CN107735998B - 用于网络组件访问数据网的网络仪器和方法 - Google Patents
用于网络组件访问数据网的网络仪器和方法 Download PDFInfo
- Publication number
- CN107735998B CN107735998B CN201680035875.2A CN201680035875A CN107735998B CN 107735998 B CN107735998 B CN 107735998B CN 201680035875 A CN201680035875 A CN 201680035875A CN 107735998 B CN107735998 B CN 107735998B
- Authority
- CN
- China
- Prior art keywords
- network
- data
- access
- authentication
- access point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络仪器,所述网络仪器包括:两个接口(1,2),用于连接到数据网(DN)的访问保护的接入点和网络组件(NC)上,所述网络仪器应能够实现经由接入点(AP)访问数据网(DN)。网络仪器(ND)构成为,使得所述网络仪器在连接接入点(AP)和连接网络组件(NC)时借助认证数据(CER)在接入点(AP)处认证,并且在成功认证的情况下允许所连接的网络组件(NC)中的至少如下这样的网络组件(NC)经由接入点(AP)访问数据网(DN),所述网络组件满足一个或多个预先确定的准则。
Description
技术领域
本发明涉及用于网络组件访问数据网的一种网络仪器以及一种方法。
背景技术
用于数据网的接入点通常借助于适当的方法进行接入保护。例如将标准IEEE802.1X用于所述接入保护。在此,网络组件仅在如下情况下访问数据网:所述网络组件成功地在访问保护的接入点处借助相应的认证数据认证。通常,作为认证数据使用数字证书,诸如与数据网的运营商相关联的运营商证书。
在将新的网络组件在数据网中集成时,通常出现如下问题,认证数据或相应的运营商证书还未保存在网络组件上,因为必须首先在数据网中请求证书。然而,对此需要新的网络组件接入数据网。因此,认证数据要么必须事先保存在新的网络组件上,要么必须改变数据网的配置,以便能够实现新的网络组件接入数据网。因此,在数据网中集成新的网络组件是耗费的。
发明内容
因此,本发明的目的是,实现用于网络组件访问数据网的网络仪器和方法,借助所述仪器和方法能够以简单的方式在数据网中集成新的网络组件。
所述目的通过独立权利要求实现。本发明的改进方案在从属权利要求中限定。
根据本发明的优选便携式的网络仪器包括两个接口,用于连接到数据网的访问保护的接入点和网络组件上,所述网络仪器应能够实现经由接入点访问数据网。每个接口能够专用地被设置用于或者连接到接入点上或者连接到网络组件上。然而,必要时也能够在两个接口上连接接入点和网络组件,其中在该情况下网络仪器识别出,接入点或网络组件处于哪个接口上。优选地,接入点或网络组件到相应的接口的连接以有线的方式进行。
根据本发明的网络仪器构成为,使得所述网络仪器在连接接入点和连接网络组件的情况下在接入点处借助认证数据认证,并且在成功认证的情况下允许所连接的网络组件中的至少如下这样的(连接的)网络组件访问数据网,所述网络组件满足一个或多个预先确定的准则。在一个变型形式中,在成功认证之后能够允许每个任意的网络组件的访问。然而,优选地,仅允许具有确定特性的网络组件访问数据网,其中所述特性经由预先确定的准则确定。
本发明具有如下优点:通过在访问保护的接入点和要集成的网络组件之间中间连接根据本发明的网络仪器,能够以简单的方式实现网络组件访问数据网,以便例如请求用于数据网的认证数据,所述认证数据还未保存在网络组件上。在获得认证数据之后,网络组件然后能够在去除网络仪器的条件下直接与访问保护的接入点连接,并且在数据网上经由认证数据认证。由此,实现在数据网中简单地集成新的网络组件。
本发明的优选的应用情况是访问自动化系统的通信网形式的数据网。换言之,网络仪器的接口被设立用于连接到自动化系统的通信网形式的数据网的接入点上,并且用于连接到要在自动化系统中集成的仪器和优选现场仪器的形式的网络组件上。自动化系统能够是自动化设施,尤其用于生产自动化或过程自动化的自动化设施。同样地,自动化系统例如能够是交通自动化系统,尤其用于轨道交通的交通自动化系统,或者是建筑物自动化系统或能量自动化系统。
在一个尤其优选的实施方式中,网络仪器被设立用于与层2接入点通信。术语层2在此涉及OSI参考模型的相应的层。接入点因此是用于LAN或WLAN网的接入点。优选地,网络仪器在此构造成,使得所述网络仪器基于标准IEEE 802.1X在接入点处认证。所述标准本身是已知的,并且能够实现仪器在相应的接入点处的接入控制。
在一个尤其优选的实施方式中,网络仪器构成为,使得所述网络仪器允许连接的网络组件受限地访问数据网。由此,提高方法的安全性。优选地,受限的访问限制于在登记服务器中用于接入点的认证数据的请求。替代地或附加地,受限的访问限制于访问数据网的一个或多个预先确定的子网。例如,能够仅允许访问确定的逻辑VLAN。
在上面描述的实施方式的一个尤其优选的变型形式中,网络仪器构成为,使得受限的访问经由在网络仪器中的数据传输的过滤和/或在网络仪器中的数据传输的隧道来实现。在这种情况下,能够使用用于过滤或隧道的已知的技术。
在另一优选的变型形式中,用于认证网络仪器的认证数据包括第一数字证书,其中第一数字证书优选是数据网的运营商的证书。
用于网络仪器的认证数据在本发明的一个变型形式中在网络仪器投入运行时存储在其上。换言之,认证数据能够在网络仪器投入运行之前已经保存在其上,或所述认证数据能够在投入运行时立即存储在其上。替代地或附加地,网络仪器也能够构成为,使得所述网络仪器(在其投入运行之后)利用连接的网络组件的识别数据产生认证数据。该变型形式具有的优点是,在认证的范围中也考虑连接的网络组件,并且由此例如能够拒绝针对确定的网络组件的认证。
在根据本发明的网络仪器的另一变型形式中,在网络仪器中保存以下信息,所述信息确定,网络仪器允许哪些连接的网络组件经由接入点访问数据网。以所述方式详细说明如下这样的网络组件,所述网络组件满足在权利要求1的范围中的一个或多个预先确定的准则。通过本发明的该变型形式,能够尤其好地相对于使用不允许的网络组件来保护数据网。保存的信息能够明确地或隐含地确定具有访问许可的网络组件。例如,信息能够包含允许的网络组件的列表。同样地,列表也能够提到不允许的网络组件,其中对于全部未在列表中包含的网络组件允许访问。
在另一优选的变型形式中,根据本发明的网络仪器允许如下这样的网络组件访问数据网,所述网络组件借助于与上述认证数据不同的认证信息成功地在网络仪器中认证。所述认证信息优选地包括第二数字证书和尤其是连接的网络组件的制造商的证书。以所述方式确保,仅能够在数据网中集成确定的制造商的网络组件。
在另一优选的实施方式中,根据本发明的网络仪器构成为,使得所述网络仪器包括用于认证操作者的接口,其中在经由接口成功认证操作者时,才允许一个或多个预先确定的动作,所述预先确定的动作能够通过网络仪器自动地或以由操作者触发的方式执行。由此,有效地避免由未经授权的人员滥用网络仪器。预先确定的一个或多个动作优选包括激活网络仪器用于常规使用,即激活网络仪器用于在连接的接入点处认证,和允许连接的网络组件访问数据网。替代地或附加地,预先确定的一个或多个动作也能够包括由操作者配置网络仪器,诸如网络仪器允许哪些连接的网络组件经由接入点访问数据网的说明。
用于认证操作者的接口例如能够包括键盘和/或用于生物计量数据的读取器和/或用于芯片卡的读取器和/或机械的钥匙开关。将机械的钥匙开关在此理解成如下开关,所述开关可以借助于所分配的机械钥匙操作,其中如果开关借助于所分配的机械钥匙操作,那么认证成功。
在另一个优选的设计方案中,网络仪器包括用于手动输入和/或用于读入网络组件的识别数据的接口。用于手动输入的接口例如能够是键盘,其中所述键盘必要时也能够为上面的用于认证的接口。用于读入识别数据的接口例如能够构成为读码器(例如条形码读码器)或RFID读取器。优选地,网络仪器仅允许具有经由接口输入和/或读入的识别数据的网络组件访问数据网。
本发明还涉及一种用于网络组件经由访问保护的接入点访问数据网的方法。在此,接入点和网络组件连接于根据本发明的网络仪器或根据本发明的网络仪器的一个优选的实施方式,这经由所述网络仪器的接口进行。就方法而言,网络仪器在接入点处借助认证数据认证,并且在成功认证的情况下允许连接的网络组件中的至少如下这样的网络组件经由接入点访问数据网,所述网络组件满足一个或多个预先确定的准则。
在该方法的一个尤其优选的实施方式中,访问保护的接入点为了检查认证数据而与认证服务器通信,在所述认证服务器中规定有用于成功认证的规则。
在另一优选的实施方式中,网络仪器在方法中仅在如下情况下由访问保护的接入点识别成允许的:满足一个或多个准则。换言之,网络仪器在方法中仅在如下情况下可用:满足一个或多个准则。一个或多个准则尤其构成为,使得网络仪器仅在如下情况下可用:数据网处于预先确定的运行模式、例如维护模式中。如果不是这种情况,那么本发明的方法不允许使用网络仪器。
附图说明
本发明的实施例下面根据附图来详细地描述。
其中:
图1示出一个示意图,所述示意图阐明根据本发明的网络仪器的一种实施方式用于访问数据网的运行;
图2示出根据本发明的网络仪器的第一结构形式的示意图;以及
图3示出根据本发明的网络仪器的第二结构形式的示意图。
具体实施方式
下面,本发明的一个实施方式基于如下网络仪器描述,所述网络仪器连接于访问保护的层2接入点(即以太网/LAN或WLAN),并且在所述接入点处能够实现网络组件访问数据网,层2接入点属于所述数据网。
在图1中,根据本发明的网络仪器利用ND(ND=Network Device,网络设备)表示。网络仪器具有两个接口,所述接口从图2和图3的结构形式中可见。经由接口之一,借助于线缆连接数据网DN的访问保护的层2接入点AP。经由另一接口,连接网络组件NC,能够实现所述网络组件访问数据网DN。
在此处描述的实施方式中,数据网是自动化系统的通信网,诸如用于生产自动化或用于过程自动化的自动化设施的通信网。同样地,自动化系统例如能够是用于交通自动化的设施,尤其用于轨道交通的设施,或是建筑物自动化系统或能量自动化系统。数据网DN包括多个网络节点,其中在图1中作为网络节点除了接入点AP之外描绘多个现场仪器FD、另外的接入点AP’、认证服务器AS、登记服务器RS以及诊断计算机DR和控制计算机CR。数据网DN的处于虚线L之上的部分为数据网DN的具有访问保护的接入点AP的局部接入网,而数据网的在线L之下的部分是主干网,所述主干网可以与数据网的上面部分经由接入点AP’通信。
为了经由访问保护的接入点AP访问数据网DN,仪器必须成功地借助于认证数据在所述接入点处认证。在此处示出的情形下,新的网络组件NC应经由接入点AP连接到数据网中。网络组件NC为自动化系统的现场仪器,该现场仪器更换旧的现场仪器。现场仪器例如能够在用于轨道交通的自动化系统中是转辙器控制仪器或铁轨占用通知器。在此存在如下问题,在新的网络组件NC中在其交付时还没有保存用于访问数据网DN的认证数据。所述认证数据必须首先通过网络组件NC在数据网DN中在登记服务器RS处请求。对此,网络组件NC然而需要接入数据网。所述接入能够通过根据本发明的网络仪器ND实现。
在网络仪器ND中,已经保存用于在访问保护的接入点AP处进行认证的认证数据。所述认证数据基于数字证书CER,所述数字证书源自数据网的运营商。在将网络仪器ND连接到接入点AP上时,所述网络仪器借助证书CER在所述接入点处认证。对此,使用本身已知的标准IEEE 802.1X。因此,网络仪器ND在下面也称作为802.1X代理。
在借助标准IEEE 802.1X认证时,访问保护的接入点AP与数据网DN的认证服务器AS通信,所述认证服务器验证源自网络仪器的认证数据,其中在成功验证的情况下,为网络仪器ND开通经由接入点AP接入数据网。优选地,认证基于协议EAP(EAP=ExtensibleAuthentication Protocol,可扩展认证协议)或基于协议EAP-TLS进行,所述协议EAP-TLS用于基于证书的认证。接入点和认证服务器优选经由协议RADIUS或Diameter通信。
在开通所述接入之后,仪器ND也接通网络组件NC对数据网ND的接入,只要网络组件NC满足确定的特性。在此处描述的实施方式中,所述特性在于,网络组件具有另外的数字证书CER’形式的认证信息,其中所述证书是网络组件NC的制造商的证书。证书CER’由网络仪器ND检查,并且在成功验证时,然后网络仪器ND允许网络组件NC经由接入点AP访问数据网DN。网络组件于是能够实现,在登记服务器RS处登记,并且申请用于数据网DN的有效的证书形式的认证数据。在所申请的认证数据由登记服务器RS传输到网络组件NC之后,不再需要网络仪器ND,即网络组件NC随后能够直接连接于接入点AP和使用,而无需中间连接网络仪器。于是,完成将新的网络组件NC集成到数据网DN中。
按照根据本发明的网络仪器的设计方案,所述网络仪器可以在通过证书CER’成功认证网络组件NC之后,必要时转发全部在网络组件NC和数据网DN之间交换的数据。然而优选地,进行网络传输的过滤,以便例如仅允许如下数据通过,所述数据在请求的证书的范围中在登记服务器RS处需要。此外,也能够仅允许访问数据网的确定部分,这例如经由在网络仪器ND中的网络传输的隧道来实现。在此,能够使用本身已知的用于数据隧道的方法,诸如TLS、IPsec或L2TP。必要时,也能够限制通过网络组件ND的网络传输。
在本发明的一个优选的实施方式中,网络仪器ND可以仅在预先确定的条件下允许与数据网DN通信。所述条件例如能够作为规则(英语:policy)保存在访问保护的接入点中。例如,802.1X代理与数据网的通信仅在如下情况下允许:自动化系统处于维护模式中,即在常规工作运行中,可以拒绝网络仪器接入自动化网。说明自动化网的当前的运行模式的信息例如能够由控制计算机CR经由数据网提供。
在本发明的另一个实施方式中,数据网分成多个不同的子网,所述子网例如可以经由所谓的VLAN(VLAN=Virtual Local Area Network,虚拟局域网)实现。在此,网的一部分能够只涉及自动化系统中的控制通信,并且另一部分只涉及自动化系统中的诊断网络通信。在这种实施方式中,根据本发明的802.1X代理例如能够仅获得接入用于诊断网络通信的子网。然而,802.1X代理本身也能够同样允许连接的网络组件仅访问子网。这能够通过如下方式实现,网络仪器本身为全部数据包添加诊断网络的相应的VLAN标签。在图1的情形中,在此控制计算机CR是用于控制通信的相应的子网的一部分,而诊断计算机DR是用于诊断网络通信的相应的子网的一部分。
在根据图1阐述的实施方式中,事先将数字证书CER形式的认证数据保存在网络仪器ND上。在改变的变型形式中,网络仪器在连接要登记的网络组件NC之后本身才颁发基于标准IEEE标准802.1X的用于认证的证书。换言之,802.1X代理包括本地的用于颁发证书的认证机构CA(CA=Certification Authority,证书颁发机构)。这种颁发证书例如从SSL代理已知,所述SSL代理特别是由公司应用,以便监控SSL-TLS通信。
所颁发的证书包含连接的网络组件NC的验证信息。所述证书由自动化系统的数据网识别成有效的,使得随后能够开放网络仪器以及与其连接的网络组件的网络访问。本发明的该变型形式具有如下优点:数据网得到关于网络组件的身份的信息。因此,可以与预先确定的规则(例如,要登记的网络组件的已知的序列号)相关地,执行检查:是否允许网络访问。换言之,因此网络仪器的认证仅在如下情况下是成功的:识别数据根据预先确定的规则是允许的。
随后,根据图2和3阐述根据本发明的网络仪器ND的不同的结构形式。在全部描述的结构形式中,网络仪器的能量供给例如能够借助于集成的电池、经由USB线缆或基于以太网供电进行。在图2中示出如下结构方式,在所述结构方式中,网络仪器ND实施为盒3,所述盒具有插座形式的第一接口1和插头形式的第二接口2。插座和插头优选对应于结构类型RJ45,所述结构类型通常在LAN网中用于连接组件。经由插座1连接网络线缆的相配合的插头1’,所述网络线缆引向图1的接入点AP。与此相对地,插头2插到相配合的插座2’中,所述插座构造在网络组件NC上。在图2中还识别出,在网络仪器ND上存储有运营商证书CER,而在网络组件NC上保存有制造商证书CER’。图2的结构形式能够适当地改变。在一个有利的改进方案中,插头2借助于短的LAN线缆从盒3中伸出,以便即使在狭窄的空间比例下也能够良好地插接。
网络仪器ND的另一结构形式在图3中示出。在该结构形式中,网络仪器实施为LAN延长线缆4,其中在LAN线缆的部段5中集成有网络仪器的逻辑电路。在那里,也保存有证书。网络仪器的接口是LAN延长线缆的相应的端部,其中一个端部由插座1形成,并且另一端部由插头2形成,其中插座和插头优选又对应于结构类型RJ-45。
在另一未示出的结构形式中,网络组件替代一个插头和一个插座包含两个LAN插座,所述LAN插座可以经由各一个附加的LAN连接线缆与接入点AP以及网络组件NC连接。同样地,在另一结构形式中可能的是,网络仪器具有两个LAN线缆连带相应的插头,所述插头能够在一侧上与接入点AP的插座连接,并且在另一侧上与网络组件NC的插座连接。插头优选又基于结构类型RJ-45。
用于与接入点AP或网络组件NC连接的两个端子或接口1、2在网络仪器ND上优选地不同地示出,以便用户知道,哪个端子必须与数据网连接,并且哪个必须与网络组件连接。替代地,然而也存在如下可能性,每个接口能够不仅用于连接到接入点,而且也用于连接到网络组件。在该情况下,网络组件在连接接入点和网络组件之后不仅在一个接口而且在另一个接口上尝试执行认证。如果认证在一侧上成功,那么网络仪器相应地在另一侧上自动提供到数据网的连接。
替代常见的RJ-45连接,当待连接的网络组件或接入点具有其他接口、例如具有用于光波导的接口时,在网络仪器中能够使用其他接口。附加地或替代地,例如能够在网络仪器上使用USB接口,经由所述USB接口,将所述仪器与网络组件或接入点连接。
激活网络仪器ND能够根据设计方案自动地经由将网络连接装置插入到相应的接口上实现。然而,必要时,激活也能够手动地通过操作者执行,例如通过按压装入的按键。
为了防止借助于滥用的802.1X-代理无授权地进入到数据网中,在本发明的一个变型形式中,在激活代理时,需要操作者的认证。所述认证例如能够借助于插入芯片卡、经由无接触地(例如借助RFID)与网络仪器通信的芯片卡、经由在网络仪器的壳体中的键盘上输入PIN、经由生物计量认证(例如借助于指纹传感器)或经由机械钥匙开关进行。
必要时,确定的权利也能够与操作者的认证联系。在此,必要时能够为不同的操作者确定不同的权利。尤其是,能够将确定的操作者定义成管理员,其中仅所述操作者能够在成功认证之后执行网络仪器的配置。在所述配置的范围中,操作者例如能够确定,应在哪个时间段、在哪个地点允许哪种类型的网络组件通过网络仪器与数据网通信。由此,降低802.1X-代理的滥用可能性。
在上面描述的实施方式中,仅在如下情况下允许网络组件通过网络仪器接入数据网:网络组件具有相应的数字的制造商证书。换言之,在网络仪器中保存有用于验证所述制造商证书的信息,诸如主管机关的根证书,所述主管机关颁发制造商证书,或者数字的制造商证书的指纹(哈希)。必要时,也能够在根据本发明的网络仪器中保存有用于识别或认证允许的网络组件的其他的或另外的信息。在此,这例如能够为允许的序列号或公开密钥。仅当802.1X-代理将连接的网络组件识别为或认证成允许的仪器时,才接通其网络通信。
在前面,网络仪器的认证相对于接入点基于标准IEEE 802.1X执行。替代地,然而也能够使用其他标准。例如,认证也能够经由TLS(TLS=Transport Layer Security,传输层安全)或PANA(PANA=Protocol for Carrying Authentication for a Network Access,执行网络访问的认证的协议)进行。存储允许的网络组件的认证信息优选在802.1X代理的特定受保护的运行模式中是可能的。由此,例如数据网的安全管理器能够首先登记可靠的仪器。维护工于是仅能够将在802.1X代理中登记的仪器现场装入数据网中。认证信息能够手动地经由操作者输入到802.1X代理中,所述操作者优选事先适当地在仪器上认证。必要时,认证数据也能够经由条形码读码器或RFID读码器检测,所述条形码读码器或RFID读码器设置在网络仪器上。条形码或RFID标签能够安置在网络组件、其包装或附件上。
在另一个优选的实施方式中,网络仪器仅在数据网中的确定的节点或组件处提供可靠的连接(例如TLS或IPsec隧道),例如在本地的登记主管部门处,所述本地的登记主管部门在图1中通过登记服务器RS表明。连接的网络组件不能够与其他组件通信。由此实现,要登记的网络组件不直接在网络层上与数据网连接。与如从标准IEEE 802。1X中已知的隔离VLAN相反地,数据网的接入点在此不必支持隔离-VLAN/VLAN-分离。这简化接入点的配置,并且能够使用具有更小智能的简单的接入点。
在本发明的另一变型形式中,802.1X代理能够用于,允许所有网络组件接入数据网,而不检查所述组件的认证数据。这种接入优选是时间受限的。所述接入例如能够用于维护工作。在该情况下,在802.1X代理上连接的网络组件是外部维护工的计算器或笔记本电脑。
本发明的在前面描述的实施方式具有一系列优点。借助于根据本发明的网络仪器,服务工在重新安装或更换网络组件(例如现场仪器)时能够以简单的方式将其初始化。对此,所述服务工首先在相应的接入点和网络组件之间接入根据本发明的网络仪器。所述网络仪器随后允许网络组件至少受限地访问数据网,使得网络组件能够请求数据网中的认证数据。在获得认证数据之后,随后能够将网络仪器移除,并且将网络组件直接连接在访问保护的接入点上。
在接入点上接通端口能够可靠地并且非常应用友好地在网络仪器的地点上执行,无需对接入点的管理,所述接入点能够实现与连接于网络仪器的网络组件的通信。尤其不需要的是,寻找接入点的地点或者确定接入点上的准确的端口。
在不使用根据本发明的网络仪器的情况下,需要的是,暂时改变接入点的配置,以便能够实现网络组件访问数据网。然而这具有以下缺点,只要网络组件无故障地在数据网上运行,通常忘记再次撤销配置。由此,能够留下不被注意的安全漏洞。与此相反地,连接的网络仪器明显更引人注目,并且不那么容易忘记。最迟在下次使用网络仪器时,技工注意到仪器的缺失。
根据本发明的网络仪器必须仅暂时中间连接到接入点和网络组件之间,直至网络组件在数据网中的初始化或登记成功。随后,能够再次将其取下,之后接入点上的相应的端口的开放自动结束。
通过操作者在根据本发明的网络仪器上的附加的认证机制,能够防止第三方滥用偷窃的仪器。必要时,通过在数据网中的相应的认证服务器上的管理,能够撤销丢失的网络仪器的认证数据,使得所述网络仪器不再可用。
Claims (14)
1.一种网络仪器,所述网络仪器包括两个接口(1,2),用于连接到数据网(DN)的访问保护的接入点(AP)和网络组件(NC)上,所述网络仪器应能够实现经由所述接入点(AP)直接访问所述数据网(DN),其中在所述网络组件(NC)中还没有保存用于访问所述数据网(DN)的认证数据(CER),其中所述网络仪器(ND)被构成为,使得所述网络仪器在连接接入点(AP)和连接网络组件(NC)时借助认证数据(CER)在所述接入点(AP)处认证,并且在成功认证的情况下允许所连接的网络组件(NC)中的至少如下这样的网络组件(NC)经过所述接入点(AP)受限地访问所述数据网(DN),所述网络组件满足一个或多个预先确定的准则,其中所述受限的访问限于所述网络组件(NC)在所述数据网(DN)内的登记服务器(RS)中对用于访问所述数据网(DN)的认证数据(CER)的请求。
2.根据权利要求1所述的网络仪器,
其中所述网络仪器(ND)的接口(1,2)被设立用于连接到自动化系统的通信网形式的数据网(DN)的接入点上和连接到待在自动化系统中集成的仪器和现场仪器形式的网络组件上。
3.根据权利要求1所述的网络仪器,
其中所述网络仪器(ND)被设立用于与层2接入点(AP)通信,其中所述网络仪器(ND)被构成为,使得所述网络仪器基于标准IEEE 802.1X在所述接入点(AP)处认证。
4.根据权利要求1所述的网络仪器,
其中受限的访问限于对所述数据网(DN)的一个或多个预先确定的子网的访问。
5.根据权利要求1所述的网络仪器,
其中所述网络仪器(ND)被构成为,使得受限的访问经由在所述网络仪器(ND)中的数据传输的过滤和/或在所述网络仪器(ND)中的数据传输的隧道实现。
6.根据权利要求1-3中任一项所述的网络仪器,
其中用于认证所述网络仪器(ND)的认证数据(CER)包括第一数字证书,其中所述第一数字证书是所述数据网(DN)的运营商的证书。
7.根据权利要求1-3中任一项所述的网络仪器,
其中所述认证数据(CER)在所述网络仪器(ND)投入运行时存储到其上,或者所述网络仪器(ND)被构成为,使得所述网络仪器利用所连接的网络组件(NC)的识别数据来产生所述认证数据(CER)。
8.根据权利要求1-3中任一项所述的网络仪器,
其中在所述网络仪器(ND)中保存有以下信息,所述信息确定,所述网络仪器(ND)允许哪个连接的网络组件(NC)经由所述接入点(AP)访问所述数据网(DN)。
9.根据权利要求8所述的网络仪器,
其中所述网络仪器(DN)允许如下这样的网络组件(NC)访问所述数据网(DN),所述数据网借助于不同于所述认证数据(CER)的认证信息(CER’)在所述网络仪器(ND)中成功认证,其中所述认证信息(CER’)包括第二数字证书,并且包括所连接的网络组件(NC)的制造商的证书。
10.根据权利要求1-3中任一项所述的网络仪器,
其中所述网络仪器(ND)被构成为,使得所述网络仪器包括用于操作者的认证的接口,其中在经由接口成功认证操作者时,才允许一个或多个预先确定的动作,所述动作能够通过所述网络仪器(ND)自动地或以由操作者触发的方式执行,其中所述一个或多个预先确定的动作包括激活所述网络仪器(ND)以在连接的接入点(AP)上认证,和允许连接的网络组件(NC)访问所述数据网(DN),和/或由操作者配置所述网络仪器(ND)。
11.根据权利要求10所述的网络仪器,
其中用于操作者的认证的接口包括键盘和/或用于生物计量数据的读取器和/或用于芯片卡的读取器和/或机械的钥匙开关。
12.根据权利要求1-3中任一项所述的网络仪器,
其中所述网络仪器(ND)包括用于手动输入和/或读入网络组件(NC)的识别数据的接口,其中所述网络仪器(ND)仅允许具有经由接口输入和/或读入的识别数据的网络组件(NC)访问所述数据网(DN)。
13.一种用于网络组件(NC)经由访问保护的接入点(AP)直接访问数据网(DN)的方法,其中在所述网络组件(NC)中还没有保存用于访问所述数据网(DN)的认证数据(CER),其中所述接入点(AP)和所述网络组件(NC)连接到根据上述权利要求中任一项所述的网络仪器(ND)上,这经由所述网络仪器的接口(1,2)进行,其中所述网络仪器(ND)在所述接入点(AP)上借助认证数据(CER)认证,并且在成功认证的情况下,允许所连接的网络组件(NC)中的至少如下这样的网络组件(NC)经由所述接入点(AP)受限地访问所述数据网(DN),所述网络组件满足一个或多个预先确定的准则,
其中所述受限的访问限于所述网络组件(NC)在所述数据网(DN)内的登记服务器(RS)中对用于访问所述数据网(DN)的认证数据(CER)的请求。
14.根据权利要求13所述的方法,
其中所述接入点(AP)为了检查所述认证数据(CER)与认证服务器(AS)通信,在所述认证服务器中保存有用于成功认证的规则。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102015211345.0 | 2015-06-19 | ||
| DE102015211345.0A DE102015211345A1 (de) | 2015-06-19 | 2015-06-19 | Netzwerkgerät und Verfahren zum Zugriff einer Netzwerkkomponente auf ein Datennetz |
| PCT/EP2016/062214 WO2016202570A1 (de) | 2015-06-19 | 2016-05-31 | Netzwerkgerät und verfahren zum zugriff einer netzwerkkomponente auf ein datennetz |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107735998A CN107735998A (zh) | 2018-02-23 |
| CN107735998B true CN107735998B (zh) | 2021-08-17 |
Family
ID=56101437
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680035875.2A Active CN107735998B (zh) | 2015-06-19 | 2016-05-31 | 用于网络组件访问数据网的网络仪器和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11165773B2 (zh) |
| EP (1) | EP3266186B1 (zh) |
| CN (1) | CN107735998B (zh) |
| DE (1) | DE102015211345A1 (zh) |
| WO (1) | WO2016202570A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102017117128A1 (de) * | 2017-07-28 | 2019-01-31 | Ebm-Papst Mulfingen Gmbh & Co. Kg | Drahtlose Vergabe von Netzwerkadressen |
| EP3585027B1 (de) * | 2018-06-20 | 2021-11-03 | Siemens Aktiengesellschaft | Verfahren zur anbindung eines endgerätes an eine vernetzbare rechner-infrastruktur |
| US11617076B2 (en) * | 2020-06-15 | 2023-03-28 | Cisco Technology, Inc. | Clientless VPN roaming with 802.1x authentication |
| US11617123B2 (en) * | 2020-12-09 | 2023-03-28 | Fortinet, Inc. | RU (resource unit)—based medium access control for suppressing airtime of quarantined stations on Wi-Fi communication networks |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020104016A1 (en) * | 2001-01-26 | 2002-08-01 | International Business Machines Corporation | Network router |
| US7249177B1 (en) * | 2002-11-27 | 2007-07-24 | Sprint Communications Company L.P. | Biometric authentication of a client network connection |
| US7171555B1 (en) * | 2003-05-29 | 2007-01-30 | Cisco Technology, Inc. | Method and apparatus for communicating credential information within a network device authentication conversation |
| US8094663B2 (en) * | 2005-05-31 | 2012-01-10 | Cisco Technology, Inc. | System and method for authentication of SP ethernet aggregation networks |
| US20070109098A1 (en) * | 2005-07-27 | 2007-05-17 | Siemon John A | System for providing network access security |
| US8607058B2 (en) * | 2006-09-29 | 2013-12-10 | Intel Corporation | Port access control in a shared link environment |
| US20080108322A1 (en) * | 2006-11-03 | 2008-05-08 | Motorola, Inc. | Device and / or user authentication for network access |
| US20090150665A1 (en) * | 2007-12-07 | 2009-06-11 | Futurewei Technologies, Inc. | Interworking 802.1 AF Devices with 802.1X Authenticator |
| US9218469B2 (en) * | 2008-04-25 | 2015-12-22 | Hewlett Packard Enterprise Development Lp | System and method for installing authentication credentials on a network device |
| JP5143198B2 (ja) * | 2010-08-24 | 2013-02-13 | 株式会社バッファロー | ネットワーク中継装置 |
| CN102547701A (zh) * | 2010-12-24 | 2012-07-04 | 中国移动通信集团公司 | 认证方法、无线接入点和认证服务器 |
| DE102011007199A1 (de) * | 2011-04-12 | 2012-10-18 | Siemens Aktiengesellschaft | Verfahren und Kommunikationseinrichtung zum kryptographischen Schützen einer Feldgerät-Datenkommunikation |
| WO2013003535A1 (en) * | 2011-06-28 | 2013-01-03 | Interdigital Patent Holdings, Inc. | Automated negotiation and selection of authentication protocols |
| US9130837B2 (en) * | 2012-05-22 | 2015-09-08 | Cisco Technology, Inc. | System and method for enabling unconfigured devices to join an autonomic network in a secure manner |
| US20120266209A1 (en) * | 2012-06-11 | 2012-10-18 | David Jeffrey Gooding | Method of Secure Electric Power Grid Operations Using Common Cyber Security Services |
| CN103517374B (zh) | 2012-06-26 | 2017-09-12 | 华为终端有限公司 | 建立无线连接的方法及无线中继器 |
| US9426837B2 (en) | 2012-09-07 | 2016-08-23 | Qualcomm Incorporated | Systems, apparatus and methods for association in multi-hop networks |
| US9549371B2 (en) * | 2013-03-14 | 2017-01-17 | Qualcomm Incorporated | Access point proxy and multi-hop wireless communication |
| US9785173B2 (en) | 2013-03-15 | 2017-10-10 | General Electric Company | Wireless communication systems and methods for intelligent electronic devices |
| US9948675B2 (en) * | 2013-04-04 | 2018-04-17 | The Mitre Corporation | Identity-based internet protocol networking |
| US20150049671A1 (en) * | 2013-08-19 | 2015-02-19 | Qualcomm Incorporated | Association limit in relay network |
| US10193878B2 (en) * | 2013-10-31 | 2019-01-29 | Hewlett Packard Enterprise Development Lp | Using application level authentication for network login |
| EP3069480B1 (en) * | 2013-11-12 | 2021-07-14 | ARRIS Enterprises LLC | Automated access point provisioning |
| US11012916B2 (en) * | 2017-12-11 | 2021-05-18 | At&T Mobility Ii Llc | Minimum camping level bypass for limited network communications |
-
2015
- 2015-06-19 DE DE102015211345.0A patent/DE102015211345A1/de not_active Withdrawn
-
2016
- 2016-05-31 CN CN201680035875.2A patent/CN107735998B/zh active Active
- 2016-05-31 WO PCT/EP2016/062214 patent/WO2016202570A1/de active Application Filing
- 2016-05-31 US US15/575,884 patent/US11165773B2/en active Active
- 2016-05-31 EP EP16727157.6A patent/EP3266186B1/de active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN107735998A (zh) | 2018-02-23 |
| DE102015211345A1 (de) | 2016-12-22 |
| US11165773B2 (en) | 2021-11-02 |
| US20180152447A1 (en) | 2018-05-31 |
| WO2016202570A1 (de) | 2016-12-22 |
| EP3266186A1 (de) | 2018-01-10 |
| EP3266186B1 (de) | 2021-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107735998B (zh) | 用于网络组件访问数据网的网络仪器和方法 | |
| US9361265B2 (en) | Method and device for integrating a device into a network | |
| JP6487939B2 (ja) | データを伝送するための設備及び方法 | |
| US11652809B2 (en) | System and method for securely changing network configuration settings to multiplexers in an industrial control system | |
| US8132240B2 (en) | Electric field unit and method for executing a protected function of an electric field unit | |
| DK2548358T3 (en) | Method for dynamic authorization of a mobile communication device | |
| US8843641B2 (en) | Plug-in connector system for protected establishment of a network connection | |
| EP1927254B1 (en) | Method and a device to suspend the access to a service | |
| CN115085961A (zh) | 在自动化设施的通信网络中对设备的认证 | |
| JP4752436B2 (ja) | 連携制御装置及びネットワーク管理システム | |
| US20210120418A1 (en) | Network access control system | |
| Falk et al. | Using managed certificate whitelisting as a basis for internet of things security in industrial automation applications | |
| US8607058B2 (en) | Port access control in a shared link environment | |
| US20240340282A1 (en) | Method and Automation System for an Automation Device | |
| CN111295653B (zh) | 改进安全网络中设备的注册 | |
| JP4797685B2 (ja) | 連携制御装置及びネットワーク管理システム | |
| JP2008077364A (ja) | 連携制御装置 | |
| RU2575400C2 (ru) | Способ для динамической авторизации мобильного коммуникационного устройства | |
| JP4894432B2 (ja) | 連携制御装置 | |
| Wang et al. | The Analysis of the Structure and Security of Home Control Subnet. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20190218 Address after: Munich, Germany Applicant after: Siemens Mobile Co., Ltd. Address before: Munich, Germany Applicant before: Siemens AG |
|
| TA01 | Transfer of patent application right | ||
| CB02 | Change of applicant information |
Address after: Munich, Germany Applicant after: Siemens Transport Co., Ltd. Address before: Munich, Germany Applicant before: Siemens Mobile Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20201013 Address after: Munich, Germany Applicant after: SIEMENS AG Address before: Munich, Germany Applicant before: Siemens Transportation Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |