Kategorien: Cloud Licensing
OPC UA und CodeMeter
OPC Unified Architecture, kurz OPC UA, etabliert sich mehr und mehr als Standard in der Automatisierungsindustrie. Der offene Standard gemäß IEC 62541 vereint neben Plattformunabhängigkeit, Objektorientierung und Typsicherheit nun auch IT-Sicherheit als zentrale Technologie und kann durchgängig vom kleinsten Gerät bis zur Enterprise-IT und sogar in der Cloud verwendet werden. CodeMeter als führende Schutz- und Lizenzierungstechnologie ist die ideale Ergänzung, um Schlüssel und Zertifikate in sicherer Hardware zu speichern und neben „Security“ auch neue Geschäftsmodelle in Geräten mit OPC UA durch Lizenzierung zu ermöglichen.
OPC UA bietet hervorragende Sicherheit auf Protokollebene
OPC UA ist mehr als ein Kommunikationsprotokoll. Der offene Standard bietet:
- Confidentiality: Daten verschlüsseln
- Integrity: Daten signieren
- Application Authentication
- User Authentication
- User Authorization
- Auditing
- Availability
Es bietet sichere Authentifizierung auf der Transportebene durch X.509-Zertifikate und Vertrauensmanagement durch Public-Key-Infrastruktur. Daneben bietet OPC UA höchste Sicherheit für die Datenübertragung.
Breite Unterstützung
OPC UA erfährt breite Unterstützung, zum Beispiel vom Industrial Internet Consortium (IIC), von der chinesischen Alliance of Industrial Internet (AII) und von der Plattform Industrie 4.0. Das BSI hat die Security evaluiert. Dennoch wird es nicht der weltweit einzige Standard sein, es gibt beispielsweise auch DDS von OMG und der Einsatz hängt von der Anwendung ab.
Endpunktsicherheit (Endpoint Security)
In der vernetzten Welt muss Security in alle Endpunkte integriert werden, seien es Sensoren, Aktoren, Steuerungen oder Historians in der Cloud.
Das Industrial Internet Security Framework (IISF), das im September 2016 veröffentlicht wurde, beschreibt detailliert die verschiedenen Teile der Endpunktsicherheit.
Umfassende Sicherheit geht über die Protokollebene hinaus!
Neben einer sicheren Kommunikation ist die Sicherheit der Endpunkte gleichermaßen wichtig.
Hier gibt es Angriffspunkte beim Betriebssystem, in Bibliotheken und Treibern und auch in Anwendungen selbst. Die Konsequenzen kompromittierter Endpunkte sind fatal: Diebstahl kryptografischer Schlüssel und damit der Identität eines Geräts, Manipulation von Konfigurationsdaten wie Trust Lists und Zertifikaten sowie Manipulation von Anwendungen und Know-how-Diebstahl.
Daher sind umfassende, weitere Sicherheitsmaßnahmen erforderlich. Heute sind viele Geräte mit OPC UA unzureichend geschützt, da private Schlüssel und Trust Lists im Dateisystem gespeichert sind und Anwendungen nicht vor Manipulation geschützt sind. So können Angriffe auf ungeschützte Endpunkte erfolgreich sein und damit die komplette Infrastruktur kompromittieren, was zum Verlust von Funktionalität und Zuverlässigkeit und dem Diebstahl von Know-how führen kann.
OPC UA SDK, CmEmbedded und CmDongles - Die ideale Ergänzung
CmEmbedded ist ein kleines, modulares Runtime zum Ansprechen von CmDongles und anderen CodeMeter-Lizenzcontainern. Es unterstützt viele Betriebssysteme out of the box und kann durch Lieferung im ANSI-C-Quellcode an beliebige Systeme angepasst werden.
CmDongles basieren auf Smart Card Chips von Infineon, die inklusive der Cryptolibs Common Criteria (CC) EAL5+ zertifiziert sind. Im CmDongle werden Schlüssel sicher gespeichert und kryptografische Operationen in der Hardware ausgeführt.
Die Integration von CmEmbedded in OPC UA SDKs bringt Sicherheit, ohne den Aufwand der Implementierung zu erhöhen, und bietet zusätzlich Lizenzierungsfunktionen.
Verbesserung der Sicherheit von OPC UA in der Praxis
Die privaten Schlüssel werden in den CmDongles sicher gespeichert. Dabei werden heute RSA-Schlüssel mit bis zu 2048 Bit und ECC-Schlüssel mit 224 Bit unterstützt. Die Verschlüsselung der OPC-UA-Software im Gerät schützt vor Manipulation und Reverse Engineering; sicherheitskritische Operationen finden im sicheren CmDongle statt.
Vorteile des Lizenzmanagements mit OPC UA
In mehr und mehr Geräten mit OPC UA werden unterschiedliche Funktionen über Software realisiert, seien es SPSen, intelligente Sensoren, RFID-Leser, Aktoren oder Antriebe. Mit CodeMeter lassen sich einzelne Funktionen durch Lizenzierung konfigurieren und neue Geschäftsmodelle wie Pay-Per-Use oder Subscription umsetzen, um neue After-Sales-Geschäfte zu ermöglichen. Zur Konfiguration der Lizenzen in den Geräten ist kein physischer Zugriff nötig; dies kann über das OPC-UA-Protokoll erfolgen.
Was gibt es heute schon?
Die CodeMeter-Lösung ist mit CmEmbedded und CmASICs mit USB-/SPI-Kommunikation, mit CmDongles für USB oder CmCards als Modul für das Unified Automation ANSI-C OPC UA SDK und für das High Performance OPC UA SDK verfügbar. Erprobt wurde es in vielen Projekten mit der SmartFactoryKL, dem Fraunhofer IOSB in „Secure Plug&Work“, in OpSIT im Healthcare-Bereich und in IUNO, dem Nationalen Referenzprojekt zur IT-Sicherheit in der Industrie 4.0 des BMBF.
Zusammenfassung
IoT, IIoT und Industrie 4.0 benötigen interoperable und sichere Endpunkte mit Kommunikation und Semantik. OPC UA wird von vielen Organisationen und Playern unterstützt und kann dies leisten.
CodeMeter ist ein Enabler für neue Projekte durch Security und Lizenzierung. Wertvolles Know-how steckt in flexiblen Produktionsprozessen, Software sowie Technologie- und Produktionsdaten. Es gilt, dieses Know-how vor Diebstahl und Manipulation zu schützen und die Chancen der Digitalisierung mit neuen Geschäftsmodellen zu nutzen.
KEYnote 33 – Frühjahrsausgabe 2017