EP2949111A1 - Ip adress determination - Google Patents

Ip adress determination

Info

Publication number
EP2949111A1
EP2949111A1 EP14715558.4A EP14715558A EP2949111A1 EP 2949111 A1 EP2949111 A1 EP 2949111A1 EP 14715558 A EP14715558 A EP 14715558A EP 2949111 A1 EP2949111 A1 EP 2949111A1
Authority
EP
European Patent Office
Prior art keywords
address
network
network node
address part
name
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP14715558.4A
Other languages
German (de)
French (fr)
Inventor
Rainer Falk
Reinhard Frank
Matthias Scheffel
Matthias Seifert
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of EP2949111A1 publication Critical patent/EP2949111A1/en
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/604Address structures or formats
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses

Definitions

  • IP Address Determination The present invention relates to the technical field of determining addresses for a network node.
  • IPv6 Internet Protocol version 6
  • IPv6 node can designate an address itself (Address Autoconfiguration) or it can be assigned an address from a DHCPv6 server (see RFC4291).
  • DHCP creates a single point of failure with the required DHCP server.
  • the safety detection becomes more complex because the correct behavior of the DHCP address assignment must be ensured.
  • the IPv6 address consists of a network part and an interface part. While the network part is dictated by the network currently used, the interface part is unique to a specific host. The network part is generally made known by a router with a Router Advertisement message in the network segment.
  • the self-configuration of an IP address consists essentially of the following variants:
  • the address is manually configured by an administrator.
  • the address is determined by the host itself.
  • the address of an interface can be determined based on the MAC address of the interface. This has the disadvantage that the address depends on the hardware, ie may not yet be available at the time of configuration and changes when the device is replaced.
  • the address can alternatively be determined randomly (Privacy Address). This represents a non-determinism that is undesirable in a safety-critical environment.
  • the address is stored as a fingerprint (hash value) dependent on a cryptographic key (CGA,
  • IPv6 tunneling IPv6 tunneling
  • 6RD IPv6 Rapid Deployment
  • IPv4 address completely or partially built into an IPv6 address.
  • the present invention has for its object to meet this need.
  • a method for the deterministic determination of an address part for a network node is proposed.
  • a unique name for the network node or for a group of network nodes is assigned in a configuration.
  • the address part is determined in a deterministic manner depending on the unique name by means of a derivative function.
  • a system for deterministic determination of an address part of a network node comprises a determination means.
  • the determination means is adapted to determine the address part in a deterministic manner depending on a unique name of the network node or a group of network nodes assigned in a configuration by means of a derivation function.
  • a network node can manifest itself in many ways.
  • a network node may be, for example, a device, a device, a system, an interface, a terminal, or a host.
  • FIG 1 shows the basic structure of an IPv6 address
  • Figure 2 is a block diagram of a system according to an embodiment of the invention.
  • Figure 3 is a block diagram of a system according to another embodiment of the invention.
  • FIG. 1 shows the basic structure of an IPv6 address 90 in three levels of detail.
  • the IPv6 address 90 has a length of 128 bits.
  • the address 90 is generally structured, ie it has a plurality of logical areas 91, 92, 93, 94, 95. These can, for example, be a subnetwork by means of a Specify a subnet prefix 91 and an interface by means of an interface identifier 92 (also called interface ID 92).
  • the subnet prefix may be divided into a routing prefix 94 (preferably a global routing prefix) and a subnet ID 95.
  • areas 93 may be provided which identify the type of address (eg global or locally valid address).
  • the limits of the fields are basically not fixed, but can be selected appropriately (see, for example, RFC 6177, which describes that the length of the global routing prefix 94 and the resulting subnet ID 95 can vary).
  • the limits are "only intended", ie in an IPv6 data packet, the 128 bits of the send address and destination address are encoded, but not the position of the boundaries.This is through configuration information, such as a network prefix information provided by a router in the network. known.
  • FIG. 2 shows a system 1 designed as network node 1 for the deterministic determination of an address part 9a of an IPv6 address 9 of a network node 1 according to a preferred embodiment of the invention.
  • the system 1 comprises a determination means 8, which is adapted to determine the address part 9a in a deterministic manner depending on a unique designation assigned name 2a of the network node 1 or a group of network nodes 1 by means of an algorithmic derivation function 7a.
  • algorithmic derivative function means a function which does not have to be stored in the form of a table, but rather a function which can preferably be described analytically, for example by means of a mathematical formula
  • the derivative function is not algorithmically, but is deposited as a table in the determining means 8.
  • a unique name is used in the configuration 2a assigned to the network node 1. Subsequently, the address part 9a is determined algorithmically in a deterministic manner depending on the unique name 2a by means of the derivative function 7a.
  • the unique name 2a can be part of further input data 2 for the derivation function 7a, from which the address part 9a is determined.
  • FIG. 2 thus illustrates the principle of preferred embodiments, according to which at least one part (deterministically derived address 9a) is determined by means of a derivation function (AF) 7a (English also called derivation function 7a) as a function of at least one derivation parameter AP.
  • AF derivation function
  • FIG. 2 thus illustrates the principle of preferred embodiments, according to which at least one part (deterministically derived address 9a) is determined by means of a derivation function (AF) 7a (English also called derivation function 7a) as a function of at least one derivation parameter AP.
  • AF derivation function
  • AP derivation function
  • Advertisement Message can be advertised as Network Prefix.
  • FIG. 2 shows a system 1 designed as network node 1 for the deterministic determination of an address part 9a of an IPv6 address 9 of a network node 1 according to a preferred embodiment of the invention.
  • the system 1 comprises a determination means 8, which is adapted to determine the address part 9a in a deterministic manner depending on a unique designation assigned name 2a of the network node 1 or a group of network nodes 1 by means of an algorithmic derivation function 7a.
  • the derivation function 7a is preferably configured in such a way that the unique name 2a can be determined unambiguously from the address part 9a.
  • the address part 9a and / or the IP address 9 can be determined in a one-way manner as a function of the unique name 2a by means of the derivation function 7a.
  • a unique name 2a for the network node 1 is assigned in the configuration. Then the ad- resister 9a determined algorithmically in a deterministic manner depending on the unique name 2a by means of the derivative function 7a.
  • FIG. 3 shows an exemplary embodiment in which two subarrays 19b, 19c of an IPv6 address are respectively determined deterministically by means of a derivation function (AF) 17b, 17c (English also called derivation function 17b, 17c).
  • a device-specific address part 19c (deterministically derived address 19c) is derived from a device identifier (HID) 12c.
  • HID device identifier
  • AID plant identifier
  • Plant Network ID 19b can be permanently configured, for example, on the target device, or it can be made known by a router as Router Advertisement in the network.
  • FIG. 3 shows a preferred embodiment of a system 11 designed as network node 11 for the deterministic algorithmic determination of address parts 19a, 19b of an IPv6 address 19 of the network node 11.
  • the system 11 comprises a determination means 18 which is adapted to determine the address part 19b to be deterministic Depending on the unique assigned in a project name 12b of the network node 11 or a group of network nodes 11 by means of an algorithmic derivation function 17b to determine.
  • the determination means 18 is adapted to determine the address part 19c in a deterministic manner depending on the unique name 12c of the network node 11 or a group of network nodes 11 allocated in the configuration by means of an algorithmic derivation function 17c.
  • the derivation functions 17b, 17c are each preferably designed in such a way that the unique names 12b, 12c can be determined unambiguously from the address part 19b, 19c.
  • the address part 19b is preferably clearly determinable depending on the unique name 12b by means of the derivation function 17b.
  • the address part 19c can be determined in a one-way manner as a function of the unique name 12c by means of the derivation function 17c.
  • the determining means 18 is configured such that the unique names 12b, 12c can be uniquely determined from the IPv6 address 19.
  • Input data 12 includes or consists of the unique names 12a, 12b. From the input data 12, 12a and / or 12b, the determining means 18 determines the address 19 and / or at least one address part 19a, 19b.
  • the unique name is a textual name, preferably a host name (HID), a project identifier, a facility identifier (PID), an identifier of a service such as a URL and / or a lane ID a redundant network.
  • HID host name
  • PID facility identifier
  • a service such as a URL and / or a lane ID a redundant network.
  • the derivative function 7a, 17b, 17c is the identity function, a hash function such as CRC, a cryptographic hash function such as MD5, SHA-1, SHA256 or a key derivation function such as e.g. HMAC.
  • the deterministic manner determined address part 9, 19, 9a, 19b, 19c at least part of a complete 128-bit IPv6 address and is used for unique connection between the project, configured node, network, node interface and used IPv6 address
  • the network nodes 1, 11 are assigned a plurality of addresses of the same protocol, wherein the plurality of addresses have a same deterministically derived address part.
  • the network node 1 or 11 can be assigned several IPv6 addresses that differ in their respective network part.
  • An IPv6 address consists of a prefix needed for the delivery route and an interface identifier used to identify the network node.
  • a separate communication processor serves as a network interface, which determines the address part 9, 19, 9a, 19b, 19c in a deterministic manner.
  • the address part 9, 19, 9a, 19b, 19c is preferably determined as a function of HID, PID of a control unit assigned to the communication processor.
  • An interface identifier of an insertion slot or another mounting position of the network node 1, 11 may also depend on the control device.
  • the determining means 8 comprises the communication processor.
  • a configuration tool 3 performs a check to prevent names 2, 2a, 12, 12b, 12c from being duplicated. Also, such a test can be implemented via a multicast service implemented distributed on each device or other network nodes 1, 11 itself. In this case, a network node 1, 11, in the context of
  • a device identifier may have a counter value or a freely selectable value, so that address conflicts are automatically resolved by selecting an alternate address, eg, by incrementing the device counter.
  • a check is performed on a network message using a device certificate containing the unique name 2, 2a, 12, 12b, 12c of the network node 1, 11. The check checks whether the network node 1, 11 may actually use the address part 9, 19, 9a, 19b, 19c.
  • the address part 9, 19, 9a, 19b, 19c is deterministically derived and verified from identifiers confirmed in the certificate, or information about a permissible IPv6 address can be found in the device certificate. cat and the address part 9, 19, 9a, 19b, 19c is determined deterministically at the device certificate output.
  • a group of network nodes is defined by setting a group name 2, 2a, 12, 12b, 12c. From the group name 2, 2a, 12, 12b, 12c, at least part of a multicast address range is derived. According to preferred embodiments, a deterministic determination of an IPv6 address part is performed depending on a configurable identifier.
  • unique names are assigned in application protocols for automation or in the configuration node.
  • a name may e.g. be a textual name.
  • a particular project or facility often has an identifier. It is now proposed according to preferred embodiments of the invention to determine the IPv6 address at least partially dependent on a textual, configurable host name (HID) by means of a derivation function.
  • HID textual, configurable host name
  • the identity function a hash function like CRC, a cryptographic hash function like MD5, SHA-1,
  • SHA256 or a key derivation function such as HMAC can be used.
  • This deterministically derived address is at least part of the complete 128-bit IPv6 address and serves to uniquely link the project, the projected node, the network, the node interface and the IPv6 address used.
  • the derivation function must also be able to display the configured information reversely from an IPv6 subaddress.
  • IPv6 an interface is generally assigned several IPv6 addresses (eg link local, unique local address ULA, unique global), which differ in the network part.
  • these multiple IPv6 addresses of an interface have the same deterministically derived address parameter.
  • a project identifier or a plant identifier (PID) is used as the derivation parameter.
  • the derivation parameter used is an identifier of a service, eg a URL.
  • the derivative parameter used is a lane ID of a multi-channel, i. redundant network used.
  • a separate communication processor is provided as a network interface.
  • the network address used can be determined as a function of HID, PID of the control unit assigned to the communication processor.
  • an interface identifier can depend on the slot or the mounting position with respect to the control unit. This has the advantage that the IPv6 address remains unchanged even if a communication processor is replaced.
  • a configuration tool can carry out a check, or this check can be implemented via a multicast service implemented distributed on each device itself, so that no names (HID, PID) are assigned twice. This ensures that not network addresses are assigned twice. This check can also be applied to the derived addresses to ensure that no "random" identical network addresses are configured (although this is statistically very unlikely with a suitable derivation function)
  • a device identifier can have a counter value or a freely selectable value, so that address conflicts can be resolved automatically by selecting an alternative address, eg by incrementing a device counter.
  • the device certificate containing the device name can be used to verify that this device is allowed to use the IPv6 address.
  • the permissible IP address in the device certificate, since the IP address can be derived deterministically from identifiers (HID and / or PID) confirmed in the certificate and can thus be checked. This simplifies the management of digital certificates.
  • the digital device certificate contains information about permissible IPv6 addresses. However, when the certificate is issued, the entry can be determined deterministically depending on the device name. As a result, the effort is reduced in this case.
  • At least a portion of an IPv6 address is derived deterministically.
  • Possible input parameters for the derivative function include:
  • Host identifier for example, a host name assigned during the configuration
  • Machine Identifier (if, for example, several machines, such as a robot, are installed).
  • Projection identifier for example, project name, which is defined during configuration, version status, project subdivision
  • a network ID as a logical identifier for a subnet (eg "network segment DMZ")
  • the type or intended use of the network can also be used (eg Safety, 50159-Closed, Realtime, Diagnostics, EnterpriselT, SCADA, Field-level ).
  • a service eg an http server, a web service, or an OPC UA service.
  • Lane ID channel of a multi-channel, redundant communication transmission
  • a role for example, configured device or dynamically unconfigured added device, maintenance device, automation device, control device, sensor, actuator, network device such as router, switch).
  • XOR e.g., bytewise, 16-bit, 32-bit
  • the output can be shortened, e.g. on 32 bits, 48 bits, 64 bits.
  • a known Duplicate Address Detection (DAD) check can be made to avoid double use of an IPv6 address.
  • DAD Duplicate Address Detection
  • an error message can be provided, or it can be determined by updating a counter field of the IPv6 address a next address with the information contained accordingly. Again, a DAD test can now be done. This can then be repeated until a free address is obtained.
  • the associated configuration information can be automatically selected based on the IPv6 address or, in the case of ambiguity, a pre-selection of candidate configurations may be offered to a user for selection.
  • a multicast address range can be created that includes all devices of a configuration or a subarea of the configuration.
  • the address information may e.g. via a configuration memory module (ID plug, USB stick, SD card), via a local configuration interface (eg RS-232, USB), via a device management system or / and by downloading configuration data.
  • a configuration memory module ID plug, USB stick, SD card
  • a local configuration interface eg RS-232, USB
  • the component can now form an IPv6 address, which encodes as information that the component is unproj ected, i. (still) has no IPv6 address derived from configuration data.
  • the component can load configuration data from a configuration server as part of a plug-and-work process (for example, via HTTP, FTP, SCP, etc.). After loading the configuration data, the component can then form an IPv6 address, which is derived from the configuration data.
  • the IPv6 address of a device that depends on the configuration data is determined by a configuration onsserver and the target component via DHCPv6.
  • Application domains are, in particular, different automation environments
  • IPv6 communication can be implemented at the field level, in a control room, in a SCADA system or similar. occur.
  • the IP address does not have to be manually configured or configured because it is determined automatically, deterministically, depending on the configuration data that is already known and required. As a result, the effort for the configuration or configuration is reduced. Errors and inconsistencies are avoided. There are no automatic address allocation mechanisms that could lead to unforeseen behavior. In particular, this would make safety proof more complex and thus lead to increased expenditure.
  • a device replacement e.g. with a defective device, leads to an identical network configuration, since not the MAC
  • IPv6 address Address in the IPv6 address.
  • the address information is already determined deterministically during configuration, although the MAC addresses of the devices used are not yet known at this time.
  • the IPv6 address contains information ("handle", "link”) that can be used to determine the configuration data assigned to the device. This can be used in a troubleshooting or a Data communication directly a reference to the assigned configuration data are automatically produced.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The invention relates to methods and systems for determining an address part (9, 19, 9a, 19b, 19c) for a network node (1, 11) in a deterministic manner, comprising the steps: - assigning a unique name (2, 2a, 12, 12b, 12c) to a network node (1, 11) or a group of network nodes (1, 11) in a project planning; and - determining the address part (9, 19, 9a, 19b, 19c) in a deterministic manner independently of the unique name (2, 2a, 12, 12b, 12c) by means of a transformal function ((7a, 17b, 17c).

