DE102017211267A1 - Method for protecting a certificate request of a client computer and corresponding communication system - Google Patents
Method for protecting a certificate request of a client computer and corresponding communication system Download PDFInfo
- Publication number
- DE102017211267A1 DE102017211267A1 DE102017211267.0A DE102017211267A DE102017211267A1 DE 102017211267 A1 DE102017211267 A1 DE 102017211267A1 DE 102017211267 A DE102017211267 A DE 102017211267A DE 102017211267 A1 DE102017211267 A1 DE 102017211267A1
- Authority
- DE
- Germany
- Prior art keywords
- certificate
- computer
- client
- protected
- iam
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
Die Erfindung betrifft im Wesentlichen ein Verfahren zum Schützen einer Zertifikatsanforderung eines Clienten-Rechners, bei dem der Client-Rechner von einem IAM-Server ein Security-Token anfordert, bei dem der Rechner für Identifikation und Zugriffsmanagement client-spezifische Attribute für eine Zertifikatunterzeichnungs-Anfrage und optional zusätzliche Attribute zum Einfügen in das Zertifikat erzeugt, bei dem der IAM-Server ein Security-Token an den Clienten-Rechner sendet das die client-spezifischen Attribute und optional auch die zusätzliche Attribute beinhaltet, bei dem der Client-Rechner mit Hilfe des Sicherheits-Tokens ein Schlüsselpaar erzeugt und damit eine geschützte Zertifikatunterzeichnungs-Anfrage an den Registrierungs-/Zertifizierungs-Rechner sendet, bei dem der Registrierungs-/Zertifizierungs-Rechner eine Gültigkeitsüberprüfung der Unterzeichnung und eine Überprüfung der Autorisierung auf Basis der geschützten Zertifikatunterzeichnungs-Anfrage durchführt sowie optional die zusätzliche Attribute zum Einfügen in das Zertifikat extrahiert, das Zertifikat erzeugt und als geschützte Antwort an den Client-Rechner sendet, wo das es dann gespeichert wird. Die digitalen Zertifikate können hiermit vollständig automatisiert und trotzdem geschützt ausgestellt werden. Die Erfindung ist insbesondere in industriellen Anwendungsszenarien vorteilhaft, bei denen eine im Internet etablierte IAM-Lösung zur Geräte-authentisierung verwendet wird, um den Geräten (z.B. Feldgerät, IoT-Device) geschützt (autorisiert) ein digitales Zertifikat bereitzustellen. Die Geräte können dabei das digitale Zertifikat auch dann für eine Authentisierung nutzen, wenn der IAM-Server gerade nicht verfügbar ist. The invention generally relates to a method for protecting a certificate request of a client computer, in which the client computer requests a security token from an IAM server, in which the computer for identification and access management has client-specific attributes for a certificate signature request and optionally creates additional attributes for insertion into the certificate, where the IAM server sends a security token to the client machine containing the client-specific attributes and optionally also the additional attributes where the client computer uses the Security token generates a keypair and thus sends a protected certificate sign-on request to the registration / certification computer at which the registration / certification computer performs a signature validation and an authorization verification based on the protected certificate sign-on request Optionally extract the additional attributes for insertion into the certificate, generate the certificate and send it as a protected response to the client machine, where it is stored. The digital certificates can be issued fully automated yet protected. The invention is particularly advantageous in industrial application scenarios in which an IAM solution established on the Internet for device authentication is used in order to protect (authorize) a digital certificate for the devices (eg field device, IoT device). The devices can use the digital certificate for authentication even if the IAM server is currently not available.
Description
Die Erfindung betrifft ein Verfahren zum Schützen einer Zertifikatsanforderung eines Clienten-Rechners, bei dem der Client-Rechner ein Schlüsselpaar erzeugt und damit eine geschützte Zertifikatunterzeichnungs-Anfrage an einen Registrierungs-/Zertifizierungs-Rechner sendet und bei dem der Registrierungs-/Zertifizierungs-Rechner eine Gültigkeitsüberprüfung der Unterzeichnung und eine Überprüfung der Autorisierung durchführt, das Zertifikat erzeugt und als geschützte Antwort dem Client-Rechner sendet, wo das Zertifikat dann gespeichert wird.The invention relates to a method for protecting a certificate request of a client computer, in which the client computer generates a key pair and thus sends a protected certificate signature request to a registration / certification computer and in which the registration / certification computer a Validate the signing and verify the authorization, generate the certificate and send it as a protected response to the client machine, where the certificate is then stored.
Ein Zugriff von einem Client-Rechner, z.B. einem IoT-Device, auf einen Internet-Dienst erfolgt üblicherweise mit einer Server-seitigen TLS-Authentisierung, wobei sich der Client unabhängig von TLS mit einem Token, z.B. einem JSON Web Token, authentisiert, das von einem IAM-Dienst ausgestellt wurde. Die Client-Authentisierung erfolgt dabei üblicherweise über ein HTTP-Protokoll oberhalb des TLS Kanals. Der Client überträgt das Client-Token bei HTTP-Anfragen (HTTP Request). Hierbei wird neben dem klassischen Ansatz einer unilateralen Server-Authentisierung auch eine clientbasierte Authentisierung und Autorisierung mit genutzt, die z.B. outof-band oder aber über einen anderen Kommunikationskanal unabhängig von dem TLS-Verbindungsaufbau stattgefunden hat. Der Netzwerkzugang kann dabei z.B. über Ethernet, WLAN oder ein Mobilfunknetz erfolgen.An access from a client machine, e.g. an IoT device, an internet service is usually done with a server-side TLS authentication, the client having a token, e.g. a JSON Web token authenticated by an IAM service. The client authentication usually takes place via an HTTP protocol above the TLS channel. The client transmits the client token for HTTP requests. Here, in addition to the traditional approach of unilateral server authentication, client-based authentication and authorization is also used, e.g. out-of-band or over another communication channel, regardless of the TLS connection setup. The network access can be e.g. via Ethernet, WLAN or a mobile network.
Es ist für sich bekannt, den Zugriff auf Internet-Dienste mit einer Server-seitiger TLS-Authentisierung und einer auf JSON-Web-Token (JWT) basierenden Client-Authentisierung zu schützen. Ein Server wird durch ein digitales Zertifikat authentisiert (einseitige TLS-Authentisierung). Der Client kann sich dann in einem Applikationsprotokoll authentisieren, z.B. durch ein Passwort (z.B. HTTP Digest) oder durch ein Security-Token (JSON Web Token), das er als Teil einer HTTP- oder CoAP-Nachricht überträgt. Das Security-Token wird dabei von einem IAM-Server nach erfolgreicher Client-Authentisierung gegenüber dem IAM-Server bereitgestellt. Eine derartige Lösung ist im Internet weit verbreitet. Sie ist jedoch nur nutzbar, wenn der IAM-Server verfügbar ist. Daher ist ein solcher Lösungsansatz in industriellen Anwendungsszenarien nicht immer anwendbar.It is known to protect access to Internet services with server-side TLS authentication and JSON web token (JWT) based client authentication. A server is authenticated by a digital certificate (one-sided TLS authentication). The client can then authenticate in an application protocol, e.g. by a password (e.g., HTTP Digest) or by a security token (JSON Web Token), which it transmits as part of an HTTP or CoAP message. The security token is provided by an IAM server after successful client authentication against the IAM server. Such a solution is widely used on the Internet. However, it is only usable if the IAM server is available. Therefore, such an approach is not always applicable in industrial application scenarios.
„TLS“ bedeutet Transport Layer Security und ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet, das auch unter der Vorgängerbezeichnung Secure Sockets Layer (SSL) bekannt ist. „IAM“ bedeutet Identity and Access Management in der Computer Sicherheit, dass die richtigen Individuen auf die richtigen Ressourcen zur richtigen Zeit und mit der richtigen Begründung zugreifen können. Ein „JSON Web Token (JWT)“ ist ein auf JSON basiertes und nach RFC 7519 genormtes Access-Token. JSON Web Token (JWT) ist ein kompaktes, URL-sicheres Mittel zum Repräsentieren von Claims, die zwischen zwei Parteien zu übertragen sind. Es dient zum Verifizieren von Claims."TLS" means Transport Layer Security and is a hybrid encryption protocol for secure data transmission over the Internet, which is also known under its predecessor Secure Sockets Layer (SSL). "IAM" means identity and access management in computer security that allows the right individuals to access the right resources at the right time and with the right rationale. A "JSON Web Token (JWT)" is a JSON based and according to RFC 7519 standardized access token. JSON Web Token (JWT) is a lightweight, URL-safe means of representing claims to be transferred between two parties. It is used to verify claims.
Verfahren zur Authentisierung und Autorisierung zwischen zwei Kommunikationsteilnehmern sind für sich bekannt. Diese Szenarien sind typische Webszenarien, bei denen ein Client direkt auf einen Server zugreift.Methods for authentication and authorization between two communication participants are known per se. These scenarios are typical Web scenarios in which a client accesses a server directly.
