CN107683599A - 用于设备的认证令牌的授权发布的授权装置和方法 - Google Patents
用于设备的认证令牌的授权发布的授权装置和方法 Download PDFInfo
- Publication number
- CN107683599A CN107683599A CN201680033942.7A CN201680033942A CN107683599A CN 107683599 A CN107683599 A CN 107683599A CN 201680033942 A CN201680033942 A CN 201680033942A CN 107683599 A CN107683599 A CN 107683599A
- Authority
- CN
- China
- Prior art keywords
- equipment
- information
- authentication
- request message
- authentication token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种用于设备(20)的认证令牌的授权发布的方法,包括‑通过向授权装置(30)发送请求消息(CSReq)和至少一个认证参数来请求(12)用于所述设备(20)的认证令牌,‑使用所述认证参数验证(13)所述请求消息的真实性,‑通过将在所述授权装置中利用所述请求消息获得的关于所述设备(20)的信息与存储在数据库(38、39)中的用于所述设备(20)的上下文信息进行比较来验证(14)对于所述请求的授权,以及‑在所述真实性的和所述授权的所述验证(13、14)成功时,授权(15)所述请求的认证令牌的所述发布。
Description
本发明与用于设备的认证令牌的授权发布的授权装置和方法相关,所述设备是例如自动化系统的部分。
如今的工业系统包括通过数据网络和在它们之中传递数据互相连接的各种种类的设备。此类工业控制系统或SCADA(监督控制和数据获取)系统越来越多地经由诸如IP(因特网协议)、TCP(传输控制协议)、UDP(用户数据报协议)、HTTP(超文本传递协议)和CoAP(约束应用协议)之类的开放协议通信。在不得不使用附加的安全协议的情况下,这些安全协议通常应用利用认证令牌的密码学(cryptography),所述认证令牌诸如例如具有相应的公钥和私钥的证书、或密码等。
为了获得此类认证令牌,例如证书,设备不得不证明其身份。这可以通过使用例如在用于设备或它的部件的认证令牌的较早建立期间、或生产过程期间、或组装期间安装的先前建立的认证参数,通常是一次性密码或私钥来实现。
认证令牌包含或引用关于设备和/或其部件的认证参数以及身份信息,例如,设备系列号码和/或部件名称,以及可能的其他信息,比如经过发布实体的其有效性时段和数字签名。
指定硬件、软件、人、策略和过程用于所谓的公钥基础设施(PKI)以创建、管理、分发、使用、存储和撤销数字证书并且管理公钥加密。为了指派认证令牌给设备,例如,在安装到公钥基础设施中的工业控制系统之后,设备发送认证令牌请求消息到由证明机构信任的登记机构,或者直接发送认证令牌请求消息到证明机构,所述认证令牌请求通常是证书签名请求。登记机构通常验证设备的身份,例如,通过管理者人工地或者通过验证认证参数来验证设备的身份,所述认证参数可以是由设备发送的一次性密码,或涉及由信任的证明机构发布和签署的预先存在的证书的签名。预先存在的证书包括关于设备本身和/或其部件中的一个的信息,例如诸如系列号码和/或部件ID之类的设备ID、证书的有效性时段和可以被用于验证请求签名的公钥。在设备认证成功时,登记机构将接受该请求消息并且将其进一步传递到证书机构,所述证书机构发布认证令牌。
为了增强工业系统应用的安全性,将仅在某个环境中提供专用设备或其部件中的一个的认证令牌,例如,在控制系统的专用部分处提供。还将在时间上限制设备的认证令牌的提供,例如,到登记和证明机构的通信将仅在给定的时间段期间是可能的。这还将帮助防止设备或其软件部件在预期的控制系统之外是可用的,例如帮助防止例如在被盗之后的设备的滥用。
因此,本申请的目的是提供一种方法和手段来控制并且限制对专用位置、组织域、时间段和应用的设备的(一个或多个)认证令牌的发布。
该目的通过独立权利要求的措施和手段来实现。从属权利要求进一步提供技术方案的有利的实施例。
本发明涉及用于基于上下文信息的用于设备的认证令牌的授权发布的方法和授权装置。
根据本发明的一个实施例,一种用于设备的认证令牌的授权发布的方法,包括如下步骤
-通过向授权装置发送请求消息和至少一个认证参数来请求用于设备的认证令牌,
-使用认证参数验证请求消息的真实性,
-通过将在授权装置中与请求消息一起获得的关于设备的信息与存储在数据库中的用于设备的上下文信息进行比较来验证对于请求的授权,以及
-在真实性的和授权的验证成功时,授权请求的认证令牌的发布。
比较关于设备的信息与用于设备的上下文信息提供了检查在授权装置处接受请求消息之前不得不满足的其他条件的可能性。通过验证利用请求消息提供的至少一个认证参数,确保了消息实际上是由其自称的(pretend to be)设备发送的。仅当两个验证提供肯定的结果时,才将由授权装置本身、或者例如由授权装置通知其发布请求的认证令牌的证明机构来发布请求的认证令牌。利用这些措施,例如,可以将设备的自动注册(automaticenrollment)限制于系统的具体区域或域,或者限制于具体时间间隔和环境,诸如服务过程。例如,诸如服务终端之类的设备可以仅以预定义时间间隔对自动化系统进行访问。这还意味着可以以高概率抵御攻击自动注册过程的黑客,因为他们将不得不满足由上下文信息隐含的所有条件。可以将最少一个认证参数与请求消息一起从设备提供,或可以通过另一方提供它,例如,服务人员发送密码作为认证参数以证明设备的认证。
在方法的实施例中,与请求消息(CSReq)一起获得的并且用于验证请求消息的授权的关于设备(20)的信息是包括在请求消息中的其他信息、在请求消息的接收期间在授权装置中生成的信息、或由另一方发送到授权装置的关于设备的信息中的至少一个。
作为请求消息的一部分接收的其他信息可以是指示不得不将设备安装在其中的自动化系统的域的信息。在请求消息的接收期间在授权装置中生成的信息可以是在授权装置中接收请求消息的时间。由另一方发送的关于设备的信息可以是由服务人员或安装服务器发送的信息。因此可以设置各种条件用于发布认证令牌。
根据方法的另一个实施例,依赖于涉及预安装设备特定的数字证书的私钥生成至少一个认证参数。
通常在设备的安装或制造期间发布设备特定的数字证书,并且所述设备特定的数字证书因此在设备中是已经可用的。因此无需采取附加措施来提供设备特定的认证参数。设备特定的数字证书通常提供其被发布针对的主题,此处,例如设备的系列号码、公钥和数字签名。可以如在标准X.509中指定的那样包括典型的其他信息。认证参数可以是例如通过应用私钥生成的数字签名。在预先存在的设备特定的证书中包括唯一地涉及私钥的公钥,并且在授权装置中已知唯一地涉及私钥的公钥。当装置应用设备的公钥验证了请求消息的数字签名时,肯定地验证认证。
在方法的其他实施例中,认证令牌是数字证书。
这意味着在认证令牌的发布的授权之后设备接收数字证书。通常在与通信伙伴的会话的建立期间使用数字证书来向通信伙伴标识和认证设备。数字证书因此允许设备与任意通信伙伴的通信。
在方法的其他实施例中,存储在数据库中的用于设备的上下文信息是关于设备和/或其部件的标识信息、组织信息、位置信息、时间相关信息、应用信息以及状态信息中的至少一个。
这允许可以被检查的多种条件。例如,标识信息可以是IP地址或IP地址的范围。此处,可以将在传输协议栈的较低层中在标识设备或其部件时传输请求消息的数据分组的IP地址与存储在数据库中的预定义IP地址或IP地址范围比较。组织信息可以是例如设备被指派到的生产单元或客户。位置信息可以是当发送请求消息时设备的地理位置。时间相关信息其是例如允许证书的发布的时间间隔。应用信息可以区分用于不同任务、诸如服务应用或用于维护应用的令牌的提供。如果例如发布了相应的认证令牌,则状态信息可以标识设备或其部件处于例如“操作中”、“维护中”状态。状态信息可以表示设备或其部件处于例如“准备中”、“使用中”、“有故障”、“被替代”或“被盗”。
与请求消息一起获得的并且用于在授权装置中验证请求消息的授权的关于设备的信息可以是与以上描述的上下文信息相同类型的信息。
在方法的其他实施例中,当发布认证令牌时,更新存储在预定义数据库中的用于设备的上下文信息的至少部分。
这允许跟踪和监视设备或其部件的状态。
在方法的其他实施例中,可以由第三方以安全的方式更新存储在预定义数据库中的用于设备的上下文信息的至少部分。
这允许例如通过维护人员、通过监督控制器或其他信任的第三方改变上下文信息。第三方可以是人类人员或控制设备。例如,通过用于第三方的认证和用于针对传输的数据的完整性检查的密码机制以安全的方式提供访问。
根据本发明的第二实施例,提供了一种用于设备的认证令牌的授权发布的授权装置。所述装置包括
-存储单元,其被配置成提供包括用于设备的上下文信息的数据库,
-接口单元,其被配置成接收设备的请求消息和至少一个认证参数,
-第一验证单元,其被配置成使用认证参数来验证请求消息的真实性,
-第二验证单元,其被配置成通过将与请求消息一起获得的关于设备的信息与存储在数据库中的用于设备的上下文信息进行比较来验证请求的授权,以及
-授权单元,其被配置成如果第一和第二验证单元指示肯定的结果,则授权请求的认证令牌的发布。
授权装置不仅验证设备本身(as such),而且还验证由预定义数据库中的上下文信息设置的其他前置条件。因此,仅如果由预定义数据库的内容隐含的前置条件满足,则授权装置才接受并且转发请求消息。这允许如果未满足预定义的条件则防止设备的使用或应用。
在发明的装置的其他实施例中,存储单元被配置成当发布认证令牌时被更新。
这允许监视并且跟踪例如在不同的应用中的例如设备的状态。预定义数据库指示例如何时发布或授权认证令牌和/或针对哪个应用发布令牌。
在其他实施例中,发明的装置包括附加的接口,其被配置成提供用于第三方的对存储单元的安全访问以更新预定义数据库。
附加的接口可以被配置成提供安全协议,比如传输层安全协议(TLS),其提供对于通过该接口提供的数据的授权和完整性检查。
在附加的实施例中,发明的装置包括发布单元,其被配置成发布用于设备的请求的认证令牌。
在该情况中,授权装置不仅授权认证令牌的发布,而且还发布认证令牌。这服从(comply with)组合的登记和证明机构,如从公钥基础设施PKI知道的那样。
在本发明的附加的实施例中,是具有可编程代码装置的计算机程序,当在可编程计算机和/或数字信号处理器上执行程序时,其执行以上描述的所有方法步骤。
本发明的附加的实施例提供了具有电可读的控制信号的数字存储介质,其以可以执行描述的方法的所有步骤的方式与可编程计算机和/或数字信号处理器交互。
通过结合附图参考以下描述,可以更好地理解以上描述的本发明的优势连同其他优势。图不一定按比例,代之以重点通常在于说明本发明的原理。
图1是发明的方法的实施例的流程图;
图2示出了在设备和授权装置之间的发明的方法的实施例的消息流;以及
图3示出了根据本发明构造的授权装置的实施例的框图。
在图中,相同的参考字符通常贯穿不同的视图和图指代相同部分。
图1示出了发明的方法的实施例的流程图。可以由设备应用所述方法,所述设备是例如工业自动化系统的现场设备或例如具有SCADA功能的发电系统的控制器。设备例如经由诸如IP、TCP、UDP、http和CoAP之类的开放协议通信。为了使该通信安全,使用附加的安全协议,比如例如传输层安全(TLS)或其他自动化系统特定的安全协议,其通常应用使用私钥和公钥的不对称密码功能。
在初始状态10中,设备获得或生成设备特定的初始认证参数,例如一次性密码或涉及设备公钥的私钥,其在设备的制造或组装或配置期间实现。当将设备部署到系统中时,其已经是可用的,其中各种设备经由通信网络彼此通信。
在可能被重复任何次数的步骤11中,设备可以从其已经现有的(一个或多个)认证参数导出任何数量的其他认证参数,其他认证参数可以是特定于设备或特定于它的任何部件。对于这些认证参数中的任何认证参数,设备可以通过任何安全装置获得相关的认证令牌,例如数字证书。如前所述,该令牌包括身份信息,例如设备的系列号码和/或部件ID、认证参数或对其的引用和可选的其他信息,比如经过发布实体的有效性时段和数字签名。
在步骤12中,设备通过向授权装置发送请求消息来请求初始的、更新的或附加的认证令牌,所述请求消息利用任何有效的(一个或多个)认证参数并且可能包括相关的(一个或多个)认证令牌和/或关于设备的其他信息。
在第一验证步骤13中,在授权装置处,通过检查提供的(一个或多个)认证参数和可能的相关的(一个或多个)认证令牌来验证设备的身份和其请求的真实性。
在第二验证步骤14中,将关于设备的信息与存储在预定义数据库中的用于设备的上下文信息进行比较。预定义数据库是可由授权装置访问的。可以将预定义数据库包括在授权装置中或者可以将其定位在外部服务器或存储单元中。在两个验证步骤成功时,接受请求消息,这意味着授权请求的认证令牌的发布,参见步骤15。如果在步骤15中对请求消息进行授权,则例如通过证明机构发布认证令牌,并且将认证令牌发送回到设备。所述方法这样结束在状态16中。
在图2中,针对请求新的认证令牌、即新的数字证书的典型的情况,在设备20和授权装置30之间示出了相应的消息流程。设备20例如以涉及部件证书21的私钥的形式包含认证参数,包括诸如系列号码IDxn之类的设备和/或其部件的标识符以及用于该部件证书的通常发布机构的数字签名和设备特定的公钥。授权装置30包括预定义数据库38,所述预定义数据库38包括用于设备20的上下文信息。
设备20请求发布新的认证令牌,此处是证书,用于之后要在与系统中的通信伙伴的通信中使用的设备。因此设备发送请求消息CSReq,请求消息CSReq包括将针对其发布证书的公钥Kpub和其他信息,比如例如设备的系列号码的标识符IDxn,其可以是部件证书的部分。比如设备或部件的IP地址IPxn的其他信息可以是请求消息CSReq的部分。可以与请求消息CSReq一起提供可选的其他信息,比如关于设备在其中安装的域的信息Wx。请求消息进一步包括使用之前建立的任何认证参数生成的数字签名,所述认证参数例如涉及设备证书的私钥,并且可选地还包括例如设备证书本身。
在授权装置30中的请求消息CSReq的接收时,通过提供的数字签名检查设备身份以及请求消息的真实性和完整性,参见图1中的步骤13。作为第二步骤14,现在还有通过将关于设备的信息和可能的其他信息,比如接收时间,与存储在预定义数据库38中的用于设备的上下文信息进行比较来检查对于请求认证令牌的授权。预先不得不提供预定义数据库38,例如通过委托(commission)用于自动化系统或系统的域的信息。在准备阶段中,组装代理发送具有设备标识符IDxn的列表,所述设备标识符IDxn将被安装例如在风力发电厂(windpark)X中以中央管理。在中央管理处,生成预定义数据库38。预定义数据库38现在包括所有设备标识符IDxn以及附加的信息,例如,关于指派给要被安装在风力发电厂X中的设备的IP地址IPx1至IPxn的范围。指派给设备id IDnx并且存储在预定义数据库38中的其他信息可以是时间段,在其中允许设备请求令牌,或可以是关于允许请求认证令牌的设备的部件的信息。关于设备的其他信息是例如关于设备或用于设备的真实性令牌指派的状态信息。
仅如果第二验证14也是成功的,则授权装置30才授权请求消息CSReq被接受并且被转发到用于发布请求的证书的发布机构。在图2中,假设示出的授权装置30还包括证明机构。授权装置30将请求消息传递到发布请求的证书的单独的部件也是可能的。
作为结果将证书响应消息CSRes发送回到设备20,证书响应消息CSRes包括请求的认证令牌,在该情况中是证书。现在使用该认证令牌并且将该认证令牌在设备20中存储为证书22。
授权装置30通常通过更新预定义的数据库、例如通过改变状态信息来通知请求消息CSReq的授权或令牌的发布。这导致了更新的数据库39。更新的数据库39可以包括其他改变的参数。在该修改的数据库39中,例如,设备的状态现在从“无令牌”改变成“令牌发布”。还可以包括更多专用信息,例如,指派给设备的IP地址,其将是来自用于设备的预定义IP地址范围的IP地址中的一个。
在数据库中还可以包括关于应用或使用情况的信息,比如“维护”或“正常操作”。例如,当使设备停止服务时,可以将使用情况设置成“维护中”或状态可以是“禁用”。
图3示出了通过任何种类的有线或无线通信网络42与设备20连接的授权装置30。授权装置30包括接口单元31,其提供到设备20的接口。授权装置30进一步包括存储单元32,其被配置成提供数据库38、39。授权装置30进一步包括第一验证单元31,其被配置成验证设备和其请求消息是真实的。第二验证单元34被配置成通过将关于设备的信息和可能的其他信息与存储在数据库38、39中的用于设备的上下文信息进行比较来检查其授权。
授权装置30还包括授权单元35,其被配置成如果第一和第二验证单元两者都指示肯定的结果,则授权请求的认证令牌的发布。可以通过将请求消息经由外部连接41传递到发布令牌并且将其发送到设备20的外部实体来执行授权。授权装置30还可以包含发布单元37,其发布请求的认证令牌。此处,将认证令牌从授权装置30传输到设备20。
授权装置30还可以包括附加的接口36,其被配置成提供用于信任的第三方的对存储单元32的安全访问。经由该接口36,第三方、比如操作人员或监视或监督控制器可以访问存储单元32以提供预定义的数据库或修改数据库或删除它。该接口可以支持密码算法以执行访问第三方的认证和提供措施以保证传递的数据的完整性。在授权请求消息并且根据验证的结果更新数据库38之后,还可以访问和改变存储单元32并且尤其是数据库32,参见图2中的数据库39。
已经提供本发明的各种实施例的前述描述用于说明和描述的目的。不旨在是穷尽或将本发明限制到公开的精确形式。根据以上教导,许多修改和变化是可能的。因此,意图在于本发明的范围不以该详细的描述限制,而是根据所附的权利要求书来确定。
Claims (13)
1.用于设备(20)的认证令牌的授权发布的方法,包括
-通过向授权装置(30)发送请求消息(CSReq)和至少一个认证参数来请求(12)用于所述设备(20)的认证令牌,
-使用所述认证参数验证(13)所述请求消息的真实性,
-通过将在所述授权装置中与所述请求消息一起获得的关于所述设备(20)的信息与存储在数据库(38、39)中的用于所述设备(20)的上下文信息进行比较来验证(14)对于所述请求的授权,以及
-在所述真实性的和所述授权的所述验证(13、14)成功时,授权(15)请求的认证令牌的发布。
2.根据前述权利要求之一所述的方法,其中依赖于涉及所述设备(20)的预安装的数字证书的私钥生成所述至少一个认证参数。
3.根据前述权利要求之一所述的方法,其中所述请求的认证令牌是数字证书。
4.根据前述权利要求之一所述的方法,其中用于所述设备(20)的上下文信息是所述设备的标识信息、组织信息、位置信息、时间相关信息、应用信息和/或状态信息中的至少一个。
5.根据前述权利要求之一所述的方法,其中当发布所述认证令牌时,更新存储在所述数据库中用于所述设备(20)的上下文信息的至少部分。
6.根据前述权利要求之一所述的方法,其中可以由第三方以安全的方式更新存储在所述数据库(38、39)中的用于所述设备(20)的上下文信息。
7. 根据前述权利要求之一所述的方法,其中与所述请求消息(CSReq)一起获得的并且用于验证所述请求消息的所述授权的关于所述设备(20)的信息是包括在所述请求消息中的其他信息、在所述请求消息的接收期间在所述授权装置中生成的信息、或由另一方向所述授权装置发送的关于所述设备的信息中的至少一个。
8.用于设备的认证令牌(Certop)的授权发布的授权装置(30),包括
-存储单元(32),其被配置成提供包括用于设备(20)的上下文信息的数据库(38、39),
-接口单元(31),其被配置成接收所述设备的请求消息和至少一个认证参数,
-第一验证单元(33),其被配置成使用所述认证参数来验证所述请求消息的真实性,
-第二验证单元(34),其被配置成通过将与所述请求消息一起获得的关于所述设备(20)的信息与存储在数据库(38、39)中的用于所述设备(20)的上下文信息进行比较来验证所述请求的授权,以及
-授权单元(35),其被配置成如果所述第一(33)和所述第二验证单元(34)指示肯定的结果,则授权请求的认证令牌的发布。
9.根据权利要求8的所述的装置,其中保持在所述存储单元(32)中的所述数据库被配置成当发布所述认证令牌时被更新。
10.根据权利要求8或9所述的装置,包括附加的接口单元(36),其被配置成提供用于第三方的对所述存储单元(32)的安全访问以更新所述数据库(38、39)。
11.根据权利要求8至10之一所述的装置,包括发布单元(37),其被配置成发布用于所述设备(20)的所述请求的认证令牌。
12.具有程序代码装置的计算机程序,当在可编程计算机和/或数字信号处理器上执行程序时,其执行权利要求1至7中的任何权利要求的所有方法步骤。
13.具有电可读的控制信号的数字存储介质,其以可以执行根据权利要求1至7中的任何权利要求所述的方法的所有步骤的方式与可编程计算机和/或数字信号处理器交互。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102015210718.3 | 2015-06-11 | ||
| DE102015210718 | 2015-06-11 | ||
| PCT/EP2016/061073 WO2016198241A1 (en) | 2015-06-11 | 2016-05-18 | Authorization apparatus and method for an authorized issuing of an authentication token for a device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107683599A true CN107683599A (zh) | 2018-02-09 |
Family
ID=56008647
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680033942.7A Pending CN107683599A (zh) | 2015-06-11 | 2016-05-18 | 用于设备的认证令牌的授权发布的授权装置和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10511587B2 (zh) |
| EP (1) | EP3308516B1 (zh) |
| CN (1) | CN107683599A (zh) |
| ES (1) | ES2791956T3 (zh) |
| WO (1) | WO2016198241A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111814131A (zh) * | 2020-06-15 | 2020-10-23 | 北京天空卫士网络安全技术有限公司 | 一种设备注册和配置管理的方法和装置 |
| CN112385198A (zh) * | 2018-07-12 | 2021-02-19 | 西门子交通有限责任公司 | 用于为第一设备设立授权证明的方法 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106549919B (zh) * | 2015-09-21 | 2021-01-22 | 创新先进技术有限公司 | 一种信息注册、认证方法及装置 |
| US10326746B1 (en) * | 2016-12-20 | 2019-06-18 | Amazon Technologies, Inc. | Access key retrieval service for clients |
| US10915899B2 (en) * | 2017-03-17 | 2021-02-09 | Visa International Service Association | Replacing token on a multi-token user device |
| US10819696B2 (en) * | 2017-07-13 | 2020-10-27 | Microsoft Technology Licensing, Llc | Key attestation statement generation providing device anonymity |
| US11032252B2 (en) * | 2018-01-03 | 2021-06-08 | Syccure, Inc. | Distributed authentication between network nodes |
| US11134071B2 (en) * | 2018-04-23 | 2021-09-28 | Oracle International Corporation | Data exchange during multi factor authentication |
| CN109040285B (zh) * | 2018-08-24 | 2023-06-20 | 北京汽车集团有限公司 | 车载网络安全认证的方法、装置、存储介质及车辆 |
| CN114785523B (zh) * | 2019-04-28 | 2024-07-30 | 华为技术有限公司 | 网络功能服务的身份校验方法及相关装置 |
| WO2021071918A1 (en) * | 2019-10-08 | 2021-04-15 | Lg Electronics, Inc. | Balancing privacy and efficiency for revocation in vehicular public key infrastructures |
| WO2021155494A1 (en) * | 2020-02-04 | 2021-08-12 | Qualcomm Incorporated | Certificate based application descriptors for network slice selection |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020069361A1 (en) * | 2000-08-31 | 2002-06-06 | Hideaki Watanabe | Public key certificate using system, public key certificate using method, information processing apparatus, and program providing medium |
| EP2120392A1 (en) * | 2007-02-07 | 2009-11-18 | Nippon Telegraph and Telephone Corporation | Certificate authenticating method, certificate issuing device, and authentication device |
| CN103632078A (zh) * | 2013-12-03 | 2014-03-12 | 广东数字证书认证中心有限公司 | 硬证书生成方法和系统、证书存储设备 |
| CN104348626A (zh) * | 2014-10-31 | 2015-02-11 | 北京奇虎科技有限公司 | 一种数字证书申请方法和邮件客户端 |
| US20150143472A1 (en) * | 2012-05-30 | 2015-05-21 | Modacom Co., Ltd. | Method for establishing resource access authorization in m2m communication |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NL1018494C2 (nl) | 2001-07-09 | 2003-01-10 | Koninkl Kpn Nv | Methode en systeem voor het door een dienstproces aan een client leveren van een dienst. |
| US7769690B2 (en) * | 2001-11-06 | 2010-08-03 | International Business Machines Corporation | Method and system for the supply of data, transactions and electronic voting |
| JP4617763B2 (ja) * | 2003-09-03 | 2011-01-26 | ソニー株式会社 | 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム |
| WO2005031545A1 (de) * | 2003-09-30 | 2005-04-07 | Siemens Aktiengesellschaft | Einräumung eines zugriffs auf ein computerbasiertes objekt |
| US7711957B2 (en) * | 2003-09-30 | 2010-05-04 | Siemens Aktiengesellschaft | Granting access to a computer-based object |
| US8214635B2 (en) * | 2006-11-28 | 2012-07-03 | Cisco Technology, Inc. | Transparent proxy of encrypted sessions |
| JP5132222B2 (ja) * | 2007-08-13 | 2013-01-30 | 株式会社東芝 | クライアント装置、サーバ装置及びプログラム |
| DE102009036179A1 (de) | 2009-08-05 | 2011-02-10 | Siemens Aktiengesellschaft | Verfahren zur Ausstellung eines digitalen Zertifikats durch eine Zertifizierungsstelle, Anordnung zur Durchführung des Verfahrens und Rechnersystem einer Zertifizierungsstelle |
| DE102010033231B4 (de) * | 2010-08-03 | 2013-08-22 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zur manipulationssicheren Bereitstellung eines Schlüssel-Zertifikates |
| EP2575316A1 (en) | 2011-09-30 | 2013-04-03 | British Telecommunications Public Limited Company | Controlled access |
| US9094212B2 (en) * | 2011-10-04 | 2015-07-28 | Microsoft Technology Licensing, Llc | Multi-server authentication token data exchange |
| US8925055B2 (en) * | 2011-12-07 | 2014-12-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Device using secure processing zone to establish trust for digital rights management |
| US10834094B2 (en) * | 2013-08-06 | 2020-11-10 | Bedrock Automation Platforms Inc. | Operator action authentication in an industrial control system |
| WO2014165431A1 (en) * | 2013-04-05 | 2014-10-09 | Antique Books, Inc. | Method and system providing a picture password proof of knowledge |
| WO2015047555A1 (en) * | 2013-09-28 | 2015-04-02 | Elias Athanasopoulos | Methods, systems, and media for authenticating users using multiple services |
| US20150281225A1 (en) * | 2014-03-27 | 2015-10-01 | Microsoft Corporation | Techniques to operate a service with machine generated authentication tokens |
| US9485255B1 (en) * | 2015-03-26 | 2016-11-01 | EMC IP Holding Company, LLC | Authentication using remote device locking |
| US9838387B2 (en) * | 2015-04-28 | 2017-12-05 | Management Systems Resources Inc. | Security token with embedded data |
-
2016
- 2016-05-18 US US15/579,364 patent/US10511587B2/en active Active
- 2016-05-18 WO PCT/EP2016/061073 patent/WO2016198241A1/en unknown
- 2016-05-18 CN CN201680033942.7A patent/CN107683599A/zh active Pending
- 2016-05-18 EP EP16723126.5A patent/EP3308516B1/en active Active
- 2016-05-18 ES ES16723126T patent/ES2791956T3/es active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020069361A1 (en) * | 2000-08-31 | 2002-06-06 | Hideaki Watanabe | Public key certificate using system, public key certificate using method, information processing apparatus, and program providing medium |
| EP2120392A1 (en) * | 2007-02-07 | 2009-11-18 | Nippon Telegraph and Telephone Corporation | Certificate authenticating method, certificate issuing device, and authentication device |
| US20150143472A1 (en) * | 2012-05-30 | 2015-05-21 | Modacom Co., Ltd. | Method for establishing resource access authorization in m2m communication |
| CN103632078A (zh) * | 2013-12-03 | 2014-03-12 | 广东数字证书认证中心有限公司 | 硬证书生成方法和系统、证书存储设备 |
| CN104348626A (zh) * | 2014-10-31 | 2015-02-11 | 北京奇虎科技有限公司 | 一种数字证书申请方法和邮件客户端 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112385198A (zh) * | 2018-07-12 | 2021-02-19 | 西门子交通有限责任公司 | 用于为第一设备设立授权证明的方法 |
| CN112385198B (zh) * | 2018-07-12 | 2024-05-28 | 西门子交通有限责任公司 | 用于为第一设备设立授权证明的方法 |
| CN111814131A (zh) * | 2020-06-15 | 2020-10-23 | 北京天空卫士网络安全技术有限公司 | 一种设备注册和配置管理的方法和装置 |
| CN111814131B (zh) * | 2020-06-15 | 2024-03-08 | 北京天空卫士网络安全技术有限公司 | 一种设备注册和配置管理的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016198241A1 (en) | 2016-12-15 |
| ES2791956T3 (es) | 2020-11-06 |
| US10511587B2 (en) | 2019-12-17 |
| US20180359241A1 (en) | 2018-12-13 |
| EP3308516B1 (en) | 2020-04-22 |
| EP3308516A1 (en) | 2018-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107683599A (zh) | 用于设备的认证令牌的授权发布的授权装置和方法 | |
| US9832026B2 (en) | System and method from Internet of Things (IoT) security and management | |
| US9716595B1 (en) | System and method for internet of things (IOT) security and management | |
| CN112311735B (zh) | 可信认证方法,网络设备、系统及存储介质 | |
| CN107210919B (zh) | 在设备与装置之间建立信任的方法 | |
| US9577823B2 (en) | Rule-based validity of cryptographic key material | |
| CA2953148C (en) | System, method and apparatus for providing enrollment of devices in a network | |
| US9531533B2 (en) | Rule-based validity of cryptographic key material | |
| US9686244B2 (en) | Rule-based validity of cryptographic key material | |
| EP3326321B1 (en) | Method and apparatus for providing secure communication among constrained devices | |
| EP3433791B1 (en) | System and method for internet of things (iot) security and management | |
| US20160057134A1 (en) | Updating of a Digital Device Certificate of an Automation Device | |
| CN101262342A (zh) | 分布式授权与验证方法、装置及系统 | |
| US20210304544A1 (en) | Electronic voting system and method based on homogeneous cryptography | |
| CN103098414A (zh) | 用于基于证书进行认证的方法 | |
| CN103888257A (zh) | 一种基于tpcm的网络摄像机身份认证方法 | |
| CN113647080B (zh) | 以密码保护的方式提供数字证书 | |
| CN111800270B (zh) | 一种证书签名方法、装置、存储介质及计算机设备 | |
| Das et al. | Design of a trust-based authentication scheme for blockchain-enabled iov system | |
| US11831789B2 (en) | Systems and methods of managing a certificate associated with a component located at a remote location | |
| CN2912122Y (zh) | 一种网络安全认证授权系统 | |
| JP2020135199A (ja) | 機器制御システム及び機器制御方法 | |
| JP7508818B2 (ja) | 機器制御システム及び機器制御方法 | |
| CN117397208A (zh) | 将新组件集成到网络中的方法、注册器组件和设施 | |
| EP3167591B1 (en) | System, method and apparatus for providing enrollment of devices in a network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180209 |
|
| WD01 | Invention patent application deemed withdrawn after publication |