DE102020120300A1 - Method for detecting any manipulation of an automation component - Google Patents

Method for detecting any manipulation of an automation component Download PDF

Info

Publication number
DE102020120300A1
DE102020120300A1 DE102020120300.4A DE102020120300A DE102020120300A1 DE 102020120300 A1 DE102020120300 A1 DE 102020120300A1 DE 102020120300 A DE102020120300 A DE 102020120300A DE 102020120300 A1 DE102020120300 A1 DE 102020120300A1
Authority
DE
Germany
Prior art keywords
digital signature
entity
automation component
data
verification data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020120300.4A
Other languages
German (de)
Inventor
Marc Koepke
Alain Chomik
Sushil Siddesh
Matthias Brenzinger
Michael Blessing
Mikhail Ignatov
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Endress and Hauser Flowtec AG
Original Assignee
Endress and Hauser Flowtec AG
Flowtec AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Endress and Hauser Flowtec AG, Flowtec AG filed Critical Endress and Hauser Flowtec AG
Priority to DE102020120300.4A priority Critical patent/DE102020120300A1/en
Priority to PCT/EP2021/066757 priority patent/WO2022022891A1/en
Publication of DE102020120300A1 publication Critical patent/DE102020120300A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung umfasst ein Netzwerkgerät (NG) mit einer ersten Schnittstelle (SN1) und einer Elektronikeinheit (EE), wobei die erste Schnittstelle (SN1) dazu ausgestaltet ist, Daten, insbesondere Daten von zumindest einem Feldgerät (FG) der Automatisierungstechnik, gemäß einem OPC UA-Protokoll drahtlos zu empfangen, wobei das Netzwerkgerät (NG) dazu ausgestaltet ist, die empfangenen Daten anzuzeigen und/oder mittels der Elektronikeinheit (EE) weiterzuverarbeiten, sowie ein System zum manipulationsfreien Übertragen von Daten eines Feldgeräts (FG) der Automatisierungstechnik, welches das erfindungsgemäße Netzwerkgerät (NG) umfasst.The invention includes a network device (NG) with a first interface (SN1) and an electronic unit (EE), the first interface (SN1) being designed to transmit data, in particular data from at least one field device (FG) of automation technology, in accordance with an OPC To receive the UA protocol wirelessly, the network device (NG) being designed to display the received data and/or process it further by means of the electronics unit (EE), and a system for the manipulation-free transmission of data from a field device (FG) of automation technology, which inventive network device (NG) includes.

Description

Die Erfindung betrifft ein Verfahren zum Detektieren einer etwaigen Manipulation einer Automatisierungskomponente, sowie eine solche Automatisierungskomponente, welche zur Verwendung in dem erfindungsgemäßen Verfahren ausgestaltet ist.The invention relates to a method for detecting any manipulation of an automation component, and to such an automation component which is designed for use in the method according to the invention.

Aus dem Stand der Technik sind bereits Automatisierungskomponenten bekannt geworden, die in industriellen Anlagen zum Einsatz kommen. Beispielsweise werden Feldgeräte als Automatisierungskomponenten eingesetzt, welche in der Prozessautomatisierungstechnik ebenso wie in der Fertigungsautomatisierungstechnik zum Einsatz kommen. Als Feldgeräte werden im Prinzip alle Geräte bezeichnet, die prozessnah eingesetzt werden und die prozessrelevante Informationen liefern oder verarbeiten. So werden Feldgeräte zur Erfassung und/oder Beeinflussung von Prozessgrößen verwendet. Zur Erfassung von Prozessgrößen dienen Messgeräte, bzw. Sensoren. Diese werden beispielsweise zur Druck- und Temperaturmessung, Leitfähigkeitsmessung, Durchflussmessung, pH-Messung, Füllstandmessung, etc. verwendet und erfassen die entsprechenden Prozessvariablen Druck, Temperatur, Leitfähigkeit, pH-Wert, Füllstand, Durchfluss etc. Zur Beeinflussung von Prozessgrößen werden Aktoren verwendet. Diese sind beispielsweise Pumpen oder Ventile, die den Durchfluss einer Flüssigkeit in einem Rohr oder den Füllstand in einem Behälter beeinflussen können. Neben den zuvor genannten Feldgeräten werden unter Automatisierungskomponenten auch Gateways, Edge Devices, Remote I/Os, Funkadapter bzw. allgemein Geräte verstanden, die auf der Feldebene angeordnet sind.Automation components that are used in industrial plants are already known from the prior art. For example, field devices are used as automation components, which are used in process automation technology as well as in production automation technology. In principle, all devices that are used close to the process and that supply or process process-relevant information are referred to as field devices. Thus, field devices are used to record and/or influence process variables. Measuring devices or sensors are used to record process variables. These are used, for example, for pressure and temperature measurement, conductivity measurement, flow measurement, pH measurement, level measurement, etc. and record the corresponding process variables pressure, temperature, conductivity, pH value, level, flow rate, etc. Actuators are used to influence process variables. These are, for example, pumps or valves that can influence the flow of a liquid in a pipe or the fill level in a container. In addition to the field devices mentioned above, automation components are also understood to mean gateways, edge devices, remote I/Os, wireless adapters or devices in general that are arranged at the field level.

Eine Vielzahl solcher Feldgeräte wird von der Endress+Hauser-Gruppe produziert und vertrieben.A large number of such field devices are produced and sold by the Endress+Hauser Group.

In modernen Industrieanlagen sind Feldgeräte in der Regel über Kommunikationsnetzwerke wie beispielsweise Feldbusse (Profibus®, Foundation® Fieldbus, HART®, etc.) mit übergeordneten Einheiten verbunden. Normalerweise handelt es sich bei den übergeordneten Einheiten um Leitsysteme bzw. Steuereinheiten, wie beispielsweise eine SPS (speicherprogrammierbare Steuerung) oder einen PLC (Programmable Logic Controller). Die übergeordneten Einheiten dienen unter anderem zur Prozesssteuerung, Prozessvisualisierung, Prozessüberwachung sowie zur Inbetriebnahme der Feldgeräte. Die von den Feldgeräten, insbesondere von Sensoren, erfassten Messwerte werden über das jeweilige Bussystem an eine (oder gegebenenfalls mehrere) übergeordnete Einheit(en) übermittelt. Daneben ist auch eine Datenübertragung von der übergeordneten Einheit über das Bussystem an die Feldgeräte erforderlich, insbesondere zur Konfiguration und Parametrierung von Feldgeräten sowie zur Ansteuerung von Aktoren.In modern industrial plants, field devices are usually connected to higher-level units via communication networks such as fieldbuses ( Profibus® , Foundation® Fieldbus , HART® , etc.). Normally, the superordinate units are control systems or control units, such as a PLC (programmable logic controller) or a PLC (programmable logic controller). The higher-level units are used, among other things, for process control, process visualization, process monitoring and for commissioning the field devices. The measured values recorded by the field devices, in particular by sensors, are transmitted via the respective bus system to one (or optionally several) higher-level unit(s). In addition, data transmission from the higher-level unit via the bus system to the field devices is also required, in particular for the configuration and parameterization of field devices and for the control of actuators.

