[go: up one dir, main page]

WO2018145798A1 - Netzwerksystem und verfahren zur überprüfung der funktionsfähigkeit einer cloud-basierten steuerungsfunktion - Google Patents

Netzwerksystem und verfahren zur überprüfung der funktionsfähigkeit einer cloud-basierten steuerungsfunktion Download PDF

Info

Publication number
WO2018145798A1
WO2018145798A1 PCT/EP2017/082613 EP2017082613W WO2018145798A1 WO 2018145798 A1 WO2018145798 A1 WO 2018145798A1 EP 2017082613 W EP2017082613 W EP 2017082613W WO 2018145798 A1 WO2018145798 A1 WO 2018145798A1
Authority
WO
WIPO (PCT)
Prior art keywords
function
control function
information
release
functionality
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/EP2017/082613
Other languages
English (en)
French (fr)
Inventor
Rainer Falk
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Publication of WO2018145798A1 publication Critical patent/WO2018145798A1/de
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/108Source integrity

Definitions

  • the present invention relates to a network system and method for checking the functionality of a cloud-based control function and an associated computer program (product).
  • Cryptographic protections goals can tegrity, confidentiality and authenticity of data transmission ⁇ objects are achieved as home. This avoids intentional, targeted attacks on data transmission.
  • safety refers mainly to the security, confidentiality and / or integrity of data so ⁇ as their transfer and security, confidentiality and / or integrity in accessing relevant data.
  • the authentication in data transfers or data access belongs For example, the term "security.”
  • Cryptographic functionality generally refers, for example, to a function for encryption, protection of confidentiality, integrity protection and / or authentication of data (eg user data, control data, configuration data or administrative data) and / or authentication of users .
  • the cryptographic protection functionality since ⁇ include, for example at one or more of the functionalities positioned below ⁇ resulted:
  • Generating random numbers e.g., seed generation
  • GSM mobile radio interface
  • UMTS Universal Mobile Telecommunication Standard
  • 5G Fifth Generation
  • WLAN Wireless Local Area Network
  • Bluetooth especially used in building services
  • NFC NFC
  • the data interface can be designed and set up as a serial or parallel data interface.
  • Communication between the devices and servers is not limited to point-to-point (peer) communication. There are also group communication, broadcast news or
  • control com- munication On a vehicle bus e.g. CAN bus, the control com- munication is cryptographically protected against manipulation on a vehicle bus. However, this protection relates to individual data packets, not to a control functionality.
  • TPM Trusted Platform Module
  • Edge computing in the area of 5G mobile telephony is also expected to implement control functions in autonomous systems in the future
  • Assistance functions of a vehicle are realized by control units. Whether certain functionality is available, may be determined by the built-specific control unit, or it can be installed an appropriate functionality in Soft ⁇ ware on a controller or unlocked (eg at end-of-line programming at the factory accordingly ordered Equipment variant).
  • the invention claims a system, preferably a network system comprising: a network infrastructure having at least one control function which can be coupled thereto and which can exchange control information with at least one device,
  • the verification function has at least one release function, which is designed to provide in the case of recognized by the verification function lack of functionality and / or faulty functionality, a revocation information, which leads to a revocation of a release activation and / or execution of the control function.
  • the network infrastructure may be a wired or wireless transmission network within which said functions may be organized, for example, in servers.
  • Server or cloud providers can use storage space and
  • the verification ⁇ function may include monitoring and / or detection and / or analysis functions, which network side or
  • the tasks and (partial) functions of the check function can be imple ⁇ mented or be fully implemented in a single device also comparable shares in one or more clouds and in one device.
  • a faulty functionality also includes an impairment or restriction of the functionality.
  • the checking of the functionality can be carried out continuously or permanently and / or once. It can then provide the revocation information, which can directly cause a revocation or initiate a revocation.
  • the revocation information can lead to a one-time withdrawal of a possibly ongoing execution of Steuerungsfunkti ⁇ on or temporary or permanent.
  • the reversal information can also be a
  • Non-revocation information ie a kind of positive confirmation that the control function is not revoked.
  • Devices can be, for example vehicles, driverless transport systems ⁇ , robots, test equipment or other components of an industrial plant.
  • the control function may include safety-related measures, such as stopping a vehicle or robot before a collision occurs. It can be delivered to the devices and nodes / server network infrastructure through the Steue ⁇ approximate function and control of information regarding software or hardware versions to ensure compatibility and full functionality of the versions.
  • the safety or protective measures for a control function are ensured.
  • the invention also serves as a kind of safety watchdog for a network infrastructure, which will be understood as a distributed cloud robotics system (see the following embodiment).
  • This safety-critical "malfunction" can be secured and prevented tamper-resistant in one embodiment.
  • the invention is also characterized in that the Akti ⁇ vation of a non-released version of a prior Steue ⁇ approximation function is reliable and possibly tamper protected prevented. In particular, the compatibility of the device-side and network-side functionality versions is ensured.
  • a development of the invention provides a with a network infrastructure in communication and controllable with the control function test device from which is to be ⁇ sets to monitor the functioning of at least one product and to certify them to the network infrastructure for the control function ,
  • the test device can be provide speaking monitoring information regarding the functionality of one or more devices.
  • the Testge ⁇ advises, the received control information actually execute (physical) or simulated (virtual).
  • a development of the invention provides that the
  • Revocation information can then be provided if a cryptographically protectable blocking information is present or an expected cryptographically protectable release information fails.
  • a development of the invention provides that the release and / or blocking information can be predetermined or determined by the checking function.
  • a development of the invention provides that the checking of the functionality of the control function comprises a cryptographically protectable integrity check.
  • a development of the invention provides that a
  • Cloud processing center is arranged within the network infrastructure and is adapted to process the task of the at least one device instructed by the control ⁇ function and / or stop and / or to end, the cloud processing center provided by the release ⁇ function and the control function forwarded revocation information receives.
  • a further aspect of the invention provides a device for checking the functionality of a control function having at least one checking function for checking the functionality, wherein this is coupled with a network infrastructure bar, to which at least one control function for controlling at least one device is coupling bar, and at least one release function, which is designed, in the case of a detected by the verification ⁇ function lack of functionality and / or faulty functionality, a revocation information to provide, which leads to a revocation of a release ei ⁇ ner activation and / or execution of the control function.
  • a further aspect of the invention provides a method for operating the system of the type described above, wel ⁇ ches method for operating the system according to one of the preceding system claims, which
  • a network infrastructure with at least one control function which can exchange control information with at least one device
  • a revocation information is ⁇ provides, which leads to a revocation of a free ⁇ task of activation and / or execution of the control function ,
  • the above functions may be implemented in software, firmware and / or hardware. They can be understood as ei ⁇ ne kind of functional units into a single unit (component or server or device) integrated into your function in any combination be Kings ⁇ nen.
  • Another aspect of the invention may be a computer program or a computer program product with at least one Compu ⁇ terprogramm with means for carrying out the method and its referred embodiments when the computer program (product) and the at least one computer program ver ⁇ divides within the communication apparatus according to above described type is carried out for execution.
  • Methods, and optionally the Compu ⁇ terprogramm (product) may be substantially analogous off accordingly or be formed as the system or the arrangement and its embodiments or further developments.
  • FIG. 1 schematically shows a network infrastructure to which the procedure according to the invention can be applied
  • FIG. 2 is a flowchart.
  • FIG. 1 shows a possible embodiment of the invention.
  • a network infrastructure such as a 5G 5G network has a control function CRS, the network side as a cloud service or as a function of a cloud server out ⁇ makes its can.
  • the cloud server is a "cloud robotics server" for controlling critical control functions on a robot, and other devices V to be controlled in the form of autonomous vehicles are also conceivable
  • a verification function in the form of a server is provided to continuously verify the correct functionality of the Cloud Robotics server, through another second network infrastructure such as a public network PN
  • the verification function is directly or indirectly via the network PN with the first network infrastructure coupled.
  • a Cloud Robotics security Operati ⁇ on Center CRO is provided to detect security incidents and analyze them. It can be used as check function besides another Cloud Robotics test server CRT provided be, for example, includes a release function, the activation of unreleased version versions of said control function by providing a
  • a test device TD is provided which, like the devices V and R, is controlled by the Cloud Robotics server and which monitors the correct functionality (e.g.
  • the Cloud Robotics server can be arranged, not shown in the figure cloud processing location in the network infrastructure of the 5G network, the quasi represents the "intelligence" of the device V and R. You can handle operations of Robo ⁇ ters and is in communication with the control function
  • the control function can also be integrated into the device eg V instead of as a Cloud Robotics Server CRS, which is more likely to be the case with an autonomously driving vehicle which, even in the absence of a network connection to the 5G network must continue to function "autonomously”.
  • Both the verification function and the control function can be flexibly implemented in different forms within the network infrastructures.
  • the verification function may also be integrated into the above-mentioned cloud processing site.
  • the provided revocation information can be cryptographically encrypted.
  • the revocation information is provided when there is cryptographically protectable blocking information or when there is no expected cryptographically releasable release information.
  • a cryptographic key and a digital certificate that includes a cryptographic key be revoked wi ⁇ . It is possible to perform or a certificate in a certificate revocation list to use an OCSP Response to confirm the current revocation status of a digita ⁇ len certificate. Such a kind of revocation can use the invention if the encrypted or certified fected release information should be revoked in this way.
  • a control function can only be activated if there is a cryptographically protected release information (release attestation) that can be assigned to the control function. This can be specified or administratively or automatically issued by a self-test or by the verification function. Several approvals require sary (eg no administrative revocation and positi ve ⁇ confirm the self-test).
  • the several releases may relate in particular to different components of a cloud solution (eg backend self-test, released vehicle control function for current backend version status). This makes it possible to reliably prevent an outdated version level the equipment side is activated, which is not quige ⁇ give for the current version of the cloud side. Furthermore, it can reliably be prevented that a control function, in particular a device-side control function, is activated if the cloud side has a malfunction.
  • For the revocation can be a whitelisting or a
  • Blacklisting strategy can be used individually or in combination:
  • the release or blocking information can refer to an abstract functionality, to a special software version of a firmware or to a combination of software versions of several control functions or control devices. Furthermore, the information can specify the hardware version of the control unit. Furthermore, a geographic area are specified, to which the release information or the lock information refers.
  • the release or blocking information is preferably protected by a cryptographic checksum (digital signature, message authentication code).
  • the release of information in particular a Rooskriti ⁇ rule control function according to the invention is variable, ie it can be restricted on the fly. This may in particular when a safety-relevant Steue ⁇ insurance function for autonomous or assisted driving has proven to be unreliable, flawed, manipulated or tampered already in practice, be disabled and no more threat emanating from it. The activation of a corresponding driving function in a vehicle can hereby be reliably prevented.
  • Cloud Robotics Security Operation Server CRO issues a release information (evaluated by Cloud Robotics
  • Test device TD issues attestation (evaluated by
  • a shutdown occurs (eg transfer to driver) or an activation of an autonomous emergency program (eg stop at the edge of the lane).
  • the check can be done locally on a vehicle or in a backend system (cloud robotics).
  • Integrity check is preferably cryptographically protected (attestation of the release confirmation). This is described as above, as a cryptographically protected release formation used for the activation of a control function. This means that the release information (or blocking information) can both be administered administratively (eg in the case of recognized weak points) or can be determined by checking the functionality (attested self-test) itself.
  • FIG. 2 shows a flow chart for the procedure according to the invention, which indicates the starting point in step S0.
  • a control function is activated.
  • step S2 a check is performed by the checking function of this control function. It is checked whether there is a release information (release attestation) for the control function. This is the case if there is neither faulty functionality of the control function nor a lack of functionality. Is the result of the examination in order ⁇ (see step S3), then in step S4, the control function is activated. Is not the result of the check in order, then in step 6, a revocation information is provided which leads already acti ⁇ fourth and operating control function to revoke the activation released. Ultimately, it comes to tempo ⁇ Raeren or one-time or permanent blocking or deactivating control function. Step S6 marks the end of the procedure explained above.
  • the implementation of the processes and procedures described above may be based on instructions SUC ⁇ gen, which (collectively referred to as computer readable storage) on computer readable storage media or in volatile computer memories.
  • computer readable Memory is, for example, volatile memory such as caches, buffers or RAM and non-volatile memory such as Kirda ⁇ tenities, hard disks, etc.
  • the functions or steps described above may be in the form of at least one instruction set in / on a computer-readable memory. The functions or steps are not specific to a particular instruction ⁇ set or to a particular form of instruction sets, or to a particular storage medium or to a
  • Processor or bound to specific execution schemes can be performed by software, firmware, microcode, hardware, Prozes ⁇ sensors, integrated circuits, etc. in stand-alone mode or in any combination.
  • Various processing strategies can be used, for example serial processing by a single processor or multiprocessing or multitasking or parallel processing, etc.
  • the instructions can be stored in local memories, but it is also possible to store the instructions on a remote system and then via Network access.
  • processor central signal processing
  • Control unit or “data evaluation means” as here USAGE ⁇ det, processing means includes in the broad sense, that is, for example, servers, general purpose processors, Gardnerluxo ⁇ ren, digital signal processors, application specific inte ⁇ grated circuits (ASICs), programmable logic circuits, such as FPGAs, discrete analog or digital circuits and be ⁇ undesirables combinations thereof, and any other processing means known in the art or developed in the future.
  • Processors can consist of one or more devices or devices or units. If a processor consists of several devices, these can be designed or configured for the parallel or sequential processing or execution of instructions.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Die vorliegende Erfindung betrifft ein Netzwerksystem und Verfahren zur Überprüfung der Funktionsfähigkeit einer Cloudbasierten Steuerungsfunktion sowie ein zugehöriges Computerprogramm (Produkt). Die Erfindung beansprucht ein System bzw. Anordnung, vorzugsweise ein Netzwerksystem bzw. Netzwerkanordnung aufweisend: - eine Netzwerkinfrastruktur mit wenigstens einer an diese koppelbaren Steuerungsfunktion, welche Steuerinformationen mit mindestens einem Gerät austauschen kann, - gekennzeichnet durch wenigstens eine mit der Netzwerkinfrastruktur koppelbare Überprüfungsfunktion zur Überprüfung der Funktionsfähigkeit der Steuerungsfunktion, wobei die Überprüfungsfunktion zumindest eine Freigabefunktion aufweist, die dazu ausgelegt ist, im Falle eines von der Überprüfungsfunktion erkannten Fehlens der Funktionsfähigkeit und/oder einer fehlerhaften Funktionsfähigkeit eine Widerrufsinformation bereitzustellen, welche zu einem Widerruf einer Freigabe einer Aktivierung und/oder einer Ausführung der Steuerungsfunktion führt.

Description

Beschreibung
Netzwerksystem und Verfahren zur Überprüfung der Funktionsfähigkeit einer Cloud-basierten Steuerungsfunktion
Die vorliegende Erfindung betrifft ein Netzwerksystem und Verfahren zur Überprüfung der Funktionsfähigkeit einer Cloud- basierten Steuerungsfunktion sowie ein zugehöriges Computerprogramm (Produkt) .
Hintergrund der Erfindung
Es besteht der Wunsch, dass die Netzinfrastrukturen deutlich schneller werden und die Kommunikation praktisch komplett oh- ne Verzögerungen ablaufen soll. In Zukunft werden nicht nur Menschen mit einem Handy in der Hand kommunizieren, sondern auch Gegenstände: selbstfahrende Autos, kluge Thermostate, Roboter, Herzschrittmacher, Komponenten bzw. Geräte sowie Werkstücke in Industriellen Anlagen. Mobilfunknetze der 5. Generation (5G) und höher sollen die Technologie für das Internet der Zukunft werden. Dies gilt auch für vernetzte, „mitdenkende" Industriehallen (Industrie 4.0, Industrial In¬ ternet of Things) . Die Sicherheit innerhalb solch einer Netzwerkinfrastruktur sowie das Verhindern von absichtlichen Angriffen spielt eine zunehmend wichtigere Rolle. Bei einer erfolgreichen Manipula¬ tion kann es zu einer Fehlfunktion in Steuerungsfunktionen der oben genannten Gegenstände kommen. Daher besteht ein Be- darf, die Integrität von Steuerungsfunktionen insbesondere für ein autonomes oder assistiertes Fahren und für Cloud- basierte Robotersteuerung (Cloud Robotics) zu schützen.
Durch kryptographische Schutzfunktionen können Ziele wie In- tegrität, Vertraulichkeit oder Authentizität der Datenüber¬ tragung von Gegenständen erreicht werden. Dadurch werden absichtliche, zielgerichtete Angriffe auf die Datenübertragung abgewehrt . Der Begriff „Sicherheit" bezieht sich im Wesentlichen auf die Sicherheit, Vertraulichkeit und/oder Integrität von Daten so¬ wie deren Übertragung und auch Sicherheit, Vertraulichkeit und/oder Integrität beim Zugriff auf entsprechende Daten. Auch die Authentifizierung bei Datenübertragungen beziehungsweise beim Datenzugriff gehört unter anderem zum Begriff „Sicherheit. Unter einer kryptografischen Funktionalität wird allgemein beispielsweise eine Funktion zur Verschlüsselung, zum Schutz der Vertraulichkeit, zum Integritätsschutz und/oder zur Authentifikation von Daten (z.B. Nutzerdaten, Steuerdaten, Konfigurationsdaten oder administrative Daten) und/oder der Authentifikation von Nutzern oder Gegenständen verstanden. Die kryptografische Schutzfunktionalität kann da¬ bei beispielsweise eine oder mehrere der nachfolgend aufge¬ führten Funktionalitäten umfassen:
Schlüsselspeicherung
System- und/oder Nutzer-Authentisierung
- Attestierung
Verschlüsselung
Entschlüsselung
Berechnen einer kryptografischen Prüfsumme (z.B. Nach- richtenauthentifizierungscode oder digitale Signatur) - Prüfen einer kryptografischen Prüfsumme (z.B. Nachrich- tenauthentifizierungscode oder digitale Signatur)
SchlüsselVereinbarung
Schlüsselerzeugung
Erzeugen von Zufallszahlen (z.B. Seed-Generierung)
- Lizenzierung
Unterstützung von systemischen Überwachungsfunktionen
(z.B. Tamper-Schutz , Systemintegrität, Security Incident and Event Management SIEM)
Überwachen oder Überwachung von Daten
- Validierung von Daten
Filterung von Daten Die aufgezählten kryptografischen Funktionalitäten können dabei jeweils wieder mit anderen/weiteren Verfahren oder Kombinationen dieser Verfahren ausgeführt sein. Eine Datenschnittstelle zur Datenübertragung bzw. Kommunika¬ tion zwischen den genannten Gegenständen und ggf. Servern kann beispielsweise eine drahtgebundene oder drahtlose
Schnittstelle (z.B. Mobilfunkschnittstelle (GSM, UMTS, LTE, 5G und höher) , eine WLAN-, eine Bluetooth-, ZigBee- (insbe- sondere eingesetzt in der Haustechnik) oder eine NFC-
Schnittstelle (NFC: Near Field Communication) ) sein. Dabei kann die Datenschnittstelle als eine serielle oder parallele Datenschnittstelle ausgebildet und eingerichtet sein. Die Kommunikation zwischen den Geräten und Servern ist nicht auf eine Punkt-zu-Punkt (Peer) -Kommunikation limitiert. Es sind auch Gruppenkommunikation, Broadcast-Nachrichten oder
Publish/Subscribe Kommunikationsmuster denkbar.
Auf einem Fahrzeugbus z.B. CAN-Bus wird die Steuerungskommu- nikation auf einem Fahrzeugbus gegen Manipulation kryptogra- phisch geschützt. Dieser Schutz bezieht sich jedoch auf einzelne Datenpakete, nicht auf eine Steuerungsfunktionalität.
Aus der Publikation Stefan Berger, Kenneth Goldman, Dimitrios Pendarakis, David Safford, Enriquillo Valdez, Mimi Zohar: Scalable Attestation: A Step toward Secure and Trusted
Clouds, IEEE Cloud Computing 2015 vol. 2 Issue No . 05 - Sept . -Oct . ,
https : //www . Computer . org/csdl/mags/cd/2015/05/mcd2015050010- abs.html ist eine Bestätigung der Integrität eines Cloud- Servers auf mehreren Ebenen bekannt (infrastructure,
integrity, guest Virtual machine integrity, application integrity) . Dabei kann jeweils ein Trusted Platform Modul (TPM) eine Attestierung zur Bestätigung des Softwarestands bereitstellen. Es ist auch möglich, das Open Attestation
Open-Source-Proj ekt einzusetzen, bei dem ein zentraler Server die TPM-Messungen mehrerer Clients auswertet. Angriffe gegen PKWs sind möglich, bei denen das Bremssystem bzw. die Lenkung manipuliert wird. Aus
https : //www . wired . com/2016/08/j eep-hackers-return-high-speed- steering-acceleration-hacks/ ist bekannt, dass Steuerungs- funktionen auf einem Fahrzeug lokal realisiert sein können (insbesondere in Steuergeräten ECUs) oder in einer Cloud. Hierzu gibt es beispielsweise mehrere Publikationen zu „Cloud Robotics and Automation",
http : //goldberg .berkeley . edu/cloud-robotics/ ,
https://en.wikipedia.org/wiki/Cloud_robotics ,
http : //goldberg .berkeley . edu/pubs/T-ASE-Cloud-RA-Survey- Paper-Final-2015.pdf ).
Auch ein Edge Computing im Umfeld von 5G-Mobilfunk soll künf- tig Steuerungsfunktionen in autonomen Systemen realisieren
(https : //www .ericsson. com/res/thecompany/docs/publications/er icsson_review/2016/etr-5g-cloud-robotics . pdf ) .
Assistenzfunktionen eines Fahrzeugs werden durch Steuergeräte realisiert. Ob eine bestimmte Funktionalität verfügbar ist, kann durch das verbaute spezifische Steuergerät vorgegeben sein, oder es kann eine entsprechende Funktionalität in Soft¬ ware auf einem Steuergerät installiert oder freigeschaltet sein (z.B. bei End-Of-Line-Programmierung im Werk entspre- chend der bestellten Ausstattungsvariante) .
Es ist Aufgabe der Erfindung, die Sicherheits- bzw. Schutz¬ maßnahmen für eine Steuerungsfunktion zu verbessern. Darstellung der Erfindung
Diese Aufgabe wird durch die unabhängigen Patentansprüche ge¬ löst. Vorteilhafte Weiterbildungen sind Gegenstand der abhän¬ gigen Ansprüche.
Die Erfindung beansprucht ein System bzw. Anordnung, vorzugsweise ein Netzwerksystem bzw. Netzwerkanordnung aufweisend : - eine Netzwerkinfrastruktur mit wenigstens einer an diese koppelbaren Steuerungsfunktion, welche Steuerinformationen mit mindestens einem Gerät austauschen kann,
- gekennzeichnet durch wenigstens eine mit der Netzwerk- infrastruktur koppelbare Überprüfungsfunktion zur Überprüfung der Funktionsfähigkeit der Steuerungsfunktion, wobei
- die Überprüfungsfunktion zumindest eine Freigabefunktion aufweist, die dazu ausgelegt ist, im Falle eines von der Überprüfungsfunktion erkannten Fehlens der Funktionsfähigkeit und/oder einer fehlerhaften Funktionsfähigkeit eine Widerrufsinformation bereitzustellen, welche zu einem Widerruf einer Freigabe einer Aktivierung und/oder einer Ausführung der Steuerungsfunktion führt.
Die Netzwerkinfrastruktur kann ein kabelgebundenes oder Funk- Übertragungsnetzwerk sein, innerhalb der genannten Funktionen beispielsweise in Servern organisiert sein können. Von Server- bzw. Cloud-Anbietern können Speicherplatz und
Clouddienste zur Verfügung gestellt werden. Die Überprüfungs¬ funktion kann Überwachungs- und/oder Detektions- und/oder Analysefunktionen umfassen, welche netzwerkseitig bzw.
cloudseitig implementiert sein können. Die Aufgaben- und (Teil- ) funktionen der Überprüfungsfunktion können auch ver- teilt in einer oder mehrerer Clouds und in einem Gerät imple¬ mentiert sein oder auch vollständig in einem Gerät implementiert sein.
Eine fehlerhafte Funktionsfähigkeit umfasst auch eine Beein- trächtigung bzw. Einschränkung der Funktionsfähigkeit.
Die Überprüfung der Funktionsfähigkeit kann kontinuierlich bzw. dauerhaft und/oder einmalig ausgeführt werden. Sie kann dann die Widerrufsinformation bereitstellen, welche direkt einen Widerruf hervorrufen oder einen Widerruf einleiten kann. Dabei kann die Widerrufsinformation zu einem Widerruf einer ggf. bereits laufenden Ausführung der Steuerungsfunkti¬ on einmalig oder temporär oder dauerhaft führen. Die Widerufsinformation kann auch eine
Nichtwiderrufsinformation sein, d.h. eine Art Positivbestätigung, dass die Steuerungsfunktion nicht widerrufen ist. Geräte können beispielsweise Fahrzeuge, führerlose Transport¬ systeme, Roboter, Testgeräte oder andere Komponenten einer industriellen Anlage sein.
Die Steuerungsfunktion kann sicherheitsrelevante Maßnahmen umfassen, wie z.B. ein Anhalten eines Fahrzeugs oder Roboters bevor eine Kollision eintritt. Es können durch die Steue¬ rungsfunktion auch Steuerinformationen hinsichtlich von Software- bzw. Hardwareversionen auf den Geräten und in Knoten/Server der Netzwerkinfrastruktur geliefert werden, um die Kompatibilität und vollständige Funktionalität der Versionen zu gewährleisten.
Erfindungsgemäß werden die Sicherheits- bzw. Schutzmaßnahmen für eine Steuerungsfunktion sichergestellt. Die Erfindung auch als eine Art Safety Watchdog (Sicherheitsüberwachung) für eine Netzwerkinfrastruktur, die als ein verteiltes Cloud Robotics System (siehe nachstehendes Ausführungsbeispiel) verstanden werden. Damit können sicherheitskritische „Fehlfunktionen" gesichert und in einer Ausführungsform manipulationsgeschützt verhindert werden.
Die Erfindung zeichnet sich zudem dadurch aus, dass die Akti¬ vierung eines nicht freigegebenen Versionsstands einer Steue¬ rungsfunktion zuverlässig und ggf. manipulationsgeschützt verhindert wird. Dabei wird insbesondere die Kompatibilität der Geräteseitige und netzwerkseitigen Funktionalitätsversi- onsstände sichergestellt.
Eine Weiterbildung der Erfindung sieht ein mit einer Netzwerk-Infrastruktur in Verbindung stehendes und mit der Steue- rungsfunktion steuerbares Testgerät vor, welches dazu ausge¬ legt ist, die Funktionsfähigkeit des mindestens einen Gerätes zu überwachen und diese der Netzwerk-Infrastruktur für die Steuerungsfunktion zu attestieren. Das Testgerät kann ent- sprechende Überwachungsinformation hinsichtlich der Funktionsfähigkeit eines oder mehrerer Geräte liefern. Das Testge¬ rät kann die empfangene Steuerinformation tatsächlich ausführen (physikalisch) oder simulieren (virtuell) .
Eine Weiterbildung der Erfindung sieht vor, dass die
Widerrufsinformation dann bereitgestellt werden kann, wenn eine kryptographisch schützbare Sperrinformation vorliegt oder eine erwartete kryptographisch schützbare Freigabeinfor- mation ausbleibt.
Eine Weiterbildung der Erfindung sieht vor, dass die Freigabe- und/oder Sperrinformation vorgebbar oder durch die Überprüfungsfunktion ermittelbar ist.
Eine Weiterbildung der Erfindung sieht vor, dass die Überprüfung der Funktionsfähigkeit der Steuerungsfunktion eine kryptographisch schützbare Integritätsprüfung umfasst. Eine Weiterbildung der Erfindung sieht vor, dass eine
Cloudverarbeitungsstelle innerhalb der Netzwerkinfrastruktur angeordnet und dazu ausgebildet ist, die von der Steuerungs¬ funktion angewiesenen Arbeitsschritte des mindestens einen Gerätes zu verarbeiten und/oder anzuhalten und/oder zu been- den, wobei die Cloudverarbeitungsstelle die von der Freigabe¬ funktion bereitgestellte und von der Steuerungsfunktion weitergeleitete Widerrufsinformation erhält.
Ein weiterer Aspekt der Erfindung sieht eine Einrichtung Ein- richtung zur Überprüfung der Funktionsfähigkeit einer Steuerungsfunktion aufweisend wenigstens eine Überprüfungsfunktion zur Überprüfung der Funktionsfähigkeit, wobei diese mit einer Netzwerkinfrastruktur koppel bar ist, an welche wenigstens eine Steuerungsfunktion zur Steuerung von mindestens einem Gerät koppel bar ist, und zumindest eine Freigabefunktion, die dazu ausgelegt ist, im Falle eines von der Überprüfungs¬ funktion erkannten Fehlens der Funktionsfähigkeit und/oder fehlerhaften Funktionsfähigkeit, eine Widerrufsinformation bereitzustellen, welche zu einem Widerruf einer Freigabe ei¬ ner Aktivierung und/oder einer Ausführung der Steuerungsfunktion führt.
Ein weiterer Aspekt der Erfindung sieht ein Verfahren zum Betrieb des Systems der vorstehend beschriebenen Art vor, wel¬ ches Verfahren zum Betrieb des Systems nach einem der vorherstehenden Systemansprüche, welches
- eine Netzwerkinfrastruktur mit wenigstens einer Steuerungsfunktion, welche Steuerinformationen mit mindestens einem Gerät austauschen kann,
- und wenigstens eine mit der Netzwerkinfrastruktur kopp¬ elbare Überprüfungsfunktion aufweist,
- die die Funktionsfähigkeit der Steuerungsfunktion überprüft,
wobei durch zumindest eine Freigabefunktion der Überprü¬ fungsfunkton im Falle einem von der Überprüfungsfunktion erkannten Fehlen der Funktionsfähigkeit und/oder fehlerhaften Funktionsfähigkeit, eine Widerrufsinformation be¬ reitgestellt wird, welche zu einem Widerruf einer Frei¬ gabe einer Aktivierung und/oder einer Ausführung der Steuerungsfunktion führt.
Die vorstehend genannten Funktionen können in Software, Firmware und/oder Hardware implementiert sein. Sie können als ei¬ ne Art Funktionseinheiten verstanden werden, die auch in Ihrer Funktion in beliebiger Kombination in eine einzige Einheit (Komponente bzw. Server bzw. Gerät) integriert sein kön¬ nen .
Ein weiterer Aspekt der Erfindung kann ein Computerprogramm bzw. ein Computerprogrammprodukt mit mindestens einem Compu¬ terprogramm mit Mitteln zur Durchführung des Verfahrens und dessen genannte Ausgestaltungen sein, wenn das Computerprogramm (Produkt) bzw. das mindestens eine Computerprogramm ver¬ teilt innerhalb der Kommunikationsanordnung nach oben beschriebener Art zur Ausführung gebracht wird. Obige Einrichtungen, Verfahren und gegebenenfalls das Compu¬ terprogramm (Produkt) können im Wesentlichen analog wie das System bzw. die Anordnung und dessen Ausgestaltungen bzw. Weiterbildungen entsprechend aus- bzw. weitergebildet werden.
Ausführungsbeispiel (e) :
Weitere Vorteile, Einzelheiten und Weiterbildungen der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Aus- führungsbeispielen in Verbindung mit den Zeichnungen.
Dabei zeigt:
Figur 1 schematisch eine Netzwerkinfrastruktur, auf die das erfindungsgemäße Vorgehen angewendet werden kann, und
Figur 2 ein Ablaufdiagramm.
Die Figur 1 zeigt ein mögliches Ausführungsbeispiel für die Erfindung. Eine Netzwerkinfrastruktur z.B. ein 5G-Netzwerk 5G verfügt über eine Steuerungsfunktion CRS, die netzwerkseitig als Clouddienst bzw. als Funktion eines Cloud Servers ausge¬ bildet sein kann. Im Falle eines zu steuernden Gerätes R in Form eines Roboters ist der Cloud Server ein „Cloud Robotics Server", um kritische Steuerungsfunktionen auf einem Roboter zu steuern. Es sind auch andere zu steuernde Geräte V in Form von autonom fahrenden Fahrzeugen denkbar. Im dargestellten Beispiel ist eine Überprüfungsfunktion in Form eines Servers vorgesehen, um die korrekte Funktionalität des Cloud Robotics Servers kontinuierlich zu überprüfen. Dies kann über eine weitere zweite Netzwerkinfrastruktur z.B. eines öffentlichen Netzwerks PN erfolgen. Letztendlich ist die Überprüfungsfunktion direkt oder indirekt über das Netzwerk PN mit der ersten Netzwerkinfrastruktur gekoppelt. Als eine Ausführungsform der Überprüfungsfunktion ist ein Cloud Robotics Security Operati¬ on Center CRO vorgesehen, um Sicherheitsvorfälle zu erkennen und zu analysieren. Es kann als Überprüfungsfunktion desweiteren ein weiterer Cloud Robotics Test Server CRT vorgesehen sein, der beispielsweise eine Freigabefunktion umfasst, die die Aktivierung von nicht freigegebenen Versionsständen der genannten Steuerungsfunktion durch Bereitstellung einer
Widerrufsinformation verhindert bzw. einen Widerruf einlei- tet. Weiterhin ist ein Test-Gerät TD vorgesehen, das - wie die Geräte V und R - von dem Cloud Robotics Server gesteuert wird und das die korrekte Funktionalität überwacht (z.B.
durch Beaufschlagen des Cloud Robotics Servers mit Testda¬ ten) . Des Weiteren kann eine in der Figur nicht dargestellte Cloud-Verarbeitungsstelle in der Netzwerkinfrastruktur des 5G-Netzes angeordnet sein, die quasi die „Intelligenz" der Geräte V und R darstellt. Sie kann Arbeitsschritte des Robo¬ ters verarbeiten und steht mit der Steuerungsfunktion in Verbindung, um ( Steuerungs- ) funktionen auszutauschen. Die Steue- rungsfunktion kann auch statt als Cloud Robotics Server CRS auch in das Gerät z.B. V integriert sein. Dies wird eher bei einem autonom fahrenden Fahrzeug der Fall sein, das auch im Zweifel ohne eine Netzwerkverbindung zum 5G-Netzwerk weiterhin „autonom" funktionieren muss.
Sowohl die Überprüfungsfunktion als auch die Steuerungsfunktion sind flexibel in unterschiedlichen Formen innerhalb der Netzwerkinfrastrukturen implementierbar. Die Überprüfungsfunktion kann auch in die oben erwähnte Cloud- Verarbeitungsstelle integriert sein.
Die bereitgestellte Widerrufsinformation kann kryptographisch verschlüsselt sein. Die Widerrufsinformation wird dann bereitgestellt, wenn eine kryptographisch schützbare Sperrin- formation vorliegt oder eine erwartete kryptographisch schützbare Freigabeinformation ausbleibt. In diesem Kontext kann ein kryptographischen Schlüssel bzw. ein digitales Zertifikat, das einen kryptographischen Schlüssel umfasst, wi¬ derrufen werden. Es ist möglich, dazu ein Zertifikat in einer Zertifikatswiderrufsliste aufzuführen oder eine OCSP-Response zu verwenden, um den aktuellen Widerrufsstatus eines digita¬ len Zertifikats zu bestätigen. Solch eine Art Widerruf kann die Erfindung verwenden, wenn die verschlüsselte bzw. zerti- fizierte Freigabeinformation auf diese Weise widerrufen werden soll.
Eine Steuerungsfunktion kann dabei nur aktiviert werden, wenn eine der Steuerungsfunktion zuordenbare kryptographisch geschützte Freigabeinformation (Freigabe-Attestierung) vorliegt. Diese kann vorgebbar bzw. administrativ oder automatisch durch einen Selbsttest bzw. durch die Überprüfungsfunktion ausgestellt werden. Es können mehrere Freigaben erfor- derlich sein (z.B. keine administrative Sperrung, und positi¬ ve Bestätigung des Selbsttests) . Die mehreren Freigaben können sich insbesondere auf unterschiedliche Komponenten einer Cloud-Lösung beziehen (z.B. Backend Selbsttest; freigegebene Fahrzeugsteuerungsfunktion für aktuellen Backend- Versionstand) . Damit kann zuverlässig verhindert werden, dass ein veralteter Versionsstand geräteseitig aktiviert wird, der nicht für den aktuellen Versionsstand der Cloud-Seite freige¬ geben ist. Weiterhin kann zuverlässig verhindert werden, dass eine Steuerungsfunktion, insbesondere eine geräteseitige Steuerungsfunktion, aktiviert wird, wenn die Cloud-Seite eine Fehlfunktion aufweist.
Für den Widerruf kann eine Whitelisting- oder eine
Blacklisting-Strategie jeweils einzeln oder in Kombination angewandt werden:
- Blacklisting: Widerrufene Steuerungsfunktionen (identifiziert z.B. durch Hash-Wert, Versionsnummer)
- Ausbleiben einer Positiv-Bestätigung (es liegt keine po- sitive Bestätigung vor, dass die Funktionalität noch gültig ist).
Die Freigabe- bzw. Sperrinformation kann sich auf eine abstrakte Funktionalität, auf eine spezielle Softwareversion ei- ner Firmware oder auf eine Kombination von Softwareständen mehrerer Steuerungsfunktionen bzw. Steuergeräte beziehen. Weiterhin kann die Information die Hardware-Version des Steuergerätes angeben. Weiterhin kann ein geographisches Gebiet angegeben werden, auf das sich die Freigabeinformation bzw. die Sperrinformation bezieht. Die Freigabe- bzw. Sperrinformation ist vorzugsweise durch eine kryptographische Prüfsumme geschützt (digitale Signatur, Message Authentication Code) . Die Freigabeinformation insbesondere einer sicherheitskriti¬ schen Steuerungsfunktion ist erfindungsgemäß veränderlich, d.h. sie kann im laufenden Betrieb eingeschränkt werden. So kann insbesondere dann, wenn eine sicherheitsrelevante Steue¬ rungsfunktion zum autonomen oder assistiertem Fahren in der Praxis sich als unzuverlässig, fehlerhaft, manipulierbar oder bereits manipuliert herausgestellt hat, diese deaktiviert werden, sodass keine Gefährdung mehr von ihr ausgeht. Das Aktivieren einer entsprechenden Fahrfunktion bei einem Fahrzeug kann hiermit zuverlässig unterbunden werden.
Folgende Komponenten stellen Freigabe-Attestierungen aus:
Selbsttest des Gerätes V oder des Gerätes R (ausgewertet durch den Cloud Robotics Server)
Cloud Robotics Security Operation Server CRO stellt eine Freigabeinformation aus (ausgewertet vom Cloud Robotics
Server, Gerät V, Gerät R)
Cloud Robotics Test Server CRT stellt Attestierung aus (ausgewertet durch Cloud Robotics Server, Gerät V, Gerät R)
- Test-Gerät TD stellt Attestierung aus (ausgewertet durch
Cloud Robotics Server)
Weiterhin kann die Integrität im laufenden Betrieb bei akti¬ vierter Steuerungsfunktion weiterhin überprüft werden. Ggf. erfolgt ein Abschalten (z.B. Übergabe an Fahrzeugführer) oder eine Aktivierungen eines autonomen Notprogramms (z.B. Halt an Fahrbahnrand) .
Die Überprüfung kann lokal auf einem Fahrzeug erfolgen, oder in einem Backend System (Cloud Robotics) . Das Ergebnis der
Integritätsprüfung ist vorzugsweise kryptographisch geschützt (Attestierung der Freigabebestätigung) . Diese wird wie oben beschrieben, als eine kryptographisch geschützte Freigabein- formation für die Aktivierung einer Steuerungsfunktion genutzt. D.h., dass die Freigabeinformation (bzw. Sperrinformation) sowohl administrativ vergeben werden kann (z.B. bei erkannten Schwachstellen) oder durch die Überprüfung der Funk- tionalität (attestierter Selbsttest) selbst ermittelt werden kann .
In Figur 2 ist ein Ablaufdiagramm zum erfindungsgemäßen Vorgehen gezeigt, das in Schritt SO den Startpunkt andeutet. In Schritt Sl wird eine Steuerungsfunktion aktiviert. In Schritt S2 wird eine Überprüfung durch die Überprüfungsfunktion dieser Steuerungsfunktion durchgeführt. Es wird überprüft, ob eine Freigabeinformation (Freigabe-Attestierung) für die Steuerungsfunktion vorliegt. Dies ist der Fall, wenn weder fehlhafte Funktionalität der Steuerungsfunktion noch ein Fehlen der Funktionalität vorliegt. Ist das Ergebnis der Über¬ prüfung in Ordnung (siehe Schritt S3) , dann wird in Schritt S4 die Steuerungsfunktion aktiviert. Ist das Ergebnis der Überprüfung nicht in Ordnung, dann wird in Schritt 6 eine Widerrufsinformation bereitgestellt, die bei bereits akti¬ vierter bzw. laufender Steuerungsfunktion zum Widerruf der Aktivierungsfreigabe führt. Letztendlich kommt es zur tempo¬ rären oder einmaligen oder dauerhaften Sperrung bzw. Deakti- vierung der Steuerungsfunktion. Schritt S6 kennzeichnet das Ende des oben erläuterten Vorgehens.
Obwohl die Erfindung im Detail durch das bevorzugte Ausführungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele einge- schränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen .
Die Implementierung der vorstehend beschriebenen Prozesse oder Verfahrensabläufe kann anhand von Instruktionen erfol¬ gen, die auf computerlesbaren Speichermedien oder in flüchtigen Computerspeichern (im Folgenden zusammenfassend als computerlesbare Speicher bezeichnet) vorliegen. Computerlesbare Speicher sind beispielsweise flüchtige Speicher wie Caches, Puffer oder RAM sowie nichtflüchtige Speicher wie Wechselda¬ tenträger, Festplatten, usw. Die vorstehend beschriebenen Funktionen oder Schritte können dabei in Form zumindest eines Instruktionssatzes in/auf einem computerlesbaren Speicher vorliegen. Die Funktionen oder Schritte sind dabei nicht an einen bestimmten Instruktions¬ satz oder an eine bestimmte Form von Instruktionssätzen oder an ein bestimmtes Speichermedium oder an einen bestimmten
Prozessor oder an bestimmte Ausführungsschemata gebunden und können durch Software, Firmware, Microcode, Hardware, Prozes¬ soren, integrierte Schaltungen usw. im Alleinbetrieb oder in beliebiger Kombination ausgeführt werden. Dabei können ver- schiedenste Verarbeitungsstrategien zum Einsatz kommen, beispielsweise serielle Verarbeitung durch einen einzelnen Prozessor oder Multiprocessing oder Multitasking oder Parallelverarbeitung usw. Die Instruktionen können in lokalen Speichern abgelegt sein, es ist aber auch möglich, die Instruktionen auf einem entfernten System abzulegen und darauf via Netzwerk zuzugreifen.
Der Begriff "Prozessor", "zentrale Signalverarbeitung",
"Steuereinheit" oder "Datenauswertemittel " , wie hier verwen¬ det, umfasst Verarbeitungsmittel im weitesten Sinne, also beispielsweise Server, Universalprozessoren, Grafikprozesso¬ ren, digitale Signalprozessoren, anwendungsspezifische inte¬ grierte Schaltungen (ASICs) , programmierbare Logikschaltungen wie FPGAs, diskrete analoge oder digitale Schaltungen und be¬ liebige Kombinationen davon, einschließlich aller anderen dem Fachmann bekannten oder in Zukunft entwickelten Verarbeitungsmittel. Prozessoren können dabei aus einer oder mehreren Vorrichtungen bzw. Einrichtungen bzw. Einheiten bestehen. Be- steht ein Prozessor aus mehreren Vorrichtungen, können diese zur parallelen oder sequentiellen Verarbeitung bzw. Ausführung von Instruktionen ausgelegt bzw. konfiguriert sein.

Claims

Patentansprüche
1. System aufweisend:
- eine Netzwerkinfrastruktur (5G) mit wenigstens einer an diese koppelbaren Steuerungsfunktion (CRS) , welche
Steuerinformationen mit mindestens einem Gerät (V, R, TD austauschen kann,
- gekennzeichnet durch wenigstens eine mit der Netzwerk¬ infrastruktur koppelbare Überprüfungsfunktion (CRT, CRO) zur Überprüfung der Funktionsfähigkeit der Steue¬ rungsfunktion, wobei
- die Überprüfungsfunktion zumindest eine Freigabefunktion aufweist, die dazu ausgelegt ist, im Falle eines von der Überprüfungsfunktion erkannten Fehlens der Funkti- onsfähigkeit und/oder einer fehlerhaften Funktionsfä¬ higkeit eine Widerrufsinformation bereitzustellen, welche zu einem Widerruf einer Freigabe einer Aktivierung und/oder einer Ausführung der Steuerungsfunktion führt.
2. System nach dem vorhergehenden Anspruch, gekennzeichnet durch ein mit der Netzwerk-Infrastruktur in Verbindung stehendes und mit der Steuerungsfunktion steuerbares Test¬ gerät (TD) , welches dazu ausgelegt ist, die Funktionsfä¬ higkeit des mindestens einen Gerätes zu überwachen und diese der Netzwerk-Infrastruktur für die Steuerungsfunktion zu attestieren.
3. System nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Widerrufsinformation dann bereit- gestellt werden kann, wenn eine kryptographisch schützbare
Sperrinformation vorliegt oder eine erwartete kryptogra¬ phisch schützbare Freigabeinformation ausbleibt.
4. System nach dem vorhergehenden Anspruch, dadurch gekenn- zeichnet, dass die Freigabe- und/oder Sperrinformation vorgebbar oder durch die Überprüfungsfunktion ermittelbar ist .
5. System nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Überprüfung der Funktionsfähigkeit der Steuerungsfunktion eine kryptographisch
schützbare Integritätsprüfung umfasst.
6. System nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eine Cloudverarbeitungsstelle inner¬ halb der Netzwerkinfrastruktur angeordnet und dazu ausge¬ bildet ist, die von der Steuerungsfunktion angewiesenen Arbeitsschritte des mindestens einen Gerätes zu verarbei¬ ten und/oder anzuhalten und/oder zu beenden, wobei die Cloudverarbeitungsstelle die von der Freigabefunktion be¬ reitgestellte und von der Steuerungsfunktion weitergelei¬ tete Widerrufsinformation erhält.
7. Einrichtung zur Überprüfung der Funktionsfähigkeit einer Steuerungsfunktion aufweisend wenigstens eine Überprü¬ fungsfunktion (CRT, CRO) zur Überprüfung der Funktionsfähigkeit, wobei diese mit einer Netzwerkinfrastruktur (5G) koppel bar ist, an welche wenigstens eine Steuerungsfunk¬ tion (CRS) zur Steuerung von mindestens einem Gerät (V, R, TD) koppel bar ist, und zumindest eine Freigabefunktion, die dazu ausgelegt ist, im Falle eines von der Überprü¬ fungsfunktion erkannten Fehlens der Funktionsfähigkeit und/oder fehlerhaften Funktionsfähigkeit, eine
Widerrufsinformation bereitzustellen, welche zu einem Widerruf einer Freigabe einer Aktivierung und/oder einer Ausführung der Steuerungsfunktion führt.
8. Einrichtung nach dem vorhergehenden Anspruch, dadurch gekennzeichnet, dass die Widerrufsinformation dann bereitge¬ stellt werden kann, wenn eine kryptographisch schützbare Sperrinformation vorliegt oder eine erwartete kryptogra¬ phisch schützbare Freigabeinformation ausbleibt.
9. Einrichtung nach einem der vorhergehenden Einrichtungsansprüche, dadurch gekennzeichnet, dass die Überprüfung der Funktionsfähigkeit der Steuerungsfunktion eine kryptogra- phisch schützbare Integritätsprüfung umfasst.
10. Einrichtung nach einem der vorhergehenden Ansprüche, da durch gekennzeichnet, dass die Einrichtung über die Netz¬ werkinfrastruktur mit einer Cloudverarbeitungsstelle in Verbindung steht, die von der Steuerungsfunktion angewiesenen Arbeitsschritte des mindestens einen Gerätes verar¬ beiten und/oder anhalten und/oder beenden kann, wobei die Cloudverarbeitungsstelle die von der Freigabefunktion be¬ reitgestellte und von der Steuerungsfunktion weitergelei¬ tete Widerrufsinformation erhält.
11. Verfahren zum Betrieb des Systems nach einem der vorher stehenden Systemansprüche, welches
eine Netzwerkinfrastruktur (5G) mit wenigstens einer Steuerungsfunktion (CR) , welche Steuerinformationen mit mindestens einem Gerät (V, R, TD) austauschen kann und wenigstens eine mit der Netzwerkinfrastruktur koppelb are Überprüfungsfunktion aufweist,
die die Funktionsfähigkeit der Steuerungsfunktion überprüft,
wobei durch zumindest eine Freigabefunktion der Überprü¬ fungsfunkton im Falle einem von der Überprüfungsfunktion erkannten Fehlen der Funktionsfähigkeit und/oder fehlerhaften Funktionsfähigkeit, eine Widerrufsinformation be¬ reitgestellt wird, welche zu einem Widerruf einer Freigab einer Aktivierung und/oder einer Ausführung der Steuerungsfunktion führt.
12. Verfahren nach dem vorhergehenden Anspruch, dadurch gekennzeichnet, dass ein mit der Netzwerk-Infrastruktur in Verbindung stehendes und mit der Steuerungsfunktion steuerbares Testgerät die Funktionsfähigkeit des mindestens einen Gerätes überwacht und diese der Netzwerk- Infrastruktur für die Steuerungsfunktion attestiert.
13. Verfahren nach einem der vorhergehenden Verfahrensansprüche, dadurch gekennzeichnet, dass die
Widerrufsinformation dann bereitgestellt wird, wenn eine kryptographisch schützbare Sperrinformation vorliegt oder eine erwartete kryptographisch schützbare Freigabeinforma¬ tion ausbleibt.
14. Verfahren nach dem vorhergehenden Anspruch, dadurch gekennzeichnet, dass die Freigabe- und/oder Sperrinformation vorgegeben oder durch die Überprüfungsfunktion ermittelt wird .
15. Verfahren nach einem der vorhergehenden Verfahrensansprüche, dadurch gekennzeichnet, dass die Überprüfung der Funktionsfähigkeit der Steuerungsfunktion eine kryptogra¬ phisch schützbare Integritätsprüfung durchführt.
16. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eine Cloudverarbeitungsstelle innerhalb der Netzwerkinfrastruktur angeordnet, die von der Steuerungsfunktion angewiesene Arbeitsschritte des mindestens einen Gerätes verarbeiten und/oder anhalten und/oder beenden kann, wobei die Cloudverarbeitungsstelle die von der Freigabefunktion bereitgestellte und von der Steuerungsfunktion weitergeleitete Widerrufsinformation erhält .
17. Computerprogrammprodukt mit mindestens einem Computer¬ programm, das Mittel zur Durchführung des Verfahrens nach einem der vorstehenden Verfahrensansprüche aufweist, wenn das mindestens ein Computerprogramm verteilt im System nach einem der vorstehenden Systemansprüche zur Ausführung gebracht wird.
PCT/EP2017/082613 2017-02-07 2017-12-13 Netzwerksystem und verfahren zur überprüfung der funktionsfähigkeit einer cloud-basierten steuerungsfunktion Ceased WO2018145798A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017201857.7 2017-02-07
DE102017201857.7A DE102017201857A1 (de) 2017-02-07 2017-02-07 Netzwerksystem und Verfahren zur Überprüfung der Funktionsfähigkeit einer Cloud-basierten Steuerungsfunktion

Publications (1)

Publication Number Publication Date
WO2018145798A1 true WO2018145798A1 (de) 2018-08-16

Family

ID=61024713

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2017/082613 Ceased WO2018145798A1 (de) 2017-02-07 2017-12-13 Netzwerksystem und verfahren zur überprüfung der funktionsfähigkeit einer cloud-basierten steuerungsfunktion

Country Status (2)

Country Link
DE (1) DE102017201857A1 (de)
WO (1) WO2018145798A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111273892A (zh) * 2020-02-13 2020-06-12 济南浪潮高新科技投资发展有限公司 一种基于云端技术和边缘计算实现智能机器人的方法
DE102021203940A1 (de) * 2021-04-21 2022-10-27 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zum Verarbeiten von mit einem elektronischen Gerät für ein Fahrzeug assoziierten Daten

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010102222A2 (en) * 2009-03-05 2010-09-10 Interdigital Patent Holdings, Inc. METHOD AND APPARATUS FOR H(e)NB INTEGRITY VERIFICATION AND VALIDATION
US20120265976A1 (en) * 2011-04-18 2012-10-18 Bank Of America Corporation Secure Network Cloud Architecture

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010102222A2 (en) * 2009-03-05 2010-09-10 Interdigital Patent Holdings, Inc. METHOD AND APPARATUS FOR H(e)NB INTEGRITY VERIFICATION AND VALIDATION
US20120265976A1 (en) * 2011-04-18 2012-10-18 Bank Of America Corporation Secure Network Cloud Architecture

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
STEFAN BERGER; KENNETH GOLDMAN; DIMITRIOS PENDARAKIS; DAVID SAFFORD; ENRIQUILLO VALDEZ; MIMI ZOHAR; SCALABLE ATTESTATION: "A Step toward Secure and Trusted Clouds", IEEE CLOUD COMPUTING, vol. 2, no. 05, September 2015 (2015-09-01), Retrieved from the Internet <URL:https://www.computer.org/csdl/mags/cd/2015/05/mcd2015050010-abs.html>

Also Published As

Publication number Publication date
DE102017201857A1 (de) 2018-08-09

Similar Documents

Publication Publication Date Title
DE102016110414B4 (de) Verfahren und vorrichtungen zur steuerung der kommunikation von endpunkten in einem industrieunternehmenssystem auf der basis von integrität
DE112014005412B4 (de) Programmaktualisierungssystem und Programmaktualisierungsverfahren
EP3451576B1 (de) System und verfahren zur kryptographisch geschützten überwachung wenigstens einer komponente eines geräts oder einer anlage
WO2018010949A1 (de) Verfahren zum aufbau gesicherter kommunikationsverbindungen zu einem industriellen automatisierungssystem und firewall-system
EP3582521B1 (de) Vorrichtung und verfahren zum einrichtung und/oder bereitstellen einer arbeitsumgebung, insbesondere eingesetzt in einer maschinen economy umgebung
DE102018103772A1 (de) Überwachungssystem für eine Schutzeinrichtung und Schutzeinrichtung
DE102016205289A1 (de) Verfahren, Prozessor und Gerät zur Integritätsprüfung von Nutzerdaten
EP3582033A1 (de) Verfahren und vorrichtung zur gesicherten bedienung eines feldgeräts
DE102017203235A1 (de) Verfahren und System zum Freischalten eines Nutzerzugangs zu einem mit einem eingebetteten System gekoppelten Server
EP2548358A1 (de) Verfahren zur dynamischen autorisierung eines mobilen kommunikationsgerätes
WO2018145798A1 (de) Netzwerksystem und verfahren zur überprüfung der funktionsfähigkeit einer cloud-basierten steuerungsfunktion
EP3525390A1 (de) Einrichtung und verfahren zum bereitstellen mindestens eines sicheren kryptographischen schlüssels für den durch ein steuergerät initiierten kryptographischen schutz von daten
WO2018099639A1 (de) Verfahren und einrichtungen zum bereitstellen von mindestens einem dienst, insbesondere im automotive-umfeld
EP3791375A1 (de) Verfahren und vorrichtung zur gegenseitigen überwachung und/oder kontrolle autonomer technischer systeme
WO2018007049A1 (de) Verfahren zur sicheren authentifizierung von steuervorrichtungen in einem kraftfahrzeug
EP3401831B1 (de) Vorrichtung und verfahren zum erkennen einer physikalischen manipulation an einem elektronischen sicherheitsmodul
EP3439229A1 (de) Verfahren und vorrichtungen zum erreichen einer sicherheitsfunktion, insbesondere im umfeld einer geräte- und/oder anlagensteuerung
DE102016120306A1 (de) Verfahren und System zum Aktivieren zumindest einer Bedien-/Parametrierfunktion eines Feldgerätes der Automatisierungstechnik
DE102019125393A1 (de) Vorrichtungen, Verfahren und Computerprogramme für einen Server, ein Verwaltungssystem und ein Fahrzeug
EP3758320A1 (de) Geräte und verfahren zum überprüfen von geräten
EP3541009A1 (de) Verfahren und vorrichtung zur sicherstellung einer kryptographisch geschützten datenübertragung zwischen einem ersten gerät und einem zweiten gerät
WO2023217645A1 (de) Abgesichertes zugriffssystem
WO2017089052A1 (de) Schutzvorrichtung, sicherheitssystem und schutzverfahren
EP3439228B1 (de) Verfahren und vorrichtungen zum erreichen einer sicherheitsfunktion, insbesondere im umfeld einer geräte- und/oder anlagensteuerung
WO2019175086A1 (de) Verfahren und vorrichtung zur kryptographisch geschützten datenübertragung zwischen einem ersten gerät und einem zweiten gerät

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17835462

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 17835462

Country of ref document: EP

Kind code of ref document: A1