Beitrag zur Analyse sicherer Kommunikationsprotokolle im industriellen Einsatz

Bei der Arbeit an sicherheitsgerichteten Kommunikationsprotokollen stellten sich immer wieder die Fragen nach der Eignung von einzelnen Mechanismen der Protokolle, um den Gefährdungen entsprechende Maßnahmen zur Beherrschung entgegenzusetzen. Dabei waren durchweg die Anforderungen der IEC 61508 mit dem Safety Integrity Level 3 zu erfüllen. Die IEC 61508-2 ist mit 5 Zeilen Umfang für die wesentlichen Anforderungen an die sicherheitsgerichtete Kommunikation sehr kurz gehalten und die IEC 61784-3 war zu Beginn der Arbeiten noch nicht veröffentlicht. Aber die IEC 61784-3 stellt auch heute nur einen unvollständigen Kriterienkatalog zusammen. Insbesondere die in IEC 61508-2 geforderte quantitative Analyse wird in der IEC 61784-3 nicht ausreichend thematisiert. In bisherigen sicherheitsgerichteten Protokollen und den relevanten Normen des Anwendungsbereichs fanden die Gefährdungspotentiale, wie Masquerading und Adressierung in offenen Übertragungssystemen, absichtliche Unterminierung der Sicherheitsmechanismen und fehlerhafte Konfiguration keine ausreichende Beachtung und die Gefährdungen durch absehbaren Missbrauch, absehbare Fehlbedienung und unberechtigter Zugriff auf sichere Kommunikationseinrichtungen wurde nur in Randgebieten diskutiert. Hier zeigt die vorliegende Arbeit die Bedeutung dieser für den Einsatz von sicherheitsgerichteten Kommunikationsprotokollen im industriellen Umfeld auf und folgert daraus die entsprechenden Maßnahmen, die in der Verantwortung des Anwenders liegen, bzw. zum Teil auch durch Protokollmechanismen beherrscht werden können. Die Arbeit stellt einen umfassenden Gefährdungskatalog auf und bewertet nach diesem Katalog die am weitest verbreiteten sicherheitsgerichteten Kommunikationsprotokolle nach einem einheitlichen Maßstab. Weiter zeigt die vorgelegte Arbeit, dass auch ein existierendes Zertifikat gemäß IEC 61508 SIL3 nicht in jedem Fall ausreichend ist, um die Eignung eines Protokolls für den Einsatz gemäß dem aktuellen Stand der Normen zu bestätigen. Hervor zu heben ist insbesondere die quantitative Bewertung jeder einzelnen Maßnahme der Protokolle. Bislang wurde diese nur für die Beherrschung von verfälschten Nachrichten durchgeführt. Die Arbeit führt diese quantitative Bewertung der eingesetzten Maßnahmen systematisch durch und zeigt dabei, dass diese Bewertung dringend erforderlich ist, da die betrachteten öffentlichen Protokolle nicht die für SIL3 notwendige Güte für alle ihre Maßnahmen aufweisen, bzw. aufwiesen. Einer der Schwerpunkte dieser Arbeit ist die Definition von Verarbeitungsmodellen für die Berechnung der maximalen Reaktionszeit und der Worst-Case Reaktionszeit. Dazu wurde ein Modell aus 5 Komponenten erstellt, dass geeignet ist, die Reaktionszeit über ein Kommunikationssystem für die im industriellen Umfeld gebräuchlichen Anwendungen zu untersuchen. Diese 5 Komponenten, das Eingangsmodul, die Sicherheitssteuerung, die Kommunikation zwischen beiden, sowie das Ausgangsmodul und die Kommunikation zwischen diesem und der Sicherheitssteuerung. Anhand dieses Modells wurde die maximale Reaktionszeit definiert. Dies ist die Zeit, die von der Änderung eines physikalischen Eingangssignals der Eingangskomponente, bis zur zugehörigen Reaktion des physikalischen Ausgangssignals der Ausgangskomponente, über die Sicherheitssteuerung hinweg, benötigt wird. Die maximale Reaktionszeit betrachtet dabei den Fall, dass im gesamten System aus diesen 5 Komponenten kein Fehler eine Wirkung entfaltet. Die Worst-Case Reaktionszeiten der Protokolle sind auf Grund der verschiedenen Konzepte sehr differenziert zu betrachten. Erschwerend kommt hier noch hinzu, dass die im konkreten System erreichte minimale Worst-Case Reaktionszeit stark von der Implementierung des jeweiligen Herstellers abhängt. Ebenso problematisch ist die unterschiedliche Modellbildung der jeweiligen Protokoll-Organisationen. Es werden Fehlerausschlüsse gemacht, wie die Annahme, dass nur ein Fehler auftritt und dieser Fehler sich nicht auf die Verbindung zwischen Eingangsmodul und Sicherheitssteuerung und auf die Verbindung zwischen Sicherheitssteuerung und Ausgangsmodul gleichzeitig auswirken kann. Da für den sicherheitsgerichteten Einsatz die maximale Reaktionszeit mit Fehlern die relevante Betrachtungseinheit darstellt, wurden anhand des Modells die Worst-Case 1 und 2 Reaktionszeiten definiert. Die erste definiert die Zeit die eine Reaktion maximal benötigt, wenn im Kommunikationssystem eine Fehlerwirkung vorliegt und bei der zweiten wird angenommen, dass mehrere der 5 Komponenten von Fehlerwirkungen betroffen sein können. Um einen vertieften Einblick in die Thematik zu erhalten, wurde im Rahmen dieser Arbeit ein eigenes sicherheitsgerichtetes Kommunikationsprotokoll spezifiziert, entworfen und realisiert. Hierbei wurde besonderer Augenmerk auf die Wirksamkeit des Verfälschungsschutzes mittels CRCs für kurze Nachrichten gelegt und ebenso die Wirksamkeit gekoppelter CRCs betrachtet.

Context as a Service

In the vision of Mark Weiser on ubiquitous computing, computers are disappearing from the focus of the users and are seamlessly interacting with other computers and users in order to provide information and services. This shift of computers away from direct computer interaction requires another way of applications to interact without bothering the user. Context is the information which can be used to characterize the situation of persons, locations, or other objects relevant for the applications. Context-aware applications are capable of monitoring and exploiting knowledge about external operating conditions. These applications can adapt their behaviour based on the retrieved information and thus to replace (at least a certain amount) the missing user interactions. Context awareness can be assumed to be an important ingredient for applications in ubiquitous computing environments. However, context management in ubiquitous computing environments must reflect the specific characteristics of these environments, for example distribution, mobility, resource-constrained devices, and heterogeneity of context sources. Modern mobile devices are equipped with fast processors, sufficient memory, and with several sensors, like Global Positioning System (GPS) sensor, light sensor, or accelerometer. Since many applications in ubiquitous computing environments can exploit context information for enhancing their service to the user, these devices are highly useful for context-aware applications in ubiquitous computing environments. Additionally, context reasoners and external context providers can be incorporated. It is possible that several context sensors, reasoners and context providers offer the same type of information. However, the information providers can differ in quality levels (e.g. accuracy), representations (e.g. position represented in coordinates and as an address) of the offered information, and costs (like battery consumption) for providing the information. In order to simplify the development of context-aware applications, the developers should be able to transparently access context information without bothering with underlying context accessing techniques and distribution aspects. They should rather be able to express which kind of information they require, which quality criteria this information should fulfil, and how much the provision of this information should cost (not only monetary cost but also energy or performance usage). For this purpose, application developers as well as developers of context providers need a common language and vocabulary to specify which information they require respectively they provide. These descriptions respectively criteria have to be matched. For a matching of these descriptions, it is likely that a transformation of the provided information is needed to fulfil the criteria of the context-aware application. As it is possible that more than one provider fulfils the criteria, a selection process is required. In this process the system has to trade off the provided quality of context and required costs of the context provider against the quality of context requested by the context consumer. This selection allows to turn on context sources only if required. Explicitly selecting context services and thereby dynamically activating and deactivating the local context provider has the advantage that also the resource consumption is reduced as especially unused context sensors are deactivated. One promising solution is a middleware providing appropriate support in consideration of the principles of service-oriented computing like loose coupling, abstraction, reusability, or discoverability of context providers. This allows us to abstract context sensors, context reasoners and also external context providers as context services. In this thesis we present our solution consisting of a context model and ontology, a context offer and query language, a comprehensive matching and mediation process and a selection service. Especially the matching and mediation process and the selection service differ from the existing works. The matching and mediation process allows an autonomous establishment of mediation processes in order to transfer information from an offered representation into a requested representation. In difference to other approaches, the selection service selects not only a service for a service request, it rather selects a set of services in order to fulfil all requests which also facilitates the sharing of services. The approach is extensively reviewed regarding the different requirements and a set of demonstrators shows its usability in real-world scenarios.