CN115085963A - 认证自动化系统的通信网络中的节点 - Google Patents
认证自动化系统的通信网络中的节点 Download PDFInfo
- Publication number
- CN115085963A CN115085963A CN202210257966.8A CN202210257966A CN115085963A CN 115085963 A CN115085963 A CN 115085963A CN 202210257966 A CN202210257966 A CN 202210257966A CN 115085963 A CN115085963 A CN 115085963A
- Authority
- CN
- China
- Prior art keywords
- communication network
- authentication
- node
- communication
- nodes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 251
- 238000000034 method Methods 0.000 claims abstract description 47
- 230000005540 biological transmission Effects 0.000 claims description 13
- 230000004044 response Effects 0.000 claims description 12
- 230000000903 blocking effect Effects 0.000 claims description 6
- 238000002360 preparation method Methods 0.000 claims 14
- 230000003213 activating effect Effects 0.000 claims 3
- 238000010586 diagram Methods 0.000 description 6
- 238000013461 design Methods 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- DWSYCUKCNSVBRA-UHFFFAOYSA-N 4-(5-methylsulfonyltetrazol-1-yl)phenol Chemical compound CS(=O)(=O)C1=NN=NN1C1=CC=C(C=C1)O DWSYCUKCNSVBRA-UHFFFAOYSA-N 0.000 description 1
- 101710167643 Serine/threonine protein phosphatase PstP Proteins 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
- H04L63/064—Hierarchical key distribution, e.g. by multi-tier trusted parties
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/30—Peripheral units, e.g. input or output ports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种用于认证自动化系统的通信网络(30)中的节点(31,32a‑c)的方法,其中将相应的认证信息传输给认证服务器(34),其基于认证信息允许或拒绝节点作为通信网络中的参与者。为了能够在冗余设计的通信网络中执行节点的认证,提出了通信网络包括多个节点,这些节点分别具有至少两个通信端口,通信网络执行生成树协议,并且节点中的至少两个通过其面向彼此的通信端口交换认证请求,并且将接收到的相应的认证信息发送给与通信网络连接的认证服务器,其根据接收到的相应的认证信息分别检查相应的节点的真实性并且作为检查的结果允许或拒绝相应的节点作为通信网络中的参与者。本发明还涉及一种节点和一种具有这种节点的通信网络。
Description
技术领域
本发明涉及一种用于对自动化系统的通信网络中的节点进行认证的方法,其中,说明了设备的相应的认证信息被传输给认证服务器,并且认证服务器基于该认证信息允许或拒绝该设备作为通信网络中的参与者。
本发明一方面还涉及一种用于连接到自动化系统的通信网络的节点,另一方面还涉及一种具有这种节点的通信网络。
背景技术
具有通信能力的设备(以下也被称为“节点”),即可以连接到通信网络并且通过该通信网络与其他电子设备通过传输相应的数据报文或消息来交换数据的电子设备,如今应用在许多技术领域中,例如应用在设备的自动化中。在通信网络中使用这种节点的示例是自动化系统,在该自动化系统中,具有网络能力的自动化设备(在下文中也简称为“设备”或“电子设备”)通过通信网络的以太网网桥彼此连接以交换数据报文。因此,这种通信网络的节点由其电子设备和以太网网桥形成。自动化系统用于使系统自动化,例如使电能供应网络或者电气开关设备自动化,并且通常包括自动化设备(例如所谓的现场设备),其布置在相应设备、即例如电能供应网络的一次部件附近。在电能供应网络的情况下,这种一次部件例如可以是电缆和线路、变压器、发电机、电动机或变流器。自动化设备例如可以是所谓的电气保护设备或现场控制设备,它们安装在电能供应网络的变电站中。在技术术语中,这种自动化设备通常也被称为所谓的“IED”(Intelligent Electronic Device,智能电子设备)。在此,自动化设备与通信网络连接并且通过该通信网络交换数据报文,该数据报文例如包括控制命令、关于事件的消息(例如阈值违反)、测量值或状态消息作为有效数据。
通常,自动化系统是安全关键的系统,必须保护其免受未经授权的干预和操纵。因此,在这种自动化系统的通信网络中,通常仅允许之前已经通过注册的节点彼此交换数据,在该注册中一方面确定其身份,并且另一方面确定其权限,在通信网络中交换数据的权限由上级机构确定。该过程也被称为“认证”。
已知不同的方法:怎样能够进行对通信网络中的节点的认证。因此,IEEE 802.1X标准定义了一种认证协议,利用该认证协议可以确保,只有授权的节点才可以通过接入点、如以太网网桥的启用的通信端口(“access ports,接入端口”)访问通信网络(例如访问LAN)。这种基于端口的、根据IEEE802.1X的认证通常应用于信息技术(IT)通信网络中。在运行技术(operation technology,OT)的范围内也发生使用,但是由于特定的特性,该方法在此有时达到其极限,如后面详细解释的那样。