Description

Beschreibung description
IP Adressbestimmung Die vorliegende Erfindung bezieht sich auf das technische Gebiet der Bestimmung von Adressen für einen Netzwerkknoten. IP Address Determination The present invention relates to the technical field of determining addresses for a network node.
Bei der Nutzung von IP-Kommunikation muss einem Endgerät eine Adresse zugewiesen werden. Bei Internet Protocol Version 6 (IPv6) existiert eine Vielzahl von Möglichkeiten, um eine IP- Adresse für einen Knoten zu bestimmen oder ihm zuzuweisen. When using IP communication, an end device must be assigned an address. With Internet Protocol version 6 (IPv6), there are a variety of ways to determine or assign an IP address for a node.
In Automatisierungsumgebungen ist wesentlich, eine kontrollierte, deterministische Netzwerkkommunikation zu gewährleis- ten. Dies betrifft insbesondere Safety-kritische bzw. Echtzeit-kritische Kommunikation. Dabei soll der Proj ektierungs - bzw. Konfigurationsaufwand gering sein. Eine manuelle Konfiguration von IP-Adressen erfordert daher einen hohen Aufwand und stellt eine Fehlerquelle dar. In automation environments, it is essential to ensure controlled, deterministic network communication. This applies in particular to safety-critical or real-time critical communication. The proj ectierungs - or configuration effort should be low. Manual configuration of IP addresses therefore requires a great deal of effort and represents a source of error.
Ein IPv6 -Knoten kann eine Adresse selbst bestimmen (Address Autoconfiguration) oder es kann ihm eine Adresse von einem DHCPv6 -Server zugewiesen werden (siehe RFC4291) . Durch DHCP wird mit dem erforderlichen DHCP-Server jedoch ein Single Point of Failure geschaffen. Außerdem wird der Safety- Nachweis komplexer, da das korrekte Verhalten der DHCP- Adressvergabe gewährleistet werden muss. An IPv6 node can designate an address itself (Address Autoconfiguration) or it can be assigned an address from a DHCPv6 server (see RFC4291). However, DHCP creates a single point of failure with the required DHCP server. In addition, the safety detection becomes more complex because the correct behavior of the DHCP address assignment must be ensured.
Die IPv6 -Adresse besteht dabei aus einem Netzwerk-Teil und einem Interface-Teil. Während der Netzwerkteil durch das aktuell verwendete Netzwerk vorgegeben ist, ist der Interface- Teil für einen spezifischen Host individuell. Der Netzwerkteil wird dabei im Allgemeinen durch einen Router mit einer Router Advertisement Nachricht im Netzwerksegment bekannt ge- macht. The IPv6 address consists of a network part and an interface part. While the network part is dictated by the network currently used, the interface part is unique to a specific host. The network part is generally made known by a router with a Router Advertisement message in the network segment.
Bei der Selbstkonfiguration einer IP-Adresse bestehen im Wesentlichen folgende Varianten: Die Adresse wird manuell durch einen Administrator konfiguriert . The self-configuration of an IP address consists essentially of the following variants: The address is manually configured by an administrator.
Die Adresse wird durch den Host selbst bestimmt. Die Adresse eines Interfaces kann dabei auf Basis der MAC-Adresse des Interfaces festgelegt werden. Dies hat den Nachteil, dass die Adresse von der Hardware abhängt, also zum Projektierungszeitpunkt eventuell noch nicht vorliegt und sich bei einem Gerätetausch ändert. Die Adresse kann alternativ zufällig ermittelt werden (Privacy Address) . Dies stellt einen Nicht- determinismus dar, der in einem Safety-kritischen Umfeld unerwünscht ist. Die Adresse wird als Fingerprint (Hash-Wert) abhängig von einem kryptographisehen Schlüssel (CGA,  The address is determined by the host itself. The address of an interface can be determined based on the MAC address of the interface. This has the disadvantage that the address depends on the hardware, ie may not yet be available at the time of configuration and changes when the device is replaced. The address can alternatively be determined randomly (Privacy Address). This represents a non-determinism that is undesirable in a safety-critical environment. The address is stored as a fingerprint (hash value) dependent on a cryptographic key (CGA,
cryptographically generated Address), einer Nonce und einem Netzwerk-Präfix bestimmt. Auch hier besteht durch die Nonce eine nichtdeterministische Adressvergabe. cryptographically generated address), a nonce and a network prefix. Again, there is a non-deterministic address assignment by the nonce.
Bei 6to4 (IPv6 tunneling) nach RFC3056 und 6RD (IPv6 Rapid Deployment) nach RFC5569 ist bekannt, die IPv4-Adresse in eine IPv6 -Adresse ganz oder teilweise zu integrieren. In 6to4 (IPv6 tunneling) according to RFC3056 and 6RD (IPv6 Rapid Deployment) according to RFC5569 is known to integrate the IPv4 address into an IPv6 address in whole or in part.
Bei der Adressumsetzung NAT64 nach RFC6052 (NAT: network address translation) ist bekannt, die einer IPv4 -Adresse zugeordnete IPv6 -Adresse bei der Adressumsetzung algorithmisch zu bestimmen. Dies hat den Vorteil, dass das NAT-Gateway kei- ne Adressumsetzungstabellen verwalten muss. Dabei wird dieIn the NAT64 address translation to RFC6052 (NAT: network address translation), it is known to algorithmically determine the IPv6 address assigned to an IPv4 address during address translation. This has the advantage that the NAT gateway does not have to manage any address translation tables. Here is the
IPv4 -Adresse vollständig oder teilweise in eine IPv6 -Adresse eingebaut . IPv4 address completely or partially built into an IPv6 address.
Es besteht ein Bedarf an einer deterministischen, einfach nutzbaren Festlegung einer Netzwerkadresse, insbesondere einer IPv6 -Adresse . Der vorliegenden Erfindung liegt die Aufgabe zugrunde, diesem Bedarf nachzukommen. There is a need for a deterministic, easy-to-use determination of a network address, in particular an IPv6 address. The present invention has for its object to meet this need.
Diese Aufgabe wird durch die in den unabhängigen Ansprüchen beschriebenen Lösungen gelöst. Vorteilhafte Ausgestaltungen der Erfindung sind in weiteren Ansprüchen angegeben. Gemäß einem Aspekt wird ein Verfahren zur deterministischen Bestimmung eines Adressteils für einen Netzwerkknoten vorgeschlagen. Dazu wird in einer Projektierung ein eindeutiger Name für den Netzwerkknoten oder für eine Gruppe von Netz- werkknoten vergeben. Der Adressteil wird auf deterministische Weise abhängig von dem eindeutigen Namen mittels einer Ableitungsfunktion bestimmt. This object is achieved by the solutions described in the independent claims. Advantageous embodiments of the invention are specified in further claims. According to one aspect, a method for the deterministic determination of an address part for a network node is proposed. For this purpose, a unique name for the network node or for a group of network nodes is assigned in a configuration. The address part is determined in a deterministic manner depending on the unique name by means of a derivative function.
Gemäß einem weiteren Aspekt wird ein System zur deterministi - sehen Bestimmung eines Adressteils eines Netzwerkknotens vorgeschlagen. Das System umfasst ein Bestimmungsmittel. Das Bestimmungsmittel ist adaptiert, den Adressteil auf deterministische Weise abhängig von einem eindeutigen in einer Projektierung vergebenen Namen des Netzwerkknotens oder einer Grup- pe von Netzwerkknoten mittels einer Ableitungsfunktion zu bestimmen . According to a further aspect, a system for deterministic determination of an address part of a network node is proposed. The system comprises a determination means. The determination means is adapted to determine the address part in a deterministic manner depending on a unique name of the network node or a group of network nodes assigned in a configuration by means of a derivation function.
Ein Netzwerkknoten kann sich dabei in vielfältiger Weise manifestieren. Beispielsweise kann ein Netzwerkknoten bei- spielsweise ein Gerät, ein Device, ein System, ein Interface, ein Endgerät oder ein Host sein. A network node can manifest itself in many ways. For example, a network node may be, for example, a device, a device, a system, an interface, a terminal, or a host.
Die Erfindung wird nachfolgend anhand der Zeichnung beispielsweise näher erläutert. Dabei zeigen: The invention will be explained in more detail with reference to the drawing, for example. Showing:
Figur 1 den grundsätzlichen Aufbau einer IPv6 -Adresse ; Figure 1 shows the basic structure of an IPv6 address;
Figur 2 ein Blockdiagramm eines Systems gemäß einer Ausführungsform der Erfindung; Figure 2 is a block diagram of a system according to an embodiment of the invention;
Figur 3 ein Blockdiagramm eines Systems gemäß einer weiteren Ausführungsform der Erfindung. Figure 3 is a block diagram of a system according to another embodiment of the invention.
Figur 1 zeigt den grundsätzlichen Aufbau einer IPv6 -Adresse 90 in drei Detaillierungsgraden. Die IPv6-Adresse 90 weist eine Länge von 128 Bit auf. Die Adresse 90 ist im Allgemeinen strukturiert, d.h. sie weist mehrere logische Bereiche 91, 92, 93, 94, 95 auf. Diese können z.B. ein Subnetz mittels ei- nes Subnet Prefix 91 und ein Interface mittels eines Interface - Identifiers 92 (auch Interface ID 92 genannt) angeben. Der Subnet Prefix wiederum kann in einen Routing Prefix 94 (vorzugsweise einen Global Routing Prefix) und eine Subnet ID 95 aufgeteilt sein. Ebenso können Bereiche 93 vorgesehen sein, welche die Art der Adresse kennzeichnen (z.B. globale oder lokal gültige Adresse) . Die Grenzen der Felder sind grundsätzlich nicht fest, sondern können geeignet gewählt werden (siehe z.B. RFC 6177, der beschreibt, dass die Länge des globalen Routing Prefix 94 und der resultierenden Subnet ID 95 variieren kann) . Die Grenzen sind dabei „nur gedacht", d.h. in einem IPv6 -Datenpaket sind die 128 Bit der Sendeadresse und Zieladresse eincodiert, aber nicht die Position der Grenzen. Diese ist durch Konfigurationsinformation, z.B. ein von einem Router im Netzwerk bereitgestellte Information zum Network Prefix, bekannt. Figure 1 shows the basic structure of an IPv6 address 90 in three levels of detail. The IPv6 address 90 has a length of 128 bits. The address 90 is generally structured, ie it has a plurality of logical areas 91, 92, 93, 94, 95. These can, for example, be a subnetwork by means of a Specify a subnet prefix 91 and an interface by means of an interface identifier 92 (also called interface ID 92). In turn, the subnet prefix may be divided into a routing prefix 94 (preferably a global routing prefix) and a subnet ID 95. Similarly, areas 93 may be provided which identify the type of address (eg global or locally valid address). The limits of the fields are basically not fixed, but can be selected appropriately (see, for example, RFC 6177, which describes that the length of the global routing prefix 94 and the resulting subnet ID 95 can vary). The limits are "only intended", ie in an IPv6 data packet, the 128 bits of the send address and destination address are encoded, but not the position of the boundaries.This is through configuration information, such as a network prefix information provided by a router in the network. known.
Figur 2 zeigt ein als Netzwerkknoten 1 ausgestaltetes System 1 zur deterministischen Bestimmung eines Adressteils 9a einer IPv6 -Adresse 9 eines Netzwerkknotens 1 gemäß einer bevorzugten Ausführungsform der Erfindung. Das System 1 umfasst ein Bestimmungsmittel 8, welches adaptiert ist, den Adressteil 9a auf deterministische Weise abhängig von einem eindeutigen in einer Projektierung vergebenen Namen 2a des Netzwerkknotens 1 oder einer Gruppe von Netzwerkknoten 1 mittels einer algorithmischen Ableitungsfunktion 7a zu bestimmen. Im Sinne dieser Ausführungsform ist mit „algorithmischer Ableitungsfunktion" eine Funktion gemeint, welche nicht in Form einer Tabelle hinterlegt sein muss, sondern eine Funktion, welche vorzugsweise analytisch, beispielsweise mittels einer mathematischen Formel, beschreibbar ist. Gemäß einer alternativen Ausführungsform ist die Ableitungsfunktion jedoch nicht algorithmisch, sondern wird als Tabelle in dem Bestimmungsmittel 8 hinterlegt. FIG. 2 shows a system 1 designed as network node 1 for the deterministic determination of an address part 9a of an IPv6 address 9 of a network node 1 according to a preferred embodiment of the invention. The system 1 comprises a determination means 8, which is adapted to determine the address part 9a in a deterministic manner depending on a unique designation assigned name 2a of the network node 1 or a group of network nodes 1 by means of an algorithmic derivation function 7a. For the purposes of this embodiment, "algorithmic derivative function" means a function which does not have to be stored in the form of a table, but rather a function which can preferably be described analytically, for example by means of a mathematical formula However, according to an alternative embodiment, the derivative function is not algorithmically, but is deposited as a table in the determining means 8.
Gemäß einer bevorzugten Ausführungsform des Verfahrens zur deterministischen Bestimmung eines Adressteils für einen Netzwerkknoten wird in der Projektierung ein eindeutiger Name 2a für den Netzwerkknoten 1 vergeben. Daraufhin wird der Adressteil 9a auf deterministische Weise abhängig von dem eindeutigen Namen 2a mittels der Ableitungsfunktion 7a algorithmisch bestimmt. Der eindeutige Namen 2a kann Teil von weite- ren Eingabedaten 2 für die Ableitungsfunktion 7a sein, aus welchen der Adressteil 9a bestimmt wird. According to a preferred embodiment of the method for the deterministic determination of an address part for a network node, a unique name is used in the configuration 2a assigned to the network node 1. Subsequently, the address part 9a is determined algorithmically in a deterministic manner depending on the unique name 2a by means of the derivative function 7a. The unique name 2a can be part of further input data 2 for the derivation function 7a, from which the address part 9a is determined.
Figur 2 veranschaulicht somit das Prinzip bevorzugter Ausführungsformen, wonach zumindest ein Teil (deterministically derived address 9a) mittels einer Ableitungsfunktion (AF) 7a (Englisch auch Derivation Function 7a genannt) abhängig von zumindest einem Ableitungsparameter AP bestimmt wird. Nicht dargestellt ist, dass der obere Teil der IPv6 -Adresse z.B. fest vorgegeben sein kann oder durch eine Router FIG. 2 thus illustrates the principle of preferred embodiments, according to which at least one part (deterministically derived address 9a) is determined by means of a derivation function (AF) 7a (English also called derivation function 7a) as a function of at least one derivation parameter AP. Not shown is that the upper part of the IPv6 address e.g. can be fixed or through a router
Advertisement Message als Network Prefix bekannt gemacht werden kann . Advertisement Message can be advertised as Network Prefix.
Figur 2 zeigt ein als Netzwerkknoten 1 ausgestaltetes System 1 zur deterministischen Bestimmung eines Adressteils 9a einer IPv6 -Adresse 9 eines Netzwerkknotens 1 gemäß einer bevorzugten Ausführungsform der Erfindung. Das System 1 umfasst ein Bestimmungsmittel 8, welches adaptiert ist, den Adressteil 9a auf deterministische Weise abhängig von einem eindeutigen in einer Projektierung vergebenen Namen 2a des Netzwerkknotens 1 oder einer Gruppe von Netzwerkknoten 1 mittels einer algorithmisch Ableitungsfunktion 7a zu bestimmen. FIG. 2 shows a system 1 designed as network node 1 for the deterministic determination of an address part 9a of an IPv6 address 9 of a network node 1 according to a preferred embodiment of the invention. The system 1 comprises a determination means 8, which is adapted to determine the address part 9a in a deterministic manner depending on a unique designation assigned name 2a of the network node 1 or a group of network nodes 1 by means of an algorithmic derivation function 7a.
Vorzugsweise ist die Ableitungsfunktion 7a so ausgestaltet, dass sich der eindeutige Name 2a in eindeutiger Weise aus dem Adressteil 9a bestimmen lässt. Dabei ist vorzugsweise der Adressteil 9a und/oder die IP-Adresse 9 auf ein-eindeutige Weise abhängig von dem eindeutigen Namen 2a mittels der Ableitungsfunktion 7a bestimmbar. Gemäß einer bevorzugten Ausführungsform des Verfahrens zur deterministischen Bestimmung eines Adressteils für einen Netzwerkknoten wird in der Projektierung ein eindeutiger Name 2a für den Netzwerkknoten 1 vergeben. Daraufhin wird der Ad- ressteil 9a auf deterministische Weise abhängig von dem eindeutigen Namen 2a mittels der Ableitungsfunktion 7a algorithmisch bestimmt. Figur 3 zeigt ein Ausführungsbeispiel, bei dem zwei Teilfelder 19b, 19c einer IPv6-Adresse jeweils deterministisch mittels einer Ableitungsfunktion (AF) 17b, 17c (Englisch auch Derivation Function 17b, 17c genannt) bestimmt werden. Hier wird aus einem Geräte- Identifier (HID) 12c ein Geräte- spezifischer Adressteil 19c (deterministically derived address 19c) abgeleitet. Aus einem Anlagen-Identifier (AID) 12b wird ein Anlagen-Netzwerk-Präfix-Teil (Plant Network ID, Deterministically derived plant network ID) 19b deterministisch bestimmt. Die Plant Network ID 19b kann dabei z.B. auf dem Zielgerät fest konfiguriert sein, oder sie kann durch einen Router als Router Advertisement im Netzwerk bekannt gemacht werden. The derivation function 7a is preferably configured in such a way that the unique name 2a can be determined unambiguously from the address part 9a. Preferably, the address part 9a and / or the IP address 9 can be determined in a one-way manner as a function of the unique name 2a by means of the derivation function 7a. According to a preferred embodiment of the method for the deterministic determination of an address part for a network node, a unique name 2a for the network node 1 is assigned in the configuration. Then the ad- resister 9a determined algorithmically in a deterministic manner depending on the unique name 2a by means of the derivative function 7a. FIG. 3 shows an exemplary embodiment in which two subarrays 19b, 19c of an IPv6 address are respectively determined deterministically by means of a derivation function (AF) 17b, 17c (English also called derivation function 17b, 17c). Here, a device-specific address part 19c (deterministically derived address 19c) is derived from a device identifier (HID) 12c. From a plant identifier (AID) 12b, a plant network prefix portion (Plant Network ID) 19b is determined deterministically. The Plant Network ID 19b can be permanently configured, for example, on the target device, or it can be made known by a router as Router Advertisement in the network.
Figur 3 zeigt eine bevorzugte Ausführungsform eines als Netz- werkknoten 11 ausgestalteten Systems 11 zur deterministischen algorithmischen Bestimmung von Adressteilen 19a, 19b einer IPv6 -Adresse 19 des Netzwerkknotens 11. Das System 11 umfasst ein Bestimmungsmittel 18, welches adaptiert ist, den Adressteil 19b auf deterministische Weise abhängig von dem eindeu- tigen in einer Projektierung vergebenen Namen 12b des Netz- werkknotens 11 oder einer Gruppe von Netzwerkknoten 11 mittels einer algorithmischen Ableitungsfunktion 17b zu bestimmen. Zudem ist das Bestimmungsmittel 18 adaptiert, den Adressteil 19c auf deterministische Weise abhängig von dem ein- deutigen in der Projektierung vergebenen Namen 12c des Netzwerkknotens 11 oder einer Gruppe von Netzwerkknoten 11 mittels einer algorithmischen Ableitungsfunktion 17c zu bestimmen . Vorzugsweise sind die Ableitungsfunktionen 17b, 17c jeweils so ausgestaltet, dass sich die eindeutigen Namen 12b, 12c in eindeutiger Weise aus dem Adressteil 19b, 19c bestimmen lassen. Dabei ist vorzugsweise der Adressteil 19b auf ein- eindeutige Weise abhängig von dem eindeutigen Namen 12b mittels der Ableitungsfunktion 17b bestimmbar. Ebenso ist vorzugsweise der Adressteil 19c auf ein-eindeutige Weise abhängig von dem eindeutigen Namen 12c mittels der Ableitungsfunk- tion 17c bestimmbar. Vorzugsweise ist das Bestimmungsmittel 18 so ausgestaltet, dass sich die eindeutigen Namen 12b, 12c in eindeutiger Weise aus der IPv6 -Adresse 19 bestimmen lassen. Eingabedaten 12 umfassen oder bestehen aus den eindeutigen Namen 12a, 12b. Aus den Eingabedaten 12, 12a und/oder 12b bestimmt das Bestimmungsmittel 18 die Adresse 19 und/oder zumindest einen Adressteil 19a, 19b. FIG. 3 shows a preferred embodiment of a system 11 designed as network node 11 for the deterministic algorithmic determination of address parts 19a, 19b of an IPv6 address 19 of the network node 11. The system 11 comprises a determination means 18 which is adapted to determine the address part 19b to be deterministic Depending on the unique assigned in a project name 12b of the network node 11 or a group of network nodes 11 by means of an algorithmic derivation function 17b to determine. In addition, the determination means 18 is adapted to determine the address part 19c in a deterministic manner depending on the unique name 12c of the network node 11 or a group of network nodes 11 allocated in the configuration by means of an algorithmic derivation function 17c. The derivation functions 17b, 17c are each preferably designed in such a way that the unique names 12b, 12c can be determined unambiguously from the address part 19b, 19c. In this case, the address part 19b is preferably clearly determinable depending on the unique name 12b by means of the derivation function 17b. Likewise, preferably the address part 19c can be determined in a one-way manner as a function of the unique name 12c by means of the derivation function 17c. Preferably, the determining means 18 is configured such that the unique names 12b, 12c can be uniquely determined from the IPv6 address 19. Input data 12 includes or consists of the unique names 12a, 12b. From the input data 12, 12a and / or 12b, the determining means 18 determines the address 19 and / or at least one address part 19a, 19b.
Gemäß bevorzugten Ausführungsformen ist der eindeutige Name ein textueller Name, vorzugsweise ein Host-Name (HID) , ein Proj ekt-Identifier, ein Anlagen- Identifier (PID), ein Identi- fier eines Services wie beispielsweise eine URL und/oder eine Lane ID eines redundanten Netzwerks. According to preferred embodiments, the unique name is a textual name, preferably a host name (HID), a project identifier, a facility identifier (PID), an identifier of a service such as a URL and / or a lane ID a redundant network.
Gemäß bevorzugten Ausführungsformen ist die Ableitungsfunkti - on 7a, 17b, 17c die Identitätsfunktion, eine Hash-Funktion wie CRC, eine kryptographische Hashfunktion wie MD5, SHA-1, SHA256 oder eine Schlüsselableitungsfunktion wie z.B. HMAC . According to preferred embodiments, the derivative function 7a, 17b, 17c is the identity function, a hash function such as CRC, a cryptographic hash function such as MD5, SHA-1, SHA256 or a key derivation function such as e.g. HMAC.
