WO2019029868A1 - Method for testing the integrity of components of a system, and arrangement for carrying out the method - Google Patents

Method for testing the integrity of components of a system, and arrangement for carrying out the method Download PDF

Info

Publication number
WO2019029868A1
WO2019029868A1 PCT/EP2018/065288 EP2018065288W WO2019029868A1 WO 2019029868 A1 WO2019029868 A1 WO 2019029868A1 EP 2018065288 W EP2018065288 W EP 2018065288W WO 2019029868 A1 WO2019029868 A1 WO 2019029868A1
Authority
WO
WIPO (PCT)
Prior art keywords
fingerprint
load
degree
dependent temperature
reference information
Prior art date
Application number
PCT/EP2018/065288
Other languages
German (de)
French (fr)
Inventor
Rainer Falk
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2019029868A1 publication Critical patent/WO2019029868A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3058Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3089Monitoring arrangements determined by the means or processing involved in sensing the monitored data, e.g. interfaces, connectors, sensors, probes, agents
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Definitions

  • the present invention relates to a method for checking the integrity of system components of a system according to the preamble of claim 1.
  • the present invention further meets be ⁇ for performing the method an arrangement according to preamble of claim. 4
  • a correct function is of the utmost importance. This applies in particular to safety-critical control systems such as, for example, control systems for railway automation, energy network automation, factory automation or process automation.
  • control systems are often implemented with the use of technologies that come from the field of education Informa ⁇ tion technology or the electronic technology for general consumers. Therefore, there is a risk that a system component used for, for example control systems for the Step Example automation, for example, for a control unit, an embedded electronic system or unit, for the power of the things (Internet of Things (IoT), so-called all networks) has a malfunction be ⁇ intentionally manipulated.
  • IoT Internet of Things
  • - Verified Boot It can be a tamper-resistant Bestä ⁇ account the provided loaded software / firmware; - runtime monitoring: checking the integrity of files of a file system, checking the running processes;
  • a control system unit such case ⁇ play a housing has a seal or a seal. Because ⁇ by a physical manipulation can be detected; - Active Tamperschutz: sensors detect a physical manipulation, for example, a housing switch, a drilling ⁇ protective film, a light sensor or radiation sensor. In a tamper event stored key data is ge ⁇ extinguished.
  • safety monitor circuits which, for example, have main processors and the software executions. monitor on the main processors. In particular, they can perform tests against fixed test patterns and compare the results of two independent executions.
  • a disclosure of such a monitoring monitor can be found, for example, on the Internet at the Internet address:
  • This component detects under- and over-voltage in the power supply of used processors and initiates a reset if necessary;
  • This component compares two data variable for equality that are generated within a festgeleg ⁇ th period;
  • Monitor system with defined work patterns for controlling occurring critical workflows with predefined execution budget
  • System Shutdown System Shutdown.
  • three levels of time-out system shutdown enable flexible shutdown sequences.
  • the object of the present invention starting from a method of the aforementioned type, is to provide a method which makes it possible to check the integrity of system components of a system, such as, for example, a control system for, for example, automation.
  • Object of the present invention is further, starting from an arrangement of the type mentioned above to provide an arrangement with which said method is feasible.
  • this object is achieved according to the invention with a method having the method steps indicated in the characterizing part of claim 1.
  • this object is achieved by an arrangement having the features specified in the characterizing part of claim 4.
  • the inventive method then includes the procedure ⁇ steps of:
  • the method according to the invention enables the secure checking of the integrity of system components, for example of a control system for, for example, automations.
  • Advantageous embodiments of the method according to the invention are the subject of subclaims.
  • the method according to the invention has, for example, the method step:
  • This step allows the underlying system to first try to get back into regular functional operation before taking further action.
  • the method step is carried out:
  • Temperature fingerprint and cross-checked Referenzinformatio ⁇ NEN at the latest after a predetermined period of time is a result that is outside the specified tolerance range for the degree of agreement.
  • This step allows reaction insbesonde ⁇ re when the integrity of a tested system component no longer exists and the system is at least a specified differently bene time even able to return to a safe operating function.
  • the arrangement has the following technical ⁇ rule means: a monitoring monitor for detecting a load-dependent temperature fingerprint in the integrity-checking system component of the system, and
  • Control system for, for example, automation.
  • Advantageous embodiments of the arrangement according to the invention are the subject of dependent claims.
  • technical means comprise in the integrity system under test component, at least one tempera ture ⁇ sensor.
  • technical means for outputting the system are provided in a manner affecting control signals to system components of the system for carrying out reactive measures to ensure that the inspected for integrity Systemkom ⁇ component of the system at least ultimately produces a load-dependent temperature-fingerprint, whose degree of correspondence against the reference information is a result that is within a predetermined tolerance range for the degree of such match.
  • the measures according to the invention are advantageously with usual commercial components, for example with compo ⁇ nents that under the terms: on FPGA, system chips, CPUs, microcontrollers and so on are known simply realized. Furthermore, even existing temperature sensors and processing options can be used.
  • the invention can be retrofitted by a firmware / software upgrade to legacy systems.
  • the present invention is particularly applicable to a Prozes ⁇ sorappel such as a CPU, a microcontroller, an FPGA, a system on chip, an ASIC, and so forth.
  • a Prozes ⁇ sorappel such as a CPU, a microcontroller, an FPGA, a system on chip, an ASIC, and so forth.
  • There are physical manipulations recognizable such as opening the housing of a processor unit, for example as a semiconductor device, an electronic assembly, for example, as a molded assembly or with a Coating protected assembly, a corresponding board or thermally coupled heat sink.
  • the invention is based on the fact that processor units used today have temperature sensors. These are used, for example, for adaptive cooling, for example
  • Fan controller used to make a short-term, temporary overclocking without overheating possible or for diagnosis to monitor the temperature of the environment or on the chip.
  • the temperature depends on the computing load.
  • the temperature profile of, for example, a processor unit is detected and compared with reference information.
  • an error signal may be immediately or after a predetermined time, for examplezie ⁇ represents. It may, for example, an alarm message ge ⁇ log or provided or it can be deleted specific cryptographic key, or the device can underlying completely or partially, that is in Sectionfunktio ⁇ NEN, are blocked.
  • the computing load can be modulated with a spreading code method. This makes it possible to separate the effect of the test load from other influences.
  • the spreading code used can be generated cryptographically.
  • the one or more temperature sensors can be present explicitly and can be read out, for example, via a register.
  • the joy of a digital tal realized oscillator are evaluated in order to conclude on the temperature or the temperature profile ⁇ Shen.
  • the temperature of the processor unit is measured by a field of connected, for example, on the housing glued temperature sensors or optically by means of a thermal imaging camera. It is possible to realize the invention by a planteleitpad containing the corresponding sensors and Ausncelogik. This can be glued to the processor unit.
  • the analysis of the temperature profile can be carried out in the Jerusalem coin ⁇ standardized itself, in a separate system component ei ⁇ nes automation device such as in a so- ⁇ called Security controller or in a back-end system, for example in the so-called cloud.
  • a separate system component ei ⁇ nes automation device such as in a so- ⁇ called Security controller or in a back-end system, for example in the so-called cloud.
  • Figure 1 shows a first embodiment of the invention shown SEN method
  • Figure 3 shows an embodiment of an inventive arrangement in a schematic representation.
  • 1 is a first schematic flow of the inventive method is in the form of a flow chart to se ⁇ hen.
  • the detection 2 of a load-dependent temperature fingerprint takes place in the case of the system component of the system to be tested for in ⁇ tity.
  • ⁇ .d a system checked 3 and 4 evaluating the detected load-dependent temperature fingerprints against the reference Informa ⁇ functions under determining a degree of 5 is carried out 6 to correspondence between a load-dependent temperature-fingerprint and gegenge ⁇ examined reference information.
  • the determined degree 6 is checked for correspondence between load-dependent temperature fingerprint and counter-verified reference information.
  • the procedure comes to an end 9.
  • FIG 2 shows in greater detail, may include in a manner affecting control signals to system components of the system to the reactive measures 8 for example, the output 10 of the system that the checked for integrity Systemkompo ⁇ component of the system at least ultimately produces a load-dependent temperature fingerprint whose degree is a result of Convention Stim ⁇ mung against the reference information, which is within the predetermined tolerance range for the degree of agreement.
  • eight subsequent query step can be controlled 11 in a reactive measures whether the reactive level ⁇ took led 8 a success.
  • the method returns, for example, to a point at which the method according to the invention again proceeds as planned. is performed, if necessary again tolerance deviations occur.
  • the reactive measures 8 may optionally be checked in a query step 12 whether a predetermined time lapse has elapsed for the achievement of a success by, for example, the above reactive measures 8. If no such time lapse has yet occurred, it can be further attempted with the above-mentioned reactive measures 8, for example, to bring the underlying system into a safe state. If such a timing has occurred, for example, an output 13 of an alarm signal as a reactive measure 8 suc ⁇ conditions.
  • a single alarm signal can be used instead of trying to get through appropriate reactive measures 8 the underlying systemsstän ⁇ dig again in a safe state, equal GR motifss be output.
  • Output of multiple alarm signals for example, a stage ⁇ scenario of urgency can be realized.
  • the arrangement 14 according to the invention shown in Figure 3 has technical means 15, which are in the realized by a monitoring ⁇ monitor 16 for detecting 2 of a load-dependent temperature fingerprints integrity to be tested Systemkompo ⁇ component of an underlying system. Further , this arrangement has technical means 17 for checking 3 and evaluating 4 the recorded load-dependent temperature
  • the technical means 15 for detecting 2 of the load-dependent temperature fingerprints in the integrity system under test component further includes at least one temperature sensor Tem ⁇ 18th

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Testing Or Calibration Of Command Recording Devices (AREA)
  • Testing Of Devices, Machine Parts, Or Other Structures Thereof (AREA)

Abstract

The invention relates to a method for testing the integrity of system components of a system and to an arrangement for carrying out the method. In accordance with the method a load-dependent temperature fingerprint of the system component of the system for which the integrity is to be tested is detected (2) and is checked (3) and evaluated (4) so as to determine (5) the level (6) of conformity between the load-dependent temperature fingerprint and cross-checked reference information. This is repeated until the determined level (6) of conformity is a result that lies within a predefined tolerance range for the level (6) of conformity. If the result of the determined level (6) of conformity lies outside the predefined tolerance range, reactive measures (8) for eliminating the unsafe system state are performed. The arrangement for carrying out the method comprises appropriate technical means.

Description

Beschreibung description
VERFAHREN ZUM PRÜFEN DER INTEGRITÄT VON KOMPONENTEN EINES SYSTEMS UND ANORDNUNG ZUR DURCHFÜHRUNG DES VERFAHRENS METHOD FOR CHECKING THE INTEGRITY OF COMPONENTS OF A SYSTEM AND ARRANGEMENT FOR PERFORMING THE PROCESS
Die vorliegende Erfindung betrifft ein Verfahren zum Prüfen der Integrität von Systemkomponenten eines Systems gemäß dem Oberbegriff des Anspruchs 1. Die vorliegende Erfindung be¬ trifft weiter zur Durchführung des Verfahrens eine Anordnung gemäß dem Oberbegriff des Anspruchs 4. The present invention relates to a method for checking the integrity of system components of a system according to the preamble of claim 1. The present invention further meets be ¬ for performing the method an arrangement according to preamble of claim. 4
In zum Beispiel Automatisierungssystemen ist eine korrekte Funktion von höchster Wichtigkeit. Dies gilt insbesondere in sicherheitskritischen Steuerungssystemen wie zum Beispiel Steuerungssystemen für Bahnautomatisierungen, Energienetzautomatisierungen, Fertigungsautomatisierungen oder Prozessautomatisierungen . In automation systems, for example, a correct function is of the utmost importance. This applies in particular to safety-critical control systems such as, for example, control systems for railway automation, energy network automation, factory automation or process automation.
Die für solche zum Beispiel Steuerungssysteme eingesetzten Systemkomponenten werden häufig unter Nutzung von Technologien realisiert, die aus dem Gebiet der allgemeinen Informa¬ tionstechnik beziehungsweise der elektronischen Technik für allgemeine Verbraucher stammen. Daher besteht die Gefahr, dass eine für zum Beispiel Steuerungssysteme für zum Beispie Automatisierungen eingesetzte Systemkomponente zum Beispiel für ein Steuergerät, ein eingebettetes Elektroniksystem oder eine Einheit für das Netz der Dinge (Internet of Things (IoT) , sogenannte Allesnetze) eine Fehlfunktion aufweist be¬ ziehungsweise absichtlich manipuliert ist. The system components used for such as control systems are often implemented with the use of technologies that come from the field of education Informa ¬ tion technology or the electronic technology for general consumers. Therefore, there is a risk that a system component used for, for example control systems for the Step Example automation, for example, for a control unit, an embedded electronic system or unit, for the power of the things (Internet of Things (IoT), so-called all networks) has a malfunction be ¬ intentionally manipulated.
Es besteht daher ein Bedarf an Schutzmaßnahmen, um eine Fehl funktion beziehungsweise eine Manipulation betreffender Systemkomponenten zum Beispiel solchen für Automatisierungssys¬ teme zu erschweren. There is therefore a need for protective measures to a faulty function or make it more difficult, for example, those for Automatisierungssys ¬ systems manipulation of respective system components.
Zum Schutz der Integrität solcher betreffender Systemkomponenten sind bereits unterschiedliche Technologien bekannt: - Secure Boot: Es wird nur korrekt signierte Soft¬ ware/Firmware geladen. Dazu wird ein Hash-Wert oder die digi¬ tale Signatur geladener Software/Firmware überprüft; Different technologies are already known to protect the integrity of such system components: - Secure Boot: Only correctly signed software / firmware will be loaded. For this, a hash value or digi ¬ tale signature charged software / firmware is checked;
- Trusted Boot: Abhängig von geladener Software und deren Measurements , das heißt deren Hash-Werte geladener Software¬ module, wird der Zugriff auf einen kryptographischen Schlüssel freigegeben; - Trusted Boot: Depending on software loaded and their Measurements, that is the hash values of software downloaded ¬ module that provides access to a cryptographic key is released;
- Verified Boot: Es kann eine manipulationsgeschützte Bestä¬ tigung der geladenen Software/Firmware bereitgestellt werden; - Laufzeitüberwachung : Prüfung der Integrität von Dateien eines Dateisystems, Prüfen der laufenden Prozesse; - Verified Boot: It can be a tamper-resistant Bestä ¬ account the provided loaded software / firmware; - runtime monitoring: checking the integrity of files of a file system, checking the running processes;
- Tamper-Siegel : Eine Steuerungssystemeinheit wie zum Bei¬ spiel ein Gehäuse weist ein Siegel oder eine Plombe auf. Da¬ durch kann eine physikalische Manipulation erkannt werden; - Aktiver Tamperschutz : Sensoren erkennen eine physikalische Manipulation zum Beispiel eines Gehäuseschalters, einer Bohr¬ schutzfolie, eines Lichtsensors oder Strahlungssensors. Bei einem Tamper-Ereignis werden gespeicherte Schlüsseldaten ge¬ löscht . - Tamper Seal: A control system unit such case ¬ play a housing has a seal or a seal. Because ¬ by a physical manipulation can be detected; - Active Tamperschutz: sensors detect a physical manipulation, for example, a housing switch, a drilling ¬ protective film, a light sensor or radiation sensor. In a tamper event stored key data is ge ¬ extinguished.
Weiterhin ist ein so genanntes „Power Fingerprinting" zur Erkennung manipulierter Systemkomponenten bekannt. Dabei wird der Stromverbrauch einer Systemkomponente analysiert und mit einem Referenzstromverbrauchsprofil verglichen, um eine Fehl- funktion oder eine Manipulation durch zum Beispiel Schadsoftware zu erkennen und geeignete reaktive Maßnahmen wie zum Beispiel Abschalten einer maßgebenden Stromversorgung durchzuführen. Solche Lösungen sind kommerziell verfügbar, aber sehr aufwendig. Ein Einsatz erfolgt daher nur in Einsatzumge- bungen mit extrem hohen Sicherheitsanforderungen, zum Beispiel im Behördenumfeld. Eine Offenbarung für ein solches „Power Fingerprinting" findet sich zum Beispiel im Internet unter der Internet-Adresse: Furthermore, a so-called "Power Fingerprinting" for the detection of manipulated system components is known in which the power consumption of a system component is analyzed and compared with a reference power consumption profile to detect a malfunction or manipulation by, for example, malware and appropriate reactive measures such as shutdown Such solutions are commercially available but very expensive, so they can only be used in environments with extremely high security requirements, for example in the field of public authorities, for example a disclosure of such "power fingerprinting" can be found on the Internet the internet address:
http://www.powerfingerprinting.com/technololgy.html, und in der Offenlegungsschrift: WO 2012/061663 A2. http://www.powerfingerprinting.com/technololgy.html, and in the published patent application: WO 2012/061663 A2.
Ferner sind so genannte Safety-Monitor Schaltkreise bekannt, die zum Beispiel Hauptprozessoren und die Softwareausführun- gen auf den Hauptprozessoren überwachen. Sie können insbesondere Tests gegenüber festen Testmustern durchführen sowie Ergebnisse zweier unabhängiger Ausführungen vergleichen. Eine Offenbarung eines solchen Überwachungsmonitors findet sich zum Beispiel im Internet unter der Internet-Adresse: Furthermore, so-called safety monitor circuits are known which, for example, have main processors and the software executions. monitor on the main processors. In particular, they can perform tests against fixed test patterns and compare the results of two independent executions. A disclosure of such a monitoring monitor can be found, for example, on the Internet at the Internet address:
https : //www . infineon . com/dgdl/Safety-Computing-Platform- XC2300-CIC61508-Product-https: // www. infineon. com / dgdl / Safety Computing Platform XC2300-CIC61508 Product
Brief .pdf?fOlderld=db3a304317a748360117f45a9c863e84&fileld=db 3a3043353fdcl6013543303497315d. Letter .pdf? F0ldld = db3a304317a748360117f45a9c863e84 & fileld = db 3a3043353fdcl6013543303497315d.
Wesentliche Funktionskomponenten solcher Safety-Monitore sind : Essential functional components of such safety monitors are:
- Internal Test Scheduler/Sequencer : Diese Komponente gene¬ riert Sequenzen von Testaufrufen mit spezifizierten Daten und prüft das Ergebnis gegen feste Testmuster ab; - Internal Test Scheduler / Sequencer: These component genes ¬ riert sequences of test calls with specified data and checks the result against solid from the test pattern;
- Supply Voltage Monitor: Diese Komponente erkennt Unter- und Überspannung in der Stromversorgung eingesetzter Prozessoren und veranlasst einen Reset, wenn notwendig;  - Supply Voltage Monitor: This component detects under- and over-voltage in the power supply of used processors and initiates a reset if necessary;
- Data Verification Unit: Diese Komponente vergleicht zwei Datenvariable auf Gleichheit, die innerhalb einer festgeleg¬ ten Zeitspanne erzeugt sind; - Data Verification Unit: This component compares two data variable for equality that are generated within a festgeleg ¬ th period;
- Task Monitor: Monitorsystem mit definierten Arbeitsschemata zum Kontrollieren auftretender kritischer Arbeitsabläufe mit vordefinierten Ausführungsetats ;  - Task Monitor: Monitor system with defined work patterns for controlling occurring critical workflows with predefined execution budget;
- System Shutdown: Systemabschaltung. Zum Beispiel drei Stufen der zeitlichen Systemabschaltung ermöglichen flexible Abschaltfolgen . - System Shutdown: System Shutdown. For example, three levels of time-out system shutdown enable flexible shutdown sequences.
Weiterhin sind Beschichtungsmaterialien, so genannte Furthermore, coating materials, so-called
Coatings, für elektronische Schaltungen bekannt. Coatings, known for electronic circuits.
Aufgabe der vorliegenden Erfindung ist, ausgehend von einem Verfahren der eingangs genannten Art, ein Verfahren anzugeben, das ein Prüfen der Integrität von Systemkomponenten ei- nes Systems wie zum Beispiel eines Steuerungssystems für zum Beispiel Automatisierungen möglich ist. Aufgabe der vorliegenden Erfindung ist weiter, ausgehend von einer Anordnung der eingangs genannten Art eine Anordnung anzugeben, mit der das genannte Verfahren durchführbar ist. The object of the present invention, starting from a method of the aforementioned type, is to provide a method which makes it possible to check the integrity of system components of a system, such as, for example, a control system for, for example, automation. Object of the present invention is further, starting from an arrangement of the type mentioned above to provide an arrangement with which said method is feasible.
Bezüglich des Verfahrens wird diese Aufgabe erfindungsgemäß mit einem Verfahren gelöst, das die im Kennzeichen des Anspruchs 1 angegebenen Verfahrensschritte aufweist. Bezüglich der Anordnung wird diese Aufgabe erfindungsgemäß durch eine Anordnung gelöst, die die im Kennzeichen des Anspruchs 4 angegebenen Merkmale aufweist. With regard to the method, this object is achieved according to the invention with a method having the method steps indicated in the characterizing part of claim 1. With regard to the arrangement, this object is achieved by an arrangement having the features specified in the characterizing part of claim 4.
Das erfindungsgemäße Verfahren weist danach die Verfahrens¬ schritte auf: The inventive method then includes the procedure ¬ steps of:
- Erfassen eines lastabhängigen Temperatur-Fingerprints bei der auf Integrität zu prüfenden Systemkomponente des Systems- Detecting a load-dependent temperature fingerprint in the health system component to be tested for integrity
- Abprüfen und Auswerten des erfassten lastabhängigen Temperatur-Fingerprints gegen Referenzinformationen unter Ermitteln eines Grades an Übereinstimmung zwischen lastabhängigem Temperatur-Fingerprint und gegengeprüften Referenzinformatio nen, - checking and evaluating the detected load-dependent temperature fingerprint against reference information, determining a degree of correspondence between load-dependent temperature fingerprint and counter-verified reference information,
- Wiederholen des Erfassens des lastabhängigen Temperatur- Fingerprints und des Abprüfens und Auswertens des erfassten lastabhängigen Temperatur-Fingerprints gegen Referenzinforma tionen unter Ermitteln eines Grades an Übereinstimmung zwischen lastabhängigem Temperatur-Fingerprint und gegengeprüf¬ ten Referenzinformationen, solange der ermittelte Grad an Übereinstimmung ein Ergebnis ist, das innerhalb eines vorge¬ gebenen Toleranzbereichs für den Grad an Übereinstimmung liegt, und - repeating the detection of the load-dependent temperature fingerprints and Abprüfens and evaluating the detected load-dependent temperature fingerprints against the reference Informa tion under determining a degree of correlation between load-dependent temperature-fingerprint and gegengeprüf ¬ th reference information as long as the level determined is of agreement a result, that is within a pre-¬ given tolerance range of the degree of match, and
- Durchführen reaktiver Maßnahmen, wenn der ermittelte Grad an Übereinstimmung ein Ergebnis ist, das außerhalb des vorge gebenen Toleranzbereichs für den Grad an Übereinstimmung liegt .  - Performing reactive actions if the determined degree of agreement is a result that is outside the specified tolerance range for the degree of agreement.
Das erfindungsgemäße Verfahren ermöglicht das sichere Prüfen der Integrität von Systemkomponenten zum Beispiel eines Steuerungssystems für zum Beispiel Automatisierungen. Vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens sind Gegenstand von Unteransprüchen. The method according to the invention enables the secure checking of the integrity of system components, for example of a control system for, for example, automations. Advantageous embodiments of the method according to the invention are the subject of subclaims.
Danach weist das erfindungsgemäße Verfahren zum Beispiel den Verfahrensschritt auf: Thereafter, the method according to the invention has, for example, the method step:
- Ausgeben von das System in einer Weise beeinflussenden Steuersignalen an Systemkomponenten des Systems als reaktive Maßnahme, dass die auf Integrität geprüfte Systemkomponente des Systems zumindest letztlich einen lastabhängigen Temperatur-Fingerprint erzeugt, dessen Grad an Übereinstimmung gegen die Referenzinformationen ein Ergebnis ist, das innerhalb des vorgegebenen Toleranzbereichs für den Grad an Übereinstimmung liegt . Outputting control signals influencing the system to system components of the system as a reactive measure, that the integrity-tested system component of the system at least ultimately generates a load-dependent temperature fingerprint whose degree of agreement with the reference information is a result that is within the specified one Tolerance range for the degree of agreement.
Dieser Verfahrensschritt ermöglicht es dem zugrunde liegenden System, zunächst einmal selbst zu versuchen, sich wieder in einen regulären Funktionsbetrieb zu bringen, bevor weitere Maßnahmen getroffen werden. This step allows the underlying system to first try to get back into regular functional operation before taking further action.
Bei einer anderen vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens wird der Verfahrensschritt durchgeführt: In another advantageous embodiment of the method according to the invention, the method step is carried out:
- Ausgeben eines Alarmsignals als reaktive Maßnahme, wenn der ermittelte Grad an Übereinstimmung zwischen lastabhängigen- Issuing an alarm signal as a reactive measure, if the determined degree of agreement between load-dependent
Temperatur-Fingerprint und gegengeprüften Referenzinformatio¬ nen spätestens nach Ablauf einer vorgegebenen Zeitspanne ein Ergebnis ist, das außerhalb des vorgegebenen Toleranzbereichs für den Grad an Übereinstimmung liegt. Temperature fingerprint and cross-checked Referenzinformatio ¬ NEN at the latest after a predetermined period of time is a result that is outside the specified tolerance range for the degree of agreement.
Dieser Verfahrensschritt ermöglicht eine Reaktion insbesonde¬ re dann, wenn die Integrität einer geprüften Systemkomponente nicht mehr gegeben ist und das System zumindest eine vorgege¬ bene Zeit lang nicht selbst in der Lage ist, wieder in einen sicheren Funktionsbetrieb zu gelangen. This step allows reaction insbesonde ¬ re when the integrity of a tested system component no longer exists and the system is at least a specified differently bene time even able to return to a safe operating function.
Die erfindungsgemäße Anordnung weist die folgenden techni¬ schen Mittel auf: - einen Überwachungsmonitor zum Erfassen eines lastabhängigen Temperatur-Fingerprints bei der auf Integrität zu prüfenden Systemkomponente des Systems, und The arrangement has the following technical ¬ rule means: a monitoring monitor for detecting a load-dependent temperature fingerprint in the integrity-checking system component of the system, and
- technische Mittel zum Abprüfen und Auswerten des erfassten lastabhängigen Temperatur-Fingerprints gegen Referenzinforma¬ tionen unter Ermitteln eines Grades an Übereinstimmung zwischen lastabhängigem Temperatur-Fingerprint und gegengeprüf¬ ten Referenzinformationen. Die erfindungsgemäße Anordnung zur Durchführung des erfindungsgemäßen Verfahrens ermöglicht ebenso das sichere Prüfen der Integrität von Systemkomponenten zum Beispiel eines - Technical means for checking and evaluating the detected load-dependent temperature fingerprint against Referenzinforma ¬ tions while determining a degree of agreement between load-dependent temperature fingerprint and gegengeprüf ¬ th reference information. The arrangement according to the invention for carrying out the method according to the invention also makes it possible to reliably check the integrity of system components, for example one
Steuerungssystems für zum Beispiel Automatisierungen. Vorteilhafte Ausgestaltungen der erfindungsgemäßen Anordnung sind Gegenstand von Unteransprüchen. Control system for, for example, automation. Advantageous embodiments of the arrangement according to the invention are the subject of dependent claims.
Danach umfassen die technischen Mittel zum Erfassen des lastabhängigen Temperatur-Fingerprints bei der auf Integrität zu prüfenden Systemkomponente wenigstens einen einzigen Tempera¬ tur-Sensor . Thereafter, for detecting the load-dependent temperature fingerprints technical means comprise in the integrity system under test component, at least one tempera ture ¬ sensor.
Bei einer anderen vorteilhaften Ausgestaltung der erfindungsgemäßen Anordnung sind zur Durchführung reaktiver Maßnahmen technische Mittel zum Ausgeben von das System in einer Weise beeinflussenden Steuersignalen an Systemkomponenten des Systems vorgesehen, dass die auf Integrität geprüfte Systemkom¬ ponente des Systems zumindest letztlich einen lastabhängigen Temperatur-Fingerprint erzeugt, dessen Grad an Übereinstim- mung gegen die Referenzinformationen ein Ergebnis ist, das innerhalb eines vorgegebenen Toleranzbereichs für den Grad an solcher Übereinstimmung liegt. In another advantageous embodiment of the inventive arrangement technical means for outputting the system are provided in a manner affecting control signals to system components of the system for carrying out reactive measures to ensure that the inspected for integrity Systemkom ¬ component of the system at least ultimately produces a load-dependent temperature-fingerprint, whose degree of correspondence against the reference information is a result that is within a predetermined tolerance range for the degree of such match.
Bei einer weiteren vorteilhaften Ausgestaltung der erfin- dungsgemäßen Anordnung sind zur Durchführung reaktiver Maßnahmen technische Mittel für ein Ausgeben wenigstens eines einzigen Alarmsignals in Fällen vorgesehen, in denen der ermittelte Grad an Übereinstimmung zwischen lastabhängigen Tem- peratur-Fingerprint und gegengeprüften Referenzinformationen spätestens nach Ablauf einer vorgegebenen Zeitspanne ein Ergebnis ist, das außerhalb des vorgegebenen Toleranzbereichs für den Grad an Übereinstimmung liegt. In a further advantageous embodiment of the arrangement according to the invention, technical means for outputting at least one single alarm signal are provided for carrying out reactive measures in cases in which the determined degree of agreement between load-dependent elements At the latest after a predetermined period of time has passed, the fingerprint and counter-verified reference information is a result which lies outside the specified tolerance range for the degree of agreement.
Mit Hilfe der erfindungsgemäßen Maßnahmen können unterschiedliche Arten von Manipulationen beziehungsweise Fehlern bei geprüften Systemkomponenten erkannt werden. Zum Beispiel können erkannt werden: With the aid of the measures according to the invention, different types of manipulations or errors in tested system components can be detected. For example, it can be recognized:
- ein geöffnetes Gehäuse eines Halbleiterbausteins durch zum Beispiel ein Aufätzen des Gehäuses; - An open housing of a semiconductor device by, for example, an etching of the housing;
- ein geöffnetes Automatisierungsgerät mit danach nicht mehr wirksamen Kühlkörper, da dieser dann nicht mehr in der glei- chen Art thermisch mit der Prozessoreinheit verbunden ist; an opened automation device with thereafter no longer effective heat sink, since this is then no longer thermally connected in the same way with the processor unit;
- entfernte Vergussmassen oder Wärmeleitpads ; - Removed potting compounds or Wärmeleitpads;
- abgelötete Chips, die nicht mehr auf der vorgesehenen Lei¬ terplatte montiert sind; - soldered chips that are no longer mounted on the provided Lei ¬ terplatte;
- veränderte Software/Firmware/Konfigurationen, die zu ande- ren lastabhängigen Temperatur-Fingerprints geführt haben.  - changed software / firmware / configurations that led to other load-dependent temperature fingerprints.
Die erfindungsgemäßen Maßnahmen sind in vorteilhafter Weise mit im Handel üblichen Komponenten, zum Beispiel mit Kompo¬ nenten, die unter den Begriffen: FPGA, System on Chips, CPUs, MikroController und so weiter bekannt sind, einfach realisierbar. Weiter können auch schon vorhandene Temperatursensoren und Verarbeitungsmöglichkeiten verwendet werden. Die Erfindung kann dadurch durch ein Firmware/Software-Upgrade auch auf Altsystemen nachgerüstet werden. The measures according to the invention are advantageously with usual commercial components, for example with compo ¬ nents that under the terms: on FPGA, system chips, CPUs, microcontrollers and so on are known simply realized. Furthermore, even existing temperature sensors and processing options can be used. The invention can be retrofitted by a firmware / software upgrade to legacy systems.
Die vorliegende Erfindung ist insbesondere auf eine Prozes¬ soreinheit wie zum Beispiel eine CPU, ein Microcontroller, ein FPGA, ein System on Chip, ein ASIC und so weiter anwendbar. Es sind physikalische Manipulationen erkennbar wie zum Beispiel ein Öffnen des Gehäuses einer Prozessoreinheit zum Beispiel als Halbleiterbaustein, einer Elektronikbaugruppe zum Beispiel als eine vergossene Baugruppe oder mit einem Coating geschützte Baugruppe, einer entsprechenden Platine oder thermisch gekoppelter Kühlkörper. The present invention is particularly applicable to a Prozes ¬ soreinheit such as a CPU, a microcontroller, an FPGA, a system on chip, an ASIC, and so forth. There are physical manipulations recognizable such as opening the housing of a processor unit, for example as a semiconductor device, an electronic assembly, for example, as a molded assembly or with a Coating protected assembly, a corresponding board or thermally coupled heat sink.
Die Erfindung geht davon aus, dass heute verwendete Prozes- soreinheiten Temperatursensoren aufweisen. Diese werden zum Beispiel für eine adaptive Kühlung zum Beispiel mit The invention is based on the fact that processor units used today have temperature sensors. These are used, for example, for adaptive cooling, for example
Lüftersteuerung verwendet, um ein kurzfristiges, zeitlich begrenztes Übertakten ohne Überhitzen möglich zu machen oder zur Diagnose zur Überwachung der Temperatur der Umgebung be- ziehungsweise auf dem Chip. Die Temperatur hängt dabei von der Rechenlast ab. Fan controller used to make a short-term, temporary overclocking without overheating possible or for diagnosis to monitor the temperature of the environment or on the chip. The temperature depends on the computing load.
Erfindungsgemäß wird der Temperaturverlauf einer zum Beispiel Prozessoreinheit erfasst und mit einer Referenzinformation verglichen. Bei einer Abweichung kann sofort oder nach einer vorgegebenen Zeit zum Beispiel ein Fehlersignal bereitge¬ stellt werden. Es kann beispielsweise eine Alarmmeldung ge¬ loggt oder bereitgestellt werden oder es können kryptographi- sche Schlüssel gelöscht werden, oder es kann das zugrunde liegende Gerät ganz oder teilweise, das heißt in Teilfunktio¬ nen, gesperrt werden. According to the invention, the temperature profile of, for example, a processor unit is detected and compared with reference information. In a variation, an error signal may be immediately or after a predetermined time, for example bereitge ¬ represents. It may, for example, an alarm message ge ¬ log or provided or it can be deleted specific cryptographic key, or the device can underlying completely or partially, that is in Teilfunktio ¬ NEN, are blocked.
Dazu kann gezielt eine bekannte Rechenlast eingebracht wer¬ den, um den erwarteten Temperaturverlauf einer zu prüfenden Systemkomponente zu überprüfen. Insbesondere kann die Steil¬ heit des Temperaturanstiegs und des Abfalls ausgewertet wer¬ den. In einer Variante kann die Rechenlast mit einem Spreizcodeverfahren moduliert werden. Dies ermöglicht, den Effekt der Testlast von anderen Einflüssen zu separieren. In einer weiteren Variante kann der verwendete Spreizcode kryptogra- phisch erzeugt werden. Es ist jedoch auch möglich, eine ohnehin auftretende Rechenlast auszuwerten. Es kann ein periodi¬ scher Selbsttest durchgeführt werden. Der oder die Temperatursensoren können explizit vorhanden sein und zum Beispiel über ein Register auslesbar sein. In einem programmierbaren Digitalbaustein, einem so genannten FPGA, oder einem ASIC kann weiterhin die Freuenz eines digi- tal realisierten Oszillators ausgewertet werden, um auf die Temperatur beziehungsweise den Temperaturverlauf zu schlie¬ ßen. In einer weiteren Variante wird die Temperatur der Prozessoreinheit durch ein Feld von verbundenen, zum Beispiel auf dem Gehäuse aufgeklebten Temperatursensoren oder optisch mittels einer Wärmebildkamera gemessen. Es ist möglich, die Erfindung durch ein Wärmeleitpad zu realisieren, das die entsprechende Sensorik und Auswertelogik enthält. Dieses kann mit der Prozessoreinheit verklebt sein. These can be introduced ¬ the to check the expected temperature profile of a system component to be tested, targeted a known computational load. In particular, the steep ¬ ness of the temperature rise and fall can be evaluated ¬ to. In a variant, the computing load can be modulated with a spreading code method. This makes it possible to separate the effect of the test load from other influences. In a further variant, the spreading code used can be generated cryptographically. However, it is also possible to evaluate an already occurring computing load. It can be carried out a periodical shear ¬ self-test. The one or more temperature sensors can be present explicitly and can be read out, for example, via a register. In a programmable digital component, a so-called FPGA, or an ASIC, the joy of a digital tal realized oscillator are evaluated in order to conclude on the temperature or the temperature profile ¬ Shen. In a further variant, the temperature of the processor unit is measured by a field of connected, for example, on the housing glued temperature sensors or optically by means of a thermal imaging camera. It is possible to realize the invention by a Wärmeleitpad containing the corresponding sensors and Auswertelogik. This can be glued to the processor unit.
Die Analyse des Temperaturverlaufs kann in der Prozessorein¬ heit selbst erfolgen, in einer separaten Systemkomponente ei¬ nes Automatisierungsgerätes wie zum Beispiel in einem so ge¬ nannten Security Controller oder in einem Backend-System, beispielsweise in der so genannten Cloud. The analysis of the temperature profile can be carried out in the Prozessorein ¬ standardized itself, in a separate system component ei ¬ nes automation device such as in a so-¬ called Security controller or in a back-end system, for example in the so-called cloud.
Nachfolgend wird die Erfindung anhand einer Zeichnung näher erläutert. Darin zeigen: Figur 1 ein erstes Ausführungsbeispiel des erfindungsgemä¬ ßen Verfahrens, The invention will be explained in more detail with reference to a drawing. Therein: Figure 1 shows a first embodiment of the invention shown SEN method
Figur 2 ein zweites Ausführungsbeispiel des erfindungsgemä¬ ßen Verfahrens, und 2 shows a second embodiment of the invention shown SEN method, and
Figur 3 ein Ausführungsbeispiel einer erfindungsgemäßen Anordnung in einer schematischen Darstellung. Figure 3 shows an embodiment of an inventive arrangement in a schematic representation.
In der Figur 1 ist ein erster schematischer Ablauf des erfin- dungsgemäßen Verfahrens in Form eines Ablaufdiagramms zu se¬ hen. Nach einem Start 1 des Verfahrens erfolgt das Erfassen 2 eines lastabhängigen Temperatur-Fingerprints bei der auf In¬ tegrität zu prüfenden Systemkomponente des Systems. Anschlie¬ ßend erfolgt ein Abprüfen 3 und Auswerten 4 des erfassten lastabhängigen Temperatur-Fingerprints gegen Referenzinforma¬ tionen unter Ermitteln 5 eines Grades 6 an Übereinstimmung zwischen lastabhängigem Temperatur-Fingerprint und gegenge¬ prüften Referenzinformationen. In einem nachfolgenden Abfrageschritt 7 wird der ermittelte Grad 6 an Übereinstimmung zwischen lastabhängigem Temperatur- Fingerprint und gegengeprüften Referenzinformationen kontrolliert. Solange der ermittelte Grad 6 an Übereinstimmung ein Ergebnis ist, das innerhalb eines vorgegebenen Toleranzbe¬ reichs für den Grad 6 an Übereinstimmung liegt, wird das Erfassen 2 des lastabhängigen Temperatur-Fingerprints , das Ab¬ prüfen 3 und Auswerten 4 des erfassten lastabhängigen Temperatur-Fingerprints gegen Referenzinformationen unter Ermit- teln 5 des Grades 6 an Übereinstimmung zwischen lastabhängigem Temperatur-Fingerprint und gegengeprüften Referenzinformationen wiederholt. In the figure, 1 is a first schematic flow of the inventive method is in the form of a flow chart to se ¬ hen. After a start 1 of the method, the detection 2 of a load-dependent temperature fingerprint takes place in the case of the system component of the system to be tested for in ¬ tity. Subsequently ¬ ßend a system checked 3 and 4 evaluating the detected load-dependent temperature fingerprints against the reference Informa ¬ functions under determining a degree of 5 is carried out 6 to correspondence between a load-dependent temperature-fingerprint and gegenge ¬ examined reference information. In a subsequent query step 7, the determined degree 6 is checked for correspondence between load-dependent temperature fingerprint and counter-verified reference information. As long as the level of 6 detected is a result of agreement which is within a predetermined Toleranzbe ¬ realm of the level 6 of agreement detecting 2 of the load-dependent temperature fingerprints is that Ab ¬ test 3 and Evaluation 4 of the detected load-dependent temperature fingerprints is repeated against reference information under degree 5 determinations of correspondence between load-dependent temperature fingerprint and counter-verified reference information.
Ist bei dem Abfrageschritt 7 der ermittelte Grad 6 an Über- einstimmung ein Ergebnis, das außerhalb eines vorgegebenen Toleranzbereichs für den Grad 6 an Übereinstimmung liegt, werden reaktive Maßnahmen 8 durchgeführt. Anschließend kommt der Verfahrensablauf zum Ende 9. Wie die Figur 2 näher zeigt, können zu den reaktiven Maßnahmen 8 zum Beispiel das Ausgeben 10 von das System in einer Weise beeinflussenden Steuersignalen an Systemkomponenten des Systems zählen, dass die auf Integrität geprüfte Systemkompo¬ nente des Systems zumindest letztlich einen lastabhängigen Temperatur-Fingerprint erzeugt, dessen Grad an Übereinstim¬ mung gegen die Referenzinformationen ein Ergebnis ist, das innerhalb des vorgegebenen Toleranzbereichs für den Grad an Übereinstimmung liegt. Dabei kann in einem den reaktiven Maßnahmen 8 nachfolgenden Abfrageschritt 11 kontrolliert werden, ob die reaktiven Ma߬ nahmen 8 zu einem Erfolg geführt haben. If, in the interrogation step 7, the determined degree of agreement 6 is a result which lies outside of a predefined tolerance range for the degree 6, reactive measures 8 are carried out. Subsequently, the procedure comes to an end 9. As FIG 2 shows in greater detail, may include in a manner affecting control signals to system components of the system to the reactive measures 8 for example, the output 10 of the system that the checked for integrity Systemkompo ¬ component of the system at least ultimately produces a load-dependent temperature fingerprint whose degree is a result of Convention Stim ¬ mung against the reference information, which is within the predetermined tolerance range for the degree of agreement. Here, eight subsequent query step can be controlled 11 in a reactive measures whether the reactive level ¬ took led 8 a success.
Haben die reaktiven Maßnahmen 8 zu einem Erfolg geführt, das heißt, die vorgegebenen Toleranzen werden wieder eingehalten, springt das Verfahren zum Beispiel zu einem Punkt zurück, ab dem das erfindungsgemäße Verfahren wieder wie geplant durch- geführt wird, bis gegebenenfalls wieder Toleranzabweichungen auftreten . If the reactive measures 8 have led to a success, that is, the prescribed tolerances are again met, the method returns, for example, to a point at which the method according to the invention again proceeds as planned. is performed, if necessary again tolerance deviations occur.
Haben die reaktiven Maßnahmen 8 zu keinem Erfolg geführt, kann gegebenenfalls in einem Abfrageschritt 12 kontrolliert werden, ob ein vorgegebener Zeitablauf für das Erreichen eines Erfolges durch zum Beispiel die obigen reaktiven Maßnahmen 8 eingetreten ist. Ist noch kein solcher Zeitablauf eingetreten, kann weiter mit den zum Beispiel obigen reaktiven Maßnahmen 8 versucht werden, das zugrunde liegende System in einen sicheren Zustand zu bringen. Ist ein solcher Zeitablauf eingetreten, kann zum Beispiel ein Ausgeben 13 eines Alarmsignals als reaktive Maßnahme 8 erfol¬ gen . If the reactive measures 8 have not led to any success, it may optionally be checked in a query step 12 whether a predetermined time lapse has elapsed for the achievement of a success by, for example, the above reactive measures 8. If no such time lapse has yet occurred, it can be further attempted with the above-mentioned reactive measures 8, for example, to bring the underlying system into a safe state. If such a timing has occurred, for example, an output 13 of an alarm signal as a reactive measure 8 suc ¬ conditions.
Andere reaktive Maßnahmen 8 und Konstellationen von reaktiven Maßnahmen 8 sind möglich und denkbar. Other reactive measures 8 and constellations of reactive measures 8 are possible and conceivable.
Zum Beispiel kann an Stelle des Versuchs, durch entsprechende reaktive Maßnahmen 8 das zugrunde liegende System selbststän¬ dig wieder in einen sicheren Zustand zu bringen, gleich we- nigstens ein einziges Alarmsignal ausgegeben werden. DurchFor example, a single alarm signal can be used instead of trying to get through appropriate reactive measures 8 the underlying system selbststän ¬ dig again in a safe state, equal GR nigstens be output. By
Ausgabe mehrerer Alarmsignale kann beispielsweise ein Stufen¬ szenario von Dringlichkeit realisiert werden. Output of multiple alarm signals, for example, a stage ¬ scenario of urgency can be realized.
Die in der Figur 3 gezeigte erfindungsgemäße Anordnung 14 weist technische Mittel 15 auf, die durch einen Überwachungs¬ monitor 16 zum Erfassen 2 eines lastabhängigen Temperatur- Fingerprints bei der auf Integrität zu prüfenden Systemkompo¬ nente eines zugrunde liegenden Systems realisiert sind. Wei¬ ter weist diese Anordnung technische Mittel 17 zum Abprüfen 3 und Auswerten 4 des erfassten lastabhängigen Temperatur-The arrangement 14 according to the invention shown in Figure 3 has technical means 15, which are in the realized by a monitoring ¬ monitor 16 for detecting 2 of a load-dependent temperature fingerprints integrity to be tested Systemkompo ¬ component of an underlying system. Further , this arrangement has technical means 17 for checking 3 and evaluating 4 the recorded load-dependent temperature
Fingerprints gegen Referenzinformationen unter Ermitteln 5 eines Grades 6 an Übereinstimmung zwischen lastabhängigem Temperatur-Fingerprint und gegengeprüften Referenzinformatio¬ nen auf. Fingerprints against reference information by finding 5 degrees of agreement between load-dependent Temperature fingerprint and counter-verified Referenzinformatio ¬ NEN on.
Die technischen Mittel 15 zum Erfassen 2 des lastabhängigen Temperatur-Fingerprints bei der auf Integrität zu prüfenden Systemkomponente weist weiter wenigstens einen einzigen Tem¬ peratur-Sensor 18 auf. The technical means 15 for detecting 2 of the load-dependent temperature fingerprints in the integrity system under test component further includes at least one temperature sensor Tem ¬ 18th
In der Figur 3 nicht näher dargestellt, aber gegebenenfalls in der erfindungsgemäßen Anordnung 14 vorhanden, sind zurNot shown in detail in Figure 3, but optionally present in the inventive arrangement 14, are for
Durchführung reaktiver Maßnahmen 8 technische Mittel zum Ausgeben 10 (in der Figur 3 nicht näher dargestellt) von das System in einer Weise beeinflussenden Steuersignalen an Systemkomponenten des Systems vorgesehen, dass die auf Integri- tät geprüfte Systemkomponente des Systems zumindest letztlich einen lastabhängigen Temperatur-Fingerprint erzeugt, dessen Grad 6 an Übereinstimmung gegen die Referenzinformationen ein Ergebnis ist, das innerhalb eines vorgegebenen Toleranzbe¬ reichs für den Grad 6 an solcher Übereinstimmung liegt. Implementation of Reactive Measures 8 technical means for outputting 10 (not shown in detail in Figure 3) provided by the system in a manner influencing control signals to system components of the system that the integrity tested system component of the system at least ultimately generates a load-dependent temperature fingerprint whose degree of agreement 6 against the reference information is a result that is within a predetermined Toleranzbe ¬ realm of the level 6 of such a match.
In der Figur 3 ebenfalls nicht näher dargestellt, aber gege¬ benenfalls in der erfindungsgemäßen Anordnung 14 vorhanden, sind zur Durchführung reaktiver Maßnahmen 8 technische Mittel zum Ausgeben 10 (in der Figur 3 nicht näher dargestellt) we- nigstens eines einzigen Alarmsignals 19 in Fällen vorgesehen, in denen der ermittelte Grad 6 an Übereinstimmung zwischen lastabhängigen Temperatur-Fingerprint und gegengeprüften Re¬ ferenzinformationen spätestens nach Ablauf einer vorgegebenen Zeitspanne ein Ergebnis ist, das außerhalb des vorgegebenen Toleranzbereichs für den Grad an Übereinstimmung liegt. Also not shown in detail in Figure 3, but gege ¬ appropriate, in the inventive arrangement 14 is provided for carrying out reactive measures 8 technical means for outputting 10 are (in the Figure 3 not shown in detail) reclosure nigstens a single alarm signal 19 in cases provided in which the degree of agreement between 6 determined load-dependent temperature-fingerprint and tested against Re ¬ conference information is the latest after the expiry of a predetermined period of time, a result which is outside of the predetermined tolerance range for the degree of agreement.

Claims

Patentansprüche claims
1. Verfahren zum Prüfen der Integrität von Systemkomponenten eines Systems mit einem Verfahrensschritt, bei dem zum Prüfen der Integrität einer Systemkomponente bei der zu prüfenden Systemkomponente ein Fingerprint erfasst wird, der gegen Re¬ ferenzinformationen abgeprüft und ausgewertet wird unter Er¬ mitteln eines Grades an Übereinstimmung zwischen Fingerprint und gegengeprüften Referenzinformationen, und einem Verfah- rensschritt, bei dem bei Vorliegen von Kriterien reaktive1. A method for checking the integrity of system components of a system with a method step, wherein a fingerprint is detected for checking the integrity of a system component in the system component to be tested, which is checked against Re ¬ reference information and evaluated with He ¬ averaging a degree of agreement between fingerprint and counter-verified reference information, and a procedural step in which criteria are reactive
Maßnahmen durchgeführt werden, gekennzeichnet durch die Ver¬ fahrensschritte : Measures are carried out, characterized by the Ver ¬ method steps:
- Erfassen (2) eines lastabhängigen Temperatur-Fingerprints bei der auf Integrität zu prüfenden Systemkomponente des Sys- tems;  - detecting (2) a load-dependent temperature fingerprint in the integrity of the system component of the system to be tested;
- Abprüfen (3) und Auswerten (4) des erfassten lastabhängigen Temperatur-Fingerprints gegen Referenzinformationen unter Ermitteln (5) eines Grades (6) an Übereinstimmung zwischen lastabhängigem Temperatur-Fingerprint und gegengeprüften Re- ferenzinformationen,  - checking (3) and evaluating (4) the detected load-dependent temperature fingerprint against reference information while determining (5) a degree (6) of correspondence between load-dependent temperature fingerprint and counter-verified reference information,
- Wiederholen des Erfassens (2) des lastabhängigen Temperatur-Fingerprints und des Abprüfens (3) und Auswertens (4) des erfassten lastabhängigen Temperatur-Fingerprints gegen Refe¬ renzinformationen unter Ermitteln (5) eines Grades (6) an Übereinstimmung zwischen lastabhängigem Temperatur- Fingerprint und gegengeprüften Referenzinformationen, solange der ermittelte Grad (6) an Übereinstimmung ein Ergebnis ist, das innerhalb eines vorgegebenen Toleranzbereichs für den Grad (6) an Übereinstimmung liegt, und - Repeating the detection (2) of the load-dependent temperature fingerprint and the checking (3) and evaluation (4) of the detected load-dependent temperature fingerprint against Refe ¬ renzinformationen while determining (5) a degree (6) to match between load-dependent temperature fingerprint and counter-verified reference information as long as the determined degree (6) of coincidence is a result that is within a predetermined tolerance range for the degree (6), and
- Durchführen reaktiver Maßnahmen (8), wenn der ermittelte Grad (6) an Übereinstimmung ein Ergebnis ist, das außerhalb des vorgegebenen Toleranzbereichs für den Grad (6) an Über¬ einstimmung liegt. - Performing reactive measures (8) when the determined degree (6) of agreement is a result that is outside the predetermined tolerance range for the degree (6) of over ¬ consensus.
2. Verfahren nach Anspruch 1, gekennzeichnet durch den Verfahrensschritt : 2. The method according to claim 1, characterized by the method step:
- Ausgeben (10) von das System in einer Weise beeinflussenden Steuersignalen an Systemkomponenten des Systems als reaktive Maßnahme (8), dass die auf Integrität geprüfte Systemkompo¬ nente des Systems zumindest letztlich einen lastabhängigen Temperatur-Fingerprint erzeugt, dessen Grad (6) an Überein¬ stimmung gegen die Referenzinformationen ein Ergebnis ist, das innerhalb des vorgegebenen Toleranzbereichs für den Grad (6) an Übereinstimmung liegt. Outputting (10) control signals affecting the system in a manner reactive with system components of the system Measure (8) that the tested for integrity Systemkompo ¬ component of the system ultimately produces a load-dependent temperature-fingerprint at least whose degree (6) is a result to Convention ¬ humor against the reference information, the within the predetermined tolerance range of the degree (6 ) is in agreement.
3. Verfahren nach Anspruch 1 oder 2, gekennzeichnet durch den Verfahrensschritt : 3. The method according to claim 1 or 2, characterized by the method step:
- Ausgeben (10) eines Alarmsignals (19) als reaktive Maßnahme (8), wenn der ermittelte Grad (6) an Übereinstimmung zwischen lastabhängigen Temperatur-Fingerprint und gegengeprüften Re¬ ferenzinformationen spätestens nach Ablauf einer vorgegebenen Zeitspanne ein Ergebnis ist, das außerhalb des vorgegebenen Toleranzbereichs für den Grad (6) an Übereinstimmung liegt. - Outputting (10) of an alarm signal (19) as a reactive measure (8) when the determined degree (6) of correspondence between load-dependent temperature fingerprint and counter-verified Re ¬ reference information at the latest after a predetermined period of time is a result that is outside the predetermined Tolerance range for the degree (6) matches.
4. Anordnung zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 3, aufweisend technische Mittel zum Erfassen eines Fingerprints bei einer auf Integrität zu prüfenden Sys- temkomponente eines Systems, zum Abprüfen und Auswerten des Fingerprints gegen Referenzinformationen und Ermitteln eines Grades an Übereinstimmung zwischen Fingerprint und gegenge¬ prüften Referenzinformationen, und aufweisend technische Mittel zur Durchführung reaktiver Maßnahmen, dadurch gekenn- zeichnet, dass 4. Arrangement for carrying out the method according to one of claims 1 to 3, comprising technical means for detecting a fingerprint in a systems component of a system to be checked for integrity, for checking and evaluating the fingerprint against reference information and determining a degree of agreement between the fingerprint and gegenge ¬ examined reference information, and having technical means for carrying out reactive measures, characterized in that
- die technischen Mittel (15) zum Erfassen (2) des Fingerprints durch einen Überwachungsmonitor (16) zum Erfassen (2) eines lastabhängigen Temperatur-Fingerprints bei der auf In¬ tegrität zu prüfenden Systemkomponente des Systems realisiert sind, und - The technical means (15) for detecting (2) of the fingerprint by a monitoring monitor (16) for detecting (2) a load-dependent temperature fingerprints are realized in the system component to be tested on In ¬ tegrity of the system, and
- die technischen Mittel zum Abprüfen (3) und Auswerten (4) eines Fingerprints durch technische Mittel (17) zum Abprüfen (2) und Auswerten (4) des erfassten lastabhängigen Temperatur-Fingerprints gegen Referenzinformationen unter Ermitteln (5) eines Grades (6) an Übereinstimmung zwischen lastabhängigem Temperatur-Fingerprint und gegengeprüften Referenzinformationen realisiert sind. the technical means for checking (3) and evaluating (4) a fingerprint by technical means (17) for checking (2) and evaluating (4) the detected load-dependent temperature fingerprint against reference information while determining (5) a degree (6) to match between load-dependent temperature fingerprint and counter-verified reference information.
5. Anordnung nach Anspruch 4, dadurch gekennzeichnet, dass5. Arrangement according to claim 4, characterized in that
- die technischen Mittel (15) zum Erfassen (2) des lastabhängigen Temperatur-Fingerprints bei der auf Integrität zu prü¬ fenden Systemkomponente wenigstens einen einzigen Temperatur- Sensor (18) umfassen. - The technical means (15) for detecting (2) of the load-dependent temperature fingerprint in the case of integrity to be examined ¬ system component at least a single temperature sensor (18).
6. Anordnung nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass 6. Arrangement according to claim 4 or 5, characterized in that
- als technische Mittel zur Durchführung reaktiver Maßnahmen (8) technische Mittel zum Ausgeben (10) von das System in ei¬ ner Weise beeinflussenden Steuersignalen an Systemkomponenten des Systems vorgesehen sind, dass die auf Integrität geprüfte Systemkomponente des Systems zumindest letztlich einen last¬ abhängigen Temperatur-Fingerprint erzeugt, dessen Grad (6) an Übereinstimmung gegen die Referenzinformationen ein Ergebnis ist, das innerhalb eines vorgegebenen Toleranzbereichs für den Grad (6) an solcher Übereinstimmung liegt. - as technical means for performing reactive measures (8) are technical means for outputting (10) of the system in egg ¬ ner direct influence on control signals to system components of the system provided that the inspected for integrity system component of the system, at least ultimately a load ¬ dependent temperature Fingerprint whose degree (6) of agreement against the reference information is a result that is within a predetermined tolerance range for the degree (6) of such match.
7. Anordnung nach einem der Ansprüche 4 bis 6, dadurch ge- kennzeichnet, dass 7. Arrangement according to one of claims 4 to 6, character- ized in that
- als technische Mittel zur Durchführung reaktiver Maßnahmen technische Mittel zum Ausgeben (10) wenigstens eines einzigen Alarmsignals (19) in Fällen vorgesehen sind, in denen der ermittelte Grad (6) an Übereinstimmung zwischen lastabhängigen Temperatur-Fingerprint und gegengeprüften Referenzinformatio¬ nen spätestens nach Ablauf einer vorgegebenen Zeitspanne ein Ergebnis ist, das außerhalb des vorgegebenen Toleranzbereichs für den Grad (6) an Übereinstimmung liegt. - As technical means for implementing reactive measures technical means for outputting (10) at least a single alarm signal (19) are provided in cases where the determined degree (6) of agreement between load-dependent temperature fingerprint and counter-verified Referenzinformatio ¬ NEN at the latest after expiration a predetermined period of time is a result that is out of the predetermined tolerance range for the degree (6) to match.
PCT/EP2018/065288 2017-08-11 2018-06-11 Method for testing the integrity of components of a system, and arrangement for carrying out the method WO2019029868A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017214057.7 2017-08-11
DE102017214057.7A DE102017214057A1 (en) 2017-08-11 2017-08-11 Method for checking the integrity of system components of a system and arrangement for carrying out the method

Publications (1)

Publication Number Publication Date
WO2019029868A1 true WO2019029868A1 (en) 2019-02-14

Family

ID=62750927

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2018/065288 WO2019029868A1 (en) 2017-08-11 2018-06-11 Method for testing the integrity of components of a system, and arrangement for carrying out the method

Country Status (2)

Country Link
DE (1) DE102017214057A1 (en)
WO (1) WO2019029868A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3726309A1 (en) * 2019-04-18 2020-10-21 Siemens Aktiengesellschaft Method and system for monitoring the current integrity of a distributed automation system

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4254096A1 (en) * 2022-03-31 2023-10-04 Siemens Aktiengesellschaft Method for implementing automation functionality on an automation component with programmable automation functionality and system

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012061663A2 (en) 2010-11-03 2012-05-10 Virginia Tech Intellectual Properties, Inc. Using power fingerprinting (pfp) to monitor the integrity and enhance security of computer based systems
DE102012212471B3 (en) * 2012-07-17 2013-11-21 Siemens Aktiengesellschaft Apparatus for realizing physical degradation / tamper detection of a digital IC by means of a (digital) PUF and distinguishing between a degradation due to physical manipulation and aging processes
WO2014144857A2 (en) * 2013-03-15 2014-09-18 Power Fingerprinting Inc. Systems, methods, and apparatus to enhance the integrity assessment when using power fingerprinting systems for computer-based systems
EP2980662A1 (en) * 2014-07-30 2016-02-03 Siemens Aktiengesellschaft Protection against signature matching program manipulation for an automation component
US9268938B1 (en) * 2015-05-22 2016-02-23 Power Fingerprinting Inc. Systems, methods, and apparatuses for intrusion detection and analytics using power characteristics such as side-channel information collection

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AT408925B (en) * 1996-10-22 2002-04-25 Posch Reinhard Dr ARRANGEMENT FOR PROTECTING ELECTRONIC COMPUTING UNITS, IN PARTICULAR CHIP CARDS
DE102004057259A1 (en) * 2004-11-26 2006-06-01 Robert Bosch Gmbh Tamper-proof microcontroller system
EP2230793A3 (en) * 2009-03-16 2011-09-07 Technische Universität München On-Chip Electric Waves: An Analog Circuit Approach to Physical Uncloneable Functions: PUF

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012061663A2 (en) 2010-11-03 2012-05-10 Virginia Tech Intellectual Properties, Inc. Using power fingerprinting (pfp) to monitor the integrity and enhance security of computer based systems
DE102012212471B3 (en) * 2012-07-17 2013-11-21 Siemens Aktiengesellschaft Apparatus for realizing physical degradation / tamper detection of a digital IC by means of a (digital) PUF and distinguishing between a degradation due to physical manipulation and aging processes
WO2014144857A2 (en) * 2013-03-15 2014-09-18 Power Fingerprinting Inc. Systems, methods, and apparatus to enhance the integrity assessment when using power fingerprinting systems for computer-based systems
EP2980662A1 (en) * 2014-07-30 2016-02-03 Siemens Aktiengesellschaft Protection against signature matching program manipulation for an automation component
US9268938B1 (en) * 2015-05-22 2016-02-23 Power Fingerprinting Inc. Systems, methods, and apparatuses for intrusion detection and analytics using power characteristics such as side-channel information collection

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3726309A1 (en) * 2019-04-18 2020-10-21 Siemens Aktiengesellschaft Method and system for monitoring the current integrity of a distributed automation system

Also Published As

Publication number Publication date
DE102017214057A1 (en) 2019-02-14

Similar Documents

Publication Publication Date Title
DE112016006063T5 (en) Techniques for managing sensor anomalies
US10546130B1 (en) Timed attestation process
CN107665308A (en) For building and keeping the TPCM systems and correlation method of credible running environment
EP3059676A1 (en) A method and apparatus for analyzing the availability of a system, in particular of a safety critical system
DE102012206870A1 (en) Method and device for detecting a manipulation on an electrical line
WO2019029868A1 (en) Method for testing the integrity of components of a system, and arrangement for carrying out the method
US20200290533A1 (en) Method And System For Secure Signal Manipulation For Testing Integrated Safety Functionalities
DE102012001456A1 (en) Version control for medical anesthesia machines
DE102011088236A1 (en) Method for operating field device using process automation technique, involves determining test value based on characteristic properties of field device and providing field device present state, after restart of field device
DE102019214759A1 (en) Provision of compensation parameters for integrated sensor circuits
EP2284771B1 (en) Device for insertion in a calculating system and calculating system
DE102006010514A1 (en) Chip e.g. money card, for e.g. mobile phone, has current consumption device activated to cause current consumption additional to current consumption of operation unit such that operations are independent of additional consumption
EP1664978B1 (en) Device and method for the reliable execution of a program
DE102013227165A1 (en) Monitoring device for monitoring a circuit
KR101957744B1 (en) Cyber security monitoring method and system of digital system in nuclear power plant
WO2008138888A1 (en) Device for signal monitoring for temporary use in a field device in process automation technology
DE112014004611T5 (en) Control system and authentication device
Sini et al. An automatic approach to perform FMEDA safety assessment on hardware designs
EP3495979A1 (en) Method and confirmation device for confirming the integrity of a system
EP3451215A1 (en) Hardware device and method for operating and producing a hardware device
CN114253183A (en) Method and device for processing compressor monitoring data
WO2021164911A1 (en) Computer-assisted method for storing an integrity status, integrity status device, and computer programme product
DE10007008A1 (en) Data processor monitoring method e.g. for vehicle air bag trigger, involves generating two calculations on same data processor based on input signals from redundant sensors
Höfig et al. MetaFMEA-A framework for reusable FMEAs
DE102013224365A1 (en) Procedure for a safe high-speed operation of an electronic system

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 18734445

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 18734445

Country of ref document: EP

Kind code of ref document: A1