CN115085961B - 在自动化设施的通信网络中对设备的认证 - Google Patents
在自动化设施的通信网络中对设备的认证 Download PDFInfo
- Publication number
- CN115085961B CN115085961B CN202210197857.1A CN202210197857A CN115085961B CN 115085961 B CN115085961 B CN 115085961B CN 202210197857 A CN202210197857 A CN 202210197857A CN 115085961 B CN115085961 B CN 115085961B
- Authority
- CN
- China
- Prior art keywords
- authentication
- network
- communication
- communication port
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 155
- 238000009434 installation Methods 0.000 title claims abstract description 21
- 238000000034 method Methods 0.000 claims abstract description 51
- 230000005540 biological transmission Effects 0.000 claims abstract description 16
- 230000004044 response Effects 0.000 claims description 4
- 230000008569 process Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- NKZWHPWGLZLGMH-UHFFFAOYSA-N 2-n,7-n-bis(3-aminopropyl)-1,8-naphthyridine-2,7-diamine Chemical compound C1=CC(NCCCN)=NC2=NC(NCCCN)=CC=C21 NKZWHPWGLZLGMH-UHFFFAOYSA-N 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 241001074707 Eucalyptus polyanthemos Species 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/22—Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L12/40169—Flexible bus arrangements
- H04L12/40176—Flexible bus arrangements involving redundancy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0668—Management of faults, events, alarms or notifications using network fault recovery by dynamic selection of recovery network elements, e.g. replacement by the most appropriate element after failure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/04—Arrangements for maintaining operational condition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Power Engineering (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及在自动化设施的通信网络中对设备的认证。在用于在自动化设施的通信网络中对设备进行认证的方法中,将指定该设备的认证信息传输到认证服务器,并且认证服务器基于认证信息允许或拒绝该设备作为通信网络的参与者。为了在以冗余方式设计的通信网络中也能够对设备进行认证,提出了通信网络包括两个子网络,其中,所述设备与两个子网络连接,以进行冗余数据传输。所述设备向布置在子网络中的接入点发送认证请求,以开始进行认证。接入点向与相应的子网络连接的认证服务器发送认证信息,认证服务器根据相应的接收到的认证信息分别对所述设备的可靠性进行检查,并且作为检查的结果,允许或者拒绝所述设备作为相应的子网络的参与者。
Description
技术领域
本发明涉及一种用于在自动化设施的通信网络中对设备进行认证的方法,其中,将指定该设备的认证信息传输到认证服务器,并且认证服务器基于认证信息允许或拒绝该设备作为通信网络的参与者。
本发明一方面还涉及一种用于连接到自动化设施的通信网络的具有通信能力的设备,以及另一方面涉及具有这种设备的通信网络。
背景技术
现在,在许多技术领域,例如在设施的自动化中,使用具有通信能力的设备,即如下设备,这些设备可以连接到通信网络,并且通过传输相应的数据报经由通信网络与其它设备交换数据。在通信网络中使用这种设备的一个示例是如下的自动化设施,在该自动化设施中,具有网络能力的自动化设备(下面也简称为“设备”)经由通信网络相互连接,以交换数据报。自动化设施用于诸如电能供应网络或者电气开关设施的系统的自动化,并且通常包括布置在相应的设施、即例如电能供应网络的初级部件附近的自动化设备(例如所谓的现场设备)。在电能供应网络的情况下,这种初级部件例如可以是电缆和电线、变压器、发电机、电机或转换器。这些设备例如可以是安装在电能供应网络的变电站中的所谓的电气保护设备或现场控制设备。在技术术语中,经常也将这种设备称为所谓的“IED”(“Intelligent Electronic Devices(智能电子设备)”)。在此,设备与通信网络连接,并且经由其交换数据报,数据报例如作为有效数据包括控制命令、关于事件的报告(例如阈值违规)、测量值或状态报告。
自动化设施经常是安全关键的系统,必须针对未经授权的访问和操纵对这些系统进行保护。因此,在这种自动化设施的通信网络中,通常仅允许事先通过注册的设备相互交换数据,在进行注册时,一方面确定设备的身份,另一方面由上级部门确定设备在通信网络中交换数据的权限。也将该过程称为“认证”。
关于如何能够在通信网络中对设备进行认证,已知不同的方法。因此,IEEE802.1X标准定义了一种认证协议,利用该认证协议,可以确保仅经过授权的设备能够经由接入点(例如以太网桥)的释放的通信端口(“access ports(访问端口)”)访问通信网络(例如LAN)。经常在信息技术(IT)的通信网络中使用这种根据IEEE 802.1X的基于端口的认证。在操作技术(“operation technology”-OT)的范围内也进行使用,但是如稍后将详细说明的,由于特定的特殊性,这里该过程有时将达到其极限。
图1示出了用于说明为了在通信网络11中交换数据而对设备10进行认证的基于IEEE 802.1X-2020第7.1节的图示。在此,设备10(“主机”)经由点对点连接12与通信网络11的接入点13(“access point”)连接。设备10例如可以是个人计算机、具有通信能力的终端设备或自动化设置的自动化设备。接入点13例如可以由以太网桥形成。在设备10与接入点13连接并且接通之后,设备以“请求方(Supplicant)”的角色向接入点13发送包含其认证信息的消息15。这可以借助所谓的“LAN上的可扩展认证协议”(Extensible AuthenticationProtocol over LAN,EAPOL)来进行。在这种情况下,接入点13承担“认证方(Authenticator)”的角色,并且将认证信息与其它消息16一起转发到认证服务器14,认证服务器14例如可以是“远程认证拨入用户服务”(Remote Authentication Dial-In UserService,RADIUS)服务器。例如可以利用所谓的“可扩展认证协议”(ExtensibleAuthentication Protocol,EAP)消息来进行认证信息的转发,该消息嵌入AAA协议(Authentifizierung,Autorisierung und Accounting(认证、授权和计费))、例如RADIUS协议的消息中。
认证服务器14检查接收到的认证信息的有效性。这例如可以通过检查接收到的认证信息是否与参考认证信息一致来进行,参考认证信息例如可以包含在与认证服务器相关联的数据库中。一种替换方案在于,检查与认证信息关联的证书是否可信。依据检查的结果,认证服务器以相应的消息17应答接入点13,消息17使得接入点允许(认证成功)或者拒绝(认证失败)设备进入通信网络。在认证成功之后,接入点打开其接入端口,并且此时经过认证的设备开始与通信网络中的其它设备交换数据。
以这种方式,可以确保仅允许经过授权的设备与通信网络连接,由此针对第三方的操纵和其它安全攻击、例如“窃听(eaves dropping)”、“欺骗(spoofing)”或“拒绝服务(denial-of-service)”对通信网络进行保护。
除了针对攻击进行保护之外,许多以自动化方式运行的设施还要求高度的可靠性(Ausfallsicherheit)。这种要求对这种设施中的设备用来相互连接的通信网络有很大的影响。因此,通常以冗余的方式来设计这种通信网络,即,在通信网络内部的通信连接出现故障的情况下,也保证数据报在各个设备之间的可靠的传输。下面,术语“通信连接”应当包括各个设备之间的完整的传输路径,即不仅包括存在的(有线或无线)传输介质,而且包括其与相应的设备的物理的、通信技术的和逻辑的连接(例如接口、通信装置、协议栈)。
在作为所谓的“并行冗余协议”(Parallel Redundancy Protocol,PRP)的标准IEC62439-3中描述了如下的可能性,即,将通信网络设计为是故障安全的,并且在此在通信连接出现干扰的情况下,也保证自动化设施的在很大程度上无缝的连续运行。PRP通信网络广泛应用于工业通信领域以及电能供应网络的变电站中。在图2中示出了根据PRP构建的通信网络20的一个示例。在此,通过如下方式来实现无缝冗余,即,通信网络20具有任意拓扑的两个彼此独立的子网络21a和21b,并且每一个设备22作为所谓的“双附节点PRP”(DoubleAttached Node PRP,DANP)与两个子网络连接。可以经由冗余单元(“RedBox”)24将仅具有一个通信端口的设备(“单附节点(Single Attached Node)”-SAN)23耦合到通信网络20。这两个子网络21a、21b以并行运动的方式工作,其中,发送数据报的设备复制数据报,并且一方面作为第一消息25a将其发送到第一子网络21a,另一方面作为第二消息25b将其发送到第二子网络21b。为了能够被识别为冗余的PRP消息,以所谓的“冗余控制尾标”(RedundancyControl Trailers,RCT)的形式对两个消息25a、25b附加特殊的后缀。被设置为数据报的接收方的设备从子网络21a、21b接收两个数据报(消息25a和25b),其中,该设备使用首先到达该设备的数据报,并且丢弃作为副本的稍后到达的数据报。在此,可以借助RCT中的唯一的序列号来识别副本。因为在此两个数据报使用两个彼此独立的传输路径,因此在传输路径中的一个上存在干扰的情况下,也确保利用数据报传输的有用信息经由另一个(通常仍然完好的)传输路径到达接收方。根据PRP标准构建的通信网络的使用例如从欧洲专利申请EP2148473 A1的说明书引言中已知。
