DE102020120300A1 - Method for detecting any manipulation of an automation component - Google Patents
Method for detecting any manipulation of an automation component Download PDFInfo
- Publication number
- DE102020120300A1 DE102020120300A1 DE102020120300.4A DE102020120300A DE102020120300A1 DE 102020120300 A1 DE102020120300 A1 DE 102020120300A1 DE 102020120300 A DE102020120300 A DE 102020120300A DE 102020120300 A1 DE102020120300 A1 DE 102020120300A1
- Authority
- DE
- Germany
- Prior art keywords
- digital signature
- entity
- automation component
- data
- verification data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
- G05B19/058—Safety, monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
Die Erfindung umfasst ein Netzwerkgerät (NG) mit einer ersten Schnittstelle (SN1) und einer Elektronikeinheit (EE), wobei die erste Schnittstelle (SN1) dazu ausgestaltet ist, Daten, insbesondere Daten von zumindest einem Feldgerät (FG) der Automatisierungstechnik, gemäß einem OPC UA-Protokoll drahtlos zu empfangen, wobei das Netzwerkgerät (NG) dazu ausgestaltet ist, die empfangenen Daten anzuzeigen und/oder mittels der Elektronikeinheit (EE) weiterzuverarbeiten, sowie ein System zum manipulationsfreien Übertragen von Daten eines Feldgeräts (FG) der Automatisierungstechnik, welches das erfindungsgemäße Netzwerkgerät (NG) umfasst.The invention includes a network device (NG) with a first interface (SN1) and an electronic unit (EE), the first interface (SN1) being designed to transmit data, in particular data from at least one field device (FG) of automation technology, in accordance with an OPC To receive the UA protocol wirelessly, the network device (NG) being designed to display the received data and/or process it further by means of the electronics unit (EE), and a system for the manipulation-free transmission of data from a field device (FG) of automation technology, which inventive network device (NG) includes.
Description
Die Erfindung betrifft ein Verfahren zum Detektieren einer etwaigen Manipulation einer Automatisierungskomponente, sowie eine solche Automatisierungskomponente, welche zur Verwendung in dem erfindungsgemäßen Verfahren ausgestaltet ist.The invention relates to a method for detecting any manipulation of an automation component, and to such an automation component which is designed for use in the method according to the invention.
Aus dem Stand der Technik sind bereits Automatisierungskomponenten bekannt geworden, die in industriellen Anlagen zum Einsatz kommen. Beispielsweise werden Feldgeräte als Automatisierungskomponenten eingesetzt, welche in der Prozessautomatisierungstechnik ebenso wie in der Fertigungsautomatisierungstechnik zum Einsatz kommen. Als Feldgeräte werden im Prinzip alle Geräte bezeichnet, die prozessnah eingesetzt werden und die prozessrelevante Informationen liefern oder verarbeiten. So werden Feldgeräte zur Erfassung und/oder Beeinflussung von Prozessgrößen verwendet. Zur Erfassung von Prozessgrößen dienen Messgeräte, bzw. Sensoren. Diese werden beispielsweise zur Druck- und Temperaturmessung, Leitfähigkeitsmessung, Durchflussmessung, pH-Messung, Füllstandmessung, etc. verwendet und erfassen die entsprechenden Prozessvariablen Druck, Temperatur, Leitfähigkeit, pH-Wert, Füllstand, Durchfluss etc. Zur Beeinflussung von Prozessgrößen werden Aktoren verwendet. Diese sind beispielsweise Pumpen oder Ventile, die den Durchfluss einer Flüssigkeit in einem Rohr oder den Füllstand in einem Behälter beeinflussen können. Neben den zuvor genannten Feldgeräten werden unter Automatisierungskomponenten auch Gateways, Edge Devices, Remote I/Os, Funkadapter bzw. allgemein Geräte verstanden, die auf der Feldebene angeordnet sind.Automation components that are used in industrial plants are already known from the prior art. For example, field devices are used as automation components, which are used in process automation technology as well as in production automation technology. In principle, all devices that are used close to the process and that supply or process process-relevant information are referred to as field devices. Thus, field devices are used to record and/or influence process variables. Measuring devices or sensors are used to record process variables. These are used, for example, for pressure and temperature measurement, conductivity measurement, flow measurement, pH measurement, level measurement, etc. and record the corresponding process variables pressure, temperature, conductivity, pH value, level, flow rate, etc. Actuators are used to influence process variables. These are, for example, pumps or valves that can influence the flow of a liquid in a pipe or the fill level in a container. In addition to the field devices mentioned above, automation components are also understood to mean gateways, edge devices, remote I/Os, wireless adapters or devices in general that are arranged at the field level.
Eine Vielzahl solcher Feldgeräte wird von der Endress+Hauser-Gruppe produziert und vertrieben.A large number of such field devices are produced and sold by the Endress+Hauser Group.
In modernen Industrieanlagen sind Feldgeräte in der Regel über Kommunikationsnetzwerke wie beispielsweise Feldbusse (Profibus®, Foundation® Fieldbus, HART®, etc.) mit übergeordneten Einheiten verbunden. Normalerweise handelt es sich bei den übergeordneten Einheiten um Leitsysteme bzw. Steuereinheiten, wie beispielsweise eine SPS (speicherprogrammierbare Steuerung) oder einen PLC (Programmable Logic Controller). Die übergeordneten Einheiten dienen unter anderem zur Prozesssteuerung, Prozessvisualisierung, Prozessüberwachung sowie zur Inbetriebnahme der Feldgeräte. Die von den Feldgeräten, insbesondere von Sensoren, erfassten Messwerte werden über das jeweilige Bussystem an eine (oder gegebenenfalls mehrere) übergeordnete Einheit(en) übermittelt. Daneben ist auch eine Datenübertragung von der übergeordneten Einheit über das Bussystem an die Feldgeräte erforderlich, insbesondere zur Konfiguration und Parametrierung von Feldgeräten sowie zur Ansteuerung von Aktoren.In modern industrial plants, field devices are usually connected to higher-level units via communication networks such as fieldbuses ( Profibus® , Foundation® Fieldbus , HART® , etc.). Normally, the superordinate units are control systems or control units, such as a PLC (programmable logic controller) or a PLC (programmable logic controller). The higher-level units are used, among other things, for process control, process visualization, process monitoring and for commissioning the field devices. The measured values recorded by the field devices, in particular by sensors, are transmitted via the respective bus system to one (or optionally several) higher-level unit(s). In addition, data transmission from the higher-level unit via the bus system to the field devices is also required, in particular for the configuration and parameterization of field devices and for the control of actuators.
Custody-Transfer-Anlagen, zu Deutsch „eichpflichtiger Verkehr“, werden unter anderem in der Öl- und Gas-Industrie eingesetzt und für Transaktionen und dem Transport von physikalischen Substanzen zwischen zwei Betreibern - Lieferant und Empfänger - verwendet. Eine solche Custody-Transfer-Anlage beinhaltet eine oder mehrere Automatisierungskomponenten, welche zur Erfassung der Menge einer transportierten physikalischen Substanz, sowie zur Datenspeicherung der Transaktionen eingesetzt werden. Alle Transaktionen müssen manipulationssicher und unanfechtbar durchgeführt und aufgezeichnet werden. Die Automatisierungskomponenten, insbesondere die Feldgeräte müssen geeicht und kalibriert sein und diesbezüglich von einer Behörde zertifiziert sein.Custody transfer systems are used in the oil and gas industry, among other things, and are used for transactions and the transport of physical substances between two operators - supplier and recipient. Such a custody transfer system contains one or more automation components, which are used to record the quantity of a transported physical substance and to store the data of the transactions. All transactions must be carried out and recorded in a tamper-proof and incontestable manner. The automation components, in particular the field devices, must be verified and calibrated and certified in this regard by an authority.
Automatisierungskomponenten, welche in solchen Custody-Transfer-Anlagen eingesetzt werden, werden von einer autorisierten Person hinsichtlich der korrekten Installation und der Konfiguration geprüft. Anschließend wird die Automatisierungskomponente mechanisch und/oder elektronisch versiegelt. Die Dokumentation der Kalibrierung wird häufig auf Papier ausgedruckt. Anschließend sind die Automatisierungskomponenten häufig unbeaufsichtigt.Automation components used in such custody transfer systems are checked by an authorized person for correct installation and configuration. The automation component is then mechanically and/or electronically sealed. Calibration documentation is often printed out on paper. Afterwards, the automation components are often unattended.
Eine Validierung einer Automatisierungskomponente, insbesondere betreffend die Fragestellung, ob die Automatisierungskomponente immer noch versiegelt ist oder ob die Konfiguration geändert wird, muss manuell vor Ort geprüft werden.A validation of an automation component, in particular with regard to the question of whether the automation component is still sealed or whether the configuration is changed, must be checked manually on site.
Eine aufgebrochene Versiegelung, welche durch ein unbefugtes Öffnen verursacht wurde, lässt sich jedoch erst im Nachhinein, und zudem lediglich direkt vor Ort, nachweisen, da keine aktive Alarmierung erfolgt. Eine befugte Person muss somit von Zeit zu Zeit zu einzelnen Automatisierungskomponenten reisen, was zeitaufwendig und kostspielig ist. Des Weiteren ist eine zeitliche Zuordnung des Aufbrechens der Versiegelung nicht möglich. Außerdem ist der Grad der Manipulation an einer Automatisierungskomponenten, insbesondere betreffend die Konfigurationsdaten, oftmals nicht ohne weiteres feststellbar.A broken seal, which was caused by unauthorized opening, can only be proven afterwards and only directly on site, since there is no active alarm. An authorized person thus has to travel to individual automation components from time to time, which is time-consuming and expensive. Furthermore, a chronological assignment of the breaking of the seal is not possible. In addition, the degree of manipulation of an automation component, in particular with regard to the configuration data, is often not readily ascertainable.
Der Erfindung liegt die Aufgabe zugrunde, ein Versiegeln einer Automatisierungskomponente von einem entfernten Ort aus zu verifizieren.The object of the invention is to verify the sealing of an automation component from a remote location.
Die Aufgabe wird durch ein Verfahren zum Detektieren einer etwaigen Manipulation einer Automatisierungskomponente gelöst, wobei die Automatisierungskomponente einen Datensatz, einen ersten privaten Schlüssel und erste Verifikationsdaten aufweist, welcher Datensatz Parameterwerte, Formeln, Kalibrierdaten, Firmwareversionen, Checksummen und/oder Identifikationsdaten, insbesondere eine Seriennummer oder ein Gerätetag, umfasst, wobei das Verfahren die folgenden Verfahrensschritte umfasst:
- - Auslesen des Datensatzes durch eine erste Instanz, wobei die erste Instanz einen zweiten privaten Schlüssel und zweite Verifikationsdaten aufweist;
- - Erzeugen einer ersten digitalen Signatur mittels der ersten Instanz durch kryptographisches Signieren des Datensatzes durch die erste Instanz unter Verwendung des zweiten privaten Schlüssels;
- - Schreiben der ersten digitalen Signatur und der zweiten Verifikationsdaten von der ersten Instanz in die Automatisierungskomponente;
- - Erzeugen einer zweiten digitalen Signatur mittels der Automatisierungskomponente durch kryptographisches Signieren des Datensatzes, der ersten digitalen Signatur und der zweiten Verifikationsdaten unter Verwendung des ersten privaten Schlüssels;
- - Erzeugen eines digitalen Siegels mittels der Automatisierungskomponente, wobei das digitale Siegel den Datensatz, die erste digitale Signatur, die zweite digitale Signatur, und die ersten Verifikationsdaten umfasst;
- - Auslesen des digitalen Siegels mittels einer zweiten Instanz;
- - Verifizieren der ersten digitalen Signatur durch die zweite Instanz mittels der zweiten Verifikationsdaten;
- - Verifizieren der zweiten digitalen Signatur durch die zweite Instanz mittels der ersten Verifikationsdaten;
- - Erzeugen einer Alarmmeldung durch die zweite Instanz, im Falle, dass die erste digitale Signatur und/oder die zweite digitale Signatur nicht erfolgreich verifiziert werden kann.
- - Reading out the data set by a first entity, the first entity having a second private key and second verification data;
- - Generating a first digital signature by means of the first instance by cryptographically signing the data set by the first instance using the second private key;
- - Writing the first digital signature and the second verification data from the first entity to the automation component;
- - Generating a second digital signature by means of the automation component by cryptographically signing the data set, the first digital signature and the second verification data using the first private key;
- - Generating a digital seal by means of the automation component, the digital seal comprising the data record, the first digital signature, the second digital signature, and the first verification data;
- - Reading the digital seal by means of a second instance;
- - Verification of the first digital signature by the second entity using the second verification data;
- - Verification of the second digital signature by the second entity using the first verification data;
- - Generation of an alarm message by the second entity in the event that the first digital signature and/or the second digital signature cannot be successfully verified.
Der Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass von einem entfernten Ort überprüft werden kann, ob der in einer Automatisierungskomponente gespeicherte Datensatz verändert wurde oder nicht. Der Datensatz wird an eine erste Instanz, beispielsweise eine Behörde, übermittelt, welche den Datensatz prüft, beispielsweise, ob Kalibrierungen korrekt vorgenommen wurden. Anschließend signiert die erste Instanz den Datensatz und zertifiziert die Automatisierungskomponente auf diese Art und Weise.The advantage of the method according to the invention is that it can be checked from a remote location whether the data record stored in an automation component has been changed or not. The data record is sent to a first instance, for example an authority, which checks the data record, for example whether calibrations have been carried out correctly. The first instance then signs the data record and certifies the automation component in this way.
Die Automatisierungskomponente erstellt anschließend ein digitales Siegel. Dieses kann von einer weiteren Instanz, beispielsweise einem Anlagenbetreiber, ausgelesen werden und mittels Verifikationsdaten, die von der ersten Instanz und von der Automatisierungskomponente mitgeliefert werden, überprüft werden. Wurden Änderungen am Datensatz vorgenommen, oder ist das digitale Siegel manipuliert worden, so können eine oder mehrere der digitalen Signaturen nicht erfolgreich verifiziert werden. Dem Anlagenbetreiber wird daraufhin beispielsweise eine Alarmmeldung angezeigt.The automation component then creates a digital seal. This can be read out by a further instance, for example a plant operator, and checked using verification data which are supplied by the first instance and by the automation component. If changes were made to the data record, or if the digital seal was manipulated, one or more of the digital signatures cannot be successfully verified. An alarm message, for example, is then displayed to the system operator.
Es ist vorteilhafterweise vorgesehen, dass das erfindungsgemäße Verfahren, insbesondere die Schritte des Erzeugens der digitalen Signaturen und des digitalen Siegels, wiederholt wird, wenn eine befugte und dokumentierte Änderung am Datensatz erfolgt.It is advantageously provided that the method according to the invention, in particular the steps of generating the digital signatures and the digital seal, is repeated if an authorized and documented change is made to the data record.
Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass die ersten Verifikationsdaten, bzw. die zweiten Verifikationsdaten, digitale Zertifikate und/oder öffentliche Schlüssel, umfassen. Mittels der digitalen Zertifikate, bzw. der öffentlichen Schlüssel sind die jeweiligen digitalen Signaturen auf einfache Art und Weise verifizierbar.According to an advantageous embodiment of the method according to the invention, it is provided that the first verification data or the second verification data comprise digital certificates and/or public keys. The respective digital signatures can be verified in a simple manner by means of the digital certificates or the public keys.
Gemäß einer Weiterbildung des erfindungsgemäßen Verfahrens ist vorgesehen, dass zumindest eine weitere Instanz vorgesehen ist, wobei die erste Instanz einen weiteren privaten Schlüssel und weitere Verifikationsdaten, insbesondere ein weiteres digitales Zertifikat und/oder einen weiteren öffentlichen Schlüssel, aufweist, weiter umfassend:
- - Übermitteln der ersten digitalen Signatur und der zweiten Verifikationsdaten an die weitere Instanz;
- - Erzeugen einer weiteren digitalen Signatur mittels der weiteren Instanz durch kryptographisches Signieren des Datensatzes, der ersten digitalen Signatur und der zweiten Verifikationsdaten unter Verwendung des weiteren privaten Schlüssels;
- - Schreiben der weiteren digitalen Signatur und der weiteren Verifikationsdaten von der weiteren Instanz in die Automatisierungskomponente;
- - Erzeugen der zweiten digitalen Signatur mittels der Automatisierungskomponente durch kryptographisches Signieren des Datensatzes, der weiteren digitalen Signatur und der weiteren Verifikationsdaten unter Verwendung des ersten privaten Schlüssels;
- - Erzeugen eines digitalen Siegels mittels der Automatisierungskomponente, wobei das digitale Siegel den Datensatz, die weitere digitale Signatur, die zweite digitale Signatur, und die ersten Verifikationsdaten umfasst;
- - Auslesen des digitalen Siegels mittels der zweiten Instanz;
- - Verifizieren der ersten digitalen Signatur durch die zweite Instanz mittels der zweiten Verifikationsdaten;
- - Verifizieren der weiteren digitalen Signatur durch die zweite Instanz mittels der weiteren Verifikationsdaten;
- - Verifizieren der zweiten digitalen Signatur durch die zweite Instanz mittels der ersten Verifikationsdaten;
- - Erzeugen einer Alarmmeldung durch die zweite Instanz, im Falle, dass die erste digitale Signatur, die weitere digitale Signatur und/oder die zweite digitale Signatur nicht erfolgreich verifiziert werden kann.
- - Transmission of the first digital signature and the second verification data to the further instance;
- - Generating a further digital signature by means of the further instance by cryptographically signing the data set, the first digital signature and the second verification data using the further private key;
- - Writing the further digital signature and the further verification data from the further instance into the automation component;
- - Generating the second digital signature by means of the automation component by cryptographically signing the data record, the further digital signature and the further verification data using the first private key;
- - Generating a digital seal by means of the automation component, the digital seal comprising the data record, the further digital signature, the second digital signature and the first verification data;
- - Reading the digital seal by means of the second instance;
- - Verification of the first digital signature by the second entity using the second verification data;
- - Verification of the additional digital signature by the second entity using the additional verification data;
- - Verification of the second digital signature by the second entity using the first verification data;
- - Generation of an alarm message by the second instance in the event that the first digital signature, the further digital signature and/or the second digital signature cannot be successfully verified.
Der Datensatz wird somit von einer weiteren Instanz, beispielsweise einer weiteren Behörde oder von einem Rechner des Anlagenbetreibers, digital signiert. Es wird somit eine weitere Sicherheitsstufe hinzugefügt. Es kann vorgesehen sein, dass eine Vielzahl weiteren Instanzen die oben aufgeführten Schritte wiederholt, um eine Vielzahl von digitalen Signaturen zu erzeugen.The data record is thus digitally signed by another entity, for example another authority or by a computer belonging to the plant operator. A further level of security is thus added. Provision can be made for a large number of other instances to repeat the steps listed above in order to generate a large number of digital signatures.
Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass die Schritte des Auslesens und Schreibens über einen sicheren Datenkanal, insbesondere ausgebildet über ein OPC UA-Netzwerks, erfolgen. OPC UA („Open Platform Communication Unified Architecture“) erlaubt es standardmäßig, übertragene Daten zu verschlüsseln. Die Schritte des Auslesens und des Übermittelns können dadurch manipulationssicher erfolgen.According to an advantageous embodiment of the method according to the invention, it is provided that the steps of reading and writing take place via a secure data channel, in particular formed via an OPC UA network. By default, OPC UA (“Open Platform Communication Unified Architecture”) allows transmitted data to be encrypted. As a result, the steps of reading out and transmitting can be carried out in a tamper-proof manner.
Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass das Feldgerät und/oder die zweite Instanz über ein OPC UA-Netzwerk mit einer übergeordneten Einheit in Kommunikationsverbindung steht und wobei die Automatisierungskomponente, bzw. die zweite Instanz, die Alarmmeldung als Gerätestatus in zyklische, von der übergeordneten Einheit angeforderte, OPC-UA Telegramme einfügt. OPC UA Telegramme enthalten standardmäßig einen Gerätestatus. In dieser Ausgestaltung wird der Gerätestatus geändert, wenn die entsprechenden digitalen Signaturen nicht erfolgreich verifiziert werden konnten und somit der Verdacht einer Manipulation besteht. Der Gerätestatus kann beispielsweise in „Verifikation fehlgeschlagen“ oder „Überprüfung notwendig“ geändert werden.According to an advantageous embodiment of the method according to the invention, it is provided that the field device and/or the second entity is in communication with a higher-level unit via an OPC UA network and the automation component or the second entity converts the alarm message as a device status into cyclic, Inserts OPC UA telegrams requested by the higher-level unit. By default, OPC UA telegrams contain a device status. In this refinement, the device status is changed if the corresponding digital signatures could not be successfully verified and manipulation is therefore suspected. For example, the device status can be changed to "Verification failed" or "Needs verification".
Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass im Falle, dass eine Alarmmeldung erzeugt wird, die Automatisierungskomponente ausgeschaltet wird oder eine Kommunikationsfunktionalität der Automatisierungskomponente deaktiviert wird. Dies kann automatisch geschehen, damit, insbesondere in Custody-Transfer-Applikationen oder in sicherheitskritischen Anwendungen, kein Schaden am Prozess oder eine Manipulation des Wertstroms entsteht.According to an advantageous embodiment of the method according to the invention, it is provided that if an alarm message is generated, the automation component is switched off or a communication functionality of the automation component is deactivated. This can happen automatically so that no damage to the process or manipulation of the value stream occurs, especially in custody transfer applications or in safety-critical applications.
Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass die digitalen Signaturen Hashwerte des Datensatzes, welche mittels der jeweiligen privaten Schlüssel erzeugt werden, umfassen. Dadurch kann der aktuell in der Automatisierungskomponente befindliche Datensatz mit dem zum Zeitpunkt des Erzeugens einer Signatur ausgelesenen Datensatz verglichen werden. Dieser muss gleich sein, wenn es keine undokumentierte Änderung am Datensatz gegeben hat. Im Falle, dass der Datensatz abweicht, kann die jeweilige Signatur nicht erfolgreich verifiziert werden, woraufhin die Alarmmeldung erzeugt wird.According to an advantageous embodiment of the method according to the invention, it is provided that the digital signatures include hash values of the data set, which are generated using the respective private key. As a result, the data record currently in the automation component can be compared with the data record read out at the time a signature was generated. This must be the same if there has been no undocumented change to the dataset. In the event that the record differs, the respective signature cannot be verified successfully, whereupon the alarm message is generated.
Des Weiteren wird die Aufgabe durch eine Automatisierungskomponente gelöst, welche zur Verwendung in dem erfindungsgemäßen Verfahren ausgestaltet ist. Die Automatisierungskomponente benötigt hierfür eine entsprechende Software oder Firmware, welche vor Durchführen des Verfahrens von einer autorisierten Person auf die Automatisierungskomponente gespielt wird. Die Version der Software und der Zeitpunkt des Aufspielens wird dem Datensatz hinzugefügt.The object is also achieved by an automation component which is designed for use in the method according to the invention. For this purpose, the automation component requires appropriate software or firmware, which is loaded onto the automation component by an authorized person before the method is carried out. The version of the software and the time of uploading is added to the record.
Gemäß einer vorteilhaften Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die Automatisierungskomponente ein Feldgerät ist, welches zum Erfassen einer physikalischen Messgröße eines verfahrenstechnischen Prozesses oder zum Beeinflussen einer Prozessvariablen ausgestaltet ist.According to an advantageous embodiment of the automation component according to the invention, it is provided that the automation component is a field device which is designed to detect a physical measured variable of a process engineering process or to influence a process variable.
Feldgeräte, welche im Zusammenhang mit dem erfindungsgemäßen Verfahren genannt werden, sind bereits im einleitenden Teil der Beschreibung beispielhaft aufgeführt worden.Field devices, which are mentioned in connection with the method according to the invention, have already been listed as examples in the introductory part of the description.
Gemäß einer alternativen vorteilhaften Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die Automatisierungskomponente eine Steuerungsanlage, ein industrielles Gateway, ein Remote-I/O, ein Plant-Access-Point oder ein Edge Device ist.According to an alternative advantageous embodiment of the automation component according to the invention, it is provided that the automation component is a control system, an industrial gateway, a remote I/O, a plant access point or an edge device.
Die Erfindung wird anhand der nachfolgenden Figuren näher erläutert. Es zeigen
-
1 : ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens; und -
2 : eine Detaillierung des Ausführungsbeispiels.
-
1 : an exemplary embodiment of the method according to the invention; and -
2 : a detail of the embodiment.
In
Alternativ kann ein Netzwerkgerät, beispielsweise ein Gateway, ein Flow-Computer, ein Edge Device, etc. als Automatisierungskomponente AK eingesetzt sein.Alternatively, a network device, for example a gateway, a flow computer, an edge device, etc. can be used as the automation component AK.
In einem ersten Verfahrensschritt 1.) wird der Datensatz DS von einer ersten Instanz IN1 ausgelesen. Alle Datenübermittlungsvorgänge (Auslesen und Übermitteln), welche in diesem und den folgenden Verfahrensschritten erwähnt werden, werden über ein Kommunikationsnetzwerk vorgenommen, welches OPC UA als Protokoll benutzt. Dieses Protokoll erlaubt ein manipulationsfreies Übermitteln von Daten. Bei der ersten Instanz IN1 handelt es sich beispielsweise um eine Behörde.In a
In einem zweiten Verfahrensschritt 2.) prüft die Behörde den Datensatz DS, insbesondere die Identifikationsdaten, Parameterwerte, Firmwareversionen, Checksummen, Kalibrierzertifikate und/oder die Menge des durch das Automatisierungsinstrument geflossene Messmedium und signiert den Datensatz DS kryptographisch, insbesondere durch Bilden eines Hashwerts des Datensatzes DS. Hierfür besitzt die Behörde einen zweiten privaten Schlüssel KY2. Hierdurch wird eine erste digitale Signatur SN1 erstellt, welche den Hashwert und eine Identifikation der ersten Instanz IN1 enthält. Des Weiteren weist die erste Instanz IN1 zweite Verifikationsdaten VD2 auf, welche es erlauben, Rückschlüsse auf die Korrektheit des Datensatzes DS und auf die Identität der ersten Instanz IN1 zu schließen. Beispielsweise handelt es sich bei den Verifikationsdaten VD2 um einen zu dem privaten Schüssel KY2 korrespondierenden öffentlichen Schlüssel.In a
Die Verifikation kann folgendermaßen durchgeführt werden:
- H bezeichnet den Hashwert des Datensatzes DS.
- H designates the hash value of the data record DS.
Dieser wird gebildet durch H = f(DS), wobei f eine Hash-Funktion bezeichnet.This is formed by H = f(DS), where f denotes a hash function.
g bezeichnet eine asymetrische kryptographische Funktion.
Hierdurch wird SN1 = g(DS, K2) gebildet.g denotes an asymmetric cryptographic function.
This forms SN1 = g(DS, K2).
g' bezeichnet eine an asymetrische kryptographische Funktion zum Entschlüsseln, was von g verschlüsselt wurde.
Der Hashwert lässt sich dann durch f(DS) = g'(SN1, VD2) verifizieren. Wenn also der Hashwert gleich der Entschüsselung der ersten digitalen Signatur ist, ist die Verifikation erfolgreich durchgeführt.The hash value can then be verified by f(DS)=g'(SN1, VD2). So if the hash value is equal to the decryption of the first digital signature, the verification is successful.
In einem dritten Verfahrensschritt 3.) übermittelt die erste Instanz IN1 die erste digitale Signatur SN1 und die zweiten Verifikationsdaten an die Automatisierungskomponente AK, woraufhin diese Daten in die Automatisierungskomponente AK geschrieben werden.In a
In einem vierten Verfahrensschritt 4.) erzeugt die Automatisierungskomponente eine zweite digitale Signatur SN2. Hierfür werden der Datensatzes DS, die erste digitalen Signatur SN1 und die zweiten Verifikationsdaten VD2 mittels des ersten privaten Schlüssels KY1 kryptographisch signiert, insbesondere durch Bilden eines Hashwerts oder durch Verschlüsseln der Daten.In a
Anschließend erstellt die Automatisierungskomponente ein sogenanntes digitales Siegel SG. Dieses enthält den Datensatz DS, die erste digitale Signatur SN1, die zweite digitale Signatur SN2 und die ersten Verifikationsdaten VD1. Bei jedem qualifizierten Updaten an dem Datensatz DS werden die Verfahrensschritte 1.) bis 4.) wiederholt. Dadurch entsprechen die Inhalte des digitalen Siegels SG stehts dem aktuellen Datensatz DS. Wird der Datensatz DS durch einen Unbefugten manipuliert, so entspricht der Inhalt des digitalen Siegels SG nicht mehr dem Datensatz. Ein Unbefugter kann das digitale Siegel nicht updaten, da hierfür stets mindestens eine Instanz IN1 involviert ist, über welche er keine Kontrolle ausüben kann. Das Überprüfen des digitalen Siegels SG auf Konsistenz mit dem aktuellen Datensatz DS wird im Folgenden beschrieben:
- Nach Erstellen des digitalen Siegels SG überträgt die Automatisierungskomponente AK dieses in
einem Verfahrensschritt 5.) an eine externe Datenbank, beispielsweise an eine cloudbasierte Datenbank. Alternativ verbleibt das digitale Siegel SG in einem Datenspeicher der Automatisierungskomponente AK. Eine zweite Instanz IN2, beispielsweise eine weitere Behörde oder der Anlagenbetreiber, liest das digitale Siegel SG ineinem Verfahrensschritt 6.) aus der Datenbank, bzw. der Automatisierungskomponente AK aus. Unter Verwendung der zweiten Verifikationsdaten VD2 verifiziert die zweite Instanz ineinem Verfahrensschritt 7.) die erste Signatur SN1, also insbesondere die Identität der ersten Instanz IN.
- After creating the digital seal SG, the automation component AK transfers this to an external database, for example a cloud-based database, in a
method step 5.). Alternatively, the digital seal SG remains in a data memory of the automation component AK. A second entity IN2, for example another authority or the plant operator, reads the digital seal SG in amethod step 6.) from the database or the automation component AK. Using the second verification data VD2, the second entity verifies in amethod step 7.) the first signature SN1, ie in particular the identity of the first entity IN.
Konnte die erste Signatur SN1 korrekt verifiziert werden, so liest die zweite Instanz IN2 in einem Verfahrensschritt 8.) den aktuellen Datensatz DS aus der Automatisierungskomponente AK aus. Anschließend verifiziert die zweite Instanz IN2 in einem Verfahrensschritt 9.) die zweite digitale Signatur mittels der ersten Verifikationsdaten VD1, beispielsweise durch Entschlüsseln des Datensatzes und Vergleichen des entschlüsselten Datensatzes mit dem aktuellen Datensatz DS.If the first signature SN1 could be verified correctly, the second instance IN2 reads out the current data set DS from the automation component AK in a
In einem Verfahrensschritt 10.) wird anschließend das Ergebnis bekannt gemacht. Konnten die erste Signatur SN1 und die zweite Signatur SN2 erfolgreich verifiziert werden, so wurde der Datensatz DS nicht unbefugt verändert. Kann eine oder beide der Signaturen SN1, SN2 nicht erfolgreich verifiziert werden, so erfolgte eventuell eine Manipulation an dem in der Automatisierungskomponente AK gespeicherten aktuellen Datensatz DS. In diesem Fall wird eine Alarmmeldung erzeugt, beispielsweise direkt in der zweiten Instanz IN2. Alternativ wird der zyklische Status der Automatisierungskomponente, welcher von einer übergeordneten Einheit abgerufen wird, geändert. Hierfür steht die Automatisierungskomponente AK über ein OPC UA-Netzwerk mit der übergeordneten Einheit, beispielsweise einer Steuerungseinheit, in Kommunikationsverbindung. Der Gerätestatus wird in die zyklischen, von der übergeordneten Einheit angeforderte, OPC-UA Telegramme eingefügt, so dass eine Alarmmeldung automatisch detektiert wird. Als Reaktion wird beispielsweise die Kommunikationsfunktionalität der Automatisierungskomponente eingeschränkt.In a method step 10.), the result is then made known. If the first signature SN1 and the second signature SN2 could be successfully verified, then the data record DS was not changed without authorization. If one or both of the signatures SN1, SN2 cannot be verified successfully, the current data record DS stored in the automation component AK may have been manipulated. In this case an alarm message is generated, for example directly in the second entity IN2. Alternatively, the cyclical status of the automation component, which is retrieved from a higher-level unit, is changed. For this purpose, the automation component AK is in communication connection with the superordinate unit, for example a control unit, via an OPC UA network. The device status is inserted into the cyclic OPC UA telegrams requested by the higher-level unit, so that an alarm message is automatically detected. As a reaction, for example, the communication functionality of the automation component is restricted.
Um die Sicherheit des erfindungsgemäßen Verfahrens weiter zu erhöhen, sind weitere Instanzen INx, INn vorgesehen, welche weitere digitale Signaturen SNx, SNn erzeugen.In order to further increase the security of the method according to the invention, additional entities INx, INn are provided, which generate additional digital signatures SNx, SNn.
In
In einem Verfahrensschritt 2.a) erzeugt die weitere Instanz INx eine weitere digitalen Signatur SNx durch kryptographisches Signieren des Datensatzes(DS, der ersten digitalen Signatur SN1 und der zweiten Verifikationsdaten VD2 unter Verwendung eines weiteren, der weiteren Instanz zugeordneten privaten Schlüssels KYx. In einem Verfahrensschritt 3.a) übermittelt die weitere Instanz INx die weitere digitale Signatur SNx die weiteren Verifikationsdaten VDx an die Automatisierungskomponente AK, woraufhin diese Daten in die Automatisierungskomponente geschrieben werden.In a method step 2.a), the further entity INx generates a further digital signature SNx by cryptographically signing the data record (DS), the first digital signature SN1 and the second verification data VD2 using a further private key KYx assigned to the further entity. In a Method step 3.a), the further instance INx transmits the further digital signature SNx the further verification data VDx to the automation component AK, whereupon this data is written into the automation component.
Diese Verfahrensschritte können daraufhin beliebig bis zu einer n-ten Instanz wiederholt werden (siehe Schritte 1.n), 2n), 3.n)), um weitere digitale Signaturen SNn unter Verwendung weiterer privater Schlüssel KYn zu erzeugen. Jede weitere digitale Signatur SNn wird anschließend in die Automatisierungskomponente AK geschrieben.These method steps can then be repeated up to an nth instance (see steps 1.n), 2n), 3.n)) in order to generate further digital signatures SNn using further private keys KYn. Each additional digital signature SNn is then written to the automation component AK.
Anschließend erstellt die Automatisierungskomponente das digitale Siegel DS (analog zu Verfahrensschritt 4.) ff.). Dieses enthält sämtliche von den Instanzen IN1, INx, ..., INn und der Automatisierungskomponente selbst erzeugten digitalen Signaturen SN1, SN2, SNx, ..., SNn, sämtliche Verifikationsdaten VD1, VD2, VDx, ..., VDn und den Datensatz selbst. Ein Unbefugter müsste Kontrolle über alle Instanzen IN1, INx, ..., INn ausüben, um den Datensatz DS zu ändern und dieses Update in das digitale Siegel SG zu schreiben.The automation component then creates the digital seal DS (similar to
Die zweite Instanz IN2 verifiziert abschließend nacheinander alle digitalen Signaturen SN1, SN2, SNx, ..., SNn, endend mit der zweiten Signatur, welche die Überprüfung des Datensatz DS ermöglicht. Kann nur eine einzelne der digitalen Signaturen SN1, SN2, SNx, ..., SNn nicht verifiziert werden, so wird die Alarmmeldung erzeugt.Finally, the second instance IN2 verifies all digital signatures SN1, SN2, SNx, . If just one of the digital signatures SN1, SN2, SNx, . . . , SNn cannot be verified, the alarm message is generated.
Das erfindungsgemäße Verfahren eignet sich besonders zur Anwendung in Custody-Transfer-Anlagen, in welchen Transaktionen manipulationssicher und unanfechtbar durchgeführt und aufgezeichnet werden müssen.The method according to the invention is particularly suitable for use in custody transfer systems in which transactions must be carried out and recorded in a tamper-proof and incontestable manner.
BezugszeichenlisteReference List
- 1.), ..., 10.)1.), ..., 10.)
- Verfahrensschritteprocess steps
- AKAK
- Automatisierungskomponenteautomation component
- ALAL
- Alarmmeldungalarm message
- DSDS
- Datensatzrecord
- IN1, IN2, INx, ..., INnIN1, IN2, INx, ..., INn
- erste Instanz, zweite Instanz, weitere Instanz, n-te Instanzfirst instance, second instance, further instance, nth instance
- KY1, KY2, KYx, ..., KYnKY1, KY2, KYx, ..., KYn
- private Schlüsselprivate keys
- SGSG
- digitales Siegeldigital seal
- SN1, SN2, SNx, ..., SNnSN1, SN2, SNx, ..., SNn
- digitale Signaturendigital signatures
- VD1, VD2, VDx, ..., VDnVD1, VD2, VDx, ..., VDn
- Verifikationsdatenverification data
Claims (10)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102020120300.4A DE102020120300A1 (en) | 2020-07-31 | 2020-07-31 | Method for detecting any manipulation of an automation component |
PCT/EP2021/066757 WO2022022891A1 (en) | 2020-07-31 | 2021-06-21 | Method for detecting potential tampering of an automation component |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102020120300.4A DE102020120300A1 (en) | 2020-07-31 | 2020-07-31 | Method for detecting any manipulation of an automation component |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102020120300A1 true DE102020120300A1 (en) | 2022-02-03 |
Family
ID=76708205
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102020120300.4A Pending DE102020120300A1 (en) | 2020-07-31 | 2020-07-31 | Method for detecting any manipulation of an automation component |
Country Status (2)
Country | Link |
---|---|
DE (1) | DE102020120300A1 (en) |
WO (1) | WO2022022891A1 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140180859A1 (en) | 2004-12-30 | 2014-06-26 | Life Technologies Corporation | System and method for offering and managing online purchasing card transactions |
US20160010445A1 (en) | 2013-03-15 | 2016-01-14 | Wellaware Holdings, Inc. | Systems and methods for providing end-to-end monitoring and/or control of remote oil and gas production assets |
US20170032382A1 (en) | 2014-04-14 | 2017-02-02 | Jenda Tag, LLC | System and Method for Product Authentication |
US20170285622A1 (en) | 2016-04-05 | 2017-10-05 | Wellaware Holdings, Inc. | Monitoring and controlling industrial equipment |
DE102016208512A1 (en) | 2016-05-18 | 2017-11-23 | Bundesdruckerei Gmbh | Access control with a mobile device |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102012004542A1 (en) * | 2012-03-09 | 2013-09-12 | Rwe Ag | Electronic nameplate for measuring instruments |
US9904785B2 (en) * | 2015-06-02 | 2018-02-27 | Rockwell Automation Technologies, Inc. | Active response security system for industrial control infrastructure |
EP3554050A1 (en) * | 2018-04-09 | 2019-10-16 | Siemens Aktiengesellschaft | Method for securing an automation component |
US11025429B2 (en) * | 2018-05-14 | 2021-06-01 | Skydio, Inc. | Trusted contextual content |
-
2020
- 2020-07-31 DE DE102020120300.4A patent/DE102020120300A1/en active Pending
-
2021
- 2021-06-21 WO PCT/EP2021/066757 patent/WO2022022891A1/en active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140180859A1 (en) | 2004-12-30 | 2014-06-26 | Life Technologies Corporation | System and method for offering and managing online purchasing card transactions |
US20160010445A1 (en) | 2013-03-15 | 2016-01-14 | Wellaware Holdings, Inc. | Systems and methods for providing end-to-end monitoring and/or control of remote oil and gas production assets |
US20170032382A1 (en) | 2014-04-14 | 2017-02-02 | Jenda Tag, LLC | System and Method for Product Authentication |
US20170285622A1 (en) | 2016-04-05 | 2017-10-05 | Wellaware Holdings, Inc. | Monitoring and controlling industrial equipment |
DE102016208512A1 (en) | 2016-05-18 | 2017-11-23 | Bundesdruckerei Gmbh | Access control with a mobile device |
Also Published As
Publication number | Publication date |
---|---|
WO2022022891A1 (en) | 2022-02-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3264208B1 (en) | Method for updating process objects in an engineering system | |
DE102017111928A1 (en) | Method for authorized updating of a field device of automation technology | |
EP3850451B1 (en) | Method for improving the measuring performance of automation field devices | |
EP2247987A1 (en) | Method for operating a field device | |
DE102017102677A1 (en) | Method for authenticating a field device of automation technology | |
WO2008012164A1 (en) | Method for isolating special functionalities in field devices used in automation technology | |
DE202016105474U1 (en) | Device for tamper-proof registration of measured values | |
WO2016026622A1 (en) | Method for parameterizing a field device | |
EP3391611B1 (en) | Access key for a field device | |
DE102017205832A1 (en) | Method for parameterizing a field device and parameterizable field device | |
WO2012065808A1 (en) | Method for diagnosing a field device | |
DE102014112226A1 (en) | Method for transmitting field device data | |
EP3732868B1 (en) | Method for securing an automation component | |
EP2018603A1 (en) | Method for parameterizing a process automation field device by simulating the acyclic services | |
DE102020120300A1 (en) | Method for detecting any manipulation of an automation component | |
DE102010028152A1 (en) | Recording history information in a field device | |
DE102007022006A1 (en) | Method for transmitting data to a field device of automation technology, in particular of process automation technology | |
WO2022135844A1 (en) | Honeypot for a connection between an edge device and a cloud-based service platform | |
AT522276B1 (en) | Device and method for checking the integrity of sensor data streams | |
DE102020118958A1 (en) | Field device and method of integrating a field device | |
DE102011084321A1 (en) | Communication unit for use in system of process automation technology, has user interface which represents information based on system structure, while system structure on field bus topology is inversely mapped with drawing algorithm | |
EP3820081A1 (en) | Method for performing an authorisation-dependent communication between at least one field device involved in automation technology and an operating device | |
EP1198737B1 (en) | Visualisierungssystem für technische prozessdaten | |
DE102009054800A1 (en) | Arrangement for application-specific processing and accessing of device-specific information of e.g. pump utilized in factory automation technology, is designed such that selected parameter subgroup is made available in structure | |
WO2024088817A1 (en) | Method and device for testing a firmware update for an edge device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R163 | Identified publications notified |