Der LXI-Standard in der Messtechnik und was künftig möglich sein wird
Mit dem LXI-Standard können geeignete Messgeräte über Ethernet kommunizieren. Aktuell arbeitet das Konsortium an LXI Security. Aber auch selbstzertifizierte Messgeräte soll es künftig geben. Ein Überblick.
Anfang Oktober 2018 hat das LXI-Konsortium die sogenannte LXI-Reference-Design-Version 1.4 veröffentlicht. Mit der Referenzimplementierung haben viele Unternehmen begonnen, den LXI-Standard in ihre Geräte zu übernehmen. Wie ist es zu einem LXI-Standard gekommen? Zu Beginn des Jahrtausends wurde es immer wichtiger, verschiedene Messgeräte möglichst einfach an ein Testsystem anzuschließen. Das wurde notwendig, um in verteilten Systemen verschiedene Testszenarien und Testverfahren zu erreichen.
Die komplexe LXI-Technik erforderte es, dass immer mehr unterschiedliche Messgeräte wie Generatoren, Analysatoren, Schaltgeräte usw. in das Messszenario integriert und mit dem für den Messvorgang zu programmierenden Steuerrechner verbunden werden mussten. Bisher basierten die Ansätze auf dem IEC-Bus (GPIB oder IEEE488), was allerdings die Austauschbarkeit, Flexibilität und Erweiterbarkeit einschränkt. Da das Ethernet sowohl im PC als auch in der Industrie weit verbreitet ist, bot das LAN-Interface eine Alternative für ein standardisiertes Bussystem. Aus diesem Grund haben führende Messtechnik-Unternehmen beschlossen, einen Standard auf Basis von Ethernet-Netzwerken zu etablieren. Um ein solches Unternehmen zu realisieren, wurde 2004 ein Non-Profit-Konsortium gegründet, das den LXI-Standard (LAN eXtensions for Instrumentation) hervorbringen sollte. Heute sind mehr als 50 Unternehmen weltweit aus der Messtechnik-Branche in diesem Konsortium vertreten. Dazu gehören Keysight, Pickering und Rohde & Schwarz als strategische Mitglieder. Mehr als 3800 Geräte von 43 Mitgliedsunternehmen sind LXI-zertifiziert.
Die aktuellen Aktivitäten des LXI-Konsortiums
Neben den kontinuierlichen Verbesserungen des LXI-Reference-Designs, die regelmäßige Fehlerbehebungen sowie die Integration neuer Funktionen, arbeitet das Konsortium an einer erweiterten Funktion mit der Bezeichnung LXI Security. Cybersecurity-Probleme sind ein wichtiges Thema in der Industrie, daher Blickt die Branche aufmerksam auf dieses kritische Attribut innerhalb von Netzwerken. Ein weiteres heißes Thema ist die Möglichkeit der Selbstzertifizierung in naher Zukunft.
Für LXI Security gibt es innerhalb des Konsortiums eine eigene Arbeitsgruppe, um die Risiken von LXI-relevanten Sicherheitsverletzungen auf LXI-Geräten zu berücksichtigen. Die Gruppe muss die verschiedenen Szenarios berücksichtigen, für die LXI-Instrumente möglicherweise verwendet werden. Die Testsysteme können isolierte Netzwerke oder sogar eine Peer-to-Peer-Verbindung sein, aber LXI-Instrumente sind oft direkt mit Firmennetzwerken oder sogar mit dem Internet verbunden, um im Feld fernüberwacht zu werden. Entscheidend sind die Fernsteuerverbindungen, die hauptsächlich SCPI-basierte TCP/IP-Verbindungen wie HiSLIP und VXI-11 sind, aber auch die Webbrowser-Schnittstelle, die ein wesentlicher Bestandteil einer LXI-Gerätekonfigurationsmöglichkeit ist. Der aktuelle Standard erfordert es, dass ein HTTP-Webserver ausgeführt wird, der überhaupt keine Verschlüsselung hat. Neben diesen beiden Hauptthemen sind Ping, mDNS und LAN-Events auch Themen, die von einer kommenden erweiterten Funktion LXI Security angesprochen werden müssen.
Die Arbeitsgruppe beabsichtigt, zwei verschiedene Wege für die Fernsteuerungsverbindung und die Webbrowser-Schnittstelle zu gehen, beide Ansätze basieren jedoch auf Zertifikaten. Dazu muss allerdings ein Initial Device Identifier (IDevID) auf dem Gerät installiert werden.
Das Problem mit einer geänderten IP-Adresse
Für die Webbrowser-Schnittstelle wird das öffentliche Vertrauensmodell verwendet, das auf lokal signifikanten Gerätekennungen (LDevIDs, X.509-Zertifikate, 12 Monate Lebensdauer) basiert und von der IDevID abgeleitet ist. Allerdings ändern sich die IP-Adressen und der Hostname der LXI-Geräte während ihrer Lebensdauer, wodurch die LDevID ungültig wird. Deshalb ist ein Bereitstellungsserver erforderlich, um eine neue LDevID anzufordern, wenn sich seine IP-Adresse ändert. Das Gerät muss den Hostnamen der neuen IP-Adresse zuweisen und neu konfigurieren und die DNS-Einstellungen aktualisieren. Ist das abgeschlossen, ist ein sicherer Web-Server-Zugang (https) verfügbar. Die Sperrung dieser Zertifikate wird überprüft, wenn das LXI-Gerät eine Verbindung zum Bereitstellungsserver herstellt.
Dieser Ansatz führt zu der Frage nach den verschiedenen Szenarios, die die Gruppe berücksichtigen muss Denn nicht alle zuvor erwähnten Szenarien verfügen über einen Internetzugang, um sich mit einem Bereitstellungsserver zu verbinden. Für das Szenario ohne Internetzugang wurden einige Optionen identifiziert. Eine Möglichkeit wäre, den Bereitstellungsserver innerhalb des lokalen Netzwerks zu installieren, um neue LDevIDs anzufordern. Hier muss möglicherweise die IT-Abteilung unterstützen. Eine andere Möglichkeit wäre, selbstsignierte Zertifikate zu verwenden, bei denen das Zertifikat sowohl auf dem LXI-Gerät als auch im Webbrowser des Testcomputers installiert werden müsste.
Messgeräte aus der Ferne steuern
Damit Messgeräte aus der Ferne gesteuert werden können, wird das private Vertrauensmodell basierend auf IDevIDs (IEEE802.1AR, unbegrenzte Lebensdauer) verwendet. Die erforderlichen Metadaten wie das Geräte-ID-Modell und der Herstellername befinden sich im geänderten Zertifikatformat. Außerdem wird HiSLIP 2.0 vorausgesetzt, das eine sichere Kommunikation mit TLS unterstützt und somit die Themen Identifikation, Autorisierung und Verschlüsselung adressiert. HiSLIP 2.0 verwendet weiterhin den IANA-Port 4880 sowie die derzeit bekannte VISA-Ressourcenstring für die Abwärtskompatibilität, aber es müssen neue Sicherheitsstufen eingeführt werden. Die Arbeitsgruppe hat drei Stufen identifiziert.
Zunächst wird es notwendig sein, das Sicherheitsfeature mit HiSLIP aus Gründen der Abwärtskompatibilität deaktivieren zu können. Das ist dann der Fall, wenn ein neues Gerät mit einem Client oder einer VISA-Anwendung kommuniziert, welches HiSLIP 2.0 nicht unterstützt. Es gibt auch andere Gründe. Dazu gehören das Debuggen von Netzwerkverkehr oder einen Leistungsverlust durch die Verschlüsselung zu vermeiden. Zweitens könnte es einen Modus geben, welcher die Authentifizierung prüft. Das könnte in einer vertrauenswürdigen Umgebung sinnvoll sein. Hier startet das Gerät möglicherweise mit einer TLS-Verbindung, aber nach erfolgreicher Authentifizierung kann die Verschlüsselung deaktiviert werden. Schließlich wird ein Modus notwendig sein, welcher die Verschlüsselung zwingend erfordert. Alle Geräte müssen sich authentifizieren. Versucht ein Gerät ohne Verschlüsselung zu kommunizieren, muss nach erfolgreicher Authentifizierung die Verbindung beendet werden.
Künftig Messgeräte selbst zertifizieren
Die Selbstzertifizierung ist ein wiederkehrendes Thema im LXI-Konsortium, da mehrere führende Unternehmen ihre Geräte selbst zertifizieren möchten. Das ist bereits bei anderen Standards üblich. Die Richtlinie von LXI ist bisher, dass ein Anbieter sein Gerät zu einem zertifizierten Testhaus bringen muss, um es als LXI-konformes Gerät zertifizieren zu lassen. Bisher war das sinnvoll, da die aktuelle LXI-Test-Suite bestimmte Hardware für die Tests benötigt. Die LXI-Test-Suite-Software benötigt ein gewisses Know-how, um sie zu bedienen. Das Konsortium ist zuversichtlich, um diese Hürden mit dem TSEP-Kerberos zu umgehen. Hierbei handelt es sich um eine Software- und Hardwarelösung, welche die LXI-Funktionalität von Mess- und Testgeräten überprüft. Sie enthält notwendige Hardware und reduziert das benötigte LXI-Know-how signifikant, um ein Gerät zu zertifizieren. Die meisten Tests sind vollständig automatisiert, andere teilweise automatisiert mit einer Schritt-für-Schritt-Anleitung der manuellen Testabschnitte.
Allerdings will das Konsortium nicht die vollständige Kontrolle über den Zertifizierungsprozess aufgeben. Deshalb wird gefordert, dass ein Unternehmen mindestens ein Gerät hat, das von einem LXI-Test-House zertifiziert wurde. Damit will man künftig den LXI-Standard schützen, wie es Kunden von LXI-konformen Produkten gewohnt sind. Das Konzept der Selbstzertifizierung soll auf dem kommenden Meeting & PlugFest verabschiedet werden.
Autor /Redakteur: David Courtney / Hendrik Härter
Innovation made measurable.