Gemäß bevorzugten Ausführungsformen ist der auf deterministi - sehe Weise bestimmte Adressteil 9, 19, 9a, 19b, 19c zumindest ein Teil einer vollständigen 128-bit IPv6-Adresse und dient zur eindeutigen Bindung zwischen Projekt, projektiertem Knoten, Netzwerk, Knoteninterface sowie genutzter IPv6 Adresse. Gemäß bevorzugten Ausführungsformen werden dem Netzwerkknoten 1, 11 mehrere Adressen desselben Protokolls zugeordnet, wobei die mehreren Adressen einen gleichen deterministisch abgeleiteten Adressteil aufweisen. Beispielsweise können dem Netzwerkknoten 1 oder 11 mehrere IPv6 -Adressen zugeordnet werden, die sich in ihrem jeweiligen Netzwerkteil unterscheiden. Eine IPv6 Adresse besteht aus einem Präfix, der für den Zustellweg benötigt wird sowie einem Interface Identifier der für die Identifizierung des Netzwerkknotens genutzt wird. Gemäß bevorzugten Ausführungsformen dient ein separater Kommunikationsprozessor als Netzwerkschnittstelle, welche den Adressteil 9, 19, 9a, 19b, 19c auf deterministische Weise be- stimmt. Dabei wird der Adressteil 9, 19, 9a, 19b, 19c vorzugsweise abhängig von HID, PID eines dem Kommunikationsprozessor zugeordneten Steuergerätes bestimmt. Auch kann ein In- terface-Bezeichner eines Einschub-Slots oder einer sonstigen Montageposition des Netzwerkknotens 1, 11 bezüglich des Steu- ergerätes abhängen. Vorzugsweise umfasst das Bestimmungsmittel 8 den Kommunikationsprozessor. According to preferred embodiments, the deterministic manner determined address part 9, 19, 9a, 19b, 19c at least part of a complete 128-bit IPv6 address and is used for unique connection between the project, configured node, network, node interface and used IPv6 address , According to preferred embodiments, the network nodes 1, 11 are assigned a plurality of addresses of the same protocol, wherein the plurality of addresses have a same deterministically derived address part. For example, the network node 1 or 11 can be assigned several IPv6 addresses that differ in their respective network part. An IPv6 address consists of a prefix needed for the delivery route and an interface identifier used to identify the network node. According to preferred embodiments, a separate communication processor serves as a network interface, which determines the address part 9, 19, 9a, 19b, 19c in a deterministic manner. In this case, the address part 9, 19, 9a, 19b, 19c is preferably determined as a function of HID, PID of a control unit assigned to the communication processor. An interface identifier of an insertion slot or another mounting position of the network node 1, 11 may also depend on the control device. Preferably, the determining means 8 comprises the communication processor.
Gemäß bevorzugten Ausführungsformen nimmt ein Projektierungs- tool 3 eine Prüfung vor, um zu verhindern, dass Namen 2, 2a, 12, 12b, 12c doppelt vergeben werden. Auch kann eine solche Prüfung über einen Multicast Service implementiert verteilt auf jedem Device oder sonstigen Netzwerkknoten 1, 11 selbst durchgeführt werden. Dabei kann ein Netzwerkknoten 1, 11, der sich im Rahmen derAccording to preferred embodiments, a configuration tool 3 performs a check to prevent names 2, 2a, 12, 12b, 12c from being duplicated. Also, such a test can be implemented via a multicast service implemented distributed on each device or other network nodes 1, 11 itself. In this case, a network node 1, 11, in the context of
Prüfung als falsch projektiert erkennt, den Adressteil 9, 19, 9a, 19b, 19c neu bestimmen, beispielsweise indem er auf einen zufälligen Adressanteil zurückfällt und sich zur Überprüfung in einem System registriert. Ebenso kann ein Geräte- Identifier einen Zählerwert oder einen frei wählbaren Wert aufweisen, sodass Adresskonflikte durch Wahl einer Ausweichadresse, z.B. durch Hochzählen des Gerätezählers, automatisch aufgelöst werden. Gemäß bevorzugten Ausführungsformen erfolgt bei einer Netz- werkanmeldung unter Verwendung eines Gerätezertifikats, das den eindeutigen Namen 2, 2a, 12, 12b, 12c des Netzwerkknotens 1, 11 enthält, eine Überprüfung. Die Überprüfung prüft, ob der Netzwerkknoten 1, 11 den Adressteil 9, 19, 9a, 19b, 19c tatsächlich verwenden darf. Vorzugsweise wird der Adressteil 9, 19, 9a, 19b, 19c deterministisch aus im Zertifikat bestätigten Identifiern abgeleitet und überprüft, oder eine Information über eine zulässige IPv6 -Adresse ist im Gerätezertifi- kat enthalten und der Adressteil 9, 19, 9a, 19b, 19c wird bei der Ausgabe des Gerätezertifikats deterministisch bestimmt. Check recognizes as wrongly configured, the address part 9, 19, 9a, 19b, 19c redefine, for example, by falling back on a random address share and registered for review in a system. Likewise, a device identifier may have a counter value or a freely selectable value, so that address conflicts are automatically resolved by selecting an alternate address, eg, by incrementing the device counter. According to preferred embodiments, a check is performed on a network message using a device certificate containing the unique name 2, 2a, 12, 12b, 12c of the network node 1, 11. The check checks whether the network node 1, 11 may actually use the address part 9, 19, 9a, 19b, 19c. Preferably, the address part 9, 19, 9a, 19b, 19c is deterministically derived and verified from identifiers confirmed in the certificate, or information about a permissible IPv6 address can be found in the device certificate. cat and the address part 9, 19, 9a, 19b, 19c is determined deterministically at the device certificate output.
Gemäß bevorzugten Ausführungsformen wird in der Projektierung eine Gruppe von Netzwerkknoten definiert, indem ein Gruppenname 2, 2a, 12, 12b, 12c festgelegt wird. Aus dem Gruppennamen 2, 2a, 12, 12b, 12c wird zumindest ein Teil eines Multi- cast -Adressbereiches abgeleitet. Gemäß bevorzugten Ausführungsformen wird eine deterministische Bestimmung eines IPv6 -Adressteils abhängig von einem projektierbaren Bezeichner durchgeführt. According to preferred embodiments, in the configuration, a group of network nodes is defined by setting a group name 2, 2a, 12, 12b, 12c. From the group name 2, 2a, 12, 12b, 12c, at least part of a multicast address range is derived. According to preferred embodiments, a deterministic determination of an IPv6 address part is performed depending on a configurable identifier.
Gemäß bevorzugten Ausführungsformen der Erfindung werden in Anwendungsprotokollen zur Automatisierung bzw. in der Projektierung Knoten eindeutige Namen vergeben. Ein Name kann z.B. ein textueller Name sein. Außerdem hat ein bestimmtes Projekt bzw. eine Anlage oft einen Bezeichner. Es wird nun gemäß bevorzugen Ausführungsformen der Erfindung vorgeschlagen, die IPv6 -Adresse zumindest teilweise abhängig von einem textuellen, projektierbaren Host-Namen (HID) mittels einer Ableitungsfunktion zu bestimmen. Als Ableitungs- funktion kann die Identitätsfunktion, eine Hash-Funktion wie CRC, eine kryptographische Hashfunktion wie MD5, SHA-1,According to preferred embodiments of the invention, unique names are assigned in application protocols for automation or in the configuration node. A name may e.g. be a textual name. In addition, a particular project or facility often has an identifier. It is now proposed according to preferred embodiments of the invention to determine the IPv6 address at least partially dependent on a textual, configurable host name (HID) by means of a derivation function. As a derivative function, the identity function, a hash function like CRC, a cryptographic hash function like MD5, SHA-1,
SHA256 oder eine Schlüsselableitungsfunktion wie z.B. HMAC verwendet werden. Diese deterministisch abgeleitete Adresse ist zumindest ein Teil der vollständigen 128 -bit IPv6 -Adresse und dient zur eindeutigen Bindung zwischen Projekt, projek- tiertem Knoten, Netzwerk, Knoteninterface sowie genutzter IPv6 Adresse. Zusätzlich muss gemäß bevorzugten Ausführungs - formen die Ableitungsfunktion auch revers aus einer IPv6 Teiladresse die projektierten Informationen darstellen können . SHA256 or a key derivation function such as HMAC can be used. This deterministically derived address is at least part of the complete 128-bit IPv6 address and serves to uniquely link the project, the projected node, the network, the node interface and the IPv6 address used. In addition, according to preferred embodiments, the derivation function must also be able to display the configured information reversely from an IPv6 subaddress.
Bei IPv6 sind einem Interface im Allgemeinen mehrere IPv6- Adressen zugeordnet (z.B. link local, unique local address ULA, unique global), die sich im Netzwerkteil unterscheiden. In einer bevorzugten Variante weisen diese mehreren IPv6- Adressen eines Interfaces den gleichen deterministisch abgeleiteten Adressparameter auf. In einer Variante wird als Ableitungs-Parameter ein Projekt- Identifier bzw. ein Anlagen- Identifier verwendet (PID) . In einer weiteren Variante wird als Ableitungs - Parameter ein Identifier eines Services verwendet, z.B. eine URL. With IPv6, an interface is generally assigned several IPv6 addresses (eg link local, unique local address ULA, unique global), which differ in the network part. In a preferred variant, these multiple IPv6 addresses of an interface have the same deterministically derived address parameter. In one variant, a project identifier or a plant identifier (PID) is used as the derivation parameter. In another variant, the derivation parameter used is an identifier of a service, eg a URL.
In einer anderen Variante wird als Ableitungs-Parameter eine Lane ID eines mehrkanaligen, d.h. redundanten Netzwerks verwendet . In another variant, the derivative parameter used is a lane ID of a multi-channel, i. redundant network used.
In einer Variante ist ein separater Kommunikationsprozessor als Netzwerkschnittstelle vorgesehen. Hier kann die verwende- te Netzwerkadresse abhängig von HID, PID des dem Kommunikationsprozessor zugeordneten Steuergerätes bestimmt werden. Weiterhin kann ein Interface-Bezeichner von Einschub-Slot bzw. der Montageposition bezüglich des Steuergerätes abhängen. Dies hat den Vorteil, dass auch bei Tausch eines Kommunikati- onsprozessors die IPv6 -Adresse unverändert bleibt. In a variant, a separate communication processor is provided as a network interface. Here, the network address used can be determined as a function of HID, PID of the control unit assigned to the communication processor. Furthermore, an interface identifier can depend on the slot or the mounting position with respect to the control unit. This has the advantage that the IPv6 address remains unchanged even if a communication processor is replaced.
Weiterhin kann ein Projektierungstool eine Prüfung vornehmen oder diese Prüfung über einen Multicast Service implementiert verteilt auf jedem Device selbst durchgeführt werden, so dass keine Namen (HID, PID) doppelt vergeben sind. Dadurch ist gewährleistet, dass nicht Netzwerkadressen doppelt vergeben sind. Diese Prüfung kann auch auf die abgeleiteten Adressen angewandt werden, um sicherzustellen, dass auch nicht „zufällig" identische Network-Adressen projektiert sind (auch wenn dies bei einer geeigneten Ableitungsfunktion statistisch sehr unwahrscheinlich ist) . Devices die sich als falsch projektiert erkennen sollten auf einen zufälligen IPv6 Adressanteil zurückfallen und sich zur Überprüfung in einem System registrieren. In einer anderen Variante kann ein Geräte - Identifier einen Zählerwert bzw. einen frei wählbaren Wert aufweisen, sodass Adresskonflikte durch Wahl einer Ausweichadresse, z.B. durch Hochzählen eines Gerätezählers, automatisch aufgelöst werden können . Bei einer Netzwerkanmeldung, insbesondere gemäß IEEE 802. Ix unter Verwendung eines Gerätezertifikats, kann anhand des Gerätezertifikats, das den Gerätenamen enthält, eine Überprü- fung erfolgen, ob dieses Gerät die IPv6 -Adresse tatsächlich verwenden darf. Dazu ist es nicht erforderlich, die zulässige IP-Adresse explizit in das Gerätezertifikat einzucodieren, da die IP-Adresse deterministisch aus im Zertifikat bestätigten Identifiern (HID und/oder PID) ableitbar und damit überprüf- bar ist. Dadurch wird die Verwaltung von digitalen Zertifikaten vereinfacht. In einer anderen Variante ist im digitalen Gerätezertifikat eine Information über zulässige IPv6- Adressen enthalten. Dabei kann jedoch bei der Ausgabe des Zertifikats der Eintrag deterministisch abhängig vom Geräte- Namen bestimmt werden. Dadurch wird auch in diesem Fall der Aufwand verringert . Furthermore, a configuration tool can carry out a check, or this check can be implemented via a multicast service implemented distributed on each device itself, so that no names (HID, PID) are assigned twice. This ensures that not network addresses are assigned twice. This check can also be applied to the derived addresses to ensure that no "random" identical network addresses are configured (although this is statistically very unlikely with a suitable derivation function) In another variant, a device identifier can have a counter value or a freely selectable value, so that address conflicts can be resolved automatically by selecting an alternative address, eg by incrementing a device counter. For a network logon, especially for IEEE 802.1x using a device certificate, the device certificate containing the device name can be used to verify that this device is allowed to use the IPv6 address. For this purpose, it is not necessary to explicitly encode the permissible IP address in the device certificate, since the IP address can be derived deterministically from identifiers (HID and / or PID) confirmed in the certificate and can thus be checked. This simplifies the management of digital certificates. In another variant, the digital device certificate contains information about permissible IPv6 addresses. However, when the certificate is issued, the entry can be determined deterministically depending on the device name. As a result, the effort is reduced in this case.
Gemäß bevorzugten Ausführungsformen der Erfindung wird zumindest ein Teil einer IPv6-Adresse deterministisch abgeleitet. Mögliche Eingabeparameter für die Ableitungsfunktion umfassen : In accordance with preferred embodiments of the invention, at least a portion of an IPv6 address is derived deterministically. Possible input parameters for the derivative function include:
• Host-Identifier (z.B. ein im Rahmen der Projektierung vergebener Host -Name) • Host identifier (for example, a host name assigned during the configuration)
· Maschinen- Identifier (falls z.B. mehrere Maschinen wie z.B. ein Roboter installiert sind) . · Machine Identifier (if, for example, several machines, such as a robot, are installed).
• Proj ektierungs - Identifier (z.B. Projektname, der im Rahmen der Projektierung festgelegt ist, Versionsstand, Proj ektierungs -Teilbaum)  • Projection identifier (for example, project name, which is defined during configuration, version status, project subdivision)
· Eine Netzwerk-ID als logischen Bezeichner für ein Teilnetz (z.B. „Netzsegment-DMZ") . Auch kann der Typ bzw. Verwendungszweck des Netzwerks verwendet werden (z.B. Safety, 50159-Closed, Realtime, Diagnose, EnterpriselT, SCADA, Field- level) . · A network ID as a logical identifier for a subnet (eg "network segment DMZ") The type or intended use of the network can also be used (eg Safety, 50159-Closed, Realtime, Diagnostics, EnterpriselT, SCADA, Field-level ).
· Es kann ebenso eine Ortsinformation des Netzes · It can also be a location information of the network
eincodiert werden ( z . B . "Stellwerk Bonn", „Streckenabschnitt 358") • URL eines Service, z.B. eines http-Servers , eines Web Service, oder eines OPC UA Service. be encoded (eg "Stellwerk Bonn", "section 358") • URL of a service, eg an http server, a web service, or an OPC UA service.
• Lane-ID (Kanal einer mehrkanaligen, redundanten Kommunikationsübertragung)  • Lane ID (channel of a multi-channel, redundant communication transmission)
· Eine Rolle (z.B. projektiertes Gerät oder dynamisch nicht-projektiert hinzugefügtes Gerät; Wartungs-Gerät, Automatisierungsgerät, Steuergerät, Sensor, Aktor, Netzwerkgerät wie Router, Switch) . · A role (for example, configured device or dynamically unconfigured added device, maintenance device, automation device, control device, sensor, actuator, network device such as router, switch).
• Ein Konfigurationszustand (unkonfiguriert , konfiguriert)  • A configuration state (unconfigured, configured)
Beispiele für Ableitungsfunktionen AF sind: Examples of derivative functions AF are:
• Identitätsfunktion • Identity function
• CRC  • CRC
· XOR (z.B. Byteweise, 16-Bit Weise, 32-Bit Weise)XOR (e.g., bytewise, 16-bit, 32-bit)
• MD5, SHA-1, SHA256 • MD5, SHA-1, SHA256
• HMAC, AES-CBC-MAC (mit Parameter und Zweck „Railway- IPv6 - Derivation" als weiteren textuellen Ableitungsparameter) • HMAC, AES-CBC-MAC (with parameter and purpose "Railway IPv6 - Derivation" as further textual derivation parameter)
Die Ausgabe kann dabei gekürzt werden, z.B. auf 32 Bit, 48 Bit, 64 Bit. The output can be shortened, e.g. on 32 bits, 48 bits, 64 bits.
Die Ableitung, die die Bestimmung gemäß Ausführungsformen der Erfindung einer IP-Adresse zumindest teilweise bestimmt, kann unterschiedlich angewandt werden: The derivation which at least partially determines the determination of an IP address according to embodiments of the invention may be applied differently:
• Bei der Autokonfiguration einer IPv6 -Adresse durch einen Host. Hier kann in einer Variante eine bekannte Duplicate Address Detection (DAD) Prüfung erfolgen, um eine doppelte Verwendung einer IPv6-Adresse zu vermeiden. Bei einem Adress- konflikt kann z.B. eine Fehlermeldung bereitgestellt werden, oder es kann durch aktualisieren eines Zählerfelds der IPv6- Adresse eine nächste Adresse mit der entsprechend enthaltenen Information bestimmt werden. Auch hierfür kann nun eine DAD Prüfung erfolgen. Dies kann dann wiederholt werden, bis eine freie Adresse erhalten wird. • When autoconfiguring an IPv6 address by a host. Here, in one variant, a known Duplicate Address Detection (DAD) check can be made to avoid double use of an IPv6 address. In the case of an address conflict, e.g. an error message can be provided, or it can be determined by updating a counter field of the IPv6 address a next address with the information contained accordingly. Again, a DAD test can now be done. This can then be repeated until a free address is obtained.
• Bei der Plug-and-Work-Autokonfiguration von Konfigurationseinstellungen des Gerätes kann anhand der IPv6 -Adresse die zugeordnete Projektierungsinformation automatisch ausgewählt werden, oder es kann bei einer Mehrdeutigkeit eine Vorauswahl von in Frage kommenden Konfigurationen einem Nutzer zur Auswahl angeboten werden. • During plug-and-work autoconfiguration of device configuration settings, the associated configuration information can be automatically selected based on the IPv6 address or, in the case of ambiguity, a pre-selection of candidate configurations may be offered to a user for selection.
• Es kann ein Multicast -Adressbereich geschaffen werden, der alle Geräte einer Projektierung bzw. eines Teilbereichs der Projektierung umfasst.  • A multicast address range can be created that includes all devices of a configuration or a subarea of the configuration.
• Bei der Bestimmung einer zu konfigurierenden IPv6- Adresse bei der Projektierung.  • When determining an IPv6 address to be configured during configuration.
• Bei einer Adressprüfung bei einem Network Access gemäß IEEE 802. Ix (Port-based Access Control) .  • When checking the address of a network access in accordance with IEEE 802.1x (Port-based Access Control).
• Bei einem Abgleich eines im Gerätezertifikat enthaltenen Gerätenamens mit der durch ein Gerät verwendeten IPv6- Adresse .  • When matching a device name contained in the device certificate with the IPv6 address used by a device.
• Eintrag einer IPv6 -Adressinformation eines Gerätes bei der Zertifikatsherausgabe/Zertifikatsausstellung.  • Entry of an IPv6 address information of a device during certificate issue / issuance.
Die Adressinformation kann z.B. über einen Konfigurations- speichermodul (ID-Plug, USB-Stick, SD-Card), über eine lokale Konfigurationsschnittstelle (z.B. RS-232, USB), über ein De- vice Management -System oder/und per Download von Projektierungsdaten konfiguriert werden. The address information may e.g. via a configuration memory module (ID plug, USB stick, SD card), via a local configuration interface (eg RS-232, USB), via a device management system or / and by downloading configuration data.
Bei der Installation oder dem Austausch einer Komponente mittels „ Plug-and-Work" wird von einem „anonymen", When installing or replacing a component using "plug-and-work", an "anonymous",
unkonfigurierten Anfangszustand der Komponente ausgegangen.unconfigured initial state of the component.
Die Komponente kann nun eine IPv6 -Adresse bilden, die als Information eincodiert, dass die Komponente unproj ektiert ist, d.h. (noch) über keine von Projektierungs-Daten abgeleitete IPv6 -Adresse verfügt. Mittels dieser initialen Adresse kann die Komponente im Rahmen eines Plug-and-Work-Vorgangs Projektierungsdaten von einem Projektierungsserver laden (z.B. über HTTP, FTP, SCP o.a.). Nach Laden der Projektierungsdaten kann die Komponente dann eine IPv6 -Adresse bilden, die aus den Projektierungsdaten abgeleitet ist. The component can now form an IPv6 address, which encodes as information that the component is unproj ected, i. (still) has no IPv6 address derived from configuration data. Using this initial address, the component can load configuration data from a configuration server as part of a plug-and-work process (for example, via HTTP, FTP, SCP, etc.). After loading the configuration data, the component can then form an IPv6 address, which is derived from the configuration data.
In einer anderen Variante wird die von Projektierungsdaten abhängige IPv6 -Adresse eines Gerätes von einem Konfigurati- onsserver bestimmt und der Zielkomponente über DHCPv6 bereitgestellt . In another variant, the IPv6 address of a device that depends on the configuration data is determined by a configuration onsserver and the target component via DHCPv6.
Anwendungsdomänen sind insbesondere unterschiedliche Automa- tisierungsumgebungen Application domains are, in particular, different automation environments
• Bahnautomatisierung, Stellwerk  • Rail automation, interlocking
• Fertigungsautomatisierung  • Factory automation
• Prozessautomatisierung  • process automation
• Gebäudeautomatisierung  • Building automation
· Energienetzautomatisierung · Power grid automation
Die IPv6 -Kommunikation kann dabei auf Feldebene, in einem Leitstand, in einem SCADA-System o.ä. stattfinden. Die folgenden Vorteile ergeben sich aus bevorzugten Ausführungsformen der Erfindung: IPv6 communication can be implemented at the field level, in a control room, in a SCADA system or similar. occur. The following advantages result from preferred embodiments of the invention:
Die IP-Adresse muss nicht manuell konfiguriert bzw. projektiert werden, da sie automatisch, deterministisch abhängig von ohnehin bekannten und benötigten Projektierungsdaten ermittelt wird. Dadurch wird der Aufwand für die Projektierung bzw. Konfiguration verringert. Fehler und Inkonsistenzen werden vermieden. Es werden keine Automatismen für eine Adressvergabe operativ verwendet, die zu einem unvorhergesehenen Verhalten führen könnten. Dies würde insbesondere einen Safety-Nachweis komplexer machen und dadurch zu einem erhöhten Aufwand führen. Ein Gerätetausch, z.B. bei einem defekten Gerät, führt zu ei- ner identischen Netzwerkkonfiguration, da nicht die MAC-The IP address does not have to be manually configured or configured because it is determined automatically, deterministically, depending on the configuration data that is already known and required. As a result, the effort for the configuration or configuration is reduced. Errors and inconsistencies are avoided. There are no automatic address allocation mechanisms that could lead to unforeseen behavior. In particular, this would make safety proof more complex and thus lead to increased expenditure. A device replacement, e.g. with a defective device, leads to an identical network configuration, since not the MAC
Adresse in die IPv6-Adresse eingeht. Die Adressinformation ist bereits bei der Projektierung deterministisch festgelegt, obwohl die MAC-Adressen der verwendeten Geräte zu diesem Zeitpunkt noch gar nicht feststehen. Address in the IPv6 address. The address information is already determined deterministically during configuration, although the MAC addresses of the devices used are not yet known at this time.
Die IPv6-Adresse enthält eine Information („Handle", „Link"), anhand derer dem Gerät zugeordnete Projektierungsdaten bestimmbar sind. Dadurch kann bei einer Fehlersuche bzw. einer Datenkommunikation direkt ein Bezug zu den jeweils zugeordneten Projektierungsdaten automatisch hergestellt werden. The IPv6 address contains information ("handle", "link") that can be used to determine the configuration data assigned to the device. This can be used in a troubleshooting or a Data communication directly a reference to the assigned configuration data are automatically produced.

