在有实时能力的通信网络之内提供安全通信的制作方法

本发明涉及一种用于在有实时能力的通信网络之内、尤其是在工业制造和/或自动化的环境中提供安全通信的方法、设备和通信装置以及一种所属的计算机程序（产品）。

背景技术：

在现今的自动化设施中，为了控制制造过程或者各个生产步骤，使用it系统。为了在这种设施中使现场设备、如传感器和执行机构（执行器）可以与自动化设备进行通信，作为通信总线系统使用所谓的现场总线。对于通信来说存在标准化的协议，例如iec61158。存在有实时能力的基于以太网的现场总线，所述现场总线例如在iec61784-2标准中被总结。经常使用的有实时能力的现场总线是profibus和profinet、ethercat以及modbus。

工业现场总线协议的安全性对于工业制造环境来说是重要的。对彼此进行通信的组件、如车间或设备的（密码的）保护越来越重要，以便可以保证安全的运行。通过密码功能，可以实现如组件的完整性、保密性或真实性那样的目标。由此，防御蓄意的、目标明确的攻击。

术语“安全性”基本上涉及数据的安全性、保密性和/或完整性以及其传输，而且也涉及在访问相对应的数据时的安全性、保密性和/或完整性。在数据传输时或在数据访问时的认证尤其也属于术语“安全性”。一般，密码功能例如被理解为用于对数据（例如用户数据、控制数据、配置数据或管理数据）进行认证、加密、机密性保护和/或完整性保护的功能。在此，密码的保护功能性例如可以包括随后列举的功能性其中的一个或多个：

-密钥存储

-系统和/或用户认证

-证明

-加密

-解密

-计算密码校验和（例如签名）

-检查密码校验和（例如签名）

-密钥协商

-密钥生成

-生成随机数（例如种子生成（seed-generierung））

-许可

-对系统的监控功能的支持（例如防篡改保护（tamper-schutz）、系统完整性、siem）

-监控或数据监控

-验证数据

-过滤数据。

在此，所列举的密码功能性可以分别又以另外的/其它的方法或者这些方法的组合来实施。

用于在所提到的组件之间的数据传输或通信的数据接口可以例如是有线或无线的接口（例如移动无线电接口（gsm、umts、lte）、wlan接口、蓝牙接口、zigbee接口（尤其是在住宅技术（haustechnik）中使用）或nfc接口（nfc：近场通信（nearfieldcommunication）））。在此，数据接口可以被构造和设立为串行或并行的数据接口。在组件之间的通信并不限于点对点（端（peer））通信。也能够设想的是分组通信、广播消息或发布/订阅通信模式。

通过操纵（manipulation）现场总线消息、也称作报文（telegram），例如可能影响所生产的作品或商品的质量，破坏各个制造组件或者使工厂停工。随着其中使用基于以太网的现场总线协议、如profineti/o、ethercat或modbus的不断增加的数字化，对网络基础设施的攻击和对现场总线报文的操纵变得明显更简单。

用于在不同的级别中将工业的组件和机器归入为值得信任的措施应被划分成不同的区（区模型）。在这种区之内通常没有其它保护措施。这些区大多被设计为使得在组件之间的通信在该区之内发生并且只能有条件地与在自己的区之外的组件进行通信。在该区之内的内容或节点或组件受保护而且存在专用的到其它区的过渡点。这种区模型的示例是：

*在profinet安全指南版本2.0/10.2章中的区保护方案

*在iec62443中的管道（conduits）和区

*对工业控制系统的nist-sp800-82指南。

在将来的工业4.0情形的过程中，这种区保护方案不再是适合的，越来越多地超越区界限地进行通信。这种过渡点常常使数据流延迟并且因此影响实时性能。

在传统的it网络中，常常使用tls（transportlayersecurity（传输层安全））或ipsec（internetprotokollsecurity（互联网协议安全）），作为安全协议。如该全名已述的那样，tls在通信技术中使用的osi参考模型的第4级（第4层或传输层）上被限定，而ipsec在通信技术中使用的osi参考模型的第3级或层（交换层）上被限定。

以太网协议以及上面提到的现场总线协议在osi参考模型的第2级上使用。所谓的安全层（第2层）通常确保没有错误的数据传输而且必要时确保在发送者侧和接收者侧的数据流控制。通常，消息或数据流被分成块（也称作frames/帧）。借助于校验和仅能识别有错误的数据传输。不存在针对主动操纵的保护。当前的现场总线协议不知道安全措施，除了上面提到的区模型之外。

在该环境中，还存在如下问题：（密码的）安全措施在osi层/级中实现得越高，这些（密码的）安全措施对时间特性（zeitverhalten）起的作用就越大。因此，这些（密码的）安全措施并不适合用于有实时能力的通信协议、诸如profinet等等。此外，在没有用密码的数据进行扩展的情况下，这些协议应该在osi参考模型的第1级和第2级上保持不变，以便使这些协议可以继续被使用。

从de102010033229a1已知一种用于通过传输网络防操纵地传输控制数据的方法和系统。在这种情况下，这些控制数据可以“带内”地在同一网络中或者也可以“带外地”、也就是说在同一网络中单独地从第一控制网络的控制单元被传输到第二控制网络的第二控制单元。因为这些控制网络与传输网络通过网关（过渡点）来耦合，所以在该文献中公开的情形类似于上面阐述的区模型。

在de102015218373.4中已经提出了一种用于监控分布式系统的完整性的方法。在这种情况下，随机地确定测试数据组，该测试数据组取决于要通过分布式系统的通信连接来传输的数据组。此外，测试数据组以密码保护的方式被提供给校验单元，其中以不受所述确定和提供的影响的方式经由通信连接来传输数据组，而且其中依据密码计算和合理性信息鉴于完整性方面由校验单元来校验密码保护的测试数据组。在这种情况下，计算少的抽检法很重要。然而，消息应该有针对性地并且不是随机地受到完整性检查。

本发明的任务是：在没有干预通信协议的情况下，针对低于osi参考模型的第3级的通信协议、尤其是工业现场总线协议提供目标明确的、有实时能力的安全或保护措施。

技术实现要素：

该任务通过独立专利权利要求来解决。有利的扩展方案是从属权利要求的主题。

本发明要求保护一种用于在有实时能力的通信网络之内、尤其是在工业制造和/或自动化的环境中提供在至少一个第一通信伙伴与至少一个第二通信伙伴之间的安全通信的方法，该方法具有如下步骤：

-提供至少两个接口，所述接口是分别被分配给通信伙伴的或分别被分配给通信伙伴，

-借助于至少一个能够预先给定的过滤标准，通过分别被分配的接口来将在通信伙伴之间的至少一个被发送和/或被接收的消息滤出（herausfiltern），其中至少一个被滤出的消息受到完整性检查，

-其中为了进行完整性检查，形成用于在第一通信伙伴处被发送和/或被接收的至少一个被滤出的消息的第一完整性参考值，并且形成用于在至少一个第二通信伙伴处被接收和/或被发送的至少一个被滤出的消息的至少一个第二完整性参考值，

-提供检查机构用于完整性检查，

-使第一完整性参考值与至少第二完整性参考值相关而且通过检查机构将所述第一完整性参考值和至少所述第二完整性参考值进行比较，

-如果经相关的完整性参考值彼此不同，则由该检查机构输出警告和/或警报讯息，或者将来自该检查机构的警告和/或警报讯息转发给采取相对应的应对措施的机构。

在此，第一和第二完整性参考值可以彼此不同，使得所述第一和第二完整性参考值处在能够预先给定的公差范围之外。在通信网络中能够设想的是多个通信伙伴。本发明并不限于点对点通信，而是也可以服务于（bedienen）一点对多点的通信（广播）。也能够设想的是：在通信网中布置多个检查机构，所述检查机构分别承担针对该通信网的分区的完整性检查而且必要时由其它上级机构来协调。

本发明的优点在于识别和防御攻击，其中未经授权的攻击者想要达成对车间或设备的访问。因此，也可以监控消息的完整性，而对时间特性没有反作用。

本发明的另一优点在于：本发明并不限于开头阐述的区，而是必要时可以超越多个过渡点地被使用。此外，检查机构并不监控消息本身，而是仅仅使完整性参考值相关和并对其检查，由此可以降低网络负荷。通过按照本发明的类型的完整性检查，也可以对机密的/敏感的数据进行检查。

本发明的一个扩展方案规定：为了在通信伙伴之间的通信，使用低于通信技术中所使用的osi参考模型的第3级、也称作交换层的通信协议。为了在通信伙伴之间进行通信，也可以使用现场总线通信协议。

按照本发明，尤其设置所谓的带外（out-of-band）完整性检查，而不需要干预所使用的现场总线协议。因此，可以及早地识别出攻击。

本发明的一个扩展方案规定：至少一个过滤标准涉及消息类型、发送者和/或接收者、随机的消息滤出、带宽和/或网络负荷和/或可过滤的消息内容和/或它们的任何组合。

本发明的一个扩展方案规定：所提到的接口一起读取被动地被发送和/或接收的消息。因此，这些接口也被称作安全接口，这些接口对消息流没有影响。

监控标准或过滤标准可以在接口（也可以构造为安全传感器（sicherheits-sensoren））的过滤单元中灵活地配置并且情况特定地被适配。通过检查机构可以使过滤标准保持同步。

在这种情况下，第一完整性参考值可包括多个完整性参考值和/或第二完整性参考值同样可包括多个完整性参考值。这种完整性参考值可分别是被滤出的被发送/被接收的消息的和/或其部分的和/或多个被过滤的消息的累积的和/或其部分的哈希值。

本发明的一个扩展方案规定：将来自能够预先给定的时间窗的至少一个第一完整性参考值与来自同一时间窗的相关的至少第二完整性参考值进行比较。

本发明的一个扩展方案规定：在彼此独立的信道内执行在通信伙伴之间的通信和在相应的接口与检查机构之间的通信。

本发明的另一方面规定一种用于完整性检查的设备，该设备适合用于在有实时能力的通信网络之内、尤其是在工业制造和/或自动化的环境中提供在至少两个通信伙伴之间的安全通信，该设备具有：

-用于接收用于至少一个被滤出的消息的所形成的第一完整性参考值和/或用于接收用于至少一个被滤出的消息的所形成的至少一个第二完整性参考值的单元；

-用于使第一完整性参考值与所述至少第二完整性参考值相关并且用于将其进行比较的单元；

-用于在经相关的完整性参考值彼此不同的情况下输出警告和/或警报讯息的单元，该警告和/或警报讯息被设置用于采取相对应的应对措施的机构。

该设备可以根据关于上面提到的方法的实施方式/扩展方案来构造或扩展。

上面提到的检查机构可以构造为上文描述的用于进行完整性检查的设备。

本发明的另一方面规定了一种装置、尤其是一种通信装置或通信系统，其用于在有实时能力的通信网络之内、尤其是在工业制造和/或自动化的环境中提供在至少两个通信伙伴之间的安全通信，该装置具有至少两个被分配给通信伙伴的安全接口，所述安全接口分别具有至少一个单元，用于形成用于被发送和/或被接收的消息的完整性参考值并且用于将完整性参考值传输给至少一个对完整性参考值进行检查的根据上面提到的类型之一的设备、也称作检查机构。

此外，每个安全接口都可以分配有用于借助于至少一个能够预先给定的过滤标准将在通信伙伴之间的至少一个被发送和/或被接收的消息滤出的单元，其中所述至少一个过滤标准能通过上面提到的设备来同步。

被分配给接收消息的通信伙伴的安全接口和/或被分配给发送消息的通信伙伴的安全接口还可具有用于从上面提到的设备接收完整性值比较结果的单元。

安全接口还可具有用于根据完整性值比较结果来将警告和/或警报讯息输出给采取相对应的应对措施的机构的输出单元。

该通信装置可以根据用于上面提到的设备和/或用于上面提到的方法的实施方式/扩展方案来构造或扩展。

上文提到的单元可以以软件、固件和/或硬件来实现。这些单元可以被理解为一种类型的功能单元，所述功能单元也可以在其功能方面以任意的组合来集成单个单元。

本发明的另一方面可以是计算机程序或具有至少一个计算机程序的计算机程序产品，其具有如下装置，在该计算机程序（产品）或所述至少一个计算机程序在根据上面描述的类型的通信装置之内分布式地被执行的情况下，所述装置用于执行所述方法及其所提到的设计方案。

上面的设备、装置以及必要时计算机程序（产品）可以基本上类似于该方法及其设计方案或扩展方案地相对应地被构造或扩展。

附图说明

一个或多个实施例：

本发明的其它优点、细节和扩展方案从随后结合附图对实施例的描述中得到。

在此：

附图示出按照本发明的用于在现场总线通信中的完整性检查的方法（vorgehen）。

具体实施方式

按照该附图，io控制器ioc与io设备iod例如通过通信网络、例如profinetirt来交换消息m，n。io控制器ioc例如将消息m（profinetirt报文）发送给io设备。被分配给io控制器的安全接口s1一起读取消息m并且依据可以在过滤功能f1中实现的（过滤）规则来决定：用于消息m的完整性检查被激活,其中所述安全接口必要时被构造为传感器。

该过滤功能可包括用于消息的检查或监控的规则。因此可以规定：

-要监控哪个消息类型（例如仅profinet消息，没有http消息）；

-要监控来自哪个（哪些）发送者的或哪个（哪些）接收者的哪个消息；

-这些消息是否应该随机地或者根据能够预先给定的条件（例如网络的带宽/负荷）来被监控；

-哪个消息内容应该依据能够预先给定的过滤掩模或模板来监控，等等。

安全接口或安全传感器s1计算完整性参考值i1并且将该完整性参考值发送给检查机构ia、也被称作integrityauthority（完整性主管部门）。在ioc和iod彼此进行通信之前，建立与检查机构ia的安全连接并且在那里被认证。

io设备iod接收消息m并且可以对该消息进行处理。被分配给io设备iod的安全接口s2一起读取消息m并且依据可以在过滤功能f2中实现的（过滤）规则来决定：用于消息m的完整性检查被激活，其中所述安全接口s2必要时被构造为传感器。优选地，安全传感器s1和s2无源地来构造。这些安全传感器仅仅一起读取而没有进一步影响在ioc与iod之间的通信。因而，并不负面地影响在ioc与iod之间的通信的实时能力。

安全接口或安全传感器s2计算完整性参考值i2并且将该完整性参考值发送给检查机构ia。检查机构将完整性参考值i1和i2彼此进行比较并且可以在这些值不相等的情况下发现可能的操纵。

完整性参考值描绘在通信伙伴或组件之间、在示例中ioc与iod之间所交换的消息的完整性。为了使检查机构ia可以做出关于完整性的状态的论述或评价，可以将组件的物理特性、配置数据和/或所谓的合理性数据、诸如投影数据用于完整性检查。合理性数据还可包括预先计算的、例如从仿真中推导出的数据。同样，实时存在的、必要时冗余的数据可以被彼此均衡，其中所述数据必要时来自所谓的数字双胞胎数据（“digitaltwinningdata”）。借助于不同的合理性数据可以结合多种类型的完整性检查。

完整性检查可以时间延迟地并且在下游被执行。通常，在制造环境中，在识别出被操纵的消息时触发警告讯息或安全警报。于是，制造可以一直继续进行，直至由于警告讯息/安全警报而确定必要时由采取应对措施的第三机构（未在该附图中示出）进行的适合的应对措施。完整性检查可以随时情况特定地被适配。

此外，也应该保护在安全传感器s1、s2与检查机构ia之间的通信路径上的完整性参考值的完整性和真实性。可以通过独立的信道来进行所述通信，其中可以应用经典的基于ip的通信协议、诸如tls或ipsec。

被发送/被接收的消息、消息的部分的纯哈希值（单元功能）或者消息的累积的哈希值可以作为完整性参考值。除了完整性校验和之外，该完整性参考值也可包含如下数据、诸如时间戳和帧计数，所述数据被检查机构需要用于完整性参考值i1和i2的相关或分配。关于消息的历史的信息也可以被包含到完整性值中。也能够设想的是：生成机密的信息的完整性参考值，而不需要将明文交出（preisgeben）给安全传感器或检查机构。

如果基于边界条件、诸如彼此进行通信的组件的硬件地址、网络地址或逻辑地址或者所述组件的哈希值的明确的相关并非容易实现，则可以使用基于时间窗的方案。具有开始时间点a和结束时间点e的时间段t被称作时间窗。来自时间窗t0=[s0..e0]的完整性参考值i1[]的集合必须与来自同一时间窗的完整性参考值i2[]的集合一致。时间窗可以顺序地、不相交地（disjunkt）或重叠地被使用。

在完整参考值i1与i2之间的相关也可以通过如下方式来建立，其方式是：过滤功能f1和f2的一个过滤标准或多个过滤标准通过检查机构来同步，其中所述检查机构可以预先给定过滤标准。借此可以确保：将用于同一消息、例如m或者至少用于同一消息类型等等的完整性值彼此进行比较。

另一设计方案在于：这些通信伙伴必须利用检查机构在该检查机构处被认证。在此，认证信息可包含关于security-level（安全级）的信息（例如iec62443sl-1至sl-4），使得通过检查机构可以确定出：两个通信伙伴、在本例中是具有ioc的s1和具有iod的s2是否具有相同的安全级，或者例如数据是从具有更高安全级的设备被传输到具有更低安全级的设备还是反之。

在ioc与iod之间的通信路径上被授权的通信伙伴允许/可以合法地对消息进行改变。接着，该改变可以被报告给检查机构ia。因此，在ioc与iod之间的完整性破坏可以经由检查机构ia合法化（legtimieren）。

尽管本发明已经详细地通过优选的实施例进一步被图解和描述，但是本发明并不限于所公开的示例，并且其它变型方案可以由本领域技术人员从中推导出来，而不偏离本发明的保护范围。

上文描述的过程或方法流程的实现方案可以依据如下指令来进行，所述指令存在于计算机可读的存储介质上或者存在于易失性计算机存储器（在下文概括地称为计算机可读的存储器）中。计算机可读的存储器例如是易失性存储器、如缓存、缓冲器或ram，以及非易失性存储器、如可移动磁盘、硬盘等等。

在此，上面描述的功能或步骤可以以至少一个指令组的形式存在于计算机可读的存储器上/计算机可读的存储器中。在此，这些功能或步骤没有绑定到特定指令组上或绑定到指令组的特定形式上或者绑定到特定存储介质上或者绑定到特定处理器上或者绑定到特定实施模式上，而且可以通过软件、固件、微码、硬件、处理器、集成电路等等以单独运行方式或以任意的组合方式来实施。在此，可以应用到各种各样的处理策略，例如由单个处理器进行的串行处理或者多重处理或多任务处理或并行处理等等。

这些指令可以保存在本地存储器中，但是也可能的是，将这些指令保存在远程系统上并且经由网络来访问该远程系统。

术语“处理器”、“中央信号处理装置”、“控制单元”或“数据评估装置”如这里所使用的那样包括广义上的处理装置，即例如服务器、通用处理器、图形处理器、数字信号处理器、专用集成电路（asic）、可编程逻辑电路、如fpga、分立式模拟或数字电路和它们的任意的组合，包括所有其它本领域技术人员已知的或者在将来所开发的处理装置在内。在此，处理器可由一个或多个设备或装置或单元组成。如果处理器由多个设备组成，则这些设备可以被设计或配置用于并行地或串行地处理或执行指令。