EP3371955A1 - Verfahren zur überprüfung einer sicherheitseinstufung eines ersten geräts mit hilfe eines digitalen zertifikats, ein erstes und zweites gerät sowie eine zertifikat-ausstellungsvorrichtung - Google Patents

Verfahren zur überprüfung einer sicherheitseinstufung eines ersten geräts mit hilfe eines digitalen zertifikats, ein erstes und zweites gerät sowie eine zertifikat-ausstellungsvorrichtung

Info

Publication number
EP3371955A1
EP3371955A1 EP16823278.3A EP16823278A EP3371955A1 EP 3371955 A1 EP3371955 A1 EP 3371955A1 EP 16823278 A EP16823278 A EP 16823278A EP 3371955 A1 EP3371955 A1 EP 3371955A1
Authority
EP
European Patent Office
Prior art keywords
security
certificate
identifier
information
digital certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP16823278.3A
Other languages
English (en)
French (fr)
Inventor
Rainer Falk
Steffen Fries
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of EP3371955A1 publication Critical patent/EP3371955A1/de
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/67Risk-dependent, e.g. selecting a security level depending on risk profiles

Definitions

  • such a certificate-issuing apparatus performs an additional validation of the security information and thus for example of a software object or Configu ⁇ ration of the device relative to a predetermined security policy or configuration data.
  • Certificate exhibition device in block representation.
  • a first device transmits a digitally 11.1 tales certificate with an identification of apatieinstu ⁇ evaporation to a second device 11.2.
  • security classification for example, during the authentication of the first device 11.1 compared with an example. Local security policy, see step 3.
  • the digital certificate with the identifier of the security classification can be provided to the first device already during the production or during an implementation of the first device in a communication network 10 from a central location.
  • version MUST be v2 or v3 subj ectUniquelD [2] IMPLICIT Uniqueldentifier OPTIONAL,
  • a He ⁇ averaging unit 102 with the security information 21 is determined, which is then inserted through the request unit 101 in the request message.
  • the determination ⁇ unit 102 is additionally configured to secure the integrated ⁇ information 21 from information contained in the device 100 itself to determine.
  • Information about the software status of the first device can also be checked independently of the request for an identifier of the security classification in the case of a request for issuing a certificate. In this case, only the information about the software version is not checked against a target information and a certificate is issued only if the result of the test is successful.
  • Optional in out ⁇ presented certificate also provides information on the test result can be contained.
  • a cryptographic protection of the request ⁇ message can be performed for example by checksum or digital signature according to the requirement of an identifier of a security rating.
  • the information on the check result of the information of the software object is interpreted as when different from the identifier of the secure ⁇ classification.
  • Information on the test result of the software tester can also be entered in addition to an identifier of the safety rating in a certificate of a first device.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Verfahren zur Überprüfung einer Sicherheitseinstufung eines ersten Geräts (11) mit Hilfe eines zugeordneten digitalen Zertifikats, umfassend die Schritte: Senden (2) des digitalen Zertifikats mit einer Kennung einer Sicherheitseinstufung (31) von dem ersten Gerät (11) an ein zweites Gerät (12), Überprüfen (3) der Kennung der Sicherheitseinstufung (31) gegenüber einer vorgegebenen Sicherheitsregel durch das zweite Gerät (12), Ausführen (4) von Sicherheitsmaßnahmen entsprechend dem Überprüfungsergebnis der Sicherheitsregeln.

Description

Beschreibung
Verfahren zur Überprüfung einer Sicherheitseinstufung eines ersten Geräts mit Hilfe eines digitalen Zertifikats, ein ers- tes und zweites Gerät sowie eine Zertifikat-Ausstellungsvor¬ richtung
Die Erfindung betrifft ein Verfahren zur Überprüfung einer Sicherheitseinstufung eines ersten Geräts mit Hilfe eines di- gitalen Zertifikats. Die Erfindung betrifft des Weiteren ein Gerät, das als erstes und/oder als ein zweites Gerät ausge¬ bildet ist, wobei ein erstes Gerät eine Kennung der Sicher¬ heitseinstufung in einem digitalen Zertifikat besitzt und wobei ein zweites Gerät die Kennung der Sicherheitseinstufung des ersten Geräts überprüfen kann. Des Weiteren betrifft die Anmeldung eine Zertifikat-Ausstellungsvorrichtung zur Ausstellung eines digitalen Zertifikats mit einer Kennung einer Sicherheitseinstufung, sowie ein Computerprogrammprodukt zur Ausführung des Verfahrens.
In Anlagen und Systemen werden zunehmend Komponenten und Geräte eingesetzt, die eine bestimmte Sicherheitseinstufung, auch Security Level genannt, erfüllen müssen. Solche Sicher¬ heitseinstufungen können zum Beispiel über eine Zertifizie- rung nach Kriterien, wie sie beispielsweise in Standards der Internationalen Organisation für Normung (ISO) 15408 (Common Criteria) oder der Internationalen Elektrotechnischen Kommission (IEC) 62443-3-3 oder 62443-4-2 definiert sind, erlangt werden. Sicherheitseinstufungen können aber auch nach Kunden- anforderungen oder nach anderen Zertifizierungsstandards wie z.B. NERC CIP (North American Electric Reliability Corporati¬ on - Critical Infrastructure Protection) oder WIB (The International Instrument Users Association) oder Wurldtech verge¬ ben werden. Eine Zertifizierung der Geräte ist typischerweise für die Planung zur Auswahl von geeigneten Komponenten oder auch dem Architekturentwurf wichtig. Im laufenden Betrieb können zum Beispiel Prüfsiegel oder ähnliches auf die Zerti¬ fizierung hinweisen. Ein Gerät selbst hat typischerweise kein eigenes Bewusstsein über die eigene Sicherheitseinstufung und kann diese damit auch nicht an Kommunikationspartner weitergeben. Insbesondere bei einer Autokonfiguration kann es erforderlich sein, zu prüfen, ob die Sicherheitseinstufung ei- nes Gerätes mit der Sicherheitseinstufung der Zone, in der es eingebunden werden soll, verträglich ist.
Es ist somit die Aufgabe der vorliegenden Erfindung einem Gerät dieses "Bewusstsein" der erreichten Sicherheitseinstufung bereitzustellen und diese Sicherheitseinstufung dann in verschiedenen Phasen der Einbindung des Geräts in ein Anlagennetzwerk oder bei der Kommunikation mit anderen Geräten in einem Anlagennetz zu verwenden. Die Aufgabe wird durch die in den unabhängigen Ansprüchen beschriebenen Maßnahmen gelöst. In den Unteransprüchen sind vorteilhafte Weiterbildungen der Erfindung dargestellt.
Das erfindungsgemäße Verfahren zur Überprüfung einer Sicher- heitseinstufung eines ersten Geräts mit Hilfe eines digitalen Zertifikats umfasst ein Senden eines digitalen Zertifikats mit einer Kennung der Sicherheitseinstufung von dem ersten Gerät zur Authentifizierung an ein zweites Gerät, einem Überprüfen der Kennung der Sicherheitseinstufung gegenüber einer vorbestimmten Sicherheitsregel durch das zweite Gerät und ei¬ nem Ausführen von Sicherheitsmaßnahmen entsprechend dem Überprüfungsergebnis der Sicherheitsregeln.
In Automatisierungsanwendungen werden zunehmend digitale Zer- tifikate und dazugehörige private Schlüssel zur Authentisie- rung von Geräten genutzt. Diese digitalen Zertifikate haben üblicherweise ein über einen Standard festgelegtes Format und enthalten Daten zum Gerät, wie beispielsweise dessen Herstel¬ ler, Typ, Seriennummer oder auch Information zu Geräte-Adres- sen, wie beispielsweise der zugeordneten IP-Adresse oder MAC- Adresse. Ein digitales Zertifikat ist jedoch erweiterbar und wird erfindungsgemäß um eine Kennung einer Sicherheitseinstu¬ fung erweitert. Diese Erweiterung des Zertifikats wird bei einer Authentisierung des ersten Gerätes zusätzlich ausgewertet und mit einer vorgegebenen Sicherheitsregel, beispiels¬ weise einer lokalen oder einer netzweiten Sicherheits-Policy, abgeglichen. Somit wird die Sicherheitseinstufung des ersten Gerätes als Teil der Kommunikation an zweite Geräte weiterge¬ geben und steht dort zur Überprüfung bereit.
In einer vorteilhaften Ausführungsform wird das digitale Zertifikat mit einer Kennung der Sicherheitseinstufung dem ers- ten Gerät, insbesondere bei der Fertigung oder Inbetriebnahme des ersten Geräts, bereitgestellt.
Dies hat den Vorteil, dass beispielsweise bei der Fertigung des ersten Gerätes ein Fertigungsgerät stellvertretend für das erste Gerät das Zertifikat angefordert. Insbesondere kann ein solches Fertigungsgerät stellvertretend für eine Vielzahl von ersten Geräten ein Zertifikat mit einer entsprechenden Kennung der Sicherheitseinstufung anfordern. Somit muss das erste Gerät nicht selbst zur Erlangung einer Kennung der Sicherheitseinstufung tätig werden. Das Verfahren ist somit auch für einfach strukturierte Geräte anwendbar.
In einer alternativen Ausführungsform fordert das erste Gerät selbst eine Ausstellung einer Kennung der Sicherheitseinstu- fung in einem digitalen Zertifikat bei einer Zertifikat-Aus¬ stellungsvorrichtung .
Dies hat den Vorteil, dass auch nach der Herstellung am ersten Gerät vorgenommene Änderungen beispielsweise der Firmware oder Software oder auch Hardware bei der Ausstellung der Kennung der Sicherheitseinstufung berücksichtigt werden können.
In einer weiteren Ausführungsform fordert das erste Gerät eine Ausstellung einer Kennung der Sicherheitseinstufung in ei- nem Attributzertifikat, das dem digitalen Zertifikat des ers¬ ten Geräts zugeordnet ist, bei einer Zertifikat-Ausstellungs¬ vorrichtung an. Wird die Sicherheitseinstufung in ein AttributZertifikat eingetragen, so kann die Gültigkeitsdauer des AttributZertifikats von dem des eigentlichen Zertifikats abweichen. Es kann beispielsweise das digitale Zertifikat des Geräts mit langer Laufzeit ausgestellt werden und das AttributZertifikat mit der zugeordneten Sicherheitseinstufung kurzlebig ausgestellt oder an einen bestimmten Überprüfungszyklus gekoppelt werden. Dies ist vergleichbar mit einem Fahrzeugbrief, der langlebig ausgestellt wird und einer TÜV-Urkunde bzw. andere Zertifi- zierungs-Urkunde, die kurzlebig beziehungsweise in einem fes¬ ten Zyklus überprüft und neu vergeben wird. Des Weiteren kann auch das Zertifikat und das zugeordnete AttributZertifikat von unterschiedlichen Ausstellungsstellen ausgestellt werden. Beispielsweise kann ein langlebiges Gerätezertifikat eines Herstellers auch mit einem AttributZertifikat eines Betrei¬ bers erweitert werden. Zulässige Kombinationen verschiedener Zertifikat-Ausstellungsvorrichtungen sind dabei in beispielsweise in der Sicherheitsrichtline beschrieben. In einem vorteilhaften Ausführungsbeispiel wird in einer Anforderungsnachricht zur Ausstellung des digitalen Zertifikats eine Sicherheitsinformation des ersten Geräts an die Zertifikat-Ausstellungsvorrichtung übermittelt . Dies hat den Vorteil, dass der herkömmliche Prozess zur Aus¬ stellung eines digitalen Zertifikats beibehalten wird. Die Sicherheitsinformation wird direkt an die Zertifikat-Ausstel¬ lungsvorrichtung übermittelt und kann dort oder in einer separaten vorgelagerten Überprüfungsvorrichtung überprüft wer- den und eine Kennung der Sicherheitseinstufung daraus abgeleitet und in das auszustellende Zertifikat eingefügt werden.
In einer weiteren vorteilhaften Ausführungsform ermittelt das erste Gerät die Sicherheitsinformation selbst und trägt diese in die Anforderungsnachricht ein.
Die Sicherheitsinformation des ersten Geräts kann beispielsweise als Projektierungsinformation in einem Proj ektierungs- Server einer Anlage vorliegen und von dort abgerufen und in die Anforderungsnachricht eingefügt werden. Die von einem Server bereitgestellte Sicherheitsinformation des ersten Geräts kann aber von der tatsächlichen Konfiguration ersten Ge- räts abweichen, beispielsweise wenn das erste Gerät zwischen Projektierung und Implementierung neue Software oder mit neuen Anwendungsprogrammen aktualisiert oder umkonfiguriert wurde. Daher ist es vorteilhaft, wenn das erste Gerät die Si¬ cherheitsinformation selbst ermittelt und somit auf der aktu- eilen Gerätezustand basiert.
In einer Variante prüft das erste Gerät bei einer vorgesehe¬ nen Verwendung des Zertifikats seine Geräteintegrität, z.B. durch Vergleich der ermittelten Prüfsumme seiner Firmware mit einer Referenzprüfsumme der Firmware. Das Zertifikat wird nur bei erfolgreicher Prüfung durch das erste Gerät verwendet. Dadurch wird erreicht, dass das digitale Zertifikat des ers¬ ten Gerätes mit der Sicherheitsinformation nur dann durch das erste Gerät verwendet wird, wenn das Gerät die der Ausstel- lung des Zertifikats zugrundeliegende Firmware auch noch bei der Verwendung des Zertifikats aufweist.
In einer vorteilhaften Ausführungsform ist die Sicherheitsinformation eine Information zum Softwarestand, insbesondere eine Version ein Hashwert oder eine digitale Signatur des Softwarestandes oder eine Attestierung der Integrität der Software des ersten Gerätes oder eine Attestierung einer Konfiguration des ersten Gerätes. Dies hat den Vorteil, dass der tatsächliche Softwarestand zur Ermittlung der Sicherheitseinstufung herangezogen wird. Als Softwarestand wird dabei nicht nur eine Version der aktuellen Software, sondern auch Informationen zur Firmware, zu den implementierten Applikationen sowie den Konfigurationsdaten allgemein, verstanden. Eine Attestierung der Software oder der Konfiguration kann zusätzlich von einer vertrauenswürdigen Stelle, wie bspw. einem Trusted Platform Modul (TPM) aus¬ gestellt und kryptographisch gesichert und kann somit als be- sonders zuverlässig und sicher angenommen werden. Diese In¬ formation wird in eine Zertifikat-Anfragenachricht eingefügt und zur Ermittlung der Sicherheitseinstufung an die Zertifikat-Ausstellungsvorrichtung übermittelt. Vorzugsweise ist weiterhin eine Zeitangabe enthalten, die den Zeitpunkt der Integritätsprüfung angibt.
In einer vorteilhaften Ausführungsform stellt die Zertifikat- Ausstellungsvorrichtung lediglich bei einem positiven Prüfer- gebnis ein Zertifikat aus. Alternativ stellt die Zertifikat- Ausstellungsvorrichtung auch bei einem negativen Prüfergebnis ein Zertifikat aus, das dann einen vorgegebenen Wert der Kennung der Sicherheitseinstufung enthält. Wird lediglich bei einer positiven Überprüfung der Sicherheitsinformation ein Zertifikat ausgestellt, so kann nachfol¬ gend das erste Gerät keine authentisierte Kommunikation, wel¬ cher Art auch immer, mit einem anderen zweiten Gerät aufnehmen. Eine solche Maßnahme ist insbesondere in Hochsicher- heitszonen vorteilhaft, da ein solches erstes Gerät vollkom¬ men geblockt wird. Wird dagegen bei einem negativen Prüfergebnis ein Zertifikat mit einem bestimmten vorgegebenen Wert für die Kennung der Sicherheitseinstufung ausgestellt, so kann das zweite Gerät selbst überprüfen, ob und für welchen Zweck eine Kommunikation mit dem ersten Gerät zugelassen wird .
In einer vorteilhaften Ausführungsform wird die Kennung der Sicherheitseinstufung als Erweiterungsdatenstruktur in dem digitalen Zertifikat oder als Erweiterungsdatenstruktur in ein Attributzertifikat, das dem digitalen Zertifikat zugeord¬ net ist, eingefügt.
Einer Erweiterungsdatenstruktur ist in den Standards für di- gitale Zertifikate vorgesehen und somit einfach für die Nut¬ zung der Sicherheitseinstufung verwendbar. Durch die Definition beispielsweise einer X .509-Erweiterungsdatenstruktur, besteht die Möglichkeit, diese Erweiterung direkt in ein X.509-Zertifikat beziehungsweise in ein zugeordnetes Attri¬ butzertifikat einzufügen.
In einer vorteilhaften Ausführungsform ist die Kennung der Sicherheitseinstufung ein Flag, das lediglich eine erfolgreiche Prüfung bestätigt. Die Kennung der Sicherheitseinstufung kann aber auch eine Datenstruktur sein, die Information über die überprüfte Sicherheitsinformation enthält. Dies ermöglicht unterschiedlich genaue Überprüfungen der
Sicherheitseinstufung je nach Sicherheitsbedarf im Kommunikationsnetz der Industrieanlage.
In einer vorteilhaften Ausführungsform enthält die Erweite- rungsdatenstruktur zusätzlich Informationen zu der der
Sicherheitseinstufung zugrundeliegenden Sicherheitsregel und/oder Information über eine die Prüfung für die Zertifikat-Ausstellungsvorrichtung ausführende Überprüfungsstelle und/oder einen Gültigkeitszeitraum der Sicherheitseinstufung und/oder eine Verwendungszweckangabe.
Die Sicherheitsrichtlinie bildet die erforderliche Sicher¬ heitseinstufung der Geräte in der Gesamtarchitektur ab. Durch die Angabe der zugrundeliegenden Sicherheitsrichtlinie kann geprüft werden, ob das Gerät einer bestimmten geforderten Richtlinie genügt.
In einer vorteilhaften Ausführungsform wird die Kennung der Sicherheitseinstufung im Rahmen einer Authentisierung des ersten Geräts bei einem Verbindungsaufbau in einem zweiten Gerät überprüft, oder bei einer Anfrage zur Diensterkennung in einem Netzwerk verwendet oder bei einer Autokonfiguration des ersten Geräts in einer Sicherheitszone eines Netzwerks überprüft oder zur Auswahl einer Netzwerkfilterregel, auch Netzwerk-Policy genannt, verwendet.
Ein erfindungsgemäßes erstes Gerät zum Betrieb in einem Anla¬ genkommunikationsnetz enthält eine Ermittlungseinheit, die derart ausgebildet ist, eine Sicherheitsinformation, zu er¬ mitteln. Des Weiteren umfasst das erste Gerät eine Anforde¬ rungseinheit, die derart ausgebildet ist, die Sicherheitsin¬ formation in eine Anforderungsnachricht einzutragen und die Anforderungsnachricht zur Ausstellung eines digitalen Zerti¬ fikats mit einer Kennung der Sicherheitseinstufung auszugeben .
Ein erstes Gerät ist somit in der Lage, ein Zertifikat zu be- antragen, das zusätzlich zu den üblichen Attributen des ersten Geräts eine Sicherheitseinstufung in Form einer Kennung beziehungsweise einer Erweiterung des üblichen Zertifikats enthält . In einer vorteilhaften Ausführungsform ist die Ermittlungseinheit derart ausgebildet, die Sicherheitsinformation als Information, die im Gerät selbst enthalten ist, zu ermitteln. Solche Information ist insbesondere eine Information zum Softwarestand des ersten Geräts, bevorzugt eine Version, ein Hashwert, eine digitale Signatur des Softwarestands oder eine Attestierung einer Konfiguration des ersten Gerätes oder eine Attestierung der Integrität des ersten Gerätes oder eine At¬ testierung einer Konfiguration des ersten Geräts. Dies ermöglicht nicht nur die Überprüfung beispielsweise des Softwarestands des projektierten Gerätes, sondern auch die Integrität des aktuellen Softwarestands beziehungsweise die Konfiguration des ersten Geräts zum Zeitpunkt der Anforderung des Zertifikats.
Ein erfindungsgemäßes zweites Gerät umfasst eine Empfangsein¬ heit, die derart ausgebildet ist, ein digitales Zertifikat mit einer Kennung der Sicherheitseinstufung zu empfangen, eine Überprüfungseinheit, die derart ausgebildet ist, die Ken- nung der Sicherheitseinstufung zu überprüfen und eine Ausführungseinheit, die derart ausgebildet ist, Sicherheitsmaßnah¬ men entsprechend einem Überprüfungsergebnis gemäß Sicher¬ heitsregeln auszuführen. Dies hat den Vorteil, dass das zweite Gerät nun basierend auf einer aktuellen Sicherheitseinstufung eine vorgegebene Sicherheitspolitik überprüft und eingehalten werden kann. Somit kann eine Sicherheitspolitik effektiv umgesetzt werden.
In einer vorteilhaften Ausführungsform ist das zweite Gerät derart ausgebildet, die empfangene Kennung der Sicherheits¬ einstufung eines ersten Geräts im Rahmen einer Authentisie- rung bei einem Verbindungsaufbau zum zweiten Gerät zu über¬ prüfen oder im Rahmen einer Anfrage zur Diensterkennung in einem Netzwerk oder bei einer Anfrage nach Konfigurationsda¬ ten durch ein erstes Gerät zur Integration in eine Sicherheitszone eines Netzwerks oder bei einer Verbindungsaufbauan- frage zur Ermittlung von Netzwerkfilterregeln zu überprüfen.
Durch die Sicherheitseinstufung können somit unterschiedliche Aufgaben innerhalb eines Netzes gemäß Sicherheitsregeln einfach durchgeführt werden.
Eine erfindungsgemäße Zertifikat-Ausstellungsvorrichtung zur Ausstellung eines digitalen Zertifikats mit einer Kennung einer Sicherheitseinstufung enthält eine Prüfungseinheit, die derart ausgebildet ist, eine in einer Zertifikat-Anforde- rungsnachricht empfangene Sicherheitsinformation gegenüber einer vorgegebenen Sicherheitsrichtlinie zu prüfen und eine Ausstellungseinheit, die derart ausgebildet ist, eine daraus ermittelte Kennung einer Sicherheitseinstufung in das digitale Zertifikat einzufügen.
Eine solche Zertifikat-Ausstellungsvorrichtung führt somit eine zusätzliche Validierung der Sicherheitsinformation und damit beispielsweise eines Softwarestands oder einer Konfigu¬ ration des Geräts gegenüber einer vorgegebenen Sicherheits- richtlinie oder Projektierungsdaten durch.
In einer vorteilhaften Ausführungsform ist die Zertifikat- Ausstellungseinheit derart ausgebildet, die Kennung der Sicherheitseinstufung als Erweiterungsdatenstruktur in dem digitalen Zertifikat oder in ein Attributzertifikat, das dem digitalen Zertifikat zugeordnet ist, auszugeben. Die Zertifikat-Ausstellungseinheit, die die Kennung der
Sicherheitseinstufung als Erweiterungsdatenstruktur in einem AttributZertifikat bestätigt, kann verschieden sein von der Zertifikat-Ausstellungseinheit, die das digitale Zertifikat des Gerätes ausstellt. Zulässige Kombinationen verschiedener Zertifikat-Ausstellungseinheiten sind dabei in der Sicherheitsrichtline beschrieben.
Es wird des Weiteren ein Computerprogrammprodukt beansprucht, das direkt in ein erstes Gerät, in ein zweites Gerät und in eine Zertifikat-Ausstellungsvorrichtung ladbar ist und Programmcodeteile umfasst, die dazu geeignet sind, die Schritte des genannten Verfahrens durchzuführen.
Ausführungsbeispiele des erfindungsgemäßen Verfahrens sowie der erfindungsgemäßen Geräte und Vorrichtung sind in den
Zeichnungen beispielhaft dargestellt und werden anhand der nachfolgenden Beschreibung näher erläutert. Es zeigen:
Figur 1 ein Anlagenkommunikationsnetz, in dem das erfin- derische Verfahren ausgeführt wird in schemati- scher Darstellung;
Figur 2 ein Ausführungsbeispiel des erfindungsgemäßen
Verfahrens als Ablaufdiagramm;
Figur 3 ein erstes Ausführungsbeispiel für den Ablauf ei¬ ner Ausstellung eines digitalen Zertifikats mit Kennung einer Sicherheitseinstufung in schemati- scher Darstellung;
Figur 4 ein zweites Ausführungsbeispiel für den Ablauf der Ausstellung eines digitalen Zertifikats mit separierter Überprüfungs- und Zertifikat- AusstellungsVorrichtung,·
Figur 5 ein Ausführungsbeispiel eines erfindungsgemäßen ersten Geräts in Blockdarstellung;
Figur 6 ein Ausführungsbeispiel eines erfindungsgemäßen zweiten Geräts in Blockdarstellung und
Figur 7 ein Ausführungsbeispiel einer erfindungsgemäßen
Zertifikat-Ausstellungsvorrichtung in Blockdarstellung .
Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen.
In Anlagen und Systemen, insbesondere in Industrie- und Auto¬ matisierungsanlagen werden zunehmend solche Geräte einge¬ setzt, die einem bestimmten Sicherheitslevel entsprechen. Solche Sicherheitseinstufungen können durch eine Zertifizierung nach Kriterien aus Sicherheitsstandards oder durch Kundenanforderungen vergeben werden. Diese Zertifizierung der Geräte ist typischerweise für die Planung, das heißt für die Auswahl von geeigneten Komponenten oder auch für den Archi- tekturentwurf wichtig. Bisherige Geräte tragen beispielsweise Prüfsiegel oder Ähnliches, die auf diese Zertifizierung hin¬ weisen. Eine Auswertung und Berücksichtigung solcher vergebenen Sicherheitseinstufungen in laufenden Prozessen ist derzeit nur sehr eingeschränkt möglich.
Die Geräte sind üblicherweise über ein Kommunikationsnetz miteinander verbunden. Darin werden Nachrichten zwischen Servern und dem Geräten übermittelt, beispielsweise zur Kon¬ figuration oder zur Steuerung der einzelnen Geräte. Es findet auch eine Kommunikation zwischen den einzelnen Geräten statt, beispielsweise zur Übertragung von Statusmitteilungen oder Messwerten . Figur 1 zeigt ein typisches Anwendungsszenario. In einem An¬ lagenkommunikationsnetz 10 sind eine Vielzahl von Geräten 11, miteinander verbunden. Neben Feldgeräten 11.1, 11.2 können auch Steuerungsserver 11.3 oder Konfigurationsserver 11.4 eingebunden sein. Eine Netzübergangseinheit 16, auch Gateway genannt, kontrolliert die Datenübertragung in andere Domänen des Kommunikationsnetzes 10 oder in externe oder öffentliche Netze 17, wie dem Internet. Eine Zertifikat-Ausstellungsvorrichtung 13 ist über einen Gateway 16 und beispielsweise das Internet mit dem Anlagenkommunikationsnetz 10 verbunden.
Die Geräte 11 und auch die Gateway 16 kommunizieren über ein kryptographisch geschütztes Kommunikationsprotokoll, zum Bei¬ spiel ein TLS (Transport Layer Security) oder die Internet Security Protokoll IPsec/IKEv2. Zur Authentisierung der Kommunikationspartner werden dabei digitale Zertifikate verwendet. Diese digitalen Zertifikate enthalten beispielsweise Da¬ ten der Geräte wie beispielsweise Angaben zum Hersteller, eine Typangabe, eine Seriennummer oder auch Adressinformatio- nen.
Ein digitales Zertifikat wird durch eine Zertifikatanfrage bei einer Zertifizierungsvorrichtung beantragt. Um nun eine Sicherheitseinstufung eines Gerätes innerhalb der Anlage be- ziehungsweise bei der Einbindung und Kommunikation eines Ge¬ rätes berücksichtigen zu können, wird ein Verfahren, das schematisch in Figur 2 dargestellt ist, vorgeschlagen.
In Verfahrensschritt 2 sendet ein erste Gerät 11.1 ein digi- tales Zertifikat mit einer Kennung einer Sicherheitseinstu¬ fung an ein zweites Gerät 11.2. Im zweiten Gerät 11.2 wird beispielsweise bei der Authentisierung des ersten Geräts 11.1 die Sicherheitseinstufung mit einer bspw. lokalen Sicherheitspolitik abgeglichen, siehe Verfahrensschritt 3. Abhängig vom Überprüfungsergebnis und der anzuwendenden Sicherheitspo¬ litik beziehungsweise Sicherheitsregeln werden nun Sicherheitsmaßnahmen ausgeführt, siehe Verfahrensschritt 4. Das digitale Zertifikat mit der Kennung der Sicherheitseinstufung kann dem ersten Gerät bereits bei der Herstellung oder bei einer Implementierung des ersten Geräts in ein Kommunikationsnetzwerk 10 von einer zentralen Stelle bereitge- stellt werden. Alternativ fordert das erste Gerät 11.1 selbst bei einer Zertifikat-Ausstellungsvorrichtung 13, siehe Figur 1, eine Ausstellung einer Kennung der Sicherheitseinstufung in einem digitalen Zertifikat an, siehe ersten Verfahrens¬ schritt 1 in Figur 2. Dazu wird in die Anfragenachricht eine Sicherheitsinformation des ersten Gerätes 11.1 eingetragen. Eine Überprüfungsvorrichtung prüft die Angaben in der Anforderungsnachricht und leitet bei positivem Prüfergebnis die Nachricht zur Ausstellungsvorrichtung 13 weiter. Die Überprüfungsvorrichtung ist entweder in einer Zertifikat-Ausstel- lungsvorrichtung 13 integriert, siehe Figur 3, oder als se¬ parate Vorrichtung, siehe Überprüfungsvorrichtung 14 in Figur 4 ausgebildet. Die Zertifizierungsvorrichtung 13, 15 stellt nun ein digitales Zertifikat 30, beispielsweise gemäß dem Standard X.509, aus und nutzt bevorzugter weise eine Erweite- rungsdatenstruktur im Zertifikat, um einen Kennung der
Sicherheitseinstufung zu codieren.
Die Zertifikat-Ausstellungsvorrichtung 13, 15 übermittelt das entsprechend erweiterte Zertifikat 30 an das erste Gerät 11 zurück. Alternativ kann die Kennung der Sicherheitseinstufung 31 in ein Attributzertifikat, das dem digitalen Zertifikat zugeordnet ist, insbesondere als Erweiterungsdatenstruktur, eingefügt und übermittelt werden. In Figur 3 und 4 ist nun der erste Verfahrensschritt, nämlich das Anfordern einer Kennung der Sicherheitseinstufung in dem digitalen Zertifikat 30 durch das erste Gerät 11.1 bei einer Zertifikat-Ausstellungsvorrichtung 13 näher erläutert. Ein wichtiger Aspekt dabei ist nun, dass bei der Ausstellung des Zertifikats 30 für das erste Gerät 11.1 gewährleistet ist, dass die in der Zertifikat-Anfragenachricht 20 enthaltene In¬ formation über das erste Gerät 11.1, wie beispielsweise der Hersteller, der Typ, die Seriennummer, eine Netzwerkadresse oder aber auch der tatsächliche, aktuelle Softwarestand kor¬ rekt ist. Basierend auf der in der Anforderungsnachricht 20 enthaltenen Sicherheitsinformation 21 des ersten Gerätes 11.1 kann dann einer Überprüfungseinheit der Ausstellungsvorrich- tung 13 die entsprechende Sicherheitseinstufung ermittelt und signiert werden.
In der Anforderungsnachricht 20 ist beispielsweise als Attri¬ but die Sicherheitsinformation 21 enthalten. Die Anforde- rungsnachricht 20 wird mit einer kryptographischen Prüfsumme 22 über die Anforderungsnachricht oder mit einer digitalen Signatur 24 des ersten Geräts 11.1 geschützt an die Ausstel¬ lungsvorrichtung 13 übertragen. Dazu kann beispielsweise der Schlüssel aus einem Geräteherstellerzertifikat, das üblicher- weise bei der Herstellung eines Gerätes 11.1 vergeben wird, verwendet werden.
In einer Variante, bei der beispielsweise die Anfragenach¬ richt gemäß einem SCEP-Protokoll erstellt wird, verwendet das erste Gerät 11.1 ein Passwort, um die Anfragenachricht 20 zu authentisieren und zu autorisieren. Hier wird das Passwort als Attribut übertragen, das Passwort wird jedoch nicht in das ausgestellte Zertifikat als Attribut übernommen. Die An¬ fragenachricht 20 wird dabei zusätzlich in eine spezielle Da- tenstruktur, beispielsweise gemäß dem Standard PKCS#7, ver¬ packt. Dies ist durch eine gestrichelte Linie um die Anfrage¬ nachricht 20 in Figur 3 dargestellt. Die Anfragenachricht 20 wird somit verschlüsselt, um die Vertraulichkeit zu schützen. Entsprechend könnte zum Beispiel auch eine "XML-Verschlüsse- lung" verwendet werden.
Die Anfragenachricht wird an eine Prüfeinheit der Ausstel¬ lungsvorrichtung 13 oder eine vorgelagerte separate Überprü¬ fungsvorrichtung 14, wie in Figur 4 dargestellt, übermittelt. Dort wird die Anforderungsnachricht 20 überprüft. Das heißt die Sicherheitsinformation 21 wird gegenüber Konfigurationsoder Implementierungsdaten bzw. gegenüber der Sicherheitsrichtlinie geprüft und eine entsprechende Kennung einer Sicherheitseinstufung wird bestätigt oder in das digitale Zertifikat eingefügt. In Figur 3 wird die Anforderungsnach¬ richt 20 mit einer digitalen Signatur 24 gesichert an die Ausstellungsvorrichtung 15 weitergeleitet.
Die Ausstellungsvorrichtung 13, 15 stellt nun ein entsprechendes Zertifikat 30 aus und sendet dieses signiert mit der Signatur 32 der Zertifizierungsstelle 13, 15 an das erste Gerät 11.1 zurück. Das Zertifikat 30 umfasst nun die Kennung der Sicherheitseinstufung 31 beispielsweise in Form einer Erweiterungsdatenstruktur. Alternativ kann die Ausstellungsvorrichtung 13, 15 auch ein AttributZertifikat mit der entspre¬ chenden Erweiterungsdatenstruktur mit der Kennung der Sicherheitseinstufung 31 ausgeben.
Das erste Gerät 11.1 trägt als Sicherheitsinformation 21 eine vorgegebene Sicherheitseinstufung oder eine Information ein, aus der die Sicherheitseinstufung abgeleitet werden kann, in die Anfragenachricht ein. Eine solche Sicherheitsinformation 21 ist beispielsweise eine Information zum Softwarestand des ersten Geräts 11.1, wie bspw. eine Version des Softwarestandes, oder auch eine Attestierung der Integrität der Software des ersten Gerätes 11.1. Die Sicherheitsinformation kann aber auch eine Konfiguration des ersten Gerätes 11.1 angeben. Eine Attestierung der Integrität der Software oder der Gerätekonfiguration wird dabei in Abhängigkeit von zumindest einem Teil der Gerätesoftware bzw. Konfigurationsinformation bestimmt und zusammen mit der Anfragenachricht beispielsweise als Attribut übertragen. Die Attestierung der Integrität kann ein Flag sein, das eine erfolgreiche Integritätsüberprüfung angibt. Vorzugsweise ist jedoch eine Integritätsinformation enthalten, welche abhängig vom Inhalt der Gerätesoftware be¬ stimmt wird, wie beispielsweise ein Hashwert oder der Inhalt eines Plattformkonfigurationsregisters. Die Sicherheitsinfor- mation ist vorzugsweise durch eine kryptographische Prüfsumme geschützt, beispielsweise durch eine digitale Signatur oder einen Nachrichtenauthentisierungscode . Auch kann eine Attes¬ tierung eines vertrauenswürdigen Plattformmoduls (TPM) in die Anfragenachricht eincodiert werden. Vorzugsweise ist weiter¬ hin eine Zeitangabe enthalten, die den Zeitpunkt der Integritätsprüfung angibt. Die Überprüfungseinheit 13, 14 prüft die enthaltene Sicher¬ heitsinformation 21. Nur wenn diese gültig ist, wird ein entsprechendes Gerätezertifikat ausgestellt. Die Prüfung gilt als erfolgreich, wenn der Wert der Sicherheitsinformation mit einem zulässigen Wert übereinstimmt oder wenn zum Beispiel ein entsprechendes Flag vorhanden ist. Die Ausstellungsvorrichtung 13, 15 kann lediglich bei einer erfolgreichen Prüfung ein Zertifikat 30 ausstellen oder aber auch bei einem negativen Prüfergebnis ein Zertifikat 30, aber dann mit einem vorgegebenen Wert für die Kennung der Sicherheitseinstufung, ausgeben. Das Zertifikat 17 mit der Sicherheitseinstufung 19 wird vom ersten Gerät 11.1 empfangen und nachfolgend für die Authentisierung verwendet.
Durch die Kennung der Sicherheitseinstufung im Zertifikat be- ziehungsweise im AttributZertifikat wird eine Validierung entsprechend der angegebenen Sicherheitseinstufung erzwungen. Eine missbräuchliche Verwendung des Geräts, das für die Nut¬ zung in einem Anwendungskontext mit einer bestimmten Sicherheitseinstufung vorgesehen ist, wird dadurch verhindert.
Die Erweiterungsdatenstruktur kann neben der Kennung für die Sicherheitseinstufung weitere Informationen, beispielsweise zu dem der Sicherheitseinstufung zugrundeliegenden Zertifizierungsstandard enthalten. Des Weiteren kann die Erweite- rungsdatenstruktur Information zu einem Überprüfer der
Sicherheitseinstufung enthalten. Als Überprüfer kann beispielsweise die Zertifikat-Ausstellungsvorrichtung oder die ausführende Überprüfungsvorrichtung oder eine Kennung einer übergeordneten Prüfungseinheit eingetragen werden. Ebenfalls kann ein Gültigkeitszeitraum der Sicherheitseinstufung und/oder eine Verwendungszweckangabe enthalten sein. Es kön¬ nen eine oder auch mehrere Kennungen der Sicherheitseinstu¬ fung enthalten sein, beispielsweise für Einstufungen gemäß unterschiedlichen Standards, oder wenn mehrere Sicherheits¬ einstufungen eines Standards erfüllt werden.
Als Beispiel sind nachfolgend ein digitales Zertifikat
(Struktur 1) und ein AttributZertifikat (Struktur 2) mit ei¬ ner Kennung der Sicherheitseinstufung jeweils in Form einer Erweiterungsdatenstruktur in eine X .509-Zertifikat in ASN.l Notation dargestellt.
Certificate SEQUENCE {
tbsCertificate TBSCertificate,
signatureAlgorithm Algorithmldentifier,
signatureValue BIT STRING }
TBSCertificate ::= SEQUENCE
ersion [0] Version must be v3,
serialNumber CertificateSerialNumber,
signature Algorithmldentifier,
issuer Name,
validity Validity,
subj ect Name,
subj ectPublicKeylnfo Subj ectPublicKeylnfo,
issuerUniquelD [1] IMPLICIT Uniqueldentifier OPTIONAL,
-- If present, ersion MUST be v2 or v3 subj ectUniquelD [2] IMPLICIT Uniqueldentifier OPTIONAL,
-- If present, Version MUST be v2 or v3 extensions [3] EXPLICIT Extensions OPTIONAL
-- If present, Version MUST be v3
}
Validity ::= SEQUENCE {
notBefore Time,
notAfter Time
Time : := CHOICE {
utcTime UTCTime,
generalTime GeneralizedTime
(Struktur 1) AttributeCertificate : := SEQUENCE {
Acinfo AttributeCertificatelnfo,
signatureAlgorithm Algorithmldentifier,
signature Value BIT STRING
}
AttributeCertificatelnfo : := SEQUENCE {
ersion AttCertVersion -- ersion is v2 , holder Holder,
issuer AttCertIssuer,
signature Algorithmldentifier,
serialNumber CertificateSerialNumber,
attrCertValidityPeriod AttCertValidityPeriod,
attributes SEQUENCE OF Attribute,
issuerUniquelD Uniqueldentifier OPTIONAL,
extensions Extensions OPTIONAL
}
Attribute: := SEQUENCE {
Type AttributeType,
values SET OF AttributeValue
-- at least one value reqrd.
}
AttributeType : := OBJECT IDENTIFIER
AttributeValue : := ANY DEFINED BY AttributeType
(Struktur 2 ]
Die Erweiterungsdatenstruktur ist jeweils mit "extensions" bezeichnet. Eine solche Extension, die die Sicherheitseinstu¬ fung eines Gerätes widergibt und auch zusätzliche Information über die Prüfeinrichtung oder die Organisation, die die Überprüfung durchgeführt hat und Zusatzinformation wie eine
Zweckangabe enthält, sind nachfolgend unter der Bezeichnung "id-on-SecLevel " in der Struktur 3 dargestellt. id-on-SecLevel OBJECT IDENTIFIER ::= { id-on 3 } SecurityLevel : := SEQUENCE {
secLevel Name may be an alphanumerical description relBase Name name of Standard or regulation
or requirement document
verifier Name verifier of security level
scope Name description of overall System or
plant or facility
(Struktur 3)
Die Sicherheitseinstufung ist hier mit "SecurityLevel" be¬ zeichnet und gibt im Parameter "secLevel" eine Kennung oder eine alphanumerische Beschreibung der Sicherheitsstufung an. Der Kenner kann beispielsweise ein Flag sein, das lediglich das Vorhandensein einer bestimmten vorgegebenen Sicherheitseinstufung bestätigt. Die Kennung der Sicherheitseinstufung kann aber auch eine Datenstruktur sein, die weitere Information beispielsweise über überprüfte Sicherheitsinformationen, die in der Anfragenachricht enthalten war, umfassen.
Mit "relBase" ist die zugrundeliegende Sicherheitsrichtlinie bezeichnet. Der Parameter "verifier" gibt den Überprüfer, bspw. die Überprüfungsvorrichtung an. Der Parameter "scope" sowie die Zweckangabe der Komponente, beispielsweise den Na- men der Automatisierungsanlage an, in der das Gerät verbaut ist .
Die genannte Sicherheitsrichtlinie bildet die erforderliche Sicherheitseinstufung der Komponenten der Gesamtarchitektur ab. Wird beispielsweise eine Kommunikationsverbindung aufge¬ baut und authentisiert sich ein erstes Gerät 11.1 mit einem Zertifikat, so kann der Kommunikationspartner, beispielsweise ein zweites Gerät 11.2, nicht nur das Zertifikat validieren, sondern auch, ob der Kommunikationspartner der geforderten Sicherheitseinstufungen entspricht.
In einem zweiten Gerät 11.2, das ein Zertifikat von einem ersten Gerät 11.1 erhält, wird nun bei der Authentisierung zuerst das Zertifikat 30 geprüft. Ist die Prüfung nicht er¬ folgreich, wird eine Fehlermeldung ausgegeben. Ist die Prüfung dagegen erfolgreich, wird zunächst geprüft, ob eine Er¬ weiterungsdatenstruktur, insbesondere mit einer Kennung der Sicherheitseinstufung vorhanden ist. Ist keine solche Einstufung vorhanden, werden lediglich die Funktionen ausgeführt, für die keine Sicherheitseinstufung notwendig ist. Im Extremfall wird keine Funktion ausgeführt und die Aktion verworfen oder mit einer Fehlermeldung quittiert. Ist dagegen eine Er- Weiterungsdatenstruktur vorhanden, wird Sicherheitseinstufung 31 im Zertifikat 30 mit der für die angeforderte Aktion (Ver¬ bindungsaufbau, Konfiguration, etc.) entsprechend der Sicher¬ heitsrichtlinie verglichen und entsprechend der Sicherheits¬ richtlinie ausgeführt. Entspricht die Sicherheitseinstufung 31 nicht den Vorgaben, wird beispielsweise eine Fehlermeldung oder eine bestimmte Konfiguration oder eine Netzwerkfilterre¬ gel etc. entsprechend der Sicherheitseinstufung 31 eingerichtet . Sicherheitsmaßnahmen, die entsprechend dem Überprüfungsergeb¬ nis ausgeführt werden, sind beispielsweise ein Abweisen einer Verbindungsanfrage eines ersten Gerätes 11.1 bei einem zwei¬ ten Gerät 11.2. Beim Verbindungsaufbau beispielsweise mittels eines TLS-Protokolls , wird im Rahmen der Authentisierung das Zertifikat geprüft aber beispielsweise wegen unzureichender Sicherheitseinstufung als ungültig abgewiesen und somit die gesamte Kommunikationsverbindung abgewiesen. Abhängig vom Prüfergebnis der Kennung der Sicherheitseinstufung kann dynamisch eine Netzwerkfilterregel verwendet werden. Die Informa- tion der Sicherheitseinstufung kann als Teil eines Dienste- Discovery verwendet werden, um nach einem Gerät, zum Beispiel zur Diagnose oder zur Steuerung, zu suchen, das eine bestimmte Sicherheitseinstufung erfüllte. Abhängig vom Prüfergebnis der Kennung der Sicherheitseinstufung kann ein erstes Gerät 11.1 nur dann in einer Sicherheitszone eingebunden werden, wenn es die Sicherheitseinstufung der Zone erfüllt. Figur 5 zeigt ein Ausführungsbeispiel eines ersten Gerätes 100, das zum Betrieb in einem Anlagenkommunikationsnetz verwendet wird. Das erste Gerät 100 umfasst eine Anforderungs¬ einheit 101, die derart ausgebildet ist, die Sicherheitsin- formation 21 in eine Anforderungsnachricht 20 einzutragen und die Anforderungsnachricht 20 zur Ausstellung eines digitalen Zertifikats 30 mit einer Kennung der Sicherheitseinstufung 31 auszugeben. Des Weiteren enthält das erste Gerät 100 eine Er¬ mittlungseinheit 102, mit der eine Sicherheitsinformation 21 ermittelbar ist, die durch die Anforderungseinheit 101 dann in die Anforderungsnachricht eingefügt wird. Die Ermittlungs¬ einheit 102 ist zusätzlich derart konfiguriert, die Sicher¬ heitsinformation 21 aus Informationen, die im Gerät 100 selbst enthalten sind, zu ermitteln.
Figur 6 stellt ein zweites Gerät 200 dar, das derart ausge¬ bildet ist, ein Zertifikat 30 mit einer Kennung der Sicher¬ heitseinstufung 31 auszuwerten und entsprechende Maßnahmen zu ermitteln und auszuführen.
Das zweite Gerät 200 umfasst eine Empfangseinheit 201, die derart ausgebildet ist, ein digitales Zertifikat mit einer Kennung der Sicherheitseinstufung zu empfangen. Es umfasst eine Überprüfungseinheit 202, die derart ausgebildet ist, die Kennung der Sicherheitseinstufung 31 zu überprüfen. Es umfasst des Weiteren eine Ausführungseinheit 203, die derart ausgebildet ist, die Sicherheitsmaßnahmen entsprechend einem Überprüfungsergebnis in Abhängigkeit von Sicherheitsregeln aus zuführen .
Figur 7 stellt eine Zertifikat-Ausstellungsvorrichtung zur Ausstellung eines digitalen Zertifikats 30 mit einer Kennung einer Sicherheitseinstufung 31 dar. Die Ausstellungsvorrichtung 300 enthält eine Eingabeeinheit 301, die eine Zertifi- katanfragenachricht entweder direkt von einem ersten Gerät
100 empfängt oder bereits eine überprüfte Zertifikatanfrage¬ nachricht 20 von einer separaten oder vorgelagerten Überprüfungsvorrichtung zu empfangen. Des Weiteren enthält die Aus- Stellungsvorrichtung 300 eine Prüfeinheit 302, die derart ausgebildet ist, eine in einer Zertifikatanforderungsnachricht empfangene Sicherheitsinformation gegenüber einer vorgegebenen Sicherheitsrichtlinie zu prüfen. Die Ausstellungs- Vorrichtung 300 umfasst des Weiteren eine Ausstellungseinheit 303, die derart ausgebildet ist, eine daraus ermittelte Ken¬ nung einer Sicherheitseinstufung 31 in das digitale Zertifikat 30 einzufügen. Über eine Ausstellungseinheit 303 wird die Kennung der Sicherheitseinstufung 31 als Erweiterungsdaten- struktur in dem digitalen Zertifikat 30 oder in ein Attributzertifikat, das dem digitalen Zertifikat 30 zugeordnet ist, eingefügt .
Eine Information über den Softwarestand des ersten Gerätes kann bei einer Anfrage zur Ausstellung eines Zertifikats auch unabhängig von der Anforderung einer Kennung der Sicherheitseinstufung überprüft werden. In diesem Fall wird kein lediglich die Information über den Softwarestand gegenüber einer Soll-Information geprüft und nur bei erfolgreichem Prüfungs- ergebnis ein Zertifikat ausgestellt. Optional kann im ausge¬ stellten Zertifikat auch eine Information zum Prüfergebnis enthalten sein. Ein kryptographische Schutz der Anforderungs¬ nachricht kann beispielsweise durch Prüfsumme bzw. digitale Signatur entsprechend der Anforderung einer Kennung einer Sicherheitseinstufung durchgeführt werden. Die Information zum Prüfergebnis der Information des Softwarestands wird da¬ bei unterschiedlich zur Kennung der Sichereinstufung interpretiert. Eine Information zum Prüfergebnis des Softwarestan¬ des kann auch zusätzlich zu einer Kennung der Sicherheitsein- stufung in ein Zertifikat eines ersten Gerätes eingetragen werden .
Alle beschriebenen und/oder gezeichneten Merkmale können im Rahmen der Erfindung vorteilhaft miteinander kombiniert wer- den. Die Erfindung ist nicht auf die beschriebenen Ausführungsbeispiele beschränkt.

Claims

Patentansprüche
1. Verfahren zur Überprüfung einer Sicherheitseinstufung eines ersten Geräts (11) mit Hilfe eines zugeordneten digitalen Zertifikats, umfassend die Schritte:
- Senden (2) eines digitalen Zertifikats mit einer Kennung der Sicherheitseinstufung (31) von dem ersten Gerät (11) an ein zweites Gerät (12),
- Überprüfen (3) der Kennung der Sicherheitseinstufung (31) gegenüber einer vorgegebenen Sicherheitsregel durch das zweite Gerät (12) ,
- Ausführen (4) von Sicherheitsmaßnahmen entsprechend dem Überprüfungsergebnis der Sicherheitsregeln.
2. Verfahren nach Anspruch 1, wobei das digitale Zertifikat mit einer Kennung der Sicherheitseinstufung (31) dem ersten Gerät (11), insbesondere bei der Fertigung oder Inbetriebnah¬ me des ersten Geräts (11), bereitgestellt wird.
3. Verfahren nach Anspruch 1, wobei das erste Gerät (11) selbst eine Ausstellung einer Kennung der Sicherheitseinstu¬ fung (31) in einem digitalen Zertifikat (30) bei einer Zerti¬ fikat-Ausstellungsvorrichtung (13) anfordert.
4. Verfahren nach Anspruch 1, wobei das erste Gerät (11) eine Ausstellung einer Kennung der Sicherheitseinstufung (31) in einem Attributzertifikat, das dem digitalen Zertifikat (30) des ersten Geräts (11) zugeordnet ist, bei einer Zertifikat- Ausstellungsvorrichtung (13) anfordert.
5. Verfahren nach einem der Ansprüche 2 bis 4, wobei in einer Anforderungsnachricht (20) zur Ausstellung des digitalen Zer¬ tifikats (30) eine Sicherheitsinformation (21) des ersten Geräts (11) an die Zertifikat-Ausstellungsvorrichtung (13) übermittelt wird.
6. Verfahren nach Anspruch 5, wobei das erste Gerät (11) die Sicherheitsinformation (21) selbst ermittelt und in die An- forderungsnachricht (20), bevorzugt in Form eines Attributs, einträgt .
7. Verfahren nach einem der Ansprüche 5 oder 6, wobei die Sicherheitsinformation (21) eine Information zum Softwarestand, insbesondere eine Version, ein Hashwert, eine digitale Signatur des Softwarestands oder eine Attestierung der Integ¬ rität der Software des ersten Gerätes (11) oder eine Attestie¬ rung einer Konfiguration des ersten Geräts (11) ist.
8. Verfahren nach einem der Ansprüche 5 bis 7, wobei die Zertifikat-Ausstellungsvorrichtung (13) die Sicherheitsinformation (21) gegenüber einer vorgegebenen Sicherheitsrichtlinie (21) prüft und ein digitales Zertifikat (30) mit einer ent- sprechenden Kennung einer Sicherheitseinstufung (31) ausstellt und an das erste Gerät (11) übermittelt.
9. Verfahren nach Anspruch 8, wobei die Zertifikat-Ausstel¬ lungsvorrichtung (13) lediglich bei einem positiven Prüfer- gebnis ein Zertifikat (30) ausstellt oder wobei die Zertifi¬ kat-Ausstellungsvorrichtung (13) auch bei einem negativen Prüfergebnis ein Zertifikat (30) ausstellt, das einen vorge¬ gebenen Wert der Kennung der Sicherheitseinstufung (31) enthält .
10. Verfahren nach einem der Ansprüche 1 bis 9, wobei die Kennung der Sicherheitseinstufung (31) als Erweiterungsdatenstruktur in dem digitalen Zertifikat (30) oder als Erweiterungsdatenstruktur in ein Attributzertifikat, das dem digita- len Zertifikat (30) zugeordnet ist, eingefügt wird.
11. Verfahren nach Anspruch 10, wobei die Kennung der Sicherheitseinstufung (31) ein Flag ist, das lediglich eine erfolgreiche Prüfung bestätigt, oder wobei die Kennung der Sicher- heitseinstufung (31) eine Datenstruktur ist, die Information über die überprüfte Sicherheitsinformation enthält.
12. Verfahren nach Anspruch 10 oder 11, wobei die Erweiterungsdatenstruktur zusätzlich zur Kennung der Sicherheitseinstufung (31) Information zu der der Sicherheitseinstufung zugrunde liegenden Sicherheitsrichtlinie enthält und/oder In- formation zu einer die Prüfung für die Zertifikat-Ausstel¬ lungsvorrichtung (13) ausführende Überprüfungsvorrichtung (14) enthält und/oder einen Gültigkeitszeitraum der Sicherheitseinstufung und/oder einen Verwendungszweckangabe enthält .
13. Verfahren nach einem der Ansprüche 1 bis 12, wobei die Kennung der Sicherheitseinstufung (31) im Rahmen einer
Authentisierung des ersten Geräts (11) bei einem Verbindungs¬ aufbau in einem zweiten Gerät (12) überprüft wird, oder bei einer Anfrage zur Diensterkennung in einem Netzwerk oder bei einer Autokonfiguration des ersten Geräts (11) in eine
Sicherheitszone eines Netzwerks überprüft wird oder zur Aus¬ wahl einer Netzwerkfilter-Regel verwendet wird.
14. Erstes Gerät zum Betrieb in einem Anlagenkommunikations¬ netz (10) enthaltend
- eine Ermittlungseinheit (102), die derart ausgebildet ist eine Sicherheitsinformation (21), zu ermitteln, und
- eine Anforderungseinheit (101), die derart ausgebildet ist die Sicherheitsinformation (21) in eine Anforderungsnachricht
(20) einzutragen, und die Anforderungsnachricht (20) zur Aus¬ stellung eines digitalen Zertifikats (30) mit einer Kennung der Sicherheitseinstufung (31) auszugeben.
15. Erstes Gerät nach Anspruch 14, wobei die Ermittlungseinheit (102) derart ausgebildet ist die Sicherheitsinformation
(21) aus Information, die im Gerät (11) selbst enthalten sind, insbesondere eine Information zum Softwarestand des ersten Geräts (11), bevorzugt eine Version, ein Hashwert, ei- ne digitale Signatur des Softwarestands oder eine Attestie¬ rung einer Konfiguration des ersten Geräts (11) oder eine Attestierung der Integrität der Software des ersten Gerätes (11), zu ermitteln.
16. Zweites Gerät, umfassend
- eine Empfangseinheit (201), die derart ausgebildet ist ein digitales Zertifikat (30) mit einer Kennung der Sicherheits- einstufung (31) zu empfangen,
- eine Überprüfungseinheit (202), die derart ausgebildet ist die Kennung der Sicherheitseinstufung (31) zu überprüfen, und
- eine Ausführungseinheit (203) , die derart ausgebildet ist Sicherheitsmaßnahmen entsprechend einem Überprüfungsergebnis unter Verwendung von Sicherheitsregeln auszuführen.
17. Zweites Gerät nach Anspruch 16, das derart ausgebildet ist,
die empfangene Kennung der Sicherheitseinstufung (31)
- im Rahmen einer Authentisierung eines ersten Geräts (11) bei einem Verbindungsaufbau zum zweiten Gerät (12, 200) zu überprüfen, oder
- im Rahmen einer Anfrage zur Diensterkennung in einem Netzwerk (10) zu überprüfen und/oder
- bei einer Anfrage nach Konfigurationsdaten durch ein erstes Geräts (11) zur Integration in eine Sicherheitszone eines Netzwerks (10) zu überprüfen und/oder
- bei einer Verbindungsaufbauanfrage zur Ermittlung von Netz¬ werkfilter-Regeln zu überprüfen.
18. Zertifikat-Ausstellungsvorrichtung zur Ausstellung eines digitalen Zertifikats (30) mit einer Kennung einer Sicherheitseinstufung (31), enthaltend
- eine Prüfeinheit (302), die derart ausgebildet ist, eine in einer Zertifikat-Anforderungsnachricht (20) empfangene
Sicherheitsinformation (21) gegenüber einer vorgegebenen Sicherheitsrichtlinie zu prüfen und
- eine Ausstellungseinheit (303) , die derart ausgebildet ist eine daraus ermittelte Kennung einer Sicherheitseinstufung (31) in das digitale Zertifikat (30) einzufügen.
19. Zertifikat-Ausstellungsvorrichtung nach Anspruch 18, wobei die Ausstellungseinheit (303) derart ausgebildet ist die Kennung der Sicherheitseinstufung (31) als Erweiterungsdatenstruktur in dem digitalen Zertifikat (30) oder in ein Attributzertifikat, das dem digitalen Zertifikat zugeordnet ist, auszugeben .
20. Computerprogrammprodukt, das direkt in einen programmier¬ baren Mikroprozessor ladbar ist, umfassend Programmcodeteile, die dazu geeignet sind, die Schritte des Verfahrens nach ei¬ nem der Ansprüche 1 bis 13 durchzuführen.
EP16823278.3A 2016-01-14 2016-12-22 Verfahren zur überprüfung einer sicherheitseinstufung eines ersten geräts mit hilfe eines digitalen zertifikats, ein erstes und zweites gerät sowie eine zertifikat-ausstellungsvorrichtung Ceased EP3371955A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102016200382.8A DE102016200382A1 (de) 2016-01-14 2016-01-14 Verfahren zur Überprüfung einer Sicherheitseinstufung eines ersten Geräts mit Hilfe eines digitalen Zertifikats, ein erstes und zweites Gerät sowie eine Zertifikat-Ausstellungsvorrichtung
PCT/EP2016/082310 WO2017121602A1 (de) 2016-01-14 2016-12-22 Verfahren zur überprüfung einer sicherheitseinstufung eines ersten geräts mit hilfe eines digitalen zertifikats, ein erstes und zweites gerät sowie eine zertifikat-ausstellungsvorrichtung

Publications (1)

Publication Number Publication Date
EP3371955A1 true EP3371955A1 (de) 2018-09-12

Family

ID=57758609

Family Applications (1)

Application Number Title Priority Date Filing Date
EP16823278.3A Ceased EP3371955A1 (de) 2016-01-14 2016-12-22 Verfahren zur überprüfung einer sicherheitseinstufung eines ersten geräts mit hilfe eines digitalen zertifikats, ein erstes und zweites gerät sowie eine zertifikat-ausstellungsvorrichtung

Country Status (5)

Country Link
US (1) US11134072B2 (de)
EP (1) EP3371955A1 (de)
CN (1) CN108476218A (de)
DE (1) DE102016200382A1 (de)
WO (1) WO2017121602A1 (de)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10740186B2 (en) * 2017-05-15 2020-08-11 The Boeing Company High data integrity processing system
EP3484097A1 (de) 2017-11-08 2019-05-15 Siemens Aktiengesellschaft Verfahren und validierungseinrichtung zum validieren eines digitalen zertifikats
DE102019216527A1 (de) * 2019-10-28 2021-04-29 Robert Bosch Gmbh Gerät, system und verfahren zum nachweis eines integritätszustands eines geräts
US11509480B2 (en) * 2020-06-30 2022-11-22 Vmware, Inc. Remote attestation based on runtime configuration
US11838427B2 (en) 2021-02-04 2023-12-05 International Business Machines Corporation Usage restrictions for digital certificates
US20240224030A1 (en) * 2022-10-03 2024-07-04 Altiostar Networks, Inc. Managing cell sites in a radio access network

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7653810B2 (en) * 2003-08-15 2010-01-26 Venafi, Inc. Method to automate the renewal of digital certificates
JP2006139747A (ja) * 2004-08-30 2006-06-01 Kddi Corp 通信システムおよび安全性保証装置
DE102005004612A1 (de) 2005-02-01 2006-08-10 Siemens Ag Verfahren zur Aufschaltung auf verschlüsselte Kommunikationsverbindungen in einem paketorientierten Netzwerk
US7509489B2 (en) * 2005-03-11 2009-03-24 Microsoft Corporation Format-agnostic system and method for issuing certificates
WO2007000772A1 (en) * 2005-06-28 2007-01-04 Hewlett - Packard Development Company L.P. Access control method and apparatus
US7636938B2 (en) * 2005-06-30 2009-12-22 Microsoft Corporation Controlling network access
JP4501912B2 (ja) * 2006-08-17 2010-07-14 コニカミノルタビジネステクノロジーズ株式会社 画像形成認証システム
JP2010501103A (ja) 2006-08-18 2010-01-14 ホアウェイ・テクノロジーズ・カンパニー・リミテッド 認証のための方法およびシステム
WO2008130191A1 (en) 2007-04-23 2008-10-30 Lg Electronics Inc. Method for using contents, method for sharing contents and device based on security level
US8131997B2 (en) * 2007-08-23 2012-03-06 Samsung Electronics Co., Ltd. Method of mutually authenticating between software mobility device and local host and a method of forming input/output (I/O) channel
US8341717B1 (en) * 2008-11-13 2012-12-25 Sprint Communications Company L.P. Dynamic network policies based on device classification
CN101588244A (zh) * 2009-05-08 2009-11-25 中兴通讯股份有限公司 对网络设备进行鉴权的方法及系统
US8990891B1 (en) * 2011-04-19 2015-03-24 Pulse Secure, Llc Provisioning layer two network access for mobile devices
US8954732B1 (en) * 2012-06-27 2015-02-10 Juniper Networks, Inc. Authenticating third-party programs for platforms
CN102932333A (zh) * 2012-10-07 2013-02-13 潘铁军 一种移动支付的安全设备、系统和方法
JP6079394B2 (ja) * 2013-04-11 2017-02-15 富士通株式会社 証明書生成方法、証明書生成装置、情報処理装置、通信機器、及びプログラム

Also Published As

Publication number Publication date
CN108476218A (zh) 2018-08-31
US20190028466A1 (en) 2019-01-24
DE102016200382A1 (de) 2017-07-20
US11134072B2 (en) 2021-09-28
WO2017121602A1 (de) 2017-07-20

Similar Documents

Publication Publication Date Title
EP3371955A1 (de) Verfahren zur überprüfung einer sicherheitseinstufung eines ersten geräts mit hilfe eines digitalen zertifikats, ein erstes und zweites gerät sowie eine zertifikat-ausstellungsvorrichtung
EP2936259B1 (de) Aktualisieren eines digitalen geräte-zertifikats eines automatisierungsgeräts
EP3125492A1 (de) Verfahren und system zum erzeugen eines sicheren kommunikationskanals für endgeräte
WO2019034509A1 (de) Verfahren zum sicheren ersetzen eines bereits in ein gerät eingebrachten ersten herstellerzertifikats
EP3681102B1 (de) Verfahren zur validierung eines digitalen nutzerzertifikats
EP4147099A1 (de) System und verfahren zum verifizieren von komponenten eines industriellen kontrollsystems
EP3226464A1 (de) Datenstruktur zur verwendung als positivliste in einem gerät, verfahren zur aktualisierung einer positivliste und gerät
EP3111609B1 (de) Verwendung von zertifikaten mittels einer positivliste
EP3695337B1 (de) Verfahren und bestätigungsvorrichtung zur integritätsbestätigung eines systems
WO2015110233A1 (de) Verfahren, verwaltungsvorrichtung und gerät zur zertifikat-basierten authentifizierung von kommunikationspartnern in einem gerät
WO2020011777A1 (de) Verfahren zur einrichtung eines berechtigungsnachweises für ein erstes gerät
WO2017194332A1 (de) Verbessern einer geräteauthentifizierung mit hilfe von geräteüberwachungsdaten
WO2020221523A1 (de) Verfahren zur vergabe von zertifikaten, leitsystem, verwendung eines solchen, technische anlage, anlagenkomponente und verwendung eines identitätsproviders
WO2015043807A1 (de) Anpassen von zugriffsregeln für einen datenaustausch zwischen einem ersten netzwerk und einem zweiten netzwerk
DE102019130067A1 (de) Verfahren zur Durchführung einer erlaubnisabhängigen Kommunikation zwischen wenigstens einem Feldgerät der Automatisierungstechnik und einem Bediengerät
EP3993339B1 (de) Zertifikatsmanagement in einer technischen anlage
EP3906653B1 (de) Verfahren zum ausstellen einer kryptographisch geschützten authentizitätsbescheinigung für einen benutzer
WO2023194051A1 (de) Ausbilden einer kryptographisch geschützten verbindung
EP4333363A1 (de) Verfahren zur ausstellung eines zertifikats und computerimplementierte registrierungsstelle
EP4254233A1 (de) Verfahren und system zur gesicherten ausführung von steuerungsanwendungen, host
EP4250146A1 (de) Interaktion physischer entitäten
WO2023094514A1 (de) Leitsystem für eine verfahrenstechnische anlage und verfahren zum erstellen einer automatisierung für komponenten einer verfahrenstechnischen anlage
EP4432602A1 (de) Verfahren zur ausstellung eines zertifikats und computerimplementierte registrierungsstelle
EP4181462A1 (de) Verfahren für ein zertifikatsmanagement für heterogene anlagen, computersystem und computerprogrammprodukt
EP3832508A1 (de) Sperrung oder widerruf eines gerätezertifikats

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20180608

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20191113

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

REG Reference to a national code

Ref country code: DE

Ref legal event code: R003

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

18R Application refused

Effective date: 20221021