Claims

Patentansprüche claims
1. Verfahren zur deterministischen Bestimmung eines Adressteils (9, 19, 9a, 19b, 19c) für einen Netzwerkknoten (1, 11) , umfassend die Verfahrensschritte: Method for the deterministic determination of an address part (9, 19, 9a, 19b, 19c) for a network node (1, 11), comprising the method steps:
- Vergeben eines eindeutigen Namens (2, 2a, 12, 12b, 12c) für einen Netzwerkknoten (1, 11) oder eine Gruppe von Netzwerkknoten (1, 11) in einer Projektierung;  - Assigning a unique name (2, 2a, 12, 12b, 12c) for a network node (1, 11) or a group of network nodes (1, 11) in a configuration;
- Bestimmen des Adressteils (9, 19, 9a, 19b, 19c) auf deter- ministische Weise abhängig von dem eindeutigen Namen (2, 2a, Determining the address part (9, 19, 9a, 19b, 19c) in a deterministic manner as a function of the unique name (2, 2a,
12, 12b, 12c) mittels einer Ableitungsfunktion (7a, 17b, 17c) . 12, 12b, 12c) by means of a derivative function (7a, 17b, 17c).
2. Verfahren nach Anspruch 1, wobei der Adressteil (9, 19, 9a, 19b, 19c) algorithmisch auf deterministische Weise abhängig von dem eindeutigen Namen (2, 2a, 12, 12b, 12c) mittels der Ableitungsfunktion (7a, 17b, 17c) bestimmt wird. 2. The method of claim 1, wherein the address part (9, 19, 9a, 19b, 19c) algorithmically in a deterministic manner depending on the unique name (2, 2a, 12, 12b, 12c) by means of the derivative function (7a, 17b, 17c ) is determined.
3. Verfahren nach einem der vorhergehenden Ansprüche, wobei der Adressteil (9, 19, 9a, 19b, 19c) von einer IP- Adresse, vorzugsweise von einer IPv6 -Adresse umfasst wird. 3. The method according to any one of the preceding claims, wherein the address part (9, 19, 9a, 19b, 19c) from an IP address, preferably from an IPv6 address is included.
4. Verfahren nach einem der vorhergehenden Ansprüche, wobei sich der eindeutige Name (2, 2a, 12, 12b, 12c) in eindeutiger Weise aus dem Adressteil (9, 19, 9a, 19b, 19c) bestimmen lässt . 4. The method according to any one of the preceding claims, wherein the unique name (2, 2a, 12, 12b, 12c) in a unique manner from the address part (9, 19, 9a, 19b, 19c) can be determined.
5. Verfahren nach einem der vorhergehenden Ansprüche, wobei der eindeutige Name ein textueller Name, vorzugsweise ein Host-Name (HID) , ein Proj ekt - Identifier, ein Anlagen- Identifier (PID) , ein Identifier eines Services wie beispielsweise eine URL, und/oder eine Lane ID eines redundanten Netzwerks ist. 5. The method according to any one of the preceding claims, wherein the unique name is a textual name, preferably a host name (HID), a proj ect - identifier, a plant identifier (PID), an identifier of a service such as a URL, and / or a lane ID of a redundant network.
6. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Ableitungsfunktion (7a, 17b, 17c) die Identitätsfunktion, eine Hash-Funktion wie CRC, eine kryptographische Hashfunktion wie MD5, SHA-1, SHA256 oder eine Schlüsselableitungsfunktion wie z.B. HMAC ist. 6. The method according to any one of the preceding claims, wherein the derivation function (7a, 17b, 17c) the identity function, a hash function such as CRC, a cryptographic Hash function such as MD5, SHA-1, SHA256 or a key derivation function such as HMAC.
7. Verfahren nach einem der vorhergehenden Ansprüche, wobei der auf deterministische Weise bestimmte Adressteil (9, 19, 9a, 19b, 19c) zumindest ein Teil einer vollständigen 128- bit IPv6 -Adresse ist und zur eindeutigen Bindung zwischen Projekt, projektiertem Knoten, Netzwerk, Knoteninterface sowie genutzter IPv6 Adresse dient. 7. The method according to any one of the preceding claims, wherein the determined deterministic address part (9, 19, 9a, 19b, 19c) is at least part of a complete 128-bit IPv6 address and for unique connection between project, configured node, network , Node interface and used IPv6 address.
8. Verfahren nach einem der vorhergehenden Ansprüche, wobei dem Netzwerkknoten (1, 11) mehrere Adressen desselben8. The method according to any one of the preceding claims, wherein the network node (1, 11) a plurality of addresses thereof
Protokolls, beispielsweise mehrere IPv6 -Adressen, zugeordnet werden, die sich in ihrem jeweiligen Netzwerkteil unterscheiden, wobei die mehreren Adressen vorzugsweise einen gleichen deterministisch abgeleiteten Adressteil aufweisen. Protocol, for example, multiple IPv6 addresses are assigned, which differ in their respective network part, wherein the plurality of addresses preferably have a same deterministically derived address part.
9. Verfahren nach einem der vorhergehenden Ansprüche, wobei ein separater Kommunikationsprozessor als Netzwerkschnittstelle dient, welche den Adressteil (9, 19, 9a, 19b, 19c) auf deterministische Weise bestimmt, wobei der Adressteil (9, 19, 9a, 19b, 19c) vorzugsweise abhängig von HID und/oder PID eines dem Kommunikationsprozessor zugeordneten Steuergerätes bestimmt wird, und/oder wobei vorzugsweise ein Interface -Bezeichner eines Einschub-Slots oder einer sonstigen Montageposition des Netzwerkknotens (1, 11) bezüglich des Steuergerätes abhängen. 9. The method according to any one of the preceding claims, wherein a separate communication processor serves as a network interface, which determines the address part (9, 19, 9a, 19b, 19c) in a deterministic manner, wherein the address part (9, 19, 9a, 19b, 19c) is preferably determined depending on HID and / or PID of the communication processor associated control unit, and / or preferably an interface identifier of a slot or other mounting position of the network node (1, 11) with respect to the control unit depend.
10. Verfahren nach einem der vorhergehenden Ansprüche, wobei ein Projektierungstool (3) eine Prüfung vornimmt, um zu verhindern, dass Namen (2, 2a, 12, 12b, 12c) doppelt vergeben werden, oder eine solche Prüfung über einen Multicast Service implementiert verteilt auf jedem Netzwerkknoten (1, 11) selbst durchgeführt wird. 10. The method according to any one of the preceding claims, wherein a configuration tool (3) performs a check to prevent names (2, 2a, 12, 12b, 12c) are awarded twice, or distributed such a test implemented via a multicast service is performed on each network node (1, 11) itself.
11. Verfahren nach Anspruch 10, wobei ein Netzwerkknoten11. The method of claim 10, wherein a network node
(1, 11), der sich im Rahmen der Prüfung als falsch projektiert erkennt, den Adressteil (9, 19, 9a, 19b, 19c) neu be- stimmt, beispielsweise indem er auf einen zufälligen Adressanteil zurückfällt und sich zur Überprüfung in einem System registriert, oder beispielsweise indem ein Geräte-Identifier einen Zählerwert oder einen frei wählbaren Wert aufweist, so- dass Adresskonflikte durch Wahl einer Ausweichadresse, z.B. durch Hochzählen des Gerätezählers, automatisch aufgelöst werden . (1, 11), which identifies itself as being incorrectly configured in the course of the examination, redirects the address part (9, 19, 9a, 19b, 19c). is correct, for example, by falling back on a random address portion and registering for verification in a system, or, for example, by a device identifier having a counter value or a freely selectable value, so that address conflicts can be selected by selecting an alternate address, eg by incrementing the device counter, be resolved automatically.
12. Verfahren nach einem der vorhergehenden Ansprüche, wobei bei einer Netzwerkanmeldung unter Verwendung eines Ge- rätezertifikats , das den eindeutigen Namen (2, 2a, 12, 12b, 12c) des Netzwerkknotens (1, 11) enthält, eine Überprüfung erfolgt, ob der Netzwerkknoten (1, 11) den Adressteil (9, 19, 9a, 19b, 19c) tatsächlich verwenden darf, wobei vorzugsweise der Adressteil (9, 19, 9a, 19b, 19c) deterministisch aus im Zertifikat bestätigten Identifiern abgeleitet und überprüft wird, oder wobei vorzugsweise im Gerätezertifikat eine Information über eine zulässige IPv6 -Adresse enthalten ist und bei der Ausgabe des Gerätezertifikats der Adressteil (9, 19, 9a, 19b, 19c) deterministisch bestimmt wird. 12. The method according to any one of the preceding claims, wherein in a network application using a device certificate containing the unique name (2, 2a, 12, 12b, 12c) of the network node (1, 11), a check is made whether the Network node (1, 11) may actually use the address part (9, 19, 9a, 19b, 19c), wherein preferably the address part (9, 19, 9a, 19b, 19c) is deterministically derived and verified in identifiers confirmed by the certificate, or wherein preferably in the device certificate information about a permissible IPv6 address is included and the output of the device certificate, the address part (9, 19, 9a, 19b, 19c) is determined deterministically.
13. Verfahren nach einem der vorhergehenden Ansprüche, wobei in der Projektierung die Gruppe von Netzwerkknoten definiert wird, indem ein Gruppenname festgelegt wird, und aus dem Gruppennamen (2, 2a, 12, 12b, 12c) zumindest ein Teil eines Multicast -Adressbereiches abgeleitet wird. 13. The method according to any one of the preceding claims, wherein in the configuration, the group of network nodes is defined by a group name is determined, and from the group name (2, 2a, 12, 12b, 12c) at least a part of a multicast address range is derived ,
14. System (1, 11) zur deterministischen Bestimmung eines14. System (1, 11) for the deterministic determination of a
Adressteils (9, 19, 9a, 19b, 19c) eines Netzwerkknotens (1, 11) , umfassend ein Bestimmungsmittel (8) , welches adaptiert ist, den Adressteil (9, 19, 9a, 19b, 19c) auf deterministische Weise abhängig von einem eindeutigen in einer Projektie- rung vergebenen Namen (2, 2a, 12, 12b, 12c) des Netzwerkknotens (1, 11) oder einer Gruppe von Netzwerkknoten (1, 11) mittels einer Ableitungsfunktion (7a, 17b, 17c) zu bestimmen. Address part (9, 19, 9a, 19b, 19c) of a network node (1, 11) comprising a determination means (8) which is adapted, the address part (9, 19, 9a, 19b, 19c) in a deterministic manner depending on one unambiguous names (2, 2a, 12, 12b, 12c) of the network node (1, 11) or of a group of network nodes (1, 11) assigned in a project designation by means of a derivation function (7a, 17b, 17c).
15. System nach Anspruch 14, wobei der Netzwerkknoten (1,15. System according to claim 14, wherein the network node (1,
11) das System umfasst und/oder das System ist. 11) includes the system and / or the system is.
16. System nach Anspruch 14 oder 15, wobei das Bestimmungsmittel (8) adaptiert ist, den Adressteil (9, 19, 9a, 19b, 19c) algorithmisch auf deterministische Weise abhängig von dem eindeutigen Namen (2, 2a, 12, 12b, 12c) mittels der Ableitungsfunktion (7a, 17b, 17c) zu bestimmen. A system according to claim 14 or 15, wherein the determining means (8) is adapted to algorithmically determine the address part (9, 19, 9a, 19b, 19c) in a deterministic manner depending on the unique name (2, 2a, 12, 12b, 12c ) by means of the derivative function (7a, 17b, 17c).
17. System nach einem der Ansprüche 14 bis 16, wobei der Adressteil (9, 19, 9a, 19b, 19c) von einer IP-Adresse, vorzugsweise von einer IPv6 -Adresse umfasst wird. A system according to any one of claims 14 to 16, wherein the address part (9, 19, 9a, 19b, 19c) is comprised of an IP address, preferably an IPv6 address.
18. System nach einem der Ansprüche 14 bis 17, wobei der eindeutige Name (2, 2a, 12, 12b, 12c) in eindeutiger Weise aus dem Adressteil (9, 19, 9a, 19b, 19c) bestimmbar ist. 18. System according to any one of claims 14 to 17, wherein the unique name (2, 2a, 12, 12b, 12c) in an unambiguous manner from the address part (9, 19, 9a, 19b, 19c) can be determined.
19. System nach einem der Ansprüche 14 bis 18, wobei der eindeutige Name ein textueller Name, vorzugsweise ein Host- Name (HID) , ein Proj ekt - Identifier, ein Anlagen-Identifier (PID) , ein Identifier eines Services wie beispielsweise eine URL, und/oder eine Lane ID eines redundanten Netzwerks ist. 19. The system according to any one of claims 14 to 18, wherein the unique name is a textual name, preferably a host name (HID), a proj ect - identifier, a plant identifier (PID), an identifier of a service such as a URL , and / or a lane ID of a redundant network.
20. System nach einem der Ansprüche 14 bis 19, wobei die Ableitungsfunktion (7a, 17b, 17c) die Identitätsfunktion, eine Hash-Funktion wie CRC, eine kryptographische Hashfunktion wie MD5, SHA-1, SHA256 oder eine Schlüsselableitungsfunktion wie z.B. HMAC ist. A system according to any one of claims 14 to 19, wherein the deriving function (7a, 17b, 17c) comprises the identity function, a hash function such as CRC, a cryptographic hash function such as MD5, SHA-1, SHA256 or a key derivation function such as e.g. HMAC is.
21. System nach einem der Ansprüche 14 bis 20, wobei der auf deterministische Weise bestimmte Adressteil (9, 19, 9a, 19b, 19c) zumindest ein Teil einer vollständigen 128-bit IPv6 -Adresse ist und zur eindeutigen Bindung zwischen Projekt, projektiertem Knoten, Netzwerk, Knoteninterface sowie genutzter IPv6 Adresse dient. The system of any one of claims 14 to 20, wherein said deterministically determined address portion (9, 19, 9a, 19b, 19c) is at least a portion of a complete 128-bit IPv6 address and for unique binding between project, configured node , Network, node interface and used IPv6 address.
22. System nach einem der Ansprüche 14 bis 21, wobei dem Netzwerkknoten (1, 11) mehrere Adressen desselben Protokolls, beispielsweise mehrere IPv6 -Adressen, zugeordnet sind, die sich in ihrem jeweiligen Netzwerkteil unterscheiden, wobei die mehreren Adressen vorzugsweise einen gleichen deterministisch abgeleiteten Adressteil aufweisen. 22. The system according to any one of claims 14 to 21, wherein the network node (1, 11) a plurality of addresses of the same protocol, for example, a plurality of IPv6 addresses are assigned, which differ in their respective network part, wherein the plurality of addresses preferably have a same deterministically derived address portion.
23. System nach einem der Ansprüche 14 bis 22, wobei ein separater Kommunikationsprozessor als Netzwerkschnittstelle dient, welche den Adressteil (9, 19, 9a, 19b, 19c) auf deterministische Weise bestimmt, wobei der Adressteil (9, 19, 9a, 19b, 19c) vorzugsweise abhängig vom HID und/oder PID eines dem Kommunikationsprozessor zugeordneten Steuergerätes bestimmt wird, und/oder wobei vorzugsweise ein Interface- Bezeichner eines Einschub-Slots oder einer sonstigen Montageposition des Netzwerkknotens (1, 11) bezüglich des Steuergerätes abhängen. 23. System according to any one of claims 14 to 22, wherein a separate communication processor serves as a network interface, which determines the address part (9, 19, 9a, 19b, 19c) in a deterministic manner, wherein the address part (9, 19, 9a, 19b, 19c) is preferably determined as a function of the HID and / or PID of a control unit assigned to the communication processor, and / or wherein preferably an interface identifier of an insertion slot or another mounting position of the network node (1, 11) with respect to the control unit.
24. System nach einem der Ansprüche 14 bis 23, umfassend ein Projektierungstool (3), welches adaptiert ist, eine Prü- fung vorzunehmen, um zu verhindern, dass Namen (2, 2a, 12, 12b, 12c) doppelt vergeben werden, oder das adaptiert ist, eine solche Prüfung über einen Multicast Service implementiert verteilt auf jedem Netzwerkknoten (1, 11) selbst durchzuführen . 24. System according to one of claims 14 to 23, comprising a project planning tool (3), which is adapted to make a check to prevent names (2, 2a, 12, 12b, 12c) are assigned twice, or that is adapted to carry out such testing via a multicast service implemented distributed on each network node (1, 11) itself.
25. System nach Anspruch 24, wobei das Projektierungstool25. The system of claim 24, wherein the engineering tool
(3) adaptiert ist, den Adressteil (9, 19, 9a, 19b, 19c) neu zu bestimmen falls die Prüfung ergibt, dass der Netzwerkknoten falsch projektiert ist, wobei das Projektierungstool vorzugsweise adaptiert ist zu veranlassen, dass ein Netzwerkkno- ten (1, 11) auf einen zufälligen Adressanteil zurückfällt und sich zur Überprüfung in einem System registriert, oder beispielsweise indem ein Geräte-Identifier einen Zählerwert oder einen frei wählbaren Wert aufweist, sodass Adresskonflikte durch Wahl einer Ausweichadresse, z.B. durch Hochzählen des Gerätezählers, automatisch aufgelöst wird. (3) is adapted to re-determine the address part (9, 19, 9a, 19b, 19c) if the check reveals that the network node is configured incorrectly, wherein the configuration tool is preferably adapted to cause a network node (1 , 11) falls back to a random address portion and registered for verification in a system, or for example by a device identifier has a counter value or a freely selectable value, so that address conflicts by selecting an alternative address, eg by counting up the device counter, is automatically resolved.
26. System nach einem der Ansprüche 14 bis 25, welches adaptiert ist, bei einer Netzwerkanmeldung unter Verwendung eines Gerätezertifikats, das den eindeutigen Namen (2, 2a, 12, 12b, 12c) des Netzwerkknotens (1, 11) enthält, eine Über- prüfung vorzunehmen, ob der Netzwerkknoten (1, 11) den Adressteil (9, 19, 9a, 19b, 19c) tatsächlich verwenden darf, wobei vorzugsweise der Adressteil (9, 19, 9a, 19b, 19c) deterministisch aus im Zertifikat bestätigten Identifiern ab- leitbar und überprüfbar ist, oder wobei vorzugsweise das Gerätezertifikat eine Information über eine zulässige IPv6- Adresse umfasst und bei der Ausgabe des Gerätezertifikats der Adressteil (9, 19, 9a, 19b, 19c) deterministisch bestimmt wird . 26. A system according to any one of claims 14 to 25, adapted in a network login using a device certificate containing the unique name (2, 2a, 12, 12b, 12c) of the network node (1, 11). check whether the network node (1, 11) may actually use the address part (9, 19, 9a, 19b, 19c), preferably the address part (9, 19, 9a, 19b, 19c) deterministically from identifiers confirmed in the certificate - is conductive and verifiable, or preferably wherein the device certificate includes information about a permissible IPv6 address and the output of the device certificate, the address part (9, 19, 9a, 19b, 19c) is determined deterministically.
27. System nach einem der Ansprüche 14 bis 26, wobei das27. System according to any one of claims 14 to 26, wherein the
System adaptiert ist, in der Projektierung die Gruppe zu definieren, indem ein Gruppenname festgelegt wird, und aus dem Gruppennamen (2, 2a, 12, 12b, 12c) zumindest ein Teil eines Multicast -Adressbereiches ableitbar ist. System is adapted to define the group in the configuration by a group name is set, and from the group name (2, 2a, 12, 12b, 12c) at least part of a multicast address range is derivable.
EP14715558.4A 2013-04-15 2014-03-24 Ip adress determination Ceased EP2949111A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE201310206686 DE102013206686A1 (en) 2013-04-15 2013-04-15 IP address determination
PCT/EP2014/055841 WO2014170091A1 (en) 2013-04-15 2014-03-24 Ip adress determination

Publications (1)

Publication Number Publication Date
EP2949111A1 true EP2949111A1 (en) 2015-12-02

Family

ID=50440638

Family Applications (1)

Application Number Title Priority Date Filing Date
EP14715558.4A Ceased EP2949111A1 (en) 2013-04-15 2014-03-24 Ip adress determination

Country Status (3)

Country Link
EP (1) EP2949111A1 (en)
DE (1) DE102013206686A1 (en)
WO (1) WO2014170091A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111371922B (en) * 2020-03-31 2022-05-03 洛阳正扬软件技术有限公司 Automatic setting algorithm for address of network node without master and slave in network

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI20011075A0 (en) * 2001-05-22 2001-05-22 Keijo Laehetkangas Utilization of geographic information on Internet addresses
KR100663412B1 (en) * 2004-06-07 2007-01-02 삼성전자주식회사 Method for setting internet protocol address by using vehicle identification number
JP4052522B2 (en) * 2006-04-12 2008-02-27 松下電器産業株式会社 Network device and network device management method
JP5480719B2 (en) * 2010-05-27 2014-04-23 株式会社Nttドコモ Terminal device, prefix distribution device, IPv6 address generation system, and IPv6 address generation method
US8688807B2 (en) * 2011-08-18 2014-04-01 Cisco Technology, Inc. Deriving unique local addresses from device names

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
None *
See also references of WO2014170091A1 *

Also Published As

Publication number Publication date
WO2014170091A1 (en) 2014-10-23
DE102013206686A1 (en) 2014-10-30

Similar Documents

Publication Publication Date Title
EP3059930B1 (en) Method for configuring a communication device of an industrial automation system and communication device
DE10029645B4 (en) Method for addressing network components
DE102010030811A1 (en) Automated adaptation to various Industrial Ethernet protocols
EP2037659A2 (en) Method for configuring DHCP server using DHCP option 82
WO2007144364A1 (en) Method and apparatus for networking an automated installation
EP3062490A1 (en) Method for transmitting data within an industrial automation system and communication device
DE102019114303B3 (en) Method for detecting network participants in an automation network and automation network
DE102022208744A1 (en) SECURE REMOTE ACCESS TO DEVICES IN OVERLAPPING SUBNETS
EP3113461B1 (en) Method for establishing communication links to redundant control devices of an industrial automation system and control apparatus
EP2733910A1 (en) BUS system, method for operating a BUS system and fluid system with a BUS system
DE102010040020A1 (en) Determining an address of a component of a vehicle
WO2014170091A1 (en) Ip adress determination
DE10331307A1 (en) Device and method and security module for securing a data access of a communication subscriber to at least one automation component of an automation system
EP2991320B1 (en) Method for determining names of communication devices within an industrial automation system, diagnosis unit and diagnosis data providing unit
DE102012106449B4 (en) Storage of a target address in a device of a control system
EP3035600B1 (en) Method for diagnosing the accessibility of network participants, network participants and IP-based network
DE102011082962A1 (en) System and method for providing a control program code
EP2996004B1 (en) Method for providing information relating to communication network addresses within an industrial automation system and router
EP2629164B1 (en) Method and configuration component for allocating a station name to components of an industrial automation assembly
EP3576380A1 (en) Method for registering device names assigned to industrial automation devices or communication devices in a name service system and control component
EP3163389B1 (en) Method for configuring field devices and field device having a configuration for two bus systems
EP3621245A1 (en) Method for the automatic configuration of routers, method for automatic address configuration, router, computer program and computer readable medium
DE102011088161A1 (en) Method for operating a network arrangement and network arrangement
DE102020203031B3 (en) Device and method for controlling access to an electrical device
EP3579498B1 (en) Method for configuring a communication network

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20150826

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20161031

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: SIEMENS AKTIENGESELLSCHAFT

REG Reference to a national code

Ref country code: DE

Ref legal event code: R003

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

18R Application refused

Effective date: 20180110