WO2017194332A1 - Verbessern einer geräteauthentifizierung mit hilfe von geräteüberwachungsdaten - Google Patents

Verbessern einer geräteauthentifizierung mit hilfe von geräteüberwachungsdaten Download PDF

Info

Publication number
WO2017194332A1
WO2017194332A1 PCT/EP2017/060198 EP2017060198W WO2017194332A1 WO 2017194332 A1 WO2017194332 A1 WO 2017194332A1 EP 2017060198 W EP2017060198 W EP 2017060198W WO 2017194332 A1 WO2017194332 A1 WO 2017194332A1
Authority
WO
WIPO (PCT)
Prior art keywords
monitoring data
authentication
device monitoring
information
trustworthiness
Prior art date
Application number
PCT/EP2017/060198
Other languages
English (en)
French (fr)
Inventor
Rainer Falk
Steffen Fries
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2017194332A1 publication Critical patent/WO2017194332A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Definitions

  • Cryptographic IT security measures are used in so-called smart devices, for example within industrial automation systems or energy automation systems. In doing so, integrity and confidentiality of
  • Authentication verifies a claimed identity.
  • Authentication techniques for users are known in which several factors are used for authentication. It is also known to perform an authentication regularly during a session, for example as part of a TLS connection. For example, knowledge of a password as well as having a security token is checked.
  • a so-called Active Authentication Principle is also known, in which the behavior of a user during an authenticated session is checked in order to determine whether the authenticated user continues to use the session.
  • Advantageous embodiments are given in the embodiments.
  • the device monitoring data indicate an intermediate state or a state or a status of the device, which is classified as critical or undesirable by comparison with the validation rule, no Gul ⁇ term validation is possible and the cation structure due to an initial cryptographic authentication within a communi- detected integrity of the device can not be confirmed or maintained in ⁇ example from the time of failed validation.
  • a warning message can be generated which may affect the network communication or the access of the device to network components. Administrators may be involved, for example, to recall existing communication sessions or to recall or block credentials, identifiers or access identifiers of the device. A network connection of the device can be blocked or terminated.
  • a successful device authentication is a cryptographic
  • the expected behavior of the device can be from training data and be fixed in the configurable validation rule or validation policy is ⁇ learn. Expectations may also be based on calculations or modeling in the
  • the invention further relates to a computer program product with a computer program which has means for carrying out the method described above when the computer program is executed on a program-controlled device.
  • Individual field devices Fl, F2, F3 may be arranged and be used there for thnesstrom tasks in an automation within an automation network 200 ⁇ industrial plant.
  • the automation network 200 is in particular connected to an office network via a gateway 10.
  • Other field devices F4, F5 are connected, for example, directly to the backend via the open network. For example, these are devices that report data on temperature conditions within the industrial plant and are not part of the secure automation network.
  • FIG. 2 also outlines an industrial plant coupled via an open network 100 to a backend system. It is an Internet of Things system represented with Internet of Things or IoT devices 1, 2, 3, 4, 5, which communicate with an IoT backend platform 20. The coupling takes place for some devices 1, 2, 3 of an automation network 200 via a gateway 10 to the open network 100. For other devices 4, 5 there is a direct coupling, for example via an office network, with the IoT backend platform 20. The devices provide the IoT Backendb 20 so-called monitoring information or monitoring information ready. These may include information about the device status, about measurements by sensors associated with the devices, and so on.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Verbessern einer Geräteauthentifizierung mit Hilfe von Geräteüberwachungsdaten. Dabei werden als Geräteüberwachungsdaten Informationen oder Nachweise eines Gerätes oder über ein Gerät in einem Backend- System bereitgestellt. Es wird ferner eine Einschätzung einer Vertrauenswürdigkeit des Gerätes anhand der Geräteüberwachungsdaten und mittels einer konfigurierbaren Validierungsvorschrift während eines Betriebes des Gerätes durchgeführt. Eine kryptographische kommunikationsbasierte Authentifizie- rung des Gerätes wird ergänzt durch mindestens eine im Betrieb des Gerätes stattfindende erweiterte Validierung auf Grundlage der Einschätzung der Vertrauenswürdigkeit des Gerätes. Es wird somit eine erweiterte Geräteauthentifizierung ermöglicht, welche neben einer Authentisierung beispielsweise in einer initialen Phase eines Kommunikationsverbindungsauf- baus auch in der späteren Betriebsphase eines Gerätes die anhaltende Vertrauenswürdigkeit des Gerätes prüft.

