DE102019217512A1 - Method for operating an industrial control system - Google Patents
Method for operating an industrial control system Download PDFInfo
- Publication number
- DE102019217512A1 DE102019217512A1 DE102019217512.0A DE102019217512A DE102019217512A1 DE 102019217512 A1 DE102019217512 A1 DE 102019217512A1 DE 102019217512 A DE102019217512 A DE 102019217512A DE 102019217512 A1 DE102019217512 A1 DE 102019217512A1
- Authority
- DE
- Germany
- Prior art keywords
- function
- security
- control system
- trust
- level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 23
- 230000001010 compromised effect Effects 0.000 claims abstract description 22
- 238000004519 manufacturing process Methods 0.000 claims abstract description 9
- 230000005540 biological transmission Effects 0.000 claims abstract description 7
- 238000010248 power generation Methods 0.000 claims abstract description 7
- 230000001771 impaired effect Effects 0.000 claims abstract description 5
- 230000006870 function Effects 0.000 claims description 54
- 230000007246 mechanism Effects 0.000 claims description 11
- 238000004891 communication Methods 0.000 claims description 9
- 230000015654 memory Effects 0.000 claims description 5
- 230000008569 process Effects 0.000 claims description 5
- 230000001276 controlling effect Effects 0.000 claims description 3
- 230000001105 regulatory effect Effects 0.000 claims description 3
- 238000013475 authorization Methods 0.000 description 6
- 244000035744 Hura crepitans Species 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000010276 construction Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000004873 anchoring Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/33—Director till display
- G05B2219/33139—Design of industrial communication system with expert system
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Manufacturing & Machinery (AREA)
- Quality & Reliability (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
Verfahren zum Betreiben eines industriellen Steuerungssystems, wie eines Energieerzeugungs- und Übertragungssystems und/oder eines Fertigungssystems, wobei jede Hierarchieebene des Steuerungssystems eine Sicherheits-Hierarchieebene ist, jede Hierarchieebene eine separate, abgeschlossene Sicherheitsstufe mit jeweils eigenem Vertrauensanker für die jeweiligen Hierarchiestufe des Steuerungssystems bildet, sodass im Falle einer von einer Überprüfungsinstanz, beispielsweise einer Firmware, erkannten kompromittierten Funktion einer einzelnen oder mehrerer Hierarchien die Gesamtintegrität des Systems nicht beeinträchtigt wird, da in diesem Fall nur die kompromittierte Funktion und der dieser Funktion eindeutig zugeordnete Vertrauensanker, insbesondere einer Hierarchie, identifiziert und/oder abgeschaltet wird.Method for operating an industrial control system, such as a power generation and transmission system and / or a manufacturing system, each hierarchical level of the control system being a safety hierarchical level, each hierarchical level forming a separate, self-contained safety level with its own trust anchor for the respective hierarchical level of the control system, so that In the case of a compromised function of a single or multiple hierarchies recognized by a checking authority, for example firmware, the overall integrity of the system is not impaired, since in this case only the compromised function and the trust anchor clearly assigned to this function, in particular a hierarchy, are identified and / or is switched off.
Description
Die vorliegende Erfindung betrifft ein Verfahren zum Betreiben eines industriellen Steuerungssystems, wie eines Energieerzeugungs- und Übertragungssystems und/oder eines Fertigungssystems.The present invention relates to a method for operating an industrial control system, such as a power generation and transmission system and / or a manufacturing system.
Nach Stand der Technik wird die Realisierung mehrerer Sicherheitshierarchien /-Anwendungsszenarien, zum Beispiel das sichere Laden von Firmware bei Systemstart (Secure Boot) und das sichere Speichern von Gerätegeheimnissen (Secure Storage) bzw. damit verbunden auch die Geräteidentität, auf eine vertrauenswürdige Instanz zurückgeführt.According to the state of the art, the implementation of several security hierarchies / application scenarios, for example the secure loading of firmware at system start-up (Secure Boot) and the secure storage of device secrets (Secure Storage) or the associated device identity, is traced back to a trustworthy entity.
Die Integrität des Systems - z. B. Sandboxen, Secure Boot, Secure Communication, Secure Storage und die Geräteidentität - ist somit abhängig von der Integrität einer einzelnen Vertrauensquelle, eines Vertrauensankers („Root of Trust“).The integrity of the system - e.g. B. Sandboxes, Secure Boot, Secure Communication, Secure Storage and the device identity - is therefore dependent on the integrity of a single source of trust, a trust anchor ("Root of Trust").
Wird die Integrität der Vertrauensquelle verletzt, so wirkt sich dies auf alle Hierarchien/Szenarien aus. Ein Beispiel für eine solche Verletzung ist das Auslesen/Manipulieren des AES-Schlüssels, der zum Signieren/Verschlüsseln verwendet wird.If the integrity of the source of trust is violated, this affects all hierarchies / scenarios. An example of such a violation is reading / manipulating the AES key that is used for signing / encrypting.
Eine Sicherheitslücke in einer einzelnen Sicherheitshierarchie bzw. Sicherheitsmerkmal beschädigt im Stand der Technik die Gesamtintegrität des Systems, da viele, oftmals sogar alle Sicherheitsmerkmale, voneinander abhängig sind. Dies soll in vorliegender Anmeldung vermieden werden.In the prior art, a security gap in an individual security hierarchy or security feature damages the overall integrity of the system, since many, often even all, security features are dependent on one another. This should be avoided in the present application.
Aufgabe der vorliegenden Erfindung ist es daher ein industrielles Steuerungssystem wie ein Energieerzeugungs- und Übertragungssystems und/oder eines Fertigungssystems anzubieten, welches im Falle des Vorhandenseins einer Sicherheitslücke im Steuerungssystem die Gesamtintegrität des Systems, teilweise, vorzugsweise vollständig erhält.The object of the present invention is therefore to offer an industrial control system such as a power generation and transmission system and / or a manufacturing system which, in the event of a security gap in the control system, partially, preferably completely, maintains the overall integrity of the system.
Mit Hilfe von separaten, abgeschlossenen Security Hierarchien für jeden einzelnen Use-Case (Secure Boot, Secure Storage, etc.) wird dieses Risiko zumindest minimiert, vorzugsweise sogar ganz ausgeschlossen. Gewährleistung einer Geräteteilintegrität bei Ausfall einer Teilintegrität wird daher erstmals ermöglicht.With the help of separate, closed security hierarchies for each individual use case (Secure Boot, Secure Storage, etc.), this risk is at least minimized, preferably even completely eliminated. It is therefore possible for the first time to guarantee partial device integrity in the event of a partial integrity failure.
Durch eine breite Verwendung von unterschiedlichen Mechanismen erhöht sich die Gerätegesamtintegrität, da bei einer Sicherheitsschwachstelle und dessen Ausnutzung nur das jeweilige Security Feature/Szenario ausgehebelt wird. Andere Security Features/Szenarien sind davon nicht betroffen und besitzen immer noch ihre Integrität. Somit ist immer eine Geräteintegrität gewährleistet.The broad use of different mechanisms increases the overall device integrity, since only the respective security feature / scenario is undermined in the event of a security vulnerability and its exploitation. Other security features / scenarios are not affected and still have their integrity. Device integrity is thus always guaranteed.
Das hier beschriebene Verfahren beruht daher unter anderem darauf, zumindest eine erste Hierarchieebene sowie zumindest eine zweite Hierarchieebene bereitzustellen, wobei die Hierarchieebenen in, insbesondere datentechnischem, Austausch miteinander stehen, sodass jede einzelne Hierarchieebene zumindest eine bestimmte Funktion zum Steuern und/oder Regeln des Steuerungssystems zugeordnet wird.The method described here is therefore based, among other things, on providing at least a first hierarchical level and at least a second hierarchical level, the hierarchical levels being in exchange with one another, in particular in terms of data technology, so that each individual hierarchical level is assigned at least one specific function for controlling and / or regulating the control system becomes.
Unter einer „Hierarchieebene des Steuerungssystems“ kann, unter anderem, eine Anordnung von Speichern einer Rechnerarchitektur aus Sicht eines Hauptprozessors verstanden werden, wobei Hierarchieebenen durch die Höhe der Zugriffsgeschwindigkeit, sinkende Kosten und/oder steigender Speicherkapazität und/oder steigender Zugriffseinheit geordnet sein können.A “hierarchical level of the control system” can be understood, among other things, to mean an arrangement of memories of a computer architecture from the point of view of a main processor, whereby hierarchical levels can be ordered by the level of the access speed, falling costs and / or increasing storage capacity and / or increasing access unit.
Auch kann man im Sinne der Erfindung unter dem Begriff einer „Hierarchieebene“ zumindest einen Sicherheitsbaustein verstehen. Ein „Sicherheitsbaustein“ kann als ein Sicherheitszertifikat verstanden werden (was jedoch nicht zwangsläufig ist). Die Sicherheitsbausteine können unter einer Ordnung (einer Hierarchie) oder innerhalb einer Ordnungsstufe (also einer gemeinsamen Hierarchiestufe) angeordnet sein. Mit anderen Worten sind dann die Sicherheitsbausteine nicht hierarchisch aufgebaut. Sie entsprechen, in zumindest einer Ausführungsform, parallel aufgebauten Sicherheitsszenarien.In the context of the invention, the term “hierarchy level” can also be understood to mean at least one security module. A "safety module" can be understood as a safety certificate (but this is not necessarily). The safety modules can be arranged under an order (a hierarchy) or within an order level (i.e. a common hierarchy level). In other words, the safety modules are then not structured hierarchically. In at least one embodiment, they correspond to security scenarios set up in parallel.
Bei einer Speicherhierarchie kann es sich um ein Prozessorregister, einen Prozessorcache, einen Arbeitsspeicher, einen Distributed Memory, einen Massenspeicher und/oder einen Wechseldatenträger handeln.A memory hierarchy can be a processor register, a processor cache, a main memory, a distributed memory, a mass storage device and / or a removable storage medium.
Auch können verschiedene Speicherebenen in einer Datenbank des Steuerungssystems je nach ihrer Geschwindigkeit als Primärspeicher, Sekundärspeicher oder Tertiärspeicher bezeichnet werden.Different storage levels in a database of the control system can also be designated as primary storage, secondary storage or tertiary storage, depending on their speed.
Die einzelnen Hierarchieebenen sind durch oder innerhalb zumindest eines elektronischen Bauelements des Steuerungssystems abgebildet oder können dadurch abgebildet werden, wobei jede der Hierarchieebenen eine Sicherheitshierarchieebene ist.The individual hierarchy levels are mapped by or within at least one electronic component of the control system or can be mapped thereby, each of the hierarchy levels being a security hierarchy level.
Eine „Sicherheitshierarchieebene“ ist eine solche Hierarchieebene, welche Bedingungen für die Konstruktion eines Sicherheitsmechanismus in softwaretechnischer und/oder strukturell haptischer Sicht (durch eine Konstruktion und Ausführung eines Mikrochips) erzeugt werden.A “security hierarchy level” is a hierarchy level that creates conditions for the construction of a security mechanism in terms of software technology and / or structurally haptic (through the construction and execution of a microchip).
Gemäß zumindest einer Ausführungsform bildet jede Hierarchieebene eine separate, abgeschlossene Sicherheitsstufe mit jeweils eigenem Vertrauensanker für die jeweiligen Hierarchiestufen des Steuerungssystems.According to at least one embodiment, each hierarchical level forms a separate, self-contained security level, each with its own Trust anchor for the respective hierarchy levels of the control system.
Ein Vertrauensanker kann ein Zertifikat zum Beispiel einer Stammzertifizierungsinstanz sein oder durch eine solche Instanz erzeugt werden, sodass als Stammzertifikat oder Wurzelzertifikat diese dann den Vertrauensanker der jeweiligen Infrastruktur zum Beispiel der jeweiligen Hierarchie oder Hierarchieordnung darstellt.A trust anchor can be a certificate of a root certification authority, for example, or it can be generated by such an authority so that, as a root certificate or root certificate, this then represents the trust anchor of the respective infrastructure, for example of the respective hierarchy or hierarchy order.
Insbesondere ist so sichergestellt, dass im Falle einer von einer Überprüfungsinstanz, beispielsweise einer Firmware erkannte kompromittierte Funktion einer einzelnen oder mehrerer Hierarchien die Gesamtintegrität des Systems nicht beeinträchtigt wird, da in diesem Fall nur die kompromittierte Funktion und der dieser Funktion eindeutig zugeordnete Vertrauensanker, insbesondere eine Hierarchie, identifiziert und/oder abgeschaltet wird.In particular, this ensures that in the case of a compromised function of a single or multiple hierarchies recognized by a checking instance, for example firmware, the overall integrity of the system is not impaired, since in this case only the compromised function and the trust anchor clearly assigned to this function, in particular a Hierarchy, identified and / or switched off.
Das hier beschriebene System und insbesondere eine Datenbank des Systems und/oder einzelne Hierarchieebenen des hier beschriebenen Systems (sogar eventuell bezogen auf einzelne Datensätze des Systems) gelten als dann kompromittiert, wenn Daten manipuliert sein könnten und wenn der Eigentümer (z. B. der Administrator) des Systems keine Kontrolle über die korrekte Funktionsweise oder den korrekten Inhalt mehr hat bzw. einen Angreifer ein anderes Ziel der Manipulation erreicht hat.The system described here and in particular a database of the system and / or individual hierarchy levels of the system described here (even possibly related to individual data records of the system) are considered to be compromised if data could be manipulated and if the owner (e.g. the administrator ) the system no longer has control over the correct functioning or the correct content or an attacker has achieved another manipulation goal.
Mit anderen Worten wird es daher durch die oben genannte Erfindung möglich, dass das System zum Beispiel ungestört oder in einer Art Notfallmodus weiterläuft, obwohl entlang der Sicherheitsschnur ausgehend von dem nicht mehr vertrauenswürdigen Verankerungselement eine unzulässige Veränderung, das heißt eine Kompromittierung, festgestellt wurde.In other words, the above-mentioned invention makes it possible, for example, for the system to continue to run undisturbed or in a kind of emergency mode, although an impermissible change, i.e. a compromise, was found along the safety cord starting from the no longer trustworthy anchoring element.
Insbesondere handelt es sich bei einer „separaten“ abgeschlossenen Sicherheitshierarchie um eine solche Hierarchie, insbesondere Hierarchieebene, welche zum Beispiel im Falle des Feststellens einer Kompromittierung einen Sicherheitsmechanismus auslöst, der jedoch im Wesentlichen keine, vorzugsweise keinerlei, Auswirkungen auf eine zweite, dritte oder vierte Security-Sicherheitshierarchie hat.In particular, a “separate” closed security hierarchy is such a hierarchy, in particular a hierarchy level, which, for example, if a compromise is detected, triggers a security mechanism which, however, has essentially no, preferably no effects on a second, third or fourth security -Security hierarchy has.
Die übrigen, nicht kompromittierten Sicherheitshierarchien, können daher, wie obig bereits dargestellt, unabhängig voneinander oder auch zusammen die Funktionsfähigkeit des Gesamtsystems erhalten. Mit anderen Worten, das Gesamtsystem, also das Steuerungssystem, läuft mit im Wesentlichen unveränderten Betriebswerten und/oder mit entsprechend angepassten Betriebswerten weiter. Eine Einstellung des Gesamtbetriebs des Steuerungssystems aufgrund einer innerhalb einer einzelnen oder mehreren Hierarchien festgestellten Sicherheitskompromittierung führt daher gerade nicht zu einer Gesamtkompromittierung des gesamten Steuerungs- und Hierarchiesystems des Steuerungssystems.The remaining, uncompromised security hierarchies can therefore, as already shown above, maintain the functionality of the overall system independently of one another or also together. In other words, the overall system, that is to say the control system, continues to run with essentially unchanged operating values and / or with correspondingly adjusted operating values. A cessation of the overall operation of the control system on the basis of a security compromise ascertained within a single or multiple hierarchies therefore does not lead to an overall compromise of the entire control and hierarchy system of the control system.
Gemäß zumindest einer Ausführungsform umfasst das Verfahren zum Betreiben eines industriellen Steuerungssystems, wie eines Energieerzeugungssystems und Übertragungssystems und/oder eines Fertigungssystems zumindest die Schritte, in denen zumindest eine Hierarchieebene sowie zumindest eine zweite Hierarchieebene bereitgestellt werden, wobei beide Hierarchieebenen in datentechnischem Austausch miteinander stehen, sodass jede einzelne Hierarchieebene zumindest eine bestimmte Funktion zu einem Steuern und/oder einer Regelung des Steuerungssystems zugeordnet wird und weiter, wobei die einzelnen Hierarchieebenen durch oder innerhalb zumindest eines elektronischen Bauelements des Steuerungssystems abgebildet sind oder abgebildet werden und weiter, wobei jede der Hierarchieebenen eine Sicherheitshierarchieebene ist. Dabei sei jedoch erwähnt, dass daneben es auch möglich ist, dass solche Hierarchieebenen bestehen können, welche sich von einer Sicherheitshierarchieebene unterscheiden und damit keinen Vertrauensanker aufweisen.According to at least one embodiment, the method for operating an industrial control system, such as a power generation system and transmission system and / or a manufacturing system, comprises at least the steps in which at least one hierarchical level and at least one second hierarchical level are provided, both hierarchical levels being in data exchange with one another, so that each individual hierarchical level is assigned at least one specific function for controlling and / or regulating the control system and further, the individual hierarchical levels being or being mapped by or within at least one electronic component of the control system and further, with each of the hierarchical levels being a safety hierarchical level . It should be mentioned, however, that it is also possible that such hierarchical levels may exist which differ from a security hierarchical level and thus do not have an anchor of trust.
Jede Hierarchieebene bildet eine separate, abgeschlossene Sicherheitsstufe mit jeweils eigenem Vertrauensanker für die jeweiligen Hierarchiestufen des Steuerungssystems, sodass im Falle einer von einer Überprüfungsinstanz, beispielsweise einer Firmware, erkannten kompromittierten Funktion, eine einzelne oder mehrere Hierarchien die Gesamtintegrität des Systems nicht beeinträchtigt wird, da in diesem Fall nur die kompromittierte Funktion und der dieser Funktion eindeutig zugeordneten Vertrauensanker, insbesondere einer Hierarchie, identifiziert und/oder abgeschaltet wird. In dieser Anmeldung werden im Übrigen „Hierarchie“ und „Hierarchieebene“ synonymisch verwendet.Each hierarchical level forms a separate, self-contained security level, each with its own trust anchor for the respective hierarchical levels of the control system, so that in the event of a compromised function recognized by a checking authority, for example firmware, one or more hierarchies does not impair the overall integrity of the system, since in in this case only the compromised function and the trust anchor uniquely assigned to this function, in particular a hierarchy, is identified and / or switched off. In this application, “hierarchy” and “hierarchy level” are used synonymously.
Gemäß zumindest einer Ausführungsform ist zumindest einem, vorzugsweise jedem, Nutzungsvorgang, insbesondere einem Sicherheitsboot und/oder einer Sicherheitsspeicherung oder dergleichen, zumindest einer Sicherheitshierarchieebene zugeordnet.According to at least one embodiment, at least one, preferably each, use process, in particular a safety boat and / or a safety storage device or the like, is assigned to at least one safety hierarchy level.
Denkbar ist, dass ein entsprechender Nutzungsvorgang während der gesamten Nutzungszeit innerhalb einer Sicherheitshierarchie, vorzugsweise einer einzigen Sicherheitshierarchie oder aber über zwei, drei oder mehrere Sicherheitshierarchien, von Statten geht.It is conceivable that a corresponding usage process takes place during the entire usage time within a security hierarchy, preferably a single security hierarchy or else over two, three or more security hierarchies.
Gemäß zumindest einer Ausführungsform bleibt im Falle des Feststellens einer Sicherheitslücke, also dem Feststellen einer kompromittierten Funktion die übrigen Funktionen, welche auf einem anderen Vertrauensanker als die kompromittierte Funktion beruhen, in ihrer Funktion und Vertrauenswürdigkeit unberührt. Dies stellt eine Ausführungsform einer separaten, abgeschlossenen Sicherheitsstufe dar.According to at least one embodiment, if a security gap is found, that is to say a compromised one is found Function the other functions, which are based on a different trust anchor than the compromised function, remain unaffected in their function and trustworthiness. This represents an embodiment of a separate, locked security level.
Die übrigen Hierarchieebenen oder Teile davon bleiben daher im Falle einer Feststellung einer Kompromittierung in ihrer Vertrauenswürdigkeit uneingeschränkt, sodass auf Basis dieser jeweils noch uneingeschränkt vertrauten Vertrauensanker, die diesen Vertrauensankern und/oder mit den entsprechenden Hierarchieebenen verbundenen Vertrauensankern erzeugten Systemfunktion zumindest teilweise, vorzugsweise jedoch vollständig erhalten bleibt.The remaining hierarchical levels or parts thereof therefore remain unrestricted in their trustworthiness in the event that a compromise is found, so that on the basis of these trust anchors, which are still unrestrictedly trusted, the system functions generated by these trust anchors and / or the trust anchors associated with the corresponding hierarchical levels are at least partially, but preferably completely, retained remains.
Gemäß zumindest einer Ausführungsform ist jeder Funktion des Steuerungssystems oder eines Teils davon oder einer Hierarchieebene des Steuerungssystems zumindest ein, vorzugsweise jedoch, genau ein, Vertrauensanker zugeordnet.According to at least one embodiment, each function of the control system or a part thereof or a hierarchical level of the control system is assigned at least one, but preferably exactly one, trust anchor.
Gemäß zumindest einer Ausführungsform ist zumindest eine Funktion über zumindest zwei verschiedene Hierarchieebenen hinweg definiert, beruht jedoch auf einem, vorzugsweise genau einem, Vertrauensanker.According to at least one embodiment, at least one function is defined across at least two different hierarchical levels, but is based on one, preferably exactly one, trust anchor.
Unter einer „Funktion“ kann im Sinne der vorliegenden Erfindung eine Nutzungsfunktion, wie eine Abspeicherung von Daten oder eine Verwendung von Daten zur Ausübung eines Betriebs des industriellen Steuerungssystems sein.In the context of the present invention, a “function” can be a usage function, such as the storage of data or the use of data to carry out an operation of the industrial control system.
Alternativ oder zusätzliche kann eine Funktion auch auf zwei oder mehr Vertrauensankern basieren. Denkbar ist, dass einer Anzahl von n-Funktionen m-Vertrauensanker zugeordnet sind. Die Platzhalter n und m sind ganze positive Zahlen größer Null.Alternatively or additionally, a function can also be based on two or more trust anchors. It is conceivable that m trust anchors are assigned to a number of n functions. The placeholders n and m are whole positive numbers greater than zero.
Gemäß zumindest einer Ausführungsform handelt es sich bei der Funktion um einen Sicherungsboot, eine abgesicherte Kommunikation, eine Sicherungsspeicherung und/oder um die Feststellung einer Geräteidentität oder dergleichen des Steuerungssystems oder Teilen davon.According to at least one embodiment, the function is a security boat, secured communication, security storage and / or the establishment of a device identity or the like of the control system or parts thereof.
Gemäß zumindest einer Ausführungsform wird ein Root oder Chain of Trust innerhalb des Steuerungssystems mittels zumindest einer der Funktionen eFuses, physically un cloneable function (PUF), trusted platform module (TPM) und/oder package assertions (Betriebssystemmechanismus) gebildet. Denkbar ist, dass ein Vertrauensanker, auch als „Root“ bezeichnet, von einer eine Sicherheitskette (zu Englisch: „Chain of trust“) aufgebaut wird. Hierauf aufbauend kann ein bestimmtes Sicherheitsmerkmal ausgeprägt werden.According to at least one embodiment, a root or chain of trust is formed within the control system by means of at least one of the functions eFuses, physically un cloneable function (PUF), trusted platform module (TPM) and / or package assertions (operating system mechanism). It is conceivable that a trust anchor, also referred to as “root”, is established by a security chain (in English: “Chain of trust”). Building on this, a specific security feature can be developed.
Jeder Security Use-Case, zum Beispiel jeder Vertrauenspfad, kann mit einer eigenen Root of Trust realisiert werden, dabei bieten sich verschieden Technologien an. Beispiele:
- 1. eFuses: One-Time-Programmable für Secure Boot mittels Public Key Authorization,
- 2. Physically unclonable function (PUF): Eineindeutige Geräteidentität
- 3. Trusted Platform Module (TPM): Secure Storage, Secure Communications, Geräteidentität
- 4. Package Assertions (Betriebssystem-Mechanismus von Ubuntu Core): Software Pakete werden Server-seitig signiert. Dieser Mechanismus setzt vertrauenswürdige Sandbox Applikationen um. Softwarepakete werden außerhalb des Automatisierungssystems, z. B. bereits im Entwicklungsprozess signiert. Das Automatisierungssystem prüft die Signatur, wenn das Gerät das Softwarepaket startet.
- 1. eFuses: One-Time-Programmable for Secure Boot using Public Key Authorization,
- 2. Physically unclonable function (PUF): Unique device identity
- 3. Trusted Platform Module (TPM): Secure Storage, Secure Communications, Device Identity
- 4. Package assertions (Ubuntu Core operating system mechanism): Software packages are signed on the server side. This mechanism implements trustworthy sandbox applications. Software packages are used outside of the automation system, e.g. B. already signed in the development process. The automation system checks the signature when the device starts the software package.
Der Sicherheitsweg umfasst daher nicht nur den Vertrauensanker, sondern alle weiteren Funktionen und/oder Hierarchieebenen und/oder Programm- und Datenpakete auf dem Weg zur Ausführung einer Funktion, sodass eine Kompromittierung auch eine Erschütterung der Vertrauensbasis in einen jeweiligen vorhandenen Vertrauensanker bildet. Mit anderen Worten ist der Vertrauensanker (Root of Trust) mit den kompromittierten Daten und/oder dem Ladenpaket unmittelbar entlang des Sicherheitsweges (Chain of Trust) verbunden.The security path therefore not only includes the trust anchor, but all other functions and / or hierarchical levels and / or program and data packages on the way to the execution of a function, so that a compromise also shakes the trust base in a respective existing trust anchor. In other words, the root of trust is connected to the compromised data and / or the store package directly along the security path (chain of trust).
Gemäß zumindest einer Ausführungsform wird nach Feststellung einer kompromittierten Funktion zumindest eine neue Chain of Trust Basis eines bereits vorhandenen Sicherheitsankers mittels zumindest einer der Funktionen E-Fuses, physically uncloneable function (PUF), trusted platform module (TPM) und/oder package assertions (Betriebssystemmechanismus) gebildet.According to at least one embodiment, after a compromised function has been determined, at least one new chain of trust basis of an already existing security anchor is created using at least one of the functions e-fuses, physically uncloneable function (PUF), trusted platform module (TPM) and / or package assertions (operating system mechanism ) educated.
Mit anderen Worten ist in einer hier vorgestellten optionalen Ausführungsform vorgeschlagen, dass eine kompromittierende Funktion einen bildhaft gedachten und datentechnischen Umweg um den kompromittierten Bereich, beispielsweise das kompromittierte Datenpaket, nimmt, sodass ein Vertrauensanker einem neuen Datenpaket entlang des Sicherungsweges zugeordnet werden kann.In other words, in an optional embodiment presented here, it is proposed that a compromising function take an imaginary and data-technical detour around the compromised area, for example the compromised data packet, so that a trust anchor can be assigned to a new data packet along the security path.
Gemäß zumindest einer Ausführungsform handelt es sich bei dem industriellen Steuerungssystem um einen Fertigungsroboter, um eine Werkzeugmaschine und/oder um ein Steuerungsgerät in einem Fahrzeug.According to at least one embodiment, the industrial control system is a production robot, a machine tool and / or a control device in a vehicle.
Des Weiteren betrifft die vorliegende Erfindung ein industrielles Steuerungssystem, wie ein Energieerzeugungs- und Übertragungssystem und/oder ein Fertigungssystem.Furthermore, the present invention relates to an industrial control system such as a Power generation and transmission system and / or a manufacturing system.
Insbesondere sind alle für das hier beschriebene Verfahren offenbarten Merkmale auch für die hier beschriebene Steuerungssysteme offenbart und umgekehrt.In particular, all of the features disclosed for the method described here are also disclosed for the control systems described here, and vice versa.
Dabei umfasst das industrielle Steuerungssystem zumindest eine Hardwarekomponente, welche zumindest eine, vorzugsweise zumindest zwei, Hierarchieebenen abbildet und/oder definiert oder zumindest ein Teil derer ist, wobei jede der Hierarchieebenen eine Sicherheitshierarchieebene ist.The industrial control system comprises at least one hardware component which maps and / or defines at least one, preferably at least two, hierarchical levels or is at least part of them, each of the hierarchical levels being a security hierarchical level.
Das industrielle Steuerungssystem ist insbesondere auch dadurch gekennzeichnet, dass jede Hierarchieebene eine separate, abgeschlossene Sicherheitsstufe mit jeweils eigenem Vertrauensanker für die jeweiligen Hierarchiestufen des Steuerungssystems bildet, sodass im Falle einer von einer Prüfungsinstanz, beispielsweise einer Firmware, erkannte kompromittierte Funktion einer einzelnen oder mehrerer Hierarchien die Gesamtintegrität des Systems nicht beeinträchtig wird, da in diesem Fall nur die kompromittierte Funktion und der dieser Funktion eindeutig zugeordnete Vertrauensanker, insbesondere eine Hierarchie, identifizierbar und/oder abschaltbar ist. Dabei umfasst das hier beschriebene Steuerungssystem die gleichen Ausgestaltungen und optionalen Merkmale wie das obig beschriebene Verfahren, sodass das hier beschriebene Steuerungssystem insbesondere dazu eingerichtet und dafür vorgesehen ist, zumindest das obig beschriebene Verfahren gemäß dem Patentanspruch 1 durchzuführen.The industrial control system is particularly characterized in that each hierarchical level forms a separate, closed security level, each with its own trust anchor for the respective hierarchy levels of the control system, so that in the case of a compromised function of an individual or several hierarchies recognized by a checking instance, for example firmware, the The overall integrity of the system is not impaired, since in this case only the compromised function and the trust anchor clearly assigned to this function, in particular a hierarchy, can be identified and / or switched off. The control system described here comprises the same configurations and optional features as the method described above, so that the control system described here is set up and provided in particular to carry out at least the method described above according to claim 1.
Im Weiteren wird die hier beschriebene Erfindung anhand von Figuren und Ausführungsformen weiter beschrieben.The invention described here is further described below with reference to figures and embodiments.
Die
In den Figuren sind gleiche oder gleich wirkende Bestandteile mit den gleichen Bezugszeichen versehen, auch wenn manche Bestandteile übertrieben groß dargestellt sein mögen.In the figures, identical or identically acting components are provided with the same reference symbols, even if some components may be shown in an exaggerated manner.
In der
Mit anderen Worten zeigt die
In der
In einem Trust-Szenario „Identity“ wird in einem Block
In der
Wie obig dargestellt können daher verschiedene Hardware Root of Trust eines jeden Trust-Szenarios beliebig kombiniert sein. Zum Beispiel kann eine Gerätidentität sowohl mit TPM, als auch mit PUF realisiert werden.As shown above, different hardware roots of trust of each trust scenario can therefore be combined as desired. For example, a device identity can be implemented with both TPM and PUF.
Kurz zusammengefasst kann jeder Security Use-Case mit einer eigenen Root of Trust realisiert werden, dabei bieten
sich verschieden Technologien an. Beispiele:
- 1. eFuses: One-Time-Programmable für Secure Boot mittels Public Key Authorization,
- 2. Physically unclonable function (PUF): Eineindeutige Geräteidentität
- 3. Trusted Platform Module (TPM): Secure Storage, Secure Communications, Geräteidentität
- 4. Package Assertions (Betriebssystem-Mechanismus von Ubuntu Core): Software Pakete werden Server-seitig signiert. Dieser Mechanismus setzt vertrauenswürdige Sandbox Applikationen um. Softwarepakete werden außerhalb des Automatisierungssystems, z. B. bereits im Entwicklungsprozess signiert. Das Automatisierungssystem prüft die Signatur, wenn das Gerät das Softwarepaket startet.
different technologies. Examples:
- 1. eFuses: One-Time-Programmable for Secure Boot using Public Key Authorization,
- 2. Physically unclonable function (PUF): Unique device identity
- 3. Trusted Platform Module (TPM): Secure Storage, Secure Communications, Device Identity
- 4. Package assertions (Ubuntu Core operating system mechanism): Software packages are signed on the server side. This mechanism implements trustworthy sandbox applications. Software packages are used outside of the automation system, e.g. B. already signed in the development process. The automation system checks the signature when the device starts the software package.
Die Erfindung ist nicht durch die Beschreibung anhand der Ausführungsbeispiele beschränkt, vielmehr erfasst die Erfindung jedes neue Merkmal sowie jede Kombination von Merkmalen, was insbesondere jede Kombination von Merkmalen in den Patentansprüchen beinhaltet, auch wenn dieses Merkmal oder diese Kombination selbst nicht explizit in den Patentansprüchen oder den Ausführungsbeispielen angegeben ist.The invention is not limited by the description based on the exemplary embodiments, rather the invention covers every new feature and every combination of features, which in particular includes every combination of features in the patent claims, even if this feature or this combination itself is not explicitly stated in the patent claims or the exemplary embodiments is given.
Die Anmelderin behält sich vor, sämtliche in den Anmeldungsunterlagen offenbarten Merkmale als erfindungswesentlich zu beanspruchen, sofern sie einzeln oder in Kombination gegenüber dem Stand der Technik neu sind. Es wird weiterhin darauf hingewiesen, dass in den einzelnen Figuren auch Merkmale beschrieben wurden, welche für sich genommen vorteilhaft sein können. Der Fachmann erkennt unmittelbar, dass ein bestimmtes in einer Figur beschriebenes Merkmal auch ohne die Übernahme weiterer Merkmale aus dieser Figur vorteilhaft sein kann. Ferner erkennt der Fachmann, dass sich auch Vorteile durch eine Kombination mehrerer in einzelnen oder in unterschiedlichen Figuren gezeigter Merkmale ergeben können.The applicant reserves the right to claim all features disclosed in the application documents as essential to the invention, provided that they are new to the state of the art, individually or in combination. It is further pointed out that features have also been described in the individual figures, which can be advantageous in themselves. The person skilled in the art immediately recognizes that a certain feature described in a figure can also be advantageous without the adoption of further features from this figure. Furthermore, the person skilled in the art recognizes that advantages can also result from a combination of several features shown in individual or in different figures.
Claims (10)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102019217512.0A DE102019217512A1 (en) | 2019-11-13 | 2019-11-13 | Method for operating an industrial control system |
CN202011258996.8A CN112799354A (en) | 2019-11-13 | 2020-11-12 | Method for operating an industrial control system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102019217512.0A DE102019217512A1 (en) | 2019-11-13 | 2019-11-13 | Method for operating an industrial control system |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102019217512A1 true DE102019217512A1 (en) | 2021-05-20 |
Family
ID=75683167
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102019217512.0A Pending DE102019217512A1 (en) | 2019-11-13 | 2019-11-13 | Method for operating an industrial control system |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN112799354A (en) |
DE (1) | DE102019217512A1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8756417B1 (en) * | 2014-02-04 | 2014-06-17 | Sypris Electronics, Llc | Multi-level assurance trusted computing platform |
US20180091315A1 (en) * | 2016-09-27 | 2018-03-29 | Qualcomm Incorporated | Revocation and updating of compromised root of trust (rot) |
US20180357183A1 (en) * | 2015-12-02 | 2018-12-13 | Cryptography Research, Inc. | Device with multiple roots of trust |
-
2019
- 2019-11-13 DE DE102019217512.0A patent/DE102019217512A1/en active Pending
-
2020
- 2020-11-12 CN CN202011258996.8A patent/CN112799354A/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8756417B1 (en) * | 2014-02-04 | 2014-06-17 | Sypris Electronics, Llc | Multi-level assurance trusted computing platform |
US20180357183A1 (en) * | 2015-12-02 | 2018-12-13 | Cryptography Research, Inc. | Device with multiple roots of trust |
US20180091315A1 (en) * | 2016-09-27 | 2018-03-29 | Qualcomm Incorporated | Revocation and updating of compromised root of trust (rot) |
Non-Patent Citations (2)
Title |
---|
Levine, B.: „ Strong security requires multiple roots of trust ". Embedded, June 2019. URL: https://www.embedded.com/strong-security-requires-multiple-roots-of-trust/ (abgerufen am 02.09.2020) * |
Levine, B.: „Will the Real Root of Trust Stand Up?". EEWeb, June 2019. URL: https://www.eeweb.com/will-the-real-root-of-trust-stand-up/ (abgerufen am 02.09.2020) * |
Also Published As
Publication number | Publication date |
---|---|
CN112799354A (en) | 2021-05-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE69815599T2 (en) | Method and device for protecting application data in secure memory areas | |
DE102009013384B4 (en) | System and method for providing a secure application fragmentation environment | |
DE102016215914A1 (en) | Securing a device usage information of a device | |
EP3012761A1 (en) | Protection of software models | |
DE102018204021A1 (en) | Method for exchanging data with a vehicle control unit | |
WO2018137856A1 (en) | Method and device for the computer-supported creation and execution of a control function | |
EP2367128A1 (en) | Device and method for electronic signatures | |
DE112012003795T5 (en) | Vehicle network system and vehicle information processing method | |
DE112018000525T5 (en) | Systems and procedures for authenticating Platform Trust or platform trust in a network-aware virtualization environment | |
EP3696699B1 (en) | Secure and flexible firmware updating in electronic devices | |
DE102015003236A1 (en) | Method and system for providing temporary, secure access enabling virtual resources | |
EP3192226A1 (en) | Device and method for controlling a communication network | |
EP3111609B1 (en) | Use of certificates using a positive list | |
EP3811261B1 (en) | Cryptography module and method for operating same | |
EP3655876B1 (en) | Single-chip system, method for operating a single-chip system, and motor vehicle | |
EP4127994A1 (en) | Method and device for securely starting up a container instance | |
DE102018217431A1 (en) | Secure key exchange on one device, especially an embedded device | |
DE102019217512A1 (en) | Method for operating an industrial control system | |
DE112014004611T5 (en) | Control system and authentication device | |
WO2020020634A1 (en) | Controlling a data network with respect to a use of a distributed database | |
DE102015107071B3 (en) | Device and method for controlling a communication network | |
DE102019209342A1 (en) | Method and transmission device for data transmission between two or more networks | |
DE102021004427B4 (en) | Method for implementing and using cryptographic material in at least one system component of an information technology system | |
EP1643336A1 (en) | Clear product identification | |
DE102021125750A1 (en) | Computing unit for a vehicle and method and computer program for a computing unit for a vehicle |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R163 | Identified publications notified | ||
R012 | Request for examination validly filed |