WO2017121602A1 - Verfahren zur überprüfung einer sicherheitseinstufung eines ersten geräts mit hilfe eines digitalen zertifikats, ein erstes und zweites gerät sowie eine zertifikat-ausstellungsvorrichtung - Google Patents

Verfahren zur überprüfung einer sicherheitseinstufung eines ersten geräts mit hilfe eines digitalen zertifikats, ein erstes und zweites gerät sowie eine zertifikat-ausstellungsvorrichtung Download PDF

Info

Publication number
WO2017121602A1
WO2017121602A1 PCT/EP2016/082310 EP2016082310W WO2017121602A1 WO 2017121602 A1 WO2017121602 A1 WO 2017121602A1 EP 2016082310 W EP2016082310 W EP 2016082310W WO 2017121602 A1 WO2017121602 A1 WO 2017121602A1
Authority
WO
WIPO (PCT)
Prior art keywords
security
certificate
identifier
information
digital certificate
Prior art date
Application number
PCT/EP2016/082310
Other languages
English (en)
French (fr)
Inventor
Rainer Falk
Steffen Fries
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to EP16823278.3A priority Critical patent/EP3371955A1/de
Priority to US16/069,202 priority patent/US11134072B2/en
Priority to CN201680078882.0A priority patent/CN108476218A/zh
Publication of WO2017121602A1 publication Critical patent/WO2017121602A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/67Risk-dependent, e.g. selecting a security level depending on risk profiles

Definitions

  • a method for checking a security rating of a first device using a digital certificate, a first and second device and a certificate givessvor ⁇ direction
  • the invention relates to a method for checking a security rating of a first device with the aid of a digital certificate.
  • the invention further relates to a device that is the first and / or as a second device being ⁇ forms, wherein a first device having an ID of the secure ⁇ standardized classification in a digital certificate, and wherein a second device, the identifier of the security classification of the first device can check.
  • the application relates to a certificate issuing device for issuing a digital certificate with an identifier of a security rating, as well as a computer program product for executing the method.
  • Systems and systems are increasingly using components and devices that have to fulfill a certain security rating, also called security level.
  • security level also called security level.
  • Such can certainly ⁇ standardized classifica- as a certification according to criteria such as those described in standards by the International Organization for Standardization (ISO) 15408 (Common Criteria) or the International Electrotechnical Commission (IEC) 62443-3-3 or 62443-4 -2 are obtained.
  • security classifications to requirements or by customer for other certification standards such as NERC CIP (North American Electric Reliability Corporati ⁇ on - Critical Infrastructure Protection) or WIB (The International Instrument Users Association) or Wurldtech be verge ⁇ ben.
  • Certification of the devices is typically important for planning to select suitable components or architectural design.
  • seal or the like may refer to the certi fication ⁇ .
  • a device itself typically has no own awareness about their own security classification and can not pass this on to communication partners.
  • it may be necessary to check whether the safety rating of a device is compatible with the safety classification of the zone in which it is to be integrated.
  • the method according to the invention for checking a security rating of a first device with the aid of a digital certificate comprises sending a digital certificate with a security rating identifier from the first device for authentication to a second device, checking the security rating identifier against a predetermined security rule the second device and ei ⁇ nem execution of security measures according to the result of the review of the security rules.
  • Automation applications are increasingly using digital certificates and associated private keys to authenticate devices.
  • These digital certificates typically have a defined a standard format and contain data about the device, such as its herstel ⁇ ler, type, serial number or information about device-ad- dresses such as the assigned IP address or MAC address.
  • a digital certificate is expandable and is inventively expanded to include an identifier of acontenteinstu ⁇ exam.
  • This extension of the certificate will be added an authentication of the first device additionally evaluated and compared with a predetermined security rule , for example ⁇ a local or a network-wide security policy.
  • a predetermined security rule for example ⁇ a local or a network-wide security policy.
  • the digital certificate with an identifier of the security rating is provided to the first device, in particular during production or commissioning of the first device.
  • a production device can request a certificate with a corresponding identifier of the security classification on behalf of a multiplicity of first devices.
  • the first device does not have to act on its own to obtain a security rating identifier.
  • the method is therefore also applicable to simply structured devices.
  • the first device itself requests an issue of an identifier of theCASeinstu- fung in a digital certificate at a certificate from ⁇ position device.
  • the first device requests an issue of an ID of the security classification in egg nem attribute certificate associated with the digital certificate of the f ⁇ th device to at a certificate builts ⁇ device.
  • the security classification is entered in an attribute certificate
  • the validity period of the attribute certificate may differ from that of the actual certificate.
  • the long-term device digital certificate may be issued, and the certificate attribute with the associated security rating may be issued short-lived or coupled to a particular verification cycle. This is similar to a vehicle registration document which is durable issued and will be reviewed in a fes ⁇ th cycle and re-awarded short-lived or a TÜV certificate or other certification z réelles certificate.
  • the certificate and the associated attribute certificate can also be issued by different issuing agencies.
  • a durable device certificate of a manufacturer can also be extended with an attribute certificate of an Operator Op ⁇ bers. Permitted combinations of various certificate issuing devices are described in, for example, the security guideline.
  • a security message of the first device is transmitted to the certificate issuing device in a request message for issuing the digital certificate. This has the advantage that the conventional process is maintained to the off position ⁇ a digital certificate to advantage.
  • the security information is transmitted directly to the certificate exhibi ⁇ averaging device, where it can be reviewed, or in a separate upstream inspection device and an identifier of the security classification are derived from and inserted in to approve the certificate.
  • the first device determines the security information itself and enters this in the request message.
  • the safety information of the first device can be used, for example, as configuration information in a project Server of a plant and be retrieved from there and inserted into the request message.
  • the security information of the first device provided by a server can deviate from the actual configuration of the first device, for example if the first device was updated or reconfigured between project design and implementation of new software or with new application programs. Therefore, it is advantageous if the first device itself determines the Si ⁇ cherheitsinformation and thus based on the aktu- rush device state.
  • the first device verifies its integrity devices, for example by comparing the determined checksum its firmware with the firmware Referenzprüfsumme at a pre ⁇ see NEN use the certificate.
  • the certificate will only be used upon successful verification by the first device. Characterized that the ERS ⁇ th device digital certificate is only used with the security information by the first device if the device also has the exhibition of the certificate underlying firmware nor by the use of the certificate is attained.
  • the security information is information about the software version, in particular a version of a hash value or a digital signature of the software version or an attestation of the integrity of the software of the first device or an attestation of a configuration of the first device.
  • This has the advantage that the actual software version is used to determine the security rating.
  • software version not only a version of the current software, but also information about the firmware, the implemented applications and the configuration data in general understood.
  • a Certification of software or the configuration may additionally from a trusted authority, such as, a Trusted Platform Module (TPM) made from ⁇ and cryptographically secured and can thus as loading especially reliably and safely accepted.
  • TPM Trusted Platform Module
  • ⁇ formation is inserted into a certificate request message and transmitted to the determination of the security classification of the certificate-issuing apparatus.
  • a time indication is also included, which indicates the time of the integrity check.
  • the certificate issuing device issues a certificate only in the case of a positive inspection result.
  • the certificate issuing device issues a certificate even in the case of a negative check result, which then contains a predetermined value of the identifier of the security rating. If a certificate is only for a positive review of security information, it can nachfol ⁇ quietly accept any authenticated communication, wel ⁇ cher kind, with another second device, the first device. Such a measure is particularly important in high-security zones advantageous because such a device is the first vollkom ⁇ men blocked. If, on the other hand, a certificate having a certain predetermined value for the identifier of the security classification is issued in the case of a negative test result, the second instrument can itself check whether and for what purpose communication with the first instrument is permitted.
  • the identifier of the security classification is inserted as an extension data structure in the digital certificate or as an extension data structure in an attribute certificate, which is the digital certificate zugeord ⁇ net.
  • An extension data structure is provided in the standards for di- gitale certificates and therefore easily usable for the groove ⁇ Zung security classification. For example, by defining an X.509 extension data structure, you can include this extension directly in a X.509 certificate or in an associated Attri ⁇ butzertifikat insert.
  • the identifier of the security rating is a flag that only confirms a successful check.
  • the identifier of the security classification can also be a data structure that contains information about the security information that has been checked. This allows for different accuracy checks of the
  • the extension data structure additionally contains information about the
  • the security policy constitutes the necessary safe ⁇ standardized classification of devices into the overall architecture. By specifying the underlying security policy, it can be checked if the device meets a certain required policy.
  • the identifier of the security classification is checked during a connection setup in a second device, or used in a request for service detection in a network or checked in an auto-configuration of the first device in a security zone of a network or Selection of a network filter rule, also called network policy.
  • An inventive device for operation in a first Appendices ⁇ genkommunikationsnetz includes a determination unit which is formed to a security information ⁇ forward to it. Furthermore, the first device comprises a Anforde ⁇ approximation unit, which is adapted to write thecorein ⁇ formation in a request message and to output the request message to the exhibition of a digital certification ⁇ fikats with an identifier of the security classification.
  • a first device is thus able to request a certificate which, in addition to the usual attributes of the first device, contains a security rating in the form of an identifier or an extension of the standard certificate.
  • the determination unit is designed to determine the security information as information contained in the device itself.
  • information is in particular information about the software status of the first device, preferably a version, a hash value, a digital signature of the software version or an attestation of a configuration of the first device or an attestation of the integrity of the first device or an at ⁇ test a configuration of the first device , This not only makes it possible to check, for example, the software status of the configured device, but also the integrity of the current software version or the configuration of the first device at the time the certificate is requested.
  • An inventive second device comprises a Empfangsein ⁇ integrated, which is adapted to receive a digital certificate with an identifier of the security classification, a check unit, which is adapted to check the identifier of the security classification and an execution unit, which is designed so to performrissaurginah ⁇ men in accordance with a check result according secure ⁇ standardized rules.
  • the second device is formed to the received identifier of the security ⁇ classification of a first device in a Authentisie- tion check to be stabilized or in the context of a request for service discovery in a network or in a case of a connection to the second device request for Konfigurationsda ⁇ th by a first device to be integrated into a safety zone of a network or at a dacasupan- ask for determination of network filtering rules to check.
  • the security classification therefore allows different tasks within a network to be carried out easily in accordance with security rules.
  • a certificate issuing device for issuing a digital certificate with an identification of a security classification contains a checking unit which is designed to check a security information received in a certificate request message against a predefined security policy and an issuing unit that is designed in such a way insert the identification of a security classification determined in the digital certificate.
  • such a certificate-issuing apparatus performs an additional validation of the security information and thus for example of a software object or Configu ⁇ ration of the device relative to a predetermined security policy or configuration data.
  • the certificate issuing unit is designed such that the identifier of Security level as an extension data structure in the digital certificate or in an attribute certificate associated with the digital certificate.
  • the certificate issuing unit which is the identifier of
  • Security classification as an extension data structure confirmed in an attribute certificate may be different from the certificate issue unit issuing the digital certificate of the device. Permitted combinations of different certificate display units are described in the safety guidelines.
  • FIG. 1 shows a system communication network in which the inventive method is executed in a schematic representation
  • FIG. 2 shows an embodiment of the invention
  • FIG. 3 shows a first embodiment for the sequence ei ⁇ ner exhibition of a digital certificate with identification of a security type in a schematic representation
  • Figure 4 shows a second embodiment of the process of issuing a digital certificate with separated verification and certificate issuing device, ⁇
  • Figure 5 shows an embodiment of a first device according to the invention in a block diagram
  • Figure 6 shows an embodiment of a second device according to the invention in a block diagram
  • Figure 7 shows an embodiment of an inventive
  • Certificate exhibition device in block representation.
  • Such security ratings may be awarded by certification based on security standards or customer requirements. This certification of the devices is typically important for the planning, that is for the selection of suitable components or also for the architectural design. Previous devices for example, carry seal or the like, which have this certification through ⁇ . An evaluation and consideration of such assigned security ratings in current processes is currently only possible to a very limited extent.
  • the devices are usually connected to each other via a communication network. Therein, messages are transmitted between servers and the device, for example for configuration or for controlling the individual devices. There is also communication between the individual devices, for example for the transmission of status messages or measured values.
