CN108880788A - 在用于技术设备的控制系统中的认证方法以及控制系统 - Google Patents
在用于技术设备的控制系统中的认证方法以及控制系统 Download PDFInfo
- Publication number
- CN108880788A CN108880788A CN201810360383.1A CN201810360383A CN108880788A CN 108880788 A CN108880788 A CN 108880788A CN 201810360383 A CN201810360383 A CN 201810360383A CN 108880788 A CN108880788 A CN 108880788A
- Authority
- CN
- China
- Prior art keywords
- control system
- service
- application
- certificate
- technical equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/18—Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form
- G05B19/406—Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form characterised by monitoring or safety
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/23—Pc programming
- G05B2219/23317—Safe mode, secure program, environment in case of error, intrusion
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Human Computer Interaction (AREA)
- Manufacturing & Machinery (AREA)
- Automation & Control Theory (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Computer And Data Communications (AREA)
- General Factory Administration (AREA)
Abstract
本发明公开了一种用于在用于技术设备的控制系统(1)中认证装置(8)和/或应用、特别是网络应用的方法,其中,控制系统(1)具有至少一个本地注册服务(11、17)和至少一个软件清单(10),该方法具有步骤:在控制系统(1)之中认证装置(8)和/或应用的过程中通过至少一个本地注册服务(11、17)测定如下信息:哪些通信协议和/或应用被装置(8)和/或应用支持和/或是活跃的;在控制系统(1)的至少一个软件清单(10)中存储通过本地注册服务测定的装置特定的信息。
Description
技术领域
本发明公开了一种用于在用于技术设备的控制系统中认证装置和/或应用、特别是网络应用的方法。此外,本发明公开了其所属的用于技术设备的控制系统。
背景技术
在工业化的技术设备的背景下,在运行时间采用所谓的运作的证书。通过应用运作的证书能够通过密码手段实现对在工业化的技术设备的控制系统中的通信用户的认证和通信完整性。
在此,将安全地存储在装置中的私钥与所属的公钥相关联。在此,在公钥基础设施(PKI)的背景下自动化地支持对运作的证书和所属的秘钥的管理的流程、特别是做作为对于在技术设备之中的应用和装置之间的安全的通信的基础来说具有日渐重要的意义。
在工业化的设备的背景下,通过减少在证书管理的过程中人为行为以及逐渐增多的基于标准协议的自动化的流程、特别是用于推出或更新证书地,能够提高灵活性和共同使用性。
通常,对设备背景下的运作的证书的自动化管理在应用标准协议、例如证书管理协议(CMP)的条件下实现。在此,装置和应用根据情况向本地注册服务、所谓的本地注册认证机构(LRA)请求所必须的运作的证书。这例如在更新的情况中进行,该更新是由于证书到期或撤回而所需要的。
在此,装置和应用向本地注册服务、即所谓的证书签名请求(CSR)发送询问。本地注册服务检验该请求,通过其首先检验签署给该请求的签名的有效性。随后本地注册服务检验的是,装置或应用的装置证书、序列号和如有可能的另外的标识特征是否存储在技术设备的控制系统的软件清单、即所谓的表单中。在检验成功的情况下,将该请求转发给所谓的认证机构(CA),其为装置或应用出具运作的证书。
装置或应用在应用之前提到的标准协议时仅有资格的是,自己将请求发送给本地注册服务。各个装置和应用不具有关于技术设备的拓扑结构、关于设备的各个通信用户之间的通信关系或关于技术设备的另外的已知条件的认知。
在需要时,每个装置或每个应用会自己请求运作的证书,这导致了技术设备或其控制系统中的通信传输量较高。
迄今为止,将对于推出证书所要求的功能性集成在技术设备的控制系统的所谓的工程构件中。在此,在使用装载进程的过程中的专有的运输路径的条件下,证书被加载到所选择的装置或应用中。因此,现存的装置或应用中的与新的证书的推出相关联的装置替换或证书更新要求在更新的装载进程的过程中重新装载证书。这再次造成技术设备的停止。
发明内容
本发明的目的在于,能够在技术设备的运行时间期间实现装置和/或应用的替换。
本发明的目的通过用于在用于技术设备的控制系统中认证装置和/或应用、特别是网络应用的方法和用于技术设备的控制系统实现。根据本发明,在用于开头所述的类型的认证的方法中由下地实现本发明的目的,即,在控制系统之中认证装置和/或应用的过程中通过至少一个本地注册服务测定如下信息:哪些通信协议和/或应用被装置和/或应用支持和/或是活跃的。这些通过至少一个本地注册服务测定的信息被存储在控制系统的至少一个软件清单中。
根据本发明,除了在其过程中针对本地注册服务标识装置和/或应用的真正的认证之外,本地注册服务测定:哪些通信协议和/或应用被相应的装置和/或应用(标准化)支持,或者哪些是活跃的。本地注册服务能够由此为相应的装置/应用仅提供为了使用确定的协议、例如HTTPS、安全系统日志或OPC UA或者特定的应用所需要的证书。这些装置/应用特有的信息通过本地注册服务随后被存储在软件清单中,以便提供给另外的程序。有利地,对装置和/或应用的认证是基于运作的证书进行的。
在该方法的一个有利的改进方案中,装置和/或应用在技术设备启动时相对于本地注册服务进行认证,以便在技术设备中注册为可靠的通信用户。装置和/或应用的认证也能够在技术设备的运行时间进行。这在技术设备的运行时间期间替换设备或应用的时候,可能是必须的。
