Security für EtherNet/IP

Security für EtherNet/IP

ODVA integriert Cybersecurity für EtherNet/IP-Spezifikation

Auf der SPS IPC Drives kündigte die ODVA die anstehende Veröffentlichung von Band 8 ihrer Spezifikationen an, der ausschließlich dem Thema Cybersecurity gewidmet ist. Dieser wird unter dem Namen CIP Security veröffentlicht und zunächst für EtherNet/IP anwendbar sein. Ein weiterer Schwerpunkt ist die Anpassung bestimmter Standards für Time-Sensitive Networking (TSN) an EtherNet/IP.
Da EtherNet/IP auf COTS-Technologien (commercial-off-the-shelf) basiert, können Anwender bereits seit 2011 traditionelle Defense-in-Depth-Techniken in EtherNet/IP-Systemen einsetzen. CIP Security wird den Anwendern dabei helfen, zusätzliche Maßnahmen zum Schutz ihrer Steuersysteme mittels branchenbewährter Techniken zur Sicherung des Nachrichtentransports zwischen EtherNet/IP-Geräten und Systemen zu ergreifen. Die erste CIP-Security-Version beinhaltet Mechanismen gegen Identitäts-Spoofing, Datenmanipulation und die Offenlegung von Informationen. Zu den Mechanismen, welche die Version unterstützt, gehören Geräteautorisierung, Integrität des Nachrichtentransports und Vertraulichkeit der Nachrichten. Für die Unterstützung der Mechanismen wurden Standards der IETF (Internet Engineering Task Force) zur Verschlüsselung übernommen, denen TLS (Transport Layer Security), DTLS (Data Transport Layer Security) und Authentifizierung auf Basis des X.509v3-Standards für die Zertifikathandhabung zugrunde liegen. Bedingt durch die Breite der Anwendungen wird die nächste Ausgabe der EtherNet/IP-Spezifikation die Bandbreite auf IEC62439-3 ‚Industrielle Kommunikationsnetzwerke – Hochverfügbarkeit von Automatisierungsnetzwerken – Teil 3‘ ausdehnen und High Availability Seamless Redundancy (HSR) zusätzlich zum Parallel Redundancy Protocol (PRP) einschließen. HSR wird gegenwärtig in der Umspannwerksautomatisierung (gemäß IEC-61850) eingesetzt.

Adaption von Time Sensitive Networking (TSN)

Ein weiterer Schwerpunkt der ODVA ist die Anpassung bestimmter Standards für Time-Sensitive Networking (TSN) an EtherNet/IP. Insbesondere wird man Erweiterungen an der EtherNet/IP-Spezifikation basierend auf den Standards für Frame Preemption und Stream Reservation vornehmen, die in den IEEE-802.1-Projekten definiert sind. Nutzer werden Leistungsverbesserungen um bis zu zwei Größenordnungen in Systemen, die EtherNet/IP verwenden, erreichen, aufgrund der Kombination von TSN mit bestehenden Standards, die bereits in der EtherNet/IP-Spezifikation enthalten sind. Zudem wird CIP um Datenmodelle erweitert, um den Austausch von Anwendungsinformationen innerhalb der EtherNet/IP-Systeme und zwischen EtherNet/IP-Systemen und Überwachungssystemen, die EtherNet/IP möglicherweise nicht verwenden, zu erleichtern. Ein Anwendungsbereich, für den Spezifikationserweiterungen vorgesehen sind, ist die Anpassung an Datenformate und Zugriffsmethoden der Namur NE-107 (Selbstüberwachung und Diagnose von Feldgeräten), die erforderlich sind, um solche Prozessdaten aus EtherNet-/IP-Feldgeräten abzurufen. Ein weiterer Anwendungsbereich, ist die Einbeziehung eines Maschinendatenmodells sowie von Services für die Kommunikation zwischen Maschinen und Überwachungssystemen. Durch die Instanziierung der Standards für Feldgeräte und Maschinen bietet sich Anwendern eine weitere Möglichkeit, ihre Abhängigkeit von proprietären Implementierungen mithilfe anbieterunabhängiger Standards zu reduzieren, die für eine Multi-Vendor-Interoperabilität konzipiert wurden. Die ODVA erweitert zudem die Spezifikation um Standards für die Datenintegration zwischen EtherNet/IP und HART- bzw. IO-Link.