WO2014206451A1 - Verfahren und vorrichtung zum sicheren übertragen von signaldaten in einer anlage - Google Patents

Verfahren und vorrichtung zum sicheren übertragen von signaldaten in einer anlage Download PDF

Info

Publication number
WO2014206451A1
WO2014206451A1 PCT/EP2013/063284 EP2013063284W WO2014206451A1 WO 2014206451 A1 WO2014206451 A1 WO 2014206451A1 EP 2013063284 W EP2013063284 W EP 2013063284W WO 2014206451 A1 WO2014206451 A1 WO 2014206451A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
sec
module
signal data
security module
Prior art date
Application number
PCT/EP2013/063284
Other languages
English (en)
French (fr)
Inventor
Hendrik Gerlach
Rene Graf
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to PCT/EP2013/063284 priority Critical patent/WO2014206451A1/de
Publication of WO2014206451A1 publication Critical patent/WO2014206451A1/de

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25205Encrypt communication

Definitions

  • the invention relates to a method for the secure transmission of signal data in a process and / or manufacturing plant, or briefly plant.
  • controllers are used that exchange analog and digital signals with individual components of the system to be controlled via additional modules.
  • the additional module reads out observation data of the system component assigned to it, that is to say, for example, sensor signals or state parameters, and then controls an actuator of the system component by means of actuating signals in accordance with a predetermined control algorithm.
  • Such vendbau ⁇ group is hereinafter referred to as detection and adjusting device.
  • detection and adjusting devices are arranged locally on the individual system components.
  • a signal processing unit can also be arranged directly, which locally calculates the appropriate signal data for generating the actuating signals from the observation data.
  • the additional modules are, as a rule, still arranged locally for the signal conversion on the system components and thus distributed in the system.
  • Their observation data are, however, standardized by means of a so-called field bus (according to standard IEC 61158 "Digital data communication for measurement and control - fieldbus for use in industrial control systems"), in particular a professional bus (Process Field Bus, as standard for the fieldbus communication in automation technology), to a central control device in which from the individual, cyclically transmitted data sets from observation data of the detection and control devices (observation data sets) ze) associated data sets with control data in accordance with a Pope ⁇ specific control algorithm are determined.
  • the manipulated data ⁇ sets are then transmitted back via the field bus to the individual sensing and actuating devices, which then generate the control signals in the manner described.
  • Ethernet As basic technology or for the physical layer for the realization of a field bus, the Ethernet known from the office world is increasingly used.
  • the most well-known, ethernet-based fieldbuses are Profinet, EtherCat and Sercos-III.
  • Analysis software can be intercepted. Specifically, the tele ⁇ programs for real-time data that control a real plant, are not protected so that changed telegrams affect a system or can even damage.
  • Figure 1 illustrates the physical interconnection of crizosutica ⁇ ten modules as well as the corresponding logical data paths.
  • the individual modules Via a field bus BUS, the individual modules arithmetic unit CPU and attached data storage RAM, security module SEC, access module 18, with at least OSI Layer 1 PHY and Layer 2 MAC layer and other modules MOD connected to each other.
  • the drawn arrows 11, 12, 13, 14 show the various possibilities of how signal data DATA can be output, namely unencrypted via 11 or encrypted via (12, 13,) 14.
  • the invention has for its object to provide a method and an apparatus which realizes secure data transmission in a system described.
  • the object is achieved by a method according to claim 1, a device according to claim 12, and a computer program product according to claim 23.
  • Advantageous developments of the invention are given by the dependent claims.
  • the method and the device are used for the secure transmission of signal data in a process and / or manufacturing and / or control system that consists of - an arithmetic unit for processing processing of signal data, one connected to the arithmetic unit memory and contains which signal data, a security module to encrypt the signal data, an internal network via the arithmetic logic unit, the security module, and an access module are connected together, and a whosmo ⁇ dul which has a connection to another external network.
  • the signal data is transferred to the another, ex ⁇ ternes network, all signal data in the Se curity module is encrypted before being transferred over the to ⁇ output module into the other, external network ⁇ to.
  • the core of this invention is to implicitly encrypted About ⁇ transmission of the data signal using the transmission over a fieldbus. This encryption reliably prevents unwanted reading of the data, which increases the security of the entire system massively.
  • the encryption takes place according to the invention by means of a security module, advantageously in a hardware embodiment, which is located in the data path of the fieldbus transmission (as so-called “inline security component"), for which it is inserted into each device between the MAC layer and the processing node looped or similar processing unit CPU.
  • line security component a security module
  • the encryption component provides in an advantageous embodiment for the display unit on the same interface as the MAC layer, and vice versa . This applies both be ⁇ the data and also the control path.
  • the invention still includes a computer program product.
  • the computer programs are designed to carry out an embodiment of the method according to the invention.
  • Figure 2 shows the essential embodiment of the invention.
  • FIG. 3 shows an overview of a plant according to the invention.
  • the described components of the embodiment and the described steps of the method respectively represent individual, indepen ⁇ pending to be viewed from each other characteristics of the invention, which further develop the invention in each case independently of each other and thus individually or in any other than the shown combination are considered part of the invention.
