WO2023031131A1 - Verfahren zum betrieb eines automatisierungssystems mit mindestens einem überwachungsmodul und attestierungseinrichtung - Google Patents

Verfahren zum betrieb eines automatisierungssystems mit mindestens einem überwachungsmodul und attestierungseinrichtung Download PDF

Info

Publication number
WO2023031131A1
WO2023031131A1 PCT/EP2022/073973 EP2022073973W WO2023031131A1 WO 2023031131 A1 WO2023031131 A1 WO 2023031131A1 EP 2022073973 W EP2022073973 W EP 2022073973W WO 2023031131 A1 WO2023031131 A1 WO 2023031131A1
Authority
WO
WIPO (PCT)
Prior art keywords
operational reliability
wda
automation system
monitoring
monitoring module
Prior art date
Application number
PCT/EP2022/073973
Other languages
English (en)
French (fr)
Inventor
Rainer Falk
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from DE102021209579.8A external-priority patent/DE102021209579A1/de
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2023031131A1 publication Critical patent/WO2023031131A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/40Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities

Definitions

  • the invention relates to a method for operating an automation system with at least one monitoring module for monitoring operational reliability and an attestation device.
  • monitoring modules In open, flexibly adaptable industrial automation environments, such monitoring modules must be just as flexible to use and adaptable. This applies in particular to those applications in which control units are virtualized and computer-implemented, so that the functionality of the control units is executed on a standard computer platform, for example as a virtual machine, as a container or as a software process. There is consequently a need for reliable operation of open, virtualized automation systems which have monitoring modules.
  • the object of the invention to specify an improved method for operating an automation system with at least one monitoring module.
  • the method is intended to increase the operational reliability of automation systems, preferably of open and virtualized automation systems.
  • the object of the invention is to specify an attestation device with which the improved method can be carried out.
  • the method according to the invention is used for operating an automation system with at least one monitoring module, ie for operating an automation system which has at least one monitoring module.
  • the monitoring module is in each case designed to continuously detect an operational reliability signal of the part of the automation system for monitoring operational reliability of one part of the automation system and, if the operational reliability signal is absent, to determine an impairment of the operational reliability.
  • a status of the detection of the operational reliability signal of the at least one monitoring module is attested in a cryptographically protected manner.
  • the state of the detection of the operational reliability signal is preferably not attested by the at least one monitoring module itself.
  • an operating reliability signal is to be understood as a signal which indicates a reliable operating state of the part of the automation system, in particular a positive confirmation of a watchdog monitoring the operating reliability of this part of the automation system.
  • the current status of the at least one monitoring module can also be reliably evaluated on an external system as a result of the cryptographic attestation.
  • measures to be taken can be initiated on other parts of the automation system than on which the at least one monitoring module is realized or implemented.
  • the monitoring module itself it is not necessary, as is the case with conventional monitoring modules, for the monitoring module itself to be able to trigger a reboot of the part of the automation system it monitors via direct, local electrical signals.
  • the method according to the invention can therefore be used advantageously in open, distributed and, in particular, software-based and/or virtualized automation systems. Parts of the automation system monitored by monitoring modules can expediently be virtualized PLCs on Industrial Edge or 5G-based computing platforms. Ideally, the method according to the invention is not carried out by the at least one monitoring module itself.
  • the status of the detection of the at least one monitoring module is expediently cryptographically certified in such a way that the status of the detection is documented in a data structure and the data structure is cryptographically protected.
  • the data structure is expediently protected cryptographically in that the data structure is digitally signed and/or encrypted and/or a test value, in particular a hash value, is stored in a protected manner in the data structure.
  • Particularly beneficial can be a cryptographically protected data structure such as ASN . l and/or XML-Encryption/XML-Signature and/or JSON Web Encryption JWE and/or Veri fiable Credential can be used.
  • the method according to the invention can advantageously be carried out with a hardware component or likewise advantageously with a computer program product.
  • the method according to the invention can thus advantageously be carried out using firmware which is implemented within a trustworthy execution environment, for example a “Trusted Execution Environment (TEE)”.
  • TEE Trusted Execution Environment
  • the computer program product can expediently be implemented as software, in particular as a virtual machine or as a container or as an app, which is preferably executed in a cloud or edge execution environment.
  • the at least one monitoring module is preferably designed to put the part in a safe operating state in the event that an impairment of the operational reliability is determined.
  • the at least one monitoring module expediently forms a watchdog.
  • the status of the detection of the operational reliability signal preferably indicates whether the operational reliability signal is absent.
  • at least one such state of the detection is cryptographically attested that indicates an unreliable operating state or at least potentially indicates it.
  • measures can be taken by means of the method according to the invention in order to restore the reliability of operation or at least to put the relevant part of the automation system into a safe operating state. In the method according to the invention, these measures are particularly preferably taken if the operational reliability signal is absent.
  • the status of the detection of the operational reliability signal indicates the point in time since which the operational reliability signal has not been received or the point in time at which the last operational reliability signal was detected or whether an impairment of the operational reliability has been determined. Using the detailed information about the state of acquisition, a plausibility check of the state of acquisition can be carried out in the method according to the invention before it is attested in a cryptographically protected manner.
  • attestation is preferably carried out in a cryptographically secure manner using a part of the automation system whose operational reliability is not monitored by the at least one monitoring module.
  • the method according to the invention it is particularly preferably determined whether an impairment of the operational reliability of all monitoring modules or of a minimum number of the monitoring modules or of a minimum proportion of the monitoring modules is detected.
  • the method according to the invention can be checked whether the states of the detection of operational reliability signals of a monitoring module match the states of other monitoring modules.
  • the method according to the invention can be used to certify a state of detection of an operational reliability signal when the states are within a time window of several monitoring modules match, preferably if the states of a minimum number of monitoring modules or a minimum proportion of monitoring modules or all monitoring modules match each other.
  • a state is preferably to be understood as meaning a state that indicates an impairment of operational reliability or not.
  • the status of the detection of the operational reliability signal of the at least one monitoring module preferably includes in each case at least one item of identification information of the at least one monitoring module. In this way, a reliability of the state can be assessed depending on the identification information.
  • that part of the automation system whose operational reliability is monitored with the at least one monitoring module is preferably placed in a secure operating state or shut down or restarted.
  • the attestation module according to the invention is preferably not implemented with such a part of the automation system. ted whose operational reliability is monitored with one of the monitoring modules. In this way, a lack of reliability of the part on which the monitoring module is implemented cannot affect the attestation module according to the invention.
  • the attestation module according to the invention is preferably designed to carry out method steps of the previously described developments of the method according to the invention.
  • FIG. 1 shows an automation system with an attestation device according to the invention and a plurality of monitoring modules when carrying out an exemplary embodiment of the method according to the invention, schematically in a basic sketch.
  • monitoring modules WDA To operate the automation system AUT, several monitoring modules WDA are used, each of which monitors the reliability of operation of a component of the automation system AUT.
  • the monitoring modules WDA continuously record operational reliability information in the form of positive confirmations WDRes.
  • the monitoring modules WDA are used to monitor a field device FD of the automation system AUT and to monitor the operational reliability of an environmental condition of the physical environment PW, such as a temperature condition, and to monitor a programmable logic controller vPLC of an edge computing Set up the ECP platform and another component of the edge computing platform ECP.
  • the monitoring modules WDA give an alarm signal.
  • the monitoring modules are implemented as watchdogs in a manner known per se. The watchdogs continually collect positive confirmations from the components whose operational reliability they are monitoring.
  • the monitoring modules WDA are logical monitoring modules WDA, ie. H .
  • the monitoring modules WDA form apps or computer programs on the respective components, such as the field device FD, the edge computing platform ECP or other parts of the automation system AUT.
  • the automation system AUT has an attestation device AW.
  • the attestation device AW records positive confirmations WDRes from the monitoring modules WDA.
  • the attestation device checks whether the respective positive confirmations WDRes of the monitoring modules WDA are each sufficiently valid, i. H . no longer ago than a specified maximum period. Different WDA monitoring modules each have their own maximum duration.
  • the attestation device AW enters the detected positive confirmations WDRes of each monitoring module WDA in a status list in a status memory WDS and digitally signs this status list using an attestation key AF.
  • the digitally signed status list forms a cryptographic attestation WDAtt of the status of the of the operational reliability by the WDA monitoring modules.
  • the attestation device AW can preprocess the status list before signing, for example filtering or anonymizing or pseudonymizing.
  • the attestation WDAtt of the attestation device AW can, for example, also have up-to-dateness information, such as a time stamp or a nonce value or a challenge value.
  • the attestation WDAtt can have information about the device or the execution environment on which the attestation device AW is implemented.
  • the attestation device AW is implemented as a logical attestation device AW on computer resources of the automation network AUT.
  • Computer resources of the automation network AW other than those on which the attestation device AW is implemented can carry out or initiate an action depending on the cryptographically protected attestation WDAtt.
  • a monitoring app AUTM of the automation system AUT in a cloud backend CCP triggers an action on a programmable logic controller vPLC of the edge computing platform ECP.
  • the AUT automation system is switched to a safe operating state using the AUTM monitoring app.

Abstract

Bei dem Verfahren zum Betrieb eines Automatisierungssystems mit mindestens einem Überwachungsmodul ist das Überwachungsmodul jeweils ausgebildet, zur Überwachung einer Betriebszuverlässigkeit eines Teils des Automatisierungssystems fortlaufend ein Betriebszuverlässigkeitssignal des Teils des Automatisierungssystems zu erfassen und im Falle eines Ausbleibens des Betriebszuverlässigkeitssignals eine Beeinträchtigung der Betriebszuverlässigkeit festzustellen. Bei dem Verfahren wird ein Zustand der Erfassung des Betriebszuverlässigkeitssignals des mindestens einen Überwachungsmoduls kryptographisch geschützt attestiert.

Description

Beschreibung
Verfahren zum Betrieb eines Automatisierungssystems mit mindestens einem Überwachungsmodul und Attestierungseinrichtung
Die Erfindung betri f ft ein Verfahren zum Betrieb eines Automatisierungssystems mit mindestens einem Überwachungsmodul zur Überwachung einer Betriebs zuverlässigkeit sowie eine Attestierungseinrichtung .
Für industrielle Steuergeräten und eingebettete Systeme werden regelmäßig sogenannte Watchdogs eingesetzt . Solche Watchdogs sind Überwachungsmodule , welche eine Betriebs zuverlässigkeit einer Komponente oder eines Systems , etwa der industriellen Steuergeräte oder der eingebetteten Systeme , überwachen . Dazu erfassen die Überwachungsmodule fortlaufend, d . h . ununterbrochen oder wiederholt , ein Betriebs zuverlässigkeitssignal . Ein Ausbleiben eines solchen Betriebs zuverlässigkeitssignals deutet auf eine Fehl funktion der überwachten Komponente hin . Die Überwachungsmodule sind daher meist ausgebildet , bei einem Ausbleiben eines Betriebs zuverlässigkeitssignals die Komponente oder das System in einen sicheren Zustand zu versetzen, also vorzugsweise herunterzufahren, sicher abzuschalten, einen sicheren Betriebsmodus wie insbesondere einen Fail-Saf e-Betriebsmodus herbei zuführen oder einen Neustart der Komponente oder des Systems herbei zuführen .
In of fenen, flexibel anpassbaren industriellen Automatisierungs-Umgebungen müssen solche Überwachungsmodule ebenso flexibel nutzbar und anpassbar sein . Dies betri f ft insbesondere solche Anwendungs fälle , in welchen Steuergeräte virtualisiert und computerimplementiert realisiert werden, sodass die Funktionalität der Steuergeräte auf einer Standard-Computer- Plattform ausgeführt wird, etwa als virtuelle Maschine , als Container oder als Softwareprozess . Es besteht folglich ein Bedarf an einem verlässlichen Betrieb von of fenen, virtualisierten Automatisierungssystemen, welche Überwachungsmodulen aufweisen .
Es ist daher Aufgabe der Erfindung, ein verbessertes Verfahren zum Betrieb eines Automatisierungssystems mit mindestens einem Überwachungsmodul anzugeben . Insbesondere soll das Verfahren die Betriebssicherheit von Automatisierungssystemen erhöhen, vorzugsweise von of fenen und virtualisierten Automatisierungssystemen . Ferner ist es Aufgabe der Erfindung, eine Attestierungseinrichtung anzugeben, mit welcher das verbesserte Verfahren durchgeführt werden kann .
Diese Aufgabe der Erfindung wird mit einem Verfahren zum Betrieb eines Automatisierungssystems mit den in Anspruch 1 angegebenen Merkmalen sowie mit einer Attestierungseinrichtung mit den in Anspruch 9 angegebenen Merkmalen gelöst . Bevorzugte Weiterbildungen der Erfindung sind in den zugehörigen Unteransprüchen, der nachfolgenden Beschreibung und der Zeichnung angegeben .
Das erfindungsgemäße Verfahren dient zum Betrieb eines Automatisierungssystems mit mindestens einem Überwachungsmodul , also zum Betrieb eines Automatisierungssystems , das mindestens ein Überwachungsmodul aufweist . Dabei ist das Überwachungsmodul j eweils ausgebildet , zur Überwachung einer Betriebs zuverlässigkeit j e eines Teils des Automatisierungssystems fortlaufend ein Betriebs zuverlässigkeitssignal des Teils des Automatisierungssystems zu erfassen und im Falle eines Ausbleibens des Betriebs zuverlässigkeitssignals eine Beeinträchtigung der Betriebs zuverlässigkeit fest zustellen . Bei dem erfindungsgemäßen Verfahren wird ein Zustand der Erfassung des Betriebs zuverlässigkeitssignals des mindestens einen Überwachungsmoduls kryptographisch geschützt attestiert . Vorzugsweise wird dabei der Zustand der Erfassung des Betriebszuverlässigkeitssignals nicht durch das mindestens eine Überwachungsmodul selbst attestiert . Unter einem Betriebs zuverlässigkeitssignal ist im Rahmen der vorliegenden Erfindung ein Signal zu verstehen, welches einen zuverlässigen Betriebs zustand des Teils des Automatisierungssystems angibt , insbesondere eine Positivbestätigung eines die Betriebs zuverlässigkeit dieses Teils des Automatisierungssystems überwachenden Watchdogs .
Mit dem erfindungsgemäßen Verfahren kann der aktuelle Zustand des mindestens einen Überwachungsmoduls auch auf einem externen System infolge der kryptographischen Attestierung verlässlich ausgewertet werden . Dadurch können bei einer festgestellten Beeinträchtigung der Betriebs zuverlässigkeit des Teils des Automatisierungssystems einzuleitende Maßnahmen auf anderen Teilen des Automatisierungssystems eingeleitet werden als j enem, auf dem das mindestens eine Überwachungsmodul realisiert oder implementiert ist . Es ist nicht wie bei herkömmlichen Überwachungsmodulen erforderlich, dass das Überwachungsmodul selbst über direkte , lokale elektrische Signale einen Reboot des von ihm überwachten Teils des Automatisierungssystems anstoßen können muss . Daher kann das erfindungsgemäße Verfahren vorteilhaft in of fenen, verteilten und insbesondere softwarebasierten und/oder virtualisierten Automatisierungssystemen angewandt werden . Zweckmäßig können von Überwachungsmodulen überwachte Teile des Automatisierungssystems virtualisierte PLCs auf Industrial Edge oder 5G- basierten Computing Plattformen sein . Idealerweise wird das erfindungsgemäße Verfahren nicht von dem mindestens einen Überwachungsmodul selbst ausgeführt .
Bei dem erfindungsgemäßen Verfahren wird der Zustand der Erfassung des mindestens einen Überwachungsmoduls zweckmäßig derart kryptographisch attestiert , dass der Zustand der Erfassung in einer Datenstruktur dokumentiert wird und die Datenstruktur kryptographisch geschützt wird . Zweckmäßig wird die Datenstruktur kryptographisch geschützt , indem die Datenstruktur digital signiert wird und/oder verschlüsselt wird und/oder ein Prüfwert , insbesondere ein Hashwert , der Datenstruktur geschützt hinterlegt wird . Besonders vorteilhaft kann eine kryptographisch geschützte Datenstruktur wie insbesondere ASN . l und/oder XML-Encryption/XML-Signature und/oder JSON Web Encryption JWE und/oder Veri fiable Credential herangezogen werden .
Das erfindungsgemäße Verfahren lässt sich vorteilhaft mit einer Hardwarekomponente oder ebenfalls vorteilhaft mit einem Computerprogrammprodukt durchführen . So kann das erfindungsgemäße Verfahren vorteilhaft mit einer Firmware ausgeführt werden, die innerhalb einer vertrauenswürdigen Aus führungsumgebung, etwa einem „ Trusted Executi on Environment ( TEE ) , realisiert ist . Das Computerprogrammprodukt kann zweckmäßig als Software , insbesondere als virtuelle Maschine oder als Container oder als App, realisiert sein, die vorzugsweise in einer Cloud- oder Edge-Aus führungsumgebung ausgeführt wird .
Vorzugsweise ist bei dem erfindungsgemäßen Verfahren das mindestens eine Überwachungsmodul ausgebildet , im Falle , dass eine Beeinträchtigung der Betriebs zuverlässigkeit festgestellt wird, den Teil in einen sicheren Betriebs zustand zu versetzen . Zweckmäßig bildet bei dem erfindungsgemäßen Verfahren das mindestens eine Überwachungsmodul einen Watchdog .
Bevorzugt gibt bei dem Verfahren gemäß der Erfindung der Zustand der Erfassung des Betriebs zuverlässigkeitssignals an, ob das Betriebs zuverlässigkeitssignal ausbleibt . Somit wird zumindest ein solcher Zustand der Erfassung kryptographisch attestiert , der einen unzuverlässigen Betriebs zustand angibt oder zumindest potenziell angibt . Mittels des erfindungsgemäßen Verfahrens können vorteilhaft Maßnahmen ergri f fen werden, um die Zuverlässigkeit des Betriebs wieder herzustellen oder zumindest den betref fenden Teil des Automatisierungssystems in einen sicheren Betriebs zustand zu versetzen . Besonders bevorzugt werden bei dem erfindungsgemäßen Verfahren diese Maßnahmen ergri f fen, wenn das Betriebs zuverlässigkeitssignal ausbleibt . In einer vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens gibt der Zustand der Erfassung des Betriebs zuverlässigkeitssignals an, seit welchem Zeitpunkt das Betriebs zuverlässigkeitssignal ausbleibt oder zu welchem Zeitpunkt das letzte Betriebs zuverlässigkeitssignal erfasst worden ist oder ob eine Beeinträchtigung der Betriebs zuverlässigkeit festgestellt ist . Anhand der detaillierten Information über den Zustand der Erfassung kann bei dem erfindungsgemäßen Verfahren eine Plausibilitätsprüfung des Zustands der Erfassung erfolgen, bevor er kryptographisch geschützt attestiert wird .
Bei dem erfindungsgemäßen Verfahren wird bevorzugt mit einem solchen Teil des Automatisierungssystems kryptographisch gesichert attestiert , dessen Betriebs zuverlässigkeit nicht von dem mindestens einen Überwachungsmodul überwacht wird .
In einer bevorzugten Weiterbildung des Verfahrens gemäß der Erfindung erfolgt der Betrieb eines solchen Automatisierungssystems , welches zwei oder mehrere Überwachungsmodule aufweist , wobei j eweils ein Zustand der Erfassung des Betriebszuverlässigkeitssignals der zwei oder mehreren Überwachungsmodule kryptographisch geschützt attestiert wird . Auf diese Weise können bei dem erfindungsgemäßen Verfahren die Zustände mehrerer Überwachungsmodule gemeinsam berücksichtigt werden .
Besonders bevorzugt wird bei dem erfindungsgemäßen Verfahren ermittelt , ob eine Beeinträchtigung der Betriebs zuverlässigkeit von allen Überwachungsmodulen oder von einer Mindestanzahl der Überwachungsmodule oder von einem Mindestanteil der Überwachungsmodule festgestellt wird .
In dieser Weiterbildung des erfindungsgemäßen Verfahrens kann geprüft werden, ob die Zustände der Erfassung von Betriebs zu- verlässigkeitssignalen eines Überwachungsmoduls mit den Zuständen anderer Überwachungsmodule übereinstimmen . Insbesondere kann mittels des erfindungsgemäßen Verfahrens eine Attestierung eines Zustands der Erfassung eines Betriebs zuverlässigkeitssignals dann erfolgen, wenn die Zustände innerhalb eines Zeitfensters von mehreren Überwachungsmodulen übereinstimmen, vorzugsweise wenn die Zustände von einer Mindestanzahl von Überwachungsmodulen oder einem Mindestanteil von Überwachungsmodulen oder sämtlichen Überwachungsmodulen miteinander übereinstimmen . Vorzugweise ist unter einem Zustand ein solcher Zustand zu verstehen, welcher eine Beeinträchtigung der Betriebs zuverlässigkeit angibt oder nicht .
Bei dem Verfahren gemäß der Erfindung umfasst der Zustand der Erfassung des Betriebs zuverlässigkeitssignals des mindestens einen Überwachungsmoduls vorzugsweise j eweils zumindest eine Identi fi zierungsinformation des mindestens einen Überwachungsmoduls . Auf diese Weise kann eine Zuverlässigkeit des Zustands abhängig von der Identi fi zierungsinformation beurteilt werden .
Bevorzugt wird bei dem erfindungsgemäßen Verfahren abhängig vom kryptographisch geschützt attestierten Zustand der Teil des Automatisierungssystems , dessen Betriebs zuverlässigkeit mit dem mindestens einen Überwachungsmodul überwacht wird, in einen sicheren Betriebs zustand versetzt oder heruntergefahren oder neugestartet .
Das erfindungsgemäße Attestierungsmodul ist ausgebildet zur Attestierung eines Zustands eines oder mehrerer Überwachungsmodule , die ihrerseits ausgebildet sind, zur Überwachung einer Betriebs zuverlässigkeit eines Teils eines Automatisierungssystems fortlaufend ein Betriebs zuverlässigkeitssignal des Teils des Automatisierungssystems zu erfassen und im Falle eines Ausbleibens des Betriebs zuverlässigkeitssignals eine Beeinträchtigung der Betriebs zuverlässigkeit fest zustellen . Das erfindungsgemäße Attestierungsmodul ist ausgebildet , einen Zustand der Erfassung des Betriebs zuverlässigkeitssignals des mindestens einen Überwachungsmoduls kryptographisch geschützt zu attestieren .
Bevorzugt ist das erfindungsgemäße Attestierungsmodul nicht mit einem solchen Teil des Automatisierungssystems implemen- tiert , dessen Betriebs zuverlässigkeit mit einem der Überwa- chungsmodule überwacht wird . Auf diese Weise kann eine mangelnde Zuverlässigkeit des Teils , auf welchem das Überwa- chungsmodul implementiert ist , sich nicht auf das erfindungsgemäße Attestierungsmodul auswirken .
Vorzugsweise ist das erfindungsgemäße Attestierungsmodul ausgebildet , Verfahrensschritte der zuvor beschriebenen Weiterbildungen des erfindungsgemäßen Verfahrens aus zuführen .
Nachfolgend wird die Erfindung anhand eines in der Zeichnung dargestellten Aus führungsbeispiels näher erläutert . Die einzige Zeichnungs figur 1 zeigt ein Automatisierungssystem mit einer erfindungsgemäßen Attestierungseinrichtung und mehreren Überwachungsmodulen bei der Durchführung eines Aus führungsbeispiels des erfindungsgemäßen Verfahrens schematisch in einer Prinzipski z ze .
Zeichnungs figur 1 zeigt einen Betrieb eines verteilten und teilweise virtualisierten industriellen Automatisierungssystems AUT in Gestalt eines cyber-physischen Systems ( engl . „cyber physical system" ) , welches im dargestellten Aus führungsbeispiel zugleich ein Internet-der-Dinge-System bildet .
Zum Betrieb des Automatisierungssystems AUT werden mehrere Überwachungsmodule WDA genutzt , welche j eweils eine Zuverlässigkeit eines Betriebs einer Komponente des Automatisierungssystems AUT überwachen . Dazu erfassen die Überwachungsmodule WDA j eweils fortdauernd eine Betriebs zuverlässigkeitsinformation in Form von Positivbestätigungen WDRes .
Die Überwachungsmodule WDA sind im gezeigten Aus führungsbeispiel zur Überwachung eines Feldgeräts FD des Automatisierungssystems AUT sowie zur Überwachung der Betriebssicherheit einer Umgebungsbedingung der physikalischen Umgebung PW, etwa einer Temperaturbedingung, sowie zur Überwachung einer speicherprogrammierbaren Steuerung vPLC einer Edge-Computing- Plattform ECP sowie einer weiteren Komponente der Edge- Computing-Platt f orm ECP eingerichtet .
Beim Ausbleiben der Positivbestätigung WDRes geben die Über- wachungsmodule WDA ein Alarmsignal . Die Überwachungsmodule sind in an sich bekannter Weise als Watchdogs realisiert . Die Watchdogs erfassen fortdauernd Positivbestätigungen der Komponenten, deren Betriebs zuverlässigkeit sie überwachen . Die Überwachungsmodule WDA sind im gezeigten Aus führungsbeispiel logische Überwachungsmodule WDA, d . h . die Überwachungsmodule WDA bilden Apps oder Computerprogramme auf den j eweiligen Komponenten, etwa dem Feldgerät FD, der Edge-Computing- Plattform ECP oder sonstigen Teilen des Automatisierungssystems AUT .
Bei einem Auftreten eines solchen Alarmsignals eines Überwa- chungsmoduls WDA ist die j eweilige Komponente FD oder vPLC oder das gesamte Automatisierungssystem AUT in einen sicheren Betriebsmodus zu bringen . Alternativ kann das Automatisierungssystem AUT neu gestartet werden oder sicher heruntergefahren werden .
Zur Beurteilung einer Zuverlässigkeit der Überwachungsmodule WDA weist das Automatisierungssystem AUT eine Attestierungseinrichtung AW auf . Die Attestierungseinrichtung AW erfasst Positivbestätigungen WDRes der Überwachungsmodule WDA. Die Attestierungseinrichtung prüft , ob die j eweiligen Positivbestätigungen WDRes der Überwachungsmodule WDA j eweils hinreichend gültig sind, d . h . nicht länger zurückliegen als eine vorgegebene Höchstdauer . Unterschiedliche Überwachungsmodule WDA weisen dabei eine j eweils eigene Höchstdauer auf .
Die Attestierungseinrichtung AW trägt die erfassten Positivbestätigungen WDRes j edes Überwachungsmoduls WDA in eine Zustandsliste in einem Zustandsspeicher WDS ein und signiert diese Zustandsliste digital mittels eines Attestierungsschlüssels AF . Die digital signierte Zustandsliste bildet eine kryptographische Attestierung WDAtt des Zustands der Er- fassung der Betriebs zuverlässigkeit durch die Überwachungsmo- dule WDA. Die Attestierungseinrichtung AW kann die Zustandsliste vor dem Signieren vorverarbeiten, beispielsweise filtern oder anonymisieren oder pseudonymisieren .
Die Attestierung WDAtt der Attestierungseinrichtung AW kann beispielsweise zudem eine Aktualitätsinformation aufweisen, etwa einen Zeitstempel oder einen Nonce-Wert oder einen Chal- lenge-Wert . Zudem kann die Attestierung WDAtt eine Information zu dem Gerät oder der Aus führungsumgebung aufweisen, auf dem oder der die Attestierungseinrichtung AW realisiert ist . Im gezeigten Aus führungsbeispiel ist die Attestierungseinrichtung AW als logische Attestierungseinrichtung AW auf Rechnerressourcen des Automatisierungsnetzwerks AUT realisiert .
Andere Rechnerressourcen des Automatisierungsnetzwerks AW als j ene , auf welchem die Attestierungseinrichtung AW realisiert ist , können abhängig von der kryptographisch geschützten Attestierung WDAtt eine Aktion durchführen oder anstoßen . Im dargestellten Fall stößt eine Monitoring-App AUTM des Automatisierungssystems AUT in einem Cloud-Backend CCP eine Aktion auf einer speicherprogrammierbaren Steuerung vPLC der Edge- Computing-Platt f orm ECP an . Zudem wird das Automatisierungssystem AUT mittels der Monitoring-App AUTM in einen sicheren Betriebs zustand versetzt .

Claims

Patentansprüche
1 . Verfahren zum Betrieb eines Automatisierungssystems (AUT ) mit mindestens einem Uberwachungsmodul (WDA) , wobei das Über- wachungsmodul (WDA) j eweils ausgebildet ist , zur Überwachung einer Betriebs zuverlässigkeit eines Teils des Automatisierungssystems (AUT ) fortlaufend ein Betriebs zuverlässigkeitssignal (WDRes ) des Teils des Automatisierungssystems (AUT ) zu erfassen und im Falle eines Ausbleibens des Betriebs zuverlässigkeitssignals (WDRes ) eine Beeinträchtigung der Betriebs zuverlässigkeit fest zustellen, wobei bei dem Verfahren ein Zustand (WDS ) der Erfassung des Betriebs zuverlässigkeitssignals des mindestens einen Überwachungsmoduls (WDA) kryptographisch geschützt attestiert (WDAtt ) wird .
2 . Verfahren nach dem vorhergehenden Anspruch, bei welchem das mindestens eine Uberwachungsmodul (WDA) ausgebildet ist , im Falle , dass eine Beeinträchtigung der Betriebs zuverlässigkeit festgestellt wird, den Teil in einen sicheren Betriebszustand zu versetzen .
3 . Verfahren nach einem der vorhergehenden Ansprüche , bei welchem der Zustand der Erfassung des Betriebs zuverlässigkeitssignals angibt , ob das Betriebs zuverlässigkeitssignal (WDRes ) ausbleibt .
4 . Verfahren nach dem vorhergehenden Anspruch, bei welchem der Zustand der Erfassung es Betriebs zuverlässigkeitssignals angibt , seit welchem Zeitpunkt das Betriebs zuverlässigkeitssignal (WDRes ) ausbleibt oder zu welchem Zeitpunkt das letzte Betriebs zuverlässigkeitssignal (WDRes ) erfasst worden ist oder ob eine Beeinträchtigung der Betriebs zuverlässigkeit festgestellt ist .
5 . Verfahren nach einem der vorhergehenden Ansprüche , bei welchem mit einem Teil des Automatisierungssystems (AUT ) kryptographisch gesichert attestiert wird, dessen Betriebs zuverlässigkeit nicht von dem mindestens einen Überwachungsmo- dul überwacht wird und wobei das Verfahren nicht von dem Überwachungsmodul ausgeführt wird .
6 . Verfahren nach einem der vorhergehenden Ansprüche , bei welchem der Betrieb eines Automatisierungssystems (AUT ) mit zwei oder mehreren Überwachungsmodulen (WDA) erfolgt , wobei j eweils ein Zustand der Erfassung des Betriebs zuverlässigkeitssignals (WDRes ) der zwei oder mehreren Überwachungsmodu- le (WDA) kryptographisch geschützt attestiert wird .
7 . Verfahren nach einem der vorhergehenden Ansprüche , bei welchem ermittelt wird, ob eine Beeinträchtigung der Betriebs zuverlässigkeit von allen Überwachungsmodulen (WDA) oder von einer Mindestanzahl der Überwachungsmodule (WDA) oder von einem Mindestanteil der Überwachungsmodule (WDA) festgestellt wird .
8 . Verfahren nach einem der vorhergehenden Ansprüche , bei welchem Zustand der Erfassung des Betriebs zuverlässigkeitssignals des mindestens einen Überwachungsmoduls (WDA) j eweils zumindest eine Identi fi zierungsinformation des mindestens einen Überwachungsmoduls (WDA) umfasst .
9 . Attestierungsmodul , ausgebildet zur Attestierung eines Zustands eines oder mehrerer Überwachungsmodule (WDA) , die ausgebildet sind, zur Überwachung einer Betriebs zuverlässigkeit eines Teils des Automatisierungssystems (WDA) fortlaufend ein Betriebs zuverlässigkeitssignal (WDRes ) des Teils eines Automatisierungssystems (WDA) zu erfassen und im Falle eines Ausbleibens des Betriebs zuverlässigkeitssignals (WDRes ) eine Beeinträchtigung der Betriebs zuverlässigkeit fest zustellen, wobei das Attestierungsmodul (AW) ausgebildet ist , ein Zustand der Erfassung des Betriebs zuverlässigkeitssignals (WDRes ) des mindestens einen Überwachungsmoduls (WDA) kryptographisch geschützt zu attestieren .
10 . Attestierungsmodul nach dem vorhergehenden Anspruch, welches nicht mit einem Teil des Automatisierungssystems imple- mentiert ist, dessen Betriebszuverlässigkeit mit einem der Überwachungsmodule (WDA) überwacht wird und/oder welches ausgebildet ist, Verfahrensschritte nach einem der Ansprüche 2 bis 8 auszuführen.
PCT/EP2022/073973 2021-08-31 2022-08-29 Verfahren zum betrieb eines automatisierungssystems mit mindestens einem überwachungsmodul und attestierungseinrichtung WO2023031131A1 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
DE102021209579.8 2021-08-31
DE102021209579.8A DE102021209579A1 (de) 2021-08-31 2021-08-31 Verfahren zum Betrieb eines Automatisierungssystems mit mindestens einem Überwachungsmodul und Attestierungseinrichtung
EP22171612.9 2022-05-04
EP22171612.9A EP4142321A1 (de) 2021-08-31 2022-05-04 Verfahren zum betrieb eines automatisierungssystems mit mindestens einem überwachungsmodul und attestierungseinrichtung

Publications (1)

Publication Number Publication Date
WO2023031131A1 true WO2023031131A1 (de) 2023-03-09

Family

ID=83283139

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2022/073973 WO2023031131A1 (de) 2021-08-31 2022-08-29 Verfahren zum betrieb eines automatisierungssystems mit mindestens einem überwachungsmodul und attestierungseinrichtung

Country Status (1)

Country Link
WO (1) WO2023031131A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017212474A1 (de) * 2017-07-20 2019-01-24 Siemens Aktiengesellschaft Verfahren und Kommunikationssystem zur Überprüfung von Verbindungsparametern einer kryptographisch geschützten Kommunikationsverbindung während des Verbindungsaufbaus
EP3528524A1 (de) * 2018-02-20 2019-08-21 Siemens Aktiengesellschaft Steuereinheit und verfahren zum manipulationsgeschütztes erfassen von betriebssicherheitsrelevanten integritätsüberwachungsdaten

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017212474A1 (de) * 2017-07-20 2019-01-24 Siemens Aktiengesellschaft Verfahren und Kommunikationssystem zur Überprüfung von Verbindungsparametern einer kryptographisch geschützten Kommunikationsverbindung während des Verbindungsaufbaus
EP3528524A1 (de) * 2018-02-20 2019-08-21 Siemens Aktiengesellschaft Steuereinheit und verfahren zum manipulationsgeschütztes erfassen von betriebssicherheitsrelevanten integritätsüberwachungsdaten

Similar Documents

Publication Publication Date Title
DE102018113625A1 (de) Fehlerinjektionstestvorrichtung und -verfahren
EP3451576B1 (de) System und verfahren zur kryptographisch geschützten überwachung wenigstens einer komponente eines geräts oder einer anlage
EP2908195B1 (de) Verfahren zur Überwachung der Sicherheit in einem Automatisierungsnetzwerk sowie Automatisierungsnetzwerk
EP2447843B1 (de) Verfahren zur Verifizierung eines Anwendungsprogramms einer fehlersicheren Speicherprogrammierbaren Steuerung, und Speicherprogrammierbare Steuerung zur Ausführung des Verfahrens
EP2513796B1 (de) Verfahren zum betreiben einer recheneinheit
EP3430558B1 (de) Erkennen einer abweichung eines sicherheitszustandes einer recheneinrichtung von einem sollsicherheitszustand
DE112010005400T5 (de) System für gegenseitige Überwachung von Mikrocomputern und ein Verfahren für gegenseitige Überwachung von Mikrocomputern
EP1639465B1 (de) Verfahren zur überwachung des programmlaufs in einem mikro-computer
EP3726408A1 (de) Industrielles automatisierungsgerät umfassend eine überwachungseinheit zur überprüfung und überwachung eines integritätszustandes des industriellen automatisierungsgerätes
EP3332528B1 (de) Überwachen einer integrität eines testdatensatzes
EP3695337B1 (de) Verfahren und bestätigungsvorrichtung zur integritätsbestätigung eines systems
DE202013104690U1 (de) Sicherungssystem zum Verbessern der Sicherheit informationstechnischer Steuerungsanlagen
EP3599567A1 (de) Vorrichtung und verfahren für eine integritätsüberprüfung einer oder mehrerer gerätekomponenten
WO2023031131A1 (de) Verfahren zum betrieb eines automatisierungssystems mit mindestens einem überwachungsmodul und attestierungseinrichtung
WO2014122063A1 (de) Vorrichtung und verfahren zur erkennung von unbefugten manipulationen des systemzustandes einer steuer- und regeleinheit einer kerntechnischen anlage
EP2052300B1 (de) Verfahren zur programmierung eines steuergerätes eines kraftfahrzeugs
EP4142321A1 (de) Verfahren zum betrieb eines automatisierungssystems mit mindestens einem überwachungsmodul und attestierungseinrichtung
EP3752911B1 (de) Verfahren zum installieren eines programmcodepakets in ein gerät sowie gerät und kraftfahrzeug
DE102012217312B4 (de) Verfahren und System zur Aktualisierung von Code in Verarbeitungssystemen
DE102017219195B4 (de) Verfahren zum gewährleisten eines betriebs eines rechners
DE102006020793A1 (de) Schaltungsanordnung und Verfahren zum Betrieb einer Schaltungsanordnung
WO2011082863A1 (de) Verfahren und vorrichtung zum überwachen eines produktion-steuerrechners
EP3726309A1 (de) Verfahren und system zum überwachen eines aktuellen integritätszustandes eines verteilten automatisierungssystems
DE102016217762A1 (de) Überwachung von sicherheitsrelevanten Funktionen durch eine nicht sichere Recheneinheit
EP3486825A1 (de) Verfahren und vorrichtung zum rechnergestützten bestimmen eines schweregrads einer festgestellten verletzung der integrität

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22769294

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE