用于安全执行控制应用的方法和系统及检查设备与流程

本发明涉及一种用于安全执行控制应用的方法和系统，尤其是在工业自动化系统内，以及一种检查设备。该系统和检查设备用于执行根据本发明的方法。

背景技术：

1、工业自动化系统通常包括多个经由工业通信网络彼此联网的自动化装置并且在制造或过程自动化或者其他自动化领域的范围内用于控制、调节或者监控设施、机器或者装置。由于工业自动化系统中时间关键性的框架条件，为了在自动化装置之间进行通信，主要使用实时通信协议，如profinet、profibus、实时以太网(real-time-ethernet)或时间敏感网络(tsn)。控制服务或控制应用特别地可以被自动地并根据负载情况分配到工业自动化系统当前可用的服务器或虚拟机上。

2、wo 2014/109645 a1涉及一种用于监控工业控制系统的方法，其中从工业控制系统外部的一个或多个来源收集数据。另外，从工业控制系统的一个或多个内部来源收集数据。此外，对从内部来源或从外部来源收集的数据进行汇集。还通过与先前收集的数据相关联对收集的数据进行分析，以便用这种方式监控工业控制系统的安全状态。

3、在wo 2020/182627 al中描述了一种用于监控工业信息物理系统的完整性的方法，其中提供或者量取利用信息物理系统的不同传感器检测的测量数据或者为信息物理系统的不同执行器确定的控制数据。此外，得出在利用不同的传感器所获取的测量数据之间的至少一个测量数据关联参数，或者在为不同的执行器确定的控制数据之间得出至少一个控制数据关联参数。将至少一个测量数据关联参数与测量数据关联参考比较，或者将至少一个控制数据关联参数与控制数据关联参考比较。基于该比较，评估需监控的信息物理系统的完整性。

4、wo 2020/212051 a1中已知一种工业自动化装置，该工业自动化装置包括用于检查和监控工业自动化装置的完整性状态的监控单元。此外，设置至少一个装置部件，其无反作用地经由通信连接与监控单元通信。在此，无反作用的通信包括将至少一个装置部件参数从装置部件提供给监控单元。监控单元被设计用于记录并处理提供的工业自动化装置的装置部件的装置部件参数，该参数用于检查和监控工业自动化装置的完整性状态。另外，监控单元被设计用于将工业自动化装置的完整性状态作为经处理的工业自动化装置部件参数的结果记录或提供。此外，通过操纵保护，监控单元作为受信任的装置部件被防操纵地设计在工业自动化装置中。

5、在先的国际专利申请wo 2021/164911 al中已知一种用于监控计算装置的完整性状态的计算机辅助方法，其中，首先为总完整性值指定初始化值。之后，总完整性值被存储在存储单元的受信任的存储区域中。随后，通过完整性识别系统得出完整性状态并且生成完整性状态值。其后，将完整性状态值作为完整性状态存储在受信任的存储区域中的总完整性值中。

6、为了防止在程序代码中利用现有漏洞，可以使用例如基于编译器的漏洞保护(exploit protection)方案，其在编译过程期间在程序代码中插入附加的保护或检查例程。这样的保护方案可以纯基于软件或者以硬件支持来实现。利用该保护方案尤其可以在运行时识别诸如代码注入(code injection)、缓冲区溢出(buffer over flows)、返回导向编程(return-oriented programming(rop))和跳转导向编程(jump-orientedprogramming(jop))的威胁。在识别到潜在攻击时，例如在命令行中输出报错消息或者立即停止程序执行。以这种方式使利用现有的漏洞变得困难。通常，在编译过程期间指定用于识别攻击的方法以及对识别到的攻击作出反应的措施，因此在运行时不可再更改。

7、尽管应用了保护措施，但是并不总能避免针对用于通过工业自动化装置提供的控制应用的程序代码被恶意操纵。旨在消除程序代码中漏洞的补丁经常不能足够及时地供使用或者不能及时被加入。特别是在设施中运行的技术过程或操作限制使随时提供或加入补丁变得不可能。此外，通过调整代码排除漏洞会随所使用的编程语言而或多或少地变得复杂。即使许多保护方案能够在软件性能与保护水平之间实现良好的平衡，原则上也可能出现误报警(false positives)，误报警发出程序代码受攻击的信号，尽管攻击并不存在。在工业自动化系统中，如果自动化过程由于这种误报警而停止是极其成问题的。这通常导致昂贵的、不必要的中断，质量问题，甚至安全风险。由于这些问题，现有的漏洞保护方案对于工业自动化装置经常是无法应用的。

技术实现思路

1、本发明的目的在于:创建一种用于安全执行控制应用的方法，该方法尤其在采用漏洞保护方案时，能够通过正确检出的威胁和避免由误报警引起的运行中断来提高可靠性，以及给出用于执行该方法的合适的实施方式。

2、根据本发明，这一目的通过具有权利要求1中所述特征的方法，通过具有权利要求12中所述特征的系统以及通过具有在权利要求13中所述特征的检查设备来实现。本发明有利的改进方案在从属权利要求中给出。

3、根据本发明，用于安全执行控制应用的方法为至少一个控制应用指定至少一个事件，在与控制应用相关联的程序代码或至少一个连接到处理程序代码的程序流程控制设备的外围设备受到潜在操纵时，所述事件被触发。程序流程控制设备监控控制应用的流程是否偏离期望的流程行为并且在偏离时触发指定的事件。在此，事件尤其可以包括对程序代码内的代码位置、指定的事件的发生时间、事件类型或报错类型的指定。

4、根据本发明，在指定的事件被触发之后，程序代码继续通过程序流程控制设备处理，并且该事件被报告给与程序流程控制设备分开的检查设备。在报告事件时，检查设备根据可更新的检查规则分析控制应用的流程行为以及与控制应用相依赖的控制部件。检查规则独立于控制应用的流程而被更新。优选地，所述检查设备对与控制应用相关联的程序代码和与控制应用相依赖的控制部件的操纵结合起来分析。此外，检查设备可以有利地根据程序流程控制设备的运行状态或根据至少一个所选择的状态，分析控制应用的流程行为以及与控制应用相依赖的控制部件。

5、根据本发明，在根据检查规则识别到控制应用的不允许的流程行为时，检查设备将控制应用和与控制应用相依赖的控制部件转换至预定义的安全运行状态。其优点是，尤其是在工业化自动化装置上运行的软件能被可靠地保护以免受攻击，却又不必为此而被立即停止。更确切地说，首先可以确保攻击不会被误认为是攻击。因此，在可疑情况下有潜在的安全关键性报错消息时可以采取被控的措施。由此允许受控技术系统被控地关停，以被控的方式在受限的运行模式(故障运行)中继续运行或被控地置于运行安全的故障运行状态(故障安全)中。通过对转移到检查设备上的可能的攻击的分析，尤其可以在测试阶段期间可靠地训练或定义检查规则。软件本身的调整是不必要的。总体而言，通过转移到检查设备上的分析，能够以显著更高的概率正确地评估识别到的潜在攻击。

6、优选地，预定义的安全运行状态包括停止控制应用，停止与控制应用相依赖的控制部件，激活借助控制应用实施的工业自动化装置的故障运行模式或向包括自动化装置的工业自动化系统的运营者发出警报。可替代地或附加地，在预定义的安全运行状态下，可以对输出接口进行重新配置，特别是激活故障安全模式。此外，可以在事件报告之后，通过在规定的时间段内转换至预定义的安全运行状态来停止控制应用和与控制应用相依赖的控制部件。

7、控制应用的程序代码优选地借助第一编译标记创建。通过第一编译标记，在程序代码中激活至少一个代码序列，该代码序列用于在间接函数跳转时进行检查，其中，在控制应用每次运行时进行该检查。通过该检查，在函数调用时尤其可以分别检查所调用函数的函数原型。函数原型尤其包括调用参数和返回值的数量和类型。

8、根据本发明的另一优选设计方案，控制应用的程序代码借助第二编译标记创建。通过第二编译标记在程序代码中激活至少一个代码序列，通过该代码序列，使程序流程控制设备在控制应用的流程与期望的流程行为偏离时，暂时处理控制应用的程序代码。在此，报错消息的输出和处理仍然是可能的。

9、有利地，控制应用在安全环境运行期间，由程序流程控制设备触发的事件被检查设备训练为误报警，该误报警在安全环境运行结束之后报告相应的事件时应被检查设备忽略。因此，可以根据已训练的误报警来创建或更新检查规则。此外，在训练阶段报告给检查设备的事件可以根据用户交互而被选择性地分类为关键或非关键的。相应地，可以根据将事件的分类将检查规则可靠地创建或更新为关键或非关键的。

10、根据本发明的系统被设置用于执行根据以上实施方案的方法，并且包括至少一个程序流程控制设备以及与程序流程控制设备分开的检查设备。程序流程控制设备被设计用于处理分别与控制应用相关联的程序代码，并且对于至少一个控制应用指定至少一个事件，在与控制应用相关联的程序代码或至少一个连接到处理程序代码的程序流程控制设备的外围设备受到潜在操纵时，该事件被触发。

11、根据本发明，程序流程控制设备还被设计用于监控控制应用的流程与期望的流程行为之间的偏离，在偏离时触发指定的事件，在指定的事件被触发之后继续处理程序代码，以及将事件报告给检查设备。相应地，检查设备被设计用于在报告指定的事件时，根据可更新的检查规则，分析控制应用的流程行为以及与控制应用相依赖的控制部件。检查设备还被设计用于，在识别到控制应用的根据检查规则不允许的流程行为时，将控制应用和与其相依赖的控制部件转换至预定义的安全运行状态。

12、根据本发明的检查设备被设置用于根据此前实施方案的系统并为此设计为，在报告指定的、在与控制应用相关联的程序代码受到潜在操纵而通过程序流程控制设备触发的事件时，根据可更新的检查规则，分析控制应用的流程行为以及与控制应用相依赖的控制部件。检查设备还被设计用于，在识别到控制应用的根据检查规则不允许的流程行为时，将控制应用和与控制应用相依赖的控制部件转换至预定义的安全运行状态。