Abstract English
Building Automation Systems are traditionally concerned with the control of heating, ventilation, air conditioning, lighting and shading systems. They provide enhanced user comfort while reducing operational cost. Typically, they nowadays follow a distributed approach and are based on a two-tier architecture. Sensors, actuators and controllers are coupled by robust, low-bandwidth and cost effective control networks. Control networks are interconnected by a high-performance backbone that provides the necessary infrastructure for management tasks. While the particular demands of the control networks are covered by specialised field bus systems, IP-based solutions have become common for the backbone network.
For a long time, security in building automation networks has been a side issue at best. It was assumed that attacks would necessarily require physical access at the field level. This widely held belief is no longer true (integration with IP networks, increasing importance of open media in control networks). Moreover, an important trend for building automation systems over the next years will be the integration of formerly dedicated stand-alone subsystems (e.g., access control and alarm systems) besides the traditional areas of application. Obviously, fulfilling the demands on communication security for the resulting systems will be a challenging task. The underlying control systems have to be reliable and robust against malicious manipulation.
The proposal describes a project devoted to the design of a framework for secure building automation systems. En route, three crucial points have been identified:
First, secure data communication must be guaranteed. The security features of popular commercial system technologies (BACnet, LonWorks, KNX) are insufficient with regard to data confidentiality, data integrity, data freshness and authentication. In addition, cryptographic algorithms and mechanisms for key management must be analyzed with respect to their suitability for field devices with limited resources. With that in mind, a secure protocol has to be designed.
Second, attacks must be detected and prevented while they happen. This requires an analysis of the building automation process. Patterns for regular traffic within a building automation network have to be derived so that rules that allow uncovering intrusions (and, in further course, triggering of counter measures) can be specified.
Finally, the security policy must not be undermined by applications running on nodes (which could, for instance, release secret keys). This requires a profile for the behavior of node applications in building automation to be developed. Embedded applications shall be executed in a secure run-time environment that satisfies the demands of this profile and refuses unauthorized access to physical resources when necessary. As a complementary approach, illegal actions shall be determined by a priori program analysis.
The results from this project can be expected to provide stimuli for the design of secure, large, distributed automation systems at large.
Abstract German
Systeme der Gebäudeautomation dienen traditionell der Steuerung von Heizung, Lüftung, Klima, Beleuchtung und Beschattung. Sie bieten gesteigerten Komfort bei gleichzeitiger Senkung der Betriebskosten. In der Regel folgen sie einem dezentralen Ansatz mit hierarchischer Topologie. Während auf unterer Ebene Automationsnetzwerke Sensoren, Aktuatoren und Controller verbinden, stellt ein darüber liegendes Backbone-Netzwerk die notwendige Infrastruktur für Managementaufgaben zur Verfügung. Für den Austausch von Kontrolldaten zwischen Sensoren, Aktuatoren und Controllern stellen Feldbussysteme optimierte Netzwerktechnologien dar. Als Backbone-Netzwerk kommen zusehends IP-basierende Lösungen zum Einsatz.
Dem Thema Security wurde bislang in den Automationsnetzwerken der Gebäudeautomation kein bedeutender Stellenwert eingeräumt, da man davon ausging, dass Angriffe eine physikalische Zugangsmöglichkeit auf der Feldebene voraussetzen würden. Diese Annahme ist nunmehr nicht mehr gültig (Integration mit IP-basierenden Netzwerken, Verwendung offener Medien in Automationsnetzwerken). Neben den klassischen Anwendungsgebieten werden zusehends Funktionen integriert, die bislang von dedizierten Systemen abgedeckt waren (z.B. Zutrittskontroll-, Alarmsysteme). Für die so entstehenden Systeme bestehen erhöhte Anforderungen, da die Sicherheit des Kontrollsystems selbst garantiert werden muss. Zuverlässigkeit und Robustheit gegen mutwillige Manipulationsversuche stehen dabei im Vordergrund.
Das vorliegende Projekt ist auf das Ziel ausgerichtet, ein Framework für ein sicheres Gebäudeautomationssystem zu entwerfen. Folgende drei Kernpunkte müssen dafür in Angriff genommen werden:
Sichere Datenkommunikation ist zu gewährleisten. Etablierte Systeme (BACnet, LonWorks, KNX) bieten keine oder nur unzureichende Mittel für Vertraulichkeit, Integrität, Aktualität und Authentifizierung. Der Einsatz von Verschlüsselungsmechanismen und die Verwaltung von Schlüsseln muss auf ihre Tauglichkeit für Feldgeräte (beschränkte Ressourcen) überprüft und darauf aufbauend ein sicheres Protokoll entworfen werden.
Angriffe auf das Gebäudeautomationssystem müssen erkannt und verhindert werden. Dazu muss der Prozess „Gebäudeautomation“ mit seinen anfallenden Daten untersucht und ausgehend davon Regeln abgeleitet werden, die ein Eindringen in das Netzwerk sichtbar machen und Gegenmaßnahmen ermöglichen.
Programme, die in Feldgeräten ablaufen, dürfen keinen bösartigen Zweck verfolgen und das Sicherheitssystem untergraben (z.B. Veröffentlichung von Schlüsseln). Dazu muss ein Verhaltensprofil für typische Applikationen der Gebäudeautomation entwickelt werden. Programmen soll der Zugriff auf nicht erlaubte Ressourcen mithilfe einer geschützten Laufzeitumgebung verweigert werden. Ergänzend wird der Ansatz verfolgt, unzulässige Aktionen durch Programmanalyse a priori zu erkennen.
Mit Umsetzung dieses Frameworks sind, auch abseits der Gebäudeautomation, Impulse für den Aufbau sicherer, großer, dezentral organisierter Automatisierungssysteme zu erwarten.
|