Fakultät Informatik, Institut für Angewandte Informatik, Lehrstuhl für Technische Informationssysteme Sicherheit von SafetyLON und LON-over-IP Sebastian Nelk (sebastian@nelk.de) Technische Universität Dresden Fakultät Informatik Institut für Angewandte Informatik Lehrstuhl für Technische Informationssysteme Dresden, 03. Juli 2008
Gliederung 1. LON 2. Sicherheit 3. SafetyLON 3.1.Protokoll 3.2.Hardware 3.3.Software 3.4.Bewertung 4. LON-over-IP 5. Quellen 6. Fragen TU Dresden, 03. Juli 2008 Sicherheit von SafetyLON und LON-over-IP Folie 2 von 20
1. LON Local Operating Network Feldbussytem für Gebäudeautomatisierung 1990 von Echelon Corporation entwickelt mittels ANSI/CEA-709.x und ANSI/CEA-852 standardisiert als EN 14908-x in Europa übernommen neutraler Informationsaustausch zwischen Anlagen und Geräten verschiedene Hersteller unabhängig von Anwendung Grundgedanke war Dezentralität (flache Systeme) Kommunikation erfolgt über Standard Network Variable Types TU Dresden, 03. Juli 2008 Sicherheit von SafetyLON und LON-over-IP Folie 3 von 20
2. Sicherheit sehr variabler Begriff Übersetzung mehrerer englischer Schlagwörter z.b. Security, Safety,... bedeuten in ihrer Definition aber verschiedene Dinge beide beinhalten den Schutz vor Gefahr und Verlust Safety befasst sich mit der Informationssicherheit im System so sicher gestellt, dass verwandte Daten korrekt sind Security bezieht darauf, dass Daten nicht an Dritte gelangen bzw. von Dritten manipuliert werden TU Dresden, 03. Juli 2008 Sicherheit von SafetyLON und LON-over-IP Folie 4 von 20
3. SafetyLON Ergebnis des 6. Europäischen Rahmenprogramms für Collective Research Konzept entwickelt das LON für Sicherheitsorientierten Gebäudeautomatisierungsmarkt verwendbar macht dafür wurden 3 Kernbestandteile konzipiert SafetyLON-Protokoll SafetyLON-Hardware SafetyLON-Software TU Dresden, 03. Juli 2008 Sicherheit von SafetyLON und LON-over-IP Folie 5 von 20
3.1. SafetyLON-Protokoll macht sich zu nutzen, dass LON-Protokoll bis zu 228 Byte Daten zulässt lässt Platz für Protokoll im Protokoll deshalb Anwendungs-Level-Protokoll deklariert Ziel höchste Stufe der IEC-Norm 61508 zur Schaffung von elektronischen Systemen zu erfüllen dazu nötig die Daten 2 mal unabhängig zu generieren und zu transferieren und Bitweise zu vergleichen damit wird das höchste Safety Integrity Level 4 auch in Systemen mit hoher, kontinuierlicher Anfrage von Daten erreicht TU Dresden, 03. Juli 2008 Sicherheit von SafetyLON und LON-over-IP Folie 6 von 20
3.1. SafetyLON-Protokoll TU Dresden, 03. Juli 2008 Sicherheit von SafetyLON und LON-over-IP Folie 7 von 20
3.1. SafetyLON-Protokoll Protokoll-Frame besteht aus zwei Sub-Frames die max. 64 Bytes groß sind dabei sind die die Daten entweder auf 0, 1, 2, 4 oder 8 Byte Größe beschränkt auf Grund des Anwendungsfeldes wurde bewusst auf große Daten wie Text verzichtet zusätzlich haben alle Nachrichten eine eindeutige Quell-ID und werden per Broadcast an alle verteilt --> Privacy nur wenn beide SafetyChips des Empfängers unabhängig feststellen, dass Quelladresse in Empfängerliste akzeptiert die SNVTs die in Längenbeschränkung passen 1:1 übernommen TU Dresden, 03. Juli 2008 Sicherheit von SafetyLON und LON-over-IP Folie 8 von 20
3.1. SafetyLON-Protokoll TU Dresden, 03. Juli 2008 Sicherheit von SafetyLON und LON-over-IP Folie 9 von 20
3.1. SafetyLON-Protokoll zusätzlich wurden Zeitmarken eingeführt für die Zeitsynchronisation ist ein Master-Zeit-Knoten sowie Handshake zwischen Sender und Empfänger denkbar der Frame wird mittels 8/16 Bit langem CRC geschlossen das hat nichts mit den Schichten 1 6 zu tun das LON-Protokoll fungiert als transparenter Tunnel von A nach B trifft ein Paket ein, wird es zerlegt, unabhängig verarbeitet und vom SCI (serial inter-processor) Bitweise verglichen Eingänge werden ebenfalls parallel unabhängig verarbeitet und bei positivem Vergleich versandt TU Dresden, 03. Juli 2008 Sicherheit von SafetyLON und LON-over-IP Folie 10 von 20
3.2. SafetyLON-Hardware mehrfach erwähnte SafetyChips stellen neue Anforderungen deshalb neue Hardware nötig diese setzt das 1oo2-Prinzip um (read one out of two) es wird hierzu auf den EIA 709 Chip zurückgegriffen dieser stellt den gesamten LON-Stack zur Verfügung und bietet genug Reserve für die Interaktion mit den SafetyChips die Forderung nach unabhängigen Kanälen lässt sich Kapseln dieses Modul kann dann in die Platine integriert werden zusätzlich nötig die umgebende Hardware zu testen dabei darf nicht zu viel über die interne Funktion verraten werden TU Dresden, 03. Juli 2008 Sicherheit von SafetyLON und LON-over-IP Folie 11 von 20
3.2. SafetyLON-Hardware I/O-Application EIA 709 Chip Safety Chip I Safety Chip II Transceiver Netzwerk Safety System TU Dresden, 03. Juli 2008 Sicherheit von SafetyLON und LON-over-IP Folie 12 von 20
3.2. SafetyLON-Hardware ein Test wird wechselseitig von einem SafetyChip ausgelöst und vom 2. SafetyChip verifiziert erste Prototypen beinhalten bereits sichere digitale Inputs und 2 sichere digitale Outputs ebenfalls mit redundanter Stromversorgung und Kommunikationsinterfaces ausgerüstet diese realisieren 8 prototypische Anwendungen: Notfallbeleuchtung, Fahrstuhlkontrolle Fluchtwegmanagement, Feuerwarnsysteme, Einbruchmeldesystem, Notfallöffnung, Fehlererkennung, Netzwerkmanagement TU Dresden, 03. Juli 2008 Sicherheit von SafetyLON und LON-over-IP Folie 13 von 20
3.3. SafetyLON-Software ist das eigentliche Schlüsselstück von SafetyLON ist die komplizierteste Komponente des Projekt muss sich ebenfalls durchgehend selbst testen und die zu Grunde liegende Hardware dies war bis jetzt ohne massiven Verlust von Performance und Rechenschritten nicht denkbar deshalb wurde ein komplett neues Safety Operating System (SOS) entwickelt basiert auf Interrupt gesteuerten Scheduler und Zustandsmaschine trotzdem 90% Leistung für Selbsttests TU Dresden, 03. Juli 2008 Sicherheit von SafetyLON und LON-over-IP Folie 14 von 20
3.3. SafetyLON-Software Management Interface SafetyLON communication Test and Monitoring Voltage RAM Software CPU I/O ROM Hardware Interface EEPROM Safety I/O S O S Network access layer interface Safety Chip Interface TU Dresden, 03. Juli 2008 Sicherheit von SafetyLON und LON-over-IP Folie 15 von 20
3.3. SafetyLON-Software in jedem Zyklus natürlich auch Anwendung, oder zumindest Bestandteil davon ausgeführt da ein SafetyChip zusätzliche Aufgaben übernimmt arbeiten beide nicht synchron --> Synchronisation nötig bereits alles grundlegenden Funktionen sicher implementiert später mittels Bottom-Up mehr Komfort hinzugefügt es wird gerade an einem PlugIn für die LNS-Tools gearbeitet um auch SafetyLON-Netzwerke damit zu entwerfen TU Dresden, 03. Juli 2008 Sicherheit von SafetyLON und LON-over-IP Folie 16 von 20
3.4. SafetyLON-Bewertung ist sinnvolle Aufwertung von LON basiert auf bereits bestehendem LON-Standard ist also in vorhandene Netze integrierbar hätte ohne EU-Förderung nie entwickelt geschweige denn standardisiert werden TU Dresden, 03. Juli 2008 Sicherheit von SafetyLON und LON-over-IP Folie 17 von 20
4. LON-over-IP nutzt spezielle Router zur Gliederung des LON-Netzes diese kommunizieren unter einander mittels IP zu übertragende Informationen werden darin geschachtelt Netzwerke die IP umsetzen sehr weit entwickelt sehr hohe Übertragungsgeschwindigkeiten damit auch weit entfernte Teilnetze verbinden für Sicherheit kann auf bekannte Technologien zurück gegriffen werden: VLAN, Tunneling, VPN,... Kombination mit SafetyLON problemlos TU Dresden, 03. Juli 2008 Sicherheit von SafetyLON und LON-over-IP Folie 18 von 20
5. Quellen http://dict.leo.org http://de.wikipedia.org/wiki/lon http://en.wikipedia.org/wiki/security LONMarkMagazin 1.2008 3 LONMark Pressemitteilungen über SafetyLON TU Dresden, 03. Juli 2008 Sicherheit von SafetyLON und LON-over-IP Folie 19 von 20
6. Fragen? TU Dresden, 03. Juli 2008 Sicherheit von SafetyLON und LON-over-IP Folie 20 von 20