  • Figure 1 shows a typical application scenario. In an on position ⁇ communication network 10 are a plurality of devices 11 connected together. In addition to field devices 11.1, 11.2, control server 11.3 or configuration server 11.4 can also be integrated.
  • a gateway unit 16 also called a gateway, controls the data transmission in other domains of the communication network 10 or in external or public networks 17, such as the Internet.
  • a certificate issuing device 13 is connected to the equipment communication network 10 via a gateway 16 and, for example, the Internet.
  • Digital certificates are used to authenticate the communication partners. These digital certificates contain for example Since ⁇ th of devices, such as information on the manufacturer, a type specification, a serial number or Adressinformatio- nen.
  • a digital certificate is requested by a certificate request to a certification device.
  • a method which is schematically illustrated in Figure 2 has been proposed.
  • a first device transmits a digitally 11.1 tales certificate with an identification of apatieinstu ⁇ evaporation to a second device 11.2.
  • security classification for example, during the authentication of the first device 11.1 compared with an example. Local security policy, see step 3.
  • the digital certificate with the identifier of the security classification can be provided to the first device already during the production or during an implementation of the first device in a communication network 10 from a central location.
  • the first device 11.1 requests even with a certificate issuing device 13, see Figure 1, an issuance of an identifier of the security classification in a digital certificate, see first method ⁇ step 1 in Figure 2.
  • security information of the first device 11.1 entered.
  • a checking device checks the information in the request message and, if the result of the check is positive, forwards the message to the issuing device 13.
  • the inspection device is either averaging device in a certificate exhibition 13 integrated, see Figure 3, or a se parate ⁇ device, see inspection device 14 is formed in FIG. 4
  • the certification device 13, 15 now issues a digital certificate 30, for example according to the standard X.509, and preferably uses an extension data structure in the certificate in order to obtain an identifier of the
  • the certificate issuing device 13, 15 transmits the correspondingly extended certificate 30 back to the first device 11.
  • the identifier of the security classification 31 can be inserted and transmitted in an attribute certificate which is assigned to the digital certificate, in particular as an extension data structure.
  • the first method step namely the requesting of an identifier of the security classification in the digital certificate 30 by the first device 11.1 in the case of a certificate issuing device 13, is explained in greater detail.
  • An important aspect here is that when issuing the certificate 30 for the first device 11.1 it is ensured that the information contained in the certificate request message 20 is transmitted via the first device 11.1, such as the manufacturer, the type, the serial number , a network address or even the actual, current software version is cor ⁇ rect.
  • the corresponding security classification can then be determined and signed for a checking unit of the exhibition device 13.
  • the security information 21 is, for example, contain as AttributeDescriptor ⁇ but.
  • the request message 20 is protected with a cryptographic checksum 22 via the request message or with a digital signature 24 of the first device 11.1 transferred to the exhibi ⁇ averaging device. 13
  • the key from a device manufacturer's certificate which is usually assigned during the production of a device 11.1, can be used.
  • therynach ⁇ report is created according to a SCEP protocol uses the first device 11.1 a password in order to authenticate the request message 20 and to authorize.
  • the password is transmitted as an attribute, but the password is not included in the issued certificate as an attribute.
  • the ⁇ query message 20 is additionally ten Modell in a special DA, for example, in accordance with the standard PKCS # 7, ver ⁇ packs. This is shown by a dashed line around the request ⁇ message 20 in Figure 3.
  • the request message 20 is thus encrypted to protect confidentiality. Accordingly, for example, an "XML encryption" could also be used.
  • the request message is delivered to a test unit of the exhibi ⁇ averaging device 13 or a separate upstream Questionprü ⁇ evaporation apparatus 14, as shown in Figure 4.
  • the request message 20 is checked. That is, the security information 21 is checked against configuration or implementation data or against the security policy and a corresponding identifier of a Security rating is confirmed or inserted in the digital certificate.
  • the An herbsnach ⁇ report 20 is secured with a digital signature 24 forwarded to the display device 15 °.
  • the issuing device 13, 15 now issues a corresponding certificate 30 and sends it back signed with the signature 32 of the certification authority 13, 15 to the first device 11.1.
  • the certificate 30 now includes the identifier of the security classification 31, for example in the form of an extension data structure.
  • the display device 13, 15 also an attribute certificate with the entspre ⁇ sponding extension data structure with the identifier of the security classification can output 31st
  • the first device 11.1 enters as security information 21 a predetermined security rating or information from which the security rating can be derived in the request message.
  • security information 21 is, for example, information about the software status of the first device 11.1, such as, for example, a version of the software version, or also an attestation of the integrity of the software of the first device 11.1.
  • the security information can also specify a configuration of the first device 11.1.
  • An attestation of the integrity of the software or the device configuration is determined depending on at least part of the device software or configuration information and transmitted together with the request message, for example as an attribute.
  • the attestation of integrity may be a flag indicating a successful integrity check.
  • an integrity information is included, which is dependent on the content of the device software ⁇ be true, for example, a hash value or the contents of a platform configuration register.
  • the security information is preferably protected by a cryptographic checksum, for example by a digital signature or a message authentication code.
  • An Attes ⁇ tion of a trusted platform module (TPM) in the Inquiry message are encoded.
  • TPM trusted platform module
  • the check unit 13, 14 checks the given secure ⁇ standardized information 21. Only when this is valid, is issued a corresponding device certificate. The test is considered successful if the value of the safety information matches an allowable value or, for example, if a corresponding flag exists.
  • the issuing device 13, 15 can issue a certificate 30 only in the case of a successful check or even issue a certificate 30 in the case of a negative check result, but then with a predetermined value for the identifier of the security classification.
  • the certificate 17 with the security rating 19 is received by the first device 11.1 and subsequently used for the authentication.
  • the identifier of the security classification in the certificate or in the attribute certificate enforces a validation according to the specified security rating. An abusive use of the device, which is provided for wetting the groove ⁇ in an application context of a specific security classification, is thus prevented.
  • the extension data structure may include, in addition to the security rating identifier, other information, such as the certification standard underlying the security rating. Furthermore, the extension data structure can be information for a reviewer of
  • Security rating included.
  • the certificate issuing device or the executing verification device or an identifier of a higher-level examination unit can be entered.
  • a period of validity of the security rating and / or a purpose of use may be included. It Kgs ⁇ NEN one or more identifiers of the thoroughlyeinstu ⁇ Fung be included, for example, according to classifications different standards, or if multiple security classifications ⁇ a standards are met.
  • version MUST be v2 or v3 subj ectUniquelD [2] IMPLICIT Uniqueldentifier OPTIONAL,
  • version MUST be v3
  • AttributeCertificate SEQUENCE ⁇
  • AttributeCertificatelnfo:: SEQUENCE ⁇
  • AttributeType:: OBJECT IDENTIFIER
  • AttributeValue:: ANY DEFINED BY AttributeType
  • extension data structure is designated in each case with "extensions".
  • extension that resist are thebutstu ⁇ fung a device as well as additional information about the testing facility or organization that has carried out the inspection and additional information like a
  • secLevel Name may be an alphanumerical description relBase Name Name of Standard or regulation
  • the safety classification is here ⁇ be labeled "Security Level” and are in the parameter "secLevel” an identifier or an alphanumeric description ofillerstufung on.
  • the connoisseur may be a flag that merely confirms the existence of a given default security rating.
  • the identifier of the security classification can also be a data structure that contains further information, for example about verified security information that was contained in the request message.
  • RelBase is the underlying security policy.
  • the parameter "verifier” indicates the reviewer, for example the verification device.
  • the parameter “scope” as well as the purpose specification of the component, for example the name of the automation system in which the device is installed.
  • the named security policy depicts the required security classification of the components of the overall architecture. For example, a communication link up ⁇ builds and a first device 11.1 itself authenticated by a certificate, the communication partner, for example a second unit 11.2, not only validate the certificate, but also, whether the communication partner with the required safety classifications corresponding can.
  • a second device 11.2 which receives a certificate from a first device 11.1, is now in the authentication first checked the certificate 30. If the check is not he ⁇ successfully, an error message is displayed. If the check is successful, however, it is first checked whether he ⁇ wide approximate data structure, especially with an identifier of the security classification exists. If no such classification exists, only those functions are executed for which no security rating is necessary. In extreme cases, no function is executed and the action is discarded or acknowledged with an error message. However, if a ER- extender data structure exists, safety rating is 31 compared the certificate 30 with the requested action (Ver ⁇ connection setup, configuration, etc.) according to the Safe ⁇ Safety Directive and designed according to the security policy ⁇ .
  • the security classification 31 does not correspond to the specifications, for example an error message or a specific configuration or a network filter rule etc. is set up in accordance with the security classification 31.
  • Security measures which are carried out according to the checking resulting ⁇ n is, for example, a rejecting a connection request of a first device 11.1 in a two- ⁇ th device 11.2.
  • the certificate is checked as part of the authentication but rejected, for example, because of insufficient security classification as invalid and thus the entire communication connection is rejected.
  • a network filter rule can be used dynamically.
  • the security rating information can be used as part of a service discovery to search for a device, such as a diagnostic or controller, that met a specific security rating.
  • a first device 11.1 can only be integrated in a safety zone if it fulfills the safety classification of the zone.
  • FIG. 5 shows an exemplary embodiment of a first device 100 that is used for operation in a system communication network.
  • the first device 100 includes a request ⁇ unit 101, which is designed to enter the security information 21 in a request message 20 and issue the request message 20 for issuing a digital certificate 30 with an identifier of the security rating 31.
  • a He ⁇ averaging unit 102 with the security information 21 is determined, which is then inserted through the request unit 101 in the request message.
  • the determination ⁇ unit 102 is additionally configured to secure the integrated ⁇ information 21 from information contained in the device 100 itself to determine.
  • Figure 6 illustrates a second device 200, which forms such ⁇ out to evaluate a certificate 30 with an identification of the secure ⁇ standardized classification 31 and to determine appropriate actions and execute.
  • the second device 200 comprises a receiving unit 201, which is designed to receive a digital certificate with an identifier of the security classification. It comprises a checking unit 202, which is designed to check the identifier of the security classification 31. It further comprises an execution unit 203, which is designed to execute the security measures according to a check result in dependence on security rules.
  • FIG. 7 illustrates a certificate issuing device for issuing a digital certificate 30 with a security rating 31 identifier.
  • the issuing device 300 includes an input unit 301 that sends a certificate request message either directly from a first device
  • the exhibition apparatus 300 further includes a display unit 303, which is formed such a voltage therefrom Ken ⁇ determined insert 31 in the digital certificate 30 to a security classification. Via an issuing unit 303, the identifier of the security classification 31 is inserted as an extension data structure in the digital certificate 30 or in an attribute certificate that is assigned to the digital certificate 30.
  • Information about the software status of the first device can also be checked independently of the request for an identifier of the security classification in the case of a request for issuing a certificate. In this case, only the information about the software version is not checked against a target information and a certificate is issued only if the result of the test is successful.
  • Optional in out ⁇ presented certificate also provides information on the test result can be contained.
  • a cryptographic protection of the request ⁇ message can be performed for example by checksum or digital signature according to the requirement of an identifier of a security rating.
  • the information on the check result of the information of the software object is interpreted as when different from the identifier of the secure ⁇ classification.
  • Information on the test result of the software tester can also be entered in addition to an identifier of the safety rating in a certificate of a first device.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Verfahren zur Überprüfung einer Sicherheitseinstufung eines ersten Geräts (11) mit Hilfe eines zugeordneten digitalen Zertifikats, umfassend die Schritte: Senden (2) des digitalen Zertifikats mit einer Kennung einer Sicherheitseinstufung (31) von dem ersten Gerät (11) an ein zweites Gerät (12), Überprüfen (3) der Kennung der Sicherheitseinstufung (31) gegenüber einer vorgegebenen Sicherheitsregel durch das zweite Gerät (12), Ausführen (4) von Sicherheitsmaßnahmen entsprechend dem Überprüfungsergebnis der Sicherheitsregeln.

Description

Beschreibung
Verfahren zur Überprüfung einer Sicherheitseinstufung eines ersten Geräts mit Hilfe eines digitalen Zertifikats, ein ers- tes und zweites Gerät sowie eine Zertifikat-Ausstellungsvor¬ richtung
Die Erfindung betrifft ein Verfahren zur Überprüfung einer Sicherheitseinstufung eines ersten Geräts mit Hilfe eines di- gitalen Zertifikats. Die Erfindung betrifft des Weiteren ein Gerät, das als erstes und/oder als ein zweites Gerät ausge¬ bildet ist, wobei ein erstes Gerät eine Kennung der Sicher¬ heitseinstufung in einem digitalen Zertifikat besitzt und wobei ein zweites Gerät die Kennung der Sicherheitseinstufung des ersten Geräts überprüfen kann. Des Weiteren betrifft die Anmeldung eine Zertifikat-Ausstellungsvorrichtung zur Ausstellung eines digitalen Zertifikats mit einer Kennung einer Sicherheitseinstufung, sowie ein Computerprogrammprodukt zur Ausführung des Verfahrens.
In Anlagen und Systemen werden zunehmend Komponenten und Geräte eingesetzt, die eine bestimmte Sicherheitseinstufung, auch Security Level genannt, erfüllen müssen. Solche Sicher¬ heitseinstufungen können zum Beispiel über eine Zertifizie- rung nach Kriterien, wie sie beispielsweise in Standards der Internationalen Organisation für Normung (ISO) 15408 (Common Criteria) oder der Internationalen Elektrotechnischen Kommission (IEC) 62443-3-3 oder 62443-4-2 definiert sind, erlangt werden. Sicherheitseinstufungen können aber auch nach Kunden- anforderungen oder nach anderen Zertifizierungsstandards wie z.B. NERC CIP (North American Electric Reliability Corporati¬ on - Critical Infrastructure Protection) oder WIB (The International Instrument Users Association) oder Wurldtech verge¬ ben werden. Eine Zertifizierung der Geräte ist typischerweise für die Planung zur Auswahl von geeigneten Komponenten oder auch dem Architekturentwurf wichtig. Im laufenden Betrieb können zum Beispiel Prüfsiegel oder ähnliches auf die Zerti¬ fizierung hinweisen. Ein Gerät selbst hat typischerweise kein eigenes Bewusstsein über die eigene Sicherheitseinstufung und kann diese damit auch nicht an Kommunikationspartner weitergeben. Insbesondere bei einer Autokonfiguration kann es erforderlich sein, zu prüfen, ob die Sicherheitseinstufung ei- nes Gerätes mit der Sicherheitseinstufung der Zone, in der es eingebunden werden soll, verträglich ist.
Es ist somit die Aufgabe der vorliegenden Erfindung einem Gerät dieses "Bewusstsein" der erreichten Sicherheitseinstufung bereitzustellen und diese Sicherheitseinstufung dann in verschiedenen Phasen der Einbindung des Geräts in ein Anlagennetzwerk oder bei der Kommunikation mit anderen Geräten in einem Anlagennetz zu verwenden. Die Aufgabe wird durch die in den unabhängigen Ansprüchen beschriebenen Maßnahmen gelöst. In den Unteransprüchen sind vorteilhafte Weiterbildungen der Erfindung dargestellt.
Das erfindungsgemäße Verfahren zur Überprüfung einer Sicher- heitseinstufung eines ersten Geräts mit Hilfe eines digitalen Zertifikats umfasst ein Senden eines digitalen Zertifikats mit einer Kennung der Sicherheitseinstufung von dem ersten Gerät zur Authentifizierung an ein zweites Gerät, einem Überprüfen der Kennung der Sicherheitseinstufung gegenüber einer vorbestimmten Sicherheitsregel durch das zweite Gerät und ei¬ nem Ausführen von Sicherheitsmaßnahmen entsprechend dem Überprüfungsergebnis der Sicherheitsregeln.
In Automatisierungsanwendungen werden zunehmend digitale Zer- tifikate und dazugehörige private Schlüssel zur Authentisie- rung von Geräten genutzt. Diese digitalen Zertifikate haben üblicherweise ein über einen Standard festgelegtes Format und enthalten Daten zum Gerät, wie beispielsweise dessen Herstel¬ ler, Typ, Seriennummer oder auch Information zu Geräte-Adres- sen, wie beispielsweise der zugeordneten IP-Adresse oder MAC- Adresse. Ein digitales Zertifikat ist jedoch erweiterbar und wird erfindungsgemäß um eine Kennung einer Sicherheitseinstu¬ fung erweitert. Diese Erweiterung des Zertifikats wird bei einer Authentisierung des ersten Gerätes zusätzlich ausgewertet und mit einer vorgegebenen Sicherheitsregel, beispiels¬ weise einer lokalen oder einer netzweiten Sicherheits-Policy, abgeglichen. Somit wird die Sicherheitseinstufung des ersten Gerätes als Teil der Kommunikation an zweite Geräte weiterge¬ geben und steht dort zur Überprüfung bereit.
In einer vorteilhaften Ausführungsform wird das digitale Zertifikat mit einer Kennung der Sicherheitseinstufung dem ers- ten Gerät, insbesondere bei der Fertigung oder Inbetriebnahme des ersten Geräts, bereitgestellt.
Dies hat den Vorteil, dass beispielsweise bei der Fertigung des ersten Gerätes ein Fertigungsgerät stellvertretend für das erste Gerät das Zertifikat angefordert. Insbesondere kann ein solches Fertigungsgerät stellvertretend für eine Vielzahl von ersten Geräten ein Zertifikat mit einer entsprechenden Kennung der Sicherheitseinstufung anfordern. Somit muss das erste Gerät nicht selbst zur Erlangung einer Kennung der Sicherheitseinstufung tätig werden. Das Verfahren ist somit auch für einfach strukturierte Geräte anwendbar.
In einer alternativen Ausführungsform fordert das erste Gerät selbst eine Ausstellung einer Kennung der Sicherheitseinstu- fung in einem digitalen Zertifikat bei einer Zertifikat-Aus¬ stellungsvorrichtung .
Dies hat den Vorteil, dass auch nach der Herstellung am ersten Gerät vorgenommene Änderungen beispielsweise der Firmware oder Software oder auch Hardware bei der Ausstellung der Kennung der Sicherheitseinstufung berücksichtigt werden können.
In einer weiteren Ausführungsform fordert das erste Gerät eine Ausstellung einer Kennung der Sicherheitseinstufung in ei- nem Attributzertifikat, das dem digitalen Zertifikat des ers¬ ten Geräts zugeordnet ist, bei einer Zertifikat-Ausstellungs¬ vorrichtung an. Wird die Sicherheitseinstufung in ein AttributZertifikat eingetragen, so kann die Gültigkeitsdauer des AttributZertifikats von dem des eigentlichen Zertifikats abweichen. Es kann beispielsweise das digitale Zertifikat des Geräts mit langer Laufzeit ausgestellt werden und das AttributZertifikat mit der zugeordneten Sicherheitseinstufung kurzlebig ausgestellt oder an einen bestimmten Überprüfungszyklus gekoppelt werden. Dies ist vergleichbar mit einem Fahrzeugbrief, der langlebig ausgestellt wird und einer TÜV-Urkunde bzw. andere Zertifi- zierungs-Urkunde, die kurzlebig beziehungsweise in einem fes¬ ten Zyklus überprüft und neu vergeben wird. Des Weiteren kann auch das Zertifikat und das zugeordnete AttributZertifikat von unterschiedlichen Ausstellungsstellen ausgestellt werden. Beispielsweise kann ein langlebiges Gerätezertifikat eines Herstellers auch mit einem AttributZertifikat eines Betrei¬ bers erweitert werden. Zulässige Kombinationen verschiedener Zertifikat-Ausstellungsvorrichtungen sind dabei in beispielsweise in der Sicherheitsrichtline beschrieben. In einem vorteilhaften Ausführungsbeispiel wird in einer Anforderungsnachricht zur Ausstellung des digitalen Zertifikats eine Sicherheitsinformation des ersten Geräts an die Zertifikat-Ausstellungsvorrichtung übermittelt . Dies hat den Vorteil, dass der herkömmliche Prozess zur Aus¬ stellung eines digitalen Zertifikats beibehalten wird. Die Sicherheitsinformation wird direkt an die Zertifikat-Ausstel¬ lungsvorrichtung übermittelt und kann dort oder in einer separaten vorgelagerten Überprüfungsvorrichtung überprüft wer- den und eine Kennung der Sicherheitseinstufung daraus abgeleitet und in das auszustellende Zertifikat eingefügt werden.
In einer weiteren vorteilhaften Ausführungsform ermittelt das erste Gerät die Sicherheitsinformation selbst und trägt diese in die Anforderungsnachricht ein.
Die Sicherheitsinformation des ersten Geräts kann beispielsweise als Projektierungsinformation in einem Proj ektierungs- Server einer Anlage vorliegen und von dort abgerufen und in die Anforderungsnachricht eingefügt werden. Die von einem Server bereitgestellte Sicherheitsinformation des ersten Geräts kann aber von der tatsächlichen Konfiguration ersten Ge- räts abweichen, beispielsweise wenn das erste Gerät zwischen Projektierung und Implementierung neue Software oder mit neuen Anwendungsprogrammen aktualisiert oder umkonfiguriert wurde. Daher ist es vorteilhaft, wenn das erste Gerät die Si¬ cherheitsinformation selbst ermittelt und somit auf der aktu- eilen Gerätezustand basiert.
In einer Variante prüft das erste Gerät bei einer vorgesehe¬ nen Verwendung des Zertifikats seine Geräteintegrität, z.B. durch Vergleich der ermittelten Prüfsumme seiner Firmware mit einer Referenzprüfsumme der Firmware. Das Zertifikat wird nur bei erfolgreicher Prüfung durch das erste Gerät verwendet. Dadurch wird erreicht, dass das digitale Zertifikat des ers¬ ten Gerätes mit der Sicherheitsinformation nur dann durch das erste Gerät verwendet wird, wenn das Gerät die der Ausstel- lung des Zertifikats zugrundeliegende Firmware auch noch bei der Verwendung des Zertifikats aufweist.
In einer vorteilhaften Ausführungsform ist die Sicherheitsinformation eine Information zum Softwarestand, insbesondere eine Version ein Hashwert oder eine digitale Signatur des Softwarestandes oder eine Attestierung der Integrität der Software des ersten Gerätes oder eine Attestierung einer Konfiguration des ersten Gerätes. Dies hat den Vorteil, dass der tatsächliche Softwarestand zur Ermittlung der Sicherheitseinstufung herangezogen wird. Als Softwarestand wird dabei nicht nur eine Version der aktuellen Software, sondern auch Informationen zur Firmware, zu den implementierten Applikationen sowie den Konfigurationsdaten allgemein, verstanden. Eine Attestierung der Software oder der Konfiguration kann zusätzlich von einer vertrauenswürdigen Stelle, wie bspw. einem Trusted Platform Modul (TPM) aus¬ gestellt und kryptographisch gesichert und kann somit als be- sonders zuverlässig und sicher angenommen werden. Diese In¬ formation wird in eine Zertifikat-Anfragenachricht eingefügt und zur Ermittlung der Sicherheitseinstufung an die Zertifikat-Ausstellungsvorrichtung übermittelt. Vorzugsweise ist weiterhin eine Zeitangabe enthalten, die den Zeitpunkt der Integritätsprüfung angibt.
In einer vorteilhaften Ausführungsform stellt die Zertifikat- Ausstellungsvorrichtung lediglich bei einem positiven Prüfer- gebnis ein Zertifikat aus. Alternativ stellt die Zertifikat- Ausstellungsvorrichtung auch bei einem negativen Prüfergebnis ein Zertifikat aus, das dann einen vorgegebenen Wert der Kennung der Sicherheitseinstufung enthält. Wird lediglich bei einer positiven Überprüfung der Sicherheitsinformation ein Zertifikat ausgestellt, so kann nachfol¬ gend das erste Gerät keine authentisierte Kommunikation, wel¬ cher Art auch immer, mit einem anderen zweiten Gerät aufnehmen. Eine solche Maßnahme ist insbesondere in Hochsicher- heitszonen vorteilhaft, da ein solches erstes Gerät vollkom¬ men geblockt wird. Wird dagegen bei einem negativen Prüfergebnis ein Zertifikat mit einem bestimmten vorgegebenen Wert für die Kennung der Sicherheitseinstufung ausgestellt, so kann das zweite Gerät selbst überprüfen, ob und für welchen Zweck eine Kommunikation mit dem ersten Gerät zugelassen wird .
In einer vorteilhaften Ausführungsform wird die Kennung der Sicherheitseinstufung als Erweiterungsdatenstruktur in dem digitalen Zertifikat oder als Erweiterungsdatenstruktur in ein Attributzertifikat, das dem digitalen Zertifikat zugeord¬ net ist, eingefügt.
Einer Erweiterungsdatenstruktur ist in den Standards für di- gitale Zertifikate vorgesehen und somit einfach für die Nut¬ zung der Sicherheitseinstufung verwendbar. Durch die Definition beispielsweise einer X .509-Erweiterungsdatenstruktur, besteht die Möglichkeit, diese Erweiterung direkt in ein X.509-Zertifikat beziehungsweise in ein zugeordnetes Attri¬ butzertifikat einzufügen.
In einer vorteilhaften Ausführungsform ist die Kennung der Sicherheitseinstufung ein Flag, das lediglich eine erfolgreiche Prüfung bestätigt. Die Kennung der Sicherheitseinstufung kann aber auch eine Datenstruktur sein, die Information über die überprüfte Sicherheitsinformation enthält. Dies ermöglicht unterschiedlich genaue Überprüfungen der
Sicherheitseinstufung je nach Sicherheitsbedarf im Kommunikationsnetz der Industrieanlage.
In einer vorteilhaften Ausführungsform enthält die Erweite- rungsdatenstruktur zusätzlich Informationen zu der der
Sicherheitseinstufung zugrundeliegenden Sicherheitsregel und/oder Information über eine die Prüfung für die Zertifikat-Ausstellungsvorrichtung ausführende Überprüfungsstelle und/oder einen Gültigkeitszeitraum der Sicherheitseinstufung und/oder eine Verwendungszweckangabe.
Die Sicherheitsrichtlinie bildet die erforderliche Sicher¬ heitseinstufung der Geräte in der Gesamtarchitektur ab. Durch die Angabe der zugrundeliegenden Sicherheitsrichtlinie kann geprüft werden, ob das Gerät einer bestimmten geforderten Richtlinie genügt.
In einer vorteilhaften Ausführungsform wird die Kennung der Sicherheitseinstufung im Rahmen einer Authentisierung des ersten Geräts bei einem Verbindungsaufbau in einem zweiten Gerät überprüft, oder bei einer Anfrage zur Diensterkennung in einem Netzwerk verwendet oder bei einer Autokonfiguration des ersten Geräts in einer Sicherheitszone eines Netzwerks überprüft oder zur Auswahl einer Netzwerkfilterregel, auch Netzwerk-Policy genannt, verwendet.
Ein erfindungsgemäßes erstes Gerät zum Betrieb in einem Anla¬ genkommunikationsnetz enthält eine Ermittlungseinheit, die derart ausgebildet ist, eine Sicherheitsinformation, zu er¬ mitteln. Des Weiteren umfasst das erste Gerät eine Anforde¬ rungseinheit, die derart ausgebildet ist, die Sicherheitsin¬ formation in eine Anforderungsnachricht einzutragen und die Anforderungsnachricht zur Ausstellung eines digitalen Zerti¬ fikats mit einer Kennung der Sicherheitseinstufung auszugeben .
Ein erstes Gerät ist somit in der Lage, ein Zertifikat zu be- antragen, das zusätzlich zu den üblichen Attributen des ersten Geräts eine Sicherheitseinstufung in Form einer Kennung beziehungsweise einer Erweiterung des üblichen Zertifikats enthält . In einer vorteilhaften Ausführungsform ist die Ermittlungseinheit derart ausgebildet, die Sicherheitsinformation als Information, die im Gerät selbst enthalten ist, zu ermitteln. Solche Information ist insbesondere eine Information zum Softwarestand des ersten Geräts, bevorzugt eine Version, ein Hashwert, eine digitale Signatur des Softwarestands oder eine Attestierung einer Konfiguration des ersten Gerätes oder eine Attestierung der Integrität des ersten Gerätes oder eine At¬ testierung einer Konfiguration des ersten Geräts. Dies ermöglicht nicht nur die Überprüfung beispielsweise des Softwarestands des projektierten Gerätes, sondern auch die Integrität des aktuellen Softwarestands beziehungsweise die Konfiguration des ersten Geräts zum Zeitpunkt der Anforderung des Zertifikats.
Ein erfindungsgemäßes zweites Gerät umfasst eine Empfangsein¬ heit, die derart ausgebildet ist, ein digitales Zertifikat mit einer Kennung der Sicherheitseinstufung zu empfangen, eine Überprüfungseinheit, die derart ausgebildet ist, die Ken- nung der Sicherheitseinstufung zu überprüfen und eine Ausführungseinheit, die derart ausgebildet ist, Sicherheitsmaßnah¬ men entsprechend einem Überprüfungsergebnis gemäß Sicher¬ heitsregeln auszuführen. Dies hat den Vorteil, dass das zweite Gerät nun basierend auf einer aktuellen Sicherheitseinstufung eine vorgegebene Sicherheitspolitik überprüft und eingehalten werden kann. Somit kann eine Sicherheitspolitik effektiv umgesetzt werden.
In einer vorteilhaften Ausführungsform ist das zweite Gerät derart ausgebildet, die empfangene Kennung der Sicherheits¬ einstufung eines ersten Geräts im Rahmen einer Authentisie- rung bei einem Verbindungsaufbau zum zweiten Gerät zu über¬ prüfen oder im Rahmen einer Anfrage zur Diensterkennung in einem Netzwerk oder bei einer Anfrage nach Konfigurationsda¬ ten durch ein erstes Gerät zur Integration in eine Sicherheitszone eines Netzwerks oder bei einer Verbindungsaufbauan- frage zur Ermittlung von Netzwerkfilterregeln zu überprüfen.
Durch die Sicherheitseinstufung können somit unterschiedliche Aufgaben innerhalb eines Netzes gemäß Sicherheitsregeln einfach durchgeführt werden.
Eine erfindungsgemäße Zertifikat-Ausstellungsvorrichtung zur Ausstellung eines digitalen Zertifikats mit einer Kennung einer Sicherheitseinstufung enthält eine Prüfungseinheit, die derart ausgebildet ist, eine in einer Zertifikat-Anforde- rungsnachricht empfangene Sicherheitsinformation gegenüber einer vorgegebenen Sicherheitsrichtlinie zu prüfen und eine Ausstellungseinheit, die derart ausgebildet ist, eine daraus ermittelte Kennung einer Sicherheitseinstufung in das digitale Zertifikat einzufügen.
Eine solche Zertifikat-Ausstellungsvorrichtung führt somit eine zusätzliche Validierung der Sicherheitsinformation und damit beispielsweise eines Softwarestands oder einer Konfigu¬ ration des Geräts gegenüber einer vorgegebenen Sicherheits- richtlinie oder Projektierungsdaten durch.
In einer vorteilhaften Ausführungsform ist die Zertifikat- Ausstellungseinheit derart ausgebildet, die Kennung der Sicherheitseinstufung als Erweiterungsdatenstruktur in dem digitalen Zertifikat oder in ein Attributzertifikat, das dem digitalen Zertifikat zugeordnet ist, auszugeben. Die Zertifikat-Ausstellungseinheit, die die Kennung der
Sicherheitseinstufung als Erweiterungsdatenstruktur in einem AttributZertifikat bestätigt, kann verschieden sein von der Zertifikat-Ausstellungseinheit, die das digitale Zertifikat des Gerätes ausstellt. Zulässige Kombinationen verschiedener Zertifikat-Ausstellungseinheiten sind dabei in der Sicherheitsrichtline beschrieben.
Es wird des Weiteren ein Computerprogrammprodukt beansprucht, das direkt in ein erstes Gerät, in ein zweites Gerät und in eine Zertifikat-Ausstellungsvorrichtung ladbar ist und Programmcodeteile umfasst, die dazu geeignet sind, die Schritte des genannten Verfahrens durchzuführen.
Ausführungsbeispiele des erfindungsgemäßen Verfahrens sowie der erfindungsgemäßen Geräte und Vorrichtung sind in den
Zeichnungen beispielhaft dargestellt und werden anhand der nachfolgenden Beschreibung näher erläutert. Es zeigen:
Figur 1 ein Anlagenkommunikationsnetz, in dem das erfin- derische Verfahren ausgeführt wird in schemati- scher Darstellung;
Figur 2 ein Ausführungsbeispiel des erfindungsgemäßen
Verfahrens als Ablaufdiagramm;
Figur 3 ein erstes Ausführungsbeispiel für den Ablauf ei¬ ner Ausstellung eines digitalen Zertifikats mit Kennung einer Sicherheitseinstufung in schemati- scher Darstellung;
Figur 4 ein zweites Ausführungsbeispiel für den Ablauf der Ausstellung eines digitalen Zertifikats mit separierter Überprüfungs- und Zertifikat- AusstellungsVorrichtung,·
Figur 5 ein Ausführungsbeispiel eines erfindungsgemäßen ersten Geräts in Blockdarstellung;
Figur 6 ein Ausführungsbeispiel eines erfindungsgemäßen zweiten Geräts in Blockdarstellung und
Figur 7 ein Ausführungsbeispiel einer erfindungsgemäßen
Zertifikat-Ausstellungsvorrichtung in Blockdarstellung .
Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen.
In Anlagen und Systemen, insbesondere in Industrie- und Auto¬ matisierungsanlagen werden zunehmend solche Geräte einge¬ setzt, die einem bestimmten Sicherheitslevel entsprechen. Solche Sicherheitseinstufungen können durch eine Zertifizierung nach Kriterien aus Sicherheitsstandards oder durch Kundenanforderungen vergeben werden. Diese Zertifizierung der Geräte ist typischerweise für die Planung, das heißt für die Auswahl von geeigneten Komponenten oder auch für den Archi- tekturentwurf wichtig. Bisherige Geräte tragen beispielsweise Prüfsiegel oder Ähnliches, die auf diese Zertifizierung hin¬ weisen. Eine Auswertung und Berücksichtigung solcher vergebenen Sicherheitseinstufungen in laufenden Prozessen ist derzeit nur sehr eingeschränkt möglich.
Die Geräte sind üblicherweise über ein Kommunikationsnetz miteinander verbunden. Darin werden Nachrichten zwischen Servern und dem Geräten übermittelt, beispielsweise zur Kon¬ figuration oder zur Steuerung der einzelnen Geräte. Es findet auch eine Kommunikation zwischen den einzelnen Geräten statt, beispielsweise zur Übertragung von Statusmitteilungen oder Messwerten . Figur 1 zeigt ein typisches Anwendungsszenario. In einem An¬ lagenkommunikationsnetz 10 sind eine Vielzahl von Geräten 11, miteinander verbunden. Neben Feldgeräten 11.1, 11.2 können auch Steuerungsserver 11.3 oder Konfigurationsserver 11.4 eingebunden sein. Eine Netzübergangseinheit 16, auch Gateway genannt, kontrolliert die Datenübertragung in andere Domänen des Kommunikationsnetzes 10 oder in externe oder öffentliche Netze 17, wie dem Internet. Eine Zertifikat-Ausstellungsvorrichtung 13 ist über einen Gateway 16 und beispielsweise das Internet mit dem Anlagenkommunikationsnetz 10 verbunden.
Die Geräte 11 und auch die Gateway 16 kommunizieren über ein kryptographisch geschütztes Kommunikationsprotokoll, zum Bei¬ spiel ein TLS (Transport Layer Security) oder die Internet Security Protokoll IPsec/IKEv2. Zur Authentisierung der Kommunikationspartner werden dabei digitale Zertifikate verwendet. Diese digitalen Zertifikate enthalten beispielsweise Da¬ ten der Geräte wie beispielsweise Angaben zum Hersteller, eine Typangabe, eine Seriennummer oder auch Adressinformatio- nen.
Ein digitales Zertifikat wird durch eine Zertifikatanfrage bei einer Zertifizierungsvorrichtung beantragt. Um nun eine Sicherheitseinstufung eines Gerätes innerhalb der Anlage be- ziehungsweise bei der Einbindung und Kommunikation eines Ge¬ rätes berücksichtigen zu können, wird ein Verfahren, das schematisch in Figur 2 dargestellt ist, vorgeschlagen.
In Verfahrensschritt 2 sendet ein erste Gerät 11.1 ein digi- tales Zertifikat mit einer Kennung einer Sicherheitseinstu¬ fung an ein zweites Gerät 11.2. Im zweiten Gerät 11.2 wird beispielsweise bei der Authentisierung des ersten Geräts 11.1 die Sicherheitseinstufung mit einer bspw. lokalen Sicherheitspolitik abgeglichen, siehe Verfahrensschritt 3. Abhängig vom Überprüfungsergebnis und der anzuwendenden Sicherheitspo¬ litik beziehungsweise Sicherheitsregeln werden nun Sicherheitsmaßnahmen ausgeführt, siehe Verfahrensschritt 4. Das digitale Zertifikat mit der Kennung der Sicherheitseinstufung kann dem ersten Gerät bereits bei der Herstellung oder bei einer Implementierung des ersten Geräts in ein Kommunikationsnetzwerk 10 von einer zentralen Stelle bereitge- stellt werden. Alternativ fordert das erste Gerät 11.1 selbst bei einer Zertifikat-Ausstellungsvorrichtung 13, siehe Figur 1, eine Ausstellung einer Kennung der Sicherheitseinstufung in einem digitalen Zertifikat an, siehe ersten Verfahrens¬ schritt 1 in Figur 2. Dazu wird in die Anfragenachricht eine Sicherheitsinformation des ersten Gerätes 11.1 eingetragen. Eine Überprüfungsvorrichtung prüft die Angaben in der Anforderungsnachricht und leitet bei positivem Prüfergebnis die Nachricht zur Ausstellungsvorrichtung 13 weiter. Die Überprüfungsvorrichtung ist entweder in einer Zertifikat-Ausstel- lungsvorrichtung 13 integriert, siehe Figur 3, oder als se¬ parate Vorrichtung, siehe Überprüfungsvorrichtung 14 in Figur 4 ausgebildet. Die Zertifizierungsvorrichtung 13, 15 stellt nun ein digitales Zertifikat 30, beispielsweise gemäß dem Standard X.509, aus und nutzt bevorzugter weise eine Erweite- rungsdatenstruktur im Zertifikat, um einen Kennung der
Sicherheitseinstufung zu codieren.
Die Zertifikat-Ausstellungsvorrichtung 13, 15 übermittelt das entsprechend erweiterte Zertifikat 30 an das erste Gerät 11 zurück. Alternativ kann die Kennung der Sicherheitseinstufung 31 in ein Attributzertifikat, das dem digitalen Zertifikat zugeordnet ist, insbesondere als Erweiterungsdatenstruktur, eingefügt und übermittelt werden. In Figur 3 und 4 ist nun der erste Verfahrensschritt, nämlich das Anfordern einer Kennung der Sicherheitseinstufung in dem digitalen Zertifikat 30 durch das erste Gerät 11.1 bei einer Zertifikat-Ausstellungsvorrichtung 13 näher erläutert. Ein wichtiger Aspekt dabei ist nun, dass bei der Ausstellung des Zertifikats 30 für das erste Gerät 11.1 gewährleistet ist, dass die in der Zertifikat-Anfragenachricht 20 enthaltene In¬ formation über das erste Gerät 11.1, wie beispielsweise der Hersteller, der Typ, die Seriennummer, eine Netzwerkadresse oder aber auch der tatsächliche, aktuelle Softwarestand kor¬ rekt ist. Basierend auf der in der Anforderungsnachricht 20 enthaltenen Sicherheitsinformation 21 des ersten Gerätes 11.1 kann dann einer Überprüfungseinheit der Ausstellungsvorrich- tung 13 die entsprechende Sicherheitseinstufung ermittelt und signiert werden.
In der Anforderungsnachricht 20 ist beispielsweise als Attri¬ but die Sicherheitsinformation 21 enthalten. Die Anforde- rungsnachricht 20 wird mit einer kryptographischen Prüfsumme 22 über die Anforderungsnachricht oder mit einer digitalen Signatur 24 des ersten Geräts 11.1 geschützt an die Ausstel¬ lungsvorrichtung 13 übertragen. Dazu kann beispielsweise der Schlüssel aus einem Geräteherstellerzertifikat, das üblicher- weise bei der Herstellung eines Gerätes 11.1 vergeben wird, verwendet werden.
In einer Variante, bei der beispielsweise die Anfragenach¬ richt gemäß einem SCEP-Protokoll erstellt wird, verwendet das erste Gerät 11.1 ein Passwort, um die Anfragenachricht 20 zu authentisieren und zu autorisieren. Hier wird das Passwort als Attribut übertragen, das Passwort wird jedoch nicht in das ausgestellte Zertifikat als Attribut übernommen. Die An¬ fragenachricht 20 wird dabei zusätzlich in eine spezielle Da- tenstruktur, beispielsweise gemäß dem Standard PKCS#7, ver¬ packt. Dies ist durch eine gestrichelte Linie um die Anfrage¬ nachricht 20 in Figur 3 dargestellt. Die Anfragenachricht 20 wird somit verschlüsselt, um die Vertraulichkeit zu schützen. Entsprechend könnte zum Beispiel auch eine "XML-Verschlüsse- lung" verwendet werden.
Die Anfragenachricht wird an eine Prüfeinheit der Ausstel¬ lungsvorrichtung 13 oder eine vorgelagerte separate Überprü¬ fungsvorrichtung 14, wie in Figur 4 dargestellt, übermittelt. Dort wird die Anforderungsnachricht 20 überprüft. Das heißt die Sicherheitsinformation 21 wird gegenüber Konfigurationsoder Implementierungsdaten bzw. gegenüber der Sicherheitsrichtlinie geprüft und eine entsprechende Kennung einer Sicherheitseinstufung wird bestätigt oder in das digitale Zertifikat eingefügt. In Figur 3 wird die Anforderungsnach¬ richt 20 mit einer digitalen Signatur 24 gesichert an die Ausstellungsvorrichtung 15 weitergeleitet.
Die Ausstellungsvorrichtung 13, 15 stellt nun ein entsprechendes Zertifikat 30 aus und sendet dieses signiert mit der Signatur 32 der Zertifizierungsstelle 13, 15 an das erste Gerät 11.1 zurück. Das Zertifikat 30 umfasst nun die Kennung der Sicherheitseinstufung 31 beispielsweise in Form einer Erweiterungsdatenstruktur. Alternativ kann die Ausstellungsvorrichtung 13, 15 auch ein AttributZertifikat mit der entspre¬ chenden Erweiterungsdatenstruktur mit der Kennung der Sicherheitseinstufung 31 ausgeben.
Das erste Gerät 11.1 trägt als Sicherheitsinformation 21 eine vorgegebene Sicherheitseinstufung oder eine Information ein, aus der die Sicherheitseinstufung abgeleitet werden kann, in die Anfragenachricht ein. Eine solche Sicherheitsinformation 21 ist beispielsweise eine Information zum Softwarestand des ersten Geräts 11.1, wie bspw. eine Version des Softwarestandes, oder auch eine Attestierung der Integrität der Software des ersten Gerätes 11.1. Die Sicherheitsinformation kann aber auch eine Konfiguration des ersten Gerätes 11.1 angeben. Eine Attestierung der Integrität der Software oder der Gerätekonfiguration wird dabei in Abhängigkeit von zumindest einem Teil der Gerätesoftware bzw. Konfigurationsinformation bestimmt und zusammen mit der Anfragenachricht beispielsweise als Attribut übertragen. Die Attestierung der Integrität kann ein Flag sein, das eine erfolgreiche Integritätsüberprüfung angibt. Vorzugsweise ist jedoch eine Integritätsinformation enthalten, welche abhängig vom Inhalt der Gerätesoftware be¬ stimmt wird, wie beispielsweise ein Hashwert oder der Inhalt eines Plattformkonfigurationsregisters. Die Sicherheitsinfor- mation ist vorzugsweise durch eine kryptographische Prüfsumme geschützt, beispielsweise durch eine digitale Signatur oder einen Nachrichtenauthentisierungscode . Auch kann eine Attes¬ tierung eines vertrauenswürdigen Plattformmoduls (TPM) in die Anfragenachricht eincodiert werden. Vorzugsweise ist weiter¬ hin eine Zeitangabe enthalten, die den Zeitpunkt der Integritätsprüfung angibt. Die Überprüfungseinheit 13, 14 prüft die enthaltene Sicher¬ heitsinformation 21. Nur wenn diese gültig ist, wird ein entsprechendes Gerätezertifikat ausgestellt. Die Prüfung gilt als erfolgreich, wenn der Wert der Sicherheitsinformation mit einem zulässigen Wert übereinstimmt oder wenn zum Beispiel ein entsprechendes Flag vorhanden ist. Die Ausstellungsvorrichtung 13, 15 kann lediglich bei einer erfolgreichen Prüfung ein Zertifikat 30 ausstellen oder aber auch bei einem negativen Prüfergebnis ein Zertifikat 30, aber dann mit einem vorgegebenen Wert für die Kennung der Sicherheitseinstufung, ausgeben. Das Zertifikat 17 mit der Sicherheitseinstufung 19 wird vom ersten Gerät 11.1 empfangen und nachfolgend für die Authentisierung verwendet.
Durch die Kennung der Sicherheitseinstufung im Zertifikat be- ziehungsweise im AttributZertifikat wird eine Validierung entsprechend der angegebenen Sicherheitseinstufung erzwungen. Eine missbräuchliche Verwendung des Geräts, das für die Nut¬ zung in einem Anwendungskontext mit einer bestimmten Sicherheitseinstufung vorgesehen ist, wird dadurch verhindert.
Die Erweiterungsdatenstruktur kann neben der Kennung für die Sicherheitseinstufung weitere Informationen, beispielsweise zu dem der Sicherheitseinstufung zugrundeliegenden Zertifizierungsstandard enthalten. Des Weiteren kann die Erweite- rungsdatenstruktur Information zu einem Überprüfer der
Sicherheitseinstufung enthalten. Als Überprüfer kann beispielsweise die Zertifikat-Ausstellungsvorrichtung oder die ausführende Überprüfungsvorrichtung oder eine Kennung einer übergeordneten Prüfungseinheit eingetragen werden. Ebenfalls kann ein Gültigkeitszeitraum der Sicherheitseinstufung und/oder eine Verwendungszweckangabe enthalten sein. Es kön¬ nen eine oder auch mehrere Kennungen der Sicherheitseinstu¬ fung enthalten sein, beispielsweise für Einstufungen gemäß unterschiedlichen Standards, oder wenn mehrere Sicherheits¬ einstufungen eines Standards erfüllt werden.
Als Beispiel sind nachfolgend ein digitales Zertifikat
(Struktur 1) und ein AttributZertifikat (Struktur 2) mit ei¬ ner Kennung der Sicherheitseinstufung jeweils in Form einer Erweiterungsdatenstruktur in eine X .509-Zertifikat in ASN.l Notation dargestellt.
Certificate SEQUENCE {
tbsCertificate TBSCertificate,
signatureAlgorithm Algorithmldentifier,
signatureValue BIT STRING }
TBSCertificate ::= SEQUENCE
ersion [0] Version must be v3,
serialNumber CertificateSerialNumber,
signature Algorithmldentifier,
issuer Name,
validity Validity,
subj ect Name,
subj ectPublicKeylnfo Subj ectPublicKeylnfo,
issuerUniquelD [1] IMPLICIT Uniqueldentifier OPTIONAL,
-- If present, ersion MUST be v2 or v3 subj ectUniquelD [2] IMPLICIT Uniqueldentifier OPTIONAL,
-- If present, Version MUST be v2 or v3 extensions [3] EXPLICIT Extensions OPTIONAL
-- If present, Version MUST be v3
}
Validity ::= SEQUENCE {
notBefore Time,
notAfter Time
Time : := CHOICE {
utcTime UTCTime,
generalTime GeneralizedTime
(Struktur 1) AttributeCertificate : := SEQUENCE {
Acinfo AttributeCertificatelnfo,
signatureAlgorithm Algorithmldentifier,
signature Value BIT STRING
}
AttributeCertificatelnfo : := SEQUENCE {
ersion AttCertVersion -- ersion is v2 , holder Holder,
issuer AttCertIssuer,
signature Algorithmldentifier,
serialNumber CertificateSerialNumber,
attrCertValidityPeriod AttCertValidityPeriod,
attributes SEQUENCE OF Attribute,
issuerUniquelD Uniqueldentifier OPTIONAL,
extensions Extensions OPTIONAL
}
Attribute: := SEQUENCE {
Type AttributeType,
values SET OF AttributeValue
-- at least one value reqrd.
}
AttributeType : := OBJECT IDENTIFIER
AttributeValue : := ANY DEFINED BY AttributeType
(Struktur 2 ]
Die Erweiterungsdatenstruktur ist jeweils mit "extensions" bezeichnet. Eine solche Extension, die die Sicherheitseinstu¬ fung eines Gerätes widergibt und auch zusätzliche Information über die Prüfeinrichtung oder die Organisation, die die Überprüfung durchgeführt hat und Zusatzinformation wie eine
Zweckangabe enthält, sind nachfolgend unter der Bezeichnung "id-on-SecLevel " in der Struktur 3 dargestellt. id-on-SecLevel OBJECT IDENTIFIER ::= { id-on 3 } SecurityLevel : := SEQUENCE {
secLevel Name may be an alphanumerical description relBase Name name of Standard or regulation
or requirement document
verifier Name verifier of security level
scope Name description of overall System or
plant or facility
(Struktur 3)
Die Sicherheitseinstufung ist hier mit "SecurityLevel" be¬ zeichnet und gibt im Parameter "secLevel" eine Kennung oder eine alphanumerische Beschreibung der Sicherheitsstufung an. Der Kenner kann beispielsweise ein Flag sein, das lediglich das Vorhandensein einer bestimmten vorgegebenen Sicherheitseinstufung bestätigt. Die Kennung der Sicherheitseinstufung kann aber auch eine Datenstruktur sein, die weitere Information beispielsweise über überprüfte Sicherheitsinformationen, die in der Anfragenachricht enthalten war, umfassen.
Mit "relBase" ist die zugrundeliegende Sicherheitsrichtlinie bezeichnet. Der Parameter "verifier" gibt den Überprüfer, bspw. die Überprüfungsvorrichtung an. Der Parameter "scope" sowie die Zweckangabe der Komponente, beispielsweise den Na- men der Automatisierungsanlage an, in der das Gerät verbaut ist .
Die genannte Sicherheitsrichtlinie bildet die erforderliche Sicherheitseinstufung der Komponenten der Gesamtarchitektur ab. Wird beispielsweise eine Kommunikationsverbindung aufge¬ baut und authentisiert sich ein erstes Gerät 11.1 mit einem Zertifikat, so kann der Kommunikationspartner, beispielsweise ein zweites Gerät 11.2, nicht nur das Zertifikat validieren, sondern auch, ob der Kommunikationspartner der geforderten Sicherheitseinstufungen entspricht.
In einem zweiten Gerät 11.2, das ein Zertifikat von einem ersten Gerät 11.1 erhält, wird nun bei der Authentisierung zuerst das Zertifikat 30 geprüft. Ist die Prüfung nicht er¬ folgreich, wird eine Fehlermeldung ausgegeben. Ist die Prüfung dagegen erfolgreich, wird zunächst geprüft, ob eine Er¬ weiterungsdatenstruktur, insbesondere mit einer Kennung der Sicherheitseinstufung vorhanden ist. Ist keine solche Einstufung vorhanden, werden lediglich die Funktionen ausgeführt, für die keine Sicherheitseinstufung notwendig ist. Im Extremfall wird keine Funktion ausgeführt und die Aktion verworfen oder mit einer Fehlermeldung quittiert. Ist dagegen eine Er- Weiterungsdatenstruktur vorhanden, wird Sicherheitseinstufung 31 im Zertifikat 30 mit der für die angeforderte Aktion (Ver¬ bindungsaufbau, Konfiguration, etc.) entsprechend der Sicher¬ heitsrichtlinie verglichen und entsprechend der Sicherheits¬ richtlinie ausgeführt. Entspricht die Sicherheitseinstufung 31 nicht den Vorgaben, wird beispielsweise eine Fehlermeldung oder eine bestimmte Konfiguration oder eine Netzwerkfilterre¬ gel etc. entsprechend der Sicherheitseinstufung 31 eingerichtet . Sicherheitsmaßnahmen, die entsprechend dem Überprüfungsergeb¬ nis ausgeführt werden, sind beispielsweise ein Abweisen einer Verbindungsanfrage eines ersten Gerätes 11.1 bei einem zwei¬ ten Gerät 11.2. Beim Verbindungsaufbau beispielsweise mittels eines TLS-Protokolls , wird im Rahmen der Authentisierung das Zertifikat geprüft aber beispielsweise wegen unzureichender Sicherheitseinstufung als ungültig abgewiesen und somit die gesamte Kommunikationsverbindung abgewiesen. Abhängig vom Prüfergebnis der Kennung der Sicherheitseinstufung kann dynamisch eine Netzwerkfilterregel verwendet werden. Die Informa- tion der Sicherheitseinstufung kann als Teil eines Dienste- Discovery verwendet werden, um nach einem Gerät, zum Beispiel zur Diagnose oder zur Steuerung, zu suchen, das eine bestimmte Sicherheitseinstufung erfüllte. Abhängig vom Prüfergebnis der Kennung der Sicherheitseinstufung kann ein erstes Gerät 11.1 nur dann in einer Sicherheitszone eingebunden werden, wenn es die Sicherheitseinstufung der Zone erfüllt. Figur 5 zeigt ein Ausführungsbeispiel eines ersten Gerätes 100, das zum Betrieb in einem Anlagenkommunikationsnetz verwendet wird. Das erste Gerät 100 umfasst eine Anforderungs¬ einheit 101, die derart ausgebildet ist, die Sicherheitsin- formation 21 in eine Anforderungsnachricht 20 einzutragen und die Anforderungsnachricht 20 zur Ausstellung eines digitalen Zertifikats 30 mit einer Kennung der Sicherheitseinstufung 31 auszugeben. Des Weiteren enthält das erste Gerät 100 eine Er¬ mittlungseinheit 102, mit der eine Sicherheitsinformation 21 ermittelbar ist, die durch die Anforderungseinheit 101 dann in die Anforderungsnachricht eingefügt wird. Die Ermittlungs¬ einheit 102 ist zusätzlich derart konfiguriert, die Sicher¬ heitsinformation 21 aus Informationen, die im Gerät 100 selbst enthalten sind, zu ermitteln.
Figur 6 stellt ein zweites Gerät 200 dar, das derart ausge¬ bildet ist, ein Zertifikat 30 mit einer Kennung der Sicher¬ heitseinstufung 31 auszuwerten und entsprechende Maßnahmen zu ermitteln und auszuführen.
Das zweite Gerät 200 umfasst eine Empfangseinheit 201, die derart ausgebildet ist, ein digitales Zertifikat mit einer Kennung der Sicherheitseinstufung zu empfangen. Es umfasst eine Überprüfungseinheit 202, die derart ausgebildet ist, die Kennung der Sicherheitseinstufung 31 zu überprüfen. Es umfasst des Weiteren eine Ausführungseinheit 203, die derart ausgebildet ist, die Sicherheitsmaßnahmen entsprechend einem Überprüfungsergebnis in Abhängigkeit von Sicherheitsregeln aus zuführen .
Figur 7 stellt eine Zertifikat-Ausstellungsvorrichtung zur Ausstellung eines digitalen Zertifikats 30 mit einer Kennung einer Sicherheitseinstufung 31 dar. Die Ausstellungsvorrichtung 300 enthält eine Eingabeeinheit 301, die eine Zertifi- katanfragenachricht entweder direkt von einem ersten Gerät
100 empfängt oder bereits eine überprüfte Zertifikatanfrage¬ nachricht 20 von einer separaten oder vorgelagerten Überprüfungsvorrichtung zu empfangen. Des Weiteren enthält die Aus- Stellungsvorrichtung 300 eine Prüfeinheit 302, die derart ausgebildet ist, eine in einer Zertifikatanforderungsnachricht empfangene Sicherheitsinformation gegenüber einer vorgegebenen Sicherheitsrichtlinie zu prüfen. Die Ausstellungs- Vorrichtung 300 umfasst des Weiteren eine Ausstellungseinheit 303, die derart ausgebildet ist, eine daraus ermittelte Ken¬ nung einer Sicherheitseinstufung 31 in das digitale Zertifikat 30 einzufügen. Über eine Ausstellungseinheit 303 wird die Kennung der Sicherheitseinstufung 31 als Erweiterungsdaten- struktur in dem digitalen Zertifikat 30 oder in ein Attributzertifikat, das dem digitalen Zertifikat 30 zugeordnet ist, eingefügt .
Eine Information über den Softwarestand des ersten Gerätes kann bei einer Anfrage zur Ausstellung eines Zertifikats auch unabhängig von der Anforderung einer Kennung der Sicherheitseinstufung überprüft werden. In diesem Fall wird kein lediglich die Information über den Softwarestand gegenüber einer Soll-Information geprüft und nur bei erfolgreichem Prüfungs- ergebnis ein Zertifikat ausgestellt. Optional kann im ausge¬ stellten Zertifikat auch eine Information zum Prüfergebnis enthalten sein. Ein kryptographische Schutz der Anforderungs¬ nachricht kann beispielsweise durch Prüfsumme bzw. digitale Signatur entsprechend der Anforderung einer Kennung einer Sicherheitseinstufung durchgeführt werden. Die Information zum Prüfergebnis der Information des Softwarestands wird da¬ bei unterschiedlich zur Kennung der Sichereinstufung interpretiert. Eine Information zum Prüfergebnis des Softwarestan¬ des kann auch zusätzlich zu einer Kennung der Sicherheitsein- stufung in ein Zertifikat eines ersten Gerätes eingetragen werden .
Alle beschriebenen und/oder gezeichneten Merkmale können im Rahmen der Erfindung vorteilhaft miteinander kombiniert wer- den. Die Erfindung ist nicht auf die beschriebenen Ausführungsbeispiele beschränkt.