图1示出了基于IEEE 802.1X-2020,第7.1节的图示,其用于阐述用于在通信网络11中进行数据交换的电子设备10的认证。设备10(“主机”)在此通过点对点连接12与通信网络11的接入点13(access point)连接。设备10例如可以是个人计算机、具有通信能力的终端设备或自动化系统的自动化设备。接入点13例如可以由以太网网桥形成。在设备10与接入点13连接并且接入之后,设备以“请求者”的角色向接入点13发送包含其认证信息的消息15。这可以借助所谓的“LAN上的可扩展的认证协议”(英文:Extensible AuthenticationProtocol over LAN,EAPOL)来实现。在这种情况下,接入点13承担“认证者”的角色,并且将认证信息以另外的消息16转发给认证服务器14,该认证服务器例如可以是“远程认证拨号用户服务”(Remote Authentication Dial-In User Service,RADIUS)服务器。认证信息的转发例如可以利用所谓的“可扩展认证协议”(Extensible Authentication Protocol,EAP)消息来进行,其嵌入到AAA协议(Authentifizierung,Autorisierung undAccounting,认证、授权和记帐)的消息中,例如RADIUS协议的消息中。
认证服务器14检查接收到的认证信息的有效性。这例如可以通过以下方式实现:检查接收到的认证信息是否与参考认证信息一致,该参考认证信息例如可以包含在与认证服务器相关联的数据库中。一种替换方法是检查与认证信息关联的证书是否可信。依据检查的结果,认证服务器以相应的消息17响应于接入点13,该消息促使接入点要么允许设备进入通信网络(认证成功),要么拒绝设备进入通信网络(认证失败)。在成功认证后,接入点打开其接入端口,并且现在经过认证的设备开始与通信网络中的其他设备进行数据交换。
以这种方式可以确保,只有经授权的设备允许与通信网络连接,并且通信网络因此可以防止第三方的操纵和其他安全攻击,例如窃听、欺骗或拒绝服务。
除了防止攻击之外,许多自动运行的系统还需要高的可靠性。该要求对通信网络有强烈的影响,这种系统的设备利用通信网络彼此连接。因此,这种通信网络通常被冗余地设计,即,即使在通信网络内的通信连接故障的情况下,也确保数据报文在各个设备之间的可靠的传输。术语“通信连接”在下文中应包括相应的设备之间的完整的传输路径,即不仅包括现有的(有线的或无线的)传输介质而且包括其到相应设备的物理的、通信技术的和逻辑的连接(例如接口、通信装置、协议栈)。此外,对通信网络中的通信的可靠性提出了要求,例如防止环形通信网络拓扑中的循环报文。
在标准IEEE 802.1Q中作为所谓的“快速生成树”(Rapid Spanning Tree)协议(RSTP)描述了一种可靠且故障安全地设计通信网络的可能性以及即使在通信连接发生故障的情况下也确保自动化系统的尽可能无缝的继续运行的可能性。在图2中示出了根据RSTP工作的通信网络20的示例,例如在能量供应网络的变电站中的通信网络。
图2的通信网络20包括呈以太网网桥21和电子设备22(例如“智能电子设备(intelligent electonic device,IED)”)形式的节点,其中,设备22中的每个具有两个通信端口。以太网网桥21布置在环23中。设备22布置在多个链24中,其中第一设备分别与第一以太网网桥21连接并且最后一个设备与第二以太网网桥21连接。由此,设备22的每个链24分别利用两个以太网网桥21形成自己的环。整体上,由此形成具有多个环的分层结构,其中,上级环23由以太网网桥21的串联构成,并且链24分别是下级环,下级环分别由多个设备22和两个以太网网桥21形成。为了在通信网络20中进行数据通信,其他设备、例如工作站25、计时器26等可以与上级环23连接。
设备22实现根据IEEE 802.1Q的桥接功能,其中不是来自设备22或不是指向设备22的以太网报文通过该设备22的通信端口进行转发。以这种方式,设备22之间的通信可以通过同一链24的其他设备22来引导。
在没有附加措施的情况下,通信网络20的构造可能形成循环报文,循环报文将导致通信网络20的“泛滥”并且因此将完全消耗其带宽。为了避免这一点,通信网络20的节点(交换机21和设备22)执行根据IEEE 802.1Q的RSTP功能,从而有针对性地中断通信网络20的环形结构。这是通过主动阻断被分配了“丢弃”状态的选定的通信端口来完成的。当通信网络20中的数据传输由于连接中断和/或节点故障而中断时,该故障通过通信网络20的节点来识别。通过应用RSTP规定,通信网络20重新配置自己,方式是解锁被阻断(“丢弃”)的通信端口中的一个或多个并转发消息,从而恢复不间断的数据传输。RSTP通信网络除了在此阐述的分级的环形结构之外也可以具有其他结构,例如网状结构。
RSTP通信网络在工业通信领域和能量供应网络的变电站中得到了广泛的应用。在此,通信网络20中的冗余通过特殊的结构并且通过以下方式实现,即通过有针对性地激活或阻断通信端口来创建冗余路径,该冗余路径可以灵活地被重新配置作为对通信网络中的可能的干扰的响应。由此确保了在所有连接的设备22之间在任何时候都能够进行数据传输。
根据RSTP方法工作的通信网络的使用例如从国际专利申请WO2015/024588A1已知。
然而,上面描述的用于对设备进行认证的方法不设计用于冗余的通信网络。也就是,与通过唯一一个通信端口与通信网络的接入点连接的设备相反,冗余工作的RSTP通信网络中的设备通过两个通信端口要么与两个相邻的设备连接要么与相邻设备和相邻以太网网桥连接。
发明内容
因此,本发明要解决的技术问题是,在冗余设计的通信网络、尤其是根据IEEE802.1Q RSTP设计的通信网络中也能够执行节点的认证。
为了解决上述技术问题,根据本发明以如下方式改进开头所述类型的方法,即通信网络包括呈以太网网桥和电子设备形式的多个节点,这些节点分别具有至少两个通信端口,并且执行生成树协议(Spannbaumprotokoll),在生成树协议中,这些节点中的至少一个节点被指示:依据通信网络的运行状态,阻断或激活其通信端口中的至少一个通信端口用于运行的数据传输。节点中的至少两个节点通过其面向彼此的通信端口交换包含其相应的认证信息的认证请求,并且将接收到的相应的认证信息发送给与通信网络连接的认证服务器,该认证服务器根据接收到的相应的认证信息分别检查相应的节点的真实性,并且作为检查的结果允许或拒绝相应的节点作为通信网络中的参与者。作为认证信息例如可以使用用户名和密码的组合、设备的标识(例如安全设备标识符(Secure Device Identifier,DevID))和/或设备证书。
因此,根据本发明,分别发生通信网络的至少两个节点的基于端口的相互的认证。在此,节点在IEEE 802.1X标准的意义上同时承担请求者的角色和认证者的角色,这取决于它们当前发送或接收的消息。因此,根据本发明的方法具有的优点在于,不必引入关于RSTP方法的专有的改变,以便能够补充认证的功能,从而在这方面不损害与通信网络的其他参与者的互操作性。
在此,认证请求可以由一个或多个消息组成。相应地,作为对认证请求的响应,由认证服务器发送的认证响应可以由一个或多个消息组成。因此,可以在充当认证者的设备与认证服务器之间进行多个消息的交换。
根据本发明的方法可以在通信网络的多个节点(如果不是甚至所有节点)的情况下依次或同时实施。在此可能需要的是,从节点向认证服务器的方向发送的、用于认证的消息(例如EAP/AAA消息)由其他节点转发,而与这些消息是否已经被认证无关。