Das TLS-Protokoll (RFC 5246) beschreibt Möglichkeiten zur serverseitigen Authentisierung oder auch zur beiderseitigen (Client/Server) Authentisierung während der Aushandlung der Sicherheits-Parameter für eine Session als Teil der Handshake Phase des Protokolls. Innerhalb des TLS-Protokolls kann sich nicht nur ein Server, sondern auch ein Client mittels eines digitalen Zertifikats authentisieren (mutual authentication, gegenseitige Authentisierung).The TLS protocol (RFC 5246) describes options for server-side authentication or also mutual (client / server) authentication during the negotiation of the security parameters for a session as part of the handshake phase of the protocol. Within the TLS protocol, not only a server but also a client can authenticate by means of a digital certificate (mutual authentication, mutual authentication).
Ferner sind Verfahren zur Authentisierung und Autorisierung zwischen zwei Kommunikationsteilnehmern über einen dritten bekannt.Furthermore, methods for authentication and authorization between two communication participants via a third are known.
Ein JSON Web Token (JWT),https://tools.ietf.org/html/rfc7519, beschreibt einen generischen Ansatz, Claims als JSON Objekte zu beschreiben. Dies können dann durch JWS (Signature) und JWE (Encryption) geschützt werden. Ein JWT besteht aus drei Fragmenten, die durch einen „.“ getrennt sind: Header,Payload.Signature.A JSON Web Token (JWT), https: //tools.ietf.org/html/rfc7519, describes a generic approach to describing claims as JSON objects. These can then be protected by JWS (Signature) and JWE (Encryption). A JWT consists of three fragments separated by a "." Header: Payload.Signature.
RFC 2698 (PKCS#10, Certificate Signing Request (CSR)) definiert das Format für eine Zertifikatsanfrage. Dabei ist es möglich ein Passwort mitzuschicken, das zur Autorisierung der Zertifikatsanfrage genutzt wird.RFC 2698 (PKCS # 10, Certificate Signing Request (CSR)) defines the format for a certificate request. It is possible to send a password, which is used to authorize the certificate request.
RFC 4211 (Certificate Request Message Format (CRMF)) beschreibt ein weiteres Format für Zertifikatsanfragen. Bei diesem Format ist es möglich verschiedene „Controls“ zu benutzen, um die Zertifikatserstellung zu beeinflussen. Als Controls sind dazu vom Standard verschiedenen Ansätze definiert: ein Passwort (zur Autorisierung), ein Authenticator (für einen non-cryptographic Check) sowie weitere Daten, die die Anfrage betreffen. Die verwendeten Controls sind nicht verschlüsselt und ein Integritätsschutz der Information ist nicht beschrieben.Certificate Request Message Format (CRMF) 4211 describes another format for certificate requests. With this format it is possible to use different "controls" to influence the certificate creation. As controls, different approaches are defined by the standard: a password (for Authorization), an authenticator (for a non-cryptographic check) and other data concerning the request. The controls used are not encrypted and integrity protection of the information is not described.
Bekannt sind außerdem unterschiedliche Lösungen zum Enrollment von Zertifikaten. Beispiele sind SCEP (Simple Certificate Enrollment Protocol), EST (Enrollment over Secure Transport) oder auch CMP (Certificate Management Protocol). Allen Verfahren gemein ist die Unterstützung der Autorisierung des Anfragenden. Hierbei wird typischerweise ein Passwort (bei SCEP ein One Time Password, bei EST ist es die Information zur Bindung an die TLS Session, und bei CMP ein Password oder ein schon existierendes Zertifikat) genutzt. Dieses Password erhält der Antragsteller im Vorfeld. Die CA als ausstellende Seite kann darüber einen Abgleich mit der Security Policy realisieren.Also known are different solutions for enrollment of certificates. Examples are Simple Certificate Enrollment Protocol (SCEP), Enrollment over Secure Transport (EST) or Certificate Management Protocol (CMP). Common to all methods is the support of the requestor's authorization. This typically uses a password (in the case of SCEP a one-time password, in the case of EST it is the information for binding to the TLS session, and in the case of CMP a password or an already existing certificate). The applicant receives this password in advance. The CA as the issuing side can use this to reconcile with the security policy.
Aus der Anmeldung
Die der Erfindung zu Grunde liegende Aufgabe besteht nun darin, ein Verfahren zum Schützen einer Zertifikats-anforderung eines Clienten-Rechners und ein entsprechendes Kommunikationssystem anzugeben, bei dem die Geräte-kommunikation und die Authentifizierung verbessert werden.The object underlying the invention is now to specify a method for protecting a certificate request of a client computer and a corresponding communication system in which the device communication and the authentication are improved.
Diese Aufgabe wird hinsichtlich des Verfahrens durch die Merkmale des Patentanspruchs 1 und hinsichtlich des Kommunikationssystems durch die Merkmale des Patentanspruchs 6 erfindungsgemäß gelöst. Die weiteren Ansprüche betreffen bevorzugte Ausgestaltungen der Erfindung.This object is achieved in terms of the method by the features of claim 1 and in terms of the communication system by the features of claim 6 according to the invention. The further claims relate to preferred embodiments of the invention.
