CN101803331A - 用于以安全的方式来访问设备的方法和系统 - Google Patents

用于以安全的方式来访问设备的方法和系统 Download PDF

Info

Publication number
CN101803331A
CN101803331A CN200880106905A CN200880106905A CN101803331A CN 101803331 A CN101803331 A CN 101803331A CN 200880106905 A CN200880106905 A CN 200880106905A CN 200880106905 A CN200880106905 A CN 200880106905A CN 101803331 A CN101803331 A CN 101803331A
Authority
CN
China
Prior art keywords
access
user
critical equipment
authenticating device
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN200880106905A
Other languages
English (en)
Inventor
F·霍尔鲍姆
M·布兰德尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ABB Technology AG
Original Assignee
ABB T&D Technology AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ABB T&D Technology AG filed Critical ABB T&D Technology AG
Publication of CN101803331A publication Critical patent/CN101803331A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

本发明涉及一种不利用到任何外部服务的网络连接性来访问嵌入式设备环境中的设备的安全且可信赖的方式。通过移动存储器或访问票据存储装置,即诸如具有用于存储用户证书或用户识别手段(诸如密码或指纹)的适当的存储器的智能卡或USB棒之类的物理令牌,来控制用户或服务技术人员对访问关键嵌入式设备的这种类型的访问。用户在行进到访问关键设备或通信地连接到该访问关键设备的位置之前获取来自集中式票据或访问授权服务器的具有适合的终止期的电子访问票据。访问票据包含用户关于一个或多个访问关键设备的访问权利,并且同样地被存储在移动存储器装置上。访问权利由访问关键设备根据用户身份的认证,基于用户证书,由移动存储器装置所耦合到的认证设备来评估。

Description

用于以安全的方式来访问设备的方法和系统
技术领域
本发明涉及工业过程控制领域。它脱离了如在权利要求1的前序部分中所描述的由用户或操作员访问(access)工业过程控制系统的访问关键设备(access-critical device)的方法。
背景技术
当今,嵌入式设备或服务器是包括工业自动化、发电站控制、电/气/水公共设施自动化以及相应的计算机网络(路由器、管理的交换机、防火墙)的关键基础设施的工业过程控制系统的重要元件。在它们的使用寿命期间,人类用户和软件过程必须访问这些嵌入式设备以发布命令、获得测量或状态信息、诊断故障、以及改变设置和应用。因为这些设备对于它们各自的系统来说是关键的,所以应该约束并且严格控制对它们的访问。
然而,对于访问关键嵌入式设备来说基于密码的认证方案不会在仅少数人类用户(操作员、客户端工作场所的维护人员)负责大量的嵌入式设备的场景中提供必要的安全性和可扩展的(scalable)易管理性。用户通常属于多个组织,并且每个用户必须具有访问大量嵌入式设备(充当服务器)的能力。在物理上并且在组织上分布这些嵌入式服务器,并且因此这些嵌入式服务器属于不同的认证域(authentication domain)。实际上,在当今的典型嵌入式环境中,每个嵌入式设备是具有其自身的用户基础的其自身的认证域,这是因为对每个设备能够以完全独立于其它主机和外部通信链路的方式来操作以最大化由该嵌入式设备控制的系统的弹性和可靠性的历史需要。这样的嵌入式设备场景与其中许多客户端可访问有限数目的服务器的纯粹商业场景相反。
在上面的嵌入式设备场景中,传统的基于密码的访问控制以及直接对嵌入式设备的认证具有一些主要的弱点:访问实际上不可撤销,因为它是基于认识的;以及重新配置所有受到影响的服务器将是不可行的。而且,该设备上的存储限制通常限制用户账户的数目并且因此需要防止单独的责任性(accountability)的组证书(credential)。如果用户使用多个设备的相同密码,则单个设备的折衷(compromise)导致整个系统的折衷。
为了避免这些缺点,在访问许可组织的控制下,在中央认证和授权(Authentication and Authorization,AA)控制服务器中保持对各个客户端的访问权利(rights)。这允许对访问权利的改变的快速转出(roll-out),并且基于角色的访问控制可以被用于可扩展的客户端权利分配。专利申请WO 03/107133公开了在与用户或远程管理员相反的安全远程管理应用(secure remote management appliance,SRMA)不具有到集中式访问控制服务器(ACS)的连接的情况下使用的特定认证协议。一旦用户试图连接到SRMA,该SRMA就以随机数Ns的形式发布挑战(challenge)。然后,ACS准备要经由用户发送到SRMA的消息,所述消息包括用于用户回复(re)SRMA的授权信息。为了保护机密性,使用SRMA的公钥来对该信息进行加密,并且为了验证该信息的完整性利用ACS的私钥来对该信息的散列以及原始挑战Ns进行加密。如果必要,为了让用户认证SRMA,ACS将SRMA的公钥(pub)提供给用户。
然而,主要功能和本地紧急设备访问必须不依赖于中央服务器或通信基础设施的可用性,即访问控制方案应该支持被隔离的并且仅经由前面板或直接控制台端口访问才可访问的嵌入式服务器。M.Naedele的题为“An Access Control Protocol for Embedded Device”(4thInternational IEEE Conf.on Industrial Informatics(INDIN2006),Singapore,August 2006)的文章提到集中式用户管理与离线设备访问的结合,其中服务技术人员在行进到嵌入式服务器位置之前获取来自访问授权服务器的具有适当的终止期的能力。该能力包括其授权的访问权利,并且因此可以由目标服务器离线评估。
发明内容
因此,本发明的目的是指出一种不利用到任何外部服务的网络连接性来访问嵌入式设备环境中的设备的安全且可信赖的方式,这一目的通过根据权利要求1和6所述的访问访问关键设备的方法和系统来实现。根据从属专利权利要求,其它优选实施例是显而易见的。
根据本发明,通过移动存储器或访问票据(ticket)存储装置,即诸如具有用于存储用户证书或用户识别手段(诸如密码或指纹)的适当的存储器的智能卡或USB棒(USB stick)之类的物理令牌(physical token),来控制用户或服务技术人员对访问关键嵌入式设备的访问。用户在行进到访问关键设备或通信地连接到该访问关键设备的位置之前获取来自集中式票据或访问授权服务器的具有适合的终止期的能力文件(capability file)或电子访问票据。访问票据包含用户关于一个或多个访问关键设备的访问权利,并且同样地被存储在移动存储器装置上。访问权利由访问关键设备根据用户身份的认证,基于用户证书,由移动存储器装置所耦合或接合的认证设备来评估。
在本发明的第一优选变型中,为了建立访问权利的认证即为了验证用户自己没有窜改访问权利,访问票据通过票据服务器的私钥加密,并且由认证设备解密。
在本发明的第二优选变型中,认证设备或者与访问关键设备一样,或者是将各个访问权利传送到一些连接的访问关键设备的专用票据分发器,因此提供用于访问多个设备的简单认证过程。票据分发器本身可以是嵌入式设备,例如作为子站自动化(Substation Automation)系统的操作员工作站的一部分。
本发明的有利实施例针对需要用户物理存在于用于维护活动的设备处的情况,并且针对用户经由通信地连接到访问关键设备的HMI设备(例如子站自动化系统的操作员工作站)的人机接口(HMI)访问访问关键设备。在后面的情况下,HMI设备潜在地与认证设备一样,并且优选地适应于与访问关键设备的安全通信会话。
在本发明的另一个优选变型中,适当的严格约束访问权利(例如停机)被就地(onsite)存储以用于紧急情况,并且可以被任何用户调用。
创造性的方法或访问协议被最有益地应用于子站自动化的情况,在子站自动化中,用于保护和控制子站主设备(也被称为智能电子设备)的嵌入式设备通常位于单个控制室中。最初在票据分发器处认证的用户或操作员随后在不必在每个设备处重新认证的情况下连续地移动到并且访问控制室中的一些嵌入式设备。此外,用于IED访问目的的用户认证可以与对控制室的物理访问控制相结合。
根据本发明的方法保留上文中提到的远程离线协议的许多特征,其中存在用户和访问关键设备之间的(而不是在后者与AA服务器之间的)持久通信连接。特别地,因为可能不存在撤销方案,所以根据用户的实际物理位移所需的时间以及分配给执行计划的维护任务的时间使用从分钟到天的范围内变化的适当的终止期。集中式用户管理方案的其它有效优点是(在AA服务器处创建和删除用户账户)的简单性、基于用户和当前任务的访问权利、以及不存在存储在访问关键设备上的账户或任何种类的秘密。
附图说明
将参考在附图中说明的优选示例性实施例来在下面的文本中详细解释本发明的主题,其中:
图1示出用于访问访问关键设备的系统;以及
图2描绘具有认证设备的子站自动化系统。
具体实施方式
图1示意性地示出用于用户或客户端U访问访问关键设备或嵌入式服务器D的系统,其包括认证和授权,或者简短的,访问权限(accessauthority)AA服务器。尽管仅示出来一个嵌入式服务器和一个客户端,但是创造性的系统可以包括一些嵌入式服务器和一些客户端以及多于一个访问权限服务器。
访问权限AA保持进行访问控制决定所需的信息:
·用于所有设备D上的所有用户U的访问权利的矩阵R(U,D)。矩阵中的特定权利R(U,D)可以是普通的(读取/写入/更新/删除)或特定于应用程序/服务器。它们仅需要由设备D来解释并且可以是特定于设备的。
·确定许可用户U访问设备D的访问权利的终止时间的规则集Texp(U,D)。实际终止时间可以取决于U、D、所请求的访问权利、以及诸如(在线,或经由直接物理/控制台访问离线)访问设备服务器的预期方法的上下文信息。
该访问权限服务器AA同样地存储用于所有注册用户U的公钥pubU,以形成连同秘密的并且仅该用户U知道的私钥privU的密钥对。这是可管理的任务,因为访问权限服务器AA仅处于需要注册有限数目的这些密钥的中心位置。
访问权限服务器AA还具有其自己的密钥对pubAA和privAA,其中privAA是秘密的并且仅该访问权限服务器AA知道,而pubAA再次是非秘密的公钥。特别地,嵌入式设备D保持访问权限服务器AA的公钥pubAA。作为公钥,pubAA不是秘密的并且对于所有设备是相同密钥,所以它可以被有效地预先安装在所有嵌入式设备上。
在下面,将解释所提议的认证和访问控制协议的各个步骤1-7,其中可以在不危及协议的正常工作的情况下至少部分重新布置所述步骤的顺序。
步骤1:用户U通过存储在移动存储器或票据存储装置M上的用户证书,即通过存储在计算机可读存储器设备(例如智能卡或USB棒)上的密码、个人识别码(PIN)或指纹来认证到访问权限服务器AA。可替换地,如果用户正在通过通信网络与AA进行通信,则假设在适当的位置上存在允许用户U认证到访问权限服务器AA并且以充分安全的方式与访问权限服务器通信的机制。
步骤2:用户U向访问权限服务器AA请求票据,即到目标设备D的访问权利的电子表示。
步骤3:访问权限服务器AA基于存储在其数据库中的信息来检查在给定的情况(例如所请求的权利以及预期的访问方法(在线、离线))下是否可以以及在何种程度上可以将对目标设备D的访问许可给用户U。然后,访问权限服务器AA发布存储在用户U的移动存储器装置M上的适当的访问票据。该票据可以指出,例如“用户U1在一天内从地区(sector)B的工厂自动化设备上传所有的DR文件”、或者“用户U2在一周内改变子站Gotham City 1的设备D1和D3中的所有保护参数”。
访问权限服务器AA可以包括公钥pubU或者所发布的票据内的用户的另一个唯一的标识符。然后,票据或其散列被签署(sign)有访问权限服务器AA的私钥。嵌入式设备D还可以以这种方式来验证该票据实际上已被发布给特定用户U。
步骤4:用户U在物理上将其移动存储器装置M移动到设备D,并且经由直接控制台或前面板访问(USB或以太网接口/端口)连接到该设备D。
步骤5:如在步骤1中,用户U通过存储在移动存储器装置M上的用户证书来认证到充当授权设备的访问关键设备D。为此,用户U经由键盘输入密码或个人识别码(PIN)或者触摸设备D的指纹扫描仪。访问关键设备D然后将该人机接口(HMI)输入与存储在移动存储器装置M上的相应用户证书进行比较。
步骤6:用户U将从访问权限服务器AA接收到的访问票据提供给目标设备D。
步骤7:设备D通过使用访问权限服务器AA的公钥pubAA检查该访问权限服务器AA在票据上的签名(signature)来验证该访问票据,而无论该票据是否实际上已发布给U并且确实已寻址到D,以及无论该票据是否还没有被终止。
在图2中,描绘了由根据IEC 61850操作的站总线(station bus)而互连的子站自动化系统的一些智能电子设备(IED)D1、D2、D3。专用票据分发器TD充当授权设备(用户U将其移动存储器装置连接到所述授权设备)并且如上面的步骤5那样认证。用户然后将访问票据或多个访问票据提供给授权设备,所述授权设备进行与上面的步骤7类似的后者的验证。发起用户U和目标设备D1之间的数据交换会话的附加步骤是:
步骤8:通过站总线将访问票据分发给各个目标设备。
步骤9:用户进一步移动到他选择的IED D1,并且使用D1的本地HMI而不必进行本地认证。可替换地,用户返回到子站自动化系统的操作员工作站OWS,并且经由其HMI打开与设备D1的通信会话。显然,在之前的认证步骤期间,OWS的HMI可以被用作TD的HMI。如果站总线被认为不是足够安全的,则一旦将用户的公钥pubU转发到设备D就可以加密用户U或操作员工作站OWS和设备之间的通信。
本领域技术人员应该清楚在移动存储器装置M上不存在有源部件(例如生成随机数的部件)。一旦被存储在移动存储器装置上,在认证和访问控制协议的过程中既不能改变用户证书也不能改变访问票据。

Claims (9)

1.用户(U)访问工业控制系统的访问关键设备(D)的方法,包括:
-票据服务器(AA)将具有用户访问权利的访问票据(T)发布给访问关键设备(D);以及
-所述访问关键设备(D)根据所述访问权利许可所述用户(U)访问所述访问关键设备(D),
其特征在于所述方法包括:
-将所述访问票据(T)连同一些用户证书一起存储在所述用户(U)的移动存储器装置(M)上;
-物理上将所述移动存储器装置(M)移动并耦合到认证设备(D、TD);以及
-认证设备(D、TD)基于存储在所连接的移动存储器装置(M)上的用户证书来认证所述用户(U),并且将所述访问权利从所述移动存储器装置(M)传送到所述访问关键设备(D)。
2.根据权利要求1所述的方法,其特征在于所述方法包括:
-所述票据服务器(AA)签署所述访问票据(T),并且所述认证设备(D、TD)认证所述访问票据(T)。
3.根据权利要求1所述的方法,其特征在于所述方法包括:
-所述认证设备(TD)认证所述用户(U)以及将访问权利分发给连接到所述认证设备(TD)的多个访问关键设备(D1、D2)。
4.根据权利要求3所述的方法,其特征在于所述方法包括:
-所述用户(U)经由所述认证设备(TD)访问所述访问关键设备(D1、D2);以及
-加密所述认证设备(TD)和所述访问关键设备(D1、D2)之间的通信。
5.根据权利要求1所述的方法,其特征在于所述方法包括:
-将用于紧急情况的受约束的访问权利存储在所述访问关键设备(D)上。
6.具有许多用于控制工业过程的访问关键设备(D)的工业控制系统,所述访问关键设备(D)根据集中管理的用户(U)的访问权利许可用户(U)的访问,所述系统包括:
-票据服务器(AA),用于将具有所述用户(U)的访问权利的访问票据(T)发布给所述访问关键设备(D);
-移动存储器装置(M),用于存储所述访问票据(T)连同一些用户证书;以及
-所述移动存储器装置移动且耦合到的认证设备(D、TD),用于基于存储在所连接的移动存储器装置(M)上的用户证书来认证所述用户(U)并且用于将所述访问权利传送到所述访问关键设备(D)。
7.根据权利要求6所述的系统,其特征在于所述认证设备是访问关键设备(D),或者其特征在于所述认证设备是将访问权利分发给连接到所述认证设备的多个访问关键设备(D1、D2)的票据分发器(TD)。
8.根据权利要求6或7所述的系统,其特征在于所述系统是子站自动化系统,并且其特征在于所述认证设备是所述子站的操作员工作站(OWS)。
9.根据权利要求8所述的系统,其特征在于所述用户(U)经由OWS和安全站总线来访问所述访问关键设备(D1、D2)。
CN200880106905A 2007-09-12 2008-09-05 用于以安全的方式来访问设备的方法和系统 Pending CN101803331A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP07116277A EP2037651A1 (en) 2007-09-12 2007-09-12 Method and system for accessing devices in a secure manner
EP07116277.0 2007-09-12
PCT/EP2008/061729 WO2009034018A1 (en) 2007-09-12 2008-09-05 Method and system for accessing devices in a secure manner

Publications (1)

Publication Number Publication Date
CN101803331A true CN101803331A (zh) 2010-08-11

Family

ID=38969973

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200880106905A Pending CN101803331A (zh) 2007-09-12 2008-09-05 用于以安全的方式来访问设备的方法和系统

Country Status (4)

Country Link
US (1) US20100186075A1 (zh)
EP (2) EP2037651A1 (zh)
CN (1) CN101803331A (zh)
WO (1) WO2009034018A1 (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102546169A (zh) * 2010-10-26 2012-07-04 欧贝特技术公司 控制用户认证保护功能执行的方法和系统尤其对资源访问
CN103984295A (zh) * 2013-02-12 2014-08-13 西门子公司 用户管理的方法及其用于发电厂系统的发电厂控制系统
CN104272645A (zh) * 2012-04-23 2015-01-07 Abb技术有限公司 工业自动化和控制装置用户访问
CN112313585A (zh) * 2018-06-11 2021-02-02 西门子股份公司 控制装置的访问数据的安全管理
JP2022126738A (ja) * 2016-08-15 2022-08-30 フィッシャー-ローズマウント システムズ,インコーポレイテッド プロセス制御システムのアクセスセキュリティを提供する装置、システムおよび方法

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011124256A1 (en) * 2010-04-08 2011-10-13 Areva T&D Uk Ltd Method for ensuring safe access to an industrial site
US9232046B2 (en) * 2010-07-21 2016-01-05 Tksn Holdings, Llc System and method for controlling mobile services using sensor information
GB2487049A (en) * 2011-01-04 2012-07-11 Vestas Wind Sys As Remote and local authentication of user for local access to computer system
EP2536096A1 (en) * 2011-06-17 2012-12-19 ABB Research Ltd. Securing an industrial control system
NL2009963C2 (en) 2011-12-11 2013-11-11 Abbott Diabetes Care Analyte sensor devices, connections, and methods.
EP2674887B1 (en) 2012-06-13 2020-01-01 F. Hoffmann-La Roche AG Controlling an analysis system of biological samples
GB2506591A (en) * 2012-09-28 2014-04-09 Bell Identification Bv Method of providing secure services using a mobile device
CN103856468B (zh) * 2012-12-06 2017-05-31 鸿富锦精密工业(深圳)有限公司 身份验证系统及方法
US9133012B2 (en) 2013-11-18 2015-09-15 Wayne Fueling Systems Sweden Ab Systems and methods for fuel dispenser security
US10390289B2 (en) 2014-07-11 2019-08-20 Sensoriant, Inc. Systems and methods for mediating representations allowing control of devices located in an environment having broadcasting devices
US20160012453A1 (en) 2014-07-11 2016-01-14 Shamim A. Naqvi System and Method for Inferring the Intent of a User While Receiving Signals On a Mobile Communication Device From a Broadcasting Device
EP2990981B1 (en) 2014-08-27 2018-04-11 F. Hoffmann-La Roche AG Identification, authentication and authorization method in a laboratory system
US10213139B2 (en) 2015-05-14 2019-02-26 Abbott Diabetes Care Inc. Systems, devices, and methods for assembling an applicator and sensor control device
EP3294134B1 (en) 2015-05-14 2020-07-08 Abbott Diabetes Care Inc. Inserter system for a compact medical device and corresponding method
US10073959B2 (en) 2015-06-19 2018-09-11 International Business Machines Corporation Secure authentication of users of devices using tactile and voice sequencing with feedback
WO2017093597A1 (en) 2015-12-03 2017-06-08 Nokia Technologies Oy Access management
EP3391586B1 (en) * 2015-12-16 2020-12-02 Trilliant Networks, Inc. Method and system for hand held terminal security
CN105610706B (zh) * 2016-03-09 2018-08-17 北京科技大学 一种面向物联网控制系统的智能网关平台
JP6719079B2 (ja) * 2016-05-31 2020-07-08 パナソニックIpマネジメント株式会社 情報機器、データ処理システム、データ処理方法およびコンピュータプログラム
WO2018136898A1 (en) 2017-01-23 2018-07-26 Abbott Diabetes Care Inc. Systems, devices and methods for analyte sensor insertion
FR3073058B1 (fr) * 2017-10-27 2021-04-09 Alstom Transp Tech Procede de controle d'acces a une zone securisee d'un equipement, programme d'ordinateur, support informatique et equipement associes
DE102018005873A1 (de) * 2018-07-25 2020-01-30 Giesecke+Devrient Mobile Security Gmbh Verfahren und System zur zentralisierten Authentifizierung von Unterstützungsdiensten bei einer Karten-Sofortausgabeeinrichtung
EP3734479B1 (en) * 2019-05-02 2022-10-19 ABB Schweiz AG Access control apparatus and method for controlling configuration of automation apparatus
US20220329577A1 (en) * 2021-04-13 2022-10-13 Biosense Webster (Israel) Ltd. Two-Factor Authentication to Authenticate Users in Unconnected Devices

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0723251A3 (en) * 1995-01-20 1998-12-30 Tandem Computers Incorporated Method and apparatus for user and security device authentication
US5987134A (en) * 1996-02-23 1999-11-16 Fuji Xerox Co., Ltd. Device and method for authenticating user's access rights to resources
US6212635B1 (en) * 1997-07-18 2001-04-03 David C. Reardon Network security system allowing access and modification to a security subsystem after initial installation when a master token is in place
DE10056135A1 (de) * 2000-11-07 2002-05-08 Deutsche Telekom Ag Verfahren und Anordnung für ein Rechte-Ticket-System zur Erhöhung der Sicherheit bei der Zugangskontrolle zu Rechnerrecourcen
US20040162996A1 (en) * 2003-02-18 2004-08-19 Nortel Networks Limited Distributed security for industrial networks
EP1503352A1 (en) * 2003-07-31 2005-02-02 Matsushita Electric Industrial Co., Ltd. Portable device, IC module, IC card, and method for using services
EP1844431A1 (en) * 2005-01-21 2007-10-17 Koninklijke Philips Electronics N.V. Ordering content by mobile phone to be played on consumer devices
US9904809B2 (en) * 2006-02-27 2018-02-27 Avago Technologies General Ip (Singapore) Pte. Ltd. Method and system for multi-level security initialization and configuration
US8074271B2 (en) * 2006-08-09 2011-12-06 Assa Abloy Ab Method and apparatus for making a decision on a card

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102546169A (zh) * 2010-10-26 2012-07-04 欧贝特技术公司 控制用户认证保护功能执行的方法和系统尤其对资源访问
CN102546169B (zh) * 2010-10-26 2018-03-27 埃迪米亚法国公司 用于控制被用户认证保护的功能的执行的方法和系统
CN104272645A (zh) * 2012-04-23 2015-01-07 Abb技术有限公司 工业自动化和控制装置用户访问
CN104272645B (zh) * 2012-04-23 2018-09-11 Abb瑞士股份有限公司 用于实现对工业自动化和控制系统iacs的智能电子装置ied的访问的访问使能器ae及其方法
CN103984295A (zh) * 2013-02-12 2014-08-13 西门子公司 用户管理的方法及其用于发电厂系统的发电厂控制系统
CN103984295B (zh) * 2013-02-12 2019-08-06 西门子公司 用户管理的方法及其用于发电厂系统的发电厂控制系统
JP2022126738A (ja) * 2016-08-15 2022-08-30 フィッシャー-ローズマウント システムズ,インコーポレイテッド プロセス制御システムのアクセスセキュリティを提供する装置、システムおよび方法
CN112313585A (zh) * 2018-06-11 2021-02-02 西门子股份公司 控制装置的访问数据的安全管理
US11182495B2 (en) 2018-06-11 2021-11-23 Siemens Aktiengesellschaft Secure management of access data for control devices
CN112313585B (zh) * 2018-06-11 2021-12-03 西门子股份公司 控制装置的访问数据的安全管理

Also Published As

Publication number Publication date
EP2037651A1 (en) 2009-03-18
WO2009034018A1 (en) 2009-03-19
US20100186075A1 (en) 2010-07-22
EP2186298A1 (en) 2010-05-19

Similar Documents

Publication Publication Date Title
CN101803331A (zh) 用于以安全的方式来访问设备的方法和系统
CN101401387B (zh) 用于嵌入式设备的访问控制方法
EP2424185B1 (en) Method and device for challenge-response authentication
CN109286932A (zh) 入网认证方法、装置及系统
US9589397B1 (en) Securing internet of things (IoT) based entrance/exit with multi-factor authentication
CN101222488B (zh) 控制客户端访问网络设备的方法和网络认证服务器
US10489997B2 (en) Local access control system management using domain information updates
US9256723B2 (en) Security key using multi-OTP, security service apparatus, security system
CN103489233A (zh) 一种动态密码的电子门禁系统
CN101816140A (zh) 用于pki个性化过程的基于令牌的管理系统
CN103544746A (zh) 一种动态条码的电子门禁系统
CN104539420B (zh) 一种通用的智能硬件的安全密钥管理方法
CN105099690A (zh) 一种移动云计算环境下基于otp和用户行为的认证授权方法
CN113079215B (zh) 一种基于区块链的配电物联网无线安全接入方法
CN202455386U (zh) 一种用于云存储的安全系统
JP2023527862A (ja) ハードウェアベースの認証を用いた産業用制御システムへの安全なリモートアクセス
CN103401905A (zh) 基于移动智能终端的电网调度移动应用平台系统
CN110098925A (zh) 基于非对称密钥池对和随机数的量子通信服务站密钥协商方法和系统
US20170046890A1 (en) Physical access management using a domain controller
CN106027477A (zh) 一种身份证读取响应方法
Naedele An access control protocol for embedded devices
CN105991649B (zh) 一种读取身份证的调度系统
CN110853186A (zh) 一种蓝牙门禁系统及其开锁方法
CN111385282A (zh) 用于检验风力发电设备的模块的完整性的方法和装置
CN101848228A (zh) 用sim卡认证电脑终端服务器isp身份的方法和系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C12 Rejection of a patent application after its publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20100811