在此,节点的认证例如由于两个节点之间的连接失效或者在节点接入时可能是必要的。
因此,按照根据本发明的方法的第一有利的实施方式可以规定,为了在两个节点之间恢复中断的通信连接,布置在中断位置处的两个节点通过其面向彼此的通信端口交换包含其相应的认证信息的认证请求,并且将接收到的相应的认证信息发送给认证服务器。
因此,该实施方式涉及两个节点之间的中断的通信连接的情况。因此,在根据本发明的方法的该变型方案中,认证服务器从位于中断位置处的两个节点接收两个认证请求:
第一节点以请求者的角色向第二节点发送EAPOL消息,第二节点在这方面扮演认证者的角色。然后,第二节点向认证服务器发送EAP/AAA消息。此外,第二节点以请求者的角色向第一节点发送EAPOL消息,第一节点在这方面承担认证者的角色。然后,第一节点向认证服务器发送EAP/AAA消息。
该认证通信在时间上并行地、几乎同时地并且彼此独立地运行。
按照根据本发明的方法的第二有利的实施方式可以规定,在接入节点时,所接入的节点与其两个相邻的节点通过其面向彼此的通信端口交换包含其相应的认证信息的认证请求,并且将接收到的相应的认证信息发送给认证服务器。
因此,该实施方式涉及第一次或重新接入节点的情况,例如在扩展通信网络或更换节点的情况下。在根据本发明的方法的该变型方案中,认证服务器从节点接收总共四个认证请求,分别对于所接入的节点与其相邻设备中的每一个设备接收两个认证请求。
具体地,还可以规定,通信网络实现根据标准IEEE 802.1Q RSTP的生成树协议。因此,在根据本发明的方法中尤其给出了与标准IEEE 802.1X和IEEE 802.1Q RSTP的完全兼容性。
按照根据本发明的方法的另外有利的实施方式可以规定,通信网络的节点仅在其自身未完全认证时转发用于根据生成树协议认证节点或用于重新配置通信网络的消息。
由此可以实现,尽管这种管理类型的消息(其根据RSTP负责节点的认证和通信网络的重新配置)在任何时候都被转发,但是用于自动化系统的运行的消息被阻断直到相应的节点已经完全认证。
按照根据本发明的方法的另外有利的实施方式可以规定,为了检查节点的真实性,将所接收的认证信息与参考认证信息进行比较和/或在其可信度方面检查包含在认证信息中的证书,并且在一致的情况下允许通信网络中的相应的节点。
在此,参考认证信息例如在系统配置中可以存储在认证服务器的数据库中。关于证书例如可以检查:认证服务器是否将颁发了证书的位置视为可信的。
根据本发明的方法的另外有利的实施方式规定,作为对检查的响应,将相应的认证响应发送给相应的节点,该认证响应说明了:相应的节点是否允许相应的另外的节点用于在通信网络中进行通信。如上所述,认证响应可以由一个或多个消息组成。
按照根据本发明的方法的另外有利的实施方式可以规定,在时间上与借助生成树协议对节点进行认证并行地执行通信网络的重新配置。
该重新配置考虑通信网络的相应的新的状态、尤其是在中断之后恢复的通信连接和/或(第一次或重新)接入的节点。通过这种方式,通信网络可以及时地对变化作出反应。
此外,根据本发明的方法的另外有利的实施方式规定,认证请求也通过如下通信端口传输,该通信端口根据生成树协议的应用被阻断。
由此确保了,即使在中断的通信连接或接入的节点与用于运行的通信的、根据RSTP阻断的通信端口相遇的情况下,也可以进行通信连接的认证。
按照根据本发明的方法的另外有利的实施方式还可以规定,节点分别具有一个经由第一端口访问控制单元与第一通信端口连接的第一认证装置和一个经由第二端口访问控制单元与第二通信端口连接的第二认证装置,其中,相应的认证装置产生相应的认证请求并且通过与其连接的通信端口发送相应的认证请求。
以这种方式,可以利用简单的措施针对节点的两个通信端口中的每一个发起单独的认证。对于以太网网桥形式的节点,端口访问控制单元和认证装置的数量可以相应于现有通信端口的数量而变化。
上述技术问题还通过用于连接到自动化系统的通信网络的节点来解决,其中,通信网络包括呈以太网网桥和电子设备形式的多个节点,这些节点分别具有至少两个通信端口,并且通信网络被构造为用于执行生成树协议,在该生成树协议中,这些节点中的至少一个节点被指示:依据通信网络的运行状态,阻断或激活其通信端口中的至少一个通信端口用于运行的数据传输。
根据本发明规定,节点被构造为用于执行根据本发明的方法。
关于根据本发明的节点,上文和下文关于根据本发明的方法的所有实施都适用,以相应的方式反之亦然,尤其根据本发明的节点设置用于以任意的实施方式或任意实施方式的组合执行根据本发明的方法。关于根据本发明的节点的优点也参考关于根据本发明的方法描述的优点。
根据本发明的节点的有利的实施方式规定,节点具有经由第一端口访问控制单元与第一通信端口连接的第一认证装置和经由第二端口访问控制单元与第二通信端口连接的第二认证装置,其中,相应的认证装置被构造为用于产生相应的认证请求,并且通过与其连接的通信端口发送相应的认证请求。
最后,上述技术问题也通过自动化系统的通信网络来解决,其中,通信网络包括呈以太网网桥和电子设备形式的多个节点,这些节点分别具有至少两个通信端口,并且通信网络被构造为用于执行生成树协议,在生成树协议中,这些节点中的至少一个节点被指示:依据通信网络的运行状态,阻断或激活其通信端口中的至少一个通信端口用于运行的数据传输,并且其中,通信网络具有认证服务器。
根据本发明规定,通信网络被构造为,为了对节点进行认证而执行根据本发明的方法。为此,通信网络的部件以相应的方式共同作用。
在这方面还可以规定,节点根据本发明地构造。
附图说明
下面根据实施例更详细地阐述本发明。这些实施例的具体的设计方案对于根据本发明的方法和根据本发明的设备或根据本发明的通信网络的一般的设计方案不以任何方式限制性地去理解;更准确地说,实施例的各个设计方案特征可以以任意的方式自由地彼此组合并且与上述特征组合。
为此附图中:
图1示出了根据现有技术的通信网络中的待认证的设备的图示;
图2示出了根据现有技术的根据IEEE 802.1Q RSTP冗余构建的通信网络的示例;
图3示出了具有连接在其上的节点的RSTP通信网络的示例性示图;
图4示出了在中断之后的图3的通信网络的示例性示图;
图5示出了待认证的节点的结构的示意图;和
图6示出了在接入节点时的通信网络的示例性示图。
具体实施方式
在图3中示出了示例性的通信网络30,其包括以太网网桥31和具有通信能力的电子设备32a-c。设备32a-c和通信网络30例如可以属于技术系统(例如能量供应网络、制造系统或过程系统)的自动化系统。在这种情况下,设备32a-c例如可以是用于调节、控制、监视和/或保护技术系统的自动化设备。以太网网桥31例如可以被构造为以太网交换机。
设备32a-c分别具有两个通信端口,这些设备利用这两个通信端口彼此连接和/或与以太网网桥31连接。
由此,通信网络30被构造为,形成多个通信环;示例性地,在图3的通信网络30中示出了两个通信环37和38,其中,第一通信环37由以太网网桥31形成,并且第二通信环38由设备32a-c和以太网网桥31中的两个形成。此外,认证服务器34经由单独的LAN(local areanetwork,局域网)或WAN(wide area communication network,广域网)33与以太网网桥31中的一个连接。
对于第一种情况,假设在中断位置36处中断设备32a与32b之间的连接。通信网络30的(多个)环形结构可以实现,即使在中断之后,通过针对性地阻断(“丢弃”)位置35处其中一个以太网网桥的通信端口,在每个设备32a-c或以太网网桥31之间建立唯一的通信路径。在这种情况下,唯一的通信路径尤其意味着避免环路或网格,在环路或网格中可能出现循环报文(消息)。为此,执行生成树协议(例如RSTP)。因此,尽管存在中断位置36,但仍确保了与设备32a-c中的每个的通信。
图4示出了在中断位置处物理地恢复了连接之后的情况。然而,在与之前的中断位置36直接邻接的两个设备32a和32b已经相互认证之前,仍然阻止通过所恢复的连接的运行的数据通信。原则上,通信网络30的多个或甚至所有设备32a-c都可以执行认证。这可以相继或同时发生。为此要交换的消息、例如EAP/AAA消息在此必须能够通过其他节点,无论其是否已经被成功认证。在下文中,为简单起见,假定只有设备32a和32b要被认证。
为此,两个设备32a,32b关于其面向彼此的通信端口根据IEEE 802.1X分别交替地承担角色“请求者”和“认证者”,并且通过恢复的连接交换认证请求、例如EAPOL形式的消息,该消息包含发送的设备的相应的认证信息。这种EAPOL消息仅局部地在两个设备32a、32b之间传输到参与的通信端口,并且不通过相应的另外的通信端口转发。
具体地,设备32a以请求者角色向设备32b发送认证请求(EAPOL消息),设备32b在这方面占据认证者角色。相反,设备32b以请求者角色向设备32a发送认证请求(EAPOL消息),设备32a在这方面占据认证者角色。
在认证者角色中,设备在接收到认证请求后,将其中包含的认证信息分别发送给认证服务器34。与认证服务器34的通信例如以EAP/AAA消息的形式进行。
这些消息在通信网络30内沿着根据生成树协议确定的路径发送。在恢复之前的中断位置处的连接之后,通过通信网络的节点(设备和以太网网桥)重新计算这种路径,并且导致通信网络的重新配置。在此,各个通信端口被阻断或激活,以在通信网络内形成唯一的生成树路径。具体地,在图4的示例中,以太网网桥的通信端口在位置40处被阻断(“丢弃”)。在位置35处之前已经被阻断的通信端口保持被阻断。因此,即使在恢复连接之后,也仅产生没有闭环的唯一路径,在闭环中可能出现循环报文。
通信网络的生成树结构的重新计算和重新配置与设备32a、32b的认证并行地进行。重新配置可能需要一些时间才能正确转发用于认证的消息(EAP/AAA)。新出现的路径在图4中通过示例性地标注的箭头示出。
这示出了,在通信网络30内用于认证的这种消息也可以到达尚未被认证的节点,并且因此不允许与其他节点交换运行的数据报文。因此,为了能够正确地执行重新配置和认证,必须确保通过尚未认证的通信端口转发如下消息,这些消息根据生成树协议(网桥协议数据单元,Bridge Protocol Data Units,BPDU)与认证(EAP/AAA)或通信网络的重新配置相关联地被发送。为了这种未经认证的节点可以转发与认证相关联的消息,可以设置特殊的过滤功能或为这种消息预留的VLAN,由此能够实现通过本身未经认证的通信端口发送和接收特定消息。
认证服务器34接收(例如包含在EAP/AAA消息中的)相应的认证信息并且在此基础上检查:是否允许设备32a、32b作为通信网络30中的参与者。为此目的,认证服务器34访问了相应的对于设备32a、32b特定的参考认证信息,该认证服务器34将接收到的认证信息与该参考认证信息进行比较。替换地或附加地,也可以检查包含在相应的认证信息中的证书的可信性。
根据该判断,认证服务器34向设备32a、32b发送可由一个或多个消息组成的认证响应,这些设备在成功认证的情况下打开其相互连接的通信端口用于不受限制的数据交换。
以这种方式,设备32a和32b彼此执行相互认证。在成功认证之后,相应的设备32a、32b可以通过其相互连接的通信端口相互交换数据报文。
在实践中,可能会(同时或连续)发生恢复多个连接,或者单个或多个节点(设备或以太网网桥)开始其运行。在这种情况下,针对每个所涉及的节点以及其涉及的相邻节点执行上面描述的用于认证的程序。这也可以同时进行。只有当所有涉及的节点都已被认证并且生成树重新配置已经完成时,才可以开始通信网络30中的运行的数据交换。
此外,还可能发生的是,必须通过根据生成树协议实际上被阻断的通信端口交换认证请求(EAPOL消息)。这也必须被允许,并且以与重配置消息(BPDU)的传输相同的方式进行处理。
图5示出了节点的通信结构的示意性结构。示例性地,选出设备32a(设备32a-c在这方面彼此相应地构造)。设备32a具有应用层50,在应用层上借助例如在处理器上运行的设备软件或具有硬件编码(ASIC,FPGA)的集成逻辑模块或其组合来执行实际的设备功能。为了进行外部通信,应用层50访问传输层/网络层51(TransportLayer,Network Layer),传输层/网络层具有用于实时通信的协议栈(hard real-time stack,硬实时栈)以及协议UDP、TCP和IP。
该传输层/网络层51与链路层52(Link Layer)的MAC(Media Access Control,媒体访问控制)中继单元(“MAC Relay Entity,MAC中继实体”)53连接,链路层负责设备32a的通信端口之间的桥接功能,并且又在物理层54(Physical Layer)上与设备32a的第一通信端口57a和第二通信端口57b连接。通信端口57a或57b为了数据交换与在图5中仅提到的通信网络30连接。
在功能上,在通信端口57a、57b与MAC中继单元53之间布置第一端口访问控制单元55a或第二端口访问控制单元55b。相应的端口访问控制单元55a或55b也分别与认证装置56a或56b连接。此外,认证装置56a、56b与传输层/网络层51的TCP协议单元连接。
设备侧的认证如下面描述地执行。端口访问控制单元55a和55b的两个实例用作无协议层(protocol-less shim),并且可以在IEEE 802.1X-2020的意义上可选地例如作为具有附加的数据加密的“端口访问控制器(Port Access Controller)”PAC或“MAC安全实体(MAC Security Entity)”(SecY)实现。
每个端口访问控制单元55a、55b与通信端口57a、57b、MAC中继单元53以及分别与认证装置56a、56b的实例连接。在此,认证装置56a、56b例如是根据IEEE 802.1X-2020的认证协议机器,并且在相互认证时相应地占据请求者或认证者的角色。
认证装置56a、56b为了启动设备32a的认证而产生认证请求,并且通过相应的端口访问控制单元55a、55b传输认证请求以传输到相应的通信端口57a、57b。因此,与认证相关联的消息(例如EAPOL消息)总是在相应的认证装置56a、56b与相应的通信端口57a、57b之间交换。
在认证者角色中,认证装置56a、56b根据标准IEEE 802.1X的认证者角色发送和接收用于认证的消息(例如EAP/AAA消息)。因为为此如上面提到的,传输也可以至少部分地通过(还)未认证的连接进行,相应的认证装置56a、56b在内部与TCI/IP协议栈连接,从而这种消息可以通过MAC中继单元53转发。端口访问控制单元55a、55b在此实现过滤功能,该过滤功能允许这种消息在认证过程期间在通信端口57a、57b与MAC中继单元53之间传输。
在设备32a-c的成功认证之后,端口访问控制单元55a、55b负责在MAC中继单元53与通信端口57a、57b之间正常地进行数据交换。因此,端口访问控制单元55a、55b用作一方面相应的通信端口与另一方面认证装置56a、56b或MAC中继单元53之间的通信的与状态相关的转换开关。
结果是,认证一方面在一个通信端口57a方面由第一认证装置56a独立地执行,另一方面在另一个通信端口57b方面由第二认证装置56b独立地执行。
与设备32a-c连接的以太网网桥31原则上执行用于基于端口的认证的相应过程并且在所涉及的通信端口处根据IEEE 802.1Q同样承担组合的请求者或认证者的角色。在此,以太网网桥31可以在结构上相应于上面对设备32a-c的结构的阐述进行构造,其中,该结构当然适配于相应的交换机通信端口的数量。
除了在图5中描述的设备32a-c或所涉及的以太网网桥31的功能结构,在通信网络的各个部件方面不需要改变或扩展,从而所描述的解决方案与标准IEEE 802.1X和IEEE802.1 Q RSTP完全兼容。
最后,图6示出了对首次接入或重新接入的节点进行认证的情况。示例性地假定,设备32b作为旧设备的替代设备被引入到通信网络中。在设备32b的通信端口与直接相邻的设备32a、32c的通信端口的物理连接已经建立之后,设备32b被接入。在设备32b的启动过程中,其通信功能也被激活。
为了能够与通信网络的其他节点在运行上交换数据,必须对设备32b进行认证。该认证基于端口进行,一方面作为设备32b与其第一相邻设备32a之间的相互认证,并且另一方面作为设备32b与其第二相邻设备32c之间的相互认证。在此,用于认证的过程以相应的方式如已经针对图4描述的那样进行,然而其中,必须传输分别针对设备对32a、32b或32b、32c的过程。
因此,认证服务器34获得总共四个具有相应的认证信息的消息,分别是所提到的设备对中的每个设备对中的两个。
在成功检查之后,认证服务器34向所参与的设备32a-c中的每一个发送相应的认证响应,该认证响应促使设备32a-c打开其相应的通信端口用于与相应的所涉及的相邻设备的运行的数据传输。
所描述的过程不仅限于具有环形结构的RSTP通信网络,而是可以使用任意的生成树拓扑,例如网状的网络。此外,可以使用MSTP生成树协议代替RSTP。
总之,本发明提供了一种解决方案,如何在冗余构建的通信网络中进行对节点的认证。特别地,根据标准IEEE 802.1X在根据标准IEEE 802.1Q RSTP构造的通信网络中基于端口地进行认证。所描述的解决方案可以特别有利地用于工业自动化系统中,例如在能量供应网络的自动化中。因此,一方面的故障安全和另一方面的最高网络安全要求可以有效地结合在一起。
尽管在上文中已经通过优选的实施例详细地说明和描述了本发明,但是本发明不受所公开的示例的限制,并且本领域技术人员可以从中推导出其它变型方案,而不脱离本发明的保护范围。
Claims (14)
1.一种用于认证自动化系统的通信网络(30)的节点(31,32a-c)的方法,其中
-将说明了所述节点(31,32a-c)的相应的认证信息传输给认证服务器(34),并且所述认证服务器(34)基于所述认证信息允许或拒绝所述节点(31,32a-c)作为所述通信网络(30)中的参与者;
其特征在于,
-所述通信网络(30)包括呈以太网网桥(31)和电子设备(32a-c)形式的多个节点(31,32a-c),所述节点分别具有至少两个通信端口;
-所述通信网络(30)执行生成树协议,在所述生成树协议中,所述节点(31,32a-c)中的至少一个节点被指示:依据所述通信网络(30)的运行状态,阻断或激活其至少一个通信端口用于运行的数据传输;
-所述节点(31,32a-c)中的至少两个节点通过其面向彼此的通信端口交换包含其相应的认证信息的认证请求;
-所述至少两个节点(31,32a-c)将接收到的相应的认证信息发送给与所述通信网络(30)连接的认证服务器(34);
-所述认证服务器(34)根据接收到的相应的认证信息分别检查相应节点(31,32a-c)的真实性,并且作为检查的结果,允许或拒绝相应的节点(31,32a-c)作为所述通信网络(30)中的参与者。
2.根据权利要求1所述的方法,
其特征在于,
-为了在两个节点(31,32a-c)之间恢复中断的通信连接,布置在中断位置(36)处的两个节点(例如32a,32b)通过其面向彼此的通信端口交换包含其相应的认证信息的认证请求,并且将接收到的相应的认证信息发送给认证服务器(34)。
3.根据权利要求1所述的方法,
其特征在于,
-在接入节点(31,32a-c)时,所接入的节点(例如32b)与其两个相邻节点(例如32a,32c)通过其面向彼此的通信端口交换包含其相应的认证信息的认证请求,并且将接收到的相应的认证信息发送给认证服务器(34)。
4.根据上述权利要求中任一项所述的方法,
其特征在于,
-所述通信网络(30)根据标准IEEE802.1Q RSTP实现生成树协议。
5.根据上述权利要求中任一项所述的方法,
其特征在于,
-所述通信网络(30)的节点(31,32a-c),即使在节点本身未被完全认证时,也仅转发用于根据生成树协议认证节点(31,32a-c)或用于重新配置所述通信网络(30)的消息。
6.根据上述权利要求中任一项所述的方法,
其特征在于,
-为了检查所述节点(31,32a-c)的真实性,将所接收的认证信息与参考认证信息进行比较和/或在其可靠性方面检查包含在所述认证信息中的证书;和
-在一致的情况下,在所述通信网络(30)中允许相应的节点(31,32a-c)。
7.根据上述权利要求中任一项所述的方法,
其特征在于,
-作为对检查的响应,将相应的认证响应发送给相应的节点(31,32a-c),所述认证响应说明了:相应的节点(31,32a-c)是否允许相应的另外的节点(31,32a-c)用于在所述通信网络(30)中通信。
8.根据上述权利要求中任一项所述的方法,
其特征在于,
-在时间上与借助所述生成树协议认证节点(31,32a-c)并行地,执行所述通信网络(30)的重新配置。
9.根据上述权利要求中任一项所述的方法,
其特征在于,
-所述认证请求也通过如下通信端口进行传输,所述通信端口根据生成树协议的应用被阻断。
10.根据上述权利要求中任一项所述的方法,
其特征在于,
-所述节点(31,32a-c)分别具有一个经由第一端口访问控制单元(55a)与第一通信端口(57a)连接的第一认证装置(56a)和一个经由第二端口访问控制单元(55b)与第二通信端口(57b)连接的第二认证装置(56b),其中,相应的认证装置(56a,56b)产生相应的认证请求并且通过与其连接的通信端口(57a,57b)发送相应的认证请求。
11.一种用于连接到自动化系统的通信网络(30)的节点(31,32a-c),其中,所述通信网络(30)包括呈以太网网桥(31)和电子设备(32a-c)形式的多个节点(31,32a-c),所述节点分别具有至少两个通信端口,并且所述通信网络(30)被构造为用于执行生成树协议,在所述生成树协议中,所述节点(31,32a-c)中的至少一个节点被指示:依据所述通信网络(30)的运行状态,阻断或激活其通信端口中的至少一个通信端口用于运行的数据传输;
其特征在于,
-所述节点(31,32a-c)被构造为用于执行根据上述权利要求1至9中任一项所述的方法。
12.根据权利要求11所述的节点(31,32a-c),
其特征在于,
-所述节点(31,32a-c)具有经由第一端口访问控制单元(55a)与第一通信端口(57a)连接的第一认证装置(56a)和经由第二端口访问控制单元(55b)与第二通信端口(57b)连接的第二认证装置(56b),其中,相应的认证装置(56a,56b)被构造为用于产生相应的认证请求并且通过与其连接的通信端口(57a,57b)发送相应的认证请求。
13.一种自动化系统的通信网络(30),其中,所述通信网络(30)具有呈以太网网桥(31)和电子设备(32a-c)形式的多个节点(31,32a-c),所述节点分别具有至少两个通信端口,并且所述通信网络(30)被构造为用于执行生成树协议,在所述生成树协议中,所述节点(31,32a-c)中的至少一个节点被指示:依据所述通信网络(30)的运行状态,阻断或激活其通信端口中的至少一个通信端口用于运行的数据传输,并且其中,所述通信网络(30)具有认证服务器(34);
其特征在于,
-所述通信网络(30)被构造为,为了对节点(31,32a-c)进行认证,执行根据权利要求1至10中任一项所述的方法。
14.根据权利要求13所述的通信网络(30),
其特征在于,
-所述节点(31,32a-c)根据权利要求11或12进行构造。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP21162798.9A EP4060947A1 (de) | 2021-03-16 | 2021-03-16 | Authentifizieren eines knotens in einem kommunikationsnetz einer automatisierungsanlage |
| EP21162798.9 | 2021-03-16 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115085963A true CN115085963A (zh) | 2022-09-20 |
| CN115085963B CN115085963B (zh) | 2024-04-19 |
Family
ID=74884851
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210257966.8A Active CN115085963B (zh) | 2021-03-16 | 2022-03-16 | 认证自动化系统的通信网络中的节点 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11863544B2 (zh) |
| EP (1) | EP4060947A1 (zh) |
| CN (1) | CN115085963B (zh) |
| BR (1) | BR102022004708A2 (zh) |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102006038592A1 (de) * | 2006-08-17 | 2008-02-21 | Siemens Ag | Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks |
| CN101222331A (zh) * | 2007-01-09 | 2008-07-16 | 华为技术有限公司 | 一种认证服务器及网状网中双向认证的方法及系统 |
| US20080279096A1 (en) * | 2007-05-11 | 2008-11-13 | Sullivan Michael J | Lightweight node based network redundancy solution leveraging rapid spanning tree protocol (rstp) |
| CN101360020A (zh) * | 2008-09-28 | 2009-02-04 | 西安电子科技大学 | 基于eap的ieee802.1x安全协议的仿真平台及方法 |
| US20090187759A1 (en) * | 2008-01-18 | 2009-07-23 | Marsico Peter J | Systems, methods, and computer readable media for application-level authentication of messages in a telecommunications network |
| CN102461230A (zh) * | 2009-04-07 | 2012-05-16 | 托吉瓦控股股份公司 | 用于在基于uam的wlan网络中对网络节点进行认证的方法和系统 |
| CN103765808A (zh) * | 2011-08-30 | 2014-04-30 | Abb技术有限公司 | 公用事业通信方法和系统 |
| CN105592046A (zh) * | 2015-08-25 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种免认证访问方法和装置 |
| US20160219051A1 (en) * | 2015-01-27 | 2016-07-28 | Renesas Electronics Corporation | Relay apparatus, terminal apparatus, and communication method |
| CN106358188A (zh) * | 2016-08-26 | 2017-01-25 | 迈普通信技术股份有限公司 | 一种链路切换方法、装置及系统 |
| CN107295514A (zh) * | 2016-04-12 | 2017-10-24 | 中兴通讯股份有限公司 | 一种数据转发方法、无线接入点及通信系统 |
| US20180332457A1 (en) * | 2015-11-05 | 2018-11-15 | Alcatel Lucent | Support of emergency services over wlan access to 3gpp evolved packet core for unauthenticated users |
| EP3461081A1 (de) * | 2017-09-22 | 2019-03-27 | Siemens Aktiengesellschaft | Verfahren zum betrieb eines mehrere kommunikationsgeräte umfassenden kommunikationsnetzes eines industriellen automatisierungssystems, steuerungseinheit und kommunikationsgerät |
| CN110998461A (zh) * | 2017-07-28 | 2020-04-10 | 西门子股份公司 | 运行工业自动化系统的包括多个通信设备的通信网络的方法和控制单元 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050152305A1 (en) * | 2002-11-25 | 2005-07-14 | Fujitsu Limited | Apparatus, method, and medium for self-organizing multi-hop wireless access networks |
| US7657744B2 (en) * | 2004-08-10 | 2010-02-02 | Cisco Technology, Inc. | System and method for dynamically determining the role of a network device in a link authentication protocol exchange |
| US20070198837A1 (en) * | 2005-04-29 | 2007-08-23 | Nokia Corporation | Establishment of a secure communication |
| FI20050562A0 (fi) * | 2005-05-26 | 2005-05-26 | Nokia Corp | Menetelmä avainmateriaalin tuottamiseksi |
| US20070271453A1 (en) * | 2006-05-19 | 2007-11-22 | Nikia Corporation | Identity based flow control of IP traffic |
| US7809003B2 (en) * | 2007-02-16 | 2010-10-05 | Nokia Corporation | Method for the routing and control of packet data traffic in a communication system |
| US8661510B2 (en) * | 2009-05-05 | 2014-02-25 | Nokia Solutions And Networks Oy | Topology based fast secured access |
| FI123673B (fi) | 2010-10-12 | 2013-09-13 | John Holmstroem | Menetelmä, järjestelmä ja elementti yleiskäyttöiseen tietoliikenteen tietovirran hallintaan ja tietoliikenteen reititykseen |
| WO2015024588A1 (de) | 2013-08-20 | 2015-02-26 | Siemens Aktiengesellschaft | Verfahren zum betreiben einer netzwerkkomponente in einem kommunikationsnetzwerk mit spannbaumkonfiguration |
| US11431728B2 (en) * | 2017-12-19 | 2022-08-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and management node in a communication network, for supporting management of network nodes based on LLDP messages |
| WO2019125238A1 (en) * | 2017-12-19 | 2019-06-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and nodes for handling lldp messages in a communication network |
-
2021
- 2021-03-16 EP EP21162798.9A patent/EP4060947A1/de active Pending
-
2022
- 2022-03-14 BR BR102022004708-1A patent/BR102022004708A2/pt unknown
- 2022-03-15 US US17/695,247 patent/US11863544B2/en active Active
- 2022-03-16 CN CN202210257966.8A patent/CN115085963B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102006038592A1 (de) * | 2006-08-17 | 2008-02-21 | Siemens Ag | Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks |
| CN101222331A (zh) * | 2007-01-09 | 2008-07-16 | 华为技术有限公司 | 一种认证服务器及网状网中双向认证的方法及系统 |
| US20080279096A1 (en) * | 2007-05-11 | 2008-11-13 | Sullivan Michael J | Lightweight node based network redundancy solution leveraging rapid spanning tree protocol (rstp) |
| US20090187759A1 (en) * | 2008-01-18 | 2009-07-23 | Marsico Peter J | Systems, methods, and computer readable media for application-level authentication of messages in a telecommunications network |
| CN101360020A (zh) * | 2008-09-28 | 2009-02-04 | 西安电子科技大学 | 基于eap的ieee802.1x安全协议的仿真平台及方法 |
| CN102461230A (zh) * | 2009-04-07 | 2012-05-16 | 托吉瓦控股股份公司 | 用于在基于uam的wlan网络中对网络节点进行认证的方法和系统 |
| CN103765808A (zh) * | 2011-08-30 | 2014-04-30 | Abb技术有限公司 | 公用事业通信方法和系统 |
| US20160219051A1 (en) * | 2015-01-27 | 2016-07-28 | Renesas Electronics Corporation | Relay apparatus, terminal apparatus, and communication method |
| CN105592046A (zh) * | 2015-08-25 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种免认证访问方法和装置 |
| US20180332457A1 (en) * | 2015-11-05 | 2018-11-15 | Alcatel Lucent | Support of emergency services over wlan access to 3gpp evolved packet core for unauthenticated users |
| CN107295514A (zh) * | 2016-04-12 | 2017-10-24 | 中兴通讯股份有限公司 | 一种数据转发方法、无线接入点及通信系统 |
| CN106358188A (zh) * | 2016-08-26 | 2017-01-25 | 迈普通信技术股份有限公司 | 一种链路切换方法、装置及系统 |
| CN110998461A (zh) * | 2017-07-28 | 2020-04-10 | 西门子股份公司 | 运行工业自动化系统的包括多个通信设备的通信网络的方法和控制单元 |
| EP3461081A1 (de) * | 2017-09-22 | 2019-03-27 | Siemens Aktiengesellschaft | Verfahren zum betrieb eines mehrere kommunikationsgeräte umfassenden kommunikationsnetzes eines industriellen automatisierungssystems, steuerungseinheit und kommunikationsgerät |
Non-Patent Citations (2)
| Title |
|---|
| 李智伟;周小清;胡晓欢;朱聿蔚;: "基于隐形传态的量子无线通信EAP身份认证方案", 鸡西大学学报, no. 04 * |
| 杨彬;: "基于ENSP的生成树协议原理仿真实验", 软件, no. 02 * |
Also Published As
| Publication number | Publication date |
|---|---|
| BR102022004708A2 (pt) | 2022-09-20 |
| EP4060947A1 (de) | 2022-09-21 |
| US20220303255A1 (en) | 2022-09-22 |
| CN115085963B (zh) | 2024-04-19 |
| US11863544B2 (en) | 2024-01-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7181530B1 (en) | Rogue AP detection | |
| EP1670188A2 (en) | Methods and systems for connection determination in a multi-point virtual private network | |
| CN100594476C (zh) | 用于实现基于端口的网络访问控制的方法和装置 | |
| CN102209360B (zh) | 通信中继装置、通信中继方法 | |
| CN115085961B (zh) | 在自动化设施的通信网络中对设备的认证 | |
| CN107079029B (zh) | 网络系统及其相应的方法和计算机可读存储介质 | |
| WO2008019615A1 (fr) | Procédé, dispositif et système pour authentification d'accès | |
| RU2668722C2 (ru) | Сeть передачи данных устройства, в частности транспортного средства | |
| CN102790775A (zh) | 一种增强网络安全性能的方法及系统 | |
| CN101272379A (zh) | 基于IEEE802.1x安全认证协议的改进方法 | |
| CN113676469A (zh) | 一种企业网安全管理方法 | |
| US20180152447A1 (en) | Network device and method for accessing a data network from a network component | |
| CN100591068C (zh) | 一种桥接设备透传802.1x认证报文的方法 | |
| CN115085963B (zh) | 认证自动化系统的通信网络中的节点 | |
| US20230099263A1 (en) | Secure link aggregation | |
| CN115085964B (zh) | 在自动化设施的通信网络中对设备的认证 | |
| CN111934867B (zh) | 一种量子通信网络的安全组网结构及其方法 | |
| CN108712398A (zh) | 认证服务器的端口认证方法、服务器、交换机和存储介质 | |
| JP6070280B2 (ja) | ネットワーク認証システム、ネットワーク認証装置、ネットワーク認証方法、及びネットワーク認証プログラムネットワーク認証装置の負荷分散方法 | |
| CN102412962B (zh) | 组安全连接联合密钥cak的分发方法及装置 | |
| CN106358188A (zh) | 一种链路切换方法、装置及系统 | |
| US20200366672A1 (en) | Authentication in a software defined network | |
| KR100533003B1 (ko) | 사용자 인증을 위한 프로토콜 개선 방법 | |
| Ellis | Security As a Service for Rail Applications | |
| CN101534250B (zh) | 一种网络接入控制方法及接入控制装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |