CN110896350A - 用于技术设施的公钥基础设施的软件数据库 - Google Patents
用于技术设施的公钥基础设施的软件数据库 Download PDFInfo
- Publication number
- CN110896350A CN110896350A CN201910865630.8A CN201910865630A CN110896350A CN 110896350 A CN110896350 A CN 110896350A CN 201910865630 A CN201910865630 A CN 201910865630A CN 110896350 A CN110896350 A CN 110896350A
- Authority
- CN
- China
- Prior art keywords
- installation
- technical
- facility
- certificate
- component
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B11/00—Automatic controllers
- G05B11/01—Automatic controllers electric
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种用于技术设施的公钥基础设施的软件数据库。提出技术设施的控制系统(1)的一种服务功能(6、9),该服务功能设计用于在至少一个设施部件的证书申请时在技术设施的至少一个注册机构(11、12)与至少一个设施部件之间调解,其中,至少一个设施部件已经是技术设施的一部分,或者设置为集成在技术设施中,并且其中,服务功能的调解至少是:识别技术设施的负责至少一个设施部件的注册机构(11、12),并且将至少一个设施部件的证书申请转发到相应的注册机构(11、12),其中,注册机构(11、12)被设计和设置用于,将证书申请转发到技术设施的认证机构(14)。
Description
技术领域
本发明涉及一种用于技术设施的公钥基础设施的软件数据库,其中技术设施特别是生产设施或过程设施,该软件数据库包括在该技术设施中所包含的设施部件的至少一个独有标识。此外,本发明涉及一种技术设施的控制系统的服务功能。此外,本发明还涉及一种技术设施的,特别是生产或过程设施的控制系统,和一种技术设施。此外,本发明涉及一种用于在该技术设施的注册机构处通过技术设施的部件申请证书的方法,还有一种用于通过技术设施的认证机构颁发证书的方法。
背景技术
在技术设施的公钥基础设施的范围内,使用所谓的注册服务(英语:注册机构registration authorities),以用于接收来自设备或技术设施的其他部件的证书申请(所谓的证书注册请求,certificate signing requests,或者简称CSR),并且将证书申请转发给认证机构用于验证。
证书申请可以是为了初始申请(Bootstrapping)的目的进行的申请或者是为了更新(Update)证书的目的进行的申请。在初始申请时,通常利用制造者设备证书(英语:manufacturer device certificate,简写:MDC) 为证书申请签名,而在更新时使用上次颁发的操作证书(OC)来签名。作为在设备制造期间由设备制造者的认证机构颁发的设备证书的替代方案或补充方案,可以使用所谓的客户设备证书(英语:customer devicecertificate,简称:CDC)。在此,该证书是相应的设备在技术设施中经过检查以后获得的。因此,注册机构可以处理证书申请,在初始申请的情况下必须为其提供至少一个设备证书(和/或客户证书)并且在更新的情况下提供至少一个操作证书。
根据设施大小和其他的边界条件,注册机构的任务不仅可以由专用的注册机构承担,也可以由现有的软件工具承担,例如工程化工具或运行时间工具(Runtime-Tool)。对于大型技术设施,专用的注册机构可能是有利的,其不仅可以在工程设计期间也可以紧接着在设施运行期间可用,而对于较小的设施,注册机构的功能适于集成在现有的软件工具或设施部件中。
设施部件可以为了使用不同的安全协议(例如TLS或OPC UA)自己申请所需要的操作证书。此时,设施部件以客户端或申请者的身份向特定的注册机构发送其证书申请,该注册机构验证申请并且将申请转发到例如在设施(“Onsite-CA”)或信任中心(Offsite-CA或CA as a Service)中的认证机构。此时可能的是,将注册机构的地址(例如以UniformResource Locator的形式存在,简称:URL)储存在设施部件自己的配置文件中。
在大部分设施中,用于在工程设计时初始展开证书的工程化工具(例如西门子公司的所谓的“TIA-Portal”),不再适用于技术设施的运行时间。因为这些证书、特别是操作证书仅具有有限的有效期,它们在运行时间中必须可以更新。
原则上,证书的更新可以由另一个同等的运行时间工具(所谓 Runtime-Tool)接管。然而,这导致以下问题:
如上所述,旨在更新证书的证书申请通常由待更新的证书自己签名。因此,应该对更新申请进行验证的注册机构必须被提供有待更新的证书。如果通过工程化工具申请待更新的证书,运行时间工具通常不被提供该待更新的证书。
如上所述,申请证书的设施部件具有以下的信息:它应该在哪个“正确的”注册机构申请它的证书。通常,注册机构的功能在技术设施的工程设计阶段由所使用的工程化工具的部件承担。但是,这些部件通常在技术设施的运行时不再可用,或者不再可以被提供。储存在设施部件中的关于注册机构的信息因此通常不再用于技术设施的运行时间。
发明内容
本发明所基于的目的是,提供一种软件数据库、一种控制系统的服务功能以及一种相关的控制系统,它们在工程设计阶段的部件初始化时和设施运行时的部件更新过程中都使得技术设施的部件的证书申请简化。
该目的通过根据本发明的用于技术设施的公钥基础设施的软件数据库得以实现,其中技术设施特别是生产设施或过程设施,软件数据库包括在技术设施中所包含的设施部件的至少一个独有标识。此外,本发明通过一种技术设施的控制系统的服务功能来实现该目的。此外,该目的还通过根据本发明的技术设施的控制系统得以实现,其中技术设施特别是生产设施或过程设施,并且该目的通过根据本发明的技术设施得以实现。此外,该目的通过根据本发明的用于在技术设施的注册机构处通过技术设施的部件申请证书的方法得以实现,并且通过根据本发明的用于通过技术设施的认证机构颁发证书的方法得以实现。
根据本发明,用于技术设施的公钥基础设施的软件数据库包括在技术设施中所包含的设施部件的至少一个独有标识,其中技术设施特别是生产设施或过程设施,该软件数据库的特征在于,关于至少一个设施部件的储存在软件数据库中的独有标识,软件数据库针对至少一个设施部件具有以下要素:
a)由设施部件的制造者和/或技术设施的操作者颁发的设备证书;和
b)至少一个为技术设施中的设施部件颁发的操作证书。
技术设施可以是来自过程工业的设施,例如化学设施、制药业设施、石油化工设施,或者来自食品和饮品工业的设施。在此也包括来自生产工业、工厂的设施,生产工业/工厂中例如生产汽车或各种商品。适用于执行根据本发明的方法的技术设施也可以来自能源生产领域。用于能源生产的风轮、太阳能设施或者发电厂同样也包括在术语“技术设施”的概念内。
这些设施分别具有控制系统或者至少一个计算机辅助的模块以用于控制和调节正在运行的过程或生产。控制系统的一部分或控制模块的一部分或技术设施的一部分是可以储存数据的至少一个软件数据库。
术语“公钥基础设施”(Public-Key Infrastruktur,简称:PKI)与技术设施的安全基础设施相关,该安全基础设施提供的服务用于在技术设施的通信伙伴之间安全地交换数据。借助公钥基础设施可以颁发、分配和检查证书。
“证书”理解为数字化的数据记录,其确认(在这种情况下是机器的、设备的、应用的和诸如此类的)特定的属性。证书的真实性和完整性可以通过加密方法来验证。
独有标识例如可以是设施部件的序列号。这样的设施部件例如可以是现场设备、控制装置、应用等等。
根据本发明的软件数据库包括至少一个由设施部件的制造者和/或技术设施的操作者颁发的证书。在设备的情况下,由设备的制造者颁发的证书是所谓的设备证书。此外,软件数据库包括至少一个操作证书。这样的操作证书是基于设施部件的申请被颁发的。
通过在软件数据库中的证书的中央存放,除了简化证书管理之外还可以实现更高的透明度以及更好的可审核性和技术设施的回溯跟踪。
前面列举的目的还通过技术设施的控制系统的、根据本发明的服务功能得以实现。该服务功能被设计用于,在至少一个设施部件的证书申请时,在技术设施的至少一个注册机构与至少一个设施部件之间进行调解,其中,至少一个设施部件已经是技术设施的一部分,或者设置为集成到技术设施中,并且其中,服务功能的调解至少是,识别技术设施的负责至少一个设施部件的注册机构,并且将至少一个设施部件的证书申请转发到相应的注册机构处,其中,注册机构被设计和设置用于,将证书申请转发到技术设施的认证机构处。
在本文中,控制系统被理解为计算机辅助的技术系统,其包括用于显示、操作和管理技术制造设施或技术生产设施的功能。在当前情况下,控制系统包括用于确定测量值的传感器以及不同的执行器。此外,控制系统包括所谓的面向过程或制造的部件,其用于驱控执行器或传感器。此外,控制系统还具有用于使技术设施可视化的构件和用于进行工程设计的构件。术语“控制系统”还包括用于更复杂调节的其他计算单元和用于数据存储及处理的系统。
技术设施的注册机构被理解为功能实体,其接收注册询问(如来自技术设施的部件的证书申请)、检查注册询问并且特别是在成功的情况下将注册询问转发到技术设施的认证机构处。在当前情况下,注册机构首先设置用于处理技术设施的设施部件的证书申请。
根据本发明的服务功能在内部具有调解功能。其知道:哪个注册机构负责特定设施部件的特定证书申请,或者对于特定设施部件的特定证书申请应该选择哪个注册机构。通常,一个技术设施具有一个以上的注册机构,从而需要在特定的时间为特定的设施部件识别出正确的注册机构。在此,“正确的”意味着:特定的注册机构例如当前仅仅具有很小的负荷,并且因此可以快速地处理收到的申请。此外,注册机构有时候可能是无法联系的,因为连接由于故障而中断。
根据本发明,服务功能具有必要的信息,以便在设施部件与注册机构之间进行调解。为此可以提出,技术设施的注册机构主动地在服务功能处注册,并且传达注册机构的状态。然而也有可能的是,服务功能自己启动询问,在特定的时间点哪些注册机构可以使用。
从本发明发展出的优点在于,各个设施部件的配置数据不必经常地在应选择的注册机构方面被更新。此外,设施部件或要将设施部件集成到技术设施中的使用者解除了识别准确的/正确的注册机构的任务。
有利地,服务功能在操作站服务器和/或操作站独立计算机上实施。“操作站服务器”在此被理解为一种服务器,其采集操作和监视系统的中央数据以及通常采集技术设施的控制系统的警报和测量值档案,并且将它们提供给使用者。在此,服务功能可以在多个计算机/服务器上实施,以实现冗余或更高的可用性。
操作站服务器通常建立与技术设施的自动化系统的通信连接,并且将技术设施的数据转发到所谓的客户端处,客户端用于操作和监视技术设施的各个功能元件的运行。操作站服务器可以具有客户端功能,以便访问其他操作站服务器的数据(档案、报告、标签、变量)。由此,操作站服务器上的技术设施运行图像可以与其他操作站服务器的变量(服务器-服务器-通信)组合。操作站服务器可以是西门子公司的SIMATIC PCS 7工业工作站服务器,但不局限于此。
在根据本发明的服务功能的有利的改进方案中,服务功能被设计用于实施技术设施的多个注册服务的相互协调,这如下进行,服务功能可以在技术设施的设施部件与负责该设施部件的证书申请的注册服务之间实施独有的对应关系。这样的协调例如可以是,只要已经有一个注册机构被标识为可用的,那么在服务功能处就不再注册其他的注册机构。
此外,该目的还通过一种技术设施的控制系统得以实现,其中,技术设施特别是生产或过程设施,在该控制系统中实施如上所述的至少一个软件数据库和服务功能。通过有利地组合软件数据库和服务功能,使得服务功能的调解活动明显简化。特别地,服务功能不必注意:所选择的注册机构究竟是否已经知道提出申请的设施部件的证书。通过将颁发的证书存放在软件数据库中,每个任意的注册机构都可以随时调用颁发的证书。在此,证书在软件数据库中的存放可以通过注册机构或服务功能自己完成。当然也可以在链条“认证机构-设施-部件”之间接入更多的或者其他的功能。
前述目的还通过一种技术设施得以实现,其中,技术设施特别是生产或过程设施,在该技术设施中实现至少一个如上所述的控制系统。
根据本发明的用于在技术设施的注册机构通过技术设施的部件申请证书的方法包括以下步骤:
a)借助于如上述设计的服务功能,将设施部件的证书申请传输到技术设施的负责该设施部件的注册机构处;
b)通过注册机构检查:随附于证书申请的、由设施部件的制造者和/或由技术设施的操作者颁发的证书和/或针对技术设施中的设施部件颁发的操作证书,是否储存在技术设施的如上述设计的软件数据库中;
c)通过注册机构检查:证书申请的签名是否正确;
d)通过注册机构检查:证书申请的公钥是否与由设施部件的制造者和/或由技术设施的操作者颁发的证书中和/或针对技术设施中的设施部件颁发的操作证书中包括的公钥一致。
根据方法步骤c)进行的检查是所谓的“所有权证明”(Proof of Possession)。此时检查:证书申请的签名(英语也称为“Certificate signing request”或者简称:CSR)是否由提出申请的设施部件(在使用一个仅供其使用的私钥的情况下)生成。当签名被证明为无效时,该设施部件的验证被终止。
根据方法步骤d)检查公钥也被称为“来源证明”(Proof of Origin)。
在检查方法的框架下,注册机构可以额外检查,提出认证申请的设施部件是否可以被关联于特定的行动(Unternehmen)。
可替代地或附加地,注册机构可以在检查方法的框架下检查:设施部件具有哪种类型和/或证书申请的使用目的是否正确。
在成功的情况下,也就是在提出认证申请的设施部件验证成功的情况下,可以由认证机构颁发相应的证书,并且将其不仅传输到相应的设施部件处,也还传输到技术设施的上述软件数据库处。如上所述,这种传输可以例如由注册机构或服务功能实施。
附图说明
结合下文中依据附图详细阐述的实施例说明,本发明的特性、特征和优点以及实现这些的方式和方法更加清楚易懂。
图1示意性示出了技术设施的根据本发明的控制系统1的一部分。
具体实施方式
图1示意性示出了技术设施的根据本发明的控制系统1的一部分。控制系统1包括独立计算机2、操作站服务器3和另一个服务器4。
在独立计算机2上实施网络服务器5,其中又集成了服务功能6。此外,在独立计算机上实施认证服务7。
在操作站服务器3上实施网络服务器8,其中又集成了服务功能9。此外,在操作站服务器3上实施认证服务10、第一注册机构11以及第二注册机构12。
在另一个服务器4上实施软件数据库13和认证机构14。
此外,控制系统1具有终端站15,上面实施显示功能16并实施具有服务功能17的客户端。
借助于显示功能16,使用者可以示出通过网络服务器5、8提供的服务的图形表示。服务功能17作为客户端功能访问根据本发明设计作为调解者的两个其他服务功能6、9。它们结合成簇(cluster),以提升可用性。准确来说,服务功能17的客户端因此访问这个簇。
通过提供簇,可以经由这两个服务功能6、9中的每一个询问当前的注册机构11、12。由设施部件提出的证书申请自动地转发到正确的注册机构11、12处。在服务功能6、9之间相应地接入认证服务7、10,其确定当前可用的注册机构11、12并且紧接着在相应的注册机构11、12处提出证书申请。
在成功的情况下,也就是说在设施部件验证成功的情况下,所选择的注册机构11、12将证书申请转发到技术设施的认证机构14处。认证机构 14也被称为所谓的“证书颁发机构(Issuing CA(Certification Authority))”。这样的证书颁发机构通常总是在线的,并且基于收到的证书申请为各种申请者颁发证书,证书颁发机构用它们自有的证书颁发机构证书为证书签名。证书颁发机构的可信度通过以下方式得到保障,它自有的证书颁发机构证书由在安全环境中的可信的根认证机构(也称为Root CA)的证书签名。在这里要注意的是,根认证机构大部分时间是离线的,并且只有当根认证机构要为所属的证书颁发机构颁发证书时才被(在遵守严格的安全措施的情况下)激活或接通。根认证机构可以位于技术设施的外部。
由认证机构14颁发的证书紧接着不仅传输给设施部件,而且还被传输给软件数据库13,在那里证书可以供整个控制系统1内的未来的其他证书请求所使用。
虽然通过优选的实施例详尽地阐述和说明了本发明的细节,但是本发明不局限于公开的实施例,并且本领域技术人员可以从中推导出其他的变体,而不脱离本发明的保护范围。
Claims (14)
1.一种用于技术设施的公钥基础设施的软件数据库(13),所述软件数据库包括在所述技术设施中所包含的设施部件的至少一个独有标识,其特征在于,关于至少一个所述设施部件的储存在所述软件数据库(13)中的独有标识,所述软件数据库(13)针对至少一个所述设施部件具有以下信息:
a)由所述设施部件的制造者和/或所述技术设施的操作者颁发的设备证书;和
b)针对所述技术设施中的所述设施部件颁发的至少一个操作证书。
2.根据权利要求1所述的软件数据库(13),其特征在于,所述技术设施是生产或过程设施。
3.一种技术设施的控制系统(1)的服务功能(6、9),所述服务功能被设计用于,在至少一个设施部件的证书申请时,在所述技术设施的至少一个注册机构(11、12)与至少一个所述设施部件之间进行调解,其中,至少一个所述设施部件已经是所述技术设施的一部分或者设置为集成在所述技术设施中,并且其中,所述服务功能的调解至少是:识别所述技术设施的负责至少一个所述设施部件的所述注册机构(11、12),并且将至少一个设施部件的证书申请转发到相应的注册机构(11、12),其中,所述注册机构(11、12)被设计和设置用于,将所述证书申请转发到所述技术设施的认证机构(14)。
4.根据权利要求3所述的服务功能(6、9),所述服务功能在至少一个操作站服务器(3)和/或操作站独立计算机(2)上实施。
5.根据权利要求3或4所述的服务功能(6、9),所述服务功能被设计用于,对所述技术设施的多个注册机构(11、12)进行相互协调,该协调通过所述服务功能(6、9)能够在所述技术设施的所述设施部件与负责该设施部件的证书申请的所述注册机构(11、12)之间实施独有的对应关系来实现。
6.一种技术设施的控制系统(1),在所述控制系统中实现至少一个根据权利要求1或2所述的软件数据库(13)和根据权利要求3至5中任一项所述的服务功能(6、9)。
7.根据权利要求6所述的控制系统(1),其特征在于,所述技术设施是生产或过程设施。
8.一种实施至少一个根据权利要求7所述的控制系统(1)的技术设施。
9.根据权利要求8所述的技术设施,其特征在于,所述技术设施是生产或过程设施。
10.一种用于在技术设施的注册机构(11、12)处通过技术设施的部件申请证书的方法,包括:
a)借助根据权利要求3至5中任一项所述的服务功能(6、9)将设施部件的证书申请传输给所述技术设施的负责该设施部件的所述注册机构(11、12);
b)通过所述注册机构(11、12)检查,在所述技术设施的根据权利要求1所述的软件数据库中是否储存了随附于所述证书申请的、由所述设施部件的制造者和/或由所述技术设施的操作者颁发的证书和/或针对所述技术设施中的所述设施部件颁发的操作证书;
c)通过所述注册机构(11、12)检查,所述证书申请的签名是否正确;
d)通过所述注册机构(11、12)检查:证书申请的公钥是否与由所述设施部件的制造者和/或由所述技术设施的操作者颁发的证书中和/或针对所述技术设施中的所述设施部件颁发的操作证书中包括的公钥一致。
11.根据权利要求10所述的方法,其中,通过所述注册机构(11、12)检查:提交证书申请的所述设施部件是否能够关联于特定的行动。
12.根据权利要求10或11所述的方法,其中,通过所述注册机构(11、12)检查:所述设施部件是哪种类型的。
13.根据权利要求10或12中任一项所述的方法,其中,还通过所述注册机构(11、12)检查:证书申请的使用目的是否正确。
14.一种用于通过技术设施的认证机构颁发证书的方法,其中,首先根据权利要求10至13中任一项所述的方法申请证书,随后,在成功的情况下,由所述认证机构(14)颁发相应的证书,并且不仅传输给相应的设施部件,而且还传输给技术设施的根据权利要求1所述的软件数据库(13)。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP18194247.5A EP3624413A1 (de) | 2018-09-13 | 2018-09-13 | Automatisiertes zertifikatsmanagement für automatisierungsanlagen |
EP18194247.5 | 2018-09-13 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110896350A true CN110896350A (zh) | 2020-03-20 |
Family
ID=63683641
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910865630.8A Pending CN110896350A (zh) | 2018-09-13 | 2019-09-12 | 用于技术设施的公钥基础设施的软件数据库 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20200092115A1 (zh) |
EP (1) | EP3624413A1 (zh) |
CN (1) | CN110896350A (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210258665A1 (en) * | 2020-02-17 | 2021-08-19 | Infinera Corp. | Secure autonomic optical transport networks |
EP3944108A1 (de) | 2020-07-21 | 2022-01-26 | Siemens Aktiengesellschaft | Revokation von zertifikaten in einer technischen anlage |
EP3993339B1 (de) * | 2020-10-29 | 2023-05-31 | Siemens Aktiengesellschaft | Zertifikatsmanagement in einer technischen anlage |
EP4044551A1 (de) * | 2021-02-15 | 2022-08-17 | Siemens Aktiengesellschaft | Überwachung einer vertrauenswürdigkeit einer registrierungsstelle |
EP4243343A1 (de) * | 2022-03-10 | 2023-09-13 | Siemens Aktiengesellschaft | Verfahren zur ausstellung eines zertifikats und computerimplementierte registrierungsstelle |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102891750A (zh) * | 2011-07-19 | 2013-01-23 | Abb技术股份公司 | 过程控制系统 |
CN103117987A (zh) * | 2011-11-17 | 2013-05-22 | 航天信息股份有限公司 | 数字证书更新方法 |
CN105282122A (zh) * | 2014-07-22 | 2016-01-27 | 中兴通讯股份有限公司 | 基于数字证书的信息安全实现方法及系统 |
CN105678179A (zh) * | 2014-11-20 | 2016-06-15 | 广东华大互联网股份有限公司 | 一种ic卡互联网终端发行方法及管理系统 |
CN106899542A (zh) * | 2015-12-17 | 2017-06-27 | 中兴通讯股份有限公司 | 安全接入方法、装置及系统 |
CN107784223A (zh) * | 2016-08-26 | 2018-03-09 | 西门子瑞士有限公司 | 用于将证书传输到设备中的仪器的计算机装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016007715A1 (en) * | 2014-07-11 | 2016-01-14 | Entrust, Inc. | System, method and apparatus for providing enrollment of devices in a network |
DE102015214696A1 (de) * | 2015-07-31 | 2017-02-02 | Siemens Aktiengesellschaft | Vorrichtung und Verfahren zum Verwenden eines Kunden-Geräte-Zertifikats auf einem Gerät |
-
2018
- 2018-09-13 EP EP18194247.5A patent/EP3624413A1/de not_active Withdrawn
-
2019
- 2019-09-12 US US16/569,284 patent/US20200092115A1/en not_active Abandoned
- 2019-09-12 CN CN201910865630.8A patent/CN110896350A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102891750A (zh) * | 2011-07-19 | 2013-01-23 | Abb技术股份公司 | 过程控制系统 |
CN103117987A (zh) * | 2011-11-17 | 2013-05-22 | 航天信息股份有限公司 | 数字证书更新方法 |
CN105282122A (zh) * | 2014-07-22 | 2016-01-27 | 中兴通讯股份有限公司 | 基于数字证书的信息安全实现方法及系统 |
CN105678179A (zh) * | 2014-11-20 | 2016-06-15 | 广东华大互联网股份有限公司 | 一种ic卡互联网终端发行方法及管理系统 |
CN106899542A (zh) * | 2015-12-17 | 2017-06-27 | 中兴通讯股份有限公司 | 安全接入方法、装置及系统 |
CN107784223A (zh) * | 2016-08-26 | 2018-03-09 | 西门子瑞士有限公司 | 用于将证书传输到设备中的仪器的计算机装置 |
Also Published As
Publication number | Publication date |
---|---|
EP3624413A1 (de) | 2020-03-18 |
US20200092115A1 (en) | 2020-03-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110896350A (zh) | 用于技术设施的公钥基础设施的软件数据库 | |
US11558203B2 (en) | Automated public key infrastructure initialization | |
CN110391910B (zh) | 自动化证书管理 | |
EP3619888B1 (en) | Automated certificate enrollment for devices in industrial control systems or other systems | |
CN108880788B (zh) | 在用于技术设备的控制系统中的认证方法以及控制系统 | |
US20230275767A1 (en) | Control System for Technical Plants Having Certificate Management | |
US11412047B2 (en) | Method and control system for controlling and/or monitoring devices | |
CN114448655B (zh) | 技术设施的证书管理 | |
EP3918501B1 (en) | Method and system for performing remote attestation with a gateway in the context of a trusted execution environment (tee) | |
AU2020203818A1 (en) | Device update transmission using a bloom filter | |
CN111869165B (zh) | 用于控制和/或监控装置的方法和控制系统 | |
CN113132111B (zh) | 用于技术设施的具有证书管理的控制系统 | |
CN111837120B (zh) | 与项目相关的证书管理 | |
US20230267188A1 (en) | Control System for a Technical Installation and Method for Removing One or More Certificates | |
US20220137601A1 (en) | Certificate Management Integrated into a Plant Planning Tool | |
US20230291725A1 (en) | Computer-Implemented Registration Authority, System and Method for Issuing a Certificate | |
US20220239641A1 (en) | Engineering Control System, Technical Installation and Method and System for Awarding Publicly Trusted Certificates | |
US20220138303A1 (en) | Certificate Management in a Technical Installation | |
JP2024524453A (ja) | 技術的な設備のためのコントロールシステムおよび設備コンポーネントの証明書要求を伝送するための方法 | |
CN117581506A (zh) | 技术设备的控制系统和传送设备组件的证书请求的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200320 |
|
WD01 | Invention patent application deemed withdrawn after publication |