有利地,在控制系统的软件清单中存储关于控制系统和/或利用控制系统运行的技术设备的配置的信息。在此,这些信息能够从控制系统的工程构件、所谓的工程站(ES)中读取。工程构件能够不被限制为SIMATIC PCS7工业工作站。有利地,控制系统的配置中的改变在技术设备的运行时间无延迟地反映在软件清单中。
在本发明的一个有利的改进方案中,本地注册服务读取存储在软件清单中的信息,以便在认证装置和/或应用时检验哪个运作的证书允许被指派给了相应的装置和/或相应的应用。
除了根据本发明的认证方法之外,本地注册服务能够以特别有利的方式将信息应用于将技术设备的配置和技术设备的各个用户之间的通信关系包含到在认证的过程中进行的检验中。
具体说明,本地注册服务检验装置/应用是否主动地使用各个用户之间的通信关系,进而也实际需要相应的证书。由此能够还特别地执行将证书分派给各个装置/应用,由此能够总体上减小要分派的证书的数量。因此一同减小了证书管理的复杂性。技术设备的控制系统或者技术设备本身中的通信开销能够由此明显减小。
在检验成功的情况下,本地注册服务能够将该请求转发给证书机构、即所谓的证书认证机构(Certification Authority(CA)),其为装置或应用出具运作的证书并且提供给本地注册服务。本地注册服务随后将运作的证书转发给相应的装置或者相应的应用。
优选地,对装置和/或应用的认证或相应的运作的证书具有特定的时间有效性,其作为装置特定的信息存储在软件清单中。在此,在认证或运作的证书的时间有效性到期之前,控制系统的本地注册服务不取决于由于装置和/或应用的要求地从软件清单中读取关于时间有效性的信息,并且如果需要还进行认证的更新,以便延长认证、特别是相应的运作的证书的时间有效性。
对认证或运作的证书的时间有效性的监控能够通过本地注册服务的子服务实现。特别地,子服务监控证书的到期日期。如果该子服务确定证书临近到期,那么就由上级的本地注册服务或由另外的子服务请求替换证书。在此,要考虑控制系统或技术设备的当前的配置,即例如有多少用户注册,并且这些用户具有哪些特征或者它们当前或在未来应用哪些证书。
由本地注册服务对认证或证书的时间有效性的到期的监控能够通过外部事件发起。例如,本地注册服务能够获得来自证书机构的状态信号或触发信号,并且因此检验认证或证书的时间有效性。本地注册服务随后根据需要在相应的前述检验之后作为代理为每个任意的装置请求替代证书。技术设备的控制系统或技术设备自身中的通信耗费能够由此明显减少。此外,相应的装置或相应的应用的秘钥(private key)在请求证书时安全地保留在了装置或应用中。仅将公钥(public key)转发给软件清单,这尤其在表面上明显地提高或简化了控制系统之中的保密行为。
优选地,用于认证装置或应用、特别是网络应用的方法应用在用于技术设备的包括至少一个本地注册服务的控制系统中。在此有利地,控制系统包括至少一个软件清单,以便存储在根据本发明的方法的过程中测定的数据。
在一个优选的实施方式中,控制系统还包括至少一个过程数据存档、即所谓的过程历史归档服务器(Process Historian)。在此,软件清单是集成到过程数据存档中的。因为过程数据存档设计为可用性高的,所以过程数据存档特别适用于作为控制系统之中的数据源,由此根据本发明的方法能够在这样改进的控制系统中被特别有效地应用。
优选地,控制系统还包括至少一个工程构件和/或至少一个操作系统,即所谓的操作站(OS)。操作系统可以但不限为SIMATIC PCS7工业化工作站。在此,本地注册服务集成在工程构件和/或操作系统或属于操作系统的服务器中。因此不需要的是,为实施本地注册服务而应用附加的(硬件)构件。可确切地,本地注册服务可以集成到技术设备的控制系统的现存的架构中。因此,附加的硬件不是必须的,这使用于这样的改进的控制系统的投资额能保持地较小。
在一个优选的应用方案中,控制系统能够用于运行技术设备。
根据本发明的认证方法以及所述的控制系统和各自全部的有利的改进方案满足IEC-Norm 62443-3-3(International Electrotechnical Commission,国际电工委员会)的关于所谓的公钥基础设施(PKI)方面的对应安全等级2至4的要求。
附图说明
结合下述联系了附图对实施例进行的详细阐述的说明,清楚和明白易懂地阐述了本发明的上述特性、特征和优点以及实现的方式和方法。在此示出:
图1是根据本发明的控制系统的原理图;并且
图2是在根据本发明的方法的背景下本地注册服务的各种子服务的共同作用。
具体实施方式
图1示出了技术设备的根据本发明的控制系统1。控制系统包括工程构件或工程站点2、过程数据存档或过程历史归档服务器3、操作系统的服务器或操作系统服务器4以及证书机构或证书认证机构5。工程站点2、过程历史归档服务器3、操作系统服务器4和证书认证机构5借助于终端总线6相互连接。用户或客户端7借助于终端总线6与前述四个构件连接终端总线6可以但不限例如构造为工业化以太网。
装置8借助于设备总线9连接到操作系统服务器4上。在此,所连接的装置8也能够可选择地是应用、特别是网络应用。在本发明的范畴中能够有任意数量的装置和/或应用连接到操作系统服务器4上。设备总线9可以但不限例如构造为工业化以太网。装置8另一方面能够与任意数量的子系统(未示出)连接。
在过程历史归档服务器3中集成有软件清单或库存10。在操作系统服务器4中集成有第一本地注册服务11。操作系统服务器4的第一本地注册服务11具有管理服务12、状态服务13、通知服务14、分配服务15和注册服务16作为子服务,其功能原理和任务在接下来阐述。此外,本地注册服务11包括本地数据存储器17。附加地或可替换地,本地注册服务11能够集成在工程系统2中。
在工程系统2中集成有第二本地注册服务17。其包括作为子服务的注册服务18、配置服务19和分配服务20,其功能原理和任务同样在接下来阐述。
所有集成在技术设备中的装置8或应用必须在技术设备启动时针对工程系统2的本地注册服务17进行认证,以便注册作为可靠的通信用户。对此,装置/应用8发送用于建立证书的请求21、即所谓的证书签发请求(CSR)。装置或应用8的请求借助于工程系统2的本地注册服务17的注册服务18递交给证书认证机构5。
在本发明的范畴中,除了装置8或应用的实际的认证之外,测定哪些通信协议或应用被相应的装置8或相应的应用支持。在此,工程系统2的本地注册服务17在借助于来自过程历史归档服务器3的软件清单10的信息的情况下,首先检验将哪些装置/应用5注册为可靠的通信用户以及将哪些证书授权给装置/应用8。其假设在软件清单10中存储的是,哪些协议和应用被集成在技术设备中的装置/应用8主动地支持。该检验所引起的是,为每个装置或应用8仅提供为了使用确定的协议、例如HTTPS、安全系统日志或OPC UA或者确定的应用所需要的证书。接着,工程系统2的本地注册服务17还检验装置或应用8是否也实际上需要原则上被其支持的证书。对此,工程系统2的本地注册服务17的配置服务19测定技术设备的网络配置,包括技术设备的各个构件之间的通信关系,并且检验装置/应用8是否也主动使用该通信关系并且因此也实际上需要相应的证书。
仅在检验成功的情况下,工程系统2的本地注册服务17作为每个装置或每个应用8的代表借助于相应的认证签发请求22以及证书认证机构5的分派23与相应的证书关联。最后,证书从工程系统2的本地注册服务17的分配服务20经由指定24传递给相应的装置/应用8。因此,对相应的装置/应用8的分派仅在需要时进行,这明显减少了由于证书管理造成的通信传输量。
经常出现的是,在技术设备的运行时间,工程系统2不可用或不持续可用。对此,在操作系统服务器4中集成有第一本地注册服务11。其功能原理与工程系统2中的前述第二等级服务17相似。用于认证装置/应用8或用于将证书在技术设备的运行时间分派给它们的方法与前述在技术设备启动时的认证的区别主要在于,其受事件控制地发起。这样的事件例如是但不限于在运行时间期间的设备替换。设备替换借助于第一本地注册服务11的注册服务16反映在软件清单中,而不在该位置研究详细的技术细节。
本地注册服务11的管理服务12将来自过程历史归档服务器3的软件清单10的对于检验由所替换的装置8安排的认证签名请求25来说必要的信息加载到本地注册服务11的数据存储器26中。接着,管理服务12首先测定的是,将哪些装置/应用5注册为可靠的通信用户以及将哪些证书授权给装置/应用8。该检验与在技术设备启动时的方法类似地引起的是,为替换装置8仅提供为了使用确定的协议、例如HTTPS、安全系统日志或OPC UA或者确定的应用所需要的证书。
此外,管理服务12检验替换装置8是否也实际上需要原则上被其支持的证书。对此,其测定技术设备的当前的网络配置,包括技术设备的各个构件之间的通信关系,并且检验替换装置8是否也主动使用该通信关系并且因此也实际上需要相应的证书。
管理服务12从操作系统服务器4的运行时间环境28的配置进程27中得到关于技术设备的通信关系或网络配置的信息。随后,这些信息通过管理服务12被存储在过程历史归档服务器3的软件清单10中。除了前述信息之外,管理服务12也能够在软件清单10中存储关于相关客户端7的信息。
仅在检验成功的情况下,操作系统服务器4的本地注册服务11作为替换装置8的代表借助于相应的认证签名请求29和证书认证机构5的相应的指定30与相应的证书关联。最后,证书从操作系统服务器4的本地注册服务11的分配服务15经由分派31传递给替换装置8。在此,分配服务15使用操作系统服务器4的运行时间环境28的驱动程序32。
因此,在运行时间证书的分派也仅在需要时进行,这明显减少了由于证书管理造成的通信传输量。因此同时,能够在技术设备的运行时间实现装置的替换,即,不必为了装置替换而停止技术设备。
认证数据或证书到客户端或多个客户端7的传送能够借助于集成到操作系统服务器4的可视化服务33中的数据源34实现。
由作为装置/应用8代理的第一本地注册服务11所获得的所有的证书都被存储在数据存储器26中。特别地,第一本地注册服务11的状态服务13监控证书的到期日期。如果状态服务确定证书临近到期,那么第一本地注册服务11就在认证机构5处请求替换证书。在此尤其要考虑设备网络的当前配置。
当证书认证机构5不能持续地在技术设备的运行时间运行或不能联系到的时候,该方法是特别有利。在证书认证机构5暂时不可用的情况下,受事件“认证机构再次可用”的控制,第一本地注册服务11检验分派的证书是否临近到期。如果是这样的情况,那么第一本地注册服务11作为装置/应用8的代表在认证机构5处请求替换证书。
特别地,第一本地注册服务11的通知服务14以检验位于软件清单10中的证书的运作日期是否临近到期。在该情况下,其经由操作系统服务器4的运行时间环境28生成相应的诊断消息(警报),从而通过在客户端7的所谓的警报控制中的相应的输出来告知控制系统1的操作者或维护人员,以便接着进行相应的处理。通过其为操作者生成相应的消息的方式,通知服务14也对技术设备中的另外的对于证书管理来说重要的配置做出反应。
第一本地注册服务11的另一个子服务是状态服务13。状态服务13在技术设备1的运行时间测定所使用的证书的当前的状态,并且在过程历史归档服务器3的软件清单10中存储状态信息的副本。状态信息例如能够是由装置/应用8所使用的证书的数量和类型。状态服务13也能够检测:目前还有没有通过分配任务15分配的证书或者未来是否必须还要分配证书。状态服务13也能够记录在认证或证书分派时可能出现的错误。
图2给出了第一本地注册服务11的各个子服务的时间和内容上的联结的概览。在时间上从上到下进行地阐述了在技术设备的运行时间的装置替换。依次的步骤以A-M标记。
步骤A:通知服务14确定装置8的证书的有效性临近到期。通知服务14从软件清单10提取该信息。
步骤B:通知服务14借助于运行时间环境28将消息经由在客户端7的所谓的警报控制中的相应的输出发送给控制系统1的操作者或维护人员。
步骤C:控制系统1的操作者或维护人员替换装置8。装置配置中的改变通过运行时间环境28的配置进程27反映在操作系统服务器4中。
步骤D:装置8的替换记录在软件清单10中,其中,该信息由运行时间环境28的配置进程27提供。从软件清单10中删除对于旧的替换掉的装置8的条目。
步骤E:注册服务16测定新来的装置8能够应用哪些证书。
步骤F:注册服务16测定哪些协议或接口也由新来的装置8主动使用。
步骤G:注册服务16将在步骤E和F中测定的信息存储在软件清单10中。
步骤H:状态服务13更新软件清单10的状态。在此尤其地,状态服务检验哪些证书目前由装置8所应用。
步骤I:状态服务13通过软件清单10中进行的状态改变来告知管理服务12。
步骤J:管理服务12对软件清单10中的状态改变做出反应并且开始检验,将哪些装置/应用8注册为可靠的通信用户以及将哪些证书授权给替换装置8。
步骤K:管理服务在证书认证机构5处请求相应的证书。
步骤L:证书认证机构5检验,证书请求是否来源于可靠的本地注册服务11,并且如有可能地为分配服务15提供对于新来的替换装置来说运作的证书。
步骤M:分配服务15将证书传递给替换装置8并且放入软件清单10中。
尽管通过优选的实施例在细节上详细地阐述并描述了本发明,但本发明并不局限于所公开的实例,并且其它的变体能够由专业人员推导出,这并不脱离本发明的保护范围。
Claims (15)
1.一种用于在用于技术设备的控制系统(1)中认证装置(8)和/或应用的方法,其中,所述控制系统(1)具有至少一个本地注册服务(11、17)和至少一个软件清单(10),所述方法具有以下步骤:
a)在所述控制系统(1)内认证所述装置(8)和/或所述应用的过程中,通过至少一个所述本地注册服务(11、17)测定如下信息:哪些通信协议和/或应用被所述装置(8)和/或所述应用程序的支持和/或是活跃的,
b)在所述控制系统(1)的所述软件清单(10)中存储通过至少一个所述本地注册服务(11、17)测定的装置特定的信息。
2.根据权利要求1所述的方法,所述应用是网络应用。
3.根据权利要求1或2所述的方法,其中,所述装置(8)和/或所述应用在所述技术设备启动时相对于所述本地注册服务(11、17)进行认证,以便在所述技术设备中注册为可靠的通信用户。
4.根据权利要求3所述的所述的方法,其中,所述装置(8)和/或所述应用附加地在所述技术设备的运行时间期间相对于所述本地注册服务(11、17)进行认证,以便在所述技术设备中注册为可靠的通信用户。
5.根据前述权利要求中任一项所述的方法,其中,在所述软件清单(10)中存储关于所述控制系统(1)和/或利用所述控制系统(1)运行的所述技术设备的配置的信息。
6.根据权利要求5所述的方法,其中,所述控制系统(1)包括工程构件(2),从所述工程构件中读取关于所述控制系统(1)和/或所述技术设备的所述配置的信息并且存储在所述软件清单(10)中。
7.根据前述权利要求中任一项所述的方法,其中,基于运作的证书进行对所述装置(8)和/或所述应用的所述认证。
8.在引用权利要求6的情况下根据权利要求5或6所述的方法,其中,所述本地注册服务(11、17)读取存储在所述软件清单(10)中的信息,以便在认证所述装置(8)和/或所述应用时进行检验:允许将哪个运作的证书指派给相应的所述装置(8)和/或相应的所述应用。
9.根据前述权利要求中任一项所述的方法,其中,对所述装置(8)和/或所述应用的所述认证具有特定的时间有效性,所述时间有效性作为所述装置特定的信息存储在所述软件清单(10)中,其中,在所述认证的所述时间有效性到期之前,所述控制系统(1)的所述本地注册服务(11、17)从所述软件清单(10)中读取关于所述时间有效性的信息,而不取决于由于所述装置(8)和/或所述应用程序的要求,并且进行所述认证的更新以延长所述认证的所述时间有效性。
10.一种用于技术设备的控制系统(1),所述控制系统包括本地注册服务(11、17),其中,所述本地注册服务(11、17)设置和设计用于根据前述权利要求中任一项所述的方法对装置(8)或应用进行认证。
11.根据权利要求10所述的控制系统(1),其中,所述应用是网络应用。
12.根据权利要求10或11所述的控制系统(1),所述控制系统附加地包括至少一个用于存储信息的软件清单(10)。
13.根据前述权利要求中任一项所述的控制系统(1),所述控制系统附加地包括至少一个过程数据存档(3),其中,所述软件清单(10)集成在所述过程数据存档(3)中。
14.根据权利要求10至13中任一项所述的控制系统(1),所述控制系统附加地包括至少一个工程构件(2)和/或至少一个操作系统(4),其中,所述本地注册服务(11、17)集成在所述工程构件(2)和/或所述至少一个操作系统(4)中。
15.一种根据权利要求10至14中任一项所述的控制系统(1)的用于运行技术设备的应用。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP17169871.5A EP3402152B1 (de) | 2017-05-08 | 2017-05-08 | Anlagenspezifisches, automatisiertes zertifikatsmanagement |
| EP17169871.5 | 2017-05-08 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108880788A true CN108880788A (zh) | 2018-11-23 |
| CN108880788B CN108880788B (zh) | 2021-12-03 |
Family
ID=58692406
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810360383.1A Active CN108880788B (zh) | 2017-05-08 | 2018-04-20 | 在用于技术设备的控制系统中的认证方法以及控制系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11163870B2 (zh) |
| EP (1) | EP3402152B1 (zh) |
| CN (1) | CN108880788B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110798317A (zh) * | 2018-08-02 | 2020-02-14 | 西门子股份公司 | 公钥基础设施的自动初始化 |
| CN113498593A (zh) * | 2019-02-26 | 2021-10-12 | 西门子股份公司 | 在设施规划工具中集成的证书管理 |
| US11516020B2 (en) * | 2018-06-06 | 2022-11-29 | Tencent Technology (Shenzhen) Company Limited | Key management method, apparatus, and system, storage medium, and computer device |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10439825B1 (en) * | 2018-11-13 | 2019-10-08 | INTEGRITY Security Services, Inc. | Providing quality of service for certificate management systems |
| EP3796107A1 (de) * | 2019-09-17 | 2021-03-24 | Siemens Aktiengesellschaft | Leitsystem und verfahren zum zertifikatsmanagement |
| US11768878B2 (en) * | 2019-09-20 | 2023-09-26 | Fisher-Rosemount Systems, Inc. | Search results display in a process control system |
| US11768877B2 (en) * | 2019-09-20 | 2023-09-26 | Fisher-Rosemount Systems, Inc. | Smart search capabilities in a process control system |
| EP3820105B1 (de) | 2019-11-11 | 2023-03-15 | Siemens Aktiengesellschaft | Verfahren und system zur sicheren zeitsynchronisation |
| US20220078033A1 (en) * | 2020-09-04 | 2022-03-10 | Cohesity, Inc. | Certificate management |
| EP3993339B1 (de) | 2020-10-29 | 2023-05-31 | Siemens Aktiengesellschaft | Zertifikatsmanagement in einer technischen anlage |
| EP4002755A1 (de) | 2020-11-16 | 2022-05-25 | Siemens Aktiengesellschaft | Dynamisches zertifikatsmanagement zur laufzeit einer technischen anlage |
| EP4044551A1 (de) | 2021-02-15 | 2022-08-17 | Siemens Aktiengesellschaft | Überwachung einer vertrauenswürdigkeit einer registrierungsstelle |
| EP4243343A1 (de) * | 2022-03-10 | 2023-09-13 | Siemens Aktiengesellschaft | Verfahren zur ausstellung eines zertifikats und computerimplementierte registrierungsstelle |
| EP4333364A1 (de) * | 2022-08-31 | 2024-03-06 | Siemens Aktiengesellschaft | Verfahren zur überwachung eines computerimplementierten komponenteninventars |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030115455A1 (en) * | 2001-12-19 | 2003-06-19 | Aull Kenneth W. | Method and apparatus for centralized processing of hardware tokens for PKI solutions |
| CN101232372A (zh) * | 2007-01-26 | 2008-07-30 | 华为技术有限公司 | 认证方法、认证系统和认证装置 |
| CN102195987A (zh) * | 2011-05-31 | 2011-09-21 | 成都七巧软件有限责任公司 | 一种基于软件产品库的分布式可信认证方法和系统 |
| CN102792313A (zh) * | 2010-03-19 | 2012-11-21 | 微软公司 | 对数据的基于证书的访问 |
| WO2013093209A1 (en) * | 2011-12-21 | 2013-06-27 | Ssh Communications Security Oyj | Automated access, key, certificate, and credential management |
| CN103297816A (zh) * | 2013-05-08 | 2013-09-11 | 深圳创维数字技术股份有限公司 | 一种安全下载方法及数字电视接收终端 |
| CN103748526A (zh) * | 2011-08-30 | 2014-04-23 | 西门子公司 | 提供用于自动化设备的自动化装置的装置专用操作者数据的方法和系统 |
| US20140208390A1 (en) * | 2013-01-24 | 2014-07-24 | General Electric Company | System and method for enhanced control system security |
| US20140282916A1 (en) * | 2013-03-15 | 2014-09-18 | Aerohive Networks, Inc. | Access authorization through certificate validation |
| CN104471609A (zh) * | 2012-05-18 | 2015-03-25 | 迪尔伯恩金融公司 | 采用混合激励贸易工具的全球污染控制系统和建立市场价值的相关方法 |
| US20160112406A1 (en) * | 2014-10-20 | 2016-04-21 | Schneider Electric Industries S.A.S. | Authentication and authorization in an industrial control system using a single digital certificate |
| CN105912272A (zh) * | 2016-04-14 | 2016-08-31 | 华为技术有限公司 | 一种控制多个安全应用软件的运行的装置和方法 |
| US20160315778A1 (en) * | 2011-06-17 | 2016-10-27 | Assa Abloy Ab | Revocation status using other credentials |
Family Cites Families (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140180883A1 (en) * | 2000-04-26 | 2014-06-26 | Accenture Llp | System, method and article of manufacture for providing tax services in a network-based tax architecture |
| US8380630B2 (en) * | 2000-07-06 | 2013-02-19 | David Paul Felsher | Information record infrastructure, system and method |
| DE10124800A1 (de) * | 2001-05-21 | 2002-12-12 | Siemens Ag | Prozessautomatisierungssystem und Prozessgerät für ein Prozessautomatisierungssystem |
| AU2002332556A1 (en) * | 2001-08-15 | 2003-03-03 | Visa International Service Association | Method and system for delivering multiple services electronically to customers via a centralized portal architecture |
| US20050071630A1 (en) * | 2003-08-15 | 2005-03-31 | Imcentric, Inc. | Processing apparatus for monitoring and renewing digital certificates |
| US8682979B2 (en) * | 2005-07-01 | 2014-03-25 | Email2 Scp Solutions Inc. | Secure electronic mail system |
| US20070067512A1 (en) * | 2005-09-19 | 2007-03-22 | Smar Research Corporation | Method, system and software arrangement for processing a device support file for a field device |
| JP4449933B2 (ja) * | 2006-03-31 | 2010-04-14 | ブラザー工業株式会社 | 電子証明書発行システム、電子証明書発行装置、通信装置、及び、プログラム |
| KR100860404B1 (ko) * | 2006-06-29 | 2008-09-26 | 한국전자통신연구원 | 다중 도메인 홈네트워크 환경에서의 디바이스 인증 방법 및장치 |
| DE102006042554B4 (de) * | 2006-09-11 | 2009-04-16 | Siemens Ag | Verfahren und System zum kontinuierlichen Übertragen von verschlüsselten Daten eines Broadcast-Dienstes an ein mobiles Endgerät |
| US8010786B1 (en) * | 2006-10-30 | 2011-08-30 | Citigroup Global Markets Inc. | Systems and methods for managing digital certificate based communications |
| EP2083374A1 (en) * | 2008-01-23 | 2009-07-29 | Siemens Aktiengesellschaft | Method for electronically signing electronic documents and method for verifying an electronic signature |
| US20100031028A1 (en) * | 2008-07-31 | 2010-02-04 | Research In Motion Limited | Systems and methods for selecting a certificate for use with secure messages |
| US20120136796A1 (en) * | 2010-09-21 | 2012-05-31 | Ayman Hammad | Device Enrollment System and Method |
| WO2012074737A1 (en) * | 2010-12-03 | 2012-06-07 | Siemens Enterprise Communications, Inc. | Apparatus and method for subscription to a service and use of the service |
| GB2494920B8 (en) * | 2011-09-26 | 2014-02-19 | Validsoft Uk Ltd | Network connection method |
| US9185053B2 (en) * | 2011-11-09 | 2015-11-10 | Honeywell International Inc. | Virtual fault tolerant ethernet appliance and method of operation |
| DE102012201505B4 (de) * | 2012-02-02 | 2013-08-22 | Siemens Aktiengesellschaft | Authentisierungssystem für mobile Geräte zum Datenaustausch von medizinischen Daten |
| WO2013144962A1 (en) * | 2012-03-29 | 2013-10-03 | Arilou Information Security Technologies Ltd. | Security system and method for protecting a vehicle electronic system |
| US8769651B2 (en) * | 2012-09-19 | 2014-07-01 | Secureauth Corporation | Mobile multifactor single-sign-on authentication |
| US9787672B1 (en) * | 2013-03-15 | 2017-10-10 | Symantec Corporation | Method and system for smartcard emulation |
| DE102013205051A1 (de) * | 2013-03-21 | 2014-09-25 | Siemens Aktiengesellschaft | Aktualisieren eines digitalen Geräte-Zertifikats eines Automatisierungsgeräts |
| US9825949B2 (en) * | 2014-03-26 | 2017-11-21 | Rockwell Automation Technologies, Inc. | Device authentication to facilitate secure cloud management of industrial data |
| US9668136B2 (en) * | 2015-09-25 | 2017-05-30 | Citrix Systems, Inc. | Using derived credentials for enrollment with enterprise mobile device management services |
| EP3151503B1 (de) * | 2015-09-29 | 2019-12-11 | Siemens Aktiengesellschaft | Verfahren und system zur authentifizierung einer umgebenden web-anwendung durch eine einzubettende web-anwendung |
| LU93024B1 (de) * | 2016-04-11 | 2017-11-08 | Phoenix Contact Gmbh & Co Kg Intellectual Property Licenses & Standards | Verfahren und Anordnung zum Aufbauen einer sicheren Kommunikation zwischen einer ersten Netzwerkeinrichtung (Initiator) und einer zweiten Netzwerkeinrichtung (Responder) |
| US10210333B2 (en) * | 2016-06-30 | 2019-02-19 | General Electric Company | Secure industrial control platform |
| US10419931B1 (en) * | 2016-08-25 | 2019-09-17 | EMC IP Holding Company LLC | Security for network computing environment using centralized security system |
| US20180278607A1 (en) * | 2017-03-22 | 2018-09-27 | Amazon Technologies, Inc. | Device Credentials Management |
| AU2017406364B2 (en) * | 2017-03-28 | 2023-02-09 | Ista International Gmbh | Signal communication system |
| US10757103B2 (en) * | 2017-04-11 | 2020-08-25 | Xage Security, Inc. | Single authentication portal for diverse industrial network protocols across multiple OSI layers |
-
2017
- 2017-05-08 EP EP17169871.5A patent/EP3402152B1/de active Active
-
2018
- 2018-04-20 CN CN201810360383.1A patent/CN108880788B/zh active Active
- 2018-05-07 US US15/972,325 patent/US11163870B2/en active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030115455A1 (en) * | 2001-12-19 | 2003-06-19 | Aull Kenneth W. | Method and apparatus for centralized processing of hardware tokens for PKI solutions |
| CN101232372A (zh) * | 2007-01-26 | 2008-07-30 | 华为技术有限公司 | 认证方法、认证系统和认证装置 |
| CN102792313A (zh) * | 2010-03-19 | 2012-11-21 | 微软公司 | 对数据的基于证书的访问 |
| CN102195987A (zh) * | 2011-05-31 | 2011-09-21 | 成都七巧软件有限责任公司 | 一种基于软件产品库的分布式可信认证方法和系统 |
| US20160315778A1 (en) * | 2011-06-17 | 2016-10-27 | Assa Abloy Ab | Revocation status using other credentials |
| CN103748526A (zh) * | 2011-08-30 | 2014-04-23 | 西门子公司 | 提供用于自动化设备的自动化装置的装置专用操作者数据的方法和系统 |
| WO2013093209A1 (en) * | 2011-12-21 | 2013-06-27 | Ssh Communications Security Oyj | Automated access, key, certificate, and credential management |
| CN104471609A (zh) * | 2012-05-18 | 2015-03-25 | 迪尔伯恩金融公司 | 采用混合激励贸易工具的全球污染控制系统和建立市场价值的相关方法 |
| US20140208390A1 (en) * | 2013-01-24 | 2014-07-24 | General Electric Company | System and method for enhanced control system security |
| US20140282916A1 (en) * | 2013-03-15 | 2014-09-18 | Aerohive Networks, Inc. | Access authorization through certificate validation |
| CN103297816A (zh) * | 2013-05-08 | 2013-09-11 | 深圳创维数字技术股份有限公司 | 一种安全下载方法及数字电视接收终端 |
| US20160112406A1 (en) * | 2014-10-20 | 2016-04-21 | Schneider Electric Industries S.A.S. | Authentication and authorization in an industrial control system using a single digital certificate |
| CN105912272A (zh) * | 2016-04-14 | 2016-08-31 | 华为技术有限公司 | 一种控制多个安全应用软件的运行的装置和方法 |
Non-Patent Citations (1)
| Title |
|---|
| PENG YINGHUI: "The Application of PKCS#12 Digital Certificate in User Identity Authentication System", 《IEEE》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11516020B2 (en) * | 2018-06-06 | 2022-11-29 | Tencent Technology (Shenzhen) Company Limited | Key management method, apparatus, and system, storage medium, and computer device |
| CN110798317A (zh) * | 2018-08-02 | 2020-02-14 | 西门子股份公司 | 公钥基础设施的自动初始化 |
| US11558203B2 (en) | 2018-08-02 | 2023-01-17 | Siemens Aktiengesellschaft | Automated public key infrastructure initialization |
| CN110798317B (zh) * | 2018-08-02 | 2023-06-02 | 西门子股份公司 | 公钥基础设施的自动初始化 |
| CN113498593A (zh) * | 2019-02-26 | 2021-10-12 | 西门子股份公司 | 在设施规划工具中集成的证书管理 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108880788B (zh) | 2021-12-03 |
| US11163870B2 (en) | 2021-11-02 |
| EP3402152A1 (de) | 2018-11-14 |
| EP3402152B1 (de) | 2019-10-16 |
| US20180322274A1 (en) | 2018-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108880788A (zh) | 在用于技术设备的控制系统中的认证方法以及控制系统 | |
| CN112153155B (zh) | 服务器集群中的服务请求方法、装置、计算机设备及介质 | |
| EP3633915B1 (en) | Secure storage of data in a blockchain | |
| US20170272257A1 (en) | Information processing apparatus, information processing system, information processing method, and recording medium | |
| CN110391910A (zh) | 自动化证书管理 | |
| CN111543031A (zh) | 用于控制和/或监控装置的方法和控制系统 | |
| CN109150828A (zh) | 一种验证注册方法及系统 | |
| CN106276457B (zh) | 电梯数据管理的方法 | |
| CN101803331A (zh) | 用于以安全的方式来访问设备的方法和系统 | |
| CN101669125A (zh) | 对用户进行认证的方法和系统 | |
| CN109818742B (zh) | 一种设备调试方法、装置及存储介质 | |
| CN107851143A (zh) | 用于在设备上使用客户设备证书的装置和方法 | |
| CN111492355B (zh) | 用于控制和/或监控装置的方法和控制系统 | |
| CN109063423A (zh) | 应用软件授权方法及系统 | |
| US20130347077A1 (en) | Automatic authorization of users and configuration of software development environment | |
| CN108476218A (zh) | 用于借助数字证书检验第一设备的安全分级的方法、第一和第二设备以及证书签发装置 | |
| KR20060118247A (ko) | 정보 보안 시스템 및 방법 | |
| WO2023009229A9 (en) | End to end verification of an election run over a public network | |
| CN113141404B (zh) | 智能网关、及数据共享系统 | |
| CN111869165A (zh) | 用于控制和/或监控装置的方法和控制系统 | |
| CN105763569B (zh) | 对账号鉴权的方法、客户端、服务平台及管理平台 | |
| KR20190098863A (ko) | 스마트 폰과의 IoT 통신을 이용한 제조 설비 데이터 수집 및 제어 시스템과 그 방법 | |
| CN104753927A (zh) | 一种统一验证的方法和设备 | |
| US11934507B2 (en) | Project-oriented certificate management | |
| CN115968541A (zh) | 用于分布式数据库系统和设备之间的数据交换的方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |