TU Darmstadt / ULB / TUbiblio

Security and Trust in Safety Critical Infrastructures

Zhdanova, Maria (2022)
Security and Trust in Safety Critical Infrastructures.
Technische Universität Darmstadt
doi: 10.26083/tuprints-00021505
Dissertation, Erstveröffentlichung, Verlagsversion

Kurzbeschreibung (Abstract)

Critical infrastructures such as road vehicles and railways are undergoing a major change, which increases the dependency of their operation and control on Information Technology (IT) and makes them more vulnerable to malicious intent. New complex communication infrastructures emerge using the increased connectivity of these safety-critical systems to enable efficient management of operational processes, service provisioning, and information exchange for various (third-party) actors. Railway Command and Control Systems (CCSs) turn with the introduction of digital interlocking into an “Internet of Railway Things”, where safety-critical railway signaling components are deployed on common-purpose platforms and connected via standard IP-based networks. Similarly, the mass adoption of Electric Vehicles (EVs) and the need to supply their batteries with energy for charging has given rise to a Vehicle-to-Grid (V2G) infrastructure, which connects vehicles to power grids and multiple service providers to coordinate charging and discharging processes and maintain grid stability under varying power demands. The Plug-and-Charge feature brought in by the V2G communication standard ISO 15118 allows an EV to access charging and value-added services, negotiate charging schedules, and support the grid as a distributed energy resource in a largely automated way, by leveraging identity credentials installed in the vehicle for authentication and payment.

The fast deployment of this advanced functionality is driven by economical and political decisions including the EU Green Deal for climate neutrality. Due to the complex requirements and long standardization and development cycles, the standards and regulations, which play the key role in operating and protecting critical infrastructures, are under pressure to enable the timely and cost-effective adoption.

In this thesis, we investigate security and safety of future V2G and railway command and control systems with respect to secure communication, platform assurance as well as safety and security co-engineering. One of the major goals in this context is the continuous collaboration and establishment of the proposed security solutions in upcoming domain-specific standards, thus ensuring their practical applicability and prompt implementation in real-world products.

We first analyze the security of V2G communication protocols and requirements for secure service provisioning via charging connections. We propose a new Plug-and-Patch protocol that enables secure update of EVs as a value-added service integrated into the V2G charging loop. Since EVs can also participate in energy trading by storing and feeding previously stored energy to grid, home, or other vehicles, we then investigate fraud detection methods that can be employed to identify manipulations and misbehaving users.

In order to provide a strong security foundation for V2G communications, we propose and analyze three security architectures employing a hardware trust anchor to enable trust establishment in V2G communications. We integrate these architectures into standard V2G protocols for load management, e-mobility services and value-added services in the V2G infrastructure, and evaluate the associated performance and security trade-offs.

The final aspect of this work is safety and security co-engineering, i.e., integration of safety and security processes vital for the adequate protection of connected safety-critical systems. We consider two application scenarios, Electric Vehicle Charging System (EVCS) and Object Controller (OC) in railway CCS, and investigate how security methods like trusted computing can be applied to provide both required safety and security properties. In the case of EVCS, we bind the trust boundary for safety functionality (certified configuration) to the trust boundary in the security domain and design a new security architecture that enforces safety properties via security assertions. For the railway use case, we focus on ensuring non-interference (separation) between these two domains and develop a security architecture that allows secure co-existence of applications with different criticality on the same hardware platform.

The proposed solutions have been presented to the committee ISO/TC 22/SC 31/JWG 1 that develops the ISO 15118 standard series and to the DKE working group “Informationssicherheit für Elektromobilität” responsible for the respective application guidelines. Our security extension has been integrated in the newest edition ISO 15118-20 released in April 2022. Several manufacturers have already started concept validation for their future products using our results.

In this way, the presented analyses and techniques are fundamental contributions in improving the state of security for e-mobility and railway applications, and the overall resilience of safety-critical infrastructures to malicious attacks.

Typ des Eintrags: Dissertation
Erschienen: 2022
Autor(en): Zhdanova, Maria
Art des Eintrags: Erstveröffentlichung
Titel: Security and Trust in Safety Critical Infrastructures
Sprache: Englisch
Referenten: Waidner, Prof. Dr. Michael ; Weippl, Prof. Dr. Edgar ; Krauß, Prof. Dr. Christoph
Publikationsjahr: 2022
Ort: Darmstadt
Kollation: xv, 150 Seiten
Datum der mündlichen Prüfung: 25 Mai 2022
DOI: 10.26083/tuprints-00021505
URL / URN: https://tuprints.ulb.tu-darmstadt.de/21505
Kurzbeschreibung (Abstract):

Critical infrastructures such as road vehicles and railways are undergoing a major change, which increases the dependency of their operation and control on Information Technology (IT) and makes them more vulnerable to malicious intent. New complex communication infrastructures emerge using the increased connectivity of these safety-critical systems to enable efficient management of operational processes, service provisioning, and information exchange for various (third-party) actors. Railway Command and Control Systems (CCSs) turn with the introduction of digital interlocking into an “Internet of Railway Things”, where safety-critical railway signaling components are deployed on common-purpose platforms and connected via standard IP-based networks. Similarly, the mass adoption of Electric Vehicles (EVs) and the need to supply their batteries with energy for charging has given rise to a Vehicle-to-Grid (V2G) infrastructure, which connects vehicles to power grids and multiple service providers to coordinate charging and discharging processes and maintain grid stability under varying power demands. The Plug-and-Charge feature brought in by the V2G communication standard ISO 15118 allows an EV to access charging and value-added services, negotiate charging schedules, and support the grid as a distributed energy resource in a largely automated way, by leveraging identity credentials installed in the vehicle for authentication and payment.

The fast deployment of this advanced functionality is driven by economical and political decisions including the EU Green Deal for climate neutrality. Due to the complex requirements and long standardization and development cycles, the standards and regulations, which play the key role in operating and protecting critical infrastructures, are under pressure to enable the timely and cost-effective adoption.

In this thesis, we investigate security and safety of future V2G and railway command and control systems with respect to secure communication, platform assurance as well as safety and security co-engineering. One of the major goals in this context is the continuous collaboration and establishment of the proposed security solutions in upcoming domain-specific standards, thus ensuring their practical applicability and prompt implementation in real-world products.

We first analyze the security of V2G communication protocols and requirements for secure service provisioning via charging connections. We propose a new Plug-and-Patch protocol that enables secure update of EVs as a value-added service integrated into the V2G charging loop. Since EVs can also participate in energy trading by storing and feeding previously stored energy to grid, home, or other vehicles, we then investigate fraud detection methods that can be employed to identify manipulations and misbehaving users.

In order to provide a strong security foundation for V2G communications, we propose and analyze three security architectures employing a hardware trust anchor to enable trust establishment in V2G communications. We integrate these architectures into standard V2G protocols for load management, e-mobility services and value-added services in the V2G infrastructure, and evaluate the associated performance and security trade-offs.

The final aspect of this work is safety and security co-engineering, i.e., integration of safety and security processes vital for the adequate protection of connected safety-critical systems. We consider two application scenarios, Electric Vehicle Charging System (EVCS) and Object Controller (OC) in railway CCS, and investigate how security methods like trusted computing can be applied to provide both required safety and security properties. In the case of EVCS, we bind the trust boundary for safety functionality (certified configuration) to the trust boundary in the security domain and design a new security architecture that enforces safety properties via security assertions. For the railway use case, we focus on ensuring non-interference (separation) between these two domains and develop a security architecture that allows secure co-existence of applications with different criticality on the same hardware platform.

The proposed solutions have been presented to the committee ISO/TC 22/SC 31/JWG 1 that develops the ISO 15118 standard series and to the DKE working group “Informationssicherheit für Elektromobilität” responsible for the respective application guidelines. Our security extension has been integrated in the newest edition ISO 15118-20 released in April 2022. Several manufacturers have already started concept validation for their future products using our results.

In this way, the presented analyses and techniques are fundamental contributions in improving the state of security for e-mobility and railway applications, and the overall resilience of safety-critical infrastructures to malicious attacks.

Alternatives oder übersetztes Abstract:
Alternatives AbstractSprache

Kritische Infrastrukturen wie Straßenfahrzeuge und Eisenbahnen durchlaufen einen tiefgreifenden Wandel, der die Abhängigkeit derer Steuerung und Betrieb von der Informationstechnologie erhöht. Durch die zunehmende Vernetzung dieser sicherheitskritischen Systeme entstehen neue komplexe Kommunikationsinfrastrukturen, die gleichzeitig dem effizienten Management der Betriebsprozesse dienen und den Informationsaustausch mit verschiedenen Dritten ermöglichen. Mit der Einführung des digitalen Stellwerks wird die Bahn-Leit- und Sicherungstechnik (LST) zum “Internet der Bahn-Dinge”, in dem sicherheitskritische Komponenten auf Mehrzweckplattformen realisiert und über IP-basierte Standardnetze verbunden sind. Ebenso führt die massive Verbreitung von Elektrofahrzeugen und deren Energiebedarf zu einer neuen Vehicle-to-Grid (V2G) Lade-Infrastruktur, in der Fahrzeuge mit Stromnetzen und Dienstanbietern verbunden sind, um Lade- und Entladevorgänge zu koordinieren und zur Netzstabilität beizutragen. So erlaubt die Plug-and-Charge-Funktion aus der V2G-Kommunikationsnorm ISO 15118 einem Elektrofahrzeug weitgehend automatisiert, mithilfe eigener Identitätsmerkmale, auf Lade- und Mehrwertdienste zuzugreifen, Ladepläne dynamisch auszuhandeln und das Stromnetz als verteilte Energieressource zu unterstützen.

Die rasche Einführung dieser fortschrittlichen Technologien wird durch wirtschaftliche und politische Entscheidungen wie den EU Green Deal für Klimaneutralität vorangetrieben. Aufgrund der komplexen Anforderungen und langen Standardisierungs- und Entwicklungszyklen geraten dabei auch Normen und Vorschriften unter Druck, die traditionell eine Schlüsselrolle beim Betrieb und Schutz kritischer Infrastrukturen spielen.

In dieser Dissertation untersuchen wir zukünftige V2G- und Eisenbahn-LST-Systeme in Bezug auf sicherer Kommunikation, Plattformsicherheit sowie des Zusammenwirkens von Security und Safety. Eines der wichtigsten Ziele dabei ist es, die vorgeschlagenen Sicherheitslösungen auch in kommenden branchenspezifischen Standards zu etablieren und so die korrekte Umsetzung in realen Produkten zu ermöglichen.

Wir untersuchen zunächst die Sicherheit von V2G-Kommunikationsprotokollen und die Anforderungen für die sichere Bereitstellung von Diensten über Ladekommunikation. Wir schlagen ein neues Plug-and-Patch-Protokoll vor, das die sichere Aktualisierung von Elektrofahrzeugen als Mehrwertdienst in den Ladevorgang integriert. Da Fahrzeuge auch am Energiehandel teilnehmen können, indem sie zuvor gespeicherte Energie in das Stromnetz, ins Heim oder in andere Fahrzeuge einspeisen, untersuchen wir anschließend Betrugserkennungsmethoden, die zur Identifikation von Fehlverhalten und Manipulation benutzt werden können.

Um eine zuverlässige Grundlage für die sichere V2G-Kommunikation zu schaffen, entwickeln wir drei Sicherheitsarchitekturen für V2G-Systeme, die auf Basis von Hardware-Sicherheitsankern die gegenseitige Vertrauensetablierung in der V2G-Kommunikation ermöglichen. Wir integrieren diese Architekturen in V2G-Protokolle für Lastmanagement, E-Mobilitäts- und Mehrwertdienste und analysieren die jeweils erreichte Leistung und Sicherheit.

Der letzte Aspekt dieser Arbeit ist die Ko-Entwicklung von Security und Safety Prozessen, die für den wirksamen Schutz vernetzter sicherheitskritischer Systeme unerlässlich ist. Wir untersuchen für zwei Anwendungsszenarien, Batterieladesystem im Fahrzeug (EVCS) und Objekt Controller im Bahn-LST-System, wie Trusted Computing Sicherheitskonzepte angewandt werden können um sowohl die erforderlichen Security- als auch die Safety-Eigenschaften zu gewährleisten. Im Fall von EVCS setzen wir die Vertrauensgrenzen für die Safety-Funktionalitäten (zertifizierte Konfiguration) in Beziehung zu den Security-Vertrauensgrenzen und entwerfen eine neue Sicherheitsarchitektur, die Safety-Eigenschaften mithilfe von Security-Assertions durchsetzt. Im Anwendungsfall Eisenbahn konzentrieren wir uns auf die Rückwirkungsfreiheit (Trennung) zwischen den Domänen und entwickeln eine Sicherheitsarchitektur, die sichere Koexistenz von Anwendungen mit verschiedener Kritikalität auf derselben Hardware-Plattform ermöglicht.

Unsere Lösungen wurden dem Gremium ISO/TC 22/SC 31/JWG 1 für die Normenreihe ISO 15118 und dem DKE AK “Informationssicherheit für Elektromobilität”, der für die dazugehörigen Anwendungsregeln zuständich ist, vorgestellt. Unsere Sicherheitserweiterung ist in der neuesten Ausgabe ISO 15118-20 vom April 2022 integriert. Mehrere Hersteller haben bereits mit der Konzeptvalidierung ihrer zukünftigen Produkte unter Verwendung unserer Ergebnisse begonnen.

Die vorgestellten Konzepte und Analysen tragen damit fundamental zur Verbesserung der Sicherheit von E-Mobilitäts- und Bahnanwendungen bei und erhöhen die Widerstandsfähigkeit dieser sicherheitskritischen Infrastrukturen.

Deutsch
Status: Verlagsversion
URN: urn:nbn:de:tuda-tuprints-215051
Sachgruppe der Dewey Dezimalklassifikatin (DDC): 000 Allgemeines, Informatik, Informationswissenschaft > 004 Informatik
Fachbereich(e)/-gebiet(e): 20 Fachbereich Informatik
20 Fachbereich Informatik > Sicherheit in der Informationstechnik
Hinterlegungsdatum: 08 Aug 2022 12:06
Letzte Änderung: 14 Nov 2022 10:17
PPN: 49906237X
Referenten: Waidner, Prof. Dr. Michael ; Weippl, Prof. Dr. Edgar ; Krauß, Prof. Dr. Christoph
Datum der mündlichen Prüfung / Verteidigung / mdl. Prüfung: 25 Mai 2022
Export:
Suche nach Titel in: TUfind oder in Google
Frage zum Eintrag Frage zum Eintrag

Optionen (nur für Redakteure)
Redaktionelle Details anzeigen Redaktionelle Details anzeigen