然而,上面描述的用于对设备进行认证的方法不是针对冗余通信网络设计的。
发明内容
因此,本领域技术人员提出了如下技术问题,即,即使在以冗余方式设计的通信网络、特别是根据IEC 62439-3 PRP设计的通信网络中,也能够对设备进行认证。
为了解决上述技术问题,根据本发明,将开头描述的类型的方法进一步扩展为,通信网络包括第一子网络和第二子网络,其中,所述设备经由第一通信端口与第一子网络连接,并且经由第二通信端口与第二子网络连接,以进行冗余数据传输。所述设备经由第一通信端口,向布置在第一子网络中的第一接入点,发送包含认证信息的第一认证请求,并且经由第二通信端口,向布置在第二子网络中的第二接入点,发送包含认证信息的第二认证请求,以开始进行认证。作为认证信息,例如可以使用用户名和密码的组合、设备的标识、例如安全设备标识符(Secure Device Identifier)(DevID)和/或设备证书。第一和第二接入点经由相应的子网络,将相应的接收到的认证信息发送到与相应的子网络连接的认证服务器。认证服务器根据相应的接收到的认证信息,相应地对所述设备的可靠性进行检查,并且作为检查的结果,允许或者拒绝所述设备作为通信网络的相应的子网络的参与者。
因此,根据本发明,在每一个子网络中对同一设备进行单独的认证。因此,根据本发明的方法具有以下优点,即,为了能够进行认证,除了在设备本身中之外,不需要对RPR通信网络进行改变。特别是,也不需要对PRP标准引入专门的改变,由此将使与其它设备的互操作性更加困难。
具体地可以设置为,通信网络被构造为用于根据IEC 62439-3 PRP标准进行冗余数据传输。因此,在根据本发明的方法中,特别是给出了与IEEE 802.1X和IEC 62439-3 PRP标准的完全兼容。
按照根据本发明的方法的另一个有利的实施方式可以设置为,为了检查所述设备的可靠性,将接收到的认证信息与参考认证信息进行比较,和/或对包含在认证信息中的证书针对其可信度进行检查,并且在一致的情况下,允许所述设备进入相应的子网络。
在此,参考认证信息例如可以存储在认证服务器的数据库中的系统配置中。对于证书,例如可以检查认证服务器是否认为颁发证书的机构是可信的。
根据本发明的方法的另一个有利的实施方式设置为,作为对检查的响应,将认证应答发送到相应的子网络的相应的接入点,认证应答指定相应的接入点是否允许所述设备进入相应的子网络,以进行通信。
按照根据本发明的方法的另一个有利的实施方式可以设置为,与子网络中的每一个一起布置有相应的认证服务器。在这种情况下,经由单独的认证服务器确定所述设备对两个子网络中的每一个的访问权限。然后,两个认证服务器都必须具有用于对设备的认证信息进行检查的信息。替换地可以设置为,一个认证服务器与两个子网络连接。从两个子网络向该一个认证服务器馈送具有认证信息的消息。在进行对应的检查之后,认证服务器经由子网络中的每一个将对应的消息发送到相应的接入点。
根据本发明的方法的另一个有利的实施方式设置为,所述设备具有第一认证装置和第二认证装置,第一认证装置经由第一端口访问控制单元与第一通信端口连接,第二认证装置经由第二端口访问控制单元与第二通信端口连接,其中,相应的认证装置产生相应的认证请求,并且经由相应的通信端口发出。
以这种方式,可以以简单的手段触发对于每一个子网络单独的认证。
关于此,还可以设置为,第一端口访问控制单元和第二端口访问控制单元与所述设备的冗余单元连接,并且使得在对所述设备进行认证期间,相应的通信端口能够仅与相应的认证装置进行数据交换,并且在成功对所述设备进行认证之后,相应的通信端口能够仅与所述设备的冗余单元进行数据交换。
因此,相应的端口访问控制单元确保在对设备的认证成功结束之前,设备与通信网络中的其它设备无法进行数据通信。相反,在成功进行认证之后,与通信网络交换对应的冗余的数据报。
对于冗余单元,还可以设置为,冗余单元在成功对所述设备进行认证之后,复制所述设备要发送的电报,并且经由两个通信端口进行发送,随后检查所述设备接收到的电报是否已经接收到了相同的电报,并且依据检查将接收到的电报转发到所述设备的应用层或者丢弃。
因此,在成功对设备进行认证之后,冗余单元执行进行冗余数据交换的功能。
上面提到的技术问题还通过用于连接到自动化设施的通信网络的具有通信能力的设备来解决,其中,通信网络包括第一子网络和第二子网络。所述设备具有第一通信端口和第二通信端口,以进行冗余数据传输,第一通信端口用于与第一子网络连接,第二通信端口用于与第二子网络连接。
根据本发明设置为,所述设备具有第一认证装置,第一认证装置经由第一端口访问控制单元与第一通信端口连接,第一认证装置被配置为用于,产生包含认证信息的第一认证请求,以开始对所述设备进行认证。此外,所述设备具有第二认证装置,第二认证装置经由第二端口访问控制单元与第二通信端口连接,第二认证装置被配置为用于,产生包含认证信息的第二认证请求,以开始对所述设备进行认证。此外,所述设备被配置为用于,经由第一通信端口发出第一认证请求,并且经由第二通信端口发出第二认证请求。
对于根据本发明的设备,上面和下面关于根据本发明的方法进行的所有描述都适用,并且以对应的方式反之亦然,特别是,根据本发明的设备被配置为用于执行每一个任意的实施方式或者任意的实施方式的组合中的根据本发明的方法。对于根据本发明的设备的优点,也参考关于根据本发明的方法描述的优点。
根据本发明的设备的一个有利的实施方式设置为,第一端口访问控制单元和第二端口访问控制单元与所述设备的冗余单元连接,并且被配置为用于,使得在对所述设备进行认证期间,相应的通信端口能够仅与相应的认证装置进行数据交换,并且在成功对所述设备进行认证之后,相应的通信端口能够仅与所述设备的冗余单元进行数据交换。
此外,关于此可以设置为,冗余单元被配置为用于,在成功对所述设备进行认证之后,复制所述设备要发送的电报,并且经由两个通信端口进行发送,随后检查所述设备接收到的电报是否已经接收到了相同的电报,并且依据检查将接收到的电报转发到所述设备的应用层或者丢弃。
最后,上面提到的技术问题还通过自动化设施的通信网络来解决,自动化设施的通信网络具有:第一子网络和第二子网络,第一子网络中的第一接入点,第二子网络中的第二接入点,至少一个认证服务器,以及至少一个要认证的设备,其中,通信网络被构造为用于执行根据权利要求1至9中任一项的方法,以对至少一个设备进行认证。为此,通信网络的部件以对应的方式协作。
对于通信网络,还可以设置为,所述设备与权利要求10至13中任一项对应地构造,并且经由其第一通信端口与第一接入点连接,并且经由其第二通信端口与第二接入点连接。
附图说明
下面,借助实施例详细说明本发明。实施例的具体设计不应当理解为对于根据本发明的方法和根据本发明的装置的一般设计以任何方式是限制性的;相反,可以将实施例的各个设计方案特征以任意方式自由地彼此并且与前面描述的特征组合。为此,
图1示出了根据现有技术的通信网络中的要认证的设备的图示;
图2示出了根据现有技术的根据IEC 62439-3 PRP以冗余方式构建的通信网络的示例;
图3示出了以冗余方式连接到通信网络的要认证的设备的第一示例性图示;
图4示出了以冗余方式连接到通信网络的要认证的设备的第二示例性图示;以及
图5示出了要认证的设备的结构的示意图。
具体实施方式
根据图3,要允许具有通信能力的设备30作为通信网络31的参与者,并且为此执行认证过程。通信网络31被构造为用于进行冗余数据传输,例如与IEC 62439-3 PRP标准对应,并且为此包括两个子网络,即第一子网络32a(LAN A)和第二子网络32b(LAN B)。为了进行数据传输,设备30经由第一通信端口33a与第一子网络32a的第一接入点34a连接,并且经由第二通信端口33b与第二子网络32b的第二接入点34b连接。在设备30和相应的接入点34a、34b之间存在点对点连接。在IEC 62439-3 PRP标准的意义上,设备30是双附节点(DANP)。
设备30和通信网络31例如可能属于技术系统(例如能源供应网络、生产设施或者过程设施)的自动化设施。在这种情况下,该设备例如可以是用于调节、控制、监视和/或保护技术系统的自动化设备。
为了进行认证,设备30分别针对两个子网络32a、32b执行认证过程。在IEEE802.1X标准的意义上,设备30为此承担“请求方”的角色,而相应的接入点34a、34b承担“认证方”的角色。
为了开始进行认证,设备30经由其通信端口33a、33b中的每一个向相应的接入点34a、34b发送相应的认证请求。认证请求包含设备30的认证信息,并且例如可以根据EAPOL协议来构造。接入点34a、34b将认证信息转发到与相应的子网络32a、32b连接的认证服务器。在图3的实施方式中,为此,设置有两个单独的认证服务器35a、35b,其中相应的一个与子网络32a连接,一个与子网络32b连接。
认证服务器35a、35b从相应的子网络32a、32b接收认证信息,并且利用其来检查是否允许设备30作为参与者进入通信网络31。为此目的,认证服务器35a、35b例如可以访问相应的特定于设备30的参考认证信息,认证服务器35a、35b将接收到的认证信息与参考认证信息进行比较。替换地或者附加地,还可以检查包含在认证信息中的证书的可信度。
因此,一方面从第一通信端口33a经由第一接入点34a到第一认证服务器35a执行基于EAP的认证,另一方面从第二通信端口33b经由第二接入点34b到第二认证服务器35b执行基于EAP的认证。在此,将相同的认证信息经由两个子网络32a、32b发送到认证服务器35a、35b,认证服务器35a、35b随后将关于是否允许设备30作为参与者进入通信网络31做出相同的决定。
与该决定对应,认证服务器35a、35b向接入点34a、34b发送认证应答,在认证成功的情况下,接入点34a、34b打开与通信端口33a、33b连接的端口,用于进行数据交换。
因为针对每一个通信端口33a、33b独立地执行所述进行认证的方法,因此在发送认证请求(EAPOL消息)之前不复制认证请求(EAPOL消息),因此对应地在设备30接收时也不清除与认证相关的消息的副本。因此,与认证相关的消息也不包含冗余控制尾标形式的后缀。
作为根据图3的结构的替换,通信网络也可以配备有单个认证服务器。这在图4中示出。在此,相同的附图标记表示相同或者彼此对应的部件。根据该实施例,通信网络40配备有单个认证服务器41,认证服务器41不仅与第一子网络32a连接,而且与第二子网络32b连接。这种认证服务器41例如可以布置在自动化设施的控制中心中,并且与网络42、例如LAN(local area network,局域网)或者WAN(wide area network,广域网)连接。子网络32a、32b可以经由网络接入点43(Edge Point(边缘点))、例如IP路由器与网络42连接。
认证过程在很大程度上如在图3中的示例中那样运行。与此不同,将具有认证信息的消息从每一个子网络32a、32b中的相应的接入点34a、34b经由网络接入点43传输到公共的认证服务器42。因此,认证服务器42两次接收到设备30的识别信息,一次来自第一子网络32a,一次来自第二子网络32b。认证服务器42如上面所述检查认证信息,并且针对消息中的每一个,向子网32a、32b中的每一个发送对应的认证应答。因为涉及相同的认证信息,因此认证应答也将包含对应地相同的决定,并且允许或拒绝设备30作为通信网络40的参与者。
最后,图5示出了设备30的通信结构的示意性结构。该设备相应地具有应用层50,在应用层50上,借助例如在处理器上运行的设备软件、具有硬件编码的集成逻辑模块(ASIC、FPGA)或者处理器上的设备软件和集成逻辑模块的组合来实施实际的设备功能。为了进行外部通信,应用层50访问传输/网络层51(Transport Layer(传输层),NetworkLayer(网络层)),传输/网络层51具有用于实时通信的协议栈(“hard real-time stack(硬实时栈)”)以及UDP、TCP和IP协议。
该传输/网络层51与连接层52(Link Layer(链路层))的冗余单元53(例如根据IEC62439-3的“Link Redundancy Entity(链路冗余实体)”)连接,冗余单元53又在物理层54(Physical Layer)上与设备30的第一通信端口33a和第二通信端口33b连接。通信端口33a和33b与在图5中仅相应地暗示的子网络32a和32b连接,以进行数据交换。
第一和第二端口访问控制单元55a和55b在功能上布置在通信端口33a和33b与冗余单元53之间。除此之外,相应的端口访问控制单元55a和55b还分别与认证装置56a和56b连接。
以下面描述的方式来进行设备侧的认证。端口访问控制单元55a和55b的两个实例(Instanz)用作无协议中间层(“protocol-less shim”),并且在IEEE802.1X-2020的意义上,例如可以选择性地作为“Port Access Controller(端口访问控制器)”PAC或者作为具有附加的数据加密的“MAC Security Entity(MAC安全实体)”(SecY)”来实现
每一个端口访问控制单元55a、55b与冗余单元“Link Redundancy Entity(链路冗余实体)”(LRE)的通信端口33a、33b以及认证装置56a、56b的相应的一个实例连接。在此,认证装置56a、56b例如是根据IEEE 802.1X-2020的认证协议机构。
认证装置56a、56b生成认证请求,以触发对设备30的认证,并且经由相应的端口访问控制器55a、55b将认证请求传输到相应的通信端口33a、33b,以传输到子网络32a、32b。因此,总是在相应的认证装置56a、56b和相应的通信端口33a、33b之间交换与认证有关的消息(例如EAPOL消息)。
只有在成功对设备30进行认证之后,端口访问控制单元55a、55b才替代地确保在冗余单元53和通信端口33a、33b之间进行数据交换。因此,端口访问控制单元55a、55b用作一方面相应的通信端口和另一方面认证装置56a、56b或冗余单元53之间的通信的与状态相关的交换机。在此,端口访问控制单元55a、55b的状态与是否对设备30进行了认证有关。
其结果是,在冗余单元53不参与的情况下,一方面第一认证装置56a针对第一子网络32a独立地进行认证,另一方面第二认证装置56b针对第二子网络32a独立地进行认证。与认证相关的消息对应地不包含PRP后缀(Redundancy control Trailer(冗余控制尾标)-RCT)。在进行认证之后,才将冗余单元53纳入通信中,从而在运行中发送的冗余的消息获得RCT。
除了在图5中描述的设备30的功能结构之外,不需要对通信网络的各个部件进行改变或者扩展,因此所描述的解决方案与IEEE 802.1X和IEC62439-3 PRP标准完全兼容。
总之,本发明提供了一种如何能够在以冗余方式构建的通信网络中对设备进行认证的解决方案。特别是,在根据IEC 62439-3 PRP标准构造的通信网络中,以基于端口的方式与IEEE 802.1X标准对应地进行认证。所描述的解决方案可以特别有利地在工业自动化设施中、例如在能源供应网络的自动化中使用。由此,可以将一方面故障安全与另一方面最高网络安全要求有效地彼此结合。
虽然前面通过优选示例性实施例进一步详细地说明并且描述了本发明,但是本发明不受所公开的示例限制,本领域技术人员可以从中推导出其它变形方案,而不脱离所附权利要求的保护范围。
Claims (15)
1.一种用于在自动化设施的通信网络(31、40)中对设备(30)进行认证的方法,其中,
-将指定所述设备(30)的认证信息传输到认证服务器(35a、35b、41),并且所述认证服务器(35a、35b、41)基于所述认证信息允许或者拒绝所述设备(30)作为所述通信网络(31、40)的参与者;
其特征在于,
-所述通信网络(31、40)包括第一子网络(32a)和第二子网络(32b),其中,所述设备(30)经由第一通信端口(33a)与所述第一子网络(32a)连接,并且经由第二通信端口(33b)与所述第二子网络(32b)连接,以进行冗余数据传输;
-所述设备(30)经由所述第一通信端口(33a),向布置在所述第一子网络(32a)中的第一接入点(34a),发送包含所述认证信息的第一认证请求,并且经由所述第二通信端口(33b),向布置在所述第二子网络(32b)中的第二接入点(34b),发送包含所述认证信息的第二认证请求,以开始进行认证;
-第一和第二接入点(34a、34b)经由相应的子网络(32a、32b),将相应的接收到的认证信息发送到与相应的子网络(32a、32b)连接的认证服务器(35a、35b、41);
-与相应的子网络(32a、32b)连接的认证服务器(35a、35b、41)根据相应的接收到的认证信息,相应地对所述设备(30)的可靠性进行检查,并且作为所述检查的结果,允许或者拒绝所述设备(30)作为所述通信网络(31、40)的相应的子网络(32a、32b)的参与者。
2.根据权利要求1所述的方法,
其特征在于,
-所述通信网络(31、40)被构造为用于根据IEC 62439-3PRP标准进行冗余数据传输。
3.根据权利要求1或2所述的方法,
其特征在于,
-为了检查所述设备(30)的可靠性,将接收到的认证信息与参考认证信息进行比较,和/或对包含在认证信息中的证书针对其可信度进行检查;以及
-在一致的情况下,允许所述设备(30)进入相应的子网络(32a、32b)。
4.根据前述权利要求中任一项所述的方法,
其特征在于,
-作为对检查的响应,将认证应答发送到相应的子网络(32a、32b)的相应的接入点(34a、34b),所述认证应答指定相应的接入点(34a、34b)是否允许所述设备(30)进入相应的子网络(32a、32b),以进行通信。
5.根据权利要求1至4中任一项所述的方法,
其特征在于,
-与子网络(32a、32b)中的每一个一起布置有相应的认证服务器(35a、35b)。
6.根据权利要求1至4中任一项所述的方法,
其特征在于,
-一个认证服务器(41)与两个子网络(32a、32b)连接。
7.根据前述权利要求中任一项所述的方法,
其特征在于,
-所述设备具有第一认证装置(56a)和第二认证装置(56b),所述第一认证装置(56a)经由第一端口访问控制单元(55a)与所述第一通信端口(33a)连接,所述第二认证装置(56b)经由第二端口访问控制单元(55b)与所述第二通信端口(33b)连接,其中,相应的认证装置(56a、56b)产生相应的认证请求,并且经由相应的通信端口(33a、33b)发出。
8.根据权利要求7所述的方法,
其特征在于,
-所述第一端口访问控制单元(55a)和所述第二端口访问控制单元(55b)与所述设备(30)的冗余单元(53)连接,并且使得在对所述设备(30)进行认证期间,相应的通信端口(33a、33b)能够仅与相应的认证装置(56a、56b)进行数据交换,并且在成功对所述设备(30)进行认证之后,相应的通信端口(33a、33b)能够仅与所述设备(30)的所述冗余单元(53)进行数据交换。
9.根据权利要求8所述的方法,
其特征在于,
-在成功对所述设备(30)进行认证之后,所述冗余单元(53)复制所述设备(30)要发送的电报,并且经由两个通信端口(33a、33b)进行发送,随后检查所述设备(30)接收到的电报是否已经接收到了相同的电报,并且依据检查将接收到的电报转发到所述设备(30)的应用层或者丢弃。
10.一种用于连接到自动化设施的通信网络(31、40)的具有通信能力的设备(30),其中,所述通信网络(31、40)包括第一子网络(32a)和第二子网络(32b),其中,
-所述设备(30)具有第一通信端口(33a)和第二通信端口(33b),以进行冗余数据传输,所述第一通信端口(33a)用于与所述第一子网络(32a)连接,所述第二通信端口(33b)用于与所述第二子网络(32b)连接,
其特征在于,
-所述设备(30)被构造为用于执行根据前述权利要求1至9中任一项所述的方法。
11.根据权利要求10所述的设备(30),
其特征在于,
-所述设备(30)具有第一认证装置(56a),所述第一认证装置(56a)经由第一端口访问控制单元(55a)与所述第一通信端口(33a)连接,所述第一认证装置(56a)被配置为用于,产生包含认证信息的第一认证请求,以开始对所述设备(30)进行认证;
-所述设备(30)具有第二认证装置(56b),所述第二认证装置(56b)经由第二端口访问控制单元(55b)与所述第二通信端口(33b)连接,所述第二认证装置(56b)被配置为用于,产生包含认证信息的第二认证请求,以开始对所述设备(30)进行认证;以及
-所述设备(30)被配置为用于,经由所述第一通信端口(33a)发出所述第一认证请求,并且经由所述第二通信端口(33b)发出所述第二认证请求。
12.根据权利要求11所述的设备(30),
其特征在于,
-所述第一端口访问控制单元(55a)和所述第二端口访问控制单元(55b)与所述设备(30)的冗余单元(53)连接,并且被配置为用于,使得在对所述设备(30)进行认证期间,相应的通信端口(33a、33b)能够仅与相应的认证装置(56a、56b)进行数据交换,并且在成功对所述设备(30)进行认证之后,相应的通信端口(33a、33b)能够仅与所述设备(30)的所述冗余单元(53)进行数据交换。
13.根据权利要求12所述的设备(30),
其特征在于,
-所述冗余单元(53)被配置为用于,在成功对所述设备(30)进行认证之后,复制所述设备(30)要发送的电报,并且经由两个通信端口(33a、33b)进行发送,随后检查所述设备(30)接收到的电报是否已经接收到了相同的电报,并且依据检查将接收到的电报转发到所述设备(30)的应用层(50)或者丢弃。
14.一种自动化设施的通信网络(31、40),具有:
-第一子网络(32a)和第二子网络(32b),
-所述第一子网络(32a)中的第一接入点(34a),
-所述第二子网络(32b)中的第二接入点(34b),
-至少一个认证服务器(35a、35b、41),以及
-至少一个要认证的设备(30),
其特征在于,
-所述通信网络(31、40)被构造为用于执行根据权利要求1至9中任一项所述的方法,以对至少一个设备(30)进行认证。
15.根据权利要求14所述的通信网络(31、40),
其特征在于,
-所述设备(30)与权利要求10至13中任一项对应地构造,并且经由其第一通信端口(33a)与所述第一接入点(34a)连接,并且经由其第二通信端口(33b)与所述第二接入点(34b)连接。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP21160205.7A EP4054143A1 (de) | 2021-03-02 | 2021-03-02 | Authentifizieren eines gerätes in einem kommunikationsnetz einer automatisierungsanlage |
| EP21160205.7 | 2021-03-02 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115085961A CN115085961A (zh) | 2022-09-20 |
| CN115085961B true CN115085961B (zh) | 2024-04-19 |
Family
ID=74856610
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210197857.1A Active CN115085961B (zh) | 2021-03-02 | 2022-03-02 | 在自动化设施的通信网络中对设备的认证 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20220312202A1 (zh) |
| EP (1) | EP4054143A1 (zh) |
| CN (1) | CN115085961B (zh) |
| BR (1) | BR102022003417A2 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4060946A1 (de) * | 2021-03-16 | 2022-09-21 | Siemens Aktiengesellschaft | Authentifizieren eines gerätes in einem kommunikationsnetz einer automatisierungsanlage |
| US11768939B2 (en) * | 2021-03-25 | 2023-09-26 | International Business Machines Corporation | Authentication in an update mode of a mobile device |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20080053069A (ko) * | 2006-12-08 | 2008-06-12 | 한국전자통신연구원 | 무선 액세스 망에서 핸드오버 지원을 위한 통합 인증 방법및 시스템 |
| KR101199849B1 (ko) * | 2012-07-09 | 2012-11-09 | 주식회사 안랩 | 모바일 단말간 서브 네트워크 지원 관리 서버, 모바일 단말서버 및 방법 |
| CN102801608A (zh) * | 2011-05-25 | 2012-11-28 | 西门子公司 | 通信网络和耦合装置 |
| CN103535010A (zh) * | 2011-03-14 | 2014-01-22 | 高通股份有限公司 | 混合联网主口令短语 |
| CN104378291A (zh) * | 2013-08-14 | 2015-02-25 | 西门子公司 | 用于在工业通信网络中进行冗余的信息传输的方法和通信设备 |
| CN104850093A (zh) * | 2014-02-13 | 2015-08-19 | 西门子公司 | 用于监控自动化网络中的安全性的方法以及自动化网络 |
| CN107888404A (zh) * | 2016-09-30 | 2018-04-06 | 西门子公司 | 工业自动化系统的能冗余运行的通信系统和其运行方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7219154B2 (en) * | 2002-12-31 | 2007-05-15 | International Business Machines Corporation | Method and system for consolidated sign-off in a heterogeneous federated environment |
| EP2148473A1 (en) | 2008-07-22 | 2010-01-27 | ABB Research Ltd | Switching nodes for high availability networks |
| CA2760251A1 (en) * | 2009-05-19 | 2010-11-25 | Security First Corp. | Systems and methods for securing data in the cloud |
| ES2579603T3 (es) * | 2012-07-20 | 2016-08-12 | Siemens Aktiengesellschaft | Procedimiento para la transmisión de mensajes en una red de comunicaciones industrial que puede funcionar de forma redundante y aparato de comunicaciones para una red de comunicaciones industrial que puede funcionar de forma redundante |
-
2021
- 2021-03-02 EP EP21160205.7A patent/EP4054143A1/de active Pending
-
2022
- 2022-02-23 BR BR102022003417-6A patent/BR102022003417A2/pt unknown
- 2022-03-02 CN CN202210197857.1A patent/CN115085961B/zh active Active
- 2022-03-02 US US17/684,585 patent/US20220312202A1/en active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20080053069A (ko) * | 2006-12-08 | 2008-06-12 | 한국전자통신연구원 | 무선 액세스 망에서 핸드오버 지원을 위한 통합 인증 방법및 시스템 |
| CN103535010A (zh) * | 2011-03-14 | 2014-01-22 | 高通股份有限公司 | 混合联网主口令短语 |
| CN102801608A (zh) * | 2011-05-25 | 2012-11-28 | 西门子公司 | 通信网络和耦合装置 |
| KR101199849B1 (ko) * | 2012-07-09 | 2012-11-09 | 주식회사 안랩 | 모바일 단말간 서브 네트워크 지원 관리 서버, 모바일 단말서버 및 방법 |
| CN104378291A (zh) * | 2013-08-14 | 2015-02-25 | 西门子公司 | 用于在工业通信网络中进行冗余的信息传输的方法和通信设备 |
| CN104850093A (zh) * | 2014-02-13 | 2015-08-19 | 西门子公司 | 用于监控自动化网络中的安全性的方法以及自动化网络 |
| CN107888404A (zh) * | 2016-09-30 | 2018-04-06 | 西门子公司 | 工业自动化系统的能冗余运行的通信系统和其运行方法 |
Non-Patent Citations (1)
| Title |
|---|
| 数字化变电站通信网络冗余技术;谢志迅;邓素碧;臧德扬;;电力自动化设备(第09期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| BR102022003417A2 (pt) | 2022-09-06 |
| US20220312202A1 (en) | 2022-09-29 |
| EP4054143A1 (de) | 2022-09-07 |
| CN115085961A (zh) | 2022-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN115085961B (zh) | 在自动化设施的通信网络中对设备的认证 | |
| US7325246B1 (en) | Enhanced trust relationship in an IEEE 802.1x network | |
| EP0924900B1 (en) | Secure virtual LANS | |
| EP1670188A2 (en) | Methods and systems for connection determination in a multi-point virtual private network | |
| WO2019036019A1 (en) | SYSTEMS AND METHODS FOR IMPLEMENTING DATA COMMUNICATIONS USING SECURITY TOKENS | |
| EP1502463B1 (en) | Method , apparatus and computer program product for checking the secure use of routing address information of a wireless terminal device in a wireless local area network | |
| US20110162081A1 (en) | Method and device for protecting the integrity of data transmitted over a network | |
| US20110055571A1 (en) | Method and system for preventing lower-layer level attacks in a network | |
| CN110290980A (zh) | 具有分成多个分开的域的数据网络的机动车及用于运行数据网络的方法 | |
| CN101272379A (zh) | 基于IEEE802.1x安全认证协议的改进方法 | |
| JP2004207965A (ja) | 無線lanの高速認証方式及び高速認証方法 | |
| CN115085964B (zh) | 在自动化设施的通信网络中对设备的认证 | |
| US8031596B2 (en) | Router associated to a secure device | |
| CN114157509B (zh) | 基于国密算法具备SSL和IPsec的加密方法及装置 | |
| CN108712398A (zh) | 认证服务器的端口认证方法、服务器、交换机和存储介质 | |
| US11863544B2 (en) | Authenticating a node in a communication network of an automation installation | |
| JP4768547B2 (ja) | 通信装置の認証システム | |
| Glanzer et al. | Increasing security and availability in KNX networks | |
| JP4797685B2 (ja) | 連携制御装置及びネットワーク管理システム | |
| CN101534250B (zh) | 一种网络接入控制方法及接入控制装置 | |
| KR100533003B1 (ko) | 사용자 인증을 위한 프로토콜 개선 방법 | |
| US9119066B2 (en) | Method and arrangement for position-dependent configuration of a mobile appliance | |
| CN114257555A (zh) | 受信任的远程管理单元、网络交换机以及远程访问方法 | |
| CN110248363A (zh) | 通过代理的安全eap-aka认证 | |
| Granzer | A Security Extension to KNX |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |