des Gesamtsystems erhalten. Mit anderen Worten, das Gesamtsystem, also das Steuerungssystem, läuft mit im Wesentlichen unveränderten Betriebswerten und/oder mit entsprechend angepassten Betriebswerten weiter. Eine Einstellung des Gesamtbetriebs des Steuerungssystems aufgrund einer innerhalb einer einzelnen oder mehreren Hierarchien festgestellten Sicherheitskompromittierung führt daher gerade nicht zu einer Gesamtkompromittierung des gesamten Steuerungs- und Hierarchiesystems des Steuerungssystems.The remaining, uncompromised security hierarchies can therefore, as already shown above, maintain the functionality of the overall system independently of one another or also together. In other words, the overall system, that is to say the control system, continues to run with essentially unchanged operating values and / or with correspondingly adjusted operating values. A cessation of the overall operation of the control system on the basis of a security compromise ascertained within a single or multiple hierarchies therefore does not lead to an overall compromise of the entire control and hierarchy system of the control system.

Gemäß zumindest einer Ausführungsform umfasst das Verfahren zum Betreiben eines industriellen Steuerungssystems, wie eines Energieerzeugungssystems und Übertragungssystems und/oder eines Fertigungssystems zumindest die Schritte, in denen zumindest eine Hierarchieebene sowie zumindest eine zweite Hierarchieebene bereitgestellt werden, wobei beide Hierarchieebenen in datentechnischem Austausch miteinander stehen, sodass jede einzelne Hierarchieebene zumindest eine bestimmte Funktion zu einem Steuern und/oder einer Regelung des Steuerungssystems zugeordnet wird und weiter, wobei die einzelnen Hierarchieebenen durch oder innerhalb zumindest eines elektronischen Bauelements des Steuerungssystems abgebildet sind oder abgebildet werden und weiter, wobei jede der Hierarchieebenen eine Sicherheitshierarchieebene ist. Dabei sei jedoch erwähnt, dass daneben es auch möglich ist, dass solche Hierarchieebenen bestehen können, welche sich von einer Sicherheitshierarchieebene unterscheiden und damit keinen Vertrauensanker aufweisen.According to at least one embodiment, the method for operating an industrial control system, such as a power generation system and transmission system and / or a manufacturing system, comprises at least the steps in which at least one hierarchical level and at least one second hierarchical level are provided, both hierarchical levels being in data exchange with one another, so that each individual hierarchical level is assigned at least one specific function for controlling and / or regulating the control system and further, the individual hierarchical levels being or being mapped by or within at least one electronic component of the control system and further, with each of the hierarchical levels being a safety hierarchical level . It should be mentioned, however, that it is also possible that such hierarchical levels may exist which differ from a security hierarchical level and thus do not have an anchor of trust.

Jede Hierarchieebene bildet eine separate, abgeschlossene Sicherheitsstufe mit jeweils eigenem Vertrauensanker für die jeweiligen Hierarchiestufen des Steuerungssystems, sodass im Falle einer von einer Überprüfungsinstanz, beispielsweise einer Firmware, erkannten kompromittierten Funktion, eine einzelne oder mehrere Hierarchien die Gesamtintegrität des Systems nicht beeinträchtigt wird, da in diesem Fall nur die kompromittierte Funktion und der dieser Funktion eindeutig zugeordneten Vertrauensanker, insbesondere einer Hierarchie, identifiziert und/oder abgeschaltet wird. In dieser Anmeldung werden im Übrigen „Hierarchie“ und „Hierarchieebene“ synonymisch verwendet.Each hierarchical level forms a separate, self-contained security level, each with its own trust anchor for the respective hierarchical levels of the control system, so that in the event of a compromised function recognized by a checking authority, for example firmware, one or more hierarchies does not impair the overall integrity of the system, since in in this case only the compromised function and the trust anchor uniquely assigned to this function, in particular a hierarchy, is identified and / or switched off. In this application, “hierarchy” and “hierarchy level” are used synonymously.

Gemäß zumindest einer Ausführungsform ist zumindest einem, vorzugsweise jedem, Nutzungsvorgang, insbesondere einem Sicherheitsboot und/oder einer Sicherheitsspeicherung oder dergleichen, zumindest einer Sicherheitshierarchieebene zugeordnet.According to at least one embodiment, at least one, preferably each, use process, in particular a safety boat and / or a safety storage device or the like, is assigned to at least one safety hierarchy level.

Denkbar ist, dass ein entsprechender Nutzungsvorgang während der gesamten Nutzungszeit innerhalb einer Sicherheitshierarchie, vorzugsweise einer einzigen Sicherheitshierarchie oder aber über zwei, drei oder mehrere Sicherheitshierarchien, von Statten geht.It is conceivable that a corresponding usage process takes place during the entire usage time within a security hierarchy, preferably a single security hierarchy or else over two, three or more security hierarchies.

Gemäß zumindest einer Ausführungsform bleibt im Falle des Feststellens einer Sicherheitslücke, also dem Feststellen einer kompromittierten Funktion die übrigen Funktionen, welche auf einem anderen Vertrauensanker als die kompromittierte Funktion beruhen, in ihrer Funktion und Vertrauenswürdigkeit unberührt. Dies stellt eine Ausführungsform einer separaten, abgeschlossenen Sicherheitsstufe dar.According to at least one embodiment, if a security gap is found, that is to say a compromised one is found Function the other functions, which are based on a different trust anchor than the compromised function, remain unaffected in their function and trustworthiness. This represents an embodiment of a separate, locked security level.

Die übrigen Hierarchieebenen oder Teile davon bleiben daher im Falle einer Feststellung einer Kompromittierung in ihrer Vertrauenswürdigkeit uneingeschränkt, sodass auf Basis dieser jeweils noch uneingeschränkt vertrauten Vertrauensanker, die diesen Vertrauensankern und/oder mit den entsprechenden Hierarchieebenen verbundenen Vertrauensankern erzeugten Systemfunktion zumindest teilweise, vorzugsweise jedoch vollständig erhalten bleibt.The remaining hierarchical levels or parts thereof therefore remain unrestricted in their trustworthiness in the event that a compromise is found, so that on the basis of these trust anchors, which are still unrestrictedly trusted, the system functions generated by these trust anchors and / or the trust anchors associated with the corresponding hierarchical levels are at least partially, but preferably completely, retained remains.

Gemäß zumindest einer Ausführungsform ist jeder Funktion des Steuerungssystems oder eines Teils davon oder einer Hierarchieebene des Steuerungssystems zumindest ein, vorzugsweise jedoch, genau ein, Vertrauensanker zugeordnet.According to at least one embodiment, each function of the control system or a part thereof or a hierarchical level of the control system is assigned at least one, but preferably exactly one, trust anchor.

Gemäß zumindest einer Ausführungsform ist zumindest eine Funktion über zumindest zwei verschiedene Hierarchieebenen hinweg definiert, beruht jedoch auf einem, vorzugsweise genau einem, Vertrauensanker.According to at least one embodiment, at least one function is defined across at least two different hierarchical levels, but is based on one, preferably exactly one, trust anchor.

Unter einer „Funktion“ kann im Sinne der vorliegenden Erfindung eine Nutzungsfunktion, wie eine Abspeicherung von Daten oder eine Verwendung von Daten zur Ausübung eines Betriebs des industriellen Steuerungssystems sein.In the context of the present invention, a “function” can be a usage function, such as the storage of data or the use of data to carry out an operation of the industrial control system.

Alternativ oder zusätzliche kann eine Funktion auch auf zwei oder mehr Vertrauensankern basieren. Denkbar ist, dass einer Anzahl von n-Funktionen m-Vertrauensanker zugeordnet sind. Die Platzhalter n und m sind ganze positive Zahlen größer Null.Alternatively or additionally, a function can also be based on two or more trust anchors. It is conceivable that m trust anchors are assigned to a number of n functions. The placeholders n and m are whole positive numbers greater than zero.

Gemäß zumindest einer Ausführungsform handelt es sich bei der Funktion um einen Sicherungsboot, eine abgesicherte Kommunikation, eine Sicherungsspeicherung und/oder um die Feststellung einer Geräteidentität oder dergleichen des Steuerungssystems oder Teilen davon.According to at least one embodiment, the function is a security boat, secured communication, security storage and / or the establishment of a device identity or the like of the control system or parts thereof.

Gemäß zumindest einer Ausführungsform wird ein Root oder Chain of Trust innerhalb des Steuerungssystems mittels zumindest einer der Funktionen eFuses, physically un cloneable function (PUF), trusted platform module (TPM) und/oder package assertions (Betriebssystemmechanismus) gebildet. Denkbar ist, dass ein Vertrauensanker, auch als „Root“ bezeichnet, von einer eine Sicherheitskette (zu Englisch: „Chain of trust“) aufgebaut wird. Hierauf aufbauend kann ein bestimmtes Sicherheitsmerkmal ausgeprägt werden.According to at least one embodiment, a root or chain of trust is formed within the control system by means of at least one of the functions eFuses, physically un cloneable function (PUF), trusted platform module (TPM) and / or package assertions (operating system mechanism). It is conceivable that a trust anchor, also referred to as “root”, is established by a security chain (in English: “Chain of trust”). Building on this, a specific security feature can be developed.

Jeder Security Use-Case, zum Beispiel jeder Vertrauenspfad, kann mit einer eigenen Root of Trust realisiert werden, dabei bieten sich verschieden Technologien an. Beispiele:

  1. 1. eFuses: One-Time-Programmable für Secure Boot mittels Public Key Authorization,
  2. 2. Physically unclonable function (PUF): Eineindeutige Geräteidentität
  3. 3. Trusted Platform Module (TPM): Secure Storage, Secure Communications, Geräteidentität
  4. 4. Package Assertions (Betriebssystem-Mechanismus von Ubuntu Core): Software Pakete werden Server-seitig signiert. Dieser Mechanismus setzt vertrauenswürdige Sandbox Applikationen um. Softwarepakete werden außerhalb des Automatisierungssystems, z. B. bereits im Entwicklungsprozess signiert. Das Automatisierungssystem prüft die Signatur, wenn das Gerät das Softwarepaket startet.
Each security use case, for example each trust path, can be implemented with its own root of trust, with different technologies being available. Examples:
  1. 1. eFuses: One-Time-Programmable for Secure Boot using Public Key Authorization,
  2. 2. Physically unclonable function (PUF): Unique device identity
  3. 3. Trusted Platform Module (TPM): Secure Storage, Secure Communications, Device Identity
  4. 4. Package assertions (Ubuntu Core operating system mechanism): Software packages are signed on the server side. This mechanism implements trustworthy sandbox applications. Software packages are used outside of the automation system, e.g. B. already signed in the development process. The automation system checks the signature when the device starts the software package.

Der Sicherheitsweg umfasst daher nicht nur den Vertrauensanker, sondern alle weiteren Funktionen und/oder Hierarchieebenen und/oder Programm- und Datenpakete auf dem Weg zur Ausführung einer Funktion, sodass eine Kompromittierung auch eine Erschütterung der Vertrauensbasis in einen jeweiligen vorhandenen Vertrauensanker bildet. Mit anderen Worten ist der Vertrauensanker (Root of Trust) mit den kompromittierten Daten und/oder dem Ladenpaket unmittelbar entlang des Sicherheitsweges (Chain of Trust) verbunden.The security path therefore not only includes the trust anchor, but all other functions and / or hierarchical levels and / or program and data packages on the way to the execution of a function, so that a compromise also shakes the trust base in a respective existing trust anchor. In other words, the root of trust is connected to the compromised data and / or the store package directly along the security path (chain of trust).

Gemäß zumindest einer Ausführungsform wird nach Feststellung einer kompromittierten Funktion zumindest eine neue Chain of Trust Basis eines bereits vorhandenen Sicherheitsankers mittels zumindest einer der Funktionen E-Fuses, physically uncloneable function (PUF), trusted platform module (TPM) und/oder package assertions (Betriebssystemmechanismus) gebildet.According to at least one embodiment, after a compromised function has been determined, at least one new chain of trust basis of an already existing security anchor is created using at least one of the functions e-fuses, physically uncloneable function (PUF), trusted platform module (TPM) and / or package assertions (operating system mechanism ) educated.

Mit anderen Worten ist in einer hier vorgestellten optionalen Ausführungsform vorgeschlagen, dass eine kompromittierende Funktion einen bildhaft gedachten und datentechnischen Umweg um den kompromittierten Bereich, beispielsweise das kompromittierte Datenpaket, nimmt, sodass ein Vertrauensanker einem neuen Datenpaket entlang des Sicherungsweges zugeordnet werden kann.In other words, in an optional embodiment presented here, it is proposed that a compromising function take an imaginary and data-technical detour around the compromised area, for example the compromised data packet, so that a trust anchor can be assigned to a new data packet along the security path.

Gemäß zumindest einer Ausführungsform handelt es sich bei dem industriellen Steuerungssystem um einen Fertigungsroboter, um eine Werkzeugmaschine und/oder um ein Steuerungsgerät in einem Fahrzeug.According to at least one embodiment, the industrial control system is a production robot, a machine tool and / or a control device in a vehicle.

Des Weiteren betrifft die vorliegende Erfindung ein industrielles Steuerungssystem, wie ein Energieerzeugungs- und Übertragungssystem und/oder ein Fertigungssystem.Furthermore, the present invention relates to an industrial control system such as a Power generation and transmission system and / or a manufacturing system.

Insbesondere sind alle für das hier beschriebene Verfahren offenbarten Merkmale auch für die hier beschriebene Steuerungssysteme offenbart und umgekehrt.In particular, all of the features disclosed for the method described here are also disclosed for the control systems described here, and vice versa.

Dabei umfasst das industrielle Steuerungssystem zumindest eine Hardwarekomponente, welche zumindest eine, vorzugsweise zumindest zwei, Hierarchieebenen abbildet und/oder definiert oder zumindest ein Teil derer ist, wobei jede der Hierarchieebenen eine Sicherheitshierarchieebene ist.The industrial control system comprises at least one hardware component which maps and / or defines at least one, preferably at least two, hierarchical levels or is at least part of them, each of the hierarchical levels being a security hierarchical level.

Das industrielle Steuerungssystem ist insbesondere auch dadurch gekennzeichnet, dass jede Hierarchieebene eine separate, abgeschlossene Sicherheitsstufe mit jeweils eigenem Vertrauensanker für die jeweiligen Hierarchiestufen des Steuerungssystems bildet, sodass im Falle einer von einer Prüfungsinstanz, beispielsweise einer Firmware, erkannte kompromittierte Funktion einer einzelnen oder mehrerer Hierarchien die Gesamtintegrität des Systems nicht beeinträchtig wird, da in diesem Fall nur die kompromittierte Funktion und der dieser Funktion eindeutig zugeordnete Vertrauensanker, insbesondere eine Hierarchie, identifizierbar und/oder abschaltbar ist. Dabei umfasst das hier beschriebene Steuerungssystem die gleichen Ausgestaltungen und optionalen Merkmale wie das obig beschriebene Verfahren, sodass das hier beschriebene Steuerungssystem insbesondere dazu eingerichtet und dafür vorgesehen ist, zumindest das obig beschriebene Verfahren gemäß dem Patentanspruch 1 durchzuführen.The industrial control system is particularly characterized in that each hierarchical level forms a separate, closed security level, each with its own trust anchor for the respective hierarchy levels of the control system, so that in the case of a compromised function of an individual or several hierarchies recognized by a checking instance, for example firmware, the The overall integrity of the system is not impaired, since in this case only the compromised function and the trust anchor clearly assigned to this function, in particular a hierarchy, can be identified and / or switched off. The control system described here comprises the same configurations and optional features as the method described above, so that the control system described here is set up and provided in particular to carry out at least the method described above according to claim 1.

Im Weiteren wird die hier beschriebene Erfindung anhand von Figuren und Ausführungsformen weiter beschrieben.The invention described here is further described below with reference to figures and embodiments.

Die 1A bis 1D zeigen verschiedene Ausführungsformen eines hier beschriebenen Verfahrens zu dem Betreiben eines industriellen Steuerungssystems, bei welchem jeweils ein Hardwaresicherheitskette (Chain of Trust) eines möglichen Trust-Szenarios dargestellt wird, wobei die einzelnen 1A bis 1D dargestellten Trust-Szenarios miteinander auch kombiniert werden können.The 1A to 1D show various embodiments of a method described here for operating an industrial control system in which a hardware security chain (chain of trust) of a possible trust scenario is represented, the individual 1A to 1D The trust scenarios shown can also be combined with one another.

In den Figuren sind gleiche oder gleich wirkende Bestandteile mit den gleichen Bezugszeichen versehen, auch wenn manche Bestandteile übertrieben groß dargestellt sein mögen.In the figures, identical or identically acting components are provided with the same reference symbols, even if some components may be shown in an exaggerated manner.

In der 1A ist ein erstes Trust-Szenario „Secure boot“ (ein Trust Scenario kann eine Hierarchieebene sein oder ein Teil einer solchen darstellen) dargestellt, dieses Trust-Szenario beginnt mit einer Root of Trust technology, wie den „eFuses“, wobei im Anschluss daran eine Public Authorization stattfindet, daraufhin ein „First Stage Boot Loader“ initialisiert wird und im Anschluss daran ein „Second Stage Boot Loader“ initialisiert wird, sodass dies in einem‟ Trusted Operating System‟ mündet.In the 1A a first trust scenario “Secure boot” (a trust scenario can be a hierarchical level or represent part of such) is shown. This trust scenario begins with a root of trust technology, such as the “eFuses”, followed by a Public authorization takes place, after which a “First Stage Boot Loader” is initialized and then a “Second Stage Boot Loader” is initialized, so that this leads to a “Trusted Operating System”.

Mit anderen Worten zeigt die 1A einen entsprechenden Sicherheitspfad, beginnend mit dem Block 1A1 (eFuses) und darauf konsekutiv folgend den Blöcken 1A2 („Public Authorization“) und 1A3 („First Stage Boot Loader“), 1A4 („Second Stage Boot Loader“) und letztlich in dem Block 1A5 („Trusted Operating System“).In other words it shows 1A a corresponding safety path starting with the block 1A1 (eFuses) and then consecutively following the blocks 1A2 ("Public Authorization") and 1A3 ("First Stage Boot Loader"), 1A4 (“Second Stage Boot Loader”) and ultimately in the block 1A5 ("Trusted Operating System").

In der 1B ist ein Trust Szenario „Secure Storage“ gezeigt, welches zunächst in dem Block 1B1 (TPM) beginnt und dann einer Speicherung eines ersten Route Key und/oder Boot Key gemäß dem Block 1B2 mündet. Im darauf Folgenden wird entweder ein Block 1B3 (Storage Container), eine Secure Storage (Block 1B4) durchgeführt, oder aber unmittelbar nach dem Block 1B2 ein Private Key Handling (Block 1B5) und über dieses Key Handling eine sichere Kommunikation „Secure Information Communication“ (Block 1B6) erreicht.In the 1B a trust scenario "Secure Storage" is shown, which is initially in the block 1B1 (TPM) begins and then a storage of a first route key and / or boot key according to the block 1B2 flows out. The following is either a block 1B3 (Storage Container), a Secure Storage (Block 1B4 ) or immediately after the block 1B2 a private key handling (block 1B5 ) and via this key handling a secure communication "Secure Information Communication" (block 1B6 ) reached.

In einem Trust-Szenario „Identity“ wird in einem Block 1C1 ein PUF durchgeführt, danach ein Schlüssel erzeugt oder aus dem PUF abgeleitet (Siehe Block 1C2) und darauffolgend in einem Block 1C3 eine Geräteidentifikation, Geräteidentität festgestellt.In a trust scenario "Identity" is in a block 1C1 a PUF is carried out, then a key is generated or derived from the PUF (see block 1C2 ) and then in a block 1C3 a device identification, device identity established.

In der 1D ist ein Generic Trust Szenario dargestellt, bei dem im Block 1D1 (Generic Hardware (Root of Trust) zunächst ein Sicherheitsanker in der Hardware definiert wird. Anschließend wird eine Vertrauenskette, insbesondere generischer Form, auf Basis des Blocks 1D2 erzeugt und darauffolgend in einem Block 1D3 ein neues Sicherheitsfeature „New Security Feature“ erzeugt ist.In the 1D a generic trust scenario is shown in which the block 1D1 (Generic Hardware (Root of Trust) first a security anchor is defined in the hardware. Then a chain of trust, in particular generic form, based on the block 1D2 generated and subsequently in a block 1D3 a new security feature "New Security Feature" has been created.

Wie obig dargestellt können daher verschiedene Hardware Root of Trust eines jeden Trust-Szenarios beliebig kombiniert sein. Zum Beispiel kann eine Gerätidentität sowohl mit TPM, als auch mit PUF realisiert werden.As shown above, different hardware roots of trust of each trust scenario can therefore be combined as desired. For example, a device identity can be implemented with both TPM and PUF.

Kurz zusammengefasst kann jeder Security Use-Case mit einer eigenen Root of Trust realisiert werden, dabei bieten
sich verschieden Technologien an. Beispiele:

  1. 1. eFuses: One-Time-Programmable für Secure Boot mittels Public Key Authorization,
  2. 2. Physically unclonable function (PUF): Eineindeutige Geräteidentität
  3. 3. Trusted Platform Module (TPM): Secure Storage, Secure Communications, Geräteidentität
  4. 4. Package Assertions (Betriebssystem-Mechanismus von Ubuntu Core): Software Pakete werden Server-seitig signiert. Dieser Mechanismus setzt vertrauenswürdige Sandbox Applikationen um. Softwarepakete werden außerhalb des Automatisierungssystems, z. B. bereits im Entwicklungsprozess signiert. Das Automatisierungssystem prüft die Signatur, wenn das Gerät das Softwarepaket startet.
In a nutshell, every security use case can be implemented with its own root of trust
different technologies. Examples:
  1. 1. eFuses: One-Time-Programmable for Secure Boot using Public Key Authorization,
  2. 2. Physically unclonable function (PUF): Unique device identity
  3. 3. Trusted Platform Module (TPM): Secure Storage, Secure Communications, Device Identity
  4. 4. Package assertions (Ubuntu Core operating system mechanism): Software packages are signed on the server side. This mechanism implements trustworthy sandbox applications. Software packages are used outside of the automation system, e.g. B. already signed in the development process. The automation system checks the signature when the device starts the software package.

Die Erfindung ist nicht durch die Beschreibung anhand der Ausführungsbeispiele beschränkt, vielmehr erfasst die Erfindung jedes neue Merkmal sowie jede Kombination von Merkmalen, was insbesondere jede Kombination von Merkmalen in den Patentansprüchen beinhaltet, auch wenn dieses Merkmal oder diese Kombination selbst nicht explizit in den Patentansprüchen oder den Ausführungsbeispielen angegeben ist.The invention is not limited by the description based on the exemplary embodiments, rather the invention covers every new feature and every combination of features, which in particular includes every combination of features in the patent claims, even if this feature or this combination itself is not explicitly stated in the patent claims or the exemplary embodiments is given.

Die Anmelderin behält sich vor, sämtliche in den Anmeldungsunterlagen offenbarten Merkmale als erfindungswesentlich zu beanspruchen, sofern sie einzeln oder in Kombination gegenüber dem Stand der Technik neu sind. Es wird weiterhin darauf hingewiesen, dass in den einzelnen Figuren auch Merkmale beschrieben wurden, welche für sich genommen vorteilhaft sein können. Der Fachmann erkennt unmittelbar, dass ein bestimmtes in einer Figur beschriebenes Merkmal auch ohne die Übernahme weiterer Merkmale aus dieser Figur vorteilhaft sein kann. Ferner erkennt der Fachmann, dass sich auch Vorteile durch eine Kombination mehrerer in einzelnen oder in unterschiedlichen Figuren gezeigter Merkmale ergeben können.The applicant reserves the right to claim all features disclosed in the application documents as essential to the invention, provided that they are new to the state of the art, individually or in combination. It is further pointed out that features have also been described in the individual figures, which can be advantageous in themselves. The person skilled in the art immediately recognizes that a certain feature described in a figure can also be advantageous without the adoption of further features from this figure. Furthermore, the person skilled in the art recognizes that advantages can also result from a combination of several features shown in individual or in different figures.

Claims (10)

Verfahren zum Betreiben eines industriellen Steuerungssystems (1), wie eines Energieerzeugungs- und Übertragungssystems und/oder eines Fertigungssystems, umfassend die folgenden Schritte: Bereitstellen zumindest einer ersten Hierarchieebene (11) und vorzugsweise sowie zumindest einer zweiten Hierarchieebene (12), wobei beide Hierarchieebenen (11, 12), insbesondere in datentechnischem Austausch miteinander stehen, sodass jeder einzelnen Hierarchieebene (11, 12) zumindest eine bestimmte Funktion zum Steuern und/oder Regeln des Steuerungssystems zugeordnet wird, und weiter wobei die einzelnen Hierarchieebenen (11, 12) durch oder innerhalb zumindest eines elektronischen Bauelements des Steuerungssystems (1) abgebildet sind oder abgebildet werden, und weiter wobei jede der Hierarchieebenen (11, 12) eine Sicherheits-Hierarchieebene ist, dadurch gekennzeichnet, dass jede Hierarchieebene (11, 12) eine separate, abgeschlossene Sicherheitsstufe mit jeweils eigenem Vertrauensanker für die jeweiligen Hierarchiestufe (11, 12) des Steuerungssystems (1) bildet, sodass im Falle einer von einer Überprüfungsinstanz, beispielsweise einer Firmware, erkannten kompromittierten Funktion einer einzelnen oder mehrerer Hierarchien die Gesamtintegrität des Systems nicht beeinträchtigt wird, da in diesem Fall nur die kompromittierte Funktion und der dieser Funktion eindeutig zugeordnete Vertrauensanker, insbesondere einer Hierarchie, identifiziert und/oder abgeschaltet wird.A method for operating an industrial control system (1), such as a power generation and transmission system and / or a manufacturing system, comprising the following steps: providing at least one first hierarchical level (11) and preferably as well as at least one second hierarchical level (12), both hierarchical levels ( 11, 12), in particular are in data exchange with each other, so that at least one specific function for controlling and / or regulating the control system is assigned to each individual hierarchical level (11, 12), and furthermore, the individual hierarchical levels (11, 12) through or within at least one electronic component of the control system (1) are mapped or mapped, and further wherein each of the hierarchy levels (11, 12) is a security hierarchy level, characterized in that each hierarchy level (11, 12) has a separate, self-contained security level own anchor of trust for the respective igen hierarchy level (11, 12) of the control system (1), so that in the case of a compromised function of a single or multiple hierarchies recognized by a checking instance, for example firmware, the overall integrity of the system is not impaired, since in this case only the compromised function and the trust anchor uniquely assigned to this function, in particular a hierarchy, is identified and / or switched off. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass jedem Nutzungsvorgang, insbesondere einem Sicherheitsboot und/oder einer Sicherungsspeicherung oder dergleichen, zumindest eines Sicherheits-Hierarchieebene (11, 12) zugeordnet ist.Procedure according to Claim 1 , characterized in that at least one security hierarchy level (11, 12) is assigned to each usage process, in particular a security boat and / or a security memory or the like. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass im Falle des Feststellens einer Sicherheitslücke, also dem Feststellen einer kompromittierten Funktion, die übrigen Funktionen, welche auf einem anderen Vertrauensanker als die kompromittierte Funktion beruhen, in Ihrer Funktion und Vertrauenswürdigkeit unberührt bleiben.Procedure according to Claim 1 or 2 , characterized in that if a security gap is found, i.e. a compromised function is found, the remaining functions, which are based on a different trust anchor than the compromised function, remain unaffected in terms of their function and trustworthiness. Verfahren nach zumindest einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass jede Funktion zumindest einem, vorzugsweise jedoch genau einem, Vertrauensanker zugeordnet sind.Method according to at least one of the preceding claims, characterized in that each function is assigned to at least one, but preferably exactly one, trust anchor. Verfahren nach zumindest einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zumindest eine Funktion über zumindest zwei verschiedene Hierarchieebenen (11, 12) hinweg definiert ist, jedoch auf einem, vorzugsweise genau einem, Vertrauensanker beruht.Method according to at least one of the preceding claims, characterized in that at least one function is defined across at least two different hierarchical levels (11, 12), but is based on one, preferably exactly one, trust anchor. Verfahren nach zumindest einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass es sich bei der Funktion um einen Sicherungsboot, eine abgesicherte Kommunikation, eine Sicherungsspeicherung und/oder um die Feststellung einer Geräteidentität oder dergleichen des Steuerungssystems (1) oder Teilen davon handelt.Method according to at least one of the preceding claims, characterized in that the function is a security boat, secured communication, security storage and / or the determination of a device identity or the like of the control system (1) or parts thereof. Verfahren nach dem vorhergehenden Anspruch, dadurch gekennzeichnet, dass zumindest ein Root oder Chain of Trustinnerhalb des Steuerungssystems mittels zumindest einer der Funktionen eFuses, Physically unclonable function (PUF), Trusted Platform Module (TPM) und/oder Package Assertions (Betriebsystem-Mechanismus) gebildet wird.Method according to the preceding claim, characterized in that at least one root or chain of trust within the control system by means of at least one of the functions eFuses, Physically unclonable function (PUF), Trusted Platform Module (TPM) and / or package assertions (operating system mechanism) is formed. Verfahren nach zumindest einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass nach Feststellung einer kompromittierten Funktion zumindest eine neue Chain of Trust auf Basis eines bereits vorhandenen Sicherheitsankers mittels zumindest einer der Funktionen eFuses, Physically unclonable function (PUF), Trusted Platform Module (TPM) und/oder Package Assertions (Betriebsystem-Mechanismus) gebildet wird.Method according to at least one of the preceding claims, characterized in that after a compromised function has been determined, at least one new chain of trust based on an already existing security anchor by means of at least one of the functions eFuses, Physically unclonable function (PUF), Trusted Platform Module (TPM) and / or package assertions (operating system mechanism) are formed. Verfahren nach zumindest einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass es sich bei dem industriellen Steuerungssystem (1) um einen Fertigungsroboter, um eine Werkzeugmaschine und/oder um ein Steuerungsgerät in einem Fahrzeug handelt.Method according to at least one of the preceding claims, characterized in that the industrial control system (1) is a production robot, a machine tool and / or a control device in a vehicle. Industrielles Steuerungssystem (1), wie eines Energieerzeugungs- und Übertragungssystems und/oder eine Fertigungssystem, umfassend zumindest eine Hardwarekomponente (3), welche zumindest eine, vorzugsweise zumindest zwei, Hierarchieebenen (11, 12) abbildet und/oder definiert, wobei jede der Hierarchieebenen (11, 12) eine Sicherheits-Hierarchieebene ist, dadurch gekennzeichnet, dass jede Hierarchieebene (11, 12) eine separate, abgeschlossene Sicherheitsstufe mit jeweils eigenem Vertrauensanker für die jeweiligen Hierarchiestufe (11, 12) des Steuerungssystems (1) bildet, sodass im Falle einer von einer Überprüfungsinstanz, beispielsweise einer Firmware, erkannten kompromittierten Funktion einer einzelnen oder mehrerer Hierarchien die Gesamtintegrität des Systems nicht beeinträchtigt wird, da in diesem Fall nur die kompromittierte Funktion und der dieser Funktion eindeutig zugeordnete Vertrauensanker, insbesondere einer Hierarchie, identifizierbar und/oder abschaltbar ist.Industrial control system (1), such as a power generation and transmission system and / or a manufacturing system, comprising at least one hardware component (3) which maps and / or defines at least one, preferably at least two, hierarchical levels (11, 12), with each of the hierarchical levels (11, 12) is a security hierarchical level, characterized in that each hierarchical level (11, 12) forms a separate, self-contained security level, each with its own trust anchor for the respective hierarchical level (11, 12) of the control system (1), so that in the event a compromised function of a single or multiple hierarchies recognized by a checking instance, for example firmware, the overall integrity of the system is not impaired, since in this case only the compromised function and the trust anchor uniquely assigned to this function, in particular a hierarchy, can be identified and / or switched off is.
DE102019217512.0A 2019-11-13 2019-11-13 Method for operating an industrial control system Pending DE102019217512A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102019217512.0A DE102019217512A1 (en) 2019-11-13 2019-11-13 Method for operating an industrial control system
CN202011258996.8A CN112799354A (en) 2019-11-13 2020-11-12 Method for operating an industrial control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019217512.0A DE102019217512A1 (en) 2019-11-13 2019-11-13 Method for operating an industrial control system

Publications (1)

Publication Number Publication Date
DE102019217512A1 true DE102019217512A1 (en) 2021-05-20

Family

ID=75683167

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019217512.0A Pending DE102019217512A1 (en) 2019-11-13 2019-11-13 Method for operating an industrial control system

Country Status (2)

Country Link
CN (1) CN112799354A (en)
DE (1) DE102019217512A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8756417B1 (en) * 2014-02-04 2014-06-17 Sypris Electronics, Llc Multi-level assurance trusted computing platform
US20180091315A1 (en) * 2016-09-27 2018-03-29 Qualcomm Incorporated Revocation and updating of compromised root of trust (rot)
US20180357183A1 (en) * 2015-12-02 2018-12-13 Cryptography Research, Inc. Device with multiple roots of trust

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8756417B1 (en) * 2014-02-04 2014-06-17 Sypris Electronics, Llc Multi-level assurance trusted computing platform
US20180357183A1 (en) * 2015-12-02 2018-12-13 Cryptography Research, Inc. Device with multiple roots of trust
US20180091315A1 (en) * 2016-09-27 2018-03-29 Qualcomm Incorporated Revocation and updating of compromised root of trust (rot)

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Levine, B.: „ Strong security requires multiple roots of trust ". Embedded, June 2019. URL: https://www.embedded.com/strong-security-requires-multiple-roots-of-trust/ (abgerufen am 02.09.2020) *
Levine, B.: „Will the Real Root of Trust Stand Up?". EEWeb, June 2019. URL: https://www.eeweb.com/will-the-real-root-of-trust-stand-up/ (abgerufen am 02.09.2020) *

Also Published As

Publication number Publication date
CN112799354A (en) 2021-05-14

Similar Documents

Publication Publication Date Title
DE69815599T2 (en) Method and device for protecting application data in secure memory areas
DE102009013384B4 (en) System and method for providing a secure application fragmentation environment
EP3012761A1 (en) Protection of software models
DE102016215914A1 (en) Securing a device usage information of a device
DE102018204021A1 (en) Method for exchanging data with a vehicle control unit
WO2018137856A1 (en) Method and device for the computer-supported creation and execution of a control function
EP2367128A1 (en) Device and method for electronic signatures
WO2016037917A1 (en) Device and method for controlling a communication network
EP3696699A1 (en) Secure and flexible firmware updating in electronic devices
EP3413254A1 (en) Method and device for providing a transaction dataset
EP3111609B1 (en) Use of certificates using a positive list
EP3811261B1 (en) Cryptography module and method for operating same
EP3655876B1 (en) Single-chip system, method for operating a single-chip system, and motor vehicle
EP4127994A1 (en) Method and device for securely starting up a container instance
DE102018217431A1 (en) Secure key exchange on one device, especially an embedded device
DE102019217512A1 (en) Method for operating an industrial control system
DE112014004611T5 (en) Control system and authentication device
WO2020020634A1 (en) Controlling a data network with respect to a use of a distributed database
EP3136268A1 (en) Method for analyzing the security of a logic circuit
DE102015107071B3 (en) Device and method for controlling a communication network
DE102019209342A1 (en) Method and transmission device for data transmission between two or more networks
EP3820081A1 (en) Method for performing an authorisation-dependent communication between at least one field device involved in automation technology and an operating device
EP4250146A1 (en) Interaction of physical entities
EP1643336A1 (en) Clear product identification
DE102021125750A1 (en) Computing unit for a vehicle and method and computer program for a computing unit for a vehicle

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed