CN105659646A - 移动设备验证 - Google Patents
移动设备验证 Download PDFInfo
- Publication number
- CN105659646A CN105659646A CN201480058352.0A CN201480058352A CN105659646A CN 105659646 A CN105659646 A CN 105659646A CN 201480058352 A CN201480058352 A CN 201480058352A CN 105659646 A CN105659646 A CN 105659646A
- Authority
- CN
- China
- Prior art keywords
- mobile equipment
- access
- control system
- server
- described mobile
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000013475 authorization Methods 0.000 claims abstract description 47
- 238000012545 processing Methods 0.000 claims abstract description 10
- 238000000034 method Methods 0.000 claims description 57
- 230000008569 process Effects 0.000 claims description 29
- 238000004590 computer program Methods 0.000 claims description 19
- 230000000694 effects Effects 0.000 claims description 6
- 238000007689 inspection Methods 0.000 claims description 6
- 238000012423 maintenance Methods 0.000 claims description 6
- 238000001514 detection method Methods 0.000 claims description 5
- 238000010200 validation analysis Methods 0.000 claims description 3
- 230000001737 promoting effect Effects 0.000 claims description 2
- 230000009471 action Effects 0.000 description 16
- 238000004891 communication Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 10
- 241001269238 Data Species 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 239000000567 combustion gas Substances 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000001994 activation Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000002485 combustion reaction Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 239000000446 fuel Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000011017 operating method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/021—Services related to particular areas, e.g. point of interest [POI] services, venue services or geofences
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0423—Input/output
- G05B19/0425—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/23—Pc programming
- G05B2219/23067—Control, human or man machine interface, interactive, HMI, MMI
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/36—Nc in input of data, input key till input tape
- G05B2219/36133—MMI, HMI: man machine interface, communication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/77—Graphical identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本发明的一个方面是用于移动设备验证的系统。该系统包括面向公众服务器,其配置成与移动设备接口连接。系统还包括安全服务器,其配置成与面向公众服务器和授权站接口连接。授权站包括处理电路,其配置成建立对移动设备的授权限制并且生成与该授权限制关联的验证密钥。处理电路进一步配置成向安全服务器提供验证密钥和移动设备的标识符,并且生成授权代码,其包括验证密钥的编码版本和面向公众服务器的地址。处理电路还配置成向移动设备提供授权代码来建立对移动设备的验证以如受授权限制约束地从控制系统网络接收数据。
Description
技术领域
本文公开的主题涉及计算机系统安全,并且更特定地涉及移动设备验证。
背景技术
在允许计算机设备(例如移动设备)连接到安全计算环境时维护计算机安全很关键。包含敏感信息或系统的安全计算环境必须限制对未经授权或不信任设备的访问。使设备连接到安全计算环境的用户可不必完全访问安全计算环境的所有资源。基于用户特定访问权限提供对连接设备的有限访问可使用安全协议来进行。安全协议可以提供广泛的访问约束但典型地对特定访问权限未提供细粒度控制或不支持设备特定约束。未能正确管理安全计算环境与连接设备之间的连接可能导致潜在安全漏洞,其具有损害安全计算环境的完整性的风险。
发明内容
本发明的一个方面是用于移动设备验证的系统。该系统包括面向公众服务器,其配置成与移动设备接口连接。系统还包括安全服务器,其配置成经由周边网络与面向公众服务器接口连接。授权站配置成经由控制系统网络与安全服务器接口连接。该授权站包括处理电路,其配置成建立对移动设备的授权限制并且生成与该授权限制关联的验证密钥。处理电路进一步配置成向安全服务器提供验证密钥和移动设备的标识符,并且生成授权代码,其包括验证密钥的编码版本和面向公众服务器的地址。处理电路还配置成向移动设备提供授权代码来建立对移动设备的验证以如受授权限制约束地从控制系统网络接收数据。
本发明的另一个方面是用于移动设备验证的方法。该方法包括由授权站的处理电路建立对移动设备的授权限制。该授权站经由控制系统网络与安全服务器接口连接。该安全服务器经由周边网络与面向公众服务器接口连接,并且面向公众服务器与移动设备接口连接。处理电路生成与授权限制关联的验证密钥。将验证密钥和移动设备的标识符提供给安全服务器。生成授权代码,其包括验证密钥的编码版本和面向公众服务器的地址。将授权代码提供给移动设备来建立对移动设备的验证以如受授权限制约束地从控制系统网络接收数据。
本发明的另一个方面是用于移动设备验证的计算机程序产品。该计算机程序产品包括非暂时性计算机可读介质,其存储指令用于促使处理电路实现方法。该方法包括建立对移动设备的授权限制,并且生成与授权限制关联的验证密钥。将验证密钥和移动设备的标识符提供给安全服务器。生成授权代码,其包括验证密钥的编码版本和面向公众服务器的地址。将授权代码提供给移动设备来建立对移动设备的验证以如受授权限制约束地从控制系统网络接收数据。
这些和其他优势和特征将从与图结合来看的下列描述变得更加明显。
附图说明
特别指出视作本发明的主题并且其在说明书结尾处的权利要求中清楚地要求保护。本发明的前述和其他特征和优势通过下面与附图结合来看的详细描述而显而易见,其中:
图1描绘安全计算环境的示范性实施例;
图2描绘计算系统的示范性实施例;
图3描绘授权站的用户界面的示例;
图4描绘基于位点的访问撤消的示例;
图5描绘根据示范性实施例用于提供移动设备验证的过程;以及
图6描绘根据示范性实施例用于提供移动设备验证并且检索数据的示例序列图。
通过示例参照图,详细的描述解释本发明的实施例连同优势和特征。
具体实施方式
图1图示用于访问、控制和监测许多控制系统资产的示范性控制系统环境100。为了说明目的,本文描述电厂。控制系统环境100是安全计算环境的示例。将意识到本文描述的系统和方法可以应用于任意类型的环境,其包括与必须验证的一个或多个移动设备接口连接的周边网络,即无戒备区(DMZ)。
在图1的示例中,授权站102经由控制系统网络114与控制系统105(其包括多个控制子系统104)接口连接。控制系统105还可以包括操作、监测和维持控制子系统104所需要的任意数据或应用。控制子系统104中的每个通过传感器108和致动器110的组合来控制工厂(plant)106。术语“工厂”一般用于描述被控制的设备、机器或子系统。每个工厂106本身可以是系统,其包括许多子系统。例如,工厂106可包括燃气涡轮机(未描绘),其中传感器108和致动器110分布在燃气涡轮机的发电机子系统、进入子系统、压缩机子系统、燃料子系统和燃烧子系统之间。备选地,每个工厂106可以是工业控制系统中任意类型的机器。控制子系统104可在多级层级配置成跨多个子系统或目标特定设备执行操作。
授权站102可充当对于控制子系统104的控制系统接口并且授权其他设备(例如移动设备122)以从控制系统网络114接收数据。授权站102经由控制系统网络114与安全服务器112接口连接。安全服务器112将从控制系统网络114检索数据限制在来自授权和验证用户和设备的请求上。安全服务器112可以包括规则引擎115并且也与存储系统118接口连接。该存储系统118可以包括固定或可移动介质,并且可对安全服务器112可访问或与之集成。安全服务器112经由周边网络113与面向公众服务器116通信。面向公众服务器116也可以通过公众网络120与一个或多个移动设备122通信。在示范性实施例中,公众网络120包括一个或多个无线链路。移动设备122可分别包括多点触摸显示器124,其实现基于触屏的导航并且在授权和验证移动设备122后访问控制系统环境100内的元素。
公众网络120与周边网络113和控制系统网络114隔离来对控制系统环境100中的控制和数据访问操作维持高安全级别。面向公众服务器116可以经由单向通信向安全服务器112发送请求并且使用单向通信利用不同协议从安全服务器112接收响应和结果。对于移动设备验证的定制请求和响应以及移动设备122的特定数据需求可以在安全服务器112与面向公众服务器116之间使用的协议中定义。数据请求命令和响应经法规遵从审查并且可具有由周边网络113的协议所施加的限制。
授权站经由显示器驱动器128而与一个或多个显示器126本地接口连接。显示器126可以是大形状系数显示器,即非移动设备显示器,并且可配置成接收基于触摸的输入。例如,显示器126可以垂直或水平安装到支承结构或在支承结构(例如触敏电脑桌表面)内集成。显示器驱动器128产生多种交互式用户界面来支持对控制子系统140的访问、控制、监测和故障排除。
人机界面(HMI)130可以在授权站102上或在控制系统环境100内的别的地方实现来提供对控制子系统104的控制和监测。授权站102还包括移动设备验证应用132。该移动设备验证应用132建立对移动设备122的授权限制。对于移动设备122的每个用户和设备组合,移动设备验证应用132生成具有关联授权限制的验证密钥133并且将验证密钥133和对于移动设备122中的每个的标识符提供给安全服务器112。
验证密钥133和标识符可以作为授权数据134存储在存储系统118中。授权限制可以限制移动设备122对与控制子系统104关联的控制系统数据136的访问以及对HMI130的功能和控制系统环境100中的其他数据的访问。控制系统数据136可存储在存储系统118上或控制系统环境100中的别的地方并且经由控制系统网络114而可访问。移动设备验证应用132可以生成授权代码,其包括验证密钥133的编码版本和面向公众服务器116的地址。将授权代码经由面向公众服务器116提供给移动设备122的对应实例来建立验证以如受授权限制约束地从控制系统网络114接收数据。
验证密钥133可以使用任意已知加密技术来格式化。尽管在图1中描绘验证密钥133的单个实例,验证密钥133可以格式化为公开/私有密钥集或本领域内已知的其他密钥格式。
移动设备验证应用132可以对规则引擎115配置规则来确定对移动设备122中的每个应何时修改或撤销访问。用户和设备标识符对可以用不同的许可级别配置以经由控制系统网络114查看、访问和修改控制系统环境100内的元素和特征。例如,在特定移动设备122上用户可仅被获准读取某些参数而被阻止改变控制子系统104的参数的状态。规则引擎115可以监测用户设备的访问尝试来监测不寻常活动,例如反复尝试访问控制系统数据136的未经授权部分。规则引擎115还可以监测控制系统数据136内的特定信号的状态来确定是否检测到对移动设备122的授权应被撤销这一事件,例如由移动设备122发起的命令引起的失效或故障。
尽管许多特征描绘为控制系统环境100和授权站102的部分,将理解在各种实施例的范围内可以添加或去除各种模块。
图2图示可以实现为图1的授权站102的计算系统200的示范性实施例。本文描述的方法可以在软件(例如,固件)、硬件或其组合中实现。在示范性实施例中,本文描述的方法在软件中实现为一个或多个可执行程序,并且由专用或通用数字计算机(例如个人计算机、移动设备、工作站、小型计算机或可操作地耦合于显示器或与之集成的大型计算机)执行。系统200因此包括与至少一个显示器126接口连接的处理系统201。
在示范性实施例中,从如在图2中示出的硬件架构方面来看,处理系统201包括处理电路205、耦合于存储器控制器215的存储器210以及经由输入/输出控制器235通信耦合的一个或多个输入和/或输出(I/O)设备240、245(或外设)。输入/输出控制器235可以是但不限于是一个或多个总线或其他有线或无线连接,如本领域内已知的。输入/输出控制器235可具有例如控制器、缓冲器(高速缓存)、驱动器、中继器和接收器等额外元件(为了简单起见被省略)来实现通信。此外,输入/输出控制器235可包括地址、控制和/或数据连接以在前面提到的部件之中实现适当通信。处理系统201可以进一步包括显示器控制器225,其耦合于显示器126。显示器控制器225可根据图1的显示器驱动器128驱使输出在显示器126上渲染。
处理电路205是用于执行软件、特别是存储在存储器210中的软件的硬件。处理电路205可以包括任意定制或市售处理器、中央处理单元(CPU)、与处理系统201关联的若干处理器之中的辅助处理器、基于半导体的微处理器(采用微芯片或芯片集的形式)、宏处理器或大体上用于执行软件指令的任意设备。
存储器210可以包括易失性存储器元件(例如,随机存取存储器(RAM,例如DRAM、SRAM、SDRAM等))和非易失性存储器元件(例如,ROM、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪速存储器、存储卡、可编程只读存储器(PROM)、带、压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、盘、软盘、暗盒、盒式磁带或类似物等)中的任一个或组合。此外,存储器210可包含电子、磁、光和/或其他类型的存储介质。存储器210可以具有分布式架构,其中各种部件位于远离彼此的地方但可以被处理电路205访问。
存储器210中的软件可以包括一个或多个独立程序,其中的每个包括用于实现逻辑功能的可执行指令的有序列表。在图2的示例中,存储器210中的软件包括图1的HMI130和移动设备验证应用132、适合的操作系统(OS)211以及各种其他应用212。OS211基本上控制计算机程序(例如如本文描述的各种模块)的执行,并且提供调度、输入-输出控制、文件和数据管理、存储器管理、通信控制和相关服务。OS211、HMI130、移动设备验证应用132、其他应用212或其组合可以提供各种用户界面。
HMI130和移动设备验证应用132可以采用源程序、可执行程序(目标代码)、脚本或任意其他实体(其包括要执行的指令集)的形式实现。当采用源程序时,则程序可经由编译器、汇编程序、解释器或类似物(可包括或可未包括在存储器210内)翻译,以便连同OS211一起正确操作。此外,HMI130和移动设备验证应用132可以采用面向对象的编程语言(其具有数据和方法类)或过程编程语言(其具有例程、子例程和/或函数)来编写。
在示范性实施例中,输入/输出控制器235从输入设备接收输入或从显示器126接收基于触摸的输入以在体现为配置成接收两个或以上基于触摸的输入的多点触摸显示器时检测触摸、手势和/或移动。其他输入设备可以包括键盘、鼠标、触摸板及类似物。
例如I/O设备240、245等其他输出设备可包括输入或输出设备,例如但不限于打印机、扫描仪、麦克风、扬声器、辅助显示器及类似物。I/O设备240、245可进一步包括既传达输入又传达输出的设备,例如但不限于例如网络接口卡(NIC)或调制器/解调器(用于访问其他文件、设备、系统或网络)的无线接口、射频(RF)或其他收发器、红外通信、蓝牙、电话接口、网桥、路由器、移动设备、便携式存储器存储设备及类似物。移动设备122可以通过使输入/输出控制器235接口连接到移动设备122的通信接口265而表现为I/O设备。例如,输入/输出控制器235和通信接口265可以通过使用任何无线格式的通信链路280通信以将授权代码236从授权站102传达到移动设备122。无线链路280的无线格式可以是不牵涉线的任意形式的通信,例如Wi-Fi、红外、近场通信、听觉信号、RF、蓝牙及类似物。作为另外的备选,例如通用串行总线(USB)电缆(未描绘)等有线链路可以用于将来自授权站102的授权代码236提供给移动设备122。
在示范性实施例中,系统200可以进一步包括网络接口250,用于耦合于控制系统网络114。控制系统网络114可以是基于互联网协议(IP)的网络,用于处理系统201与其他服务器、处理系统、存储系统及类似物之间经由宽带连接的通信。作为一个示例,控制系统网络114在处理系统201和图1的安全服务器112之间传送和接收数据。控制系统网络114可采用光、有线和/或无线的方式实现,例如使用例如WiFi、WiMax等无线协议和技术。控制系统网络114也可以是分组交换网络或其他相似类型的网络环境。控制系统网络114可以是固定无线网络、无线局域网(LAN)、无线广域网(WAN)、个人区域网(PAN)、虚拟专用网(VPN)、内联网或其他适合的网络系统并且包括用于安全接收和传送信号的设备。
如果处理系统201是PC、工作站、智能设备或类似物,存储器210中的软件可进一步包括基本输入输出系统(BIOS)(为了简单起见被省略)。BIOS是在启动时使硬件初始化并且测试硬件、起动OS211和支持在硬件设备之中传输数据的必要软件例程集。BIOS存储在ROM中使得在激活处理系统201时可以执行BIOS。
当处理系统201在操作中时,处理电路205配置成执行存储在存储器210内的软件来将数据传达到存储器210以及从存储器210传达数据并且大体上依照软件来控制处理系统201的操作。HMI130、移动设备验证应用132、OS211和应用212全部或部分(但典型地是后者)被处理电路205读取,或许在处理电路205内缓冲并且然后被执行。
当本文描述的系统和方法在软件中实现(如在图2中示出的)时,方法可以存储在任意计算机可读介质(例如本地数据存储系统218)上,以供任意计算机相关系统或方法使用或连同其一起使用。
图2还描绘图1的移动设备122中的一个的示例,该移动设备122可以包括通信接口265、拍摄装置接口270、全球定位系统(GPS)275、验证密钥133、验证应用285、移动HMI290和耦合于拍摄装置接口270的拍摄装置295。由移动设备验证应用132生成的授权代码236可以通过以下中的一个或多个提供给移动设备122:无线链路280和例如在显示器126上显示的视觉指示。当授权代码236是视觉指示(例如条形码、快速响应(QR)代码或移动设备122的拍摄装置295可检测的其他图像类型)时,授权代码236可在显示器126上持续预定时间量地显示或在显示器126上显示直到被授权站102的操作员手动关闭。验证应用285解释授权代码236来提取验证密钥133并且用图1的面向公众服务器116的地址来存储它。验证应用285还解释授权代码236来配置对移动HMI290的访问和协议选项。
尽管图2的示例描绘无线链路280和拍摄装置295两者用于获取授权代码236,实施例可以省略这些中的任一个。例如,授权代码236可仅通过显示器126上的视觉指示或仅经由无线链路280提供。输入/输出控制器235与通信接口265之间的有线链路备选地可以再次用于提供授权代码236。
图3描绘用户界面300的示例,该用户界面300交互地在图1的授权站102的显示器126上显示。图1的移动设备验证应用132可以提供移动设备验证界面302来建立对图1的移动设备122的授权限制304。移动设备122的标识符306可以与对于被授权验证的移动设备122中的每个的对应用户标识符308一起被分配。访问控制列表310可以用于在图1的控制系统网络114上分配对于许多资源的访问限制。对组合在一起作为工作(job)312的许多资源可存在预定义限制。可分配工作312来约束对以下中的一个或多个的读/写访问:对工厂概要数据的访问、对设备维护数据的访问、对工厂文件的访问、对图1的控制系统数据136的控制系统设置点的特定集的访问、改变控制系统设置点中的至少一个的能力以及对维护日志的访问。
例如规定对特定日志或日志组314的读/写访问等其他特征可以是独立可配置的。额外或个别选项316可以作为授权的部分而分配(其包括撤销授权的规则),例如以供图1的规则引擎115使用。时间限制318可对有效的授权建立最大时间量。授权限制304可受到以下中的一个或多个的约束:超时期、图1的移动设备122的物理位点、检测的不寻常活动以及对保持有效的消息的本地访问。在建立授权限制304时,可以选择授权按钮320来触发图1的与授权限制304关联的验证密钥133的生成。验证密钥133和移动设备122的标识符提供给图1的安全服务器112并且存储在授权数据134中。生成图2的授权代码236并且它包括图1的验证密钥133的编码版本和图1的面向公众服务器116的地址。图2的授权代码236还可对图2的验证应用285和移动HMI290的选项和访问信息编码。
图4描绘根据实施例的基于位点的访问撤销的示例。面向公众服务器116配置成从移动设备122(例如移动设备122a)接收请求、进行请求的初始验证检查、基于确定请求通过请求的初始验证检查经由周边网络113将请求转发到安全服务器112以及使来自安全服务器112的数据返回移动设备122a。安全服务器112配置成从面向公众服务器116接收请求、进行请求的最后验证检查、访问控制系统网络114来检索数据以及使数据返回面向公众服务器116。安全服务器112可以应用图3的授权限制304来确保写请求和请求的返回数据可以被移动设备122a访问。公众网络120可包括无线接口400,其具有对每个授权移动设备(例如图4的移动设备122a和122b)建立的无线链路402a和402b。
从控制系统网络114接收数据的授权可以受到移动设备122a和122b的物理位点的限制。在图4的示例中,移动设备122a在位点404a处并且移动设备122b在位点404b处。可以定义周边406,在这里越过周边406的移动设备122失去授权。例如,图2的GPS275可以用于确定移动设备122a是否越过周边406。尽管图4的周边406表现为圆形,可以对周边406定义其他形状(包括不规则形状)。
无线接口400还可在图4的无线链路402a和402b上传播保持活跃的消息,其中移动设备122a和122b必须在超时窗口内做出响应或失去授权。每个保持活跃的消息可以使用图1的与移动设备122中的每个关联的验证密钥133来加密并且可包含移动设备122必须在可配置超时期内发回的代码。移动设备122接收保持活跃的消息,只要它们在无线接口400的范围(其可以与周边406不同)内即可。保持活跃的消息使移动设备122被其他设备的欺骗复杂化并且防止移动设备122被去除、窃取和恶意使用。
撤销的其他可能触发包括图1的控制系统数据136的值以及移动设备122的请求历史。规则引擎115采用的规则例如可在图1的控制子系统104中的一个的信号上的“高-高”警报后自动锁定移动设备122。使对于撤销的多个选项组合进一步提高安全性。
图5描绘根据示范性实施例对于移动设备验证的过程500。参考图1-5描述该过程500。过程500在框502处开始并且转变到框504。在框504处,建立对移动设备122的授权限制304。授权限制304可以包括例如以下中的一个或多个:对工厂概要数据的访问、对设备维护数据的访问、对工厂文件的访问、对控制系统设置点的特定集的访问、改变控制系统数据136中的控制系统设置点中的至少一个的能力以及对维护日志的访问。授权限制304可进一步受到以下中的一个或多个的约束:超时期、移动设备122的物理位点、检测的不寻常活动以及对保持活跃的消息的本地访问。
在框506处,生成与授权限制304关联的验证密钥133。在框508处,将移动设备122的验证密钥133和标识符306提供给安全服务器112。在框510处,生成授权代码236,其包括验证密钥133的编码版本和面向公众服务器116的地址。
在框512处,将授权代码236提供给移动设备122来对移动设备122建立验证以如受授权限制304约束地从控制系统网络114接收数据。授权代码236可由以下中的一个或多个提供给移动设备122:无线链路280和显示器126上的视觉指示。显示器126上的视觉指示可以是以下中的一个或多个:条形码、QR代码或移动设备122的拍摄装置295可检测的其他图像。过程500在框514处结束。
安全服务器112可进一步配置成基于以下中的一个或多个来撤销对移动设备122的访问:超时期到期、设备识别失败、用户账户验证失败、访问区域、访问角色和控制系统状态。在对移动设备122的标识符306和用户标识符308独立定义授权限制304的情况下,应用授权限制304的最具限制性的版本。访问区域可以是特定物理位点。访问角色可以区分各种角色,例如维护操作员、测试操作员、正常操作员及类似物。控制系统状态可指示控制子系统104是否在正常操作、测试操作、维护操作及类似物中使用。授权站102可以进一步配置成对规则引擎115建立规则以基于以下中的一个或多个撤销对移动设备122的访问:控制系统数据136和移动设备122的请求历史。
在图6中描绘用于提供移动设备验证并且检索数据的示例序列图602。为了解释目的,图6的示例对图2的授权代码236使用QR代码;然而,序列不限于QR代码的使用。在动作604,授权站的工厂操作员打开图1的移动设备验证应用132。在动作606,授权站102的工厂操作员选择授权选项来建立图3的授权限制304。在动作608,移动设备122的用户打开移动应用,例如图2的验证应用285。在动作610,授权站102将QR代码显示为图2的授权代码236。在动作612,移动设备122的用户在具有QR代码的显示器处指向图2的拍摄装置295。在动作614,移动设备122读取QR代码并且提取设定和图1的验证密钥133。在动作616,移动设备122使用该设定和验证密钥133来联系面向公众服务器116以请求数据。在动作618,面向公众服务器116对数据进行请求的首次通过验证。在首次通过验证时,在动作620,面向公众服务器116通过周边网络113请求来自安全服务器112的数据。在动作622,安全服务器112进行请求的最后验证并且将对数据的请求传递到控制系统105以经由图1的控制系统网络114检索数据。在动作624,安全服务器112通过周边网络113使数据返回面向公众服务器116。在动作626,面向公众服务器116使数据返回移动设备122。
在示范性实施例中,技术效果是在安全计算环境(例如控制系统环境)中提供移动设备验证。验证可以通过多级系统进行来使安全计算环境的部分与未经授权的访问尝试隔离。授权限制和多个撤销规则进一步提高安全性并且降低与丢失或被盗的授权设备关联的风险。利用授权代码对访问限制编码可以使授权设备快速配置成提出适当访问请求并且在与安全计算环境接口连接时应用正确的协议。
如将由本领域内技术人员意识到的,本发明的方面可体现为系统、方法或计算机程序产品。因此,各方面可采取完全硬件实施例、完全软件实施例(其包括固件、常驻软件、微代码等)或结合软件和硬件方面的实施例(其在本文中可大体上全部称为“电路”、“模块”或“系统”)的形式。此外,方面可采取包含在一个或多个计算机可读介质(其具有包含在其上的计算机可读程序代码)中的计算机程序产品的形式。
可利用一个或多个计算机可读介质(其包括计算机可读存储介质)的任何组合。计算机可读存储介质可例如但不限于是电子、磁、光、电磁、红外或半导体系统、装置或设备,或前述的任何适合的组合。计算机可读存储介质的更特定的示例(非详尽的列表)将包括以下:具有一个或多个线的电连接、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪速存储器)、光纤、便携式压缩盘只读存储器(CD-ROM)、光存储设备、磁存储设备或前述的任何适合的组合。在该文件的上下文中,计算机可读存储介质可以是任何有形的介质,其可以包含程序或存储程序以供指令执行系统、装置或设备使用或连同指令执行系统、装置或设备一起使用。
包含在计算机可读介质上、作为非暂时性计算机程序产品的程序代码可使用任何适当的介质传送,其包括但不限于无线、有线、光纤电缆、RF等,或前述的任何适合的组合。
用于实施本发明的方面的操作的计算机程序代码可采用一个或多个编程语言的任何组合编写。程序代码可作为独立软件包全部在用户计算机上执行、部分在用户计算机上执行,部分在用户计算机且部分在远程计算机上或全部在远程计算机或服务器上执行。在后一个情况中,远程计算机可通过任何类型的网络(其包括局域网(LAN)或广域网(WAN))连接到用户计算机,或可连接到外部计算机(例如,通过使用互联网服务提供商的互联网)。
参考根据实施例的方法、装置(系统)和计算机程序产品的流程图说明和/或框图来描述各方面。将理解流程图说明和/或框图的每个框以及流程图说明和/或框图中的框的组合可以由计算机程序指令实现。这些计算机程序指令可提供给通用计算机、专用计算机的处理器或其他可编程数据处理装置来产生机器,使得经由计算机的处理器或其他可编程数据处理装置执行的指令创建用于实现流程图和/或框图的框或多个框中规定的功能/动作的工具。
这些计算机程序指令还可存储在计算机可读介质(其可以指示计算机、其他可编程数据处理装置或其他设备以特定方式起作用)中,使得存储在计算机可读介质中的指令产生制造物品,其包括实现流程图和/或框图的框或多个框中规定的功能/动作的指令。
计算机程序指令还可装载到计算机、其他可编程数据处理装置或其他设备上以使一系列运行步骤在计算机、其他可编程装置或其他设备上进行来产生计算机实现的过程使得在计算机或其他可编程装置上执行的指令提供用于实现流程图和/或框图的框或多个框中规定的功能/动作的过程。
图中的流程图和框图图示根据各种实施例的系统、方法和计算机程序产品的可能实现的架构、功能性和操作。在该方面,流程图或框图中的每个框可代表模块、段或代码部分,其包括用于实现规定的逻辑功能的一个或多个可执行指令。还应该注意,在一些备选实现中,框中标注的功能可脱离图中标注的顺序而发生。例如,接连示出的两个框实际上可大致上被同时执行,或这些框有时可以相反顺序执行,这取决于牵涉的功能性。还将要注意,框图和/或流程图说明中的每个框以及框图和/或流程图说明中的多个框的组合,可以由执行规定功能或动作的专用的基于硬件的系统或专用硬件和计算机指令的组合实现。
在示范性实施例中,在图1的授权站102在硬件中实现的情况下,本文描述的方法可以用下列技术的任何或组合实现,这些技术各自在本领域内是众所周知的:具有逻辑门以用于对数据信号实现逻辑功能的离散逻辑电路、具有适当组合逻辑门的专用集成电路(ASIC)、可编程门阵列(PGA)、现场可编程门阵列(FPGA)等。
尽管仅连同有限数量的实施例详细描述本发明,应容易理解本发明不限于这样的公开实施例。相反,修改可以包含此前未描述的许多变化、改动、替代或等同设置,但其与本发明的精神和范围相当。另外,尽管描述了本发明的各种实施例,要理解方面可仅包括描述的实施例中的一些。因此,本发明不视为由前面的描述限制,而仅由附上的权利要求的范围限制。
Claims (20)
1.一种用于移动设备验证的系统,所述系统包括:
面向公众服务器,其配置成与移动设备接口连接;
安全服务器,其配置成经由周边网络与所述面向公众服务器接口连接;以及
授权站,其配置成经由控制系统网络与所述安全服务器接口连接,所述授权站包括处理电路,其配置成:
建立对所述移动设备的授权限制;
生成与所述授权限制关联的验证密钥;
向所述安全服务器提供所述验证密钥和所述移动设备的标识符;
生成授权代码,其包括所述验证密钥的编码版本和所述面向公众服务器的地址;以及
向所述移动设备提供所述授权代码来建立对所述移动设备的验证以如受到所述授权限制约束地从控制系统网络接收数据。
2.如权利要求1所述的系统,其中所述面向公众服务器进一步配置成:从所述移动设备接收请求;进行所述请求的初始验证检查;基于确定所述请求通过所述请求的初始验证检查而将所述请求转发到所述安全服务器;以及使所述数据返回所述移动设备。
3.如权利要求2所述的系统,其中所述安全服务器进一步配置成:从所述面向公众服务器接收所述请求;进行所述请求的最后验证检查;访问所述控制系统网络来检索所述数据;以及使所述数据返回所述面向公众服务器。
4.如权利要求1所述的系统,其中所述授权代码通过以下中的一个或多个提供给所述移动设备:无线链路和所述移动设备的拍摄装置可检测的视觉指示。
5.如权利要求1所述的系统,其中所述授权限制包括以下中的一个或多个:对工厂概要数据的访问、对设备维护数据的访问、对工厂文件的访问、对控制系统设置点的特定集的访问、改变所述控制系统设置点中的至少一个的能力以及对维护日志的访问。
6.如权利要求1所述的系统,其中所述授权限制进一步受到以下中的一个或多个的约束:超时期、所述移动设备的物理位点、检测的不寻常活动和对保持活跃的消息的本地访问。
7.如权利要求1所述的系统,其中所述安全服务器进一步配置成基于以下中的一个或多个撤销对所述移动设备的访问:超时期到期、设备识别失败、用户账户验证失败、访问区域、访问角色和控制系统状态。
8.如权利要求1所述的系统,其中所述安全服务器进一步包括规则引擎,并且所述授权站的处理电路进一步配置成对所述规则引擎建立规则以基于以下中的一个或多个来撤销对所述移动设备的访问:控制系统数据和所述移动设备的请求历史。
9.一种用于移动设备验证的方法,所述方法包括:
由授权站的处理电路建立对移动设备的授权限制,其中所述授权站经由控制系统网络与安全服务器接口连接,所述安全服务器经由周边网络与面向公众服务器接口连接,并且所述面向公众服务器与所述移动设备接口连接;
由所述处理电路生成与所述授权限制关联的验证密钥;
将所述验证密钥和所述移动设备的标识符提供给所述安全服务器;
生成授权代码,其包括所述验证密钥的编码版本和所述面向公众服务器的地址;以及
将所述授权代码提供给所述移动设备来建立对所述移动设备的验证以如受到所述授权限制约束地从控制系统网络接收数据。
10.如权利要求9所述的方法,其进一步包括:
在所述面向公众服务器处接收来自所述移动设备的请求;
进行所述请求的初始验证检查;
基于确定所述请求通过所述请求的初始验证检查来将所述请求转发到所述安全服务器;
由所述安全服务器进行所述请求的最后验证检查;
访问所述控制系统网络来检索所述数据;
使所述数据从所述安全服务器返回所述面向公众服务器;以及
使所述数据从所述面向公众服务器返回所述移动设备。
11.如权利要求9所述的方法,其中所述授权代码通过以下中的一个或多个提供给所述移动设备:无线链路和所述移动设备的拍摄装置可检测的视觉指示。
12.如权利要求9所述的方法,其中所述授权限制包括以下中的一个或多个:对工厂概要数据的访问、对设备维护数据的访问、对工厂文件的访问、对控制系统设置点的特定集的访问、改变所述控制系统设置点中的至少一个的能力以及对维护日志的访问。
13.如权利要求9所述的方法,其中所述授权限制进一步受到以下中的一个或多个的约束:超时期、所述移动设备的物理位点、检测的不寻常活动和对保持活跃的消息的本地访问。
14.如权利要求9所述的方法,其进一步包括:
基于以下中的一个或多个撤销对所述移动设备的访问:超时期到期、设备识别失败、用户账户验证失败、访问区域、访问角色和控制系统状态。
15.如权利要求9所述的方法,其中所述安全服务器进一步包括规则引擎,并且所述方法进一步包括对所述规则引擎建立规则以基于以下中的一个或多个来撤销对所述移动设备的访问:控制系统数据和所述移动设备的请求历史。
16.一种用于移动设备验证的计算机程序产品,所述计算机程序产品包括非暂时性计算机可读介质,其存储指令用于促使处理电路实现方法,所述方法包括:
建立对移动设备的授权限制;
生成与所述授权限制关联的验证密钥;
将所述验证密钥和所述移动设备的标识符提供给安全服务器;
生成授权代码,其包括所述验证密钥的编码版本和面向公众服务器的地址;以及
将所述授权代码提供给所述移动设备来建立对所述移动设备的验证以如受到所述授权限制约束地从控制系统网络接收数据。
17.如权利要求16所述的计算机程序产品,其中所述授权代码通过以下中的一个或多个提供给所述移动设备:无线链路和所述移动设备的拍摄装置可检测的视觉指示。
18.如权利要求16所述的计算机程序产品,其中所述授权限制包括以下中的一个或多个:对工厂概要数据的访问、对设备维护数据的访问、对工厂文件的访问、对控制系统设置点的特定集的访问、改变所述控制系统设置点中的至少一个的能力以及对维护日志的访问。
19.如权利要求16所述的计算机程序产品,其中所述授权限制进一步受到以下中的一个或多个的约束:超时期、所述移动设备的物理位点、检测的不寻常活动和对保持活跃的消息的本地访问。
20.如权利要求16所述的计算机程序产品,其中所述安全服务器进一步包括规则引擎,并且所述方法进一步包括对所述规则引擎建立规则以基于以下中的一个或多个来撤销对所述移动设备的访问:超时期、设备验证失败、用户账户验证失败、访问区域、访问角色、控制系统状态、控制系统数据和所述移动设备的请求历史。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/974099 | 2013-08-23 | ||
US13/974,099 US9560523B2 (en) | 2013-08-23 | 2013-08-23 | Mobile device authentication |
PCT/US2014/052023 WO2015027027A1 (en) | 2013-08-23 | 2014-08-21 | Mobile device authentication |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105659646A true CN105659646A (zh) | 2016-06-08 |
CN105659646B CN105659646B (zh) | 2020-01-17 |
Family
ID=51688390
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201480058352.0A Active CN105659646B (zh) | 2013-08-23 | 2014-08-21 | 移动设备验证 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9560523B2 (zh) |
EP (1) | EP3036928B1 (zh) |
CN (1) | CN105659646B (zh) |
WO (1) | WO2015027027A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112596491A (zh) * | 2019-10-02 | 2021-04-02 | 霍尼韦尔国际公司 | 用于基于外围设备分类来定义针对外围设备的授权规则的方法和装置 |
CN113820969A (zh) * | 2020-06-19 | 2021-12-21 | 罗克韦尔自动化技术公司 | 用于计量的自动化控制器功能的系统和方法 |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102013220865A1 (de) * | 2013-10-15 | 2015-04-16 | Trumpf Werkzeugmaschinen Gmbh + Co. Kg | Verfahren und System zum Fernbedienen einer Werkzeugmaschine mittels eines mobilen Kommunikationsgeräts |
JP6569087B2 (ja) * | 2014-05-29 | 2019-09-04 | パナソニックIpマネジメント株式会社 | 受信装置および受信方法 |
US11073805B2 (en) * | 2014-11-21 | 2021-07-27 | Fisher-Rosemount Systems, Inc. | Process plant network with secured external access |
EP3048776B2 (en) * | 2015-01-22 | 2021-03-17 | Nxp B.V. | Methods for managing content, computer program products and secure element |
US10623950B2 (en) * | 2015-06-23 | 2020-04-14 | Signify Holding B.V. | System for protecting location information |
US20170012991A1 (en) * | 2015-07-08 | 2017-01-12 | Honeywell International Inc. | Method and system for wirelessly communicating with process machinery using a remote electronic device |
US9900162B2 (en) | 2015-11-11 | 2018-02-20 | At&T Mobility Ii Llc | System and method for wireless network management |
CN106502117A (zh) * | 2016-12-12 | 2017-03-15 | 杭州知加网络科技有限公司 | 一种方便的智能家居系统 |
SE542688C2 (en) * | 2017-07-17 | 2020-06-23 | Beijer Electronics Ab | Configuring an industrial automation system for internet-of-things accessibility |
EP3824611A1 (en) * | 2018-07-19 | 2021-05-26 | Maersk Container Industry A/S | Secure remote access to a reefer control system |
CN118245996B (zh) * | 2024-05-23 | 2024-08-16 | 青岛盈智科技有限公司 | 一种四向穿梭车身份认证方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1737719A (zh) * | 2004-07-29 | 2006-02-22 | 洛克威尔自动控制技术股份有限公司 | 用于工业自动化系统的安全系统与方法 |
CN1811635A (zh) * | 2004-09-28 | 2006-08-02 | 洛克威尔自动控制技术股份有限公司 | 用于传统自动化系统的基于代理的集中管理安全性 |
CN1894644A (zh) * | 2003-10-16 | 2007-01-10 | 沃达方控股有限责任公司 | 用于保护和监控受保护的数据的设备和方法 |
US20080082646A1 (en) * | 2006-10-03 | 2008-04-03 | Research In Motion Limited | Access Control System And Method For Wireless Application Provisioning |
US20130219479A1 (en) * | 2012-02-17 | 2013-08-22 | Daniel B. DeSoto | Login Using QR Code |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7716721B2 (en) * | 2005-10-18 | 2010-05-11 | Cisco Technology, Inc. | Method and apparatus for re-authentication of a computing device using cached state |
US7421352B2 (en) * | 2006-04-10 | 2008-09-02 | Square D Company | Network-enabled electrical power equipment with integrated content management system |
US8215541B2 (en) | 2008-12-30 | 2012-07-10 | Dell Products, L.P. | Automated proximity-related network authorization |
US20120020297A1 (en) * | 2010-07-23 | 2012-01-26 | Albert Cecchini | Mobile handheld for voice communication over the internet |
US9236879B2 (en) * | 2011-02-18 | 2016-01-12 | National University Corporation Shizuoka University | A/D converter, image sensor device, and method of generating digital signal from analog signal |
US8405729B2 (en) | 2011-05-11 | 2013-03-26 | Sony Corporation | System and method for pairing hand-held devices utilizing a front-facing camera |
US20130233916A1 (en) * | 2011-07-25 | 2013-09-12 | Minh-Duc Tran | Method and system for data management using qr codes |
US20130031261A1 (en) | 2011-07-29 | 2013-01-31 | Bradley Neal Suggs | Pairing a device based on a visual code |
US8844001B2 (en) * | 2011-10-14 | 2014-09-23 | Verizon Patent And Licensing Inc. | IP-based mobile device authentication for content delivery |
US20140173695A1 (en) * | 2012-12-18 | 2014-06-19 | Google Inc. | Token based account access |
US9124582B2 (en) * | 2013-02-20 | 2015-09-01 | Fmr Llc | Mobile security fob |
US9130929B2 (en) * | 2013-03-15 | 2015-09-08 | Aol Inc. | Systems and methods for using imaging to authenticate online users |
-
2013
- 2013-08-23 US US13/974,099 patent/US9560523B2/en active Active
-
2014
- 2014-08-21 CN CN201480058352.0A patent/CN105659646B/zh active Active
- 2014-08-21 WO PCT/US2014/052023 patent/WO2015027027A1/en active Application Filing
- 2014-08-21 EP EP14781970.0A patent/EP3036928B1/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1894644A (zh) * | 2003-10-16 | 2007-01-10 | 沃达方控股有限责任公司 | 用于保护和监控受保护的数据的设备和方法 |
CN1737719A (zh) * | 2004-07-29 | 2006-02-22 | 洛克威尔自动控制技术股份有限公司 | 用于工业自动化系统的安全系统与方法 |
CN1811635A (zh) * | 2004-09-28 | 2006-08-02 | 洛克威尔自动控制技术股份有限公司 | 用于传统自动化系统的基于代理的集中管理安全性 |
US20080082646A1 (en) * | 2006-10-03 | 2008-04-03 | Research In Motion Limited | Access Control System And Method For Wireless Application Provisioning |
US20130219479A1 (en) * | 2012-02-17 | 2013-08-22 | Daniel B. DeSoto | Login Using QR Code |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112596491A (zh) * | 2019-10-02 | 2021-04-02 | 霍尼韦尔国际公司 | 用于基于外围设备分类来定义针对外围设备的授权规则的方法和装置 |
CN113820969A (zh) * | 2020-06-19 | 2021-12-21 | 罗克韦尔自动化技术公司 | 用于计量的自动化控制器功能的系统和方法 |
CN113820969B (zh) * | 2020-06-19 | 2024-02-09 | 罗克韦尔自动化技术公司 | 用于计量的自动化控制器功能的系统和方法 |
Also Published As
Publication number | Publication date |
---|---|
US9560523B2 (en) | 2017-01-31 |
WO2015027027A1 (en) | 2015-02-26 |
CN105659646B (zh) | 2020-01-17 |
EP3036928B1 (en) | 2018-11-07 |
US20150058947A1 (en) | 2015-02-26 |
EP3036928A1 (en) | 2016-06-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105659646A (zh) | 移动设备验证 | |
US8997187B2 (en) | Delegating authorization to applications on a client device in a networked environment | |
KR102540090B1 (ko) | 전자 장치 및 그의 전자 키 관리 방법 | |
US9563755B2 (en) | NFC triggered two factor protected parental controls | |
KR20160027889A (ko) | 간호 정보 보호를 위한 간호 제공자 단말,방법 및 컴퓨터로 읽을 수 있는 기록 매체 | |
CN104468113A (zh) | 用户凭证的分布 | |
CN107077574A (zh) | 用于客户端设备的信任服务 | |
CN105339949A (zh) | 用于管理对医学数据的访问的系统 | |
US20120117380A1 (en) | Method for Granting Authorization to Access a Computer-Based Object in an Automation System, Computer Program, and Automation System | |
CN104247329A (zh) | 请求云服务的装置的安全补救 | |
US20190163931A1 (en) | Devices, systems, and methods for securely storing and managing sensitive information | |
US12063513B2 (en) | Secure trusted service manager provider | |
US20140109194A1 (en) | Authentication Delegation | |
JP7288045B2 (ja) | 改良されたデータ制御及びアクセスの方法及びシステム | |
US20160286034A1 (en) | Leveraging mobile devices to enforce restricted area security | |
TR201807814T4 (tr) | Kendi kendini doğrulama cihazı ve yöntemi. | |
JP7080982B2 (ja) | 医療システムにおける医療装置の動作を制御する方法および医療システム | |
CN113724424A (zh) | 用于设备的控制方法和装置 | |
CN110263008A (zh) | 终端离线日志管理系统、方法、设备及存储介质 | |
KR101681457B1 (ko) | 금융 이체를 위한 2채널 인증 시스템 및 그 방법 | |
US20230385418A1 (en) | Information processing device, information processing method, program, mobile terminal, and information processing system | |
KR101308152B1 (ko) | 스마트 기기를 통한 모바일 오티피 장치의 등록 방법 | |
JP6571624B2 (ja) | 装置管理システム、管理対象装置、装置管理サーバ、制御方法、及び制御プログラム | |
JP6750260B2 (ja) | 情報処理装置およびエージェントシステム | |
US11979404B2 (en) | Information providing method, information providing system, and server |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20231227 Address after: Swiss Baden Patentee after: GENERAL ELECTRIC CO. LTD. Address before: New York State, USA Patentee before: General Electric Co. |
|
TR01 | Transfer of patent right |