Description

Beschreibung
Verbessern einer Geräteauthentifizierung mit Hilfe von Gerä- teüberwachungsdaten
Im Umfeld von Internet of Things Technologien und sogenannten cyberphysikalischen Systemen finden geräteorientierte Kommunikation und geräteorientierte Interaktion statt. Es wird so¬ mit zunehmend wichtiger, eine Authentifizierung von Geräten in einem industriellen Umfeld sicherzustellen.
Kryptographische IT-Security-Maßnahmen werden in sogenannten Smart Devices, beispielsweise innerhalb von industriellen Automatisierungsanlagen oder Energieautomatisierungsanlagen eingesetzt. Dabei werden Integrität und Vertraulichkeit von
Daten oder von Kommunikationsteilnehmern überprüft. Insbesondere kommen Techniken zur Multifaktor-Authentisierung für menschliche Nutzer zum Einsatz, welche beispielsweise Zugang zu einer Automatisierungsanlage oder Zugriffsrechte für eine Kontrollanlage erhalten sollen.
Bei einer Authentifizierung wird eine behauptete Identität überprüft. Es sind Authentisierungstechniken für Nutzer bekannt, bei welchen mehrere Faktoren zur Authentisierung ge- nutzt werden. Es ist ferner bekannt, eine Authentifizierung regelmäßig während einer Sitzung, beispielsweise im Rahmen einer TLS-Verbindung durchzuführen. Beispielsweise wird sowohl das Wissen über ein Passwort als auch das Besitzen eines Security-Tokens überprüft. Es ist ferner ein so genanntes Ac- tive Authentication Prinzip bekannt, bei welchem die Verhaltensweisen eines Nutzers während einer authentifizierten Session überprüft werden, um festzustellen, ob weiterhin der authentifizierte Nutzer die Session nutzt. Vor diesem Hintergrund ist es eine Aufgabe der vorliegenden Erfindung, eine Geräteauthentifizierung zu erweitern und den Einsatz von zu authentifizierenden Geräten sicherer zu gestalten. Diese Aufgabe wird durch die Gegenstände der unab- hängigen Ansprüche gelöst. Vorteilhafte Ausgestaltungen sind in den Ausführungsbeispielen angegeben.
Die Erfindung betrifft ein Verfahren zum Verbessern einer Ge- räteauthentifizierung mit Hilfe von Geräteüberwachungsdaten. Dabei werden als Geräteüberwachungsdaten Informationen oder Nachweise eines Gerätes oder über ein Gerät in einem Backend¬ system bereitgestellt. Es wird ferner eine Einschätzung einer Vertrauenswürdigkeit des Gerätes anhand der Geräteüberwa- chungsdaten und mittels einer konfigurierbaren Validierungsvorschrift während eines Betriebes des Gerätes durchgeführt. Eine kryptographische kommunikationsbasierte Authentifizie¬ rung des Gerätes wird ergänzt durch mindestens eine im Be¬ trieb des Gerätes stattfindende erweiterte Validierung auf Grundlage der Einschätzung der Vertrauenswürdigkeit des Gerä¬ tes. Es wird somit eine erweiterte Geräteauthentifizierung ermöglicht, welche neben einer Authentisierung beispielsweise in einer initialen Phase eines Kommunikationsverbindungsauf- baus auch in der späteren Betriebsphase eines Gerätes die an- haltende Vertrauenswürdigkeit des Gerätes prüft. Die Geräte¬ überwachungsdaten geben Auskunft über eine Geräteintegrität oder eine Integrität des Gerätes im Kontext eines Systems, indem eine konfigurierbare Validierungsvorschrift als Refe¬ renz verwendet wird. Die Validierungsvorschrift beschreibt Gerätezustände oder Parameter, welche erfüllt sein müssen, oder Bereiche, innerhalb derer Werte liegen müssen, um eine Unversehrtheit oder korrekte Funktionsweise des Gerätes zu bestätigen. Eine Vertrauenswürdigkeit des Gerätes wird bei¬ spielsweise eingeschätzt anhand dessen, wie gut die Informa- tionen aus den Geräteüberwachungsdaten mit denen aus der Validierungsvorschrift übereinstimmen, beziehungsweise ob die Geräteüberwachungsdaten durch die Validierungsvorschrift festgelegte gültige Zustände des Gerätes signalisieren. Die erweiterte Validierung anhand der Geräteüberwachungsdaten setzt auf einer erfolgreichen Authentisierung im Rahmen einer Kommunikationsverbindung auf. Für die Authentisierung kommen kryptographische Verfahren und insbesondere kryptographisches Schlüsselmaterial zum Einsatz. Ergibt die Einschätzung der Vertrauenswürdigkeit des Gerätes anhand der Geräteüberwa¬ chungsdaten, dass eine Integrität des Gerätes nach der er¬ folgten Authentisierung im Rahmen einer Kommunikationsverbin- dung auch im Betrieb bestätigt werden kann, so hat das Gerät eine erweiterte Validierung durchlaufen, die zusätzlich zur kryptographischen und kommunikationsbasierten Authentifizierung die Geräteauthentifizierung innerhalb eines Systems mit über ein Netzwerk verbundenen Geräten und Backend verbessert und insbesondere sicherer gestaltet. Geräteüberwachungsdaten sind vorteilhafterweise ohnehin im Rahmen von so genannten Predictive Maintenance Strukturen oder präventiven Instand- haltungs- oder Wartungsmodellen im Backend von Internet of Things Infrastrukturen vorhanden. Diese Geräteüberwachungsda- ten zusätzlich zur Verbesserung der Geräteauthentifizierung zu nutzen, ermöglicht eine erweiterte Geräteauthentifizierung über eine Initialisierungsphase hinaus im Betrieb des Sys¬ tems. Das Ausnutzen von Gerätemonitoringdaten zur Einschätzung der Vertrauenswürdigkeit des Gerätes erlaubt eine fle- xible Nutzung von Daten aus unterschiedlichen Quellen. Da die zusätzliche Authentisierung durch die erweiterte Validierung unabhängig von einer Kommunikationsverbindung durchgeführt wird, sind auch unterschiedliche Vertrauensbeziehungen des Backends zu Quellen der Geräteüberwachungsdaten unkritisch. Sie ermöglicht weiterhin während des Betriebs eine wiederhol¬ te oder dauerhafte Validierung als Bestätigung der
Authentisierung, ohne dass eine erneute kryptographische Authentisierung oder Reauthentication, die zu einer zeitweisen Unterbrechung der Kommunikationsverbindung führen würde, erforderlich ist.
Die Validierungsvorschrift ist konfigurierbar ausgestaltet, um zu erwartenden Änderungen von Zustandsgrößen des Systems, in welchem sich das Gerät befindet, über die Zeit Rechnung zu tragen. Die Einschätzung der Vertrauenswürdigkeit des Gerätes entscheidet darüber, ob die erweiterte Validierung erfolg¬ reich ist. Die Kriterien zur Einschätzung der Vertrauenswürdigkeit können sich durch Alterung des Gerätes, Änderung der Umgebungsbedingungen, Änderung benachbarter Geräte einer Anlage oder strengere Security-Anforderungen ergeben.
Falls die Geräteüberwachungsdaten auf einen Zwischenstand oder einen Zustand oder einen Status des Gerätes hinweisen, welcher durch Abgleich mit der Validierungsvorschrift als kritisch oder unerwünscht eingestuft wird, so ist keine gül¬ tige Validierung möglich und die aufgrund einer anfänglichen kryptographischen Authentifizierung im Rahmen eines Kommuni- kationsaufbaus festgestellte Integrität des Gerätes kann bei¬ spielsweise ab dem Zeitpunkt der fehlgeschlagenen Validierung nicht weiter bestätigt oder aufrechterhalten werden. Beispielsweise kann eine Warnnachricht erstellt werden, welche Auswirkungen auf die Netzwerkkommunikation oder auf den Zu- griff des Gerätes auf Netzwerkbestandteile haben kann. Es können Administratoren einbezogen werden, welche beispielsweise bestehende Kommunikationssitzungen zurückrufen oder Credentials, Kennungen oder Zugangskennungen des Gerätes zurückrufen bzw. sperren. Eine Netzwerkverbindung des Gerätes kann blockiert oder beendet werden. Für eine erfolgreiche Geräteauthentisierung ist eine kryptographische
Authentisierung alleine nicht ausreichend, sondern es muss zusätzlich das kryptographisch authentisierte Gerät plausib¬ le, gültige Geräteüberwachungsdaten aufweisen. Ein manipu- liertes Gerät, beispielsweise mit veränderter Software oder
Konfiguration, wird daher selbst bei erfolgreicher kryptogra- phischer Authentisierung nicht erfolgreich authentisiert . Diese Überwachung erfolgt nicht nur beim Verbindungsaufbau, sondern wiederholt bzw. kontinuierlich bei bestehender Kommu- nikationsverbindung .
Das Bereitstellen der Geräteüberwachungsdaten erfolgt beispielsweise durch Zugriff auf im Backend gesammelte und ge¬ speicherte Geräteüberwachungsdaten. Das Sammeln selbst kann regelmäßig oder kontinuierlich erfolgen oder zu fest
vorgebbaren Zeitpunkten oder bei fest vorgebbaren Ereignissen. Die Geräteüberwachungsdaten sind also in einem Backend, beispielsweise auf einer device monitoring data platform oder Geräteüberwachungsdatenplattform, verfügbar .
Gemäß einer Ausgestaltung wird mittels der Validierungsvor- schrift eine Plausibilität oder Aktualität oder Gültigkeit der Geräteüberwachungsdaten eingeschätzt. Beispielsweise kann anhand von Zeitstempeln nachvollzogen werden, ob angefragte Informationen frisch oder aktuell genug sind oder ob ein aufgrund des Zeitpunkts als gültig erkannter Inhalt übertragen wurde. Ein Plausibilitätscheck kann anhand von erwarteten
Statusmeldungen oder erwarteten Reaktionen eines oder mehrerer Geräte auf Anfragen des Backends durchgeführt werden. Das erwartete Verhalten des Gerätes kann aus Trainingsdaten ange¬ lernt sein und in der konfigurierbaren Validierungsvorschrift oder Validierungspolicy fixiert sein. Die Erwartungen können auch anhand von Berechnungen oder Modellierung in die
Validierungspolicy eingehen.
Gemäß einer Ausgestaltung umfassen die Überwachungsdaten kryptographische Geräteauthentifizierungsinformationen, welche im Betrieb vom Gerät an das Backendsystem gesendet wer¬ den. Es werden Authentifizierungsinformationen als Nutzerdaten an das Backend geschickt, bei welchem sich das Gerät im Betrieb authentisiert . Beispielsweise werden signierte Daten- strukturen mittels digitaler Signaturverfahren erstellt. Diese können insbesondere aktuelle Zeitinformationen oder Anga¬ ben zu Geräteidentifizierern enthalten. Auf vorteilhafte Weise wird so eine zusätzliche kryptographisch basierte
Authentisierung durch das Nutzen von Geräteüberwachungsdaten im Betrieb ermöglicht. Die Übertragen der kryptographischen Geräteauthentifizierungsinformationen kann regelmäßig oder kontinuierlich erfolgen oder zu fest vorgebbaren Zeitpunkten oder bei fest vorgebbaren Ereignissen. Gemäß einer Ausgestaltung umfassen die Geräteüberwachungsda¬ ten Sensormesswerte oder Konfigurationswerte oder Netzwerkum¬ gebungsinformationen oder Ortsinformationen oder Selbsttestinformationen oder Laufzeitinformationen . Anhand von Sensor- messungen kann insbesondere die Plausibilität von Messwerten, die das Feldgerät über interne oder angeschlossene Sensoren empfängt, überprüft werden. Anhand des Abgleichs mit der Va¬ lidierungsvorschrift wird das Gerät insbesondere auf eine er- wartete und intakte Funktionsweise hin überprüft und bei er¬ folgreicher Validierung die Vertrauenswürdigkeit festge¬ stellt. Ferner kann eine Netzwerkkonfiguration wie eine IP- Adresse oder eine IP-Routinginformation oder eine Gerätekonfigurationsinformation analysiert werden. Ferner kann eine Gerätesoftwareversion verwendet werden, um die erweiterte Va¬ lidierung durchzuführen. Ferner können GPS-basierte Positionsinformationen oder Ortsinformationen, welche über die Information von benutzten Accesspoints oder Basisstationen oder Beacons in die Einschätzung der Vertrauenswürdigkeit einge- hen. So genannte seif-integrity attestations oder self- integrity check messages können ebenso vorteilhaft verwendet werden wie Information über den Verlauf von Power-on- Selbsttests oder kontinuierlichen Selbsttests. Schließlich sind auch so genannten Liveliness-Daten, insbesondere zur Bestätigung, ob das Gerät hochgefahren ist und läuft, sinnvoll zu verwerten ebenso wie GerätelaufZeitinformationen, wie beispielsweise Prozessabläufe, CPU-Auslastung, Speicherverbrauch oder Kommunikationsauslastung.
Gemäß einer Ausgestaltung werden die Geräteüberwachungsdaten dem Backendsystems kryptographisch geschützt bereitgestellt. Beispielsweise werden Message Authentication Code-Verfahren oder digitale Signaturverfahren oder kryptographische Attes- tations genutzt. Diese kryptographisch geschützten Informati¬ onen können entweder auf dem Nachrichtenlevel selbst ge¬ schützt werden oder über einen kryptographisch geschützten Kommunikationskanal geschützt übermittelt werden. Gemäß einer Ausgestaltung wird die Authentifizierung auf
Grundlage der Einschätzung der Vertrauenswürdigkeit des Gerä¬ tes während eines Netzwerkzugangsvorganges durchgeführt. So kann auf vorteilhafte Weise zu ausgewählten Zeitpunkten eine erweiterte Validierung durchgeführt werden, um eine erweiterte Geräteauthentifizierung sicherzustellen, bevor beispielsweise das Gerät eine Verbindung zu einer Backenddatenbank herstellen kann oder bevor Daten von dem Gerät oder hin zu dem Gerät übermittelt werden. Beispielsweise kann bei einer gescheiterten erweiterten Validierung die erweiterte Geräte- authentifizierung nicht bestätigt werden, ein Zugang des Gerätes zu einem Device Management Service über die Netzwerk¬ schnittstelle allerdings zugelassen werden, insbesondere um Updates der Gerätekonfiguration, wie beispielsweise
Firmwareupdates oder Securitysoftwareupdates oder Konfigura¬ tionsupdates, vorzunehmen.
Gemäß einer Ausgestaltung wird ein Fehlschlagen der zusätzli- chen Authentifizierung auf Grundlage der Einschätzung der Vertrauenswürdigkeit des Gerätes während des Betriebs dazu benutzt, Reparaturmaßnahmen einzuleiten.
Die Erfindung betrifft ferner eine Backendkomponente zum Ver- bessern einer Geräteauthentifizierung mit Hilfe von Geräteüberwachungsdaten, aufweisend:
- Eine erste Einheit zum Ermitteln von Geräteüberwachungsda¬ ten, wobei die Geräteüberwachungsdaten als Informationen oder Nachweise eines über ein Netzwerk mit den Backend gekoppelten Gerätes oder über ein solches Gerät ausgestaltet sind;
- eine zweite Einheit zum Einschätzen einer Vertrauenswürdig¬ keit des Gerätes anhand der Geräteüberwachungsdaten und mit- tels einer konfigurierbaren Validierungsvorschrift während eines Betriebes des Gerätes;
- eine dritte Einheit zum Ergänzen einer kryptographischen kommunikationsbasierten Authentifizierung durch eine erwei- terte Validierung auf Grundlage der Einschätzung der Vertrauenswürdigkeit des Gerätes. Die Erfindung betrifft ferner ein System zum Verbessern einer Geräteauthentifizierung mit Hilfe von Geräteüberwachungsda¬ ten, aufweisend:
- eine Backend-Komponente gemäß Anspruch 8,
- eine Geräteüberwachungsdatenbank zum Bereitstellen der Ge- räteüberwachungsdaten,
- das mindestens eine Gerät,
- eine Security Komponente zum Durchführen der kryptographi- schen kommunikationsbasierten Authentifizierung.
Die jeweiligen Einheiten und Komponenten können hardwaretechnisch und/oder auch softwaretechnisch implementiert sein. Bei einer hardwaretechnischen Implementierung kann die jeweilige Einheit oder Komponente als Vorrichtung oder als Teil einer Vorrichtung, zum Beispiel als Computer oder als Mikroprozessor ausgebildet sein. Bei einer softwaretechnischen Implementierung kann die jeweilige Einheit oder Komponente als Compu¬ terprogrammprodukt, als eine Funktion, als eine Routine, als Teil eines Programmcodes oder als ausführbares Objekt ausge¬ bildet sein.
Die Erfindung betrifft ferner ein Computerprogrammprodukt mit einem Computerprogramm, das Mittel zur Durchführung des oben beschriebenen Verfahrens aufweist, wenn das Computerprogramm auf einer programmgesteuerten Einrichtung zur Ausführung ge- bracht wird.
Ein Computerprogrammprodukt, wie z.B. ein Computerprogramm- Mittel, kann beispielsweise als Speichermedium, wie z.B.
Speicherkarte, USB-Stick, CD-ROM, DVD, oder auch in Form einer herunterladbaren Datei von einem Server in einem Netzwerk bereitgestellt oder geliefert werden. Dies kann zum Beispiel in einem drahtlosen Kommunikationsnetzwerk durch die Übertragung einer entsprechenden Datei mit dem Computerprogrammpro¬ dukt oder dem Computerprogramm-Mittel erfolgen. Als programm¬ gesteuerte Einrichtung kommt insbesondere eine Steuereinrich¬ tung in Frage. Die Erfindung wird nachfolgend anhand von Ausführungsbeispie¬ len mit Hilfe der Figuren näher erläutert. Es zeigen:
Figur 1 eine schematische Darstellung einer Systemumgebung für Feldgeräte mit einem Backendservice und her¬ kömmlicher Geräteauthentifi zierung;
Figur 2 eine schematische Darstellung einer Systemumgebung für Feldgeräte mit Backendservice und einer erwei- terten Geräteauthentifizierung gemäß einem Ausführungsbeispiel der Erfindung.
In den Figuren sind funktionsgleiche Elemente mit denselben Bezugszeichen versehen, sofern nichts anderes angegeben ist.
Figur 1 zeigt ein Beispiel eines herkömmlichen Systems, in welchem mehrere Feldgeräte Fl, F2, F3, F4, F5 einer Indust¬ rieanlage über ein offenes Netzwerk 100 oder Open Network, beispielsweise ein Büronetzwerk, beispielsweise Internet oder Intranet, mit einem Backendservice 20 verbunden sind. Der Backendservice 20 greift dabei insbesondere auf gesammelte Daten zurück, welche auf einem Server gespeichert werden. Insbesondere werden Datenanalysen durchgeführt, um eine Über¬ wachung der Gerätekomponenten durchzuführen. Dadurch sollen beispielsweise Ausfälle von einzelnen Feldgeräten entdeckt werden. Die Feldgeräte Fl bis F5 authentisieren sich über eine Kommunikationsverbindung, beispielsweise über TLS oder DTLS, und nutzen dabei ihre jeweiligen Geräte-Credentials oder -Kennungen. Es kann sich insbesondere um kryptographi- sehe Schlüssel des Gerätes handeln oder um Gerätezertifikate, die Schlüsselmaterial von einer Zertifizierungsinstanz beglaubigt übermitteln. Einzelne Feldgeräte Fl, F2, F3 können innerhalb eines Automatisierungsnetzwerkes 200 der Industrie¬ anlage angeordnet sein und dort für Aufgaben in einer Automa- tisierungsanlage benutzt werden. Das Automatisierungsnetzwerk 200 ist insbesondere mit einem Büronetzwerk über ein Gateway 10 verbunden. Andere Feldgeräte F4, F5 sind beispielsweise direkt über das offene Netzwerk mit dem Backend verbunden. Beispielsweise handelt es sich um Geräte, die innerhalb der Industrieanlage Daten zu Temperaturbedingungen melden und nicht Bestandteil des gesicherten Automatisierungsnetzwerkes sind .
In Figur 2 ist ebenfalls eine über ein offenes Netzwerk 100 an ein Backendsystem gekoppelte Industrieanlage skizziert. Es ist ein Internet of Things System dargestellt mit Internet of Things oder IoT Geräten 1, 2, 3, 4, 5, welche mit einer IoT- Backendplattform 20 kommunizieren. Die Kopplung erfolgt für einige Geräte 1, 2, 3 eines Automatisierungsnetzwerkes 200 über ein Gateway 10 zum offenen Netzwerk 100. Für andere Geräte 4, 5 erfolgt eine direkte Kopplung, beispielsweise über ein Büronetzwerk, mit der IoT Backendplattform 20. Die Geräte stellen der IoT Backendplattform 20 sogenannte Monitoring Informationen oder Überwachungsinformationen bereit. Diese können Informationen über den Gerätestatus, über Messungen mittels zu den Geräten gehörigen Sensoren usw. enthalten. Diese Informationen werden als Device Monitoring Daten oder Device Monitoring Data auf der Plattform hinterlegt als IoT Geräte¬ überwachungsdaten 1λ, 2λ, 3λ, 4λ, 5λ. Hier können insbesondere zur Optimierung der Industrieanlage Digital Twin Funktio¬ nalitäten durch den Backendservice bereitgestellt werden. So kann eine Vielzahl von Umgebungsinformationen über die Sys- temumgebung eines Gerätes hinterlegt werden, beispielsweise indem das Gerät selbst die Informationen liefert oder indem benachbarte Geräte in die Erfassung der Überwachungsdaten mit einbezogen werden. Es erfolgt eine Authentifizierung einiger oder aller Geräte gegenüber einem Device Security Service 40 in Backend. Der Device Security Service umfasst Informationen über regis¬ trierte Geräte und beispielsweise deren Zugriffsrechte. Dazu wird ein Identitätsmanagement- oder eine Identity and Access Management-Funktionalität 41 verwirklicht. Überdies kann der Device Security Service 40 Geräte-Credentials ausstellen und/oder zurückrufen. Dazu verfügt der Device Security Service 40 über eine Zertifizierungsinstanz oder Certification Authority 42. Insbesondere werden Zertifikate ausgestellt oder Authentifizierungstoken vergeben. Diese kommunikations- basierte Authentifizierung erfolgt beispielsweise nur bei Aufbau einer Verbindung. In Varianten kann auch eine mehrfa- che Authentifizierung über die bestehende Kommunikationsverbindung gefordert werden, um eine anhaltende Integrität der beteiligten Geräte sicherzustellen. Zusätzlich kann nun noch der Betrieb der Geräte überwacht werden und durch einen Device Data Validation Service 30 oder Gerätedatenvalidierungs- service die Integrität einzelner Geräte bestätigt oder ver¬ neint werden. Der Service fordert Informationen über die IoT Geräte aus der IoT Backendplattform 20 an und überprüft die Gültigkeit der Geräteüberwachungsdaten 1λ, 2λ, 3λ, 4λ, 5λ anhand einer Validierungsvorschrift 31.
Das Verhalten einer Hauptfunktionalität oder einer regulären Funktionalität eines Gerätes der überwachten Geräte kann überwacht werden und auf Plausibilität hin geprüft werden. Die Geräte des IoT Systems stellen Überwachungsdaten oder Monitoring oder Statusinformationen in einer herkömmlichen
Industrieanlage ohnehin an das IoT Backendsystem bereit. Der Abgleich der Geräteüberwachungsdaten oder Monitoring Daten im Rahmen des Device Data Validation Service ermöglicht eine Verknüpfung der reinen Geräteüberwachung mit einer Aussage zur Integrität, indem konfigurierbare, insbesondere über die Zeit anpassbare Konfigurationsvorschriften eingehalten werden müssen, damit ein Gerät in einem laufenden Betrieb eines IoT Systems auch fortlaufend als authentifiziert und integer oder unversehrt eingestuft wird. Schlägt eine erweitere Validie- rung anhand der Geräteüberwachungsdaten fehl, so werden Maßnahmen zur Instandsetzung angestoßen. Beispielsweise wird eine Fehlermeldung oder Alarmmeldung ausgegeben, welche auf einem Display eines Dashboards oder einer Anzeigetafel ange¬ zeigt wird. Die Alarmnachricht kann auch in das Set der Gerä- teüberwachungsdaten des jeweiligen Gerätes, welches im IoT Backend verfügbar ist, eingebunden werden. Es können ferner Nachrichten verschickt werden, welche eine IoT Backendplatt¬ form dazu veranlassen, Kommunikationssitzungen mit den be- troffenen IoT Feldgeräten zu beenden. Zugriffsrechte oder Credentials des IoT Feldgerätes können zurückgenommen werden.
Obwohl die Erfindung im Detail durch die Ausführungsbeispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und ande¬ re Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.

Claims

Patentansprüche
1. Verfahren zum Verbessern einer Geräteauthentifizierung mit Hilfe von Geräteüberwachungsdaten;
- wobei als Geräteüberwachungsdaten Informationen oder Nachweise mindestens eines Gerätes oder über mindestens ein Gerät in einem Backend-System bereitgestellt werden;
- wobei eine Einschätzung einer Vertrauenswürdigkeit des Ge¬ rätes anhand der Geräteüberwachungsdaten und mittels einer konfigurierbaren Validierungsvorschrift während eines Betrie¬ bes des Gerätes durchgeführt wird;
- wobei eine kryptographische kommunikationsbasierte Authen¬ tifizierung des Gerätes ergänzt wird durch mindestens eine im Betrieb des Gerätes stattfindende erweiterte Validierung auf Grundlage der Einschätzung der Vertrauenswürdigkeit des Gerä¬ tes .
2. Verfahren nach Anspruch 1, wobei mittels der Validierungsvorschrift eine Plausibilität oder Aktualität oder Gültigkeit der Geräteüberwachungsdaten eingeschätzt wird.
3. Verfahren nach Anspruch 1 oder 2, wobei die Geräteüberwachungsdaten kryptographische Geräteauthentifizierungsinforma- tionen umfassen, welche im Betrieb vom Gerät an das Backend- System gesendet werden.
4. Verfahren nach einem der vorstehenden Ansprüche, wobei die Geräteüberwachungsdaten Sensormesswerte oder Konfigurations¬ werte oder Netzwerkumgebungsinformationen oder Ortsinformationen oder Selbsttestinformationen oder LaufZeitinformationen umfassen .
5. Verfahren nach einem der vorstehenden Ansprüche, wobei die Geräteüberwachungsdaten dem Backend-System kryptographisch geschützt bereitgestellt werden.
6. Verfahren nach einem der vorstehenden Ansprüche, wobei die Authentifizierung auf Grundlage der Einschätzung der Vertrau- enswürdigkeit des Gerätes während eines Netzwerkzugangsvor¬ ganges durchgeführt wird.
7. Verfahren nach einem der vorstehenden Ansprüche, wobei eine fehlschlagende zusätzliche Authentifizierung auf Grundlage der Einschätzung der Vertrauenswürdigkeit des Gerätes während des Betriebes dazu genutzt wird, Reparaturmaßnahmen einzulei¬ ten .
8. Backend-Komponente zum Verbessern einer Geräteauthentifi- zierung mit Hilfe von Geräteüberwachungsdaten, aufweisend:
- eine erste Einheit zum Ermitteln von Geräteüberwachungsda¬ ten, wobei die Geräteüberwachungsdaten als Informationen oder Nachweise mindestens eines über ein Netzwerk mit dem Backend gekoppelten Gerätes oder über mindestens ein solches Gerät ausgestaltet sind;
- eine zweite Einheit zum Einschätzen einer Vertrauenswürdig¬ keit des Gerätes anhand der Geräteüberwachungsdaten und mit¬ tels einer konfigurierbaren Validierungsvorschrift während eines Betriebes des Gerätes;
- eine dritte Einheit zum Ergänzen einer kryptographischen kommunikationsbasierten Authentifizierung durch eine Authentifizierung auf Grundlage der Einschätzung der Vertrauenswürdigkeit des Gerätes.
9. System zum Verbessern einer Geräteauthentifizierung mit Hilfe von Geräteüberwachungsdaten, aufweisend:
- eine Backend-Komponente gemäß Anspruch 8,
- eine Geräteüberwachungsdatenbank zum Bereitstellen der Ge- räteüberwachungsdaten,
- das mindestens eine Gerät,
- eine Security Komponente zum Durchführen der kryptographischen kommunikationsbasierten Authentifizierung.
10. Computerprogrammprodukt mit einem Computerprogramm, das Mittel zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 7 aufweist, wenn das Computerprogramm auf einer programmgesteuerten Einrichtung zur Ausführung gebracht wird.
PCT/EP2017/060198 2016-05-13 2017-04-28 Verbessern einer geräteauthentifizierung mit hilfe von geräteüberwachungsdaten WO2017194332A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102016208284.1 2016-05-13
DE102016208284.1A DE102016208284A1 (de) 2016-05-13 2016-05-13 Verbessern einer Geräteauthentifizierung mit Hilfe von Geräteüberwachungsdaten

Publications (1)

Publication Number Publication Date
WO2017194332A1 true WO2017194332A1 (de) 2017-11-16

Family

ID=58668878

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2017/060198 WO2017194332A1 (de) 2016-05-13 2017-04-28 Verbessern einer geräteauthentifizierung mit hilfe von geräteüberwachungsdaten

Country Status (2)

Country Link
DE (1) DE102016208284A1 (de)
WO (1) WO2017194332A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110336773A (zh) * 2019-04-16 2019-10-15 山东工商学院 IoT设备数据的可信性保障系统、验证方法及存储介质

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3599567A1 (de) * 2018-07-25 2020-01-29 Siemens Aktiengesellschaft Vorrichtung und verfahren für eine integritätsüberprüfung einer oder mehrerer gerätekomponenten
EP3709107A1 (de) 2019-03-14 2020-09-16 Siemens Aktiengesellschaft Verfahren und system zur überwachung der integrität eines automatisierungssystems

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130305340A1 (en) * 2012-05-14 2013-11-14 Cisco Technology, Inc. Integrity monitoring to detect changes at network device for use in secure network access
US20150237038A1 (en) * 2014-02-18 2015-08-20 Secureauth Corporation Fingerprint based authentication for single sign on
US20160099969A1 (en) * 2014-10-06 2016-04-07 The Boeing Company Enforcing policy compliance on a device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130305340A1 (en) * 2012-05-14 2013-11-14 Cisco Technology, Inc. Integrity monitoring to detect changes at network device for use in secure network access
US20150237038A1 (en) * 2014-02-18 2015-08-20 Secureauth Corporation Fingerprint based authentication for single sign on
US20160099969A1 (en) * 2014-10-06 2016-04-07 The Boeing Company Enforcing policy compliance on a device

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110336773A (zh) * 2019-04-16 2019-10-15 山东工商学院 IoT设备数据的可信性保障系统、验证方法及存储介质
CN110336773B (zh) * 2019-04-16 2021-09-03 山东工商学院 IoT设备数据的可信性保障系统、验证方法及存储介质

Also Published As

Publication number Publication date
DE102016208284A1 (de) 2017-11-16

Similar Documents

Publication Publication Date Title
EP3488556B1 (de) Sicheres konfigurieren eines gerätes
DE10393456B4 (de) Verkapselung einer TCPA-vertrauenswürdigen Plattformmodulfunktionalität innerhalb eines Server-Management-Coprozessor-Subsystems
EP2936259B1 (de) Aktualisieren eines digitalen geräte-zertifikats eines automatisierungsgeräts
DE102015214267A1 (de) Verfahren und System zum Erzeugen eines sicheren Kommunikationskanals für Endgeräte
EP3951516A1 (de) System und verfahren zum verifizieren von komponenten eines industriellen kontrollsystems
WO2017194332A1 (de) Verbessern einer geräteauthentifizierung mit hilfe von geräteüberwachungsdaten
WO2017121602A1 (de) Verfahren zur überprüfung einer sicherheitseinstufung eines ersten geräts mit hilfe eines digitalen zertifikats, ein erstes und zweites gerät sowie eine zertifikat-ausstellungsvorrichtung
EP2842291A1 (de) Authentifizierung eines ersten gerätes durch eine vermittlungsstelle
EP3251012A1 (de) Prüfsystem zur prüfung eines computers eines computersystems in einem prüfnetzwerk
DE102021127624A1 (de) Sichere bereitstellung der identität des basisboard-management-controllers einer plattform
EP3695337B1 (de) Verfahren und bestätigungsvorrichtung zur integritätsbestätigung eines systems
EP3111609A1 (de) Verwendung von zertifikaten mittels einer positivliste
DE112014004611T5 (de) Steuersystem und Authentifikationsvorrichtung
EP2191407A2 (de) Verfahren zum prüfen einer auf einer ersten einrichtung auszuführenden oder zu installierenden version eines softwareproduktes
EP3832508B1 (de) Sperrung oder widerruf eines gerätezertifikats
DE102018132979A1 (de) Abgesichertes und intelligentes Betreiben einer Ladeinfrastruktur
EP3279821A1 (de) Verfahren und anordnung zur authentifizierung eines benutzers für die nutzung einer mehrzahl anwendungen oder dienste in einem computernetzwerk
WO2013117421A1 (de) Verfahren zur initialisierung eines speicherbereichs, welcher einem smart-meter zugeordnet ist
EP4179758B1 (de) Authentisierung eines kommunikationspartners an einem gerät
WO2016156207A1 (de) Verfahren zum überwachen einer netzwerkkomponente sowie anordnung mit einer netzwerkkomponente und einer überwachungs-einrichtung
WO2017076774A1 (de) Verfahren zur übergabe von zumindest einem übergabewert, verfahren zur übergabe zumindest eines übergabewerts von einem ersten programm an ein zweites programm, verfahren zur überprüfung der funktionstüchtigkeit eines programms und überprüfungseinheiten für diese verfahren
WO2023194051A1 (de) Ausbilden einer kryptographisch geschützten verbindung
DE102021125851A1 (de) Problemmanagement in einem benutzersystem
DE10215746B4 (de) Verfahren und Anordnung sowie Computerprogramm mit Programmcode-Mitteln und Computerprogramm-Produkt zur Autorisierung eines mobilen Agenten in einem Kommunikationsnetz
EP3758320A1 (de) Geräte und verfahren zum überprüfen von geräten

Legal Events

Date Code Title Description
NENP Non-entry into the national phase

Ref country code: DE

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17721114

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 17721114

Country of ref document: EP

Kind code of ref document: A1