Mensch und Maschine

Maschinen intelligent zu machen, stellt neue Herausforderungen an den Markt. (Bild: istockphoto.com/style-photography)

Der folgende Beitrag erläutert, worauf Unternehmen achten müssen, um energieeffiziente, sichere aber trotzdem rechenleistungsstarke Steuerungen, Gateways oder Edge-Server für Applikationen im Bereich IoT umzusetzen.

Das IoT (Internet der Dinge) ermöglicht mit seinen integrierten Funktionen eine zunehmende Interaktion zwischen Mensch und Maschine bzw. System sowie die Vernetzung einzelner elektronischer Geräte untereinander. Aktuell bieten die meisten Industrieanlagen, Medizinprodukte und Steuerungssysteme jedoch meist nicht die notwendige Voraussetzung für eine zukunftsorientierte Vernetzung. Bisher wurden hier oft teure, individuell angefertigte Lösungen unter hohem Kostenaufwand von Grund auf neu entwickelt oder energieintensive Box-PCs verwendet. Hersteller und Betreiber von Anlagen, Systemen und Steuerungen suchen daher vermehrt Lösungen, um neue Entwicklungen kostengünstiger und energieeffizienter zu realisieren. Unternehmen werden hier vor viele Aufgaben gestellt, um für die jeweils entsprechenden Anforderungen eine projektspezifische Lösung zu finden.

Im industriellen Zeitalter der Digitalisierung steht auch die Gesellschaft an sich vor vielen neuen und anspruchsvollen Herausforderungen. Zum einen sind wir immer stärker gefordert, Energie einzusparen, zum anderen wird erwartet, dass Daten und Informationen jederzeit und überall zur Verfügung stehen. Um die Vision IoT und Industrie 4.0 im Sinne der geforderten Energieeinsparung umzusetzen, braucht es dringend sinnvolle Systemkonzepte.

Vernetzung aller Systeme

Wichtige Voraussetzungen dafür sind die Lokalisierung und Vernetzung aller Systeme, der Einsatz von energieeffizienten Geräten sowie die Übertragung von notwendigen Informationen anstelle komplexer, großer Datenmengen. Dies lässt sich durch Einsatz von dezentralen Datenloggern, Gateways und Edge Servern erreichen. Je nachdem, welche Infrastruktur vorhanden ist oder angestrebt wird, können an Maschinen bzw. Geräten kleine, kostengünstige und energieeffiziente Datenlogger und Gateways eingesetzt werden. Diese sind meist über einen Edge-Server in einem internen Netzwerk zusammengefasst. Die Edge Server fassen die Daten zusammen und übermitteln diese unter Berücksichtigung eines Sicherheitskonzeptes in eine Cloud oder wiederum an einen Zentralrechner.

Ausreichendes Sicherheitskonzept für das IoT notwendig

Ein ausreichendes Sicherheitskonzept ist ein sehr wichtiger Punkt bei der Übertragung von sicherheitskritischen Informationen sowie bei der Vernetzung von Anlagen und Systemen. Wer möchte schon, dass Informationen und Daten durch Hacker, Sicherheitslücken oder unzureichenden Schutz missbraucht und veröffentlicht werden. Diese notwendigen Sicherungsmechanismen sind nicht nur im IoT-Umfeld vorzufinden, sondern immer dann relevant, wenn es um netzwerkbasierte Applikationen geht. Vielmehr handelt es sich um die Anwendung unterschiedlicher Maßnahmen auf der Netzwerk- und Software-Ebene, um damit die Sicherheit der bereitzustellenden Informationen zu gewährleisten. Ein gutes Konzept zu notwendigen Schutzmaßnahmen kann in der Regel gefährliche Zugriffe von außen auf die in IoT-Lösungen eingebundene Geräte verhindern.

Ein einfaches Beispiel zu einer generellen Schutzmaßnahme ist die Verwendung eines sicheren Passwortes. Empfohlen wird zudem, dass bei Routern, Gateways und Servern die sogenannte UPnP (Universal Plug and Play) -Funktion abgeschaltet wird. Diese Funktion basiert auf einer Reihe von standardisierten Netzwerkprotokollen. Sie dient zur herstellerübergreifenden Ansteuerung von Systemen und Geräten in einem IP-basierten Netzwerk und ist wegen der Verwendung eines offenen Standards sehr häufig Ziel missbräuchlicher Attacken.

Wie sich die Sicherheit im IoT-Netzwerk erhöhen lässt

Um sich vor Zugriffen von außerhalb ausreichend zu schützen, gibt es verschiedene Möglichkeiten. Zwei davon sind die offenen Standards Trusted Network Connect und Mutual Authentication: Trusted Network Connect ist ein offener Standard, der von der Trusted Network Group entwickelt wurde und von der Organisation auch weiter gepflegt wird. Um die Sicherheit im Netzwerk zu erhöhen, ist es bei der Authentifizierung verschiedener Geräte möglich, alle Zugriffe innerhalb eines Netzwerks zu analysieren. Um das zu ermöglichen, werden zwei Instanzen implementiert: Der „Policy Enforcement Point“ (PEP) sowie der „Policy Decision Point“ (PDP). Damit bei einem Angriff den Nutzern gegebenenfalls die Zugriffsrechte entzogen und diese vom Netzwerk ausgeschlossen werden können, legt der PEP die Richtlinien für die Zugänge fest. In Abhängigkeit der Authentifizierungsart des Nutzers darf dieser Zugriff auf Geräte, Server und somit auf die benötigten Daten und Informationen haben. Der PDP trifft die Autorisierungsentscheidungen für sich und andere Systemteilnehmer, zum Beispiel für den PEP. Möchte ein Nutzer des Netzwerkes auf eine Ressource zugreifen, sendet der PEP dessen Attribute und den angefragten Nutzerzugriff über das IF-PEP-Protokoll zum PDP. Aufgrund der vorliegenden Nutzerattribute entscheidet dieser, ob dieser Netzwerknutzer überhaupt berechtigt ist und sendet diese Information dem PEP. Der PEP wird dann anhand der festgelegten Regeln den Zugriff erlauben oder den Nutzer sperren.

Blockschaltbild
Blockschaltbild des Mainboards MBa117xL. (Bild: TQ)

Vertrauenswürdige Kommunikation

In einer Netzwerkumgebung können sich Geräte durch die Mutual Authentication untereinander mit Zertifikaten authentifizieren und somit eine vertrauenswürdige Kommunikation gewährleisten. Dies wird durch Zertifikate und meist durch eine hybride Verschlüsselung realisiert. Wenn von einer hybriden Verschlüsselung gesprochen wird, handelt es sich um eine Kombination aus einem symmetrischen und asymmetrischen Verschlüsselungsverfahren. Das symmetrische Verfahren hat den Nachteil des Schlüsselaustauschs: Die Kommunikationspartner müssen sich vor einer Nachrichtenübermittlung oder einem Datenaustausch auf einen geheimen Schlüssel einigen. Bereits dazu muss ein sicherer Übertragungsweg genutzt werden. Dank seiner Schnelligkeit eignet sich dieses Verfahren für die Übermittlung sehr hoher Datenmengen. Beim asymmetrischen Verschlüsselungsverfahren reicht ein öffentlicher Schlüssel aus, der sich über einen authentifizierten Kanal übertragen lässt. Dieses Verfahren ist sehr langsam und eignet sich nur für kleine Datenmengen. Durch die Kombination beider Verfahren bleiben deren jeweilige Vorteile erhalten. Daher empfiehlt es sich, bei sicherheitsrelevanten Umsetzungen einer IoT-Lösung auf eine hybride Verschlüsselung zu setzen.

Ein Trend, der sich derzeit abzeichnet, ist, dass drahtlose Netzwerke an Bedeutung gewinnen: Neben WiFi und Zigbee setzen sich in der Industrie zunehmend sowohl das sogenannte LoRaWan (Long Range Wide Area Network) Sigfox, als auch Mobilfunklösungen durch. Je nach Anforderung an die Datenmengen und die Übertragungsstecke wird ein geeignetes Funknetz ausgewählt. Auch hierfür sind die verfügbaren Verschlüsselungsverfahren anwendbar.

Hersteller von ARM-basierten CPUs machen sich bereits bei der Entwicklung von Mikrokontrollern und Prozessoren unterschiedlicher Leistungsklassen Gedanken und schaffen in der CPU integrierte Hardware-Unterstützung, um zeitgemäße Sicherheitskonzepte und Verschlüsselungsverfahren umsetzen zu können. Sollten integrierte Funktionen nicht ausreichen, so helfen extern angebundene Security-Bausteine oder TPM-Chips bei der Umsetzung von Lösungen für Geräte und Systeme. Ergänzend dazu bieten CPU-Hersteller auch immer mehr die Grundlage für Softwarelösungen, sodass vorhandene Hardwarelösungen unterstützt werden. Damit schaffen sie die Voraussetzungen für ein modulares Lösungskonzept.

Gerade im Bereich der Embedded-Lösungen stellt die ARM-Architektur mit ihrem, speziell auf diesen Bereich ausgerichteten Ökosystem eine zuverlässige, robuste und langzeitverfügbare Plattform für Lösungen im IoT sowie in vielen anderen Bereichen und Marktsegmenten dar.

ARM-basierende CPUs

Bei ARM-basierenden CPUs verschiedener Hersteller sind viele Schnittstellen wie Grafik, Ethernet, CAN, ADCs, SPI und digitale IOs bereits in die CPU integriert. Dies bedeutet, dass sich aufgrund der Vielseitigkeit der Schnittstellen die meisten Systemanforderungen zur Anbindung von geeigneten Sensoren und Systemen zur Datenerfassung ohne großen Zusatzaufwand umsetzen lassen. Durch die Schnittstellenvielfalt und die freie Auswahl eines Betriebssystems sind die ARM-basierenden Prozessoren universell einsetzbar. Getrieben durch die gute Applikationsunterstützung der CPU-Hersteller für verschiedene Marktsegmente werden immer mehr Datenlogger, Gateways und Edge Server auf Basis dieser Architektur entwickelt.

ARM hat gegenüber den anderen Architekturen die höchste Performance per Chipfläche und ist führend in der Chiptechnologie. Bei den ARM-basierenden CPUs mehrerer Hersteller ist derzeit eine rasante Weiterentwicklung zu beobachten: In puncto Leistungsfähigkeit bietet ARM nebst den aktuellen Rechenkernen mit 32-Bit-Architektur (wie Cortex M7, Cortex A7, Cortex A8 und Cortex A9) auch Rechenkerne, die auf einer 64-Bit-Architektur aufbauen (wie Cortex A53, Cortex A35 oder Cortex A72). Diese weisen trotz der steigenden Leistungsfähigkeit weiterhin ein sehr gutes Verhältnis zwischen Rechenleistung und Verlustleistung auf.

Neben der sicheren und robusten Hardware ist ein wesentlicher Bestandteil einer IoT-Lösung die Software. Daraus resultiert die Anforderung, von überall aus und jederzeit auf die Daten zugreifen zu können. Darüber hinaus muss die Systemarchitektur sicher vor Angriffen oder Missbrauch geschützt sein. Eine Möglichkeit hierfür ist eine private Cloud, auf die nur ein gewisser Anwenderbereich exklusiv Zugriff hat. Das erfordert jedoch zunehmende Rechenleistung und eine unerwünscht höhere Verlustleistung. Für mittlerweile auch kleine Rechenkerne im ARM-Bereich gibt es Datenbanken, die diesen Anforderungen nachkommen: Bei wenig Rechenleistung werden aus den erzeugten Daten alle benötigten Informationen für Anwender und berechtigte Nutzer bereitgehalten.

Daten für lokale Analysen

Im IoT erzeugen Sensorgeräte ein unermessliches Datenvolumen, das über unzählige dezentrale Netzwerke verteilt wird. Während ein Großteil dieser Daten an zentralisierte Cloud-Services gesendet wird, werden Router, Gateways und Edge Server ermächtigt, Daten für lokale Analysen und Abfragen zu speichern und zu verwalten. Wer sich ausschließlich auf Back-End- oder Cloud-Services verlässt, müsste dafür die Menge an erfassbaren Informationen einschränken und gleichzeitig ernsthafte Sicherheitsrisiken eingehen.

Mainboard MBa8MPxL
Das Mainboard MBa8MPxL ist mit allen üblichen Standardschnittstellen ausgestattet. (Bild: TQ)

Komprimierung von Rohdaten

Für nicht so leistungsstarke Embedded-Systeme ermöglicht eine SQL-Datenbank die Komprimierung von Rohdaten in aussagekräftige Informationen. Durch die Identifizierung wiederkehrender Informationen und das Vergleichen bestimmter Muster über verschiedene Datenquellen hinweg, kann ein Embedded-System intelligente Entscheidungen treffen und hilfreiche Vorschläge für das Bereithalten der Informationen geben. Datenbank-Indizes sorgen dafür, dass sich Daten mit gleichbleibender Leistung und ohne Overhead verarbeiten lassen, unabhängig davon, welches Datenvolumen auf jedem einzelnen Gerät aufgezeichnet wird. Gleichzeitig schützen Datenbank-Transaktionen die Daten und verhindern eine Korruption nach unerwartetem Systemausfall. Der Einsatz einer SQL-Datenbank ermöglicht durch ein Multitasking-Verfahren die Abwicklung mehrerer Zugriffe gleichzeitig. Dazu wird eine einzelne Datenbankdatei sicher und effizient geteilt.

Anwender sollten möglichst kein kundenspezifisches Datenmanagement-Framework implementieren, da dies meist sehr kostspielig ist und zudem oft nicht das gewünschte Ergebnis bringt. Hier ist ein Marktrend zu erkennen: Die Anforderungen werden bevorzugt über eine gut geschützte und bereits vom Hersteller erprobte Bibliothekslösung realisiert. Diese bietet eine einfache Entwicklung und Wartbarkeit in Verbindung mit einem Embedded-ARM-Module. Wenn Entwickler auf ein Embedded-Modul oder eine Plattform mit bereits angepasster SQL-Datenbank-Lösung setzen, können sie sich auf ihre Applikationsentwicklung konzentrieren, während sie sich gleichzeitig auf einen wichtigen Lösungsbaustein verlassen dürfen, um damit die bestmögliche Datenmanagement-Konfiguration für die jeweils geplante Anwendung zu erhalten.

Unternehmen werden hierbei vor viele Herausforderungen gestellt, für die sie, entsprechend der projektspezifischen Anforderungen, eine Lösung für das IoT finden müssen. Ein Lösungsansatz sind Embedded-Module und Systemlösungen. Hersteller von Embedded-Modulen bieten sehr oft schlüssige System- und Sicherheitskonzepte. Neben den in der CPU integrierten Hardware-basierenden Security-Funktionen gibt es bereits viele Software-Lösungen für die Realisierung sicherer und zuverlässiger Systeme. Gerade ARM-basierende Embedded-Systeme stellen hinsichtlich der Energieeffizienz eine ideale Plattform zur Umsetzung von Projekten in Anlehnung an die Anforderungen von IoT und Industrie 4.0 dar.

Die Embedded-Spezialisten der TQ haben sich die Vorteile hinsichtlich Verlustleistung, Funktionsumfang, Sicherheitskonzepte und Preisvorteil auf Basis der ARM-Architecture zu Nutze gemacht: Auf Basis verfügbarer CPUs haben sie neue Embedded-Module und Systeme entwickelt und geplant, um Kunden weiterhin innovative Produkte für Anwendungen im Bereich IoT und Industrie 4.0 anbieten zu können. Mit knapp 200 Entwicklern im Hard- und Software-Bereich, einem eigenen Cloud-Team und einem ausgewählten Partnernetzwerk unterstützt die TQ-Group ihre Kunden weiterhin mit zuverlässigen Gesamt-Lösungen im Bereich Hard- und Software. (neu)

Konrad Zöpf TQ

Konrad Zöpf verantwortet bei TQ die ARM- und Layerscape-Produktpalette.

Sie möchten gerne weiterlesen?

Unternehmen

TQ-Group

Gut Delling, Mühlstraße 2
82229 Seefeld
Germany