  • the embodiments described ⁇ forms can also be supplemented by further of the already described features of the invention.
  • FIG. 2 shows the encryption with a security module SEC advantageously implemented in hardware, which is located in the data path of the fieldbus transmission BUS ("inline security component").
  • FIG. 2 shows the physical interconnection of exemplary play at ⁇ modules and the associated logical data paths according to the invention.
  • the individual modules arithmetic unit CPU and data RAM, security module SEC, access module 18 connected thereto are connected to at least OSI layer 1 PHY and layer 2 MAC layer and further modules MOD.
  • the drawn arrows 12, 19 show the remaining possibilities of how signal data DATA can be output, namely only encrypted.
  • the security module SEC is looped into each device between the MAC layer MAC and the processing arithmetic unit CPU, ie all incoming and outgoing data transfer runs via the security module.
  • This component works transparently for the CPU and also for the MAC layer. This means for the calculator CPU, this encryption component offers the same
  • FIG. 2 shows, in particular, the relation to the prior art
  • the encryption method can be configured either with symmetric or with asymmetric keys. Will everyone connected to the field bus station MOD, RAM, CPU ... while an individual key KEY 1, KEY 2, assigned to the privacy is further increased because the Kna ⁇ CKEN a single key makes available all ande ren ⁇ devices automatically.
  • the encryption advantageously takes place on layer 2 of the ISO / OSI model, since the signal data is transmitted directly at this level because of its time criticality, while further data, such as parameterization data, is transmitted at higher levels (eg TCP / IP). be transmitted.
  • Common encryption methods can be implemented using special hardware components, which means a clear gain in processing time, especially on systems with little computing power. Furthermore, the implementation in hardware has the advantage over software that it always has the same speed so that the determinism of the data is maintained. In addition, the hardware will work in parallel with the real norma ⁇ len processor of a device so that it engages only after the encryption and processes the data.
  • Plant safety is considerably increased since the Com ⁇ munication and thus the important signal data can not be intercepted or manipulated.
  • the individual keys of a device is assigned during commissioning ⁇ sioning, so that even a compromised device can not be used instead of an existing, because the ⁇ ses not know the key.
  • the individual keys a second, un ⁇ dependent identification of the fieldbus BUS the connected device or module in addition to the network address, so that also gives a verification possibility that the coming Since ⁇ th from the right device, which with exclusive test the address is not the case.
  • All these benefits can only be used with the bus according to the protocol Profinet, but not because this so-called Broad-use with the proto ⁇ kollen EtherCat or Sercos III, cast telegrams.
  • the controller sends a (EtherCat) or several (SERCOS III) frames with Signalda ⁇ th through the line in which the byte position in the telegram decides which device processes the data.
  • dedicated telegrams are used between the controller and the fieldbus devices, where the address in the tigram determines the device.
  • FIG. 3 a process and / or production ⁇ and / or open system or shortly system 10 is shown, in which individual plant components 82, 84, 86, 88 by additional modules or sensing and actuating devices, short forward directions 20, 22, 24, 26, are observed and controlled.
  • Each of the devices 20, 22, 24, 26 can be arranged at the respective plant component 82, 84, 86, 88, which is assigned to it, or in the vicinity thereof.
  • they record observation data, for example sensor signals or auxiliary parameters, and on the other generate control signals for setting actuators of the respective system component 82, 84, 86, 88.
  • each of the devices 20, 22, 24, 26 has a respective, not closer illustrated detection unit and actuator, which may be provided for example as program modules in a program of a programmable logic controller.
  • Each of the devices 20, 22, 24, 26 is connected via a transmission unit (not shown in more detail), for example a bus communication module, via a field bus 28 to a central control device 30, for example a workstation or a personal computer.
  • a control algorithm is ⁇ leads, which receives as input data, the observation data of the devices 20, 22, 24, 26 and respective transmitted at predetermined times observation data sets and produces therefrom adjusting data as a manipulated data sets to the respective devices 20, 22 , 24, 26 are sent out via the fieldbus 28 again.
  • the central control device 30 may comprise, for providing the control algorithm a Steuerpro ⁇ program module 32, from which via a transmission device of the control device 30, the observation data are received and the control data determined therefrom are generated.
  • the observation data and the control data together constitute signal data 34, which form a part of the program module Steuerpro ⁇ 32nd
  • the central control device 30 does not have to be dedicated hardware, but other user applications may also be provided by the central control device 30.
  • the central control device 30 may be a central server or a workstation computer which is arranged outside a production hall in which the system components 12 to 18 and the associated devices 20 to 26 are located.
  • an unauthorized person ie a hacker 36, has succeeded in injecting a malicious program 38 into the control device 30 and executing the malicious program.
  • the hacker 36 Via a data link 40, such as an Internet connection, the hacker 36 reads by the Schadpro ⁇ program 38, the observation data 34, for example, from a main memory of the central control device 30 to obtain information about the state of the plant 10th In the appendix 10, however, it is effectively prevented that cker 36 can interpret the control data 34, let alone deliberately manipulate it.
  • a data link 40 such as an Internet connection
  • the respective gene is encrypted observation data sets and transmitted only in ver ⁇ encrypted form via the data bus 28 to the central STEU ⁇ ervorges 30 through the facilities 20 to 26th
  • Ethernet External network Ethernet

Abstract

Die implizit verschlüsselte Übertragung von Signaldaten bei Verwendung der Übertragung über einen Feldbus verhindert zuverlässig ein unerwünschtes Mitlesen der Daten, was die Sicherheit der Anlage massiv erhöht. Die Verschlüsselung erfolgt dabei mittels eines Security-Moduls, vorteilhafterweise in einer Hardware-Ausführung, das sich im Datenpfad der Feldbusübertragung befindet (als sogenannte „inline Security Komponente"). Sie wird in jedes Gerät zwischen dem MAC-Layer und dem verarbeitenden Rechenwerk CPU o.ä. eingeschleift.

Description

Beschreibung
Verfahren und Vorrichtung zum sicheren Übertragen von Signaldaten in einer Anlage
Die Erfindung betrifft ein Verfahren zur sicheren Übertragung von Signaldaten in einer Prozess- und/oder Fertigungsanlage, oder kurz Anlage. In der Automatisierungstechnik werden Steuerungen eingesetzt, die über Zusatzbaugruppen analoge und digitale Signale mit einzelnen, zu steuernden Anlagenkomponenten der Anlage austauschen. Die Zusatzbaugruppe liest Beobachtungsdaten der ihr zugeordneten Anlagenkomponente, also beispielsweise Sensor- signale oder Zustandsparameter, aus und steuert daraufhin gemäß einem vorgegebenen Regelalgorithmus einen Aktor der Anlagenkomponente durch Stellsignale an. Eine solche Zusatzbau¬ gruppe wird im Folgenden als Erfassungs- und Stellvorrichtung bezeichnet. Solche Erfassungs- und Stellvorrichtungen sind lokal an den einzelnen Anlagenkomponenten angeordnet.
Alle ausgetauschten Daten werden im Folgenden unter dem Begriff Signaldaten zusammengefasst . Bei kleinen Anlagen oder Maschinen kann auch direkt eine Signalverarbeitungseinheit angeordnet sein, die aus den Beobachtungsdaten die passenden Signaldaten zum Erzeugen der Stellsignale lokal berechnet.
Bei größeren Anlagen sind dagegen in der Regel die Zusatzbaugruppen zwar weiterhin für die Signalwandlung lokal an den Anlagenkomponenten angeordnet und damit in der Anlage ver- teilt. Ihre Beobachtungsdaten werden aber über einen sogenannten Feldbus (gemäß Norm IEC 61158 "Digital data communi- cation for measurement and control - Fieldbus for use in in- dustrial control Systems") standardisiert, insbesondere einen Profi-Bus (Process Field Bus, als Standard für die Feldbus- Kommunikation in der Automatisierungstechnik) , an eine zentrale Steuervorrichtung übertragen, in welcher aus den einzelnen, zyklisch übertragenen Datensätzen aus Beobachtungsdaten der Erfassungs- und Stellvorrichtungen (Beobachtungsdatensät- ze) zugehörige Datensätze mit Stelldaten gemäß einem vorbe¬ stimmten Regelalgorithmus ermittelt werden. Die Stelldaten¬ sätze werden dann wieder über den Feldbus an die einzelnen Erfassungs- und Stellvorrichtungen übertragen, die daraufhin in der beschriebenen Weise die Stellsignale erzeugen.
Als Basis-Technologie bzw. für die physikalische Schicht für die Realisierung eines Feldbusses wird zunehmend auch das aus der Bürowelt bekannte Ethernet verwendet. Die bekanntesten, ethernet-basierten Feldbusse sind Profinet, EtherCat und Ser- cos-III .
Alle verwenden oberhalb von Ethernet eigene Protokolle und sind nicht kompatibel zueinander. Allen gemeinsam ist aber, dass die Telegramme mit normalen Ethernet-Geräten und -
Analyse-Software abgehört werden können. Speziell die Tele¬ gramme für Echtzeitdaten, die eine reale Anlage steuern, sind nicht geschützt, so dass veränderte Telegramme eine Anlage beeinflussen oder sogar schädigen können.
Auch wird zunehmend zum Realisieren der zentralen Steuervorrichtung auf Standard-Technologie zurückgegriffen, also z. B. herkömmliche PCs (PC - Personal Computer) mit einem Betriebs¬ system, durch welches nicht nur das eigentliche Regelungspro- gramm für den Regelalgorithmus, sondern auch weitere Nutzerprogramme ausgeführt werden. Entsprechend sind solche, auf Standard-Technologien basierende Anlagensteuerungen auch anfällig für das Abhören oder Manipulieren durch Dritte, wenn z. B. auf einer zentralen Steuervorrichtung ein Schadprogramm Zugriff auf die Beobachtungsdaten, das Regelungsprogramm oder die Stelldaten erhält. Aufgrund der Verwendung von Ethernet als Feldbus-Basis kann auch leicht physikalischer Zugang zum Anlagennetzwerk möglich sein. Insbesondere bei sicherheitskritischen Anlagen, beispielswei¬ se einem Kraftwerk, einem Energieversorgungswerk oder einer Signalanlage (Verkehr, Bahn) , muss hier gegen das Abhören und Manipulieren ein wirksamer Schutz bereitgestellt sein. Die Übertragung der Feldbus-Telegramme erfolgt generell ohne weitere Sicherung. Einziger Schutz ist die Trennung der Anlage bzw. deren Teilnetz vom restlichen Netzwerk einer Firma oder Produktionsstätte. Diese Trennung erfolgt entweder phy¬ sikalisch, so dass keine Verbindung der Netze besteht oder über spezielle Netzwerkkomponenten, die nur einen autorisierten Zugang vom Firmennetz zum Anlagennetz zulassen. Die beschriebenen Maßnahmen sind vollkommen wirkungslos, wenn sich jemand physikalisch in das Anlagennetz einkoppelt, was wie oben beschrieben mit jedem beliebigen Computer funktioniert . Die Verlagerung der Rechenleistung aus der Anlage in ein Rechenzentrum erhöht den Bedarf zur Sicherung der Daten weiter immens. Im Cloud-Computing der IT-Welt werden Daten generell verschlüsselt übertragen, da die Verbindungswege zwischen lo¬ kalem Anwender und Cloud-Server praktisch unbekannt sind. Die dort übertragenen Daten sind jedoch nicht zeitkritisch, so dass die dortigen Verfahren sich nicht direkt in die Automa¬ tisierungswelt übernehmen lassen.
