TWI517085B - 用於工業裝置之安全模型 - Google Patents
用於工業裝置之安全模型 Download PDFInfo
- Publication number
- TWI517085B TWI517085B TW100137493A TW100137493A TWI517085B TW I517085 B TWI517085 B TW I517085B TW 100137493 A TW100137493 A TW 100137493A TW 100137493 A TW100137493 A TW 100137493A TW I517085 B TWI517085 B TW I517085B
- Authority
- TW
- Taiwan
- Prior art keywords
- token
- request
- security
- protocol buffer
- protocol
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Description
主題揭示關於用於工業自動化環境之安全模型以及較特別的是,適用於嵌入式工業自動化裝置可交互操作性之安全模型。
安全在工業自動化環境中是重要的觀點。應控制在工廠中或其他自動化環境存取機器以及裝置,以避免由於人員缺乏訓練、授權或證書,與機器以及裝置未授權或不合宜之交互作用。此外,在工業自動化環境,應嚴格地控制機器以及裝置之操作,以提供各種階層允許予具有不一樣角色之不同人員。當在工業自動化環境存取機器或裝置,實施前述安全特色,操作員可補給證書詳細說明操作員之識別。一旦證書是有效的,機器或裝置可授予操作員權利以及啟動存取基於同意關於操作員之特色。
一般而言,工業自動化環境採用在環境中之專屬安全解決辦法。專屬安全解決辦法可不交互操作或信任陌生安全網域。沒有交互操作,工業自動化環境駐在安全島上。
在其他區域,像是網路服務,一組標準安全相關規格已浮現。對於網路服務,特別的是,結構化資訊標準促進組織(the Organization for the Advancement of Structured Information Standards,OASIS)已公佈種種在寬鬆耦合系統之間,關於實施安全特色(例如,證明、信任設立)的規格,像是網路服務安全(WS-Security)、網路服務信任(WS-Trust)以及安全宣示標記語言(Security Assertion Markup Language,SAML)等等。較特別的是,WS-Security是提供用於在網路服務中訊息階層安全基本框架的規格。WS-Trust延伸WS-Security以及在不一樣的安全網域之中提供框架以建立或中間人信任。SAML(Security Assertion Markup Language)是以XML(Extensible Markup Language,可延伸標記語言)為基礎用於代表安全主張或宣示之標準。當他們依賴網際網路為基礎的技術,像是HTTP(Hyper Text Transfer Protocol,超文字傳輸協定)、SOAP(Simple Object Access Protocol,簡單物件存取協定)、XML等等,前述標準是意圖用於企業階層系統(例如,大型網路伺服器、強大通用電腦等等)。然而,如此以網際網路為基礎的技術需要極大的來源,以及就其本身而論,不要測量具有有限處理能力、有限的記憶體等等的小嵌入式系統。
為了提供於此描述的一些觀點之基本瞭解,以下提出創新的簡化摘要。摘要並非所揭示主題的廣泛概要。意圖並非所揭示主題之識別金鑰或關鍵性的元件,亦非主題創新之敘述範圍。其單一目的就是提出所揭示主題之一些觀念以簡化形式作為前奏至稍後呈現較細節描述。
當剩餘擴充小嵌入式裝置,根據各種觀點,描述提供與陌生安全網域交互操作性之安全模型。提供安全符記服務,其配置以發佈、更新且/或使安全符記生效以回應符記請求。依照協定緩衝定義,界定通訊協定、對應訊息結構以及安全符記。
根據第一個觀點,在嵌入式裝置之中整合安全符記服務。嵌入式裝置可以是在工業自動化環境中之工業自動化裝置。在裝置之中,安全符記服務可認證以及授權使用者直接與嵌入式裝置介接。嵌入式裝置包括儲存於其中的帳號資訊,藉由安全符記服務,促進認證以及授權。
根據第二個觀點,在網路配備內整合安全符記服務。安全符記服務可經由網路藉由裝置傳送以獲得符記請求。網路配備可包括基於符記請求儲存於其上的帳號資訊以啟動安全符記服務來認證以及授權使用者。安全符記服務經由網路,可發佈安全符記以及將符記傳送至各種裝置。
根據第三個觀點,安全符記在網路上可與閘道裝置有關。閘道裝置與外部實體通訊以認證以及授權使用者。通訊可以是基於WS-Trust之規格。在XML表示藉由WS-Trust指明以及協定緩衝定義之間,閘道裝置可轉譯安全符記且\或符記請求。
以下描述以及附加圖式提出詳細地闡明所揭示主題之某些觀點。然而,提出這些觀點,但是各種方式之少數,其中,可採用創新定律以及所揭示主題意圖包括所有如此觀點及其同等者。當經過深思熟慮與圖式接合,所揭示主題之其他優點以及特殊的特色自創新的下列詳細描述將變得明顯。
現在參照圖式來描述各種觀點,其中,處處相似的參照數字是用以參考相似的元件。在以下描述中,為了解釋的目的,為了提供一個或更多觀點徹底的瞭解,提出許多特定細節。然而,顯而易見的是,無須這些特定細節,將可施行如此觀點。在其他實例中,為了促進描述這些觀點,以方塊圖的形式來表示知名結構以及裝置。
最初參考圖1,根據觀點,闡明示範性系統100。配置系統100利用安全符記以促進使用者的識別、認證以及授權。在觀點中,安全符記包括一組主張或宣示指明種種資訊。比如,安全符記可包括名稱、角色、授權碼、名稱認證指示、認證時間、一列允許行動、密碼金鑰資訊或相似者。然而,由以下描述將察知安全符記可包括以上敘述的額外資訊。
配置系統100以提供使用者的認證、授權等等的委任以及可包括請求者110,配置請求者110由安全設備120獲得安全符記。請求者110可以是配置以與使用者(未繪示)互動的實體。請求者110可採用安全設備120以認證使用者。依照例子,其中,將系統100佈署在工業自動化環境之內,請求者110可以是工業自動化裝置或工具像是但不限於控制器(例如,Programmable Automation Controller,PAC,可程式自動化控制器、Programmable Logic Controller,PLC,可程式邏輯控制器等等)、人機介面(Human Machine Interface,HMI)、工業機器或相似者。
請求者110由欲存取一些請求者110所提供功能之使用者獲得憑證資訊。憑證資訊可以是使用者名稱/密碼對、安全符記、Kerberos票等等。請求者110發佈符記請求130至安全設備120,包括至少部分的憑證資訊。作為回應,安全設備120可將安全符記140提供至請求者110。至少,安全符記140可指示憑證資訊是否為可信的。根據額外觀點,安全符記140可包括使用者屬性、授權使用者實行所允許的行動、使用者角色、使用者識別等等。
請求者110以及安全設備120可利用協定緩衝以實施以及傳送符記請求130以及安全符記140。協定緩衝為語言中性的、平台中性的、可延伸的機制以序列化用於通訊協定之結構化資料。可將一個或更多的協定訊息定義為特定資訊如何結構化。各協定訊息可包括一組名稱-值對分別具有名稱以及值形式。值形式可包括數字(例如,整數或浮點值)、布林、串、原始位元組以及相似者。此外,值形式亦可包括其他協定訊息。因此,協定緩衝將資訊啟動為階層式結構化。
一旦定義協定訊息,協定緩衝編譯器可貫通定義以自動化產生資料存取機制以及序列化/反序列化機制。配置序列化/反序列化機制以將協定訊息物件(例如,佈滿實際資料的協定訊息之物件實例)轉換為協定緩衝(例如,原始位元組)以及將協定緩衝轉換為協定訊息物件。依照協定訊息的結構,資料存取機制促進關於特別名稱-值對、協定訊息物件之值的檢索以及設定。
偕同協定緩衝,可創造用於符記請求130定義結構之協定訊息。可編譯對應於符記請求130之協定訊息以產生可以是請求者110以及安全設備120所用之資料存取以及序列化/反序列化機制。同樣地,可提供以及編譯協定訊息、定義用於安全符記140之結構以產生對應資料存取以及序列化/反序列化機制。
除了用於資訊的結構之外(例如,協定訊息),協定緩衝啟動服務的定義。例如,可利用定義協定訊息,如此符記請求協定訊息以及安全符記協定訊息,以建立服務。可編譯服務定義以產生抽象介面,其可實施為遠端程序呼叫或其他通訊協定之部分以交換多實體之間的資訊。
協同用於符記請求130以及安全符記140之服務定義且/或協定訊息,請求者110可舉例說明符記請求協定訊息物件以及佈滿具資訊,像是憑證資訊的物件。可將符記請求協定訊息物件序列化為一列原始位元組以產生符記請求130。經由遠端程序呼叫或其他通訊協定,請求者110可將符記請求130傳送至安全設備120。
安全設備120可接收符記請求130為一列原始位元組。在觀點中,安全設備120可包括配置協定緩衝構件122以管理協定訊息,像是符記請求130以及安全符記140。協定緩衝構件122舉例說明基於符記請求130之對應協定訊息的協定訊息物件。協定緩衝構件122將由請求者110所獲得的符記請求130反序列化以及佈滿具所反序列化符記請求之所舉例說明的協定訊息物件。可提供包含於所反序列化符記請求130之資訊(例如,憑證資訊)至安全符記服務(Security Token Service,STS)124。
配置STS 124以發佈、生效且/或更新安全符記。安全符記包括一個或更多由STS 124基於憑證資訊來決定之主張或宣示。根據例子,STS 124由協定緩衝構件122獲得憑證資訊。可由符記請求130來提取憑證資訊。STS 124可認證憑證資訊以及發佈對應安全符記,包括至少指出憑證資訊是受認證的主張。
依照種種方案,可發生認證。在例子中,憑證資訊可包括使用者名稱以及密碼。STS 124可對照保存使用者資訊的資料儲存器(未繪示)以確認使用者名稱以及密碼。如下更詳細地描述,資料儲存器可關於安全設備120或關於遠端實體,像是外部識別供應器。在另一例子中,憑證資訊可包括之前由STS 124所發佈的安全符記。STS 124可發佈新的符記或更新包括於憑證資訊之符記。在又一例子中,憑證資訊可包括來自另外實體之安全符記。當由受信任的實體來發佈符記,基於所提供符記中之主張,STS 124可發佈安全符記。
STS 124可產生依照用於安全符記由協定訊息所定義之結構所發佈的符記。所發佈的符記,像是安全符記140,可藉由協定緩衝構件122加以序列化以及傳送至請求者110回應符記請求130。請求者110可將安全符記140反序列化以及呈現至少部分基於包括於安全符記140主張的存取決策。比如,請求者110可允許使用者實行某些藉由安全符記140中的主張所認證之操作。
當如圖1所示之個別構件,所察知的是,協定緩衝構件122可包括於或與STS 124結合,如此STS依照協定緩衝機制直接與請求者110通訊。此外,所察知的是,安全設備120可以是STS 124自身。再者,可將額外安全,像是加密、數位簽章或相似者,在請求者110以及安全設備120之間訊息交換之上堆積成層。
圖2闡明系統200,其採用安全符記服務依照各種觀點以識別以及認證使用者。如圖2所闡明,系統200可包括請求者210,配置請求者210與安全設備220通訊以認證且/或授權使用者存取請求者210。在觀點中,可配置安全設備220為如上述之安全符記服務。如安全符記服務,配置安全設備220以發佈、更新且/或使安全符記生效。可藉由請求者210以利用安全符記關於使用者呈現以及施行存取決策。
在觀點中,請求者210可包括使用者介面212,配置使用者介面212以獲得由使用者輸入以及傳送至使用者之輸出。使用者介面212可包括種種硬體且/或軟體構件。例如,使用者介面212可包括鍵盤、滑鼠、觸控式螢幕或顯示軟體應用所產生之圖形化使用者介面(Graphical User Interface,GUI)的顯示螢幕、麥克風、喇叭、攝影機等等。
依照協定訊息,像是符記請求230以及安全符記240,請求者210可進一步包括協定緩衝214,配置協定緩衝214以結構資訊,將協定訊息序列化為一列位元組、將位元組串流反序列化為結構化資訊以及由結構化資訊提取資料。協定緩衝214透過遠端程序呼叫或其他通訊協定,促進請求者210與安全設備220之間的通訊。
此外,請求者210可包括密碼構件216,配置密碼構件216以提供密碼功能,像是數位簽章、加密等等。在觀點中,在將協定訊息傳輸至安全設備220之前,密碼構件216可數位化簽署藉由協定緩衝214來產生之協定訊息。此外,密碼構件216可認證以及完全確認由安全設備220所接收之已簽署協定訊息。
根據另一觀點,請求者210可包括存取控制構件218,配置存取控制構件218至少部分基於來自安全設備220所獲得的安全符記以呈現存取決策。比如,存取控制構件218可基於安全符記決定是否同意使用者存取。此外,基於安全符記,存取控制構件218可限制存取特別功能或特色。在例子中,存取控制構件218可分析安全符記以及查明使用者是受認證的以及可同意存取。存取控制構件218可進一步評價包括於安全符記中的主張,以決定與使用者有關的角色且/或識別受允許之使用者開始授權行動。基於使用者角色或受授權行動,存取控制構件218可配置使用者介面212以促進存取限制之施行。
安全設備220可包括密碼構件222,配置密碼構件222以提供密碼功能,像是數位簽章、加密等等。在觀點中,在將如此訊息傳輸至請求者210之前,密碼構件222可數位化簽署協定訊息。此外,密碼構件220可認證以及完全確定由請求者210所接收的已簽署協定訊息。安全設備220亦可包括配置的協定緩衝224,依照協定訊息,像是符記請求230以及安全符記240以結構化資訊,將協定訊息序列化為一列位元組,將位元組串流反序列化為結構化資訊以及自結構化資訊提取資料。與請求者210的協定緩衝214相似之協定緩衝224透過遠端程序呼叫或其他通訊協定,促進請求者210以及安全設備220之間的通訊。
依照另一觀點,其中安全設備220操作為識別提供者,提供認證構件226。配置認證構件226以核對憑證資訊,其可藉由請求者210提供給安全設備220作為符記請求之部分。認證構件226可查詢保存帳號資訊的資料儲存器227。當如此資訊包括於且/或與資料儲存器227中的資訊相配,認證構件226可使憑證資訊生效。
藉由認證構件226認證的結果、藉由協定緩衝224所處理的符記請求以及包含於符記請求中之憑證資訊可提供至符記產生構件228。至少部分基於認證結果、憑證資料且/或符記請求,配置符記產生構件228以發佈安全符記。在觀點中,符記產生構件228可發佈協定緩衝安全符記,符合藉由協定緩衝機制協定訊息可採用所定義的結構。然而,例如,所察知的是,符記產生構件228可發佈其他符記,像是SAML符記。
參考圖3,與圖2有關,關於認證使用者以及發佈安全符記所描述之方法300。為了解釋簡便性的目的,當所示以及所描述為一序列或行動數字之處理以及方法,所瞭解以及所察知的是,主題處理不限於行動的順序,依照主題處理,於此所示以及所描述,一些行動可以不同順序發生且/或與其他行動同時發生。例如,熟習該項技術者將瞭解以及察知方法可交替表示一列相互關聯的狀態或事件,像是在狀態圖中。並且,依照於此所述的主題處理,並不需要所有闡明的行動就可以實施方法。
在302,欲存取請求者210之使用者可經由使用者介面212以輸入憑證資訊。在304,請求者210可採用協定緩衝214以產生符記請求230,包括憑證資訊。在觀點中,符記請求230可依照協定緩衝技術所定義之協定訊息將資訊結構化。在306,自結構化物件至一列原始位元組,協定緩衝214將符記請求序列化。
在308,密碼構件216可數位化簽署符記請求230以產生已簽署符記請求232。在例子中,密碼構件216可利用公開金鑰密碼以簽署符記請求230。比如,密碼構件216可將符記請求230散列以產生訊息摘要。可將訊息摘要與私密金鑰加密以產生簽章,其是附加在符記請求230以產生已簽署符記請求232。在接收器端,已簽署符記請求232是個別的(例如,自符記請求230提取簽章)。將與私密金鑰配對之公開金鑰的簽章解密。此外,隨著簽章移除,散列符記請求。當散列以及所解密的簽章相配,已簽署符記請求232是經認證的以及經確認的。於此將公開金鑰密碼描述為示範性演算法,所察知的是,可採用其他密碼演算法,再者,意圖到此為止隨附之主張不限於公開金鑰密碼。
在310,將已簽署符記請求232傳輸至安全設備220。如下更詳細地描述,經由種種手段,依賴安全設備220以及請求者210之特定實施,可將已簽署符記請求232傳送至安全設備220。例如,經由遠端程序呼叫、在處理之間的管道、網路連接、硬體匯流排、方法呼叫等等,請求者210可傳輸已簽署符記請求232。
在312,安全設備220之密碼構件222可核對已簽署符記請求232以及恢復符記請求234。如上所述,在例子中,密碼構件222可採用關於請求者210以及與請求者210的私密金鑰配對之公開金鑰。在314,藉由協定緩衝224,將符記請求234反序列化以將原始位元組列轉換為結構化物件,包括憑證資訊。在316,安全設備220可採用協定緩衝224由符記請求234的結構物件表示提取憑證資訊。在318,安全設備220認證憑證資訊。例如,認證構件226可查詢資料儲存器227與憑證資訊,以決定憑證資訊是否對應於有效的使用者帳號。可將認證結果提供給符記產生構件228,其中,在320,產生安全符記244。在322,協定緩衝224可將安全符記244序列化為一列位元組。在324,安全設備220可採用密碼構件222數位化簽署安全符記244以產生已簽署安全符記242。在326,將已簽署安全符記242傳輸至請求者210。在328,請求者210之密碼構件216核對已簽署安全符記242之數位簽章以及恢復安全符記240。在330,協定緩衝214將安全符記240反序列化以及在332,至少部分基於安全符記240,存取控制構件218可呈現存取控制決策。
參考圖4至圖7,根據一個或更多的觀點,闡明如上述在工業自動化環境之內,描寫安全模型的各種實施之例子系統。在例子系統中,工業自動化裝置如上述之請求者來操作。隨著這些例子系統將變得顯而易見,自單一裝置之小型整合環境至大型網路寬闊環境,上述之安全模型可在工業自動化環境內於各種程度來操作。因此,安全模型可在家庭網域提供安全,以及亦然,可延伸以在陌生網域提供交互操作性。
在圖4至圖7中,以及相關描述,裝置可以是任何合適的工業自動化裝置(例如,機器(印刷機、壓印機、輸送帶、機器人等等)、控制器、HMI等等)或任何其他合適的計算裝置(例如,個人電腦、筆記型電腦、行動裝置等等)。此外,下述關於圖4至圖7之安全設備可大體上相似於且/或實行相似功能,如安全設備120以及220。並且,在裝置與安全設備之間的互動可發生於與前述關於圖1至圖3的系統100、系統200以及方法300一致之方式。
圖4描寫例子系統400,包括如請求者操作的嵌入式裝置402。在觀點中,裝置402可以是嵌入式系統,將嵌入式系統耦接至工業自動化裝置,像是但不限於電腦、HMI、印刷機、壓印機器、輸送帶、機器人或在工廠或處理設施內之可佈署的任何其它工業機器或設備。
裝置402可包括經由匯流排424互相連接的處理單元404、系統記憶體406、使用者介面418、機器介面420以及網路配接器422。系統記憶體406可包括非揮發性記憶體,像是ROM(Read Only Memory,唯讀記憶體)408,以及揮發性記憶體,像是RAM(random access memory,隨機存取記憶體)410。系統記憶體406亦可包括持續性儲存器412,其大體上可包括任何有形的、非揮發性電腦可讀取儲存媒體。比如,持續性儲存器412可包括媒體,像是但不限於快閃記憶體、硬碟、固態磁碟機、以磁性為基礎的媒體(例如,磁帶等等)、以光學為基礎的媒體(例如,CD-ROM(Compact Disc Read Only Memory,唯讀記憶體光碟)、DVD(Digital Versatile Disc,數位多功能光碟)、Blu-Ray(藍光)等等)或相似者。
系統記憶體406可保存軟體且/或韌體程式,像是應用414以及作業系統416。在觀點中,可將應用414且/或作業系統416由ROM 408且/或持續性儲存器412轉變為RAM 410。處理單元404可自RAM 410執行應用414以及作業系統416以實施裝置402的功能以及提供與使用者的互動。比如,應用414且/或作業系統416可產生圖形化使用者介面,其經由使用者介面418向使用者顯示。
裝置402可經由機器介面420與相關的工業自動化裝置之各種機械的以及電性的硬體構件接合。再者,裝置402可經由網路配接卡422,經由通訊網路(例如,LAN(Local Area Network,區域網路)、DeviceNet、控制網路、WAN(Wide Area Network,廣域網路)、網際網路等等)來通訊。
在觀點中,裝置402可利用整合化安全構件426以認證使用者。可將安全構件426整合在裝置402的電路板上,其中,電路板包括匯流排424以及支援各種硬體構件(例如,處理單元404、系統記憶體406、機器介面420、網路配接卡422以及使用者介面418)。根據觀點,可將安全構件426耦接至匯流排424以與處理單元404、使用者介面418、系統記憶體406且/或由此所執行之任何應用414以及作業系統416來通訊。安全構件426可包括嵌入式子處理器(未繪示)以及記憶體單元(未繪示)以在裝置402的安全子環境內實施安全功能。在另一觀點中,安全構件426可經由應用414且/或作業系統416來實施。
安全構件426大體上可相似於以及實行相似功能,如上述參照圖1以及圖2之安全設備120以及220。例如,安全構件426可發佈安全符記回應符記請求,包括如上述之憑證資訊。
在例子中,使用者可經由使用者介面418以供給憑證資訊。比如,使用者可經由使用者介面418之登入介面來輸入使用者名稱以及密碼或使用者可經由其他機制以供給憑證資訊(例如,智慧卡、USB(Universal Serial Bus,通用序列匯流排)裝置、電子式金鑰圈等等)。應用414且/或作業系統416可包括存取控制子常式,將憑證資訊併入用於符記請求基於協定訊息定義預先定義之資訊結構。可將包括憑證資訊之符記請求藉由應用414且/或作業系統416經由進程間通訊以序列化以及傳輸至應用實施安全構件426或經由匯流排424以序列化以及傳輸至整合到裝置402之電路板上的安全構件426。安全構件426將符記請求反序列化、確認憑證資訊以及產生安全符記。安全符記可包括如上述之一組宣示以及可將安全符記組成藉由另外的協定訊息定義所預先定義之結構。可將安全符記序列化以及回傳給請求實體(例如,應用414且/或作業系統416)。將安全符記反序列化以及評價為關於使用者之呈現存取決策。如果存取受到同意,安全符記可包括額外的宣示,定義同意使用者存取之程度。依照所定義之存取程度,應用414且/或作業系統416提供與使用者的互動。
依照各種觀點,圖5描寫例子系統500,包括提供發佈、更新以及使安全符記生效的網路配備。系統500可包括藉由裝置(請求者)504經由網路506可存取之安全設備502。在例子中,安全設備502可相似於前述之安全設備120且/或220。此外,裝置504可相似於在此所述之請求者110、請求者210且/或裝置402。
在觀點中,裝置504可獲得需要認證的憑證資訊。使用協定緩衝機制之裝置504可將憑證資訊如符記請求經由網路506傳送至安全設備502。安全設備502接收符記請求、使所包括的憑證資訊生效以及發佈基於其上之安全符記。安全設備502可使用協定緩衝機制,將安全符記回傳至裝置504。裝置504可分析安全以及決定提供給與憑證資訊有關的使用者之存取程度。如圖5所示,將像是裝置508、510以及512之其他裝置耦接至網路506。在觀點中,配置裝置508、510以及512以如上述操作為請求者。裝置508、510以及512可將符記請求傳遞至安全設備502以及從那裡獲得安全符記。
轉到圖6,依照各種觀點,闡明例子系統600。在觀點中,系統600可包括裝置602,配置裝置602以經由網路604向安全設備606請求安全符記。在請求中,裝置602可包括使用者所提供之憑證資訊。在系統600之觀點中,憑證資訊可與網域有關,其安全設備606不保存相關帳號資訊。非但沒有將安全符記直接發佈至裝置602,安全設備606反而可操作為委任或代理以及由外部識別供應器612獲得安全符記。外部識別供應器612可以是目錄伺服器,像是動態目錄伺服器(Active Directory Server)、LDAP(Lightweight Directory Access Protocol,輕型目錄存取協定)伺服器等等、UNIX網域伺服器、受信任第三方認證服務或相似者。
根據觀點,安全設備606包括閘道構件608,配置閘道構件608以請求以及由外部識別供應器612獲得安全符記。依照用於網路服務之WS-Trust規格,閘道構件608可向外部識別供應器612請求符記。因此,閘道構件608可自外部識別供應器獲得SAML安全符記。安全設備606包括轉換器610,將SAML安全符記轉譯為協定緩衝安全符記。安全設備606可經由網路604將協定緩衝安全符記回傳至裝置602。
現在參考圖7,依照各種觀點,闡明例子系統700。在觀點中,系統700可包括裝置702,配置裝置702經由網路704請求安全符記。裝置702將包括憑證資訊之符記請求傳輸至閘道設備706。閘道設備採用憑證資訊為由WS-Trust構件710所實行之WS-Trust與安全伺服器712交換之部分。安全伺服器712包括安全符記服務714以及目錄伺服器716。安全符記服務714可發佈、更新或使安全符記生效。
根據例子,安全符記服務714且/或安全伺服器712不保存對應於憑證資訊之帳號資訊。因此,安全符記服務714將認證委任給目錄伺服器716,其存取外部識別供應器718以使憑證資訊生效。一旦生效,安全符記服務714可發佈安全符記以及將符記回傳至閘道設備706之WS-Trust構件710。
在另一觀點中,來自安全符記服務714之安全符記可以是SAML符記。因此,閘道設備包括轉換器708,配置轉換器708將SAML安全符記轉譯為協定緩衝安全符記。閘道設備706可經由網路704將協定緩衝安全符記回傳至裝置702。
參考圖8,闡明用於與陌生安全網域橋接之方法800。在802,由裝置獲得符記請求。在804,採用符記請求將第二符記請求傳輸至外部識別供應器。在觀點中,第一符記請求可以是裝置所利用之協定緩衝格式,第二符記請求可以是詳細說明於藉由網路服務以及企業系統所利用之WS-Trust標準中的XML格式。在806,由外部識別供應器接收安全符記。在例子中,安全符記可以是SAML安全符記。然而,所察知的是,可將安全符記格式化為Kerberos票、X.509符記或相似者。在808,將所接收的安全符記轉換為裝置可辨識的格式。根據觀點,可辨識的格式可以是安全符記之協定緩衝編碼。在810,將安全符記之協定緩衝編碼傳送至裝置。
為了提供用於實施所主張主題的各種觀點之額外上下文,圖9以及圖10以及下列討論意圖提供合適的計算環境之簡短的、一般的描述,其可實施主題創新的各種觀點。例如,可在如此合適的計算環境中實施主機應用與可延伸的框架。當以上描述是在本地電腦且/或遠端電腦運行之電腦程式之電腦可執行指令的一般上下文,熟習該項技術者將辨識到亦可結合其他程式模組以實施主題創新。一般而言,程式模組包括常式、程式、構件、資料結構等等,實行特別的作業且/或實施特別的抽象資料形式。
一般而言,程式模組包括常式、程式、構件、資料結構等等,實行特別的作業且/或實施特別的抽象資料形式。並且,熟習該項技術者將察知到所主張主題可與其他電腦系統配置施行,包括單處理器或多處理器電腦系統、迷你電腦、大型電腦主機與個人電腦、手提式計算裝置、以微處理器為基礎的或可程式化的消費性電子產品以及相似者,可將其各操作性地耦接至一個或更多的相關裝置。
亦可在分散式計算環境中施行所闡明觀點,其中藉由透過通訊網路連結之遠端處理裝置實行某些作業。在分散式計算環境中,電腦模組可位於本地以及遠端記憶體儲存裝置兩者。
典型而言,計算裝置包括種種媒體,其可包括電腦可讀取儲存媒體且/或通訊媒體,其如下於此所使用的兩項彼此不同。電腦可讀取儲存媒體可以是任何可用的儲存媒體,可藉由電腦來存取,包括揮發性以及非揮發性媒體、可移除性以及不可移除性媒體兩者。通過例子而非限制,可實施與用於資訊儲存之任何方法或技術有關的電腦可讀取儲存媒體,像是電腦可讀取指令、程式模組、結構化資料或非結構化資料。電腦可讀取儲存媒體可包括但不限於RAM、ROM、EEPROM(Electrically Erasable Programmable Read Only Memory,電子式可抹除可程式化唯讀記憶體)、快閃記憶體或其他記憶體技術,CD-ROM、數位多功能光碟(DVD)或其他光碟儲存器,磁盒、磁帶、磁碟儲存器或其他磁性儲存裝置,或其他有形且/或非暫時性媒體,其可用以儲存所欲之資訊。可藉由一個或更多的本地或遠端計算裝置以存取電腦可讀取儲存媒體,例如,經由存取請求、查詢或用於種種關於藉由媒體所儲存的資訊操作之其他資料檢索協定。
典型而言,通訊媒體概括像是模組化資料訊號的資料訊號中之電腦可讀取指令、資料結構、程式模組或其他結構化或非結構化資料,例如,載波或其他傳達機制,以及包括任何資訊遞送或傳達媒體。「模組化資料訊號」項或訊號參考具有一個或更多的其特徵組之訊號或以如此方式變化以致在一個或更多的訊號中編碼資訊。通過例子而非限制,通訊媒體包括有線媒體,像是有線網路或直接線連接以及無線媒體,像是聲波、RF(Radio Frequency,射頻)、紅外線以及其他無線媒體。
現在參考圖9,有闡明可操作的示範性電腦編譯系統以執行所揭示架構之方塊圖式。系統900包括一個或更多的用戶902。用戶902可以是硬體且/或軟體(例如,執行緒、程序、計算裝置)。在例子中,藉由採用一個或更多之於此所述的特色,用戶902可儲藏小型文字檔案且/或相關上下文的資訊。
系統900亦可包括一個或更多的伺服器904。伺服器904亦可以是硬體且/或軟體(例如,執行緒、程序、計算裝置)。在例子中,藉由採用一個或更多之於此所述的特色,伺服器904可儲藏執行緒以實行轉變。在用戶902以及伺服器904之間可能的通訊可以是配接以在兩個或更多電腦程序之間傳送的資料封包格式。例如,資料封包可包括小型文字檔案且/或相關上下文的資訊。系統900包括通訊框架906(例如,全球通訊網路,像是網際網路),可用以促進用戶902與伺服器904之間的通訊。
可經由有線(包括光纖)且/或無線技術來促進通訊。將用戶902操作性地連接至一個或更多的用戶資料儲存器908,可用以儲存用戶902本地資訊(例如,小型文字檔案且/或相關上下文的資訊)。同樣地,將伺服器904操作性地連接至一個或更多的伺服器資料儲存器910,可用以儲存伺服器904本地資訊。
參照圖10,用於實施於此所述各種觀點之示範性環境1000包括電腦1002,電腦1002包括處理單元1004、系統記憶體1006以及系統匯流排1008。系統匯流排1008耦接至系統構件,包括但不限於系統記憶體1006至處理單元1004。處理單元1004可以是任何各種商用之處理器。雙微處理器以及其他多處理器架構亦可用作處理單元1004。
系統匯流排1008可以是數個匯流排結構的任何形式,可進一步與記憶體匯流排(具備或不具備記憶體控制器)、週邊匯流排以及使用種種商用匯流排架構之本地匯流排互相連接。系統記憶體1006包括唯讀記憶體(ROM)1010以及隨機存取記憶體(RAM)1012。將基本輸入/輸出系統(Basic Input/Output System,BIOS)儲存至非揮發性記憶體1010,像是ROM、EPROM(Erasable Programmable Read Only Memory,可抹除可程式化唯讀記憶體)、EEPROM,其BIOS包含基本常式,有助於在電腦1002內元件之間轉移資訊,像是啟動期間。RAM 1012亦可包括高速RAM,像是用於快取資料之靜態隨機存取記憶體(Static RAM)。
電腦1002進一步包括內部硬碟機(Hard Disk Drive,HDD)1014(例如,EIDE(Enhanced Integrated Drive Electronics,增強整合驅動電子)、SATA(Serial Advanced Technology Attachment,序列式先進技術附件)),其亦可配置內部硬碟機1014在合適的外殼(未繪示)中用於外部使用、磁性軟碟機(Floppy Disk Drive,FDD)1016、(例如,讀取或寫入可移除式磁片1018)以及光碟機1020、(例如,讀取CD-ROM碟片1022或、讀取或寫入其他像是DVD之高容量光學媒體)。藉由硬碟機介面1024、磁碟機介面1026以及光碟機介面1028,可分別將硬碟機1014、磁碟機1016以及光碟機1020連接至系統匯流排1008。用於外部驅動實施之介面1024包括通用序列匯流排(USB)以及IEEE-1394(Institute of Electrical and Electronics Engineers-1394,電機電子工程師學會-1394)介面技術之至少一或兩者。其他外部驅動連接技術是在所揭示主題研究之內。
磁碟機及其相關電腦可讀取媒體提供資料之非揮發性儲存、資料結構、電腦可執行指令等等。用於電腦1002,磁碟機以及媒體能容納以合適的數位格式之任何資料儲存。雖然以上電腦可讀取媒體之描述參考HDD、可移除式磁片以及可移除式光學媒體,像是CD(Compact Disk,光碟)或DVD,熟習該項技術者應察知到電腦可讀取媒體的其他形式,像是壓縮磁碟機、磁盒、快閃記憶卡、卡匣以及相似者,亦可用於示範性操作環境,再者,任何如此媒體可包含用於實行於此所述方法的電腦可執行指令。
可將幾個程式模組儲存於磁碟機以及RAM 1012,包括作業系統1030、一個或更多之應用程式1032、其他程式模組1034以及程式資料1036。亦可將全部或部分之作業系統、應用、模組且/或資料快取於RAM 1012。所察知的是,可將所主張主題與各種商用作業系統或作業系統之結合實施。
透過一個或更多的有線/無線輸入裝置,像是鍵盤1038以及指向裝置,像是滑鼠1040,使用者可將命令以及資訊鍵入至電腦1002。其他輸入裝置(未繪示)可包括麥克風、IR(Infrared Ray,紅外線)遠端控制、搖桿、遊戲平板、觸控筆、觸控式螢幕或相似者。透過輸入裝置介面1042,經常將這些以及其他輸入裝置連接至處理單元1004,耦接至系統匯流排1008,但可藉由其他介面連接,像是平行埠、序列埠、IEEE-1394埠、遊戲埠、USB埠、IR介面等等。
經由介面,像是視訊配接器1046,亦將顯示器1044或其他形式的顯示裝置連接至系統匯流排1008。除了顯示器1044之外,典型而言,電腦包括其他週邊輸出裝置(未繪示),像是喇叭、印表機等等。
經由有線且/或無線通訊,電腦1002可操作在網路環境中,使用邏輯連接至一個或更多的遠端電腦,像是遠端電腦1048。雖然為了簡潔的目的,僅闡明記憶體/儲存裝置1050,但是遠端電腦1048可以是工作站、伺服器電腦、路由器、個人電腦、可攜式電腦、以微處理器為基礎之娛樂配備、對等裝置或其他常見網路節點,典型而言,包括許多或全部與電腦1002有關之所述元件。所描寫的邏輯連接包括有線/無線連接至區域網路(LAN)1052且/或更寬廣的網路,例如,廣域網路(WAN)1054。如此LAN以及WAN網路環境在辦公室以及公司是司空見慣之事,促進泛企業電腦網路,像是內部網路,其全部可連接至全球通訊網路,例如,網際網路。
當用於LAN網路環境,透過有線且/或無線通訊網路介面或配接器1056,將電腦1002連接至本地網路1052。配接器1056可促進至LAN 1052之有線或無線通訊,其亦可包括用於與無線配接器1056通訊之裝配於其上的無線存取點。
當用於WAN網路環境,電腦1002可包括數據機1058、或將電腦1002連接至在WAN 1054之通訊伺服器或具有用於建立WAN 1054上的通訊之其他器具,像是藉由網際網路。經由序列埠介面1042,將可以是內部或外部以及有線或無線裝置之數據機1058連接至系統匯流排1008。在網路環境中,可將所描寫關於電腦1002之程式模組或其部分儲存於遠端記憶體/儲存裝置1050。將察知的是,所示的網路連接是示範性的,以及可使用建立在電腦之間通訊連結的其他器具。
電腦1002是可操作的以與任何無線裝置或實體通訊,操作性地裝配於無線通訊中,例如,印表機、掃描器、桌上型且/或可攜式電腦、可攜式資料助理、通訊衛星、與無線可偵測標籤有關的任何裝備或位置(例如,互動式多媒體資訊站、報攤、廁所)以及電話。此至少包括Wi-Fi(Wireless Fidelity,無線保真度)以及藍牙(BluetoothTM)無線技術。從而,通訊可以是與習知網路預先定義的結構或簡化至少在兩裝置之間的隨意通訊。
Wi-Fi或無線保真度是無線技術,相似於用於在基地台範圍內之任何地方啟動裝置以傳輸以及接收資料的行動電話。Wi-Fi網路使用IEEE-802.11(a、b、g等等)無線電技術以提供安全的、可靠的以及快速的無線連接。Wi-Fi網路可用以電腦互連、連接至網際網路以及有線網路(其使用IEEE-802.3或乙太網路(Ethernet))。例如,Wi-Fi網路操作於未得到許可之2.4以及5GHz(Giga Hertz,十億赫茲)無線電頻帶,13Mbps(Megabyte Per Second,每秒百萬位元組)(802.11a)或54Mbps(802.11b)資料速率或包含兩頻帶(雙頻帶)之產品。從而,使用Wi-Fi無線技術之網路可提供相似於10BaseT有線乙太網路之真實世界效能。
如於此所利用,「構件」、「系統」、「產生器」、「模組」、「節點」、「框架」、「應用」、「轉譯」這些項以及相似者,意圖參考電腦相關實體或固態電子,硬體、軟體(例如,執行)且/或韌體。例如,構件可以是運行在處理器的程序、處理器、物件、可執行的、程式且/或電腦。通過闡明,運行在伺服器的應用以及伺服器兩者可以是構件。一個或更多的構件可常駐在程序以及構件內,可位於電腦且/或分散於兩個或更多的電腦之間。此外,構件可以是硬體或固態電子,像是電路、半導體裝置等等。
並且,「示範性」此字用於此以意指作為例子、實例或闡明。於此所述之任何觀點或設計如「示範性」無須理解為較佳的或優於其他觀點或設計。更確切地說,使用示範性此字意圖以具象的樣子來表現觀念。如用於本申請案,「或」此項意圖意指包括的「或」而非互斥的「或」。那就是說,除非特定或由上下文是清晰的,否則「X採用A或B」意圖意指任何自然包括置換。那就是說,如果X採用A;X採用B或X採用A以及B兩者,那麼在任何前述實例之下,「X採用A或B」是滿足的。此外,一般而言,除非特定或由上下文是清晰的指向單一格式,否則用於本申請案以及隨附申請專利範圍之冠詞「a」或「an」應理解為意指「一個或更多的」。
