Fyzická referenčná architektúra priemyselného zariadenia 5G

V tejto časti seriálu sa zameriame na rôzne aspekty fyzickej architektúry priemyselných zariadení 5G.

Ochrana proti výbuchu pre zariadenia v nebezpečnom prostredí

Horľavé plyny a výpary sa môžu vyskytovať okrem iného v spracovateľských závodoch ropného a chemického priemyslu. Oblasť, ktorá má alebo môže mať takúto výbušnú atmosféru, sa nazýva nebezpečná oblasť. Pri inštalácii a prevádzke zariadení v priestoroch tohto typu treba prijať osobitné opatrenia, aby sa zabránilo vzniku požiaru alebo výbuchu.

V nasledujúcej časti predstavíme niektoré typy ochrany proti výbuchu definované sériou noriem IEC 60079 a požiadavky, ktoré by potenciálne museli spĺňať komunikačné moduly 5G pre každú úroveň ochrany proti výbuchu.

Ochrana ohňovzdorným krytom (Ex d)

Kryt sa považuje za ohňovzdorný (Ex d), ak je schopný odolať vnútornému výbuchu a zabrániť jeho šíreniu do okolitej výbušnej atmosféry. Požiadavky sú špecifikované v IEC 60079-1. Ochrana Ex d sa zvyčajne poskytuje pre elektrické zariadenia v zónach 1 a 2, aby sa zabránilo vznieteniu výbušnej atmosféry.

Vnútorné elektronické komponenty vrátane komunikačných modulov 5G môžu byť poškodené, ale ohňovzdorný kryt zabraňuje vznieteniu okolitej atmosféry, ktorá ich obklopuje. Ak však dôjde k vnútornému výbuchu, môže dôjsť k poškodeniu elektrického zariadenia vnútri krytu.

Ochrana zvýšenou bezpečnosťou (Ex e)

Zvýšená bezpečnosť (Ex e) je koncepcia ochrany proti výbuchu, ktorá zaisťuje zvýšenú bezpečnosť pri riziku zvýšenej teploty a/alebo elektrických oblúkov a iskier vznikajúcich z elektrických zariadení v nebezpečných priestoroch. IEC 60079-7 podrobne uvádza požiadavky na dosiahnutie tohto cieľa, ako je impregnácia cievok, zabezpečenie dostatočnej vzdialenosti medzi holými vodivými časťami a pod. Tento typ ochrany umožňuje inštalovať a používať zariadenia obsahujúce elektronické obvody (ako priemyselné 5G zariadenia) v podmienkach zóny 2.

Žiadny povrch žiadnych vnútorných častí vrátane komunikačných modulov 5G by nemal dosiahnuť dostatočne vysokú teplotu na to, aby sa výbušná atmosféra vznietila. IEC 60079 definuje tri skupiny plynov na základe ich minimálnej energie vznietenia (IIA, IIB a IIC) a šesť teplotných tried na základe teploty samovznietenia plynov (T1 až T6), ktoré treba zohľadniť pri navrhovaní zariadení na zvýšenú bezpečnostnú ochranu.

Ochrana pomocou vnútornej bezpečnosti (Ex i)

Ochrana iskrovou bezpečnosťou (Ex i) obmedzuje elektrickú a tepelnú energiu vnútri zariadenia na úroveň nižšiu, ako je úroveň, pri ktorej by mohlo dôjsť k vznieteniu v dôsledku iskrenia alebo zahrievania, a to aj v prípade poruchy. Vnútorná iskrovo bezpečná bariéra obmedzuje tok energie dodávanej do elektrického zariadenia. Elektrické zariadenie tiež obmedzuje vnútornú akumuláciu energie. Tým sa chránia oblasti s výbušnou atmosférou a elektrické zariadenie sa kvalifikuje ako vnútorne bezpečné. Požiadavky špecifikuje IEC 60079-11. Zariadenia, ktoré sa kvalifikujú pre najvyššiu úroveň ochrany definovanú normou IEC 60079-11 (Ex ia), môžu pracovať v podmienkach zóny 0.

Fyzická implementácia na ukladanie poverení

Správa prihlasovacích údajov je dôležitým aspektom bezpečnosti priemyselnej siete 5G. Ako je znázornené na obr. 28, poverenia môžu byť uložené rôznymi spôsobmi. Možno tiež kombinovať niekoľko metód v rovnakom priemyselnom 5G zariadení. V nasledujúcej časti opíšeme fyzický proces ukladania poverení v priemyselných zariadeniach 5G.

Na zjednodušenie nasledujúceho opisu je tu predstavený koncept dôveryhodného bodu (trust anchor), v ktorom je uložené počiatočné poverenie zariadenia. Používa sa tiež na odvodenie alebo bezpečné stiahnutie ďalších poverení. Možno mať dva dôveryhodné body, jeden na autentifikáciu bunky a druhý na autentifikáciu aplikačnej vrstvy. Alternatívne možno použiť rovnaký dôveryhodný bod na autentifikáciu bunkovej aj aplikačnej vrstvy.

Odnímateľný bezpečnostný prvok

Dôveryhodný bod môže byť uložený v odnímateľnom bezpečnostnom prvku. Bezpečnostný prvok, v ktorom je uložený dôveryhodný bod, sa potom vloží do priemyselného zariadenia 5G, ako je znázornené na obr. 28a. Typickým príkladom je UICC (Universal Integrated Circuit Card), ktorá sa používa na uloženie aplikácie USIM, prípadne aj iných aplikácií. Prihlasovacie údaje sa naprogramujú do UICC pred vložením UICC do zariadenia.

Zabudovaný bezpečnostný prvok bez rozhrania správy kľúčov

Bezpečnostný prvok je tiež možné integrovať do priemyselného 5G zariadenia (obr. 28b). V tomto prípade priemyselnému 5G zariadeniu chýba rozhranie na správu kľúčov. Preto je potrebné naprogramovať dôveryhodný bod do bezpečnostného prvku pred jeho poskytnutím konečnému zákazníkovi. Dobrým príkladom je zabudovaná alebo integrovaná UICC, ktorá podporuje architektúru vzdialeného poskytovania zabudovanej SIM (eSIM) GSMA.

Zabudovaný bezpečnostný prvok s rozhraním správy kľúčov

Poslednou možnosťou je vložený bezpečnostný prvok aj s rozhraním na správu kľúčov (obr. 28c). V tomto prípade nie je potrebné načítať žiadne prihlasovacie údaje pred dodaním priemyselného 5G zariadenia konečnému zákazníkovi. V závislosti od protokolu poskytovania zabezpečuje rozhranie správy kľúčov integritu a/alebo dôvernosť údajov prichádzajúcich cez rozhranie. To sa bežne implementuje ako lokálne káblové rozhranie alebo rozhranie krátkeho dosahu s optickou, akustickou a bezdrôtovou komunikáciou v blízkom poli alebo s krátkym dosahom.

Príkladom toho je bezpečnostný prvok používaný na ukladanie certifikátov na autentifikáciu EAP (Extensible Authentication Protocol). Certifikát sa načíta pomocou jednoduchého protokolu na zápis certifikátu (SCEP). Na začiatku sa načíta zdieľaný tajný kľúč cez rozhranie správy kľúčov. Potom možno certifikát bezpečne nahrať cez bezdrôtové alebo káblové rozhranie do zabezpečeného prvku, tiež pomocou SCEP.

Poskytovanie mobilných poverení

Poskytovanie bunkových poverení sa vo všeobecnosti vykonáva jedným z dvoch spôsobov (obr. 29).

Na obr. 29a sa vygenerujú poverenia USIM a potom sa prenesú do UICC aj 5GS. Pre verejné siete sú UICC normálne naprogramované na centrálnom mieste a potom fyzicky prenesené k účastníkom. Pre súkromné siete sa UICC bežne programujú na mieste pomocou generátora poverení.

Alternatívne môžu byť poverenia poskytnuté na základe vzdialenej štruktúry poskytovania SIM karty GSMA (obr. 29b). Najprv sa na eSIM uloží vložený doklad totožnosti (EID). EID umožňuje bezpečné vzdialené sťahovanie poverení USIM z 5GS. Bezpečné sťahovanie na diaľku je založené na infraštruktúre verejného kľúča, do ktorej patria všetky zúčastnené 5GS a generátory poverení.

Obidva spôsoby poskytovania možno použiť pre všetky tri možnosti implementácie zobrazené na obr. 29. Nakoniec možno použiť autentifikáciu bunky založenú na EAP. Jedným príkladom je EAP-TLS, ktorý bol predstavený v 3GPP, vydanie 15. EAP poskytuje mnoho rôznych možností poskytovania, ale poverenia sa zvyčajne poskytujú prostredníctvom rozhrania správy kľúčov na zariadení a/alebo pomocou protokolu automatizovanej správy poverení.

Pokračovanie v ďalšom čísle.

Zdroj: Industrial 5G Devices – Architecture and Capabilities. 5G Alliance for Connected Industries and Automation. White paper. [online]. 

-tog-