Während es aus der Bürowelt bekannt ist, die Datenübertragung über ein Ethernet durch eine Verschlüsselung zu schützen, ist dies bei den zeitkritischen Anwendungen der Anlagenregelung nicht direkt umsetzbar. Die Eingangsdatensätze müssten bei der zentralen Steuervorrichtung dann nämlich zunächst entschlüsselt werden und später die große Menge der Ausgangsda- ten, also die Stelldatensätze, vor dem Aussenden wieder verschlüsselt werden. Dies kostet Rechenzeit, die insbesondere bei Echtzeitanwendungen der Anlagenregelung oftmals die Leistungsfähigkeit der verfügbaren Prozessoren übersteigt. Denn in proprietären Steuerungen ist nicht zuletzt aus Kostengrün- den die Rechenleistung begrenzt.
Die Verschlüsselung erfolgt heute über Software- oder Hard¬ ware-Module, wobei die Daten aber immer über den Hauptprozes- sor und dessen Speicher laufen. Über die Ethernet- Schnittstelle können sowohl verschlüsselte als auch unver¬ schlüsselte Daten übertragen werden. Somit ist eine Umgehung der Verschlüsselung prinzipbedingt immer möglich.
Figur 1 zeigt die physikalische Verschaltung von beispielhaf¬ ten Modulen sowie die zugehörigen logischen Datenpfade.
Über einen Feldbus BUS sind die einzelnen Module Rechenwerk CPU und daran hängendem Datenspeicher RAM, Security Modul SEC, Zugangsmodul 18, mit zumindest OSI Layer 1 PHY und Layer 2 MAC Schicht und weiteren Modulen MOD mit einander verbunden. Die eingezeichneten Pfeile 11, 12, 13, 14 zeigen die verschiedenen Möglichkeiten, wie Signaldaten DATA ausgegeben werden können, nämlich unverschlüsselt über 11 oder ver- schlüsselt über (12, 13,) 14.
Zukünftig wird das Problem der Datensicherheit bei der Anla¬ genregelung noch größer, da die Rechenleistung gemäß einer aktuellen Tendenz weniger in der Anlage selbst zu finden sein wird, sondern in einem eigenen Rechenzentrum für diese Anlage, das beispielsweise auch als PLC-Computerverbund (PLC - Programmable Logic Controller, oder SPS, speicherprogrammierbare Steuerung) realisiert sein kann, das ähnlich wie das aus der Bürowelt bekannte Cloud-Computing strukturiert sein wird.
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine Vorrichtung anzugeben, welches eine sichere Datenübertragung in einer beschriebenen Anlage realisiert. Die Aufgabe wird durch ein Verfahren gemäß Patentanspruch 1, eine Vorrichtung gemäß Patentanspruch 12, sowie ein Computerprogrammprodukt gemäß Patentanspruch 23 gelöst. Vorteilhafte Weiterbildungen der Erfindung sind durch die Unteransprüche gegeben .
Das Verfahren und die Vorrichtung dienen zum sicheren Übertragen von Signaldaten in einer Prozess- und/oder Fertigungsund/oder Stellanlage, die aus - einem Rechenwerk zur Verar- beitung von Signaldaten, einem mit dem Rechenwerk verbundenen Speicher, welcher Signaldaten beinhaltet, einem Security- Modul, zur Verschlüsselung der Signaldaten, einem internen Netzwerk über das das Rechenwerk, das Security Modul, und ein Zugangsmodul miteinander verbunden sind, und einem Zugangsmo¬ dul welches eine Verbindung aufweist zu einem weiteren externen Netzwerk besteht.
Erfindungsgemäß werden die Signaldaten in das weiteres, ex¬ ternes Netzwerk übertragen, wobei alle Signaldaten in dem Se curity Modul verschlüsselt werden, bevor sie über das Zu¬ gangsmodul in das weitere, externe Netzwerk übertragen wer¬ den . Kern dieser Erfindung ist die implizit verschlüsselte Über¬ tragung der Signaldaten bei Verwendung der Übertragung über einen Feldbus. Diese Verschlüsselung verhindert zuverlässig ein unerwünschtes Mitlesen der Daten, was die Sicherheit der gesamten Anlage massiv erhöht.
Die Verschlüsselung erfolgt erfindungsgemäß mittels eines Se- curity-Moduls , vorteilhafterweise in einer Hardware- Ausführung, das sich im Datenpfad der Feldbusübertragung befindet (als sogenannte „inline Security Komponente") . Sie wird dazu in jedes Gerät zwischen dem MAC-Layer und dem verarbeitenden Rechenwerk CPU o.ä. eingeschleift. Diese Kompo¬ nente arbeitet für die CPU als auch für den MAC-Layer trans¬ parent. Daher bietet die Verschlüsselungskomponente in einer vorteilhaften Ausführungsform für das Rechenwerk die gleiche Schnittstelle an wie der MAC-Layer, und umgekehrt. Dies be¬ trifft sowohl den Daten- als auch auch den Control-Pfad .
Schließlich gehört zu der Erfindung noch ein Computerprogrammprodukt. Erfindungsgemäß sind die Computerprogramme da bei dazu ausgelegt, eine Ausführungsform des erfindungsgemä ßen Verfahrens durchzuführen. Im Folgenden ist die Erfindung anhand eines konkreten Ausführungsbeispiels näher erläutert. Hierzu zeigt die Figur 2 die wesentliche Ausführungsform der Erfindung. Figur 3 zeigt einen Überblick über eine erfindungsgemäße Anlage.
Bei dem im Folgenden erläuterten Ausführungsbeispiel stellen die beschriebenen Komponenten der Ausführungsform und die beschriebenen Schritte des Verfahrens jeweils einzelne, unab¬ hängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden und damit auch einzeln oder in einer anderen als der gezeigten Kombination als Bestandteil der Erfindung anzusehen sind. Des Weiteren sind die beschriebenen Ausführungs¬ formen auch durch weitere der bereits beschriebenen Merkmale der Erfindung ergänzbar.
Die Figur 2 zeigt die Verschlüsselung mit einem Security- Modul SEC vorteilhafterweise in Hardware realisiert, das sich im Datenpfad der Feldbusübertragung BUS befindet („inline Se- curity Komponente") .
Die Figur 2 zeigt die physikalische Verschaltung von bei¬ spielhaften Modulen sowie die zugehörigen logischen Datenpfade gemäß der Erfindung.
Über einen Feldbus BUS sind die einzelnen Module Rechenwerk CPU und daran hängendem Datenspeicher RAM, Security Modul SEC, Zugangsmodul 18, mit zumindest OSI Layer 1 PHY und Layer 2 MAC Schicht und weiteren Modulen MOD mit einander verbun- den. Die eingezeichneten Pfeile 12, 19 zeigen die verbliebenen Möglichkeiten, wie Signaldaten DATA ausgegeben werden können, nämlich nur noch verschlüsselt.
Das Security Modul SEC wird in jedes Gerät zwischen dem MAC- Layer MAC und dem verarbeitenden Rechenwerk CPU eingeschleift, d. h. sämtlicher ein- und ausgehender Datentransfer läuft über das Security Modul. Diese Komponente arbeitet transparent für das Rechenwerk CPU und auch für den MAC-Layer. Das bedeutet für das Rechenwerk CPU bietet diese Verschlüsselungskomponente die gleiche
Schnittstelle 99 an wie der MAC-Layer 92 und für den MAC Lay- er MAC die gleiche Schnittstelle 98 wie die Schnittstelle 91 des Rechenwerks CPU. Dies betrifft sowohl den Daten- wie auch den Control-Pfad, alle Signaldaten werden jetzt zusätzlich mit der Verschlüsselungsfunktion verschlüsselt. Die Figur 2 zeigt insbesondere die gegenüber dem Stand der
Technik veränderten Datenpfade 12, 19. Entscheidend ist, dass über die physikalische Ethernet- Verbindung PHY, Ethernet, nur noch verschlüsselte Signaldaten (Datenpakete) empfangen und verschickt werden können, so dass eine Umgehung der Ver- Schlüsselung ausgeschlossen wird.
Das Verschlüsselungsverfahren kann dabei entweder mit symmetrischen oder mit asymmetrischen Schlüsseln ausgestaltet werden. Wird jeder an den Feldbus BUS angeschlossenen Station MOD, RAM, CPU ... dabei ein individueller Schlüssel KEY1, KEY2, zugeteilt, ist die Abhörsicherheit weiter erhöht, da das Kna¬ cken eines einzelnen Schlüssels nicht automatisch alle ande¬ ren Geräte zugänglich macht.
Die Verschlüsselung findet vorteilhafterweise auf dem Layer 2 des ISO/OSI-Modells statt, da die Signaldaten wegen ihrer Zeitkritikalität direkt auf dieser Ebene übertragen werden, während weitere Daten, wie Parametrierdaten, auf höheren Ebe- nen (z. B. TCP/IP) übertragen werden.
Solange in dem Security-Modul SEC kein Schlüssel hinterlegt wurde, arbeitet es vollständig transparent, so dass auch die Kompatibilität zu heutigen Geräten gewahrt bleibt. Sobald aber ein Schlüssel KEY1, KEY2, in dem Gerät abgelegt wird, kann dieser nur noch über eine verschlüsselte Signaldatennachricht geändert bzw. entfernt werden, da unverschlüsselte Nachrichten nicht mehr an das Rechenwerk CPU weitergegeben werden .
Gängige Verschlüsselungsverfahren lassen sich durch spezielle Hardware-Bausteine realisieren, was vor allem auf Systemen mit wenig Rechenleistung einen deutlichen Gewinn bei der Verarbeitungszeit bedeutet. Des Weiteren hat die Realisierung in Hardware gegenüber der in Software den Vorteil, immer gleich schnell zu sein, so dass der Determinismus der Daten erhalten bleibt. Zudem arbeitet die Hardware echt parallel zum norma¬ len Prozessor eines Gerätes, so dass dieser erst nach der Verschlüsselung eingreift und die Daten verarbeitet.
Die implizite Verschlüsselung der Signaldaten auf einem Feld- bus bringt viele Vorteile mit sich.
Die Anlagensicherheit wird erheblich gesteigert, da die Kom¬ munikation und somit die wichtigen Signaldaten weder abgehört noch manipuliert werden können.
Das Einbringen der Verschlüsselung in den physikalischen Datenpfad erlaubt keine Umgehung der Verschlüsselung.
Bei Verwendung individueller Schlüssel ist die Sicherheit noch höher, da der Aufwand zum vollständigen Abhören der Anlage mit der Anzahl der Geräte steigt.
Der individuelle Schlüssel eines Gerätes wird bei der Inbe¬ triebnahme vergeben, so dass auch nicht ein kompromittiertes Gerät statt eines vorhandenen eingesetzt werden kann, da die¬ ses den Schlüssel nicht kennt.
Des Weiteren ist der individuelle Schlüssel eine zweite, un¬ abhängige Identifikation eines an den Feldbus BUS angeschlos- senen Gerätes oder Moduls neben der Netzwerkadresse, so dass sich zudem eine Verifikationsmöglichkeit ergibt, dass die Da¬ ten vom richtigen Gerät kommen, was bei ausschließlicher Prüfung der Adresse nicht der Fall ist. Die genannten Vorteile können nur mit mit dem Bus gemäß dem Protokoll Profinet genutzt werden, aber nicht mit den Proto¬ kollen EtherCat oder Sercos-III, weil diese sogenannte Broad- cast-Telegramme verwenden. Die Steuerung schickt ein (EtherCat) oder auch mehrere (Sercos-III) Telegramme mit Signalda¬ ten über die Leitung, bei denen die Byte-Position im Telegramm entscheidet, welches Gerät welche Daten verarbeitet. Bei Profinet hingegen werden dedizierte Telegramme zwischen Steuerung und den Feldbus-Geräten verwendet, bei denen die im Teigramm vorhandene Adresse das Gerät bestimmt.
Da bei jeglicher Verschlüsselung die Daten einer zu verschlüsselten Nachricht verändert werden und auch die Position der Daten in der verschlüsselten Nachricht nicht vorhersagbar ist, können die beiden Protokolle EtherCat und Sercos-III keine Verschlüsselung für Signaldaten realisieren, so dass sich ein echter Wettbewerbsvorteil für Profinet gegenüber den anderen Protokollen ergibt.
In der Figur 3 ist eine Prozess- und/oder Fertigungs¬ und/oder Stellanlage oder kurz Anlage 10 gezeigt, in welcher einzelne Anlagenkomponenten 82, 84, 86, 88 durch Zusatzbaugruppen oder Erfassungs- und Stellvorrichtungen, kurz Vor- richtungen 20, 22, 24, 26, beobachtet und gesteuert werden. Jede der Vorrichtungen 20, 22, 24, 26 kann dabei an der jeweiligen Anlagenkomponente 82, 84, 86, 88, die ihr zugeordnet ist, oder in deren Nähe angeordnet sein. Sie erfassen zum einen Beobachtungsdaten, beispielsweise Sensorsignale oder Zu- Standsparameter, und erzeugen zum anderen Stellsignale zum Stellen von Aktoren der jeweiligen Anlagenkomponente 82, 84, 86, 88. Hierzu weist jede der Vorrichtungen 20, 22, 24, 26 eine jeweilige, nicht näher dargestellte Erfassungseinheit und Stelleinheit auf, die beispielsweise als Programmmodule in einem Programm einer speicherprogrammierbaren Steuerung bereitgestellt sein können. Jede der Vorrichtungen 20, 22, 24, 26 ist über eine (nicht näher dargestellte) Übertragungseinheit, beispielsweise ein Bus-Kommunikationsmodul, über einen Feldbus 28 mit einer zentralen Steuervorrichtung 30, beispielsweise eine Worksta- tion oder einem Personalcomputer, verbunden. Durch die zentrale Steuervorrichtung 30 wird ein Regelalgorithmus ausge¬ führt, der als Eingabedaten die Beobachtungsdaten der Vorrichtungen 20, 22, 24, 26 als jeweilige, zu vorbestimmten Zeitpunkten übertragene Beobachtungsdatensätze empfängt und hieraus Stelldaten erzeugt, die als Stelldatensätze an die jeweiligen Vorrichtungen 20, 22, 24, 26 über den Feldbus 28 wieder ausgesendet werden. Die zentrale Steuervorrichtung 30 kann zum Bereitstellen des Regelalgorithmus ein Steuerpro¬ grammmodul 32 aufweisen, von welchem über eine Übertragungs- einrichtung der Steuervorrichtung 30 die Beobachtungsdaten empfangen werden und die daraus ermittelten Stelldaten erzeugt werden. Die Beobachtungsdaten und die Stelldaten bilden zusammen Signaldaten 34, die einen Bestandteil des Steuerpro¬ grammmoduls 32 bilden.
Bei der zentralen Steuervorrichtung 30 muss es sich nicht um dedizierte Hardware handeln, sondern es können auch weitere Benutzerapplikationen durch die zentrale Steuervorrichtung 30 bereitgestellt sein. Beispielsweise kann die zentrale Steuer- Vorrichtung 30 ein zentraler Server sein oder ein Arbeits- platzcomputer, die außerhalb einer Fertigungshalle angeordnet ist, in welcher sich die Anlagenkomponenten 12 bis 18 und die zugehörigen Vorrichtungen 20 bis 26 befinden. In dem gezeigten Beispiel ist es einer nicht autorisierten Person, d.h. einem Hacker 36, gelungen, ein Schadprogramm 38 in die Steuervorrichtung 30 einzuschleusen und das Schadprogramm auszuführen. Über eine Datenverbindung 40, beispielsweise eine Internetverbindung, liest der Hacker 36 mittels des Schadpro¬ gramms 38 die Beobachtungsdaten 34 beispielsweise aus einem Hauptspeicher der zentralen Steuervorrichtung 30 aus, um Informationen über den Zustand der Anlage 10 zu erhalten. Bei der Anlage 10 ist aber wirkungsvoll verhindert, dass der Ha- cker 36 die Regelungsdaten 34 interpretieren kann, geschweige denn gezielt manipulieren kann.
Hierzu werden durch die Vorrichtungen 20 bis 26 die jeweili- gen Beobachtungsdatensätze verschlüsselt und nur in ver¬ schlüsselter Form über den Datenbus 28 an die zentrale Steu¬ ervorrichtung 30 ausgesendet.
Bezugs zeichenliste
CPU Rechenwerk
BUS internes Netzwerk, Feldbus
DATA Steuerungsdaten
EDATA Verschlüsselte Daten
Ethernet Externes Netzwerk, Ethernet
KEY1,2 Schlüssel
MAC MAC Layer 2
MOD Modul
PHY Physical Layer 1
RAM Speicher
SEC Security Modul
SOC System-On-a-Chip
11, 12, 16 Datenpfade im System (verschlüsselt)
13, 14, 15 Datenpfade im System (unverschlüsselt)
18 Schnittstellenmodul
91, 92 ,98,99 Schnittstellen

