RFID-Etiketten nehmen in der modernen industriellen Welt inzwischen einen wichtigen Platz ein. Klein, unauffällig und fast überall vertreten bewegen sie Daten und Güter durch die industriellen Abläufe. Anstatt nur wie in der Vergangenheit die interne und externe Warenlogistik transparent zu machen, erlaubt die Technologie eine noch genauere und automatisierte Nachverfolgung und Identifikation von Material und Daten.
Die RFID-Etiketten tragen zu Industrie 4.0 bei, denn sie organisieren Lieferketten und ermöglichen nun die kundenspezifische, individuelle Produktion von Kleinserien oder sogar Einzelproduktion. Damit die Kommunikation mit diesen Etiketten funktioniert, dienen RFID-Lesegeräte als Augen und Ohren der Lieferkette, der automatisierten Fabrikumgebung und dem späteren Versand und der Verteilung an den Kunden.
Im Iuno-Projekt, das nationale Referenzprojekt zur IT-Sicherheit in Industrie 4.0, haben sich Forschungspartner und Unternehmen aus der Industrie entschlossen, gemeinsam Bedrohungen und Risiken für intelligente Fabriken zu identifizieren, Schutzmaßnahmen zu entwickeln und vier Anwendungsfälle für die Bereiche sichere Dienste, sichere Prozesse, sichere Daten und sichere Vernetzung umzusetzen. Für den Schwerpunkt „Sichere Prozesse“ haben sich Balluff, Sensor- und Automatisierungsspezialist, und Wibu-Systems, Hersteller von Schutz- und Lizenzierungslösungen, unter der Leitung von Homag, Hersteller von Holzbearbeitungsmaschinen, zusammengetan, um eine kundenindividuelle Produktion aufzubauen und dabei Lösungen zur IT-Sicherheit in Industrie 4.0 zu erarbeiten.
Secure Elements
Am Beispiel der Möbelproduktion haben die Beteiligten den kompletten Herstellungsprozess beleuchtet und festgestellt, dass die einzelnen Produktionsteile sichere Identitäten benötigen, sich über eine sichere Kommunikation austauschen müssen und das Ausspähen und Manipulieren der Daten im ganzen Produktionsprozess verhindert werden muss. Das entstandene Sicherheitskonzept basiert auf Secure Elements zum sicheren Speichern von Zertifikaten und Schlüsseln zur Nutzung mit OPC UA und auf dem OPC-UA-Protokoll mit einer sicheren Ende-zu-Ende-Verschlüsselung für das intelligente BIS-U-6127-UHF-Long-Range-RFID-Lesegerät.
In der Lösung von Wibu-Systems und Balluff zeigen die Schutzfunktionen von OPC UA ihre Flexibilität und ihr Potenzial, um die nötige Sicherheit in der RFID-Kommunikationskette zu erweitern: Mit der Schutzhardware CmASIC als Secure Element können die nötigen kryptographischen Schlüssel sicher aufbewahrt werden und so den starken Schutz, den das OPC-UA-Protokoll in der Maschinenkommunikation ermöglicht, voll ausnutzen.
Verschlüsselung
Die Hersteller können bei der CodeMeter-Technologie zwischen verschiedenen Bauformen mit gleichen Eigenschaften wählen, die alle mit einem SmartCard-Chip als sicherem Speicher ausgestattet sind. Das Projekt-Team hat den CmASIC integriert, da dieser im Gerät verbaut eine eindeutige ID für die RFID-Lesegeräte bietet. Werden andere Geräte gleichfalls mit einer CodeMeter-Hardware ausgestattet, dann erhalten alle beteiligten Geräte sichere Identitäten. Auch werden die Zertifikate für das Sicherheitsprofil von OPC UA im CmASIC speichert. Dadurch wird die vertrauliche Kommunikation durch AES-Datenverschlüsselung und integritätsgeschützte Kommunikation durch Signieren der Daten mit RSA möglich.
Zusätzlich wird der private Schlüssel, der zum Signieren der Daten auf dem RFID-Etikett benötigt wird, im Speicher des CmAsics sicher gespeichert. Auf diese Weise erhalten die Daten des RFID-Etiketts einen Integritätsschutz, und jede Art von Veränderung wird verhindert. Gleichzeitig kann die gesamte Kommunikation von Ende zu Ende verschlüsselt werden, was das bisher schwächste Glied in der Kette – die Funkverbindung zwischen Etikett und Lesegerät – sichert. Diese Faktoren erhöhen den bisher wenig sicheren Level der RFID-Kommunikation.
Gleichzeitig werden die „Apps“ auf der Balluff-RFID-Reader-Plattform mit CodeMeter lizenziert und so unterschiedliche Funktionen, Updates und Third-Party-Erweiterungen der RFID-Lesegeräte freigeschaltet; die Erweiterungen erfolgen auch nachträglich im Feld. Zum einfachen Ausrollen aller Schlüssel, Zertifikate und Berechtigungen dient CodeMeter License Central, die in bestehende Prozesse integriert werden kann.
Kommunikation via OPC UA
Das OPC-UA-Kommunikationsprotokoll und Datenmodell wurde wegen der Vielseitigkeit des Unified-Automation-Software-Development-Kits (SDK) für die Kommunikation zwischen RFID-Lesegerät und Maschinen ausgewählt. Die OPC-UA-Funktionen zur Informationsmodellierung sind in den SDKs vollumfänglich verfügbar und für den Anwender leicht einsetzbar. Die semantische Beschreibung und die Daten-, Kommando- und Diagnostikmodelle für RFID-Lesegeräte wurden mit der Auto-ID-Spezifikation des Industrieverbands AIM-D standardisiert.
Mit den Entwicklertools und dem Codegenerator von Unified Automation kann das Standardsystem leicht für jede RFID-Lesegerät-Anwendung implementiert werden. Die von Wibu-Systems entworfenen Erweiterungen für OPC UA bringen dabei den Schutz und die Sicherheit des Systems auf den nächsthöheren Schutzlevel. Die auf OpenSSL basierenden Schutzfunktionen von OPC UA sind in das CmASIC als Secure Element integriert.
Als weiterer wichtiger Baustein überwacht CodeMeter den Zugriff auf das Secure Element und die Kommunikation zwischen OpenSSL und dem gesicherten Schlüsselspeicher. Alle diese Komponenten greifen ineinander, um die Kommunikationskette sicher, integer und vertrauenswürdig zu machen.