Autorisierung und Verschlüsselung
HiSLIP 2.0 vernetzt die Messtechnikwelt
Die allgegenwärtige Vernetzung macht auch vor der Messtechnik nicht halt – dabei kommt es auf eine hohe IT-Sicherheit an. Und genau hier setzt der HiSLIP-2.0-Standard an. Er steht für eine sichere Authentifizierung und Verschlüsselung.
Die Kommunikation mit Messgeräten ist einer der wichtigsten Teilaspekte im Test- und Measurement-Bereich. Die zugrunde liegenden Normen und Standards wurden in den 1980er- und 90er-Jahren definiert. Zu diesem Zeitpunkt waren die heutigen Möglichkeiten der Vernetzung nicht mal ansatzweise denkbar. Dass Messgeräte heute weltweit über das Internet zugänglich sind, war zu dieser Zeit eine Utopie, die es nur in der Fantasie von Science- Fiction-Autoren gab.
Heute erscheint es durchaus normal, Messgeräte, die irgendwo auf der Welt ihre Messdaten sammeln, abzufragen und fernzusteuern. Leider müssen die sich daraus ergebenden Sicherheitsfragen meist individuell von Kunden oder dem Hersteller umgesetzt und gelöst werden. Aber auch bei lokalen Vernetzungen, wie zum Beispiel in der Fertigung, sind Sicherheitskonzepte unabdingbar, um einen unbefugten Zugriff auf diese Systeme zu verhindern.
Um die Sicherheitsfragen im Bereich der Messgeräte etwas genauer zu un- tersuchen und gegebenenfalls entsprechende Normen und Standardisierungen auf den Weg zu bringen, haben sich die IVI Foundation und das LXI-Konsortium 2018 dieses Themenbereichs angenommen.
Jobangebote+ passend zum Thema
IVI Foundation und LXI Konsortium
Die hat in der Vergangenheit eine offene Treiberarchitektur, eine Reihe von Geräteklassen und gemeinsame Softwarekomponenten definiert, die die Kommunikation zwischen Steuerrechner und Messgerät ermöglichen. Der Hauptzweck der IVI Foundation ist es, die Entwicklung und Einführung von Standards für die Programmierung von Messgeräten zu fördern. Dabei konzentriert sich die Foundation auf die Bedürfnisse derjenigen, die hochleistungsfähige Testsysteme mit handelsüblichen Gerätetreibern aufbauen und betreiben wollen. Die IVI Foundation verwendet bestehende Industriestandards für ihre Spezifikationen, die den Austausch zwischen Messgeräten vereinfachen und eine bessere Leistung und eine vereinfachte Wartung ermöglichen.
Das hat im Gegenzug einen Standard bereitgestellt, mit dessen Hilfe eine einfache Integration von Messgeräten in bestehende Netzwerke möglich ist. Er definiert die Grundeinstellungen und das Verhalten von Messgeräten in Ethernet-basierten Netzwerken. Die führenden Messtechnik-Unternehmen haben sich in diesem Konsortium zusammengeschlossen, um diesen Standard zu entwickeln, weiter zu verbessern und in der Messtechnik zu etablieren.
Authentifizierung und Verschlüsselung
Authentifizierung und Verschlüsselung Um eine sichere Kommunikation zwischen zwei Teilnehmern zu etablieren, sind grundsätzlich zwei Themen zu beleuchten. Das erste beschäftigt sich mit der Authentifizierung zwischen dem Steuerrechner (Client) und dem Messgerät (Server), der zweite mit der Verschlüsselung der ausgetauschten Daten.
Die [3] sichert die Daten gegen Abhörangriffe und hält die Nachrichten geheim, während die Authentifizierung sicherstellt, dass nur berechtigte Entitäten an der Kommunikation teilnehmen können. In der Version 2.0 von HiSLIP sind beide Teilbereiche als Secure Connection in den neu hinzugefügten Server-Capabilities zusammengefasst. Mit dieser neuen Funktion kann ein Server einem Client mitteilen, welche zusätzlichen Optionen er unterstützt. Damit sind die neuen Sicherheits-Features optional und das HiSLIP-Protokoll bleibt abwärtskompatibel.
Wird eine Verbindung als Secure Connection aufgebaut, müssen sich sowohl Server als auch Client authentifizieren, weil beide Endpunkte Angriffsvektoren darstellen könnten. Als Server muss ein valides X.509-v3-Zertifikat für den Client bereitgestellt werden. Für Details zum Zertifikat – wie etwa die Erstellung und das Deployment auf einem Messgerät – sind die Hersteller selbst verantwortlich. Das LXI-Konsortium stellt jedoch für Hersteller, die keine eigenen Zertifikate herausgeben wollen, eine Möglichkeit bereit, ein kundenspezifisches IDevID-Zertifikat bereitzustellen. Dieses Zertifikat ist vom LXI-Root-Zertifikat als CA abgeleitet.
Der Client muss sich beim Server authentifizieren; das ermöglicht der neue HiSLIP-Standard durch die Verwendung des [4], der eine Vielzahl unterschiedlicher Pro-tokolle zur Verfügung stellt (s. Tabelle). Ein Server, der die Secure Connection implementiert, muss zumindest eine der in SASL vorgegebenen Möglichkeiten einem Client anbieten.
Die zweite wichtige Stütze in HiSLIP ist – neben der Authentifizierung – die Verschlüsselung. Diese erfolgt mittels des bekannten , das heutzutage als Standard im Internet bei HTTPS eingesetzt wird. Über den Standardverbindungsaufbau wird das Serverzertifikat an den Client gesendet; mit dessen Hilfe erfolgt dann die Verschlüsselung der Daten.
Fazit
Die heutige Realität von vernetzten Geräten im Messtechnikbereich hat Vorgaben und Richtlinien im Hinblick auf die IT-Sicherheit erfordert. Mit HiSLIP 2.0 hat sich sowohl die IVI Foundation als auch das LXI-Konsortium dieser Aufgabe gestellt und die Ergebnisse in einem Standard zusammengefasst. HiSLIP 2.0 kann mit den Grundbausteinen TLS (Verschlüsselung) und SASL (Authentifizierung) eine langfristige und sichere Lösung für den Messgerätemarkt darstellen.
Verweise:
[1] IVI Foundation, https://www.ivifoundation.org
[2] LXI Konsortium, https://www.lxistandard.org
[3] HiSLIP-2.0-Standard, https://www.ivifoundation.org/downloads/
Protocol%20Specifications/IVI-6.1_HiSLIP-2.0-2020-04-23.pdf
[4] SASL-Standard, https://datatracker.ietf.org/doc/html/rfc4422
[5] TLS-Standard, https://datatracker.ietf.org/doc/html/rfc5246
Der Autor
Dominik Richstein
studierte an der TH Ingolstadt und ist Softwareentwickler bei TSEP im Bereich der Produkte Chronos (Zeitsynchronisierung mit PTP) und Poseidon.
Lesen Sie mehr zum Thema
