Sichere Sensor-Vernetzung mit SPE Sensoren mit SPE in Edge- oder Cloud-basierte IT einbinden

Ein Gastbeitrag von Dr.-Ing. Karsten Walther 6 min Lesedauer

Anbieter zum Thema

Single Pair Ethernet (SPE) und Microserver mit integrierter 256-Bit-Verschlüsselung ermöglichen es, Sensoren über größere Entfernungen direkt und sicher in eine Edge- oder Cloud-basierte IT einzubinden. Der Weg über Feldbusse entfällt und die Sensorschnittstelle inklusive Verschlüsselung ist per Webbrowser konfigurierbar.

Sicher vor Angriffen: Per Single Pair Ethernet und Microserver lassen sich Sensoren direkt in Edge- oder Cloud-basierte IT einbinden.(Bild:  © photon_photo – stock.adobe.com)
Sicher vor Angriffen: Per Single Pair Ethernet und Microserver lassen sich Sensoren direkt in Edge- oder Cloud-basierte IT einbinden.
(Bild: © photon_photo – stock.adobe.com)

Mit zunehmender Konvergenz von OT (Operational Technology, Produktion) und IT (Informationstechnik) steigt die Bedeutung der Cybersicherheit ständig. Neben unzureichend abgesicherten Fernwartungszugängen stellen offen zugängliche Leitungen wie etwa zu externen Sensoren und ungesicherte Feldbusse ein hohes Angriffsrisiko dar. Während bei Neuinstallationen (Greenfield) vielfältige Schutzmaßnahmen ergriffen werden können, wird das bei Altanlagen (Brownfield) deutlich schwieriger.

Gateway bietet verschlüsselte Kommunikation

In der Praxis bewährte Konzepte sind der gänzliche Verzicht auf unsichere Feldbus-Anbindungen und die Absicherung von gefährdeten Leitungen durch den Einsatz von sicheren Kryptografie-Verfahren in einer Ende-zu-Ende Verschlüsselung. Der Haken dabei: Die meisten heutzutage bei Altsystemen im Feld eingesetzten Sensoren sind relativ dumm und nicht in der Lage, eine verschlüsselte Kommunikation aufzubauen oder zu betreiben. Abhilfe schaffen können Gateways in Form intelligenter Microserver, die auf der einen Seite anerkannte Kryptografie- und Übertragungsstandards bedienen und auf der anderen Seite den jeweiligen Sensor oder Aktor verstehen und bedienen können.

Mit Single Pair Ethernet hat sich in den letzten Jahren im Automotive Bereich ein ebenso kostengünstiger wie leistungsfähiger neuer Standard etabliert, der aufgrund seiner vielen Vorteile auch in der Industrieautomatisierung und der Gebäudetechnik zunehmend Verbreitung findet. Einer der großen Vorteile von SPE ist, dass zur Verdrahtung auch schon bestehende ungeschirmte Cat5-Verbindungen oder auch verdrillte Adernpaare (Klingeldraht) genutzt werden können.

In der Praxis ergeben sich hier in Verbindung mit 100Base-T1 maximale Segmentlängen von bis zu 300 m (Cat5) oder bis zu etwa 100 m (Klingeldraht). SPE ermöglicht auch ebenso einfache wie kostengünstige Neuverlegung mit geringsten Biegeradien. Wählt man die hybride SPE-Variante mit einem zusätzlichen Adernpaar, können praktisch beliebige Topologien und eine galvanisch getrennte, störungsfreie Speisung zusätzlicher Elektronik mit bis zu 400 W realisiert werden. SPE stellt also sowohl bei Alt- als auch bei Neuvernetzungen eine leistungsfähige, standardisierte und damit zukunftsfähige Lösung dar.

Smarte Lösung: Das Perinet SPE-Kommunikationsmodul

Bild 1: SPE-Modul periCORE als SOC-Platine in den Maßen 13 mm x 16,7 mm x 3,8 mm.(Bild:  Perinet)
Bild 1: SPE-Modul periCORE als SOC-Platine in den Maßen 13 mm x 16,7 mm x 3,8 mm.
(Bild: Perinet)

Herzstück der Perinet-Produktfamilie ist das SPE-Kommunikationsmodul periCORE. Als intelligentes Gateway ermöglicht das Modul die Kommunikation zwischen SPE sowie Sensor und Aktor. Smart bedeutet in diesem Fall, dass nicht nur eine reine Pegel- und Protokollwandlung stattfindet, sondern dass ein SoC (System-on-Chip) mit integriertem Microserver viele weitere, anspruchsvolle und intelligente Funktionen bereitstellt. Das Modul selbst besteht aus einem ARM-CortexR4-SOC mit Watchdog, Flash, 24-V-Versorgung sowie Netzwerk- und Peripherieschnittstellen.

Bild 2: Das System in einem 4-poligen M8-Rundstecker oder -Adapter eingebettet.(Bild:  Perinet)
Bild 2: Das System in einem 4-poligen M8-Rundstecker oder -Adapter eingebettet.
(Bild: Perinet)

Der periCORE ist derzeit in zwei verschiedenen Bauformen erhältlich: Zum einen als SOC-Platine mit Abmessungen von 13 mm x 16,7 mm x 3,8 mm (periCORE, Bild 1) oder zum anderen eingebettet in einen 4-poligen SPE-M8-Rundsteckverbinder und Adapter (periNODE, Bild 2). Diese von der IEC genormten 4-poligen M8-Rundsteckverbinder zeichnen sich durch Robustheit, geringe Baugröße und einen günstigen Preis aus.

Passend zu den jeweiligen Sensoranschlüssen sind die periNODE-Adapter in verschiedenen Ausführungen erhältlich: mit 4-poligem M12-Sensorstecker (A-kodiert) für Pt100-Sensoren, mit 4-poligem M12-Sensorstecker (A-kodiert) für Spannungsschnittstellen mit 0 bis 10 V oder mit vier Anschlussdrähten für GPIO-Schnittstellen. Die Module können über den SPE-Anschluss mit jedem Webbrowser angesprochen und komfortabel konfiguriert werden.

Verschiedene Module und Sensoren an eine SPE-Leitung hängen

Bild 3: Mit dem periSWITCH 3-port lassen sich Module und Sensoren über eine SPE-Leitung verbinden.(Bild:  Perinet)
Bild 3: Mit dem periSWITCH 3-port lassen sich Module und Sensoren über eine SPE-Leitung verbinden.
(Bild: Perinet)

Für jeden Adapter gibt es ein spezifisches Starterkit, das neben dem Sensor/Aktor, dem entsprechenden Microserver und den entsprechenden Kabeln auch einen
periSTART Medienkonverter mit passendem Netzteil enthält. Der Medienkonverter ermöglicht eine Verbindung zwischen dem lokalen SPE-Netzwerk und einem Standard-Fast-Ethernet-Netzwerk (100Base-TX) und koppelt gleichzeitig die Versorgungsspannung in das lokale hybride SPE-Netzwerk (100Base-T1) ein. Anstelle des Medienkonverters können auch Standard-100Base-T1-Router oder Switches oder ein leistungsfähiger, modularer periMICA Edge Computer für die SPE-Anbindung verwendet werden.

Mit dem periSWITCH 3-Port können eine Vielzahl von Modulen und Sensoren einfach an eine einzige serielle SPE-Leitung angeschlossen werden. Dies vereinfacht die Installation in vielen Fällen erheblich (Point-to-Multi-Point, PtMP, Bild 3). Die meisten Sensorwerte und Signale müssen zunächst in Daten umgewandelt werden, bevor sie digital ausgewertet und weiterverarbeitet werden können. Intelligente Sensoren wandeln Sensorsignale nicht nur in digitale, direkt von der IT nutzbare Datensätze um, sondern können Signale auch vorverarbeiten, konsolidieren, in Daten umwandeln, zwischenspeichern und zeit- oder ereignisgesteuert kommunizieren.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Das Signal ist bereits am Sensor verschlüsselt

Das reduziert die zu übertragenden Datenmengen enorm und sorgt durch die Senkung des Energieverbrauchs für mehr Nachhaltigkeit. Die Daten können jederzeit direkt über das Internet weltweit zur Verfügung gestellt werden. Integrierte Ende-zu-Ende-Verschlüsselungslösungen verbessern die Cybersicherheit im Vergleich zu Edge-Gateways deutlich, da das Signal bereits am Sensor sicher verschlüsselt und damit optimal geschützt wird. Durch die lokal vorhandenen Rechen- und Speichermöglichkeiten können Sensoren mit geringem Aufwand kalibriert und geeicht werden.

Typische Funktionen, die beispielsweise ein Sensorhersteller mit dem periCORE SPE-Kommunikationsmodul in einem smarten Sensor integriert, sind Anpassungen an die eigene Sensorik und mögliche weitere Funktionen zur Abgrenzung von Wettbewerbern. Hier schreibt dann der Hersteller die Anwendung. Das Betriebssystem einschließlich des lokalen Webservers (Microserver) wird dabei bereits von Perinet geliefert und gewartet.

In vielen Fällen beschränkt sich die Anpassung auf eine simple Konfiguration bestehender Elemente und Funktionen. Dies umfasst die komplette Netzwerkfunktionalität, das Firmwaremanagement und alle Securityfunktionen vom Zertifikatsmanagement bis hin zur 256-Bit Ende-zu-Ende Verschlüsselung selbst.

Weitere Funktionen können eine Anpassung an Systemgegebenheiten (Kalibrierung) sowie eine Auswertung oder Konsolidierung der jeweiligen Sensorik umfassen. So kann mit geringstem Aufwand (Low-Code) aus einem einfachen Sensor ein leistungsfähiges, smartes Sensorsystem entstehen. Für spezielle oder umfangreichere Anpassungen können die Module hardwareseitig mit eigener Elektronik erweitert werden. Softwareseitig unterstützen eine komplett vorgefertigte Entwicklungsumgebung mit Debugger, umfangreichen Board Support Packages und Referenzimplementierungen die Entwicklung.

Ende-zu-Ende-Verschlüsselung mit 256 Bit bietet hohe Sicherheit

Die zum Patent angemeldete, gebrauchsfertige und vorkonfigurierte Public-Key-Infrastructure- (PKI-)Sicherheitslösung PKI2go unterstützt den Entwickler durch hohe Produktqualität, einfache Bedienbarkeit und gute Dokumentation. Sie ermöglicht eine hochsichere Kommunikation zwischen allen Einheiten (Diensten und Nutzern) einer IoT-Anwendung und arbeitet lokal und unabhängig vom Netzwerk-Setup. Sie enthält einen Container, der es ermöglicht, eigene Root-, Host- und Client-Zertifikate für Anwendungen zu erstellen und zu signieren.

Zusätzlich können sich Benutzer mit spezifischen Benutzerrollen und entsprechenden Client-Zertifikaten registrieren. Administratoren können diesen Mechanismus nutzen, um den verschiedenen Benutzern unterschiedliche Berechtigungsstufen zuzuweisen. Nachdem sich jeder lokale Netzwerkteilnehmer erfolgreich authentifiziert hat, kann auf Basis der lokalen PKI eine gegenseitige TLS-Verbindung (mTLS) aufgebaut werden. Damit ist jeder (autorisierte) Netzwerkteilnehmer berechtigt, genau die Operationen durchzuführen, die im Inhalt seines Zertifikats spezifiziert bzw. erlaubt sind. Hochsichere ZTNA-Architekturen (Zero Trust Network Access) können so schnell, einfach und benutzerfreundlich implementiert werden.

Hohe Sicherheit und einfache Bedienung bei niedrigen Kosten

Bild 4: Entwicklungssystem mit verschiedenen Adaptern und Sensoren.(Bild:  Perinet)
Bild 4: Entwicklungssystem mit verschiedenen Adaptern und Sensoren.
(Bild: Perinet)

Mit der vorgestellten Entwicklung von dem Berliner Start-up-Unternehmen Perinet lassen sich nicht nur einfache Sensoren zu leistungsfähigen Smart Sensor Systemen aufrüsten, sondern auch hochsichere IoT- und Sensornetzwerke auf Basis von Single Pair Ethernet aufbauen. Das konsequente Setzen auf Standards und die zunehmende Akzeptanz von SPE als ebenso kostengünstigen wie leistungsfähigen Industriestandard sorgen für niedrige Total Cost of Ownership (TCO) und hohe Zukunftssicherheit. Der Clou ist jedoch die effiziente Nutzung einer vorhandener Infrastruktur (ab Cat5 und Klingeldraht) und die hervorragenden Einsatzmöglichkeiten in bestehenden und Altsystemen.

Die Technologie eignet sich für den Einsatz auf allen Ebenen: Bei Herstellern von Sensoren/Aktoren, bei Systemintegratoren und schließlich den Betreibern von industriellen Anlagen.

Artikelfiles und Artikellinks

(ID:49327064)