Die Erfindung betrifft im Wesentlichen ein Verfahren zum Schützen einer Zertifikatsanforderung eines Clienten-Rechners, bei dem der Client-Rechner von einem Rechner für Identifikation und Zugriffsmanagement (IAM-Server) ein Security-Token anfordert, bei dem der Rechner für Identifikation und Zugriffsmanagement client-spezifische Attribute für eine Zertifikatunterzeichnungs-Anfrage und optional zusätzliche Attribute zum Einfügen in das Zertifikat erzeugt, bei dem der Rechner für Identifikation und Zugriffsmanagement ein Security-Token an den Clienten-Rechner sendet, das die client-spezifischen Attribute und optional auch die zusätzliche Attribute beinhaltet, bei dem der Client-Rechner ein Schlüsselpaar erzeugt und mit Hilfe des Sicherheits-Tokens eine geschützte Zertifikatunterzeichnungs-Anfrage an den Registrierungs-/Zertifizierungs-Rechner sendet, bei dem der Registrierungs-/Zertifizierungs-Rechner eine Gültigkeitsüberprüfung der Unterzeichnung und eine Überprüfung der Autorisierung auf Basis der geschützten Zertifikatunterzeichnungs-Anfrage durchführt sowie optional die zusätzliche Attribute zum Einfügen in das Zertifikat extrahiert, das Zertifikat erzeugt und als geschützte Antwort an den Client-Rechner sendet, wo es dann gespeichert wird. Die digitalen Zertifikate können hiermit vollständig automatisiert und trotzdem geschützt ausgestellt werden, da die Zertifikatsanforderungsnachricht durch ein Security-Token eines IAM-Servers geschützt ist. Die Erfindung ist insbesondere in industriellen Anwendungsszenarien vorteilhaft, bei denen eine im Internet etablierte IAM-Lösung zur Geräteauthentisierung verwendet wird, um den Geräten (z.B. Feldgerät, IoT-Device) geschützt ein digitales Zertifikat bereitzustellen. Die Geräte können dabei das digitale Zertifikat auch dann für eine Authentisierung nutzen, wenn der IAM-Server gerade nicht verfügbar ist.The invention essentially relates to a method for protecting a certificate request of a client computer, in which the client computer requests from a computer for identification and access management (IAM server) a security token in which the computer for identification and access management client- generates specific attributes for a certificate signing request and optionally additional attributes for insertion into the certificate where the identification and access management computer sends a security token to the client computer containing the client-specific attributes and optionally also the additional attributes in which the client computer generates a key pair and, with the help of the security token, sends a protected certificate signing request to the registration / certification computer, at which the registration / certification computer performs a signature validation check and a verification check Authorization based on the protected certificate signing request and optionally extracting the additional attributes for insertion into the certificate, generating the certificate and sending it as a secure response to the client computer where it is stored. The digital certificates can be issued fully automated yet protected, as the certificate request message is protected by a security token of an IAM server. The invention is particularly advantageous in industrial application scenarios where an Internet-based device authentication IAM solution is used to provide a digital certificate to the devices (e.g., field device, IoT device) protected. The devices can use the digital certificate for authentication even if the IAM server is currently not available.
Nachfolgend wird die Erfindung anhand von in der Zeichnung dargestellten Ausführungsbeispielen näher erläutert.The invention will be explained in more detail with reference to embodiments shown in the drawing.
Dabei zeigt
-
1 ein Ablaufdiagramm zur Erläuterung eines bekannten und -
2 ein Ablaufdiagramm zur Erläuterung des erfindungsgemäßen Verfahrens.
-
1 a flowchart for explaining a known and -
2 a flowchart for explaining the method according to the invention.
Bei einem solchen Certificate Enrollment Protokoll erstellt ein Client eine Zertifikatsanforderungsnachricht, die ein digitales Zertifikat von einer ausstellenden PKI (Public-Key-Infrastruktur) anfordert. Die Zertifikatsanforderungsnachricht enthält Angaben zu dem Inhalt des angeforderten Zertifikats, d.h. die Werte der Attribute. Es soll dabei geschützt werden, welcher Client eine Zertifikatsanforderungsnachricht erstellt und sendet. In such a certificate enrollment protocol, a client creates a certificate request message requesting a digital certificate from an issuing PKI (Public Key Infrastructure). The certificate request message contains information about the content of the requested certificate, ie the values of the attributes. It should be protected, which client creates and sends a certificate request message.
Die Erfindung stellt somit eine alternative Lösung bereit, um eine Zertifikatsanforderungsnachricht zu schützen. Diese ist insbesondere vorteilhaft in IoT-Anwendungen und Automatisierungsanwendungen vorteilhaft anwendbar, da vollautomatisch, d.h. ohne Nutzerinteraktion, Zertifikate für Geräte ausgestellt werden können. Geräte können diese Zertifikate verwenden, um unabhängig von einem IAM-Server eine authentisierte Kommunikationsverbindung zu einem Server oder zu einem zweiten Gerät aufzubauen. Dadurch wird eine hohe Verfügbarkeit erreicht, da während der Gültigkeitsdauer der ausgestellten Gerätezertifikate unabhängig von dem IAM-Server authentisierte Verbindungen aufbaubar sind. Weiterhin ist die Erfindung auch vorteilhaft anwendbar, um eine geschützte Geräte-zu-Geräte-Kommunikation zu realisieren. Dabei fordern beide Geräte, die miteinander geschützt zu kommunizieren, jeweils unabhängig ein Gerätezertifikat erfindungsgemäß an. Die beiden Geräte können unter Nutzung der jeweiligen Gerätezertifikate eine beidseitig authentisierte TLS-Verbindung untereinander geschützt aufbauen. Dabei ist es nicht erforderlich, dass ein Gerät ein IAM-Token des anderen Gerätes verifizieren kann. Dies ist vorteilhaft bei einer großen Anzahl von Geräten, bei denen, im Gegensatz zu Web-Diensten bzw. Web-Servern, nicht jeweils eine Sicherheitsbeziehung mit einem IAM-Server praktikabel eingerichtet werden kann, die benötigt wird, um die Gültigkeit von Security-Token anderer Teilnehmer zu überprüfen. The invention thus provides an alternative solution to protect a certificate request message. This is particularly advantageously applicable advantageously in IoT applications and automation applications since fully automatic, i. without user interaction, certificates can be issued for devices. Devices can use these certificates to establish an authenticated communication connection to a server or to a second device independently of an IAM server. This achieves high availability since authenticated connections can be established independently of the IAM server during the validity period of the issued device certificates. Furthermore, the invention is also advantageously applicable to realize a protected device-to-device communication. In this case, both devices, the protected communicate with each other, each independently a device certificate according to the invention. The two devices can use the respective device certificates to establish a mutually authenticated TLS connection with each other protected. It is not necessary for a device to verify an IAM token of the other device. This is advantageous in a large number of devices where, unlike web services or web servers, respectively, a security relationship with an IAM server that is required to establish the validity of security tokens can not be practicably established to check other participants.
Die Zertifikatunterzeichnungs-Anfrage HTTP(PKCSReq.) wird durch ein Security-Token geschützt, insbesondere durch ein JSON Web Token bzw. ein JWT. Die Zertifikatunterzeichnungs-Anfrage HTTP(PKCSReq.) selbst ist weiterhin durch die digitale Signatur des anfragenden Clienten-Rechners
Das Security-Token wird einem anfragenden Client von einem
Das JSON Web Token ist vorzugsweise durch den
Das vom IAM-Server ausgestellte Security-Token kann optional Angaben umfassen, welche die Attribute des Zertifikats festlegen oder einschränken. Insbesondere kann das Security-Token Angaben bezüglich einer Geräteidentifikation (z.B. Gerätetyp, Hersteller Seriennummer, projektierter Gerätename) umfassen, die dann als Attribut, z.B. als Common Name, in das ausgestellte Zertifikat übernommen werden. Die RA kann weiterhin prüfen, ob die vom Client in der Zertifikatunterzeichnungs-Anfrage HTTP(PKCSReq.) erhaltenen Attribute, mit den vom IAM-Server festgelegten, im Security-Token enthaltenen Angaben bzw. Einschränkungen, übereinstimmen.The security token issued by the IAM server can optionally include information that defines or limits the attributes of the certificate. In particular, the security token may include indications of a device identification (e.g., device type, manufacturer serial number, projected device name) which may then be stored as an attribute, e.g. as a common name, are included in the issued certificate. The RA can also check whether the attributes received from the client in the certificate signing request HTTP (PKCSReq.) Match those specified by the IAM server in the security token or restrictions.
Enrollment-Protokolle wie SCEP und EST nutzen auf PKCS#10 für die Definition der Struktur einer Anfrage aus. PKCS#10 (RFC 2986) definiert den Certificate Signing Request (CSR) wie folgt: Enrollment protocols such as SCEP and EST use PKCS # 10 to define the structure of a request. PKCS # 10 (RFC 2986) defines the Certificate Signing Request (CSR) as follows:
Die Attribute können optional Zusatzinformationen zur Zertifikatsanfrage sein. Im Falle von SCEP werden die Attribute genutzt, um ein Challenge Password zu transportieren. Das Challenge Password ist in PKCS#9 (RFC 2985) definiert als: Das JWT kann optional zusätzlich, im Gegensatz zu einem bekannten Passwort, Attribute des Anfragenden bestätigen oder auch weitere Attribute enthalten. Das bedeutet, dass ein IAM-Server IAM, der das JWT ausstellt, als Teil des JWT eine Information über den Client bestätigen kann, die die RA der PKI bzw. des Registrierungs-/Zertifizierungs-Rechner RA/CA prüft.The attributes can optionally be additional information about the certificate request. In the case of SCEP, the attributes are used to transport a Challenge Password. The challenge password is defined in PKCS # 9 (RFC 2985) as: The JWT can optionally additionally confirm, in contrast to a known password, attributes of the requestor or also contain other attributes. This means that an IAM server IAM issuing the JWT can, as part of the JWT, confirm information about the client that checks the RA of the PKI or the registration / certification computer RA / CA.
Dies ermöglicht einer ein digitales Zertifikat ausstellenden PKI (Registration Authority, Certification Authority), die Übereinstimmung der Attribute der Zertifikatsanfragenachricht, die durch den Client gesetzt werden, mit den im JWT enthaltenen Informationen des IAM-Servers IAM auf Übereinstimmung zu prüfen. Dies ermöglicht insbesondere, dass ein IAM-Server, der ein JWT ausstellt, die Attributwerte vorgibt oder zulässige Wertebereiche definiert. Dies ermöglicht eine automatische Prüfung einer Zertifikatsanforderungsnachricht durch eine PKI bzw. durch die Registration Authority RA einer PKI. Diese Attribute können hierbei z.B. den Namen oder weitere Informationen des Antragstellers bestätigen.This allows a digital certificate issuing PKI (Registration Authority, Certification Authority) to check the correspondence of the attributes of the certificate request message set by the client with the information of the IAM server IAM contained in the JWT. In particular, this makes it possible for an IAM server issuing a JWT to specify the attribute values or to define permissible value ranges. This enables an automatic check of a certificate request message by a PKI or by the Registration Authority RA of a PKI. These attributes may be e.g. confirm the name or other information of the applicant.
Zusätzlich können optional über den IAM-Server zusätzliche Attribute, z.B. basierend auf einer Security Policy Database, mit in den Token eingebracht werden. Ein Beispiel ist die Vergabe von Rollen für Zertifikatsnutzer, um Role-based Access Control zu unterstützen. Dadurch ergibt sich eine effiziente Art, um Attribute eines IAM-Systems als Basis zu verwenden, um ein korrektes digitales Zertifikat automatisiert auszustellen.In addition, additional attributes, eg based on a Security Policy Database, can be added to the token via the IAM server as an option. An example is the assignment of roles for Certificate users to support role-based access control. This provides an efficient way to use attributes of an IAM system as the basis for automatically issuing a correct digital certificate.
Die für das Token notwendige Syntax könnte bspw. wie folgt definiert werden, wobei im folgenden Beispiel ein JWT genutzt wird und folgende Attributtyp-Erweiterung für PKCS#9 notwendig ist. Das Attribut selbst ist dann im Falle eines JWT die base64-kodierte Information des Claims in „JwtClaim OCTETSTRING“.For example, the syntax required for the token could be defined as follows, with the following example using a JWT and following attribute type extension for PKCS # 9. The attribute itself is then in the case of a JWT base64 encoded information of the claim in "JwtClaim OCTETSTRING".
Der hier gezeigte Ansatz der Erweiterung einer Zertifikatsanfrage mittels PRCS#10 kann so auch auf andere Definitionen der Syntax einer Zertifikatsanfrage abgebildet werden. Neben PKCS#10 ist dazu in RFC 4211 das Certificate Request Message Format definiert. Neben den hier definierten Controls für die Authentisierung kann das oben genannte Token ebenfalls verwendet werden.The approach shown here of extending a certificate request using PRCS # 10 can thus also be mapped to other definitions of the syntax of a certificate request. In addition to PKCS # 10, RFC 4211 defines the Certificate Request Message Format. In addition to the controls defined here for authentication, the above-mentioned token can also be used.
Es können hiermit herkömmliche Langzeitzertifikate, z.B. zur Geräteauthentisierung oder zur Nutzerauthentisierung, aber auch Kurzzeitzertifikate ausgestellt werden.Conventional long term certificates, e.g. for device authentication or user authentication, but also short-term certificates are issued.
Dadurch kann vorteilhafter Weise eine im Internet weit verbreitete IAM-Anmeldung verwendet werden, um ein digitales Zertifikat auszustellen, das z.B. für eine lokale, vom Backend-unabhängige Geräte-zu-Geräte-Kommunikation verwendbar ist. Dadurch kann insbesondere eine Kommunikation auch dann realisiert werden, wenn das Backend-IAM-System IAM nicht verfügbar ist. Das IAM-Backendsystem muss nur „gelegentlich“ verfügbar sein, um neue Kurzzeit-Zertifikate auszustellen. Auch können die ausgestellten Zertifikate einfach verwendet werden, um eine direkte Kommunikation zwischen Geräten zu schützen (Device-2-Device Communication).As a result, an IAM application widely used on the Internet can be advantageously used to issue a digital certificate, e.g. is usable for a local, backend-independent device-to-device communication. As a result, in particular, a communication can also be realized if the backend IAM system IAM is not available. The IAM backend system need only be "occasionally" available to issue new short term certificates. Also, the issued certificates can be easily used to protect a direct communication between devices (Device-2-Device Communication).
Das Backend-IAM-System kann hierbei als Server oder als Cloud-Dienst, z.B. Microsoft Azure, Amazon AWS, IBM Bluemix oder Siemens Mindsphere ausgeführt, realisiert sein.The backend IAM system can be used as a server or as a cloud service, e.g. Microsoft Azure, Amazon AWS, IBM Bluemix or Siemens Mindsphere running, be realized.
Das Security-Token kann ein signiertes Token, z.B. XML DigSig oder JWS sein. Neben der reinen Autorisierungsinformation kann das Token bspw. zusätzliche Informationen im Klartext oder auch verschlüsselt (XMLEnc, JWE) enthalten.The security token may be a signed token, e.g. XML DigSig or JWS. In addition to the pure authorization information, the token can, for example, contain additional information in plain text or else encrypted (XMLEnc, JWE).
Diese zusätzlichen Informationen können z.B. Rolleninformationen für den anfragenden Client sein, die dann optional als Erweiterung mit in das Zertifikat kodiert werden können. Es kann also hier eine Berechtigungsinformation des Clients, die im IAM-System hinterlegt ist, manipulationsgeschützt über den Client an eine PKI übermittelt werden, sodass die PKI die Berechtigung überprüfen kann oder die Berechtigungsinformation in das ausgestellte Client-Zertifikat eincodiert.This additional information may e.g. Role information for the requesting client, which can then optionally be encoded as an extension into the certificate. Thus, an authorization information of the client, which is stored in the IAM system, can be transmitted to the PKI via the client tamper-proof, so that the PKI can check the authorization or encode the authorization information into the issued client certificate.
Der Client-Rechner CR nutzt dabei die Attribute im PKCS#10 Request, um diese Autorisierungsinformation des IAM-Servers IAM an den Registrierungs-/Zertifizierungs-Rechner RA/CA zu senden. Der Registrierungs-/Zertifizierungs-Rechner RA/CA wertet die Informationen aus und erstellt dann ein Zertifikat mit den potentiellen Erweiterungen, z.B. der Rolle des Benutzers.The client computer CR uses the attributes in the PKCS # 10 request in order to send this authorization information of the IAM server IAM to the registration / certification computer RA / CA. The registration / certification computer RA / CA evaluates the information and then creates a certificate with the potential extensions, e.g. the role of the user.
ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte PatentliteraturCited patent literature
- US 2012042160 A1 [0012]US 2012042160 A1 [0012]
Claims (6)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102017211267.0A DE102017211267A1 (en) | 2017-07-03 | 2017-07-03 | Method for protecting a certificate request of a client computer and corresponding communication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102017211267.0A DE102017211267A1 (en) | 2017-07-03 | 2017-07-03 | Method for protecting a certificate request of a client computer and corresponding communication system |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102017211267A1 true DE102017211267A1 (en) | 2019-01-03 |
Family
ID=64661719
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102017211267.0A Withdrawn DE102017211267A1 (en) | 2017-07-03 | 2017-07-03 | Method for protecting a certificate request of a client computer and corresponding communication system |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102017211267A1 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190238518A1 (en) * | 2018-01-26 | 2019-08-01 | Sensus Spectrum, Llc | Apparatus, Methods and Articles of Manufacture for Messaging Using Message Level Security |
EP3734478A1 (en) * | 2019-04-29 | 2020-11-04 | Siemens Aktiengesellschaft | Method for allocating certificates, management system, use of same, technical system, system component and use of identity provider |
CN113591061A (en) * | 2021-07-07 | 2021-11-02 | 杜东璧 | Zero-trust network access control method based on USB-Key and ZT-IAM |
CN114363073A (en) * | 2022-01-07 | 2022-04-15 | 中国联合网络通信集团有限公司 | TLS encrypted traffic analysis method and device, terminal device and storage medium |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120042160A1 (en) | 2010-08-10 | 2012-02-16 | General Instrument Corporation | System and method for cognizant transport layer security (ctls) |
US20130191884A1 (en) * | 2012-01-20 | 2013-07-25 | Interdigital Patent Holdings, Inc. | Identity management with local functionality |
WO2013151752A1 (en) * | 2012-04-05 | 2013-10-10 | Interdigital Patent Holdings, Inc. | On-demand identity and credential sign-up |
-
2017
- 2017-07-03 DE DE102017211267.0A patent/DE102017211267A1/en not_active Withdrawn
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120042160A1 (en) | 2010-08-10 | 2012-02-16 | General Instrument Corporation | System and method for cognizant transport layer security (ctls) |
US20130191884A1 (en) * | 2012-01-20 | 2013-07-25 | Interdigital Patent Holdings, Inc. | Identity management with local functionality |
WO2013151752A1 (en) * | 2012-04-05 | 2013-10-10 | Interdigital Patent Holdings, Inc. | On-demand identity and credential sign-up |
Non-Patent Citations (1)
Title |
---|
NYSTROM M., KALISKI B.: „PKCS #10: Certification Request Syntax Specification Version 1.7", RFC 2986, IETF Network Working Group, November 2000, Seiten 1-14 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190238518A1 (en) * | 2018-01-26 | 2019-08-01 | Sensus Spectrum, Llc | Apparatus, Methods and Articles of Manufacture for Messaging Using Message Level Security |
US11546310B2 (en) * | 2018-01-26 | 2023-01-03 | Sensus Spectrum, Llc | Apparatus, methods and articles of manufacture for messaging using message level security |
EP3734478A1 (en) * | 2019-04-29 | 2020-11-04 | Siemens Aktiengesellschaft | Method for allocating certificates, management system, use of same, technical system, system component and use of identity provider |
WO2020221523A1 (en) * | 2019-04-29 | 2020-11-05 | Siemens Aktiengesellschaft | Method for issuing certificates, control system, use of same, technical plant, plant component, and use of an identity provider |
CN113591061A (en) * | 2021-07-07 | 2021-11-02 | 杜东璧 | Zero-trust network access control method based on USB-Key and ZT-IAM |
CN114363073A (en) * | 2022-01-07 | 2022-04-15 | 中国联合网络通信集团有限公司 | TLS encrypted traffic analysis method and device, terminal device and storage medium |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3125492B1 (en) | Method and system for generating a secure communication channel for terminals | |
DE602005001613T2 (en) | SET UP A SECURE CONTEXT FOR TRANSMITTING MESSAGES BETWEEN COMPUTER SYSTEMS | |
DE602004004325T2 (en) | Method and apparatus for providing secure VPN access using modified certificate strings | |
DE102009041805A1 (en) | SIP signaling without constant re-authentication | |
EP2593897B1 (en) | Method for certificate-based authentication | |
DE102017211267A1 (en) | Method for protecting a certificate request of a client computer and corresponding communication system | |
DE102009051383A1 (en) | Method and device for the secure transmission of data | |
DE102008024783A1 (en) | Secure, browser-based single sign-on with client certificates | |
WO2009086845A1 (en) | Method for authenticating key information between terminals of a communication link | |
DE102011003919A1 (en) | Mobile device-operated authentication system using asymmetric encryption | |
DE102013203101A1 (en) | Extend the attributes of a credential request | |
DE102017210721A1 (en) | Method and communication system for the efficient establishment of a secure data connection between a client computer and a server computer | |
EP3432539B1 (en) | Method for establishing a communication channel between a server device and a client device | |
EP3641369B1 (en) | Protection of p2p communication | |
DE102017212474A1 (en) | Method and communication system for checking connection parameters of a cryptographically protected communication connection during connection establishment | |
EP1468520B1 (en) | Method for securing data traffic in a mobile network environment | |
EP3734478A1 (en) | Method for allocating certificates, management system, use of same, technical system, system component and use of identity provider | |
DE60219915T2 (en) | Method for securing communications in a computer system | |
EP3917103A1 (en) | Method, system, transmitter and receiver for authenticating a transmitter | |
EP4179758B1 (en) | Authentication of a communication partner on a device | |
EP3739834A1 (en) | Device, method and assembly for processing data | |
EP2945323B1 (en) | Method for a mail transfer agent for transmitting an electronic message from a sender to a receiver | |
EP4092958B1 (en) | Issuing of a digital verifiable credential | |
EP4115584B1 (en) | Secure and documented key access by an application | |
DE102022000857B3 (en) | Procedure for the secure identification of a person by a verification authority |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R163 | Identified publications notified | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |