用于运行工业控制系统的方法,其中所述工业控制系统例如是能量生成和传输系统和/或制造系统,其中所述控制系统的每个层次级别都是安全层次级别,每个层次级别都形成单独的、封闭的安全等级,这些安全等级分别具有自己的针对所述控制系统的相应层次等级的信任锚,使得在由检查机构、例如固件识别出单个层次或多个层次的功能受损的情况下,系统的整体完整性不受损害,因为在这种情况下只有受损的功能以及被明确地分配给所述功能的信任锚、尤其是层次被标识和/或被切断。被标识和/或被切断。被标识和/或被切断。
【技术实现步骤摘要】
用于运行工业控制系统的方法
[0001]本专利技术涉及一种用于运行工业控制系统的方法,其中该工业控制系统例如是能量生成和传输系统和/或制造系统。
技术介绍
[0002]根据现有技术,对多个安全层次/应用场景的实现都是归因于值得信任的机构(Instanz),其中对多个安全层次/应用场景的实现例如为:在系统启动时对固件进行的安全加载(Secure Boot(安全启动))以及对设备机密进行的或与此相关联地也对设备身份进行的安全存储(Secure Storage)。
[0003]系统的完整性——例如沙箱(Sandboxen)、安全启动(Secure Boot)、安全通信(Secure Communication)、安全存储(Secure Storage)和设备身份——因此取决于单个信任源、信任锚(“信任根(Root of Trust)”)的完整性。
[0004]如果信任源的完整性被破坏,则这对所有层次/场景都有影响。这种破坏的示例是读取/操纵AES密钥,其中该AES密钥被用于签名/加密。
[0005]在现有技术中,在单个安全层次或安全特征中的安全漏洞会损害系统的整体完整性,这是因为多个、常常甚至是全部的安全特征都彼此相关。这应在本申请中得以避免。
技术实现思路
[0006]因而,本专利技术的任务是提供一种工业控制系统,该工业控制系统例如是能量生成和传输系统和/或制造系统,在控制系统中存在安全漏洞的情况下,该工业控制系统部分地、优选完全地保持该系统的整体完整性。
[0007]借助于针对每个单独用例(安全启动、安全存储等等)的单独的、封闭的(abgeschlossen)安全层次,将该风险至少最小化,优选地甚至完全排除。因而,首次实现了:在部分完整性失效时保证设备部分完整性。
[0008]通过广泛使用不同机制来提高设备整体完整性,因为在有安全薄弱处以及对其利用的情况下只会废除相应的安全特征/场景(Security Feature/Szenario)。其它的安全特征/场景并没有被涉及到并且仍始终具备自身的完整性。因此,始终保证设备完整性。
[0009]因而,这里所描述的方法尤其基于:提供至少一个第一层次级别(Hierarchieebene)以及至少一个第二层次级别,其中这些层次级别彼此处于交换中、尤其是以数据技术方式进行的交换中,使得给每个单独的层次级别分配至少一个特定的用于对控制系统进行控制和/或调节的功能。
[0010]“控制系统的层次级别”尤其可以被理解为从主处理器的角度出发对计算机架构的存储器进行的布局,其中可以通过访问速度的大小、降低的成本和/或增加的存储容量和/或增加的访问单元来对层次级别进行排序。
[0011]在本专利技术的意义上,也可以将术语“层次级别”理解为至少一个安全模块。“安全模块”可以被理解为安全证书(然而这并不是强制的)。这些安全模块可以布置在一个级别(一
个层次)下或布置在一个排序等级(即一个共同的层次等级(Hierarchiestufe))之内。换言之,这些安全模块于是并非以分层次的方式来被构建。在至少一个实施方式中,这些安全模块对应于并行(parallel)构建的安全场景。
[0012]存储器层次可以是处理器寄存器、处理器缓存、工作存储器、分布式存储器、大容量存储器和/或可移动数据载体。
[0013]控制系统的数据库中的不同的存储器级别(Speicherebene)也可以根据它们的速度而定被称作主存储器、次存储器或三级存储器。
[0014]各个层次级别通过控制系统的至少一个电子器件或者在控制系统的至少一个电子器件之内描绘(abbilden)或者可以由此来被描绘,其中这些层次级别中的每个层次级别都是一个安全层次级别。
[0015]“安全层次级别”是如下这种层次级别,所述层次级别的条件针对以软件技术和/或结构触觉的角度对安全机制的设计(Konstruktion)(通过对微芯片的设计和实施)来产生。
[0016]按照至少一个实施方式,每个层次级别都形成单独的(separat)、封闭的安全等级,所述安全等级分别具有自己的针对控制系统的相应层次等级的信任锚。
[0017]信任锚可以是例如源证书颁发机构的证书,或者通过这种机构来产生,使得该机构于是将例如相应的层次或层次级别(Hierarchieordnung )的相应的基础结构的信任锚表示为源证书或根证书。
[0018]这样,尤其确保了:在由检查机构、例如固件识别出单个层次或多个层次的功能受损(kompromittiert)的情况下,系统的整体完整性不受损害,因为在这种情况下只有受损的功能以及被明确地分配给该功能的信任锚、尤其是层次被标识(identifizieren)和/或被切断(abschalten)。
[0019]如果数据可能是被操纵的并且如果这里所描述的系统的所有者(例如管理员)不再具有对正确工作方式或正确内容的监控(Kontrolle)或攻击者已经实现了操纵的其它目标,那么这里所描述的系统以及尤其是该系统的数据库和/或这里所描述的系统的各个层次级别(甚至可能关于该系统的各个数据组)被视为受损。
[0020]换言之,因而通过上文提到的本专利技术而可能的是:尽管从不再值得信任的锚定元素出发沿着安全绳确定出了不容许的改变、也就是说受损,该系统例如也不受干扰地或以一种紧急模式来继续运行。
[0021]“单独的(separat)”封闭的安全层次尤其是如下这种层次、尤其是层次级别,所述层次例如在确定出受损的情况下触发安全机制,然而该安全机制对第二、第三或第四Security安全层次(Security
‑
Sicherheitshierarchie )基本上没有影响,优选地丝毫没有影响。
[0022]因而,其余的未受损的安全层次可以如上文已经呈现的那样彼此无关地或者也可以共同地保持整体系统的功能能力。换言之,整体系统、即控制系统以基本上未改变的运行值和/或以被相应适配的运行值来继续运行。因而,基于在单个层次或多个层次之内所确定出的安全性受损来对控制系统的整体运行的调整(Einstellung)恰好并不导致控制系统的整个控制和层次系统的整体受损。
[0023]按照至少一个实施方式,用于运行工业控制系统、如能量生成和传输系统和/或制
造系统的方法至少包括如下步骤,在这些步骤中,提供至少一个层次级别以及至少一个第二层次级别,其中两个层次级别彼此处于以数据技术方式进行的交换中,使得给每个单个层次级别分配至少一个特定的用于对控制系统进行控制和/或调节的功能,而且进一步地,其中各个层次级别是通过控制系统的至少一个电子器件或在控制系统的至少一个电子器件之内被描绘的,或者通过控制系统的至少一个电子器件或在控制系统的至少一个电子器件之内被描绘,而且进一步地,其中这些层次级别其中的每个层次级别都是安全层次级别。然而,在此应提及:除此之外也可能的是,可存在如下这种层次级别,所述层次级别不同于安全层次级别并且因此没有信任锚。
...
【技术保护点】
【技术特征摘要】
1.一种用于运行工业控制系统(1)的方法,其中所述工业控制系统例如是能量生成和传输系统和/或制造系统,所述方法包括如下步骤:提供至少一个第一层次级别(11)并且优选地提供至少一个第二层次级别(12),其中所述两个层次级别(11、12)尤其是彼此处于以数据技术方式进行的交换中,使得给每个单个层次级别(11、12)分配至少一个特定的用于对所述控制系统进行控制和/或调节的功能,而且进一步地,其中各个所述层次级别(11、12)是通过所述控制系统(1)的至少一个电子器件或在所述控制系统(1)的至少一个电子器件之内被描绘的,或者通过所述控制系统(1)的至少一个电子器件或在所述控制系统(1)的至少一个电子器件之内被描绘,而且进一步地,其中所述层次级别(11、12)其中的每个层次级别都是安全层次级别,其特征在于,每个层次级别(11、12)都形成单独的、封闭的安全等级,所述安全等级分别具有自己的针对所述控制系统(1)的相应层次等级(11、12)的信任锚,使得在由检查机构、例如固件识别出单个层次或多个层次的功能受损的情况下,系统的整体完整性不受损害,因为在这种情况下只有受损的功能以及被明确地分配给所述功能的信任锚、尤其是层次被标识和/或被切断。2.根据权利要求1所述的方法,其特征在于,给每个使用过程、尤其是安全启动和/或安全存储等等分配至少一个安全层次级别(11、12)。3.根据权利要求1或2所述的方法,其特征在于,在确定出安全漏洞、即确定出功能受损的情况下,基于与受损功能不同的信任锚的其余功能在自身功能和可信度方面保持不受损坏。4.根据上述权利要求中至少任一项所述的方法,其特征在于,每个功能都被分配给至少一个信任锚,然而优选地被分配给正好一个信任锚。5.根据上述权利要求中至少任一项所述的方法,其特征在于,至...
【专利技术属性】
技术研发人员:J,
申请(专利权)人:罗伯特,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。