Custody-Transfer-Anlagen, zu Deutsch „eichpflichtiger Verkehr“, werden unter anderem in der Öl- und Gas-Industrie eingesetzt und für Transaktionen und dem Transport von physikalischen Substanzen zwischen zwei Betreibern - Lieferant und Empfänger - verwendet. Eine solche Custody-Transfer-Anlage beinhaltet eine oder mehrere Automatisierungskomponenten, welche zur Erfassung der Menge einer transportierten physikalischen Substanz, sowie zur Datenspeicherung der Transaktionen eingesetzt werden. Alle Transaktionen müssen manipulationssicher und unanfechtbar durchgeführt und aufgezeichnet werden. Die Automatisierungskomponenten, insbesondere die Feldgeräte müssen geeicht und kalibriert sein und diesbezüglich von einer Behörde zertifiziert sein.Custody transfer systems are used in the oil and gas industry, among other things, and are used for transactions and the transport of physical substances between two operators - supplier and recipient. Such a custody transfer system contains one or more automation components, which are used to record the quantity of a transported physical substance and to store the data of the transactions. All transactions must be carried out and recorded in a tamper-proof and incontestable manner. The automation components, in particular the field devices, must be verified and calibrated and certified in this regard by an authority.

Automatisierungskomponenten, welche in solchen Custody-Transfer-Anlagen eingesetzt werden, werden von einer autorisierten Person hinsichtlich der korrekten Installation und der Konfiguration geprüft. Anschließend wird die Automatisierungskomponente mechanisch und/oder elektronisch versiegelt. Die Dokumentation der Kalibrierung wird häufig auf Papier ausgedruckt. Anschließend sind die Automatisierungskomponenten häufig unbeaufsichtigt.Automation components used in such custody transfer systems are checked by an authorized person for correct installation and configuration. The automation component is then mechanically and/or electronically sealed. Calibration documentation is often printed out on paper. Afterwards, the automation components are often unattended.

Eine Validierung einer Automatisierungskomponente, insbesondere betreffend die Fragestellung, ob die Automatisierungskomponente immer noch versiegelt ist oder ob die Konfiguration geändert wird, muss manuell vor Ort geprüft werden.A validation of an automation component, in particular with regard to the question of whether the automation component is still sealed or whether the configuration is changed, must be checked manually on site.

Eine aufgebrochene Versiegelung, welche durch ein unbefugtes Öffnen verursacht wurde, lässt sich jedoch erst im Nachhinein, und zudem lediglich direkt vor Ort, nachweisen, da keine aktive Alarmierung erfolgt. Eine befugte Person muss somit von Zeit zu Zeit zu einzelnen Automatisierungskomponenten reisen, was zeitaufwendig und kostspielig ist. Des Weiteren ist eine zeitliche Zuordnung des Aufbrechens der Versiegelung nicht möglich. Außerdem ist der Grad der Manipulation an einer Automatisierungskomponenten, insbesondere betreffend die Konfigurationsdaten, oftmals nicht ohne weiteres feststellbar.A broken seal, which was caused by unauthorized opening, can only be proven afterwards and only directly on site, since there is no active alarm. An authorized person thus has to travel to individual automation components from time to time, which is time-consuming and expensive. Furthermore, a chronological assignment of the breaking of the seal is not possible. In addition, the degree of manipulation of an automation component, in particular with regard to the configuration data, is often not readily ascertainable.

Der Erfindung liegt die Aufgabe zugrunde, ein Versiegeln einer Automatisierungskomponente von einem entfernten Ort aus zu verifizieren.The object of the invention is to verify the sealing of an automation component from a remote location.

Die Aufgabe wird durch ein Verfahren zum Detektieren einer etwaigen Manipulation einer Automatisierungskomponente gelöst, wobei die Automatisierungskomponente einen Datensatz, einen ersten privaten Schlüssel und erste Verifikationsdaten aufweist, welcher Datensatz Parameterwerte, Formeln, Kalibrierdaten, Firmwareversionen, Checksummen und/oder Identifikationsdaten, insbesondere eine Seriennummer oder ein Gerätetag, umfasst, wobei das Verfahren die folgenden Verfahrensschritte umfasst:

  • - Auslesen des Datensatzes durch eine erste Instanz, wobei die erste Instanz einen zweiten privaten Schlüssel und zweite Verifikationsdaten aufweist;
  • - Erzeugen einer ersten digitalen Signatur mittels der ersten Instanz durch kryptographisches Signieren des Datensatzes durch die erste Instanz unter Verwendung des zweiten privaten Schlüssels;
  • - Schreiben der ersten digitalen Signatur und der zweiten Verifikationsdaten von der ersten Instanz in die Automatisierungskomponente;
  • - Erzeugen einer zweiten digitalen Signatur mittels der Automatisierungskomponente durch kryptographisches Signieren des Datensatzes, der ersten digitalen Signatur und der zweiten Verifikationsdaten unter Verwendung des ersten privaten Schlüssels;
  • - Erzeugen eines digitalen Siegels mittels der Automatisierungskomponente, wobei das digitale Siegel den Datensatz, die erste digitale Signatur, die zweite digitale Signatur, und die ersten Verifikationsdaten umfasst;
  • - Auslesen des digitalen Siegels mittels einer zweiten Instanz;
  • - Verifizieren der ersten digitalen Signatur durch die zweite Instanz mittels der zweiten Verifikationsdaten;
  • - Verifizieren der zweiten digitalen Signatur durch die zweite Instanz mittels der ersten Verifikationsdaten;
  • - Erzeugen einer Alarmmeldung durch die zweite Instanz, im Falle, dass die erste digitale Signatur und/oder die zweite digitale Signatur nicht erfolgreich verifiziert werden kann.
The object is achieved by a method for detecting any manipulation of an automation component, the automation component having a data set, a first private key and first verification data indicates which data set includes parameter values, formulas, calibration data, firmware versions, checksums and/or identification data, in particular a serial number or a device tag, the method including the following method steps:
  • - Reading out the data set by a first entity, the first entity having a second private key and second verification data;
  • - Generating a first digital signature by means of the first instance by cryptographically signing the data set by the first instance using the second private key;
  • - Writing the first digital signature and the second verification data from the first entity to the automation component;
  • - Generating a second digital signature by means of the automation component by cryptographically signing the data set, the first digital signature and the second verification data using the first private key;
  • - Generating a digital seal by means of the automation component, the digital seal comprising the data record, the first digital signature, the second digital signature, and the first verification data;
  • - Reading the digital seal by means of a second instance;
  • - Verification of the first digital signature by the second entity using the second verification data;
  • - Verification of the second digital signature by the second entity using the first verification data;
  • - Generation of an alarm message by the second entity in the event that the first digital signature and/or the second digital signature cannot be successfully verified.

Der Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass von einem entfernten Ort überprüft werden kann, ob der in einer Automatisierungskomponente gespeicherte Datensatz verändert wurde oder nicht. Der Datensatz wird an eine erste Instanz, beispielsweise eine Behörde, übermittelt, welche den Datensatz prüft, beispielsweise, ob Kalibrierungen korrekt vorgenommen wurden. Anschließend signiert die erste Instanz den Datensatz und zertifiziert die Automatisierungskomponente auf diese Art und Weise.The advantage of the method according to the invention is that it can be checked from a remote location whether the data record stored in an automation component has been changed or not. The data record is sent to a first instance, for example an authority, which checks the data record, for example whether calibrations have been carried out correctly. The first instance then signs the data record and certifies the automation component in this way.

Die Automatisierungskomponente erstellt anschließend ein digitales Siegel. Dieses kann von einer weiteren Instanz, beispielsweise einem Anlagenbetreiber, ausgelesen werden und mittels Verifikationsdaten, die von der ersten Instanz und von der Automatisierungskomponente mitgeliefert werden, überprüft werden. Wurden Änderungen am Datensatz vorgenommen, oder ist das digitale Siegel manipuliert worden, so können eine oder mehrere der digitalen Signaturen nicht erfolgreich verifiziert werden. Dem Anlagenbetreiber wird daraufhin beispielsweise eine Alarmmeldung angezeigt.The automation component then creates a digital seal. This can be read out by a further instance, for example a plant operator, and checked using verification data which are supplied by the first instance and by the automation component. If changes were made to the data record, or if the digital seal was manipulated, one or more of the digital signatures cannot be successfully verified. An alarm message, for example, is then displayed to the system operator.