以上已經描述的包括所揭示主題觀點的例子。當然,不可能描述每一個可想像的構件組合或用於描述所揭示主題目的之方法,但是一般技藝人士可認識到許多進一步所揭示主題之組合以及置換是可能的。因此,所揭示主題意圖囊括落在隨附申請專利範圍內的精神以及範圍之所有如此變更、修改以及變動。再者,用於實施方式或申請專利範圍,延伸「包括」、「具備」、「具有」這些項或其變動,如此項意圖包括相似於「包含」此項之方式,如將「包含」詮釋為當用於申請專利範圍之過渡詞。
100...系統
110...請求者
120...安全設備
122...協定緩衝構件
124...安全符記服務
130...符記請求
140...安全符記
200...系統
210...請求者
212...使用者介面
214...協定緩衝
216...密碼構件
218...存取控制構件
220...安全設備
222...密碼構件
224...協定緩衝
226...認證構件
227...資料儲存器
228...符記產生構件
230...符記請求
232...已簽署符記請求
234...符記請求
240...安全符記
242...已簽署安全符記
244...安全符記
300...方法
400...系統
402...嵌入式裝置
404...處理單元
406...系統記憶體
408...ROM
410...RAM
412...持續性儲存器
414...應用
416...作業系統
418...使用者介面
420...機器介面
422...網路配接器
424...匯流排
426...整合化安全構件
500...系統
502...安全設備
504...裝置
506...網路
508...裝置
510...裝置
512...裝置
600...系統
602...裝置
604...網路
606...安全設備
608...閘道構件
610...轉換器
612...外部識別供應器
700...系統
702...裝置
704...網路
706...閘道設備
708...轉換器
710...WS-Trust構件
712...安全伺服器
714...安全符記服務
716...目錄伺服器
718...外部識別供應器
800...方法
900...系統
902...用戶
904...伺服器
906...通訊框架
908...用戶資料儲存器
910...伺服器資料儲存器
1000...環境
1002...電腦
1004...處理單元
1006...系統記憶體
1008...系統匯流排
1010...ROM或非揮發性記憶體
1012...RAM
1014...硬碟機
1016...磁性軟碟機
1018...可移除式磁片
1020...光碟機
1022...CD-ROM碟片
1024...硬碟機介面
1026...磁碟機介面
1028...光碟機介面
1030...作業系統
1032...應用程式
1034...程式模組
1036...程式資料
1038...鍵盤
1040...滑鼠
1042...輸入裝置介面或序列埠介面
1044...顯示器
1046...視訊配接器
1048...遠端電腦
1050...記憶體/儲存裝置
1052...區域網路(LAN)
1054...廣域網路(WAN)
1056...配接器
1058...數據機
圖1闡明依照各種觀點,採用安全符記服務以發佈、更新以及使安全符記生效之例子系統的方塊圖。
圖2闡明例子系統的方塊圖,其採用安全符記服務依照各種觀點來識別以及認證使用者。
圖3闡明例子方法的流程圖,依照各種觀點,用於認證使用者以及發佈依照各種觀點的安全符記。
圖4闡明嵌入式裝置之方塊圖,根據一個或更多的觀點,利用安全符記服務以識別以及認證裝置的使用者。
圖5闡明例子系統的方塊圖,依照各種觀點,包括提供發佈、更新以及使安全符記生效之網路配備。
圖6闡明根據一個或更多的觀點,包括閘道至外部識別提供者之例子系統的方塊圖。
圖7闡明例子系統的方塊圖,依照各種觀點,包括閘道至與外部識別提供者互動之安全伺服器。
圖8闡明依照各種觀點,用於橋接陌生安全網域之例子方法的流程圖。
圖9闡明根據觀點之示範性計算環境之方塊圖式。
圖10闡明電腦可操作的以執行所揭示觀點之方塊圖。
100...系統
110...請求者
120...安全設備
122...協定緩衝構件
124...安全符記服務
130...符記請求
140...安全符記
Claims (20)
- 一種設備,包含:協定緩衝構件,配置以:接收來自請求者之表示具有憑證資訊的符記請求之第一列位元組;將該第一位元組反序列化為保存該憑證資訊之符記請求協定訊息物件,其中該符記請求協定訊息物件係依照協定緩衝定義格式化;轉換該符記請求協定訊息物件為具有和外部實體相關的第二符記請求協定訊息物件;以及安全符記服務,配置成:將該第二符記請求協定訊息物件傳輸至該外部實體;接收來自該外部實體之具有未依照該協定緩衝定義格式化之表示之第一協定緩衝安全符記;轉換該第一協定緩衝安全符記為依照該協定緩衝定義而結構化之第二協定緩衝安全符記;將該第二協定緩衝安全符記序列化為第二列位元組;以及傳遞該第二列位元組作為對該符記請求之回應。
- 如申請專利範圍第1項之設備,其中該協定緩衝定義為程式語言中性、執行平台中性並且可延伸的。
- 如申請專利範圍第1項之設備,進一步包含密碼構件,配置以核對隨附於該符記請求之數位簽章。
- 如申請專利範圍第3項之設備,其中該密碼構件係進一步配置以數位化簽署該第一協定緩衝安全符記。
- 如申請專利範圍第1項之設備,進一步包含協定緩衝編譯器,其配置以編譯該協定緩衝定義為序列化機制,該序列化機制係配置以序列化符記請求協定訊息物件為多列位元組。
- 如申請專利範圍第1項之設備,其中該格式為依照WS-Trust規格之可延伸標記語言表示。
- 如申請專利範圍第1項之設備,進一部包含協定緩衝編譯器,其配置以編譯該協定緩衝定義為反序列化機制,該反序列化機制係配置以反序列化多列位元組為符記請求協定訊息物件。
- 如申請專利範圍第1項之設備,進一步包含協定緩衝編譯器,其配置以編譯該協定緩衝定義為資料存取機制,該資料存取機制係配置以在符記請求協定訊息物件中存取資料。
- 如申請專利範圍第1項之設備,其中該安全符記構件進一步包含認證構件,配置以利用儲存帳號資訊之資料儲存器使該憑證資訊生效。
- 如申請專利範圍第1項之設備,其中該請求者係工業自動化環境中之工業自動化裝置。
- 一種工業自動化裝置,佈署在工業自動化環境中,具有整合於其中之申請專利範圍第1項之設備。
- 一種方法,包含: 獲得呈現為一列位元組之符記請求,其包括待認證之憑證資訊;將該列位元組反序列化以獲得依照協定緩衝定義而結構化之物件呈現的該符記請求;藉由該裝置來轉換依照該協定緩衝定義所結構化之該符記請求為具有和外部實體相關的格式之第二符記請求;藉由該裝置來傳輸該第二符記請求至該外部實體;藉由該裝置以接收來自該外部實體之具有未依照該協定緩衝定義格式化之表示之第一安全符記;藉由該裝置來轉換該第一安全符記為依照該協定緩衝定義所結構化之第二安全符記;將該安全符記序列化為位元組串流;以及傳遞該位元組串流作為對該符記請求之回應。
- 如申請專利範圍第12項之方法,進一步包含核對隨附於該符記請求之數位簽章。
- 如申請專利範圍第12項之方法,進一步包含:由該符記請求提取該憑證資訊;並且對照具有帳號資訊之資料儲存器使該憑證資訊生效。
- 如申請專利範圍第12項之方法,進一步包含編譯該協定緩衝定義為序列化機制,其配置以序列化依照該協定緩衝定義所結構化之物件為多列位元組。
- 如申請專利範圍第12項之方法,進一步包含藉由該裝置編譯該協定緩衝定義為反序列化機制,其配置以反序列化位元組串流為依照該協定緩衝定義所結構化之物件。
- 如申請專利範圍第12項之方法,其中該協定緩衝定義為程序語言中性、執行平台中性並且可延伸的。
- 如申請專利範圍第12項之方法,其中該格式為依照WS-Trust規格之可延伸標記語言表示。
- 如申請專利範圍第12項之方法,進一步包含編譯該協定緩衝定義為資料存取機制,其配置以在依照該協定緩衝定義所結構化之物件中存取資料。
- 一種工業自動化設備,包含:使用者介面,配置以向使用者顯示圖形化使用者介面以及由該使用者獲得輸入資訊;安全構件,包含:認證構件,配置以使憑證資訊生效;以及安全符記服務,配置以至少部分基於來自該認證構件之認證結果發佈安全符記;以及存取控制構件,配置以至少部分基於該安全符記作出存取控制決策。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/905,676 US8504837B2 (en) | 2010-10-15 | 2010-10-15 | Security model for industrial devices |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201239806A TW201239806A (en) | 2012-10-01 |
| TWI517085B true TWI517085B (zh) | 2016-01-11 |
Family
ID=44872213
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW100137493A TWI517085B (zh) | 2010-10-15 | 2011-10-17 | 用於工業裝置之安全模型 |
Country Status (4)
| Country | Link |
|---|---|
| US (3) | US8504837B2 (zh) |
| EP (1) | EP2442528A1 (zh) |
| CN (2) | CN102457378B (zh) |
| TW (1) | TWI517085B (zh) |
Families Citing this family (52)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110046754A1 (en) * | 2003-09-25 | 2011-02-24 | Rockwell Software, Inc. | Industrial hmi automatically customized based upon inference |
| JPWO2011115249A1 (ja) * | 2010-03-19 | 2013-07-04 | 株式会社日立国際電気 | 基板処理装置 |
| US20120227098A1 (en) * | 2011-03-03 | 2012-09-06 | Microsoft Corporation | Sharing user id between operating system and application |
| US9264237B2 (en) * | 2011-06-15 | 2016-02-16 | Microsoft Technology Licensing, Llc | Verifying requests for access to a service provider using an authentication component |
| US9385979B1 (en) * | 2012-03-23 | 2016-07-05 | Google Inc. | Customizing posts by activity type and client type |
| US10084818B1 (en) | 2012-06-07 | 2018-09-25 | Amazon Technologies, Inc. | Flexibly configurable data modification services |
| US10075471B2 (en) | 2012-06-07 | 2018-09-11 | Amazon Technologies, Inc. | Data loss prevention techniques |
| US9590959B2 (en) | 2013-02-12 | 2017-03-07 | Amazon Technologies, Inc. | Data security service |
| US9286491B2 (en) | 2012-06-07 | 2016-03-15 | Amazon Technologies, Inc. | Virtual service provider zones |
| US8819841B2 (en) | 2012-06-26 | 2014-08-26 | Google Inc. | Automated accounts for media playback |
| DE102012214018B3 (de) * | 2012-08-07 | 2014-02-13 | Siemens Aktiengesellschaft | Autorisierung eines Nutzers durch ein tragbares Kommunikationsgerät |
| US9367697B1 (en) | 2013-02-12 | 2016-06-14 | Amazon Technologies, Inc. | Data security with a security module |
| US9300464B1 (en) | 2013-02-12 | 2016-03-29 | Amazon Technologies, Inc. | Probabilistic key rotation |
| US10211977B1 (en) | 2013-02-12 | 2019-02-19 | Amazon Technologies, Inc. | Secure management of information using a security module |
| US10467422B1 (en) | 2013-02-12 | 2019-11-05 | Amazon Technologies, Inc. | Automatic key rotation |
| US10210341B2 (en) | 2013-02-12 | 2019-02-19 | Amazon Technologies, Inc. | Delayed data access |
| US9705674B2 (en) | 2013-02-12 | 2017-07-11 | Amazon Technologies, Inc. | Federated key management |
| US9832171B1 (en) * | 2013-06-13 | 2017-11-28 | Amazon Technologies, Inc. | Negotiating a session with a cryptographic domain |
| CA2936358C (en) * | 2014-02-07 | 2021-09-07 | Oracle International Corporation | Mobile cloud service architecture |
| US9529658B2 (en) | 2014-02-07 | 2016-12-27 | Oracle International Corporation | Techniques for generating diagnostic identifiers to trace request messages and identifying related diagnostic information |
| SG11201604890WA (en) | 2014-02-07 | 2016-08-30 | Oracle Int Corp | Cloud service custom execution environment |
| US9529657B2 (en) | 2014-02-07 | 2016-12-27 | Oracle International Corporation | Techniques for generating diagnostic identifiers to trace events and identifying related diagnostic information |
| ES2784137T3 (es) * | 2014-02-10 | 2020-09-22 | Deutsche Telekom Ag | Método para la prestación de servicios de control externos en una red |
| CA2936503C (en) | 2014-03-31 | 2021-01-19 | Oracle International Corporation | Infrastructure for synchronization of mobile device with mobile cloud service |
| JPWO2015162760A1 (ja) * | 2014-04-24 | 2017-04-13 | 三菱電機株式会社 | Plcユニット及びプログラマブルロジックコントローラ |
| US9397835B1 (en) | 2014-05-21 | 2016-07-19 | Amazon Technologies, Inc. | Web of trust management in a distributed system |
| US9438421B1 (en) | 2014-06-27 | 2016-09-06 | Amazon Technologies, Inc. | Supporting a fixed transaction rate with a variably-backed logical cryptographic key |
| CN104270257B (zh) * | 2014-09-10 | 2017-11-07 | 烽火通信科技股份有限公司 | 基于pb和xpath的网元级网管业务配置适配系统及方法 |
| US9866392B1 (en) | 2014-09-15 | 2018-01-09 | Amazon Technologies, Inc. | Distributed system web of trust provisioning |
| US10063661B2 (en) | 2015-01-14 | 2018-08-28 | Oracle International Corporation | Multi-tenant cloud-based queuing systems |
| US10075450B2 (en) | 2015-05-29 | 2018-09-11 | Rockwell Automation Technologies, Inc. | One time use password for temporary privilege escalation in a role-based access control (RBAC) system |
| US9688225B2 (en) * | 2015-10-09 | 2017-06-27 | Livio, Inc. | Methods and systems for a mobile device to emulate a vehicle human-machine interface |
| US9509684B1 (en) * | 2015-10-14 | 2016-11-29 | FullArmor Corporation | System and method for resource access with identity impersonation |
| US9762563B2 (en) * | 2015-10-14 | 2017-09-12 | FullArmor Corporation | Resource access system and method |
| US9848064B2 (en) | 2015-11-05 | 2017-12-19 | International Business Machines Corporation | Generation and distribution of named, definable, serialized tokens |
| US10318247B2 (en) * | 2016-03-18 | 2019-06-11 | Ford Global Technologies, Llc | Scripting on a telematics control unit |
| CN109074265B (zh) | 2016-03-28 | 2020-06-09 | 甲骨文国际公司 | 移动云服务的预先形成的指令 |
| US10715514B1 (en) * | 2016-12-07 | 2020-07-14 | Amazon Technologies, Inc. | Token-based credential renewal service |
| US10673862B1 (en) * | 2016-12-07 | 2020-06-02 | Amazon Technologies, Inc. | Token-based access tracking and revocation |
| US10666657B1 (en) | 2016-12-07 | 2020-05-26 | Amazon Technologies, Inc. | Token-based access control and grouping |
| US10965457B2 (en) | 2018-03-14 | 2021-03-30 | Microsoft Technology Licensing, Llc | Autonomous cross-scope secrets management |
| US10819701B2 (en) * | 2018-03-14 | 2020-10-27 | Microsoft Technology Licensing, Llc | Autonomous secrets management for a managed service identity |
| US11762980B2 (en) * | 2018-03-14 | 2023-09-19 | Microsoft Technology Licensing, Llc | Autonomous secrets renewal and distribution |
| US11086738B2 (en) | 2018-04-24 | 2021-08-10 | EMC IP Holding Company LLC | System and method to automate solution level contextual support |
| US10848477B2 (en) * | 2018-05-09 | 2020-11-24 | Schlage Lock Company Llc | Utilizing caveats for wireless credential access |
| CN109150528A (zh) * | 2018-11-07 | 2019-01-04 | 杭州海兴电力科技股份有限公司 | 一种电表数据访问方法、装置、设备及可读存储介质 |
| US11102002B2 (en) * | 2018-12-28 | 2021-08-24 | Dell Products, L.P. | Trust domain isolation management in secured execution environments |
| US11206139B2 (en) | 2019-03-06 | 2021-12-21 | Servicenow, Inc. | System and method for electronic signatures as a service |
| US11301557B2 (en) * | 2019-07-19 | 2022-04-12 | Dell Products L.P. | System and method for data processing device management |
| CN113127821B (zh) * | 2019-12-31 | 2024-08-02 | 远景智能国际私人投资有限公司 | 身份验证方法、装置、电子设备及存储介质 |
| US11522833B2 (en) * | 2020-06-05 | 2022-12-06 | Rockwell Automation Technologies, Inc. | User security credentials as an element of functional safety |
| US11818102B2 (en) * | 2021-04-16 | 2023-11-14 | Nokia Technologies Oy | Security enhancement on inter-network communication |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7178163B2 (en) | 2002-11-12 | 2007-02-13 | Microsoft Corporation | Cross platform network authentication and authorization model |
| US7412723B2 (en) | 2002-12-31 | 2008-08-12 | International Business Machines Corporation | Method and system for morphing honeypot with computer security incident correlation |
| US20040128542A1 (en) * | 2002-12-31 | 2004-07-01 | International Business Machines Corporation | Method and system for native authentication protocols in a heterogeneous federated environment |
| US20060005234A1 (en) * | 2004-06-30 | 2006-01-05 | International Business Machines Corporation | Method and apparatus for handling custom token propagation without Java serialization |
| US7657932B2 (en) * | 2004-07-14 | 2010-02-02 | Microsoft Corporation | Extendible security token management architecture and secure message handling methods |
| US7509489B2 (en) * | 2005-03-11 | 2009-03-24 | Microsoft Corporation | Format-agnostic system and method for issuing certificates |
| CN100461690C (zh) * | 2005-07-21 | 2009-02-11 | 华为技术有限公司 | 通用网管安全管理系统及其方法 |
| DE102005046166A1 (de) * | 2005-09-27 | 2007-03-29 | Siemens Ag | Verfahren bzw. System zur Darstellung einer Internetseite auf einer Visualisierungseinrichtung einer industriellen Automatisierungseinrichtung |
| US20080235258A1 (en) | 2007-03-23 | 2008-09-25 | Hyen Vui Chung | Method and Apparatus for Processing Extensible Markup Language Security Messages Using Delta Parsing Technology |
| US7934252B2 (en) | 2007-06-29 | 2011-04-26 | International Business Machines Corporation | Filtering technique for processing security measures in web service messages |
| EP2194481A4 (en) * | 2007-09-25 | 2014-12-10 | Nec Corp | CERTIFICATE CREATION / DISTRIBUTION SYSTEM, CERTIFICATE CREATION / DISTRIBUTION PROCESS AND CERTIFICATE CREATION / DISTRIBUTION PROGRAM |
| US8196177B2 (en) * | 2008-10-16 | 2012-06-05 | International Business Machines Corporation | Digital rights management (DRM)-enabled policy management for a service provider in a federated environment |
| CN102342127A (zh) | 2009-01-28 | 2012-02-01 | 诺基亚公司 | 用于视频编码和解码的方法和装置 |
| US8375211B2 (en) * | 2009-04-21 | 2013-02-12 | International Business Machines Corporation | Optimization of signing soap body element |
| US8522335B2 (en) * | 2009-12-01 | 2013-08-27 | International Business Machines Corporation | Token mediation service in a data management system |
-
2010
- 2010-10-15 US US12/905,676 patent/US8504837B2/en active Active
-
2011
- 2011-10-17 TW TW100137493A patent/TWI517085B/zh not_active IP Right Cessation
- 2011-10-17 CN CN201110323926.0A patent/CN102457378B/zh active Active
- 2011-10-17 EP EP11185481A patent/EP2442528A1/en not_active Withdrawn
- 2011-10-17 CN CN201510204744.XA patent/CN104869114B/zh active Active
-
2013
- 2013-07-03 US US13/934,701 patent/US9043600B2/en active Active
-
2015
- 2015-04-22 US US14/693,376 patent/US9386015B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20150229640A1 (en) | 2015-08-13 |
| US20120096272A1 (en) | 2012-04-19 |
| CN104869114B (zh) | 2018-10-16 |
| US9386015B2 (en) | 2016-07-05 |
| CN104869114A (zh) | 2015-08-26 |
| US9043600B2 (en) | 2015-05-26 |
| US20130298217A1 (en) | 2013-11-07 |
| US8504837B2 (en) | 2013-08-06 |
| EP2442528A1 (en) | 2012-04-18 |
| CN102457378A (zh) | 2012-05-16 |
| CN102457378B (zh) | 2015-05-13 |
| TW201239806A (en) | 2012-10-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI517085B (zh) | 用於工業裝置之安全模型 | |
| JP7457173B2 (ja) | モノのインターネット(iot)デバイスの管理 | |
| US10972290B2 (en) | User authentication with self-signed certificate and identity verification | |
| US11489678B2 (en) | Platform attestation and registration for servers | |
| TWI715338B (zh) | 用於配置用於區塊鏈網路的基於現場可程式化閘陣列的可信執行環境的方法、系統和裝置 | |
| CN107409118B (zh) | 可信执行环境与外围设备之间的信任建立 | |
| US10164963B2 (en) | Enforcing server authentication based on a hardware token | |
| US10187373B1 (en) | Hierarchical, deterministic, one-time login tokens | |
| US8468361B2 (en) | System and method for securely provisioning and generating one-time-passwords in a remote device | |
| US10609070B1 (en) | Device based user authentication | |
| CN106716957A (zh) | 高效且可靠的认证 | |
| US12132723B2 (en) | Security profile management for multi-cloud agent registration with multi-tenant, multi-cell service | |
| US11368291B2 (en) | Mutually authenticated adaptive management interfaces for interaction with sensitive infrastructure | |
| CN115473648B (zh) | 一种证书签发系统及相关设备 | |
| Khalil et al. | TPM-based authentication mechanism for apache hadoop | |
| KR20210060282A (ko) | 하드웨어 보안 모듈을 이용한 클라우드를 통한 IoT(Internet of Thing) 디바이스 인증 시스템 및 방법 | |
| Tuan et al. | A blockchain-based authentication and access control for smart devices in sdn-enabled networks for metaverse | |
| KR101836211B1 (ko) | 전자 기기 인증 매니저 장치 | |
| KR20200084388A (ko) | Intel SGX를 사용한 투명하고 안전한 IoT 게이트웨이 연결법 | |
| EP4320607A1 (en) | Pacs modification to incorporate lacs authentication | |
| CN106919846B (zh) | 一种消息中间件处理方法和系统 | |
| Hongbin et al. | Security policy configuration analysis for web services on heterogeneous platforms | |
| US20230403138A1 (en) | Agentless single sign-on techniques | |
| Gimenez et al. | Securing an interoperability architecture for home and urban networking: implementation of the security aspects in the INREDIS interoperability architecture | |
| KR101952925B1 (ko) | 이종 플랫폼 간 통신 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |