EP4639293A1 - Verfahren und system zum gegenseitigen überprüfen der integrität einer vielzahl von feldgeräten der automatisierungstechnik - Google Patents

Verfahren und system zum gegenseitigen überprüfen der integrität einer vielzahl von feldgeräten der automatisierungstechnik

Info

Publication number
EP4639293A1
EP4639293A1 EP23817326.4A EP23817326A EP4639293A1 EP 4639293 A1 EP4639293 A1 EP 4639293A1 EP 23817326 A EP23817326 A EP 23817326A EP 4639293 A1 EP4639293 A1 EP 4639293A1
Authority
EP
European Patent Office
Prior art keywords
fgn
field devices
field device
checksum
field
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP23817326.4A
Other languages
English (en)
French (fr)
Inventor
Tobias Paul
Thomas Alber
Patrice GROSPERRIN
Björn HAASE
Michael Kuhl
Axel PÖSCHMANN
Johannes Sprenger
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Endress and Hauser SE and Co KG
Original Assignee
Endress and Hauser SE and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Endress and Hauser SE and Co KG filed Critical Endress and Hauser SE and Co KG
Publication of EP4639293A1 publication Critical patent/EP4639293A1/de
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security

Definitions

  • the invention relates to a method for mutually checking the integrity of a large number of field devices in automation technology, wherein each of the field devices has at least one communication unit, wherein each of the communication units is designed to establish a communication connection to each of the other field devices via a communication network, wherein each of the field devices has a large number of parameters which define the operation and/or functionality of the corresponding field device, and wherein each of the field devices additionally comprises an electronic unit and a memory unit.
  • the invention relates to a system comprising a large number of field devices, wherein each of the field devices has at least one communication unit, which communication unit is designed to establish a communication connection to each of the other field devices via a communication network, wherein each of the field devices has a large number of parameters which define the operation and/or functionality of the field device.
  • Field devices that are used in industrial plants are already known from the state of the art. Field devices are often used in process automation technology as well as in production automation technology. In principle, field devices are all devices that are used close to the process and that provide or process process-relevant information. Field devices are used to record and/or influence process variables. Measuring devices or sensors are used to record process variables. These are used, for example, for pressure and temperature measurement, conductivity measurement, flow measurement, pH measurement, level measurement, etc. and record the corresponding process variables pressure, temperature, conductivity, pH value, level, flow, etc. Actuators are used to influence process variables. These are, for example, pumps or valves that can influence the flow of a liquid in a pipe or the level in a container. In addition to the measuring devices and actuators mentioned above, field devices also include remote I/Os, radio adapters or general devices that are arranged at the field level.
  • field devices are usually connected to higher-level units via communication networks such as fieldbuses (Profibus®, Foundation® Fieldbus, HART®, etc.).
  • the higher-level units are usually control systems (DCS) or control units, such as a PLC (programmable logic controller). Control).
  • DCS control systems
  • PLC programmable logic controller
  • Control control
  • the higher-level units are used, among other things, for process control, process visualization, process monitoring and for commissioning the field devices.
  • the measured values recorded by the field devices, in particular by sensors are transmitted via the respective bus system to one (or possibly several) higher-level units.
  • data transmission from the higher-level unit to the field devices via the bus system is also required, in particular for the configuration and parameterization of field devices and for controlling actuators.
  • the invention is based on the object of presenting a method which enables a simplified integrity test of field devices.
  • each of the field devices has at least one communication unit, wherein each of the communication units is designed to establish a communication connection to each of the other field devices via a communication network, wherein each of the field devices has a plurality of parameters which define the operation and/or the corresponding field device, and wherein each of the field devices additionally comprises an electronic unit and a storage unit, wherein the respective electronic unit is designed to create a checksum over all parameters of the corresponding field device, and wherein the respective storage unit is designed to store the checksum of the corresponding field device and additionally the checksums of each of the other field devices to which a communication connection can be established, comprising:
  • field devices create a secure checksum (for example a hash value) for all parameters of the field device.
  • a checksum is unique for each device configuration (and therefore collision-free). If a parameter value changes, the checksum also changes, which eliminates the need to compare each individual parameter and the associated value.
  • This checksum can be automatically retrieved by other field devices, whereby the existing system infrastructure in the form of the communication network is used for communication between the field devices.
  • Each device creates a list of which other field devices it can reach via the communication network and stores the corresponding checksums of these accessible field devices. The list of stored checksums is checked at regular intervals in particular.
  • This type of mutual monitoring represents a decentralized IDS (Intrusion Detection System), which enables the plant operator to react quickly to a potentially dangerous incident.
  • IDS Intrusion Detection System
  • the method further comprises: generating a warning in the event of a deviation of the current checksum of the second field device from the corresponding checksum of the second field device stored in the memory unit of the first field device.
  • a parameter change is necessarily accompanied by a checksum change. If a deviation occurs, this means that at least one parameter value has been changed.
  • Such a change can, for example, be transmitted to a control system of the system in which the field devices are installed.
  • a cloud-based platform can also be considered as a destination for transmitting the warning. The warning is transmitted in particular by the corresponding field device that detects the deviation.
  • a plausibility check of the deviation is carried out before the warning is generated, and the warning is only generated if the plausibility of the change cannot be successfully checked. For example, it can be checked whether the corresponding field device is in a service mode.
  • the plausibility of the change is checked when a user is authorized to change the parameters on the second field device. In this case, the changes are desired and do not trigger a warning.
  • the steps of retrieving and comparing are repeated at defined times, in particular at regular intervals.
  • the checksum of the second field device stored in the memory unit of the first field device is overwritten with the current checksum of the second field device.
  • the feedback then means that the change to the parameter values is desired.
  • the old checksum is no longer valid and would constantly lead to warnings, e.g. new undesirable changes would not be detected, which is why the stored checksum is overwritten.
  • a new field device is added to the communication network, its checksum is only stored in the respective storage units of the plurality of field devices after a first defined period of time has elapsed since the addition and/or since a last change to one or more of its parameters. This prevents warning messages that would otherwise be generated by the parameters changed during the commissioning of a field device (and thus a changed checksum).
  • the checksums or the corresponding additional checksums are additionally formed via at least one software located on the corresponding field devices, in particular a firmware or an application, or wherein first additional checksums or corresponding first additional current checksums are formed from the at least one software located on the corresponding field devices, which are compared accordingly and checked for deviations.
  • first additional checksums or corresponding first additional current checksums are formed from the at least one software located on the corresponding field devices, which are compared accordingly and checked for deviations.
  • each of the field devices has at least one communication unit, which communication unit is designed to establish a communication connection to each of the other field devices via a communication network, wherein each of the field devices has a plurality of parameters which define the operation and/or functionalities of the field device, and wherein each of the field devices additionally comprises:
  • a storage unit which is designed to store the checksum, wherein the checksums of each of the other field devices are additionally stored in the storage unit, wherein each of the field devices is designed to retrieve the respective current checksums of each of the field devices to which a communication connection exists via the corresponding communication unit, wherein the electronics unit is designed to compare the current checksums with the checksums stored in the electronics unit and to generate a first warning in the event of a deviation of one of the current checksums from the corresponding stored checksum of at least one of the field devices.