Claims

Patentansprüche
1. Verfahren zur Überprüfung einer Sicherheitseinstufung eines ersten Geräts (11) mit Hilfe eines zugeordneten digitalen Zertifikats, umfassend die Schritte:
- Senden (2) eines digitalen Zertifikats mit einer Kennung der Sicherheitseinstufung (31) von dem ersten Gerät (11) an ein zweites Gerät (12),
- Überprüfen (3) der Kennung der Sicherheitseinstufung (31) gegenüber einer vorgegebenen Sicherheitsregel durch das zweite Gerät (12) ,
- Ausführen (4) von Sicherheitsmaßnahmen entsprechend dem Überprüfungsergebnis der Sicherheitsregeln.
2. Verfahren nach Anspruch 1, wobei das digitale Zertifikat mit einer Kennung der Sicherheitseinstufung (31) dem ersten Gerät (11), insbesondere bei der Fertigung oder Inbetriebnah¬ me des ersten Geräts (11), bereitgestellt wird.
3. Verfahren nach Anspruch 1, wobei das erste Gerät (11) selbst eine Ausstellung einer Kennung der Sicherheitseinstu¬ fung (31) in einem digitalen Zertifikat (30) bei einer Zerti¬ fikat-Ausstellungsvorrichtung (13) anfordert.
4. Verfahren nach Anspruch 1, wobei das erste Gerät (11) eine Ausstellung einer Kennung der Sicherheitseinstufung (31) in einem Attributzertifikat, das dem digitalen Zertifikat (30) des ersten Geräts (11) zugeordnet ist, bei einer Zertifikat- Ausstellungsvorrichtung (13) anfordert.
5. Verfahren nach einem der Ansprüche 2 bis 4, wobei in einer Anforderungsnachricht (20) zur Ausstellung des digitalen Zer¬ tifikats (30) eine Sicherheitsinformation (21) des ersten Geräts (11) an die Zertifikat-Ausstellungsvorrichtung (13) übermittelt wird.
6. Verfahren nach Anspruch 5, wobei das erste Gerät (11) die Sicherheitsinformation (21) selbst ermittelt und in die An- forderungsnachricht (20), bevorzugt in Form eines Attributs, einträgt .
7. Verfahren nach einem der Ansprüche 5 oder 6, wobei die Sicherheitsinformation (21) eine Information zum Softwarestand, insbesondere eine Version, ein Hashwert, eine digitale Signatur des Softwarestands oder eine Attestierung der Integ¬ rität der Software des ersten Gerätes (11) oder eine Attestie¬ rung einer Konfiguration des ersten Geräts (11) ist.
8. Verfahren nach einem der Ansprüche 5 bis 7, wobei die Zertifikat-Ausstellungsvorrichtung (13) die Sicherheitsinformation (21) gegenüber einer vorgegebenen Sicherheitsrichtlinie (21) prüft und ein digitales Zertifikat (30) mit einer ent- sprechenden Kennung einer Sicherheitseinstufung (31) ausstellt und an das erste Gerät (11) übermittelt.
9. Verfahren nach Anspruch 8, wobei die Zertifikat-Ausstel¬ lungsvorrichtung (13) lediglich bei einem positiven Prüfer- gebnis ein Zertifikat (30) ausstellt oder wobei die Zertifi¬ kat-Ausstellungsvorrichtung (13) auch bei einem negativen Prüfergebnis ein Zertifikat (30) ausstellt, das einen vorge¬ gebenen Wert der Kennung der Sicherheitseinstufung (31) enthält .
10. Verfahren nach einem der Ansprüche 1 bis 9, wobei die Kennung der Sicherheitseinstufung (31) als Erweiterungsdatenstruktur in dem digitalen Zertifikat (30) oder als Erweiterungsdatenstruktur in ein Attributzertifikat, das dem digita- len Zertifikat (30) zugeordnet ist, eingefügt wird.
11. Verfahren nach Anspruch 10, wobei die Kennung der Sicherheitseinstufung (31) ein Flag ist, das lediglich eine erfolgreiche Prüfung bestätigt, oder wobei die Kennung der Sicher- heitseinstufung (31) eine Datenstruktur ist, die Information über die überprüfte Sicherheitsinformation enthält.
12. Verfahren nach Anspruch 10 oder 11, wobei die Erweiterungsdatenstruktur zusätzlich zur Kennung der Sicherheitseinstufung (31) Information zu der der Sicherheitseinstufung zugrunde liegenden Sicherheitsrichtlinie enthält und/oder In- formation zu einer die Prüfung für die Zertifikat-Ausstel¬ lungsvorrichtung (13) ausführende Überprüfungsvorrichtung (14) enthält und/oder einen Gültigkeitszeitraum der Sicherheitseinstufung und/oder einen Verwendungszweckangabe enthält .
13. Verfahren nach einem der Ansprüche 1 bis 12, wobei die Kennung der Sicherheitseinstufung (31) im Rahmen einer
Authentisierung des ersten Geräts (11) bei einem Verbindungs¬ aufbau in einem zweiten Gerät (12) überprüft wird, oder bei einer Anfrage zur Diensterkennung in einem Netzwerk oder bei einer Autokonfiguration des ersten Geräts (11) in eine
Sicherheitszone eines Netzwerks überprüft wird oder zur Aus¬ wahl einer Netzwerkfilter-Regel verwendet wird.
14. Erstes Gerät zum Betrieb in einem Anlagenkommunikations¬ netz (10) enthaltend
- eine Ermittlungseinheit (102), die derart ausgebildet ist eine Sicherheitsinformation (21), zu ermitteln, und
- eine Anforderungseinheit (101), die derart ausgebildet ist die Sicherheitsinformation (21) in eine Anforderungsnachricht
(20) einzutragen, und die Anforderungsnachricht (20) zur Aus¬ stellung eines digitalen Zertifikats (30) mit einer Kennung der Sicherheitseinstufung (31) auszugeben.
15. Erstes Gerät nach Anspruch 14, wobei die Ermittlungseinheit (102) derart ausgebildet ist die Sicherheitsinformation
(21) aus Information, die im Gerät (11) selbst enthalten sind, insbesondere eine Information zum Softwarestand des ersten Geräts (11), bevorzugt eine Version, ein Hashwert, ei- ne digitale Signatur des Softwarestands oder eine Attestie¬ rung einer Konfiguration des ersten Geräts (11) oder eine Attestierung der Integrität der Software des ersten Gerätes (11), zu ermitteln.
16. Zweites Gerät, umfassend
- eine Empfangseinheit (201), die derart ausgebildet ist ein digitales Zertifikat (30) mit einer Kennung der Sicherheits- einstufung (31) zu empfangen,
- eine Überprüfungseinheit (202), die derart ausgebildet ist die Kennung der Sicherheitseinstufung (31) zu überprüfen, und
- eine Ausführungseinheit (203) , die derart ausgebildet ist Sicherheitsmaßnahmen entsprechend einem Überprüfungsergebnis unter Verwendung von Sicherheitsregeln auszuführen.
17. Zweites Gerät nach Anspruch 16, das derart ausgebildet ist,
die empfangene Kennung der Sicherheitseinstufung (31)
- im Rahmen einer Authentisierung eines ersten Geräts (11) bei einem Verbindungsaufbau zum zweiten Gerät (12, 200) zu überprüfen, oder
- im Rahmen einer Anfrage zur Diensterkennung in einem Netzwerk (10) zu überprüfen und/oder
- bei einer Anfrage nach Konfigurationsdaten durch ein erstes Geräts (11) zur Integration in eine Sicherheitszone eines Netzwerks (10) zu überprüfen und/oder
- bei einer Verbindungsaufbauanfrage zur Ermittlung von Netz¬ werkfilter-Regeln zu überprüfen.
18. Zertifikat-Ausstellungsvorrichtung zur Ausstellung eines digitalen Zertifikats (30) mit einer Kennung einer Sicherheitseinstufung (31), enthaltend
- eine Prüfeinheit (302), die derart ausgebildet ist, eine in einer Zertifikat-Anforderungsnachricht (20) empfangene
Sicherheitsinformation (21) gegenüber einer vorgegebenen Sicherheitsrichtlinie zu prüfen und
- eine Ausstellungseinheit (303) , die derart ausgebildet ist eine daraus ermittelte Kennung einer Sicherheitseinstufung (31) in das digitale Zertifikat (30) einzufügen.
19. Zertifikat-Ausstellungsvorrichtung nach Anspruch 18, wobei die Ausstellungseinheit (303) derart ausgebildet ist die Kennung der Sicherheitseinstufung (31) als Erweiterungsdatenstruktur in dem digitalen Zertifikat (30) oder in ein Attributzertifikat, das dem digitalen Zertifikat zugeordnet ist, auszugeben .
20. Computerprogrammprodukt, das direkt in einen programmier¬ baren Mikroprozessor ladbar ist, umfassend Programmcodeteile, die dazu geeignet sind, die Schritte des Verfahrens nach ei¬ nem der Ansprüche 1 bis 13 durchzuführen.
PCT/EP2016/082310 2016-01-14 2016-12-22 Verfahren zur überprüfung einer sicherheitseinstufung eines ersten geräts mit hilfe eines digitalen zertifikats, ein erstes und zweites gerät sowie eine zertifikat-ausstellungsvorrichtung WO2017121602A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
EP16823278.3A EP3371955A1 (de) 2016-01-14 2016-12-22 Verfahren zur überprüfung einer sicherheitseinstufung eines ersten geräts mit hilfe eines digitalen zertifikats, ein erstes und zweites gerät sowie eine zertifikat-ausstellungsvorrichtung
US16/069,202 US11134072B2 (en) 2016-01-14 2016-12-22 Method for verifying a security classification of a first device using a digital certificate, a first and second device and certificate issuing apparatus
CN201680078882.0A CN108476218A (zh) 2016-01-14 2016-12-22 用于借助数字证书检验第一设备的安全分级的方法、第一和第二设备以及证书签发装置

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102016200382.8 2016-01-14
DE102016200382.8A DE102016200382A1 (de) 2016-01-14 2016-01-14 Verfahren zur Überprüfung einer Sicherheitseinstufung eines ersten Geräts mit Hilfe eines digitalen Zertifikats, ein erstes und zweites Gerät sowie eine Zertifikat-Ausstellungsvorrichtung

Publications (1)

Publication Number Publication Date
WO2017121602A1 true WO2017121602A1 (de) 2017-07-20

Family

ID=57758609

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2016/082310 WO2017121602A1 (de) 2016-01-14 2016-12-22 Verfahren zur überprüfung einer sicherheitseinstufung eines ersten geräts mit hilfe eines digitalen zertifikats, ein erstes und zweites gerät sowie eine zertifikat-ausstellungsvorrichtung

Country Status (5)

Country Link
US (1) US11134072B2 (de)
EP (1) EP3371955A1 (de)
CN (1) CN108476218A (de)
DE (1) DE102016200382A1 (de)
WO (1) WO2017121602A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3484097A1 (de) * 2017-11-08 2019-05-15 Siemens Aktiengesellschaft Verfahren und validierungseinrichtung zum validieren eines digitalen zertifikats
WO2024076358A1 (en) * 2022-10-03 2024-04-11 Altiostar Networks, Inc. Managing cell sites in a radio access network
CN111492617B (zh) * 2017-11-08 2024-06-21 西门子歌美飒可再生能源公司 用于验证数字证书的方法和验证设备

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10740186B2 (en) * 2017-05-15 2020-08-11 The Boeing Company High data integrity processing system
DE102019216527A1 (de) * 2019-10-28 2021-04-29 Robert Bosch Gmbh Gerät, system und verfahren zum nachweis eines integritätszustands eines geräts
US11509480B2 (en) * 2020-06-30 2022-11-22 Vmware, Inc. Remote attestation based on runtime configuration
US11838427B2 (en) 2021-02-04 2023-12-05 International Business Machines Corporation Usage restrictions for digital certificates

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060048228A1 (en) * 2004-08-30 2006-03-02 Kddi Corporation; Keio University Communication system and security assurance device
WO2008130191A1 (en) * 2007-04-23 2008-10-30 Lg Electronics