Es ist vorteilhafterweise vorgesehen, dass das erfindungsgemäße Verfahren, insbesondere die Schritte des Erzeugens der digitalen Signaturen und des digitalen Siegels, wiederholt wird, wenn eine befugte und dokumentierte Änderung am Datensatz erfolgt.It is advantageously provided that the method according to the invention, in particular the steps of generating the digital signatures and the digital seal, is repeated if an authorized and documented change is made to the data record.

Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass die ersten Verifikationsdaten, bzw. die zweiten Verifikationsdaten, digitale Zertifikate und/oder öffentliche Schlüssel, umfassen. Mittels der digitalen Zertifikate, bzw. der öffentlichen Schlüssel sind die jeweiligen digitalen Signaturen auf einfache Art und Weise verifizierbar.According to an advantageous embodiment of the method according to the invention, it is provided that the first verification data or the second verification data comprise digital certificates and/or public keys. The respective digital signatures can be verified in a simple manner by means of the digital certificates or the public keys.

Gemäß einer Weiterbildung des erfindungsgemäßen Verfahrens ist vorgesehen, dass zumindest eine weitere Instanz vorgesehen ist, wobei die erste Instanz einen weiteren privaten Schlüssel und weitere Verifikationsdaten, insbesondere ein weiteres digitales Zertifikat und/oder einen weiteren öffentlichen Schlüssel, aufweist, weiter umfassend:

  • - Übermitteln der ersten digitalen Signatur und der zweiten Verifikationsdaten an die weitere Instanz;
  • - Erzeugen einer weiteren digitalen Signatur mittels der weiteren Instanz durch kryptographisches Signieren des Datensatzes, der ersten digitalen Signatur und der zweiten Verifikationsdaten unter Verwendung des weiteren privaten Schlüssels;
  • - Schreiben der weiteren digitalen Signatur und der weiteren Verifikationsdaten von der weiteren Instanz in die Automatisierungskomponente;
  • - Erzeugen der zweiten digitalen Signatur mittels der Automatisierungskomponente durch kryptographisches Signieren des Datensatzes, der weiteren digitalen Signatur und der weiteren Verifikationsdaten unter Verwendung des ersten privaten Schlüssels;
  • - Erzeugen eines digitalen Siegels mittels der Automatisierungskomponente, wobei das digitale Siegel den Datensatz, die weitere digitale Signatur, die zweite digitale Signatur, und die ersten Verifikationsdaten umfasst;
  • - Auslesen des digitalen Siegels mittels der zweiten Instanz;
  • - Verifizieren der ersten digitalen Signatur durch die zweite Instanz mittels der zweiten Verifikationsdaten;
  • - Verifizieren der weiteren digitalen Signatur durch die zweite Instanz mittels der weiteren Verifikationsdaten;
  • - Verifizieren der zweiten digitalen Signatur durch die zweite Instanz mittels der ersten Verifikationsdaten;
  • - Erzeugen einer Alarmmeldung durch die zweite Instanz, im Falle, dass die erste digitale Signatur, die weitere digitale Signatur und/oder die zweite digitale Signatur nicht erfolgreich verifiziert werden kann.
According to a development of the method according to the invention, it is provided that at least one further instance is provided, the first instance having a further private key and further verification data, in particular a further digital certificate and/or a further public key, further comprising:
  • - Transmission of the first digital signature and the second verification data to the further instance;
  • - Generating a further digital signature by means of the further instance by cryptographically signing the data set, the first digital signature and the second verification data using the further private key;
  • - Writing the further digital signature and the further verification data from the further instance into the automation component;
  • - Generating the second digital signature by means of the automation component by cryptographically signing the data record, the further digital signature and the further verification data using the first private key;
  • - Generating a digital seal by means of the automation component, the digital seal comprising the data record, the further digital signature, the second digital signature and the first verification data;
  • - Reading the digital seal by means of the second instance;
  • - Verification of the first digital signature by the second entity using the second verification data;
  • - Verification of the additional digital signature by the second entity using the additional verification data;
  • - Verification of the second digital signature by the second entity using the first verification data;
  • - Generation of an alarm message by the second instance in the event that the first digital signature, the further digital signature and/or the second digital signature cannot be successfully verified.

Der Datensatz wird somit von einer weiteren Instanz, beispielsweise einer weiteren Behörde oder von einem Rechner des Anlagenbetreibers, digital signiert. Es wird somit eine weitere Sicherheitsstufe hinzugefügt. Es kann vorgesehen sein, dass eine Vielzahl weiteren Instanzen die oben aufgeführten Schritte wiederholt, um eine Vielzahl von digitalen Signaturen zu erzeugen.The data record is thus digitally signed by another entity, for example another authority or by a computer belonging to the plant operator. A further level of security is thus added. Provision can be made for a large number of other instances to repeat the steps listed above in order to generate a large number of digital signatures.

Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass die Schritte des Auslesens und Schreibens über einen sicheren Datenkanal, insbesondere ausgebildet über ein OPC UA-Netzwerks, erfolgen. OPC UA („Open Platform Communication Unified Architecture“) erlaubt es standardmäßig, übertragene Daten zu verschlüsseln. Die Schritte des Auslesens und des Übermittelns können dadurch manipulationssicher erfolgen.According to an advantageous embodiment of the method according to the invention, it is provided that the steps of reading and writing take place via a secure data channel, in particular formed via an OPC UA network. By default, OPC UA (“Open Platform Communication Unified Architecture”) allows transmitted data to be encrypted. As a result, the steps of reading out and transmitting can be carried out in a tamper-proof manner.

Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass das Feldgerät und/oder die zweite Instanz über ein OPC UA-Netzwerk mit einer übergeordneten Einheit in Kommunikationsverbindung steht und wobei die Automatisierungskomponente, bzw. die zweite Instanz, die Alarmmeldung als Gerätestatus in zyklische, von der übergeordneten Einheit angeforderte, OPC-UA Telegramme einfügt. OPC UA Telegramme enthalten standardmäßig einen Gerätestatus. In dieser Ausgestaltung wird der Gerätestatus geändert, wenn die entsprechenden digitalen Signaturen nicht erfolgreich verifiziert werden konnten und somit der Verdacht einer Manipulation besteht. Der Gerätestatus kann beispielsweise in „Verifikation fehlgeschlagen“ oder „Überprüfung notwendig“ geändert werden.According to an advantageous embodiment of the method according to the invention, it is provided that the field device and/or the second entity is in communication with a higher-level unit via an OPC UA network and the automation component or the second entity converts the alarm message as a device status into cyclic, Inserts OPC UA telegrams requested by the higher-level unit. By default, OPC UA telegrams contain a device status. In this refinement, the device status is changed if the corresponding digital signatures could not be successfully verified and manipulation is therefore suspected. For example, the device status can be changed to "Verification failed" or "Needs verification".

Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass im Falle, dass eine Alarmmeldung erzeugt wird, die Automatisierungskomponente ausgeschaltet wird oder eine Kommunikationsfunktionalität der Automatisierungskomponente deaktiviert wird. Dies kann automatisch geschehen, damit, insbesondere in Custody-Transfer-Applikationen oder in sicherheitskritischen Anwendungen, kein Schaden am Prozess oder eine Manipulation des Wertstroms entsteht.According to an advantageous embodiment of the method according to the invention, it is provided that if an alarm message is generated, the automation component is switched off or a communication functionality of the automation component is deactivated. This can happen automatically so that no damage to the process or manipulation of the value stream occurs, especially in custody transfer applications or in safety-critical applications.

Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass die digitalen Signaturen Hashwerte des Datensatzes, welche mittels der jeweiligen privaten Schlüssel erzeugt werden, umfassen. Dadurch kann der aktuell in der Automatisierungskomponente befindliche Datensatz mit dem zum Zeitpunkt des Erzeugens einer Signatur ausgelesenen Datensatz verglichen werden. Dieser muss gleich sein, wenn es keine undokumentierte Änderung am Datensatz gegeben hat. Im Falle, dass der Datensatz abweicht, kann die jeweilige Signatur nicht erfolgreich verifiziert werden, woraufhin die Alarmmeldung erzeugt wird.According to an advantageous embodiment of the method according to the invention, it is provided that the digital signatures include hash values of the data set, which are generated using the respective private key. As a result, the data record currently in the automation component can be compared with the data record read out at the time a signature was generated. This must be the same if there has been no undocumented change to the dataset. In the event that the record differs, the respective signature cannot be verified successfully, whereupon the alarm message is generated.

Des Weiteren wird die Aufgabe durch eine Automatisierungskomponente gelöst, welche zur Verwendung in dem erfindungsgemäßen Verfahren ausgestaltet ist. Die Automatisierungskomponente benötigt hierfür eine entsprechende Software oder Firmware, welche vor Durchführen des Verfahrens von einer autorisierten Person auf die Automatisierungskomponente gespielt wird. Die Version der Software und der Zeitpunkt des Aufspielens wird dem Datensatz hinzugefügt.The object is also achieved by an automation component which is designed for use in the method according to the invention. For this purpose, the automation component requires appropriate software or firmware, which is loaded onto the automation component by an authorized person before the method is carried out. The version of the software and the time of uploading is added to the record.

Gemäß einer vorteilhaften Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die Automatisierungskomponente ein Feldgerät ist, welches zum Erfassen einer physikalischen Messgröße eines verfahrenstechnischen Prozesses oder zum Beeinflussen einer Prozessvariablen ausgestaltet ist.According to an advantageous embodiment of the automation component according to the invention, it is provided that the automation component is a field device which is designed to detect a physical measured variable of a process engineering process or to influence a process variable.

Feldgeräte, welche im Zusammenhang mit dem erfindungsgemäßen Verfahren genannt werden, sind bereits im einleitenden Teil der Beschreibung beispielhaft aufgeführt worden.Field devices, which are mentioned in connection with the method according to the invention, have already been listed as examples in the introductory part of the description.

Gemäß einer alternativen vorteilhaften Ausgestaltung der erfindungsgemäßen Automatisierungskomponente ist vorgesehen, dass die Automatisierungskomponente eine Steuerungsanlage, ein industrielles Gateway, ein Remote-I/O, ein Plant-Access-Point oder ein Edge Device ist.According to an alternative advantageous embodiment of the automation component according to the invention, it is provided that the automation component is a control system, an industrial gateway, a remote I/O, a plant access point or an edge device.

Die Erfindung wird anhand der nachfolgenden Figuren näher erläutert. Es zeigen

  • 1: ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens; und
  • 2: eine Detaillierung des Ausführungsbeispiels.
The invention is explained in more detail with reference to the following figures. Show it
  • 1 : an exemplary embodiment of the method according to the invention; and
  • 2 : a detail of the embodiment.

In 1 ist schematisch ein beispielhafter Ablauf des erfindungsgemäßen Verfahrens mit den Verfahrensschritten 1.) bis 10.) gezeigt. Im vorliegenden Beispiel wird als Automatisierungskomponente AK ein Feldgerät verwendet, konkret ein Durchflussmessgerät zum Erfassen eines Massenstroms eines Messmediums, welches eine Rohrleitung durchströmt. Das Feldgerät kann beispielsweise in einem Custody-Transfer-System eingesetzt sein, das Messmedium ist beispielsweise Rohöl. In einem solchen System ist es von großer Wichtigkeit, dass die Messwerte des Feldgeräts geeicht sind, sowie nicht manipulierbar sind. Das Feldgerät muss hierfür kalibriert werden. Die Kalibrierdaten, bzw. Kalibrierzertifikate werden, mitsamt anderen Daten wie Identifikationsdaten der Automatisierungskomponente AK, Parameterwerten der Automatisierungskomponente AK, der aktuellen Firmwareversion, u.ä., in einem Datensatz DS auf der Automatisierungskomponente AK gespeichert. Weiterhin weist die Automatisierungskomponente einen ersten privaten Schlüssel und erste Verifikationsdaten VD1 auf. Diese Komponenten werden in einem späteren Verfahrensschritt eingesetzt. Verifikationsdaten, welche in diesem Verfahrensschritt und in weiteren Verfahrensschritten genannt werden, weisen beispielsweise einen öffentlichen Schlüssel und/oder digitale Zertifikate auf.In 1 an exemplary sequence of the method according to the invention with method steps 1.) to 10.) is shown schematically. In the present example, a field device is used as the automation component AK, specifically a flow meter for detecting a mass flow of a measurement medium that flows through a pipeline. The field device can be used in a custody transfer system, for example, and the measurement medium is crude oil, for example. In such a system it is of great importance that the measured values of the field device are calibrated and cannot be manipulated. The field device must be calibrated for this. The calibration data or calibration certificates, together with other data such as identification data of the automation component AK, parameter values of the automation component AK, the current firmware version, etc., are stored in a data record DS on the automation component AK. Furthermore, the automation component has a first private key and first verification data VD1. These components are used in a later process step. Verification data, which are mentioned in this method step and in further method steps, have a public key and/or digital certificates, for example.

Alternativ kann ein Netzwerkgerät, beispielsweise ein Gateway, ein Flow-Computer, ein Edge Device, etc. als Automatisierungskomponente AK eingesetzt sein.Alternatively, a network device, for example a gateway, a flow computer, an edge device, etc. can be used as the automation component AK.

In einem ersten Verfahrensschritt 1.) wird der Datensatz DS von einer ersten Instanz IN1 ausgelesen. Alle Datenübermittlungsvorgänge (Auslesen und Übermitteln), welche in diesem und den folgenden Verfahrensschritten erwähnt werden, werden über ein Kommunikationsnetzwerk vorgenommen, welches OPC UA als Protokoll benutzt. Dieses Protokoll erlaubt ein manipulationsfreies Übermitteln von Daten. Bei der ersten Instanz IN1 handelt es sich beispielsweise um eine Behörde.In a first method step 1.), the data record DS is read out by a first entity IN1. All data transmission processes (reading and transmission), which are mentioned in this and the following method steps, are carried out via a communication network that uses OPC UA as a protocol. This protocol allows data to be transmitted without manipulation. The first entity IN1 is, for example, an authority.

In einem zweiten Verfahrensschritt 2.) prüft die Behörde den Datensatz DS, insbesondere die Identifikationsdaten, Parameterwerte, Firmwareversionen, Checksummen, Kalibrierzertifikate und/oder die Menge des durch das Automatisierungsinstrument geflossene Messmedium und signiert den Datensatz DS kryptographisch, insbesondere durch Bilden eines Hashwerts des Datensatzes DS. Hierfür besitzt die Behörde einen zweiten privaten Schlüssel KY2. Hierdurch wird eine erste digitale Signatur SN1 erstellt, welche den Hashwert und eine Identifikation der ersten Instanz IN1 enthält. Des Weiteren weist die erste Instanz IN1 zweite Verifikationsdaten VD2 auf, welche es erlauben, Rückschlüsse auf die Korrektheit des Datensatzes DS und auf die Identität der ersten Instanz IN1 zu schließen. Beispielsweise handelt es sich bei den Verifikationsdaten VD2 um einen zu dem privaten Schüssel KY2 korrespondierenden öffentlichen Schlüssel.In a second method step 2.), the authority checks the data record DS, in particular the identification data, parameter values, firmware versions, checksums, calibration certificates and/or the amount of measurement medium that has flowed through the automation instrument, and signs the data record DS cryptographically, in particular by forming a hash value of the data record DS. The authority has a second private key KY2 for this purpose. This creates a first digital signature SN1, which contains the hash value and an identification of the first instance IN1. Furthermore, the first instance IN1 has second verification data VD2, which allow conclusions to be drawn about the correctness of the data record DS and the identity of the first instance IN1. For example, the verification data VD2 is a public key that corresponds to the private key KY2.

Die Verifikation kann folgendermaßen durchgeführt werden:

  • H bezeichnet den Hashwert des Datensatzes DS.
The verification can be carried out as follows:
  • H designates the hash value of the data record DS.

Dieser wird gebildet durch H = f(DS), wobei f eine Hash-Funktion bezeichnet.This is formed by H = f(DS), where f denotes a hash function.

g bezeichnet eine asymetrische kryptographische Funktion.
Hierdurch wird SN1 = g(DS, K2) gebildet.g denotes an asymmetric cryptographic function.
This forms SN1 = g(DS, K2).

g' bezeichnet eine an asymetrische kryptographische Funktion zum Entschlüsseln, was von g verschlüsselt wurde. Also ist DS = g' ( SN 1, VD 2 ) .

Figure DE102020120300A1_0001
g' denotes an asymmetric cryptographic function for decrypting what was encrypted by g. So is DS = G' ( SN 1, vd 2 ) .
Figure DE102020120300A1_0001

Der Hashwert lässt sich dann durch f(DS) = g'(SN1, VD2) verifizieren. Wenn also der Hashwert gleich der Entschüsselung der ersten digitalen Signatur ist, ist die Verifikation erfolgreich durchgeführt.The hash value can then be verified by f(DS)=g'(SN1, VD2). So if the hash value is equal to the decryption of the first digital signature, the verification is successful.

In einem dritten Verfahrensschritt 3.) übermittelt die erste Instanz IN1 die erste digitale Signatur SN1 und die zweiten Verifikationsdaten an die Automatisierungskomponente AK, woraufhin diese Daten in die Automatisierungskomponente AK geschrieben werden.In a third method step 3.), the first entity IN1 transmits the first digital signature SN1 and the second verification data to the automation component AK, whereupon this data is written to the automation component AK.

In einem vierten Verfahrensschritt 4.) erzeugt die Automatisierungskomponente eine zweite digitale Signatur SN2. Hierfür werden der Datensatzes DS, die erste digitalen Signatur SN1 und die zweiten Verifikationsdaten VD2 mittels des ersten privaten Schlüssels KY1 kryptographisch signiert, insbesondere durch Bilden eines Hashwerts oder durch Verschlüsseln der Daten.In a fourth method step 4.), the automation component generates a second digital signature SN2. For this purpose, the data record DS, the first digital signature SN1 and the second verification data VD2 are cryptographically signed using the first private key KY1, in particular by forming a hash value or by encrypting the data.

Anschließend erstellt die Automatisierungskomponente ein sogenanntes digitales Siegel SG. Dieses enthält den Datensatz DS, die erste digitale Signatur SN1, die zweite digitale Signatur SN2 und die ersten Verifikationsdaten VD1. Bei jedem qualifizierten Updaten an dem Datensatz DS werden die Verfahrensschritte 1.) bis 4.) wiederholt. Dadurch entsprechen die Inhalte des digitalen Siegels SG stehts dem aktuellen Datensatz DS. Wird der Datensatz DS durch einen Unbefugten manipuliert, so entspricht der Inhalt des digitalen Siegels SG nicht mehr dem Datensatz. Ein Unbefugter kann das digitale Siegel nicht updaten, da hierfür stets mindestens eine Instanz IN1 involviert ist, über welche er keine Kontrolle ausüben kann. Das Überprüfen des digitalen Siegels SG auf Konsistenz mit dem aktuellen Datensatz DS wird im Folgenden beschrieben:

  • Nach Erstellen des digitalen Siegels SG überträgt die Automatisierungskomponente AK dieses in einem Verfahrensschritt 5.) an eine externe Datenbank, beispielsweise an eine cloudbasierte Datenbank. Alternativ verbleibt das digitale Siegel SG in einem Datenspeicher der Automatisierungskomponente AK. Eine zweite Instanz IN2, beispielsweise eine weitere Behörde oder der Anlagenbetreiber, liest das digitale Siegel SG in einem Verfahrensschritt 6.) aus der Datenbank, bzw. der Automatisierungskomponente AK aus. Unter Verwendung der zweiten Verifikationsdaten VD2 verifiziert die zweite Instanz in einem Verfahrensschritt 7.) die erste Signatur SN1, also insbesondere die Identität der ersten Instanz IN.
The automation component then creates a so-called digital seal SG. This contains the data record DS, the first digital signature SN1, the second digital signature SN2 and the first verification data VD1. With each qualified update to the data record DS, method steps 1.) to 4.) are repeated. As a result, the contents of the digital seal SG always correspond to the current data record DS. If the data record DS is manipulated by an unauthorized person, the content of the digital seal SG no longer corresponds to the data record. An unauthorized person cannot update the digital seal, since at least one instance IN1 is always involved for this, over which he has no can exercise control. Checking the digital seal SG for consistency with the current data record DS is described below:
  • After creating the digital seal SG, the automation component AK transfers this to an external database, for example a cloud-based database, in a method step 5.). Alternatively, the digital seal SG remains in a data memory of the automation component AK. A second entity IN2, for example another authority or the plant operator, reads the digital seal SG in a method step 6.) from the database or the automation component AK. Using the second verification data VD2, the second entity verifies in a method step 7.) the first signature SN1, ie in particular the identity of the first entity IN.

Konnte die erste Signatur SN1 korrekt verifiziert werden, so liest die zweite Instanz IN2 in einem Verfahrensschritt 8.) den aktuellen Datensatz DS aus der Automatisierungskomponente AK aus. Anschließend verifiziert die zweite Instanz IN2 in einem Verfahrensschritt 9.) die zweite digitale Signatur mittels der ersten Verifikationsdaten VD1, beispielsweise durch Entschlüsseln des Datensatzes und Vergleichen des entschlüsselten Datensatzes mit dem aktuellen Datensatz DS.If the first signature SN1 could be verified correctly, the second instance IN2 reads out the current data set DS from the automation component AK in a method step 8.). In a method step 9.), the second entity IN2 then verifies the second digital signature using the first verification data VD1, for example by decrypting the data record and comparing the decrypted data record with the current data record DS.

In einem Verfahrensschritt 10.) wird anschließend das Ergebnis bekannt gemacht. Konnten die erste Signatur SN1 und die zweite Signatur SN2 erfolgreich verifiziert werden, so wurde der Datensatz DS nicht unbefugt verändert. Kann eine oder beide der Signaturen SN1, SN2 nicht erfolgreich verifiziert werden, so erfolgte eventuell eine Manipulation an dem in der Automatisierungskomponente AK gespeicherten aktuellen Datensatz DS. In diesem Fall wird eine Alarmmeldung erzeugt, beispielsweise direkt in der zweiten Instanz IN2. Alternativ wird der zyklische Status der Automatisierungskomponente, welcher von einer übergeordneten Einheit abgerufen wird, geändert. Hierfür steht die Automatisierungskomponente AK über ein OPC UA-Netzwerk mit der übergeordneten Einheit, beispielsweise einer Steuerungseinheit, in Kommunikationsverbindung. Der Gerätestatus wird in die zyklischen, von der übergeordneten Einheit angeforderte, OPC-UA Telegramme eingefügt, so dass eine Alarmmeldung automatisch detektiert wird. Als Reaktion wird beispielsweise die Kommunikationsfunktionalität der Automatisierungskomponente eingeschränkt.In a method step 10.), the result is then made known. If the first signature SN1 and the second signature SN2 could be successfully verified, then the data record DS was not changed without authorization. If one or both of the signatures SN1, SN2 cannot be verified successfully, the current data record DS stored in the automation component AK may have been manipulated. In this case an alarm message is generated, for example directly in the second entity IN2. Alternatively, the cyclical status of the automation component, which is retrieved from a higher-level unit, is changed. For this purpose, the automation component AK is in communication connection with the superordinate unit, for example a control unit, via an OPC UA network. The device status is inserted into the cyclic OPC UA telegrams requested by the higher-level unit, so that an alarm message is automatically detected. As a reaction, for example, the communication functionality of the automation component is restricted.

Um die Sicherheit des erfindungsgemäßen Verfahrens weiter zu erhöhen, sind weitere Instanzen INx, INn vorgesehen, welche weitere digitale Signaturen SNx, SNn erzeugen.In order to further increase the security of the method according to the invention, additional entities INx, INn are provided, which generate additional digital signatures SNx, SNn.

In 2 ist dies verdeutlicht: Nach dem dritten Verfahrensschritt 3.) wird nicht direkt das digitale Siegel SG erzeugt. Zuerst werden die erste digitale Signatur und die zweiten Verifikationsdaten in einem Verfahrensschritt 1.a) an die weitere Instanz INx übermittelt.In 2 this is made clear: after the third method step 3.), the digital seal SG is not generated directly. First, the first digital signature and the second verification data are transmitted to the further instance INx in a method step 1.a).

In einem Verfahrensschritt 2.a) erzeugt die weitere Instanz INx eine weitere digitalen Signatur SNx durch kryptographisches Signieren des Datensatzes(DS, der ersten digitalen Signatur SN1 und der zweiten Verifikationsdaten VD2 unter Verwendung eines weiteren, der weiteren Instanz zugeordneten privaten Schlüssels KYx. In einem Verfahrensschritt 3.a) übermittelt die weitere Instanz INx die weitere digitale Signatur SNx die weiteren Verifikationsdaten VDx an die Automatisierungskomponente AK, woraufhin diese Daten in die Automatisierungskomponente geschrieben werden.In a method step 2.a), the further entity INx generates a further digital signature SNx by cryptographically signing the data record (DS), the first digital signature SN1 and the second verification data VD2 using a further private key KYx assigned to the further entity. In a Method step 3.a), the further instance INx transmits the further digital signature SNx the further verification data VDx to the automation component AK, whereupon this data is written into the automation component.

Diese Verfahrensschritte können daraufhin beliebig bis zu einer n-ten Instanz wiederholt werden (siehe Schritte 1.n), 2n), 3.n)), um weitere digitale Signaturen SNn unter Verwendung weiterer privater Schlüssel KYn zu erzeugen. Jede weitere digitale Signatur SNn wird anschließend in die Automatisierungskomponente AK geschrieben.These method steps can then be repeated up to an nth instance (see steps 1.n), 2n), 3.n)) in order to generate further digital signatures SNn using further private keys KYn. Each additional digital signature SNn is then written to the automation component AK.

Anschließend erstellt die Automatisierungskomponente das digitale Siegel DS (analog zu Verfahrensschritt 4.) ff.). Dieses enthält sämtliche von den Instanzen IN1, INx, ..., INn und der Automatisierungskomponente selbst erzeugten digitalen Signaturen SN1, SN2, SNx, ..., SNn, sämtliche Verifikationsdaten VD1, VD2, VDx, ..., VDn und den Datensatz selbst. Ein Unbefugter müsste Kontrolle über alle Instanzen IN1, INx, ..., INn ausüben, um den Datensatz DS zu ändern und dieses Update in das digitale Siegel SG zu schreiben.The automation component then creates the digital seal DS (similar to method step 4.) ff.). This contains all of the entities IN1, INx, ..., INn and the automation component itself generated digital signatures SN1, SN2, SNx, ..., SNn, all verification data VD1, VD2, VDx, ..., VDn and the data record itself. An unauthorized person would have to exercise control over all instances IN1, INx, ..., INn in order to change the data record DS and to write this update in the digital seal SG.

Die zweite Instanz IN2 verifiziert abschließend nacheinander alle digitalen Signaturen SN1, SN2, SNx, ..., SNn, endend mit der zweiten Signatur, welche die Überprüfung des Datensatz DS ermöglicht. Kann nur eine einzelne der digitalen Signaturen SN1, SN2, SNx, ..., SNn nicht verifiziert werden, so wird die Alarmmeldung erzeugt.Finally, the second instance IN2 verifies all digital signatures SN1, SN2, SNx, . If just one of the digital signatures SN1, SN2, SNx, . . . , SNn cannot be verified, the alarm message is generated.

Das erfindungsgemäße Verfahren eignet sich besonders zur Anwendung in Custody-Transfer-Anlagen, in welchen Transaktionen manipulationssicher und unanfechtbar durchgeführt und aufgezeichnet werden müssen.The method according to the invention is particularly suitable for use in custody transfer systems in which transactions must be carried out and recorded in a tamper-proof and incontestable manner.

BezugszeichenlisteReference List

1.), ..., 10.)1.), ..., 10.)
Verfahrensschritteprocess steps
AKAK
Automatisierungskomponenteautomation component
ALAL
Alarmmeldungalarm message
DSDS
Datensatzrecord
IN1, IN2, INx, ..., INnIN1, IN2, INx, ..., INn
erste Instanz, zweite Instanz, weitere Instanz, n-te Instanzfirst instance, second instance, further instance, nth instance
KY1, KY2, KYx, ..., KYnKY1, KY2, KYx, ..., KYn
private Schlüsselprivate keys
SGSG
digitales Siegeldigital seal
SN1, SN2, SNx, ..., SNnSN1, SN2, SNx, ..., SNn
digitale Signaturendigital signatures
VD1, VD2, VDx, ..., VDnVD1, VD2, VDx, ..., VDn
Verifikationsdatenverification data

Claims (10)

Verfahren zum Detektieren einer etwaigen Manipulation einer Automatisierungskomponente (AK), wobei die Automatisierungskomponente (AK) einen Datensatz (DS), einen ersten privaten Schlüssel (KY1) und erste Verifikationsdaten (VD1) aufweist, welcher Datensatz (DS) Parameterwerte, Formeln, Kalibrierdaten, Firmwareversionen, Checksummen und/oder Identifikationsdaten, insbesondere eine Seriennummer oder ein Gerätetag, umfasst, wobei das Verfahren die folgenden Verfahrensschritte umfasst: - Auslesen des Datensatzes (DS) durch eine erste Instanz (IN1), wobei die erste Instanz (IN1) einen zweiten privaten Schlüssel (KY2) und zweite Verifikationsdaten (VD2) aufweist; - Erzeugen einer ersten digitalen Signatur (SN1) mittels der ersten Instanz (IN1) durch kryptographisches Signieren des Datensatzes (DS) durch die erste Instanz (IN1) unter Verwendung des zweiten privaten Schlüssels (KY2); - Schreiben der ersten digitalen Signatur (SN1) und der zweiten Verifikationsdaten (VD2) von der ersten Instanz (IN1) in die Automatisierungskomponente (AK); - Erzeugen einer zweiten digitalen Signatur (SN2) mittels der Automatisierungskomponente (AK) durch kryptographisches Signieren des Datensatzes (DS), der ersten digitalen Signatur (SN1) und der zweiten Verifikationsdaten (VD2) unter Verwendung des ersten privaten Schlüssels (KY1); - Erzeugen eines digitalen Siegels (SG) mittels der Automatisierungskomponente (AK), wobei das digitale Siegel (SG) den Datensatz (DS), die erste digitale Signatur (SN1), die zweite digitale Signatur (SN2), und die ersten Verifikationsdaten (VD1) umfasst; - Auslesen des digitalen Siegels (SG) mittels einer zweiten Instanz (IN2); - Verifizieren der ersten digitalen Signatur (SN1) durch die zweite Instanz (IN2) mittels der zweiten Verifikationsdaten (VD2); - Verifizieren der zweiten digitalen Signatur (SN2) durch die zweite Instanz (IN2) mittels der ersten Verifikationsdaten (VD1); - Erzeugen einer Alarmmeldung (AL) durch die zweite Instanz (IN2), im Falle, dass die erste digitale Signatur (SN1) und/oder die zweite digitale Signatur (SN2) nicht erfolgreich verifiziert werden kann.A method for detecting any manipulation of an automation component (AK), the automation component (AK) having a data set (DS), a first private key (KY1) and first verification data (VD1), which data set (DS) has parameter values, formulas, calibration data, Firmware versions, checksums and/or identification data, in particular a serial number or a device tag, the method comprising the following method steps: - Reading out the data set (DS) by a first entity (IN1), the first entity (IN1) having a second private key (KY2) and second verification data (VD2); - Generating a first digital signature (SN1) by means of the first entity (IN1) by cryptographically signing the data set (DS) by the first entity (IN1) using the second private key (KY2); - Writing the first digital signature (SN1) and the second verification data (VD2) from the first entity (IN1) in the automation component (AK); - Generating a second digital signature (SN2) by means of the automation component (AK) by cryptographically signing the data record (DS), the first digital signature (SN1) and the second verification data (VD2) using the first private key (KY1); - Generating a digital seal (SG) by means of the automation component (AK), the digital seal (SG) containing the data record (DS), the first digital signature (SN1), the second digital signature (SN2), and the first verification data (VD1 ) includes; - Reading the digital seal (SG) by means of a second entity (IN2); - Verifying the first digital signature (SN1) by the second entity (IN2) using the second verification data (VD2); - Verifying the second digital signature (SN2) by the second entity (IN2) using the first verification data (VD1); - Generation of an alarm message (AL) by the second entity (IN2) in the event that the first digital signature (SN1) and/or the second digital signature (SN2) cannot be successfully verified. Verfahren nach Anspruch 1, wobei die ersten Verifikationsdaten (VD1), bzw. die zweiten Verifikationsdaten (VD2), digitale Zertifikate und/oder öffentliche Schlüssel, umfassen.procedure after claim 1 , wherein the first verification data (VD1) or the second verification data (VD2), digital certificates and/or public keys. Verfahren nach zumindest einem der Ansprüche 1 oder 2, wobei zumindest eine weitere Instanz (INx, INn) vorgesehen ist, wobei die erste Instanz (IN1) einen weiteren privaten Schlüssel (KYx, KYn) und weitere Verifikationsdaten (VDx, VDn), insbesondere ein weiteres digitales Zertifikat und/oder einen weiteren öffentlichen Schlüssel, aufweist, weiter umfassend: - Übermitteln der ersten digitalen Signatur (SN1) und der zweiten Verifikationsdaten (VD2) an die weitere Instanz (INx, INn); - Erzeugen einer weiteren digitalen Signatur (SNx, SNn) mittels der weiteren Instanz (INx, INn) durch kryptographisches Signieren des Datensatzes (DS), der ersten digitalen Signatur (SN1) und der zweiten Verifikationsdaten (VD2) unter Verwendung des weiteren privaten Schlüssels (KYx, KYn); - Schreiben der weiteren digitalen Signatur (SNx, SNn) und der weiteren Verifikationsdaten (VDx, VDn) von der weiteren Instanz (INx) in die Automatisierungskomponente (AK); - Erzeugen der zweiten digitalen Signatur (SN2) mittels der Automatisierungskomponente (AK) durch kryptographisches Signieren des Datensatzes (DS), der weiteren digitalen Signatur (SNx, SNn) und der weiteren Verifikationsdaten (VDx, VDn) unter Verwendung des ersten privaten Schlüssels (KY1); - Erzeugen eines digitalen Siegels mittels der Automatisierungskomponente (AK), wobei das digitale Siegel den Datensatz (DS), die weitere digitale Signatur, (SNx, SNn) die zweite digitale Signatur (SN2), und die ersten Verifikationsdaten (VD1) umfasst; - Auslesen des digitalen Siegels mittels der zweiten Instanz (IN2); - Verifizieren der ersten digitalen Signatur (SN1) durch die zweite Instanz (IN2) mittels der zweiten Verifikationsdaten (VD2); - Verifizieren der weiteren digitalen Signatur (SNx, SNn) durch die zweite Instanz (IN2) mittels der weiteren Verifikationsdaten (VDx, VDn); - Verifizieren der zweiten digitalen Signatur (SNx, SNn) durch die zweite Instanz (IN2) mittels der ersten Verifikationsdaten (VD1); - Erzeugen einer Alarmmeldung (AL) durch die zweite Instanz (IN2), im Falle, dass die erste digitale Signatur (SN1), die weitere digitale Signatur (Snx, Snn) und/oder die zweite digitale Signatur (SN2) nicht erfolgreich verifiziert werden kann.Method according to at least one of Claims 1 or 2 , wherein at least one further instance (INx, INn) is provided, the first instance (IN1) having another private key (KYx, KYn) and further verification data (VDx, VDn), in particular another digital certificate and/or another public one Key having, further comprising: - Transmission of the first digital signature (SN1) and the second verification data (VD2) to the further entity (INx, INn); - Generating a further digital signature (SNx, SNn) by means of the further entity (INx, INn) by cryptographically signing the data record (DS), the first digital signature (SN1) and the second verification data (VD2) using the further private key ( KYx, KYn); - Writing the further digital signature (SNx, SNn) and the further verification data (VDx, VDn) from the further instance (INx) into the automation component (AK); - Generating the second digital signature (SN2) by means of the automation component (AK) by cryptographically signing the data set (DS), the further digital signature (SNx, SNn) and the further verification data (VDx, VDn) using the first private key (KY1 ); - Generating a digital seal by means of the automation component (AK), the digital seal comprising the data set (DS), the further digital signature (SNx, SNn), the second digital signature (SN2), and the first verification data (VD1); - Reading the digital seal by means of the second instance (IN2); - Verifying the first digital signature (SN1) by the second entity (IN2) using the second verification data (VD2); - Verifying the additional digital signature (SNx, SNn) by the second entity (IN2) using the additional verification data (VDx, VDn); - Verifying the second digital signature (SNx, SNn) by the second entity (IN2) using the first verification data (VD1); - Generation of an alarm message (AL) by the second entity (IN2) in the event that the first digital signature (SN1), the further digital signature (Snx, Snn) and/or the second digital signature (SN2) are not successfully verified can. Verfahren nach zumindest einem der vorherigen Ansprüche, wobei die Schritte des Auslesens und Schreibens über einen sicheren Datenkanal, insbesondere ausgebildet über ein OPC UA-Netzwerks, erfolgen.Method according to at least one of the preceding claims, wherein the steps of reading out and writing take place via a secure data channel, in particular formed via an OPC UA network. Verfahren nach zumindest einem der vorherigen Ansprüche, wobei das Feldgerät und/oder die zweite Instanz (IN2) über ein OPC UA-Netzwerk mit einer übergeordneten Einheit in Kommunikationsverbindung steht und wobei die Automatisierungskomponente (AK), bzw. die zweite Instanz (IN2), die Alarmmeldung (AL) als Gerätestatus in zyklische, von der übergeordneten Einheit angeforderte, OPC-UA Telegramme einfügt.Method according to at least one of the preceding claims, wherein the field device and/or the second entity (IN2) is in communication with a higher-level unit via an OPC UA network and wherein the automation component (AK) or the second entity (IN2) inserts the alarm message (AL) as device status in cyclic OPC UA telegrams requested by the higher-level unit. Verfahren nach zumindest einem Ansprüche 1 bis 4, wobei im Falle, dass eine Alarmmeldung (AL) erzeugt wird, die Automatisierungskomponente (AK) ausgeschaltet wird oder eine Kommunikationsfunktionalität der Automatisierungskomponente (AK) deaktiviert wird.Procedure according to at least one Claims 1 until 4 , In the event that an alarm message (AL) is generated, the automation component (AK) is switched off or a communication functionality of the automation component (AK) is deactivated. Verfahren nach zumindest einem der vorherigen Ansprüche, wobei die digitalen Signaturen (SN1, SN2, ..., SNx, ..., SNn) Hashwerte des Datensatzes (DS), welche mittels der jeweiligen privaten Schlüssel (KY1, KY2, ..., KYx, ..., KYn) erzeugt werden, umfassen.Method according to at least one of the preceding claims, wherein the digital signatures (SN1, SN2, ..., SNx, ..., SNn) haveh values of the data record (DS) which are generated using the respective private keys (KY1, KY2, ... , KYx, ..., KYn) are generated. Automatisierungskomponente (AK), welche zur Verwendung in einem Verfahren gemäß zumindest einem der Ansprüche 1 bis 7 ausgestaltet ist.Automation component (AK), which for use in a method according to at least one of Claims 1 until 7 is designed. Automatisierungskomponente (AK) nach Anspruch 8, wobei die Automatisierungskomponente (AK) ein Feldgerät ist, welches zum Erfassen einer physikalischen Messgröße eines verfahrenstechnischen Prozesses oder zum Beeinflussen einer Prozessvariablen ausgestaltet ist.Automation component (AK) after claim 8 , wherein the automation component (AK) is a field device which is designed to detect a physical measured variable of a technical process or to influence a process variable. Automatisierungskomponente (AK) nach Anspruch 8, wobei die Automatisierungskomponente (AK) eine Steuerungsanlage, ein industrielles Gateway, ein Remote-I/O, ein Plant-Access-Point oder ein Edge Device ist.Automation component (AK) after claim 8 , where the automation component (AK) is a control system, an industrial gateway, a remote I/O, a plant access point or an edge device.
DE102020120300.4A 2020-07-31 2020-07-31 Method for detecting any manipulation of an automation component Pending DE102020120300A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102020120300.4A DE102020120300A1 (en) 2020-07-31 2020-07-31 Method for detecting any manipulation of an automation component
PCT/EP2021/066757 WO2022022891A1 (en) 2020-07-31 2021-06-21 Method for detecting potential tampering of an automation component

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020120300.4A DE102020120300A1 (en) 2020-07-31 2020-07-31 Method for detecting any manipulation of an automation component

Publications (1)

Publication Number Publication Date
DE102020120300A1 true DE102020120300A1 (en) 2022-02-03

Family

ID=76708205

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020120300.4A Pending DE102020120300A1 (en) 2020-07-31 2020-07-31 Method for detecting any manipulation of an automation component

Country Status (2)

Country Link
DE (1) DE102020120300A1 (en)
WO (1) WO2022022891A1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140180859A1 (en) 2004-12-30 2014-06-26 Life Technologies Corporation System and method for offering and managing online purchasing card transactions
US20160010445A1 (en) 2013-03-15 2016-01-14 Wellaware Holdings, Inc. Systems and methods for providing end-to-end monitoring and/or control of remote oil and gas production assets
US20170032382A1 (en) 2014-04-14 2017-02-02 Jenda Tag, LLC System and Method for Product Authentication
US20170285622A1 (en) 2016-04-05 2017-10-05 Wellaware Holdings, Inc. Monitoring and controlling industrial equipment
DE102016208512A1 (en) 2016-05-18 2017-11-23 Bundesdruckerei Gmbh Access control with a mobile device

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012004542A1 (en) * 2012-03-09 2013-09-12 Rwe Ag Electronic nameplate for measuring instruments
US9904785B2 (en) * 2015-06-02 2018-02-27 Rockwell Automation Technologies, Inc. Active response security system for industrial control infrastructure
EP3554050A1 (en) * 2018-04-09 2019-10-16 Siemens Aktiengesellschaft Method for securing an automation component
US11025429B2 (en) * 2018-05-14 2021-06-01 Skydio, Inc. Trusted contextual content

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140180859A1 (en) 2004-12-30 2014-06-26 Life Technologies Corporation System and method for offering and managing online purchasing card transactions
US20160010445A1 (en) 2013-03-15 2016-01-14 Wellaware Holdings, Inc. Systems and methods for providing end-to-end monitoring and/or control of remote oil and gas production assets
US20170032382A1 (en) 2014-04-14 2017-02-02 Jenda Tag, LLC System and Method for Product Authentication
US20170285622A1 (en) 2016-04-05 2017-10-05 Wellaware Holdings, Inc. Monitoring and controlling industrial equipment
DE102016208512A1 (en) 2016-05-18 2017-11-23 Bundesdruckerei Gmbh Access control with a mobile device

Also Published As

Publication number Publication date
WO2022022891A1 (en) 2022-02-03

Similar Documents

Publication Publication Date Title
EP3264208B1 (en) Method for updating process objects in an engineering system
DE102017111928A1 (en) Method for authorized updating of a field device of automation technology
EP3850451B1 (en) Method for improving the measuring performance of automation field devices
EP2247987A1 (en) Method for operating a field device
DE102017102677A1 (en) Method for authenticating a field device of automation technology
WO2008012164A1 (en) Method for isolating special functionalities in field devices used in automation technology
DE202016105474U1 (en) Device for tamper-proof registration of measured values
WO2016026622A1 (en) Method for parameterizing a field device
EP3391611B1 (en) Access key for a field device
DE102017205832A1 (en) Method for parameterizing a field device and parameterizable field device
WO2012065808A1 (en) Method for diagnosing a field device
DE102014112226A1 (en) Method for transmitting field device data
EP3732868B1 (en) Method for securing an automation component
EP2018603A1 (en) Method for parameterizing a process automation field device by simulating the acyclic services
DE102020120300A1 (en) Method for detecting any manipulation of an automation component
DE102010028152A1 (en) Recording history information in a field device
DE102007022006A1 (en) Method for transmitting data to a field device of automation technology, in particular of process automation technology
WO2022135844A1 (en) Honeypot for a connection between an edge device and a cloud-based service platform
AT522276B1 (en) Device and method for checking the integrity of sensor data streams
DE102020118958A1 (en) Field device and method of integrating a field device
DE102011084321A1 (en) Communication unit for use in system of process automation technology, has user interface which represents information based on system structure, while system structure on field bus topology is inversely mapped with drawing algorithm
EP3820081A1 (en) Method for performing an authorisation-dependent communication between at least one field device involved in automation technology and an operating device
EP1198737B1 (en) Visualisierungssystem für technische prozessdaten
DE102009054800A1 (en) Arrangement for application-specific processing and accessing of device-specific information of e.g. pump utilized in factory automation technology, is designed such that selected parameter subgroup is made available in structure
WO2024088817A1 (en) Method and device for testing a firmware update for an edge device

Legal Events

Date Code Title Description
R163 Identified publications notified