  • each of the field devices is designed to detect a pattern of a network performance of each of the field devices to which a communication connection exists.
  • the network performance is determined on the basis of metadata, comprising, for example, packet size, number of packets, sender addresses and/or recipient addresses.
  • the corresponding electronic unit of the respective field devices is designed to generate a second warning in the event that the corresponding pattern of the network communication deviates from a predetermined pattern by at least a defined amount.
  • a further security mechanism is thereby established. This is also established by the large number of field devices as an IDS and functions on the same inventive idea that the field devices check each other's integrity independently.
  • Field devices are designed to determine the pattern of network performance of each of the field devices continuously. Deviations from the known pattern can be detected immediately,
  • the field devices are designed to detect the pattern of a network performance only at defined or random times, whereby resources can be saved.
  • the system further comprises a higher-level unit or another network participant, in particular a PC, a gateway or a cloud, wherein the corresponding communication units of the respective field devices are designed to transmit the first warning and/or the second warning to the higher-level unit or the other participant of the communication network.
  • the transmission takes place via the communication network and/or via the Internet.
  • the setpoint values of the checksums are configured centrally from the higher-level unit, which is in particular a PC, a gateway or a cloud, or are distributed within the mutually checking field device group.
  • the transmission takes place via the communication network and/or via the Internet.
  • this includes the transmission of a signal by the higher-level unit to the field device group, which indicates that the checksums currently recorded in the system are valid.
  • the field device parameters are advantageously divided into a group of static parameters, for example device settings that are critical for operation, and a group of dynamic parameters, for example non-critical device settings or device settings that change during normal operation, for example an operating hours counter or a setting parameter, a time display, or settings relating to summer time or winter time, and the checksum is calculated using only the static parameters.
  • the device parameters are understood to mean static parameters.
  • Fig. 1 a schematic of an embodiment of the method according to the invention.
  • Fig. 1 shows a plurality of field devices FG1, FG2, FGn, which are connected to a communication network KN, in particular a field bus (e.g. Profibus or Foundation Fieldbus, or an Ethernet-based field bus), via corresponding communication units KE1, KE2, KEn.
  • a field bus e.g. Profibus or Foundation Fieldbus, or an Ethernet-based field bus
  • Each of the field devices FG1, FG2, ..., FGn has a plurality of parameters Pn, Pn', Pn":
  • the field device FG1 comprises the parameters P1, P2, ..., Pn;
  • the field device FG2 comprises the parameters P1 ', P2', ..., Pn';
  • the field device FGn comprises the parameters P1", P2", ..., Pn".
  • the parameters Pn, Pn', Pn" define the operation of the respective field device FG1, FG2, ..., FGn and also contain security-relevant parameters, such as cryptographic keys, user authorization levels or, if applicable, access codes/passwords.
  • each of the field devices FG1, FG2, ..., FGn creates a current checksum PS1, PS2, ..., PSn for all parameters Pn, Pn', Pn” using a corresponding electronic unit EE1, EE2, ..., EEn.
  • Such a checksum PS1, PS2, ..., PSn is unique for each device configuration (and therefore collision-free). If a parameter value of a parameter Pn, Pn', Pn", changes, the checksum of the corresponding field device FG1, FG2, ..., FGn also changes.
  • An obvious method for determining the checksum is so-called cryptographic hash functions, as described in the RFC 6234 standard, e.g. SHA-256 or SHA-512.
  • the checksums for the transmission are advantageously transmitted together with a cryptographic checksum calculated using the checksum PS1, PS2, ... PSn, in particular a cryptographic so-called message authentication code (MAC) or a cryptographic signature (SIG).
  • MAC message authentication code
  • SIG cryptographic signature
  • the recipient first checks the cryptographic checksum (MAC/SIG) for correctness before checking the checksum PS1. If the network checksum (MAC or SIG) is calculated using a counter or time stamp (TS), so-called replay attacks on the network can also be advantageously detected.
  • a step is carried out during the commissioning of the field device group FG1, ..., FGn in which the cryptographic keys (KEYa, KEYa', KEYb, KEYb' ...., KEYm, KEYnT) required to generate and check the network checksums (MAC/SIG) are distributed within the field device group.
  • the cryptographic keys KEYa, KEYa', KEYb, KEYb' ...., KEYm, KEYnT
  • Examples for network checksums can be found, for example, in the Internet standards RFC 2104 and RFC 4493 (MAC) or RFC 8032 and RFC 8017 (SIG).
  • the transmitting field device would calculate a network checksum NPS1 using the checksum PS1 and a timestamp TS1 using a key KEYa stored there:
  • NPS1 HMAC-SHA512( (PS1 , TS1), KEYa)
  • This network checksum is transmitted together with the data PS1 and TS1.
  • the recipient would use a key KEYa’ associated with KEYa to check the network checksum NPS1 and the time stamp TS1 for manipulation during transmission before checking the checksum PS1.
  • the checksum NPS1 is calculated using a private key KEYa and the check of NPS1 is carried out using a key KEYa’ that is different from the private key KEYa.
  • each of the field devices FG1, FG2, ..., FGn retrieves the current checksums PS1, PS2, ..., PSn of the other field devices via the communication network KN and stores them as a list in a respective storage unit SE1, SE2, ..., SEn.
  • This storage process can be initiated, for example, via a signal from a higher-level PC unit or alternatively via an operator prompt on a locally available display/operating module.
  • the field devices FG1, FG2, ..., FGn retrieve the current checksums PS1, PS2, ..., PSn of the other field devices and compare them with the stored checksums.
  • the field device FG1 creates an updated checksum PS1 each time a parameter value P1, P2..., Pn changes;
  • the field device FG2 periodically queries the current checksum PS1 from field device FG1;
  • the field device FG2 compares the received current checksum PS1 with the stored list value. In the event of a deviation, the FG2 field device generates a warning message, which is transmitted, for example, to the plant's control center or to a cloud-based platform.
  • a plausibility check can be carried out by the second field device FG2. For example, it checks whether the field device FG1 was in a service or maintenance mode and parameter changes were permitted, whether an authorized user made the changes and/or whether the field device FG1 was recently put into operation so that parameter changes were likely. The warning is only created if the plausibility check is successful.
  • checksum PS1, PS2, ..., PSn information regarding the software, such as the firmware or applications, of the devices can be added to the checksum PS1, PS2, ..., PSn. This can also be achieved using an additional checksum, which is also stored by the other field devices and checked regularly.
  • the network communication of the field devices FG1, FG2, ..., FGn can also be mutually monitored in order to detect unwanted manipulation or malfunction.
  • metadata relating to the network performance are collected by the individual field devices FG1, FG2, ..., FGn themselves.
  • the metadata includes, for example, packet size, number of packets, sender addresses and/or recipient addresses.
  • the field devices FG1, FG2, ..., FGn, or their electronic units EE1, EE2, ..., EEn use this data to create current patterns relating to the network performance.
  • the principle corresponds to that of the checksums PS1, PS2, ..., PSn of the parameters P1, P2..., Pn: If metadata changes, the pattern changes.
  • the field devices FG1, FG2, ..., FGn store the patterns of the other field devices and retrieve the current patterns of the other field devices at specified intervals and generate a warning in the event of a deviation.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung umfasst ein Verfahren zum gegenseitigen Überprüfen der Integrität einer Vielzahl von Feldgeräten (FG1. FG2, …, FGn) der Automatisierungstechnik, umfassend: - Abrufen, mittels der Kommunikationseinheit (KE1, KE2, …, KEn) eines ersten Feldgeräts (FG1) aus der Vielzahl der Feldgeräte, einer aktuellen Prüfsumme (PS2) von mindestens einem zweiten Feldgerät (FG2) aus der Vielzahl der Feldgeräte; - Vergleichen der aktuellen Prüfsumme (PS2) des zweiten Feldgeräts (FG2) mit der entsprechenden in der Speichereinheit (EE1) des ersten Feldgeräts (FG1) zu dem zweiten Feldgerät (FG2) gespeicherten Prüfsumme; - Überprüfen, durch die Elektronikeinheit (EE1), ob eine Abweichung der aktuellen Prüfsumme (PS2) des zweiten Feldgeräts (FG2) von der entsprechenden in der Speichereinheit (SE1) des ersten Feldgeräts (FG1) gespeicherten Prüfsumme des zweiten Feldgeräts (FG2) vorliegt, sowie ein entsprechendes System.

Description

Verfahren und System zum gegenseitigen Überprüfen der Integrität einer Vielzahl von Feldgeräten der Automatisierungstechnik
Die Erfindung betrifft ein Verfahren zum gegenseitigen Überprüfen der Integrität von einer Vielzahl von Feldgeräten der Automatisierungstechnik, wobei jedes der Feldgeräte über mindestens eine Kommunikationseinheit verfügt, wobei jede der Kommunikationseinheiten jeweils dazu ausgestaltet ist, über ein Kommunikationsnetzwerk eine Kommunikationsverbindung zu jedem der anderen Feldgeräte zu etablieren, wobei jedes der Feldgeräte eine Vielzahl von Parametern aufweist, welche den Betrieb und/oder des entsprechenden Feldgeräts definieren, und wobei jedes der Feldgeräte zusätzlich eine Elektronikeinheit und eine Speichereinheit umfasst. Des Weiteren betrifft die Erfindung ein System, umfassend eine Vielzahl von Feldgeräten, wobei jedes der Feldgeräte über mindestens eine Kommunikationseinheit verfügt, welche Kommunikationseinheit dazu ausgestaltet ist, über ein Kommunikationsnetzwerk eine Kommunikationsverbindung zu jedem der anderen Feldgeräte zu etablieren, wobei jedes der Feldgeräte eine Vielzahl von Parametern aufweist, welche den Betrieb und/oder Funktionalitäten des Feldgeräts definieren.
Aus dem Stand der Technik sind bereits Feldgeräte bekannt geworden, die in industriellen Anlagen zum Einsatz kommen. In der Prozessautomatisierungstechnik ebenso wie in der Fertigungsautomatisierungstechnik werden vielfach Feldgeräte eingesetzt. Als Feldgeräte werden im Prinzip alle Geräte bezeichnet, die prozessnah eingesetzt werden und die prozessrelevante Informationen liefern oder verarbeiten. So werden Feldgeräte zur Erfassung und/oder Beeinflussung von Prozessgrößen verwendet. Zur Erfassung von Prozessgrößen dienen Messgeräte, bzw. Sensoren. Diese werden beispielsweise zur Druck- und Temperaturmessung, Leitfähigkeitsmessung, Durchflussmessung, pH-Messung, Füllstandmessung, etc. verwendet und erfassen die entsprechenden Prozessvariablen Druck, Temperatur, Leitfähigkeit, pH-Wert, Füllstand, Durchfluss etc. Zur Beeinflussung von Prozessgrößen werden Aktoren verwendet. Diese sind beispielsweise Pumpen oder Ventile, die den Durchfluss einer Flüssigkeit in einem Rohr oder den Füllstand in einem Behälter beeinflussen können. Neben den zuvor genannten Messgeräten und Aktoren werden unter Feldgeräten auch Remote I/Os, Funkadapter bzw. allgemein Geräte verstanden, die auf der Feldebene angeordnet sind.
Eine Vielzahl solcher Feldgeräte wird von der Endress+Hauser-Gruppe produziert und vertrieben.
In modernen Industrieanlagen sind Feldgeräte in der Regel über Kommunikationsnetzwerke wie beispielsweise Feldbusse (Profibus®, Foundation® Fieldbus, HART®, etc.) mit übergeordneten Einheiten verbunden. Normalerweise handelt es sich bei den übergeordneten Einheiten um Leitsysteme (DCS) bzw. Steuereinheiten, wie beispielsweise eine SPS (speicherprogrammierbare Steuerung). Die übergeordneten Einheiten dienen unter anderem zur Prozesssteuerung, Prozessvisualisierung, Prozessüberwachung sowie zur Inbetriebnahme der Feldgeräte. Die von den Feldgeräten, insbesondere von Sensoren, erfassten Messwerte werden über das jeweilige Bussystem an eine (oder gegebenenfalls mehrere) übergeordnete Einheit(en) übermittelt. Daneben ist auch eine Datenübertragung von der übergeordneten Einheit über das Bussystem an die Feldgeräte erforderlich, insbesondere zur Konfiguration und Parametrierung von Feldgeräten sowie zur Ansteuerung von Aktoren.
Bestehende Feldgeräte haben bereits weit über einhundert einstellbare Parameter, wobei die Tendenz steigend ist. Die Manipulation von Parametern, und somit die Prüfung auf Integrität eines Feldgeräts, muss händisch vorgenommen werden, was einen erheblichen Zeit- und Kostenaufwand verursachte, insbesondere bei einer großen Zahl von verwendeten Feldgeräten.
Ausgehend von dieser Problematik liegt der Erfindung die Aufgabe zugrunde, ein Verfahren vorzustellen, welches eine vereinfachte Integritätsprüfung von Feldgeräten ermöglicht.
Die Aufgabe wird durch ein Verfahren zum gegenseitigen Überprüfen der Integrität von einer Vielzahl von Feldgeräten der Automatisierungstechnik gelöst, wobei jedes der Feldgeräte über mindestens eine Kommunikationseinheit verfügt, wobei jede der Kommunikationseinheiten jeweils dazu ausgestaltet ist, über ein Kommunikationsnetzwerk eine Kommunikationsverbindung zu jedem der anderen Feldgeräte zu etablieren, wobei jedes der Feldgeräte eine Vielzahl von Parametern aufweist, welche den Betrieb und/oder des entsprechenden Feldgeräts definieren, und wobei jedes der Feldgeräte zusätzlich eine Elektronikeinheit und eine Speichereinheit umfasst, wobei die jeweilige Elektronikeinheit dazu ausgestaltet ist, eine Prüfsumme über alle Parameter des entsprechenden Feldgeräts zu erstellen, und wobei die jeweilige Speichereinheit dazu ausgestaltet ist, die Prüfsumme des entsprechenden Feldgeräts und zusätzlich die Prüfsummen von jedem der anderen Feldgeräte, zu welchen eine Kommunikationsverbindung etablierbar ist, zu speichern, umfassend:
Abrufen, mittels der Kommunikationseinheit eines ersten Feldgeräts aus der Vielzahl der Feldgeräte, einer aktuellen Prüfsumme von mindestens einem zweiten Feldgerät aus der Vielzahl der Feldgeräte;
Vergleichen der aktuellen Prüfsumme des zweiten Feldgeräts mit der entsprechenden in der Elektronikeinheit des ersten Feldgeräts zu dem zweiten Feldgerät gespeicherten Prüfsumme;
Überprüfen, durch die Elektronikeinheit, ob eine Abweichung der aktuellen Prüfsummen des zweiten Feldgeräts von der entsprechenden in der Speichereinheit des ersten Feldgeräts gespeicherten Prüfsumme des zweiten Feldgeräts vorliegt. Erfindungsgemäß erstellen Feldgeräte also einen eine sichere Prüfsumme (beispielsweise einen Hash-Wert) über alle Parameter des Feldgerät. Eine solche Prüfsumme ist für jede Gerätekonfiguration einmalig (und somit kollisionsfrei). Ändert sich ein Parameterwert, so ändert sich auch die Prüfsumme, wodurch ein Abgleich jedes einzelnen Parameters und des zugehörigen Werts entfällt. Diese Prüfsumme kann von anderen Feldgeräten automatisiert abgerufen werden, wobei die bestehende Anlageninfrastruktur in Form des Kommunikationsnetzwerks zur Kommunikation unter den Feldgeräten genutzt wird. Jedes Gerät legt hierfür eine Liste an, welche anderen Feldgeräte es über das Kommunikationsnetzwerk erreichen kann und speichert dazu jeweils die entsprechenden Prüfsummen dieser erreichbaren Feldgeräte. In insbesondere periodischen Abständen wird die Liste der gespeicherten Prüfsummen überprüft.
Diese Art der gegenseitigen Überwachung stellt ein dezentrales IDS (Intrusion Detection System) dar, mithilfe dessen der Anlagenbetreiber schnell auf einen potentiell gefährlichen Vorfall reagieren kann.
Beispiele für Feldgeräte, welche im erfindungsgemäßen Verfahren genannt werden, sind bereits im einleitenden Teil der Beschreibung aufgeführt worden.
Gemäß einer vorteilhaften Ausgestaltung ist vorgesehen, dass das Verfahren weiter umfasst: Erstellen einer Warnung im Falle einer Abweichung von der aktuellen Prüfsummen des zweiten Feldgeräts von der entsprechenden in der Speichereinheit des ersten Feldgeräts gespeicherten Prüfsumme des zweiten Feldgeräts.
Eine Parameteränderung geht zwingend mit einer Prüfsummenänderung einher. Ergibt sich also eine Abweichung, so bedeutet dies, dass mindesten ein Parameterwert geändert wurde. Eine solche Änderung lässt sich beispielsweise an ein Leitsystem der Anlage, in welcher die Feldgeräte eingebaut sind, übermitteln. Auch eine cloudbasierte Plattform kommt als Ziel für das Übermitteln der Warnung in Betracht. Die Warnung wird insbesondere von dem entsprechenden Feldgerät, welches die Abweichung detektiert, selbst übermittelt.
Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass vor dem Erstellen der Warnung eine Prüfung einer Plausibilität der Abweichung erfolgt und wobei die Warnung nur dann erzeugt wird, wenn die Plausibilität der Änderung nicht erfolgreich überprüft werden kann. Beispielsweise kann hierfür geprüft werden, ob sich das entsprechende Feldgerät in einem Servicemodus befindet. Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass eine Plausibilität der Änderung dann erfolgt, wenn ein Benutzer zur Änderung der Parameter an dem zweiten Feldgerät autorisiert ist. Dann handelt es sich um erwünschte Änderungen, die keine Warnung auslösen.
Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass die Schritte des Abrufens und Vergleichens zu definierten Zeitpunkten, insbesondere in regelmäßigen Zeitabständen, wiederholt wird.
Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass im Falle, dass ein Benutzer dem ersten Feldgerät im Falle des Erstellens der Warnung eine entsprechende Rückmeldung gibt, die in der Speichereinheit des ersten Feldgeräts gespeicherte Prüfsumme des zweiten Feldgeräts mit der aktuellen Prüfsumme des zweiten Feldgeräts überschrieben wird. Die Rückmeldung bedeutet dann, dass die Änderung an den Parameterwerten gewünscht ist. In diesem Falle ist die alte Prüfsumme nicht mehr gültig und würde ständig zu Warnungen führen, bspw. neue unerwünschte Änderungen nicht detektieren, weswegen ein Überschreiben der gespeicherten Prüfsumme erfolgt.
Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass im Falle, dass ein neues Feldgerät dem Kommunikationsnetzwerk hinzugefügt wird, dessen Prüfsumme erst nach Ablauf einer ersten definierten Zeitspanne seit dem Hinzufügen, und/oder seit einer letzten Änderung von einem oder mehreren seiner Parameter, in den jeweiligen Speichereinheiten der Vielzahl der Feldgeräte gespeichert wird. Dadurch werden Warnmeldungen verhindert, die andernfalls durch die im Zuge des Inbetriebnehmens eines Feldgeräts geänderten Parameter (und dadurch eine geänderte Prüfsumme) generiert werden würden.
Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass die Prüfsummen, bzw. die entsprechenden zusätzlichen Prüfsummen zusätzlich über zumindest eine auf den entsprechenden Feldgeräten befindliche Software, insbesondere eine Firmware oder eine Applikation, gebildet werden, oder wobei aus der zumindest einen auf den entsprechenden Feldgeräten befindliche Software erste weitere Prüfsummen, bzw. entsprechende erste weitere aktuelle Prüfsummen, gebildet werden, welche entsprechend verglichen und auf Abweichungen überprüft werden. Somit können nicht nur unbefugte Änderungen an den Parametern eines Feldgeräts, sondern auch bspw. eine geänderte Firmwareversion oder Änderungen an den Geräteapplikationen automatisch detektiert werden. Des Weiteren wird die Aufgabe durch ein System gelöst, umfassend eine Vielzahl von Feldgeräten, wobei jedes der Feldgeräte über mindestens eine Kommunikationseinheit verfügt, welche Kommunikationseinheit dazu ausgestaltet ist, über ein Kommunikationsnetzwerk eine Kommunikationsverbindung zu jedem der anderen Feldgeräte zu etablieren, wobei jedes der Feldgeräte eine Vielzahl von Parametern aufweist, welche den Betrieb und/oder Funktionalitäten des Feldgeräts definieren, und wobei jedes der Feldgeräte zusätzlich umfasst:
Eine Elektronikeinheit, welche dazu ausgestaltet ist, eine Prüfsumme über alle Parameter des entsprechenden Feldgeräts zu erstellen,
Eine Speichereinheit, welche dazu ausgestaltet ist, die Prüfsumme zu speichern, wobei in der Speichereinheit zusätzlich die Prüfsummen von jedem der anderen Feldgeräte gespeichert sind, wobei jedes der Feldgeräte dazu ausgestaltet ist, über die entsprechende Kommunikationseinheit die jeweiligen aktuellen Prüfsummen von jedem der Feldgeräte, zu denen eine Kommunikationsverbindung besteht, abzurufen, wobei die Elektronikeinheit dazu ausgestaltet ist, die aktuelle Prüfsummen mit den in der Elektronikeinheit gespeicherten Prüfsummen zu vergleichen und bei einer Abweichung von einer der aktuellen Prüfsummen von der entsprechenden gespeicherten Prüfsumme von zumindest einem der Feldgeräte eine erste Warnung zu erstellen.
Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Systems ist vorgesehen, dass jedes der Feldgeräte dazu ausgestaltet ist, ein Muster einer Netzwerkperformance von jedem der Feldgeräte, zu denen eine Kommunikationsverbindung besteht, zu erfassen.
Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Systems ist vorgesehen, dass die Netzwerkperformance anhand von Metadaten bestimmt wird, umfassend beispielsweise Paketgröße, Paketanzahl, Senderadressen und/oder Empfängeradressen.
Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Systems ist vorgesehen, dass die entsprechende Elektronikeinheit der jeweiligen Feldgeräte dazu ausgestaltet ist, eine zweite Warnung zu erstellen, im Falle, dass das entsprechende Muster der Netzwerkkommunikation mindestens um ein definiertes Maß von einem vorbestimmten Muster abweicht. Zusätzlich zum Abrufen der Prüfsummen der anderen Feldgeräte wird dadurch ein weiterer Sicherheitsmechanismus etabliert. Dieser wird ebenfalls durch die Vielzahl der Feldgeräte als IDS etabliert und funktioniert auf demselben erfinderischen Gedanken, dass die Feldgeräte gegenseitig und eigenständig ihre Integrität überprüfen.
Gemäß einer vorteilhaften Ausgestaltung des erfindungsgemäßen Systems ist vorgesehen, dass die
Feldgeräte dazu ausgestaltet sind, das Muster einer Netzwerkperformance von jedem der Feldgeräte kontinuierlich zu erfassen. Abweichungen vom bekannten Muster können dadurch unmittelbar detektiert werden,
Gemäß einer alternativen vorteilhaften Ausgestaltung des erfindungsgemäßen Systems ist vorgesehen, dass die Feldgeräte dazu ausgestaltet sind, das Muster einer Netzwerkperformance nur zu definierten oder zufälligen Zeitpunkten zu erfassen, wodurch Ressourcen eingespart werden können.
Gemäß einer vorteilhaften Ausgestaltung ist vorgesehen, dass das System weiter eine übergeordnete Einheit oder einen weiteren Netzwerkteilnehmer, insbesondere einen PC, ein Gateway oder eine Cloud, umfasst, wobei die entsprechenden Kommunikationseinheiten der jeweiligen Feldgeräte dazu ausgestaltet sind, die erste Warnung und/oder die zweite Warnung an die übergeordnete Einheit, bzw. den weiteren Teilnehmer des Kommunikationsnetzwerks zu übermitteln. Die Übermittlung erfolgt hierfür über das Kommunikationsnetzwerk und/oder über das Internet.
Gemäß einer vorteilhaften Ausgestaltung ist vorgesehen, aus der übergeordneten Einheit, welche insbesondere ein PC, ein Gateway oder eine Cloud ist, heraus die Sollwerte der Prüfsummen zentral zu konfigurieren, bzw. Innerhalb der sich wechselseitig überprüfenden Feldgerätegruppe zu verteilen. Die Übermittlung erfolgt hierfür über das Kommunikationsnetzwerk und/oder über das Internet.
Insbesondere zählt hierzu die Übermittlung eines Signals durch die übergeordnete Einheit an die Feldgerätegruppe, mit dem signalisiert wird, dass die aktuell erfassten Prüfsummen in der Anlage gültig sind.
Vorteilhafterweise werden für das erfindungsgemäße Verfahren dabei die Feldgeräteparameter in eine Gruppe statischer Parameter, beispielsweise für den Betrieb kritische Geräteeinstellungen, und eine Gruppe dynamischer Parameter, beispielsweise unkritische bzw. Im Normalbetrieb veränderliche Geräteeinstellungen, zum Beispiel ein Betriebsstundenzähler oder ein Einstellparameter, eine Uhrzeitanzeige, oder Einstellungen bezüglich der Sommerzeit oder Winterzeit, aufgeteilt und die Prüfsumme nur über die statischen Parameter errechnet. Im Sinne dieser Offenbarung werden unter den Gerätparametern statische Parameter verstanden.
Die Erfindung wird anhand der nachfolgenden Figur näher erläutert. Es zeigt
Fig. 1 : eine schematische einer Ausgestaltung des erfindungsgemäßen Verfahrens. Fig. 1 zeigt eine Vielzahl von Feldgeräten FG1 , FG2, FGn, welche über entsprechende Kommunikationseinheiten KE1 , KE2, KEn mit einem Kommunikationsnetzwerk KN, insbesondere einem Feldbus (bspw. Profibus oder Foundation Fieldbus, beziehungsweise ein ethernetbasierter Feldbus), verbunden sind. Jedes der Feldgeräte FG1 , FG2, ..., FGn weist eine Vielzahl an Parametern Pn, Pn‘, Pn“ auf: Das Feldgerät FG1 umfasst die Parameter P1 , P2, ..., Pn; das Feldgerät FG2 umfasst die Parameter P1 ‘, P2‘, ..., Pn‘; Das Feldgerät FGn umfasst die Parameter P1“, P2“, ..., Pn“.
Die Parameter Pn, Pn‘, Pn“ definieren hierbei den Betrieb des jeweiligen Feldgeräts FG1 , FG2, ..., FGn und weisen auch sicherheitsrelevante Parameter auf, wie beispielsweise kryptographische Schlüssel, Berechtigungslevel von Benutzern oder ggf. auch Zugangscodes / Passwörter.
Zur Absicherung gegen unerwünschtes versehentliches Ändern oder bewusste Manipulation der Parameter Pn, Pn‘, Pn“ erstellt jedes der Feldgeräte FG1 , FG2, ..., FGn mittels einer entsprechenden Elektronikeinheit EE1 , EE2, ..., EEn eine aktuelle Prüfsumme PS1 , PS2, ..., PSn über alle Parameter Pn, Pn‘, Pn“. Eine solche Prüfsumme PS1 , PS2, ..., PSn ist für jede Gerätekonfiguration einmalig (und somit kollisionsfrei). Ändert sich ein Parameterwert eines Parameters Pn, Pn‘, Pn“, so ändert sich auch die Prüfsumme des entsprechenden Feldgeräts FG1 , FG2, ..., FGn.
Ein naheliegendes Verfahren für die Prüfsummenermittlung sind sogenannte kryptographische Hash-Funktionen, wie sie z.B. im Standard RFC 6234 beschrieben sind, z.B. SHA-256 oder SHA- 512.
Zur Absicherung gegen versehentliche und/oder vorsätzliche Manipulation der Daten im Zuge der Übertragung auf der Netzwerkschnittstelle zwischen den Feldgeräten FG1 , FG2, ..., FGn werden die Prüfsummen für die Übertragung vorteilhafterweise gemeinsam mit einer über die Prüfsumme PS1 ,PS2,...PSn errechneten kryptographische Prüfsumme übermittelt, insbesondere einen kryptographischen sogenannten Message-Authentication-Code (MAC) oder eine kryptographische Signatur (SIG). Der Empfänger prüft in diesem Fall zunächst die kryptographische Prüfsumme (MAC/SIG) auf Korrektheit bevor die Prüfung der Prüfsumme PS1 erfolgt. Wird die Netzwerk- Prüfsumme (MAC oder SIG) unter Einbeziehung eines Zählers oder Zeitstempels (TS) errechnet, so lassen sich vorteilhaft auch sogenannte Replay-Angriffe auf dem Netzwerk erkennen. Um die Prüfung der kryptographischen Netzwerkprüfsummen zu ermöglichen, erfolgt im Zuge der Inbetriebnahme der Feldgerätegruppe FG1 , ... , FGn ein Schritt in dem die zur Erzeugung und Prüfung der Netzwerkprüfsummen (MAC/SIG) erforderlichen kryptographischen Schlüssel (KEYa, KEYa’, KEYb, KEYb’ ...., KEYm, KEYnT) innerhalb der Feldgerätegruppe verteilt werden. Beispiele für Netzwerkprüfsummen finden sich z.B. in den Internet-Standards RFC 2104 und RFC 4493 (MAC) oder RFC 8032 und RFC 8017 (SIG).
Beispielsweise würde vom übermittelnden Feldgerät mittels eines dort gespeicherten Schlüssels KEYa eine Netzwerkprüfsumme NPS1 über die Prüfsumme PS1 und einen Zeitstempel TS1 errechnet:
NPS1 = HMAC-SHA512( (PS1 , TS1), KEYa)
Diese Netzwerkprüfsumme wird gemeinsam mit den Daten PS1 und TS1 übermittelt. Der Empfänger würde mit einem zu KEYa zugehörigen Schlüssel KEYa’ die Netzwerkprüfsumme NPS1 sowie den Zeitstempel TS1 auf Manipulationen während der Übertragung prüfen, bevor eine Prüfung der Prüsumme PS1 erfolgt. Im Falle von Message-Authentication-Codes wird dabei zur Prüfung der Prüfsumme NPS1 der gleiche Schlüssel KEYa = KEYa’ wie zur Erzeugung verwendet. Im Falle eines Signaturverfahrens wird dabei die Prüfsumme NPS1 mittels eines privaten Schlüssels KEYa errechnet und die Prüfung von NPS1 erfolgt mittels eines vom privaten Schlüssel KEYa verschiedenen Schlüssel KEYa’.
Mittels den entsprechenden Kommunikationseinheiten KE1 , KE2, ..., Ken ruft jedes der Feldgeräte FG1 , FG2, ..., FGn die aktuellen Prüfsummen PS1 , PS2, ..., PSn der weiteren Feldgeräte über das Kommunikationsnetzwerk KN ab und speichert diese als Liste in einer jeweiligen Speichereinheit SE1 , SE2, ..., SEn. Dieser Ablageprozess kann beispielsweise über ein Signal durch eine übergeordnete PC-Einheit angestoßen werden oder alternativ über eine Bedienführung auf einem lokal verfügbaren Display/Bedienmodul.
Zu mehreren Zeitpunkten rufen die Feldgeräte FG1 , FG2, ..., FGn die aktuellen Prüfsummen PS1 , PS2, ..., PSn der weiteren Feldgeräte erneut ab und vergleicht diese mit den gespeicherten Prüfsummen.
Im Folgenden ist dieser Ablauf für die Feldgeräte FG1 , FG2 beschrieben:
- Das Feldgerät FG1 bildet bei jeder Änderung eines Parameterwerts P1 , P2. .., Pn eine aktualisierte Prüfsumme PS1 ;
- Das Feldgerät FG2 erfragt periodisch die aktuelle Prüfsumme PS1 von Feldgerät FG1 ;
- Das Feldgerät FG2 vergleicht die erhaltene aktuelle Prüfsumme PS1 mit dem gespeicherten Listenwert. Im Fall einer Abweichung generiert das Feldgerät FG2 eine Warnmeldung, die beispielsweise an die Leitstelle der Anlage oder an eine cloudbasierte Plattform übermittelt wird.
Vor dem Generieren der Warnung kann eine Plausibilitätsprüfung durch das zweite Feldgerät FG2 erfolgen. So wird beispielsweise überprüft, ob sich das Feldgerät FG1 in einem Service- oder Wartungsmodus befand und Parameteränderungen erlaubt waren, ob ein autorisierter Benutzer die Änderungen vorgenommen hat und/oder ob das Feldgerät FG1 kürzlich in Betrieb genommen wurde, so dass Parameteränderungen wahrscheinlich waren. Nur bei erfolgreicher Plausibilitätsprüfung wird die Warnung erstellt.
Zusätzlich können auch Informationen bezüglich der Software, beispielsweise die Firmware oder Applikationen, der Geräte zur Prüfsumme PS1 , PS2, ... , PSn hinzugefügt werden. Dies kann auch mittels einer zusätzlichen Prüfsumme realisiert werden, die ebenfalls von den anderen Feldgeräten gespeichert und regelmäßig überprüft wird.
Mittels des erfindungsgemäßen Verfahrens, bzw. Systems ist eine gegenseitige und selbstständige Integritätsprüfung der Feldgeräte FG1 , FG2, ..., FGn ermöglicht.
Auch die Netzwerkkommunikation der Feldgeräte FG1 , FG2, ..., FGn kann gegenseitig überwacht werden, um eine unerwünschte Manipulation oder ein Fehlverhalten zu detektieren. Es werden mehrere Metadaten bezüglich der Netzwerkperformance durch die einzelnen Feldgeräte FG1 , FG2, ..., FGn selbst erhoben. Die Metadaten umfassen beispielsweise Paketgröße, Paketanzahl, Senderadressen und/oder Empfängeradressen. Aus diesen Daten erstellen die Feldgeräte FG1 , FG2, ..., FGn, bzw. deren Elektronikeinheiten EE1 , EE2, ..., EEn aktuelle Muster bezüglich der Netzwerkperfomance. Das Prinzip entspricht dem der Prüfsummen PS1 , PS2, ..., PSn der Parameter P1 , P2. .., Pn: Ändern sich Metadaten, so ändert sich das Muster.
Analog wie obig bezüglich der Prüfsummen PS1 , PS2, ... , PSn beschrieben speichern die Feldgeräte FG1 , FG2, ..., FGn die Muster der anderen Feldgeräte und rufen zu festgelegten Zeitabständen die aktuellen Muster der anderen Feldgeräte ab und erstellen eine Warnung im Falle einer Abweichung. Bezugszeichenliste
EE1 , EE2, EEn Elektronikeinheiten
FG1 , FG2, FGn Feldgeräte der Automatisierungstechnik KE1 , KE2, KEn Kommunikationseinheiten
KN Kommunikationsnetzwerk
Pn, Pn‘, Pn“ Parameter
PS1 , PS2, PSn Prüfsummen
SE1 , SE2, SEn Speichereinheiten

Claims

Patentansprüche
1 . Verfahren zum gegenseitigen Überprüfen der Integrität von einer Vielzahl von Feldgeräten (FG1 . FG2, FGn) der Automatisierungstechnik, wobei jedes der Feldgeräte (FG1. FG2, FGn) mindestens eine Kommunikationseinheit (KE1 , KE2, KEn) aufweist, wobei jede der Kommunikationseinheiten (KE1 , KE2, ..., KEn) jeweils dazu ausgestaltet ist, über ein Kommunikationsnetzwerk (KN) eine Kommunikationsverbindung zu jedem der anderen Feldgeräte (FG1. FG2, ..., FGn) zu etablieren, wobei jedes der Feldgeräte (FG1. FG2, ..., FGn) eine Vielzahl von Parametern (Pn, Pn‘, Pn“) aufweist, welche den Betrieb und/oder des entsprechenden Feldgeräts (FG1. FG2, ..., FGn) definieren, und wobei jedes der Feldgeräte (FG1. FG2, ..., FGn) zusätzlich eine Elektronikeinheit (EE1 , EE2, ..., EEn) und eine Speichereinheit (SE1 , SE2, ..., SEn) umfasst, wobei die jeweilige Elektronikeinheit (EE1 ,
EE2, ..., EEn) dazu ausgestaltet ist, eine Prüfsumme (PS1 , PS2, ..., PSn) über alle Parameter (Pn, Pn‘, Pn“) des entsprechenden Feldgeräts (FG1. FG2, ..., FGn) zu erstellen, und wobei die jeweilige Speichereinheit (SE1 , SE2, ..., SEn) dazu ausgestaltet ist, die Prüfsumme (PS1 , PS2, ..., PSn) des entsprechenden Feldgeräts (FG1. FG2, ..., FGn) und zusätzlich die Prüfsummen (PS1 , PS2, ..., PSn) von jedem der anderen Feldgeräte (FG1. FG2, ..., FGn), zu welchen eine Kommunikationsverbindung etablierbar ist, zu speichern, umfassend:
Abrufen, mittels der Kommunikationseinheit (KE1 , KE2, ..., KEn) eines ersten Feldgeräts (FG1) aus der Vielzahl der Feldgeräte, einer aktuellen Prüfsumme (PS2) von mindestens einem zweiten Feldgerät (FG2) aus der Vielzahl der Feldgeräte;
Vergleichen der aktuellen Prüfsumme (PS2) des zweiten Feldgeräts (FG2) mit der entsprechenden in der Speichereinheit (EE1) des ersten Feldgeräts (FG1) zu dem zweiten Feldgerät (FG2) gespeicherten Prüfsumme;
Überprüfen, durch die Elektronikeinheit (EE1), ob eine Abweichung der aktuellen Prüfsumme (PS2) des zweiten Feldgeräts (FG2) von der entsprechenden in der Speichereinheit (SE1) des ersten Feldgeräts (FG1) gespeicherten Prüfsumme des zweiten Feldgeräts (FG2) vorliegt.
2. Verfahren nach Anspruch 1 , weiter umfassend:
Erstellen einer Warnung im Falle einer Abweichung von der aktuellen Prüfsumme (PS2) des zweiten Feldgeräts (FG2) von der entsprechenden in der Speichereinheit (SE1) des ersten Feldgeräts (FG1) gespeicherten Prüfsumme des zweiten Feldgeräts (FG2).
3. Verfahren nach Anspruch 2, wobei vor dem Erstellen der Warnung eine Prüfung einer Plausibilität der Abweichung erfolgt und wobei die Warnung nur dann erzeugt wird, wenn die Plausibilität der Änderung nicht erfolgreich überprüft werden kann.
4. Verfahren nach Anspruch 3, wobei eine Plausibilität der Änderung dann erfolgt, wenn ein Benutzer zur Änderung der Parameter (Pn, Pn‘, Pn“) an dem zweiten Feldgerät (FG2) autorisiert ist.
5. Verfahren nach einem oder mehreren der vorherigen Ansprüche, wobei die Schritte des Abrufens und Vergleichens zu definierten Zeitpunkten, insbesondere in regelmäßigen Zeitabständen, wiederholt wird.
6. Verfahren nach einem oder mehreren der vorherigen Ansprüche, wobei im Falle, dass ein Benutzer dem ersten Feldgerät (FG1) im Falle des Erstellens der Warnung eine entsprechende Rückmeldung gibt, die in der Speichereinheit (SE1) des ersten Feldgeräts gespeicherte Prüfsumme des zweiten Feldgeräts (FG2) mit der aktuellen Prüfsumme (PS2) des zweiten Feldgeräts (FG2) überschrieben wird.
7. Verfahren nach einem oder mehreren der vorherigen Ansprüche, wobei im Falle, dass ein neues Feldgerät dem Kommunikationsnetzwerk (KN) hinzugefügt wird, dessen Prüfsumme (PS1 , PS2, ..., PSn) erst nach Ablauf einer ersten definierten Zeitspanne seit dem Hinzufügen, und/oder seit einer letzten Änderung von einem oder mehreren seiner Parameter (Pn, Pn‘, Pn“), in den jeweiligen Speichereinheiten (SE1 , SE2, ..., SEn) der Vielzahl der Feldgeräte (FG1. FG2, ..., FGn) gespeichert wird.
8. Verfahren nach einem oder mehreren der vorherigen Ansprüche, wobei die Prüfsummen (PS1 , PS2, ..., PSn) zusätzlich über zumindest eine auf den entsprechenden Feldgeräten (FG1. FG2, ..., FGn) befindliche Software, insbesondere eine Firmware oder eine Applikation, gebildet werden, oder wobei aus der zumindest einen auf den entsprechenden Feldgeräten (FG1.
FG2, ..., FGn) befindliche Software weitere aktuelle Prüfsummen, gebildet werden, welche entsprechend verglichen und auf Abweichungen überprüft werden.
9. Verfahren nach einem oder mehreren der vorherigen Ansprüche, wobei im Speicher der Feldgeräte (FG1 , ..., FGn) kryptographische Schlüssel hinterlegt sind, mit denen eine Integritätsund Authentizitätsprüfung der auf der Kommunikationsschnittstelle übertragenen Prüfsummeninformation (PS1 , PS2, ..., PSn) erfolgt, insbesondere unter Verwendung kryptographischer Signaturen (SIG) oder kryptographischer Message-Authentication-Codes (MAC), die insbesondere vom zweiten Feldgerät generiert und gemeinsam mit den Prüfsummeninformationen (PS1 , PS2,...,PSn) übertragen und vom ersten Feldgerät geprüft werden.
10. System, umfassend eine Vielzahl von Feldgeräten (FG1. FG2, FGn), wobei jedes der Feldgeräte (FG1. FG2, FGn) über mindestens eine Kommunikationseinheit (KE1 , KE2, KEn) verfügt, welche Kommunikationseinheit (KE1 , KE2, ..., KEn) dazu ausgestaltet ist, über ein Kommunikationsnetzwerk (KN) eine Kommunikationsverbindung zu jedem der anderen Feldgeräte (FG1. FG2, ..., FGn) zu etablieren, wobei jedes der Feldgeräte (FG1. FG2, ..., FGn) eine Vielzahl von Parametern (Pn, Pn‘, Pn“) aufweist, welche den Betrieb und/oder Funktionalitäten des jeweiligen Feldgeräts (FG1. FG2, ..., FGn) definieren, und wobei jedes der Feldgeräte (FG1. FG2, ..., FGn) zusätzlich umfasst:
Eine Elektronikeinheit (EE1 , EE2, ..., EEn), welche dazu ausgestaltet ist, eine Prüfsumme (PS1 , PS2, ..., PSn) über alle Parameter (Pn, Pn‘, Pn“) des entsprechenden Feldgeräts (FG1. FG2, ..., FGn) zu erstellen,
Eine Speichereinheit (SE1 , SE2, ..., SEn), welche dazu ausgestaltet ist, die Prüfsumme (PS1 , PS2, ..., PSn) zu speichern, wobei in der Speichereinheit (SE1 , SE2, ..., SEn) zusätzlich die Prüfsummen (PS1 , PS2, ..., PSn) von jedem der anderen Feldgeräte (FG1. FG2, ..., FGn) gespeichert sind, wobei jedes der Feldgeräte (FG1. FG2, ..., FGn) dazu ausgestaltet ist, über die entsprechende Kommunikationseinheit (KE1 , KE2, ..., KEn) die jeweiligen aktuellen Prüfsummen (PS1 , PS2, ..., PSn) von jedem der Feldgeräte (FG1. FG2, ..., FGn), zu denen eine Kommunikationsverbindung besteht, abzurufen, wobei die Elektronikeinheit (EE1 , EE2, ..., EEn) dazu ausgestaltet ist, die aktuelle Prüfsummen (PS1 , PS2, ... , PSn) mit den in der Elektronikeinheit (EE1 , EE2, ... , EEn) gespeicherten Prüfsummen (PS1 , PS2, ..., PSn) zu vergleichen und bei einer Abweichung von einer der aktuellen Prüfsummen (PS1 , PS2, ..., PSn) von der entsprechenden gespeicherten Prüfsumme (PS1 , PS2, ..., PSn) von zumindest einem der Feldgeräte (FG1. FG2, ..., FGn) eine erste Warnung zu erstellen.
11. System nach Anspruch 10, wobei jedes der Feldgeräte (FG1. FG2, ..., FGn) dazu ausgestaltet ist, ein Muster einer Netzwerkperformance von jedem der Feldgeräte (FG1. FG2, ..., FGn), zu denen eine Kommunikationsverbindung besteht, zu erfassen.
12. System nach Anspruch 11 , wobei die Netzwerkperformance anhand von Metadaten bestimmt wird, umfassend beispielsweise Paketgröße, Paketanzahl, Senderadressen und/oder Empfängeradressen.
13. System nach Anspruch 11 oder 12, wobei die entsprechende Elektronikeinheit (EE1 , EE2, ..., EEn) der jeweiligen Feldgeräte (FG1. FG2, ..., FGn) dazu ausgestaltet ist, eine zweite Warnung zu erstellen, im Falle, dass das entsprechende Muster der Netzwerkkommunikation mindestens um ein definiertes Maß von einem vorbestimmten Muster abweicht.
14. System nach einem oder mehreren der Ansprüche 11 bis 13, wobei die Feldgeräte (FG1. FG2, ... , FGn) dazu ausgestaltet sind, das Muster einer Netzwerkperformance von jedem der Feldgeräte (FG1. FG2, ..., FGn) kontinuierlich zu erfassen.
15. System nach einem oder mehreren der Ansprüche 11 bis 13, wobei die Feldgeräte (FG1.
FG2, ..., FGn) dazu ausgestaltet sind, das Muster einer Netzwerkperformance nur zu definierten oder zufälligen Zeitpunkten zu erfassen.
16. System nach einem oder mehreren der Ansprüche 10 bis 15, zusätzlich umfassend eine übergeordnete Einheit oder einen weiteren Netzwerkteilnehmer, insbesondere einen PC, ein Gateway oder eine Cloud, wobei die entsprechenden Kommunikationseinheiten (KE1 , KE2, ..., KEn) der jeweiligen Feldgeräte (FG1. FG2, ..., FGn) dazu ausgestaltet sind, die erste Warnung und/oder die zweite Warnung an die übergeordnete Einheit, bzw. den weiteren Teilnehmer des Kommunikationsnetzwerks (KN) zu übermitteln.
17. System nach einem oder mehreren der Ansprüche 10 bis 16, wobei im Speicher der Geräte der Feldgerätegruppe (FG1 , ..., FGn) kryptographische Schlüssel hinterlegt sind, mit denen eine Integritäts- und Authentizitätsprüfung der auf der Kommunikationsschnittstelle übertragenen Prüfsummeninformation (PS1 , PS2, ..., PSn) erfolgt, insbesondere unter Verwendung kryptographischer Signaturen (SIG) oder kryptographischer Message-Authentication-Codes (MAC), die insbesondere vom zweiten Feldgerät generiert und gemeinsam mit den Prüfsummeninformationen (PS1 , PS2,...,PSn) übertragen und vom ersten Feldgerät geprüft werden.
EP23817326.4A 2022-12-19 2023-11-29 Verfahren und system zum gegenseitigen überprüfen der integrität einer vielzahl von feldgeräten der automatisierungstechnik Pending EP4639293A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102022133826.6A DE102022133826A1 (de) 2022-12-19 2022-12-19 Verfahren und System zum gegenseitigen Überprüfen der Integrität einer Vielzahl von Feldgeräten der Automatisierungstechnik
PCT/EP2023/083460 WO2024132417A1 (de) 2022-12-19 2023-11-29 Verfahren und system zum gegenseitigen überprüfen der integrität einer vielzahl von feldgeräten der automatisierungstechnik

Publications (1)

Publication Number Publication Date
EP4639293A1 true EP4639293A1 (de) 2025-10-29

Family

ID=89073326

Family Applications (1)

Application Number Title Priority Date Filing Date
EP23817326.4A Pending EP4639293A1 (de) 2022-12-19 2023-11-29 Verfahren und system zum gegenseitigen überprüfen der integrität einer vielzahl von feldgeräten der automatisierungstechnik

Country Status (4)

Country Link
EP (1) EP4639293A1 (de)
CN (1) CN120344927A (de)
DE (1) DE102022133826A1 (de)
WO (1) WO2024132417A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN119723839B (zh) * 2025-02-26 2025-05-02 国网四川省电力公司成都供电公司 基于物联数据分析的电表箱预警优化方法和装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007034525B4 (de) * 2007-07-24 2010-02-11 Siemens Ag Verfahren und System zum Überprüfen der Integrität von in einem vorbestimmten Speicherbereich eines Speichers gespeicherten Daten
US20180048550A1 (en) * 2015-03-06 2018-02-15 Georgia Tech Research Corporation Device fingerprinting for cyber-physical systems
CH715916B1 (de) * 2019-03-12 2022-06-15 Sauter Ag Datenintegritätsprüfverfahren.
DE102020111019A1 (de) * 2020-04-22 2021-10-28 Endress+Hauser Conducta Gmbh+Co. Kg Verfahren zur Überprüfung der Authentizität von elektronischen Moduleneines modular aufgebauten Feldgeräts der Automatisierungstechnik

Also Published As

Publication number Publication date
DE102022133826A1 (de) 2024-06-20
CN120344927A (zh) 2025-07-18
WO2024132417A1 (de) 2024-06-27

Similar Documents

Publication Publication Date Title
DE102016110414B4 (de) Verfahren und vorrichtungen zur steuerung der kommunikation von endpunkten in einem industrieunternehmenssystem auf der basis von integrität
EP3070556B1 (de) Verfahren, recheneinrichtung, benutzer-einheit und system zum parametrieren eines elektrischen gerätes
AT522276B1 (de) Vorrichtung und Verfahren zur Integritätsprüfung von Sensordatenströmen
EP2908195A1 (de) Verfahren zur Überwachung der Sicherheit in einem Automatisierungsnetzwerk sowie Automatisierungsnetzwerk
EP3745217B1 (de) Vorrichtung zum überwachen einer datenverarbeitung und - übertragung in einem sicherheitssystems
DE102017102677A1 (de) Verfahren zur Authentifizierung eines Feldgeräts der Automatisierungstechnik
DE102008001886A1 (de) Verfahren zum Austausch von Parametrier- und Konfigurierdaten zwischen einem Konfigurier- oder Managementsystem und einem Feldgerät
EP4639293A1 (de) Verfahren und system zum gegenseitigen überprüfen der integrität einer vielzahl von feldgeräten der automatisierungstechnik
EP4264382B1 (de) Honeypot für eine verbindung zwischen edge device und cloudbasierter serviceplattform
EP3566102A1 (de) Selbstkonfigurierende überwachungseinrichtung für ein auf einem industriellen datenkommunikationsnetzwerk basierendes automatisierungssystem
EP2954534B1 (de) Vorrichtung und verfahren zur erkennung von unbefugten manipulationen des systemzustandes einer steuer- und regeleinheit einer kerntechnischen anlage
DE102016119744A1 (de) Verfahren und System zum Verhindern eines unerwünschten Zugriffs auf ein Feldgerät
DE102020127079A1 (de) Verfahren und System zum Einbinden von Feldgeräten der Automatisierungstechnik in eine cloudbasierte Serviceplattform
EP4032243B1 (de) System und verfahren zum manipulationssicheren verwalten von daten eines feldgeräts der automatisierungstechnik
DE102011004312B4 (de) Verfahren und Vorrichtungen zur positionsabhängigen Autokonfiguration eines Gerätemoduls
EP2599258A1 (de) Verfahren zum verarbeiten von nachrichten in einem kommunikationsnetz aus mehreren netzknoten
EP2486459A2 (de) Verfahren zum betreiben eines feldbus-interface
DE102016124162A1 (de) Verfahren zur applikationsspezifischen Einstellung eines Feldgeräts
EP4283416B1 (de) Sicherung von daten bei feldgeräten mittels eines zusatzmoduls
EP4031943B1 (de) Selbstüberprüfendes system der automatisierungstechnik
DE102019127787A1 (de) Selbstüberprüfende Automatisierungskomponente
WO2025131541A1 (de) Verfahren zum signieren eines geräteberichts
DE102022125355A1 (de) Verfahren zum Überprüfen eines Feldgeräts der Automatisierungstechnik
DE102022130426A1 (de) Verfahren und System zum Dokumentieren von Logbuchdaten von einem oder mehreren ersten Feldgeräten
DE102023116602A1 (de) Verfahren und System zum Autorisieren einer von einem ersten Feldgerät an ein zweites Feldgerät gesendeten Bedienaktionen

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20250515

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC ME MK MT NL NO PL PT RO RS SE SI SK SM TR