Claims

Patentansprüche
1. Verfahren zum Übertragen von Signaldaten (DATA) in einer Prozess- und/oder Fertigungs- und/oder Stellanlage,
welche besteht aus
- einem Rechenwerk (CPU) zur Verarbeitung von Signaldaten,
- einem mit dem Rechenwerk (CPU) verbundenen Speicher (RAM) , welcher Signaldaten beinhaltet,
- einem Security-Modul (SEC) , zur Verschlüsselung der Signal- daten,
- einem internen Netzwerk (BUS) über das das Rechenwerk
(CPU), das Security Modul (SEC), und ein Zugangsmodul (18) miteinander verbunden sind, und
- ein Zugangsmodul (18) welches eine Verbindung aufweist zu einem weiteren externen Netzwerk (17),
wobei
- die Signaldaten übertragen werden in das weiteres, externes Netzwerk (17),
dadurch gekennzeichnet, dass
alle Signaldaten (DATA) in dem Security Modul (SEC) verschlüsselt werden, bevor sie über das Zugangsmodul (18) in das weitere, externe Netzwerk übertragen werden.
2. Verfahren nach Anspruch 1,
dadurch gekennzeichnet, dass
zum Verschlüsseln der zu übertragenden Signaldaten (DATA) ein Hardware-Modul (SEC) verwendet wird.
3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass
das Security Modul (SEC) eine erste Schnittstelle (99) zum Rechenwerk anbietet, die analog zur Schnittstelle des Zu¬ gangsmoduls (92) zum Rechenwerk ausgebildet ist.
4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Security Modul (SEC) eine zweite Schnittstelle (98) zum Zugangsmodul anbietet, die analog zur Schnittstelle des Re¬ chenwerks zum Zugangsmodul (91) ausgebildet ist.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass
dass ein Verschlüsselungs-Verfahren in dem Security Modul im Datenpfad zwischen der Rechnereinheit (CPU) und der Daten¬ schnittstelle (MAC, PHY) angewendet wird.
6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass
das Verschlüsselungs-Verfahren asymmetrische Schlüssel verwendet .
7. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass
das Verfahren symmetrische Schlüssel (KEY1, KEY2, ...) ver¬ wendet .
8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass
jedem Modul (CPU, SEC, MAC, MOD) welches direkt mit dem in¬ ternen Netzwerk (BUS) verbunden ist, ein individueller
Schlüssel (KEY1, KEY2, ...) für die Verschlüsselung der Signaldaten zugeordnet ist.
9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass
die Verschlüsselung auf Kommunikations-Schicht Layer 2 (MAC) durchgeführt wird.
10. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass
das Security-Modul transparent arbeitet, solange kein Schlüs¬ sel hinterlegt ist.
11. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass
das Verfahren auf einer Vorrichtung ausgeführt wird, die als System-on-a-Chip (SOC) ausgebildet ist.
12. Vorrichtung zur Übertragung von Signaldaten (DATA) in einer Prozess- und/oder Fertigungs- und/oder Stellanlage, welche mit
- einem Rechenwerk (CPU) zur Verarbeitung von Signaldaten,
- einem mit dem Rechenwerk (CPU) verbundenen Speicher (RAM) , welcher Signaldaten beinhaltet,
- einem Security-Modul (SEC) , zur Verschlüsselung der Signal¬ daten,
- einem internen Netzwerk (BUS) über das das Rechenwerk
(CPU), das Security Modul (SEC), und ein Zugangsmodul (18) miteinander verbunden sind, und
- ein Zugangsmodul (18) welches eine Verbindung aufweist zu einem weiteren externen Netzwerk (17),
wobei
- die Signaldaten übertragbar sind in das weitere, externe Netzwerk (17),
dadurch gekennzeichnet, dass
das Security Modul derart zwischen dem Rechenwerk (CPU) und dem Zugangsmodul (18) angeordnet ist, dass alle Signaldaten (DATA) verschlüsselt werden, bevor sie über das Zugangsmodul (18) in das weitere, externe Netzwerk übertragen werden.
13. Vorrichtung nach Anspruch 12,
dadurch gekennzeichnet, dass
das Modul zum Verschlüsseln (SEC) der zu übertragenden Sig- naldaten (DATA) als Hardware-Modul ausgebildet ist.
14. Vorrichtung nach einem der vorhergehenden Ansprüche 12 oder 13,
dadurch gekennzeichnet, dass
das Security Modul (SEC) eine erste Schnittstelle (99) zum Rechenwerk aufweist, die analog zur Schnittstelle des Zu¬ gangsmoduls (92) zum Rechenwerk ausgebildet ist.
15. Vorrichtung nach einem der vorhergehenden Ansprüche 12 bis 14,
dadurch gekennzeichnet, dass
das Security Modul (SEC) eine zweite Schnittstelle (98) zum Zugangsmodul aufweist, die analog zur Schnittstelle des Re¬ chenwerks zum Zugangsmodul (91) ausgebildet ist.
16. Vorrichtung nach einem der vorhergehenden Ansprüche 11 bis 15,
dadurch gekennzeichnet, dass
dass das Security Modul (SEC) im Datenpfad (12) zwischen der Rechnereinheit (CPU) und der Datenschnittstelle (MAC, PHY) angeordnet ist und alle zur Übertragung an das externe Netz¬ werk (Ethernet) vorgesehenen Signaldaten verschlüsselt.
17. Vorrichtung nach einem der vorhergehenden Ansprüche 11 bis 16,
dadurch gekennzeichnet, dass
das Security Modul (SEC) zur Verschlüsselung asymmetrische Schlüssel (KEY1) verwendet.
18. Vorrichtung nach einem der Ansprüche 11 bis 17, dadurch gekennzeichnet, dass
das Security Modul (SEC) zur Verschlüsselung symmetrische Schlüssel (KEY2) verwendet.
19. Vorrichtung nach einem der vorhergehenden Ansprüche 11 bis 18,
dadurch gekennzeichnet, dass
jedem Modul (CPU, SEC, MAC, MOD) welches direkt mit dem in¬ ternen Netzwerk (BUS) verbunden ist, ein individueller
Schlüssel (KEY1, KEY2, ...) zugeordnet ist.
20. Vorrichtung nach einem der vorhergehenden Ansprüche 11 bis 19,
dadurch gekennzeichnet, dass
das Security Modul (SEC) die Verschlüsselung auf Kommunikati¬ ons-Schicht Layer 2 (MAC) durchführt.
21. Vorrichtung nach einem der vorhergehenden Ansprüche 11 bis 20,
dadurch gekennzeichnet, dass
das Security-Modul (SEC) transparent arbeitet, solange kein Schlüssel hinterlegt ist.
22. Vorrichtung nach einem der vorhergehenden Ansprüche 11 bis 21,
dadurch gekennzeichnet, dass
die Vorrichtung als System-on-a-Chip (SOC) ausgebildet ist.
23. Computerprogrammprodukt zur Durchführung eines der Ver¬ fahren gemäß Patentanspruch 11 bis 22.
PCT/EP2013/063284 2013-06-25 2013-06-25 Verfahren und vorrichtung zum sicheren übertragen von signaldaten in einer anlage WO2014206451A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/EP2013/063284 WO2014206451A1 (de) 2013-06-25 2013-06-25 Verfahren und vorrichtung zum sicheren übertragen von signaldaten in einer anlage

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2013/063284 WO2014206451A1 (de) 2013-06-25 2013-06-25 Verfahren und vorrichtung zum sicheren übertragen von signaldaten in einer anlage

Publications (1)

Publication Number Publication Date
WO2014206451A1 true WO2014206451A1 (de) 2014-12-31

Family

ID=48748182

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2013/063284 WO2014206451A1 (de) 2013-06-25 2013-06-25 Verfahren und vorrichtung zum sicheren übertragen von signaldaten in einer anlage

Country Status (1)

Country Link
WO (1) WO2014206451A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016125511A1 (de) * 2016-12-22 2018-06-28 Abb Schweiz Ag Sicherheitsgerät und Feldbussystem zur Unterstützung einer sicheren Kommunikation über einen Feldbus
EP3731044A1 (de) * 2019-04-26 2020-10-28 Kabushiki Kaisha Yaskawa Denki Kommunikationssystem, kommunikationsverfahren und programm

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10314721A1 (de) * 2003-03-31 2004-11-11 Endress + Hauser Gmbh + Co. Kg Verfahren zur sicheren Datenübertragung über einen Feldbus
WO2005034420A1 (de) * 2003-09-30 2005-04-14 Siemens Aktiengesellschaft Automatisierungssystem mit verschlüsselungsfunktionen
US20100153550A1 (en) * 2008-12-15 2010-06-17 Broadcom Corporation Pluggable device that enables an addition of security functionality in a network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10314721A1 (de) * 2003-03-31 2004-11-11 Endress + Hauser Gmbh + Co. Kg Verfahren zur sicheren Datenübertragung über einen Feldbus
WO2005034420A1 (de) * 2003-09-30 2005-04-14 Siemens Aktiengesellschaft Automatisierungssystem mit verschlüsselungsfunktionen
US20100153550A1 (en) * 2008-12-15 2010-06-17 Broadcom Corporation Pluggable device that enables an addition of security functionality in a network

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016125511A1 (de) * 2016-12-22 2018-06-28 Abb Schweiz Ag Sicherheitsgerät und Feldbussystem zur Unterstützung einer sicheren Kommunikation über einen Feldbus
US11423187B2 (en) 2016-12-22 2022-08-23 Phoenix Contact Gmbh & Co. Kg Security device and field bus system for supporting secure communication by means of a field bus
EP3731044A1 (de) * 2019-04-26 2020-10-28 Kabushiki Kaisha Yaskawa Denki Kommunikationssystem, kommunikationsverfahren und programm
CN111866057A (zh) * 2019-04-26 2020-10-30 株式会社安川电机 通信系统、通信方法和程序
US11277388B2 (en) 2019-04-26 2022-03-15 Kabushiki Kaisha Yaskawa Denki Communication system, communication method, and information storage medium
CN111866057B (zh) * 2019-04-26 2023-05-05 株式会社安川电机 通信系统、通信方法

Similar Documents

Publication Publication Date Title
EP3353610B2 (de) Verbindungseinheit, überwachungssystem und verfahren zum betreiben eines automatisierungssystems
DE102017124866A1 (de) Gesicherte Prozesssteuerkommunikationen
DE102017124844A1 (de) Sicheres Transportieren von Daten über eine Datendiode für gesicherte Prozesssteuerungskommunikationen
DE102017124821A1 (de) Veröffentlichung von daten über eine datendiode für gesicherte prozesssteuerungskommunikationen
WO2018010949A1 (de) Verfahren zum aufbau gesicherter kommunikationsverbindungen zu einem industriellen automatisierungssystem und firewall-system
WO2019042915A1 (de) Verfahren zur überprüfung von innerhalb eines industriellen automatisierungssystems übermittelten datagrammen und automatisierungs- und/oder kommunikationsgerät
EP2790078A1 (de) Manipulationssicheres Regeln einer Prozess- und/oder Fertigungs- und/oder Stellanlage
EP1430689B1 (de) Empfang von datentelegrammen in kommunikationssystemen mit redundanten netzwerkpfaden
DE102016107450A1 (de) Sicheres Gateway
EP2448182B1 (de) Verfahren zur Kommunikation in einem Automatisierungssystem
WO2014206451A1 (de) Verfahren und vorrichtung zum sicheren übertragen von signaldaten in einer anlage
EP3520351B1 (de) Vorrichtung und verfahren zur durchgängigen und medienübergreifenden übertragung von kommunikationsprotokollen ohne protokollumsetzung
DE102006003167B3 (de) Sichere Echtzeit-Kommunikation
EP3418832B1 (de) Sichere echtzeitbasierte datenübertragung
WO2013174578A1 (de) Verfahren und vorrichtung zur erzeugung kryptographisch geschützter redundanter datenpakete
EP2506503B1 (de) Automatisierungsnetzwerk mit Leitsystemkomponente
WO2018215209A1 (de) Verfahren und vorrichtung zum schutz einer kommunikation zwischen mindestens einer ersten kommunikationseinrichtung und wenigstens einer zweiten kommunikationseinrichtung insbesondere innerhalb eines kommunikationsnetzwerkes einer industriellen fertigung und/oder automatisierung
AT14014U1 (de) Verfahren zum sicheren Betrieb von Verbundnetzen, insbesondere von Windpark- oder anderen ausgedehnten Netzen
WO2022022997A1 (de) Kanalbasierte kommunikation in einem iot-netzwerk
DE102005029656B3 (de) Verfahren zur Kopplung von Busteilnehmern eines Automatisierungssystems und frei programmierbarer Kommunikations-Prozessor hierfür
EP4014424B1 (de) Verfahren zum verarbeiten von telegrammen in einem automatisierungsnetzwerk, automatisierungsnetzwerk, masterteilnehmer und slaveteilnehmer
EP3903469B1 (de) Funktional-sichere verbindungsidentifizierung für eine m2m kommunikation
EP3963839B1 (de) Netzwerkverteiler, automatisierungsnetzwerk und verfahren zur datenübertragung in einem automatisierungsnetzwerk
EP2898635B1 (de) System und verfahren zur wartung einer werkzeugmaschine
DE102011003310A1 (de) Netzwerkgerät für ein Automatisierungsnetzwerk

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 13734697

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 13734697

Country of ref document: EP

Kind code of ref document: A1