用于在网络中使用的设备、控制器、网络和方法与流程

本发明涉及用于在网络中使用的设备、控制器、网络和用于将设备集成在物理网络中的方法。

背景技术：

IT（信息技术）系统被用于对复杂系统的控制和监管，这些复杂系统被用于例如交通控制、工业自动化等等。为了交换信息通过用接口来链接这些系统。一些接口被用于例如核心功能，其他用于集成办公室IT系统。

然而，安全风险由于以下各项而产生：

-集成的程度增加，

-从闭合的域专用网络、诸如现场总线系统比如Profibus、CAN等等至开放的通信标准、诸如以太网、TCP/IP、WiFi或基于以太网的工业网络技术、诸如Profinet、以太网/IP、EtherCAT等等的改变，

-从公用网络、例如从因特网的访问，

-系统的地理扩散，例如因为云服务被集成，

-由于系统的生命周期（例如在自举或操作期间）而变化安全要求。

重要的是，维持：信息安全性，即允许谁从与外部世界隔绝的系统访问什么信息；以及功能安全，即攻击或错误配置的子系统可能对整个系统产生负面影响。

用于工业自动化的网络被称为生产网络并且可能包括若干生产设备或模块，例如传送带或铣床，它们提供生产服务，例如运输或铣削。一旦生产网络被设立，其改变就是劳动密集型的。为了促进该过程并且实现插入&自动化，在工业自动化的背景中，已经引入了所谓的信息物理生产系统（CPPS），其包括对通信网络提供接口的信息物理生产模块（CPPM）。

信息物理系统（CPS）通常表示计算与物理过程的整合。嵌入式计算机和网络监视并控制这些物理过程，通常利用反馈回路，在此物理过程影响计算并且反之亦然。换言之，信息物理系统的特征在于真实或物理对象与处理信息的虚拟对象的组合。通过使用开放的、连接的信息网络来实现该组合。

对于典型的生产和自动化网络，通过使用所谓的“单元安全方案（cell security concept）”来解决上面提到的安全问题，在这里该网络被分成多个受保护的单元。通过特定安全模块来实现各单元之间的过渡以及至周围网络、诸如办公室IT或公用网络的过渡。根据地理、例如位置或功能、例如生产线来形成各个安全单元。

通常将安全单元的结构映射至网络的物理结构。通信基础结构的这些固定连接妨碍生产工厂的服务和重建。除了针对生产过程的工程任务外，还需要用于针对通信网络和网络安全的工程任务的附加努力。

本发明的一个目的是，提供以有效且安全的方式将网络适配于变化中的需求的可能性。

技术实现要素：

这由独立权利要求中公开的内容来解决。有利实施方案是从属权利要求的主题。

本发明涉及一种用于在包括至少一个现有设备的网络中使用的设备。在该网络内，建立至少一个虚拟子网络，即在实际物理网络上创建逻辑子网络。向该至少一个虚拟子网络分配特定的信任级别。该设备被分配第一信任级别并接收令牌。依据展示该令牌，如果第一信任级别对应于或包括该特定的信任级别，则容许加入至少一个虚拟子网。

特别地如果对加入虚拟子网络中的请求被正面评估，例如因为设备被包含在网络中被允许设备的列表（例如白名单）中或被设置在该列表上，则信任级别相互对应。

根据一个有利实施方案，新设备发送加入到网络或虚拟子网络中的请求。由中央认证实例例如通过设备的身份数据与被允许设备的列表的比较或者通过人为干预来评估该请求。如果评估具有正面结果，则该设备接收身份证书或令牌，然后可以使用该身份证书或令牌来进入一个或多个虚拟子网络。

根据另一有利实施方案，设备已经是如下子网络的成员，该子网络还包括其他现有设备。该设备通过现有设备中的一个接收对其拥有针对特定任务的能力的确认。在向负责建立子网络的实体示出该确认时，重新配置或建立针对特定任务的子网络并且允许该设备进入。

有利地，特定信任级别对应于安全需求（例如设备的设备类型或位置）或子网络中需要的一个或多个能力（例如使用特定加密方法或执行特定生产任务的能力）。此外，有利地，第一信任级别可以表示如下权利，其根据设备特性或设备集成到网络中的状态而分配给设备。

本发明此外涉及协调设备对虚拟子网络的访问的对应控制器。

本发明此外涉及包括至少一个设备和控制器的网络以及对应方法。

本发明还涉及对应计算机程序和用于存储该计算机程序的数据载体。

附图说明

从结合附图的后续描述和从属权利要求，本发明的其他实施方案、特征和优点将变得显而易见，附图中：

图1示出包括多个信息物理生产设备（CPPE）的信息物理生产系统（CPPS），其中所述信息物理生产设备被分组到各个虚拟子网络；

图2示出描述新设备至具有各个虚拟子网络的物理网络中的访问的序列图。

具体实施方式

如上面提到的，本发明的一个优点是系统和生产工厂能够自主地适配它们自己。进一步地，可以使它们的结构独立于通信网络的物理布局或拓扑结构。除了有线绑定之外，还可以应用无线技术，诸如WiFi。然而，针对安全和保障方面，对生产网络的所有组件的任意访问是不明智的。

例如，工业网络的操作需要尊重安全方面，诸如例如没有人受到机器人的伤害等等。这又要求：存在一定级别的IT安全性，例如用来确定谁可以访问相应机器和与相应机器交互；或/和存在一定级别的可靠性，例如用来确保机器与其他机器的交互不是被破坏的或/和有损耗的或/和有故障的。

因此，根据本发明的一个方面，通信网络被分割成虚拟（子）网络，它们也被称为“切片（slices）”。特别地，一个切片提供所请求的一组通信资源并且因此满足应用的要求，例如实时控制、监督等。

到虚拟子网络或子网的分割可以考虑以下方面其中的一个或多个：

i.）源自生产过程的功能要求：单个虚拟子网对应于用于在应用面中执行当前任务或生产步骤的功能块，例如工件的制造。

ii.）单个组件的地理位置：可以通过用于自动定位的方法来确定该地理位置。可以将预限定的区域(例如工作)的组件自动组合为虚拟子网。

iii.）用于通信的质量要求：生产过程中的不同任务需要不同方式的通信。可以在与“正常（normal）”网络流量分开的网络的虚拟子网或分段中实现具有实时要求的通信。可以利用附加的安全规定、诸如强授权过程来保护对该虚拟子网的访问。

在任务开始时使用要被执行的过程的形式描述来确定功能虚拟子网或切片。可以例如通过ISA 95过程分段模型来获得形式描述。在任务完成之后，可以释放虚拟子网或使虚拟子网分解。

这意味着通信设施仅可用于所指定的任务。该事实支持访问控制。因此对于特定生产步骤，以类似于物理网络的平面中的静态单元保护方案的方式来实现：将生产网络分割成虚拟子网或单元。

在图1中，描绘形成信息物理生产系统（CPPS）的信息物理生产模块或设备（CPPE）的一个示例性实施方案。该CPPS包括至少一个信息物理设备或模块CPPE并且可选地支持诸如访问点AP这样的IT设备、通信网络或证书颁发机构。

信息-物理生产模块或用CPPE#x（x从1变化到9）所表示的CPPE可以例如由具有通信接口（即至通信网络的接口）的传送带、铣床或机器人组成或者包括例如：具有通信接口（即至通信网络的接口）的传送带、铣床或机器人，其中该接口实现网络的各成员之间的通信。

实线描述生产网络中的功能关系，例如CPPE之间的传输连接或者两个或更多CPPE之间的合作，例如将工件交给一个或多个其他CPPE的机器人。

虚线描述CPPE和访问点AP之间的通信基础结构的物理拓扑结构。图1中的示例示出具有多个访问点AP的无线局域网（WLAN）。

由功能要求产生的区段或切片或虚拟子网S被虚线包围并且以不同色调的灰度形成阴影。因此可以组合例如在特定位置处的CPPE或形成运输线的CPPE。在图1中，组合紧密地在一起的设备CPPE#1至CPPE#4因此形成切片SI。另一切片S2由设备CPPE#3和设备CPPE#4形成由此提供例如机器人和传送带之间的交互。为另一些任务或应用形成另一些切片S3、S4。

可以通过许多不同的网络组件来实现切片或虚拟子网S的安装或实施。有利地，使用特殊网络设备，诸如路由器、访问点AP。可替代地或附加地可以使用单个组件（在图1的示例中CPPE）的网络堆叠。

如果没有使用定制的设备，例如在P2P网状网络的情况下，则每个对等点（peer）都控制其邻居。可替代地或附加地，设想在每个节点上或在每个节点处使用一个尤其值得信任的网络组件。

“值得信任的”可以以特别与使用该网络组件的背景相关联的方式来定义，即为评估特定情况下的值得信任度提供标准。例如，特别屏蔽或/和认证的网络组件或网络接口卡。例如，可以通过远程认证来向通信伙伴证明证书。

进一步地，可以用适当的共用安全参数、例如一个或多个密码密钥来实施分割。可以根据设备/节点的在不同ISO/OSI层上的安全机制的使用来对所述设备/节点分割。例如，可以使用在OSI层2上所使用的加密方法WPA（受Wi-Fi保护的接入）来完成到子组的分割或者在层3上的IPSec（因特网协议安全）来完成到VPN（虚拟私用网络）的分割。可以使安全参数适应于分配给切片的期望安全等级（例如鉴于加密强度）、安全凭证的寿命（例如必须在哪个时间或事件之后更新证书）、匿名要求（例如假名的使用）、可追溯性（即可以如何重建访问）。

可以通过使用预限定或动态创建的度量来监测产生的动态切片结构。根据一个实施方案，组件的数目受限。因此，可以探测或阻止指示出攻击（例如单个大切片）的状态。

在图2中，描绘一个实施方案，其图示对于CPPE的网络自举过程，即，将CPPE集成到CPPS网络中、特别地将其包括到物理网络中或/和提供对生产网络的访问的过程；或/和安全自举过程，即提供（一个或多个）相关安全令牌或/和（一个或多个）测量，使得

CPPE可以访问期望的切片。在该示例中，存在从在发现阶段期间的低级别至在CPPS的生产过程期间的非常高级别的安全要求的增加。

图2示出对于加入CPPS的新设备newCPPE的自举序列。时间轴从上到下演化。该序列图示出不同组件之间沿着它们的生命线或时间轴的交互。每个生命线的头部标识组件。利用水平箭头来表示各组件之间的消息。用带不同阴影的背景来图示通信消息与用于交换这些消息的网络切片的相关性。每个切片都由单个灰度阴影来标识。

在图2的实施方案中，包括以下组件：

旧设备“CPPE_1”、“CPPE_2”表示已经被安装在CPPS中的CPPE。因此，它们已经接入了特定组的虚拟子网络或切片。

新设备“newCPPE”表示即将加入CPPS的CPPE。因此，在开始时在物理网络及其子网中没有分配任何权限。

证书颁发机构CPPS_CA表示颁发CPPS身份证书的CPPS的证书颁发机构。网络设备NE表示构建CPPS的物理通信基础结构（例如路由器或交换机）和访问点（例如WiFi访问点）的所有类型的有效网络组件。网络访问控制器“NAC”管理网络访问控制。

网络切片管理器NSM管理并监督用于逻辑通信拓扑结构的网络切片的配置。

在图2的示例中，“旧的”或已经安装的设备CPPE_1和CPPE_2已经成功完成它们的自举和插入程序。存在用来在CPPS身份管理系统和网络访问控制系统之间的共享信息的现有安全管理切片SMS。安全管理切片SMS包含证书颁发机构CPPS CA和网络访问控制器NAC。

通过证书颁发机构CPPS CA来提供如下令牌，该令牌包括物理网络的身份证书，并且从网络的中央证书颁发机构发送该令牌。

可替代地或附加地，如下面将解释的，由已经现有的旧设备、即在图2中的设备CPPE_1和CPPE_2来提供令牌。

此外，存在用来在表示网络切片系统的各个切片强制点SEP之间共享信息的现有网络管理切片NMS或网络管理切片NMS。网络管理切片NMS包含旧的设备CPPE_1、CPPE_2、网络设备NE、网络访问控制器NAC和网络切片管理器NSM。

存在用来在已经安装在CPPS中的CPPE和新接入的设备之间交换发现和插入协商信息的现有默认切片DS。

首先，新设备newCPPE需要完成CPPS注册过程。利用“1.x”来表示该注册过程的步骤，在图2中的示例中，x的范围从1变化至4。

在注册过程已经成功的情况下，新设备newCPPE接收CPPS身份证书（1.3）。该注册过程在专用隔离的和信任的环境中发生，在图2中的示例中，在隔离网络IS中发生。它可能依赖于附加的带外，即可以例如通过使用本地接口来实现的独立通信信道，信息交换来验证证书请求。根据一个实施方案，该过程至少包括一次人工操作。

附加地或可替代地，在CPPE被重新定位于另一CPPS的情况下，对未来程序来说，可以依赖在该第一注册过程期间收集的信息。

可替代地，在需要非常高的安全级别或者可以在外部改变或操纵该设备的情况下，注册总是要从头再次开始。根据其他实施方案，已经获得的信息的使用取决于想要访问网络的设备的类型。

证书颁发机构CPPS CA利用最新CPPE身份白名单（1.4）来更新网络访问控制器NAC，其中所述身份白名单也即是在网络中被允许的设备以及它们关于该网络、即CPPS和包含CPPE的切片的权限的列表。新的白名单在新设备newCPPE的正面决策的注册请求下被更新并且包含新设备newCPPE。

在注册过程完成之后，将新设备newCPPE移至CPPS中，因此例如它可以发送其他请求。

根据一个有利的实施方案，新设备newCPPE建立到最近网络设备（例如WLAN访问点）的网络链接并且发送切片注册点SEP登记请求 2.1。

可替代地或附加地，请求2.1被发送至在其范围内的一个或多个设备，其中的一些或所有可以是预先限定的。

该请求2.1自动引起或创建在新设备newCPPE和该请求2.1发送至的网络设备NE之间共享的本地登记切片RS。该登记切片RS被限于新设备newCPPE和网络设备NE之间的直接点对点通信。这可以使用受限的联网堆叠、例如限于OSI层2的联网堆叠来实现。该受约束的登记切片RS被用于认证过程，例如在使用EAP（可扩展认证协议）的情况下。在图2中示出的该实施方案中，绘出作为认证过程（2.3-2.12）的IEEE 802.1X EAP TLS，其在根据802.11i标准化的WLAN组件之间是广泛可用的。

只要新设备newCPPE未经过认证，其通信就由联网设备NE来代理，即该联网设备转发由新设备newCPPE发送的数据。当TLS要求端对端连通性时，创建瞬时引导切片NSMBS。该引导切片NSMBS提供新设备newCPPE和网络访问控制器NAC之间的连通性。在完成TLS认证之后，应该销毁引导切片NSMBS。在成功完成EAP TLS认证时，将新设备newCPPE添加至网络管理切片NMS和默认切片DX，在那里被表示为（3.x）的步骤发生，在图2的示例中x的范围从1至6。

网络访问控制器NAC向网络切片管理器发送成功消息3.1，该网络切片管理器然后将配置切片消息3.2发送至网络设备NE以用于（重新）配置网络管理切片NMS和默认切片DS。该网络设备NE然后将配置消息3.4发送至新设备newCPPE以用于配置默认切片。然后该网络切片管理器NSM将配置消息3.5和3.6分别发送至旧设备CPPE_1和CPPE_2。

然后，在默认切片DS中发生消息交换，该默认切片DS现在包括现有设备CPPE_1、CPPE_2和新设备newCPPE。该现有设备CPPE1、CPPE2和新设备newCPPE现在通过交换被表示为（4.x）的消息来开始它们的发现和插入-协商过程，其中在新设备newCPPE和旧设备CPPE_1、CPPE_2之间交换相应的发现信息消息4.1-4.4。发现消息的广播已经被基本WLAN安全机制、诸如WPA保护。

以用于生产网络的动态协商或/和可访问性或/和邻域关系或/和协作关系的插入或P协商消息（4.5、4.6）开始，可以使用附加应用层通信安全机制，诸如例如TLS或SOAP安全。P协商消息可以是单播和多播的。

如果新设备newCPPE和现有设备CPPE_2识别适用于协作的服务，则它们需要建立共享生产切片PS。该共享生产切片PS最初由旧设备CPPE_2来建立，该旧设备CPPE_2将请求4.7发送至网络切片管理器NSM以便为特定生产过程“生产X”创建切片。在已从现有设备CPPE_2接收到针对生产过程“生产X”的令牌或切片访问能力消息4.8之后，通过展示所接收到的令牌或切片访问能力，新设备newCPPE向网络切片管理器NSM发送请求消息4.9，使得它加入专用于特定生产过程X的切片。

访问能力特别表示由授权方发出的如下安全令牌，其授予使用或/和发起由特定功能或/和服务的权利。换言之，该能力或令牌被新设备newCPPE用来通过消息（4.9）请求网络切片管理器加入生产X切片。该网络切片管理器NSM然后向网络设备NE、新设备newCPPE和旧设备CPPE_2发送相应的配置消息4.10、4.11和4.12。因此，该网络切片管理器NSM通过发送消息（4.10）、（4.11）和（4.12）来配置所有受影响的切片强制点SEP，诸如网络设备NE和受影响的CPPE。

可以存在依据CPPS中现有的服务类型的多个生产切片。示例是使用一个或多个传送带对工件的运输，通过机器人和铣床的协作的联合装配或市场协商，即多于两个实体、例如CPPE之间的协商而不是使用点对点协商。

最后，现有设备CPPE_2和新设备newCPPE共享专用网络切片、在图2中的示例中共享生产切片PS，该专用共享生产切片PS可以被用来通过在两个方向上交换相应消息5.1和5.2来交换它们的协作服务所需的合作信息。

因此，本发明允许类似于静态规划的物理网络拓扑结构的SDN（软件定义的网络）中的一个或多个安全域的动态实现。进一步地，可以通过严格且约束的网络管理来增加系统安全性。网络安全可以动态地适应状态，例如无论是在启动一个或多个设备的情况下的自举过程内，还是在运行期间。动态适应也可能归因于所设想的任务，例如运输、实时控制、服务协商。

本发明的一个重要方面是在系统内引入多个级别，其针对尚未完全配置的、未受验证的物理和虚拟设备而言被保护，以确保在给定机器上不发生故障或不期望的访问。值得信任的各方可以获得特权或证明它们已经被分派从一个信任级别过渡至更高信任级别的特权，例如从信任级别1提升至2或通常从信任级别n至信任级别n+1，n是范围在0和N之间的自然数，N是在网络中定义的信任级别的总数。

尽管已经根据优选实施方案描述了本发明，但是对于本领域技术人员来说显而易见的是，在实施方案之间的修改或组合方案完全地或在一个或多个方面地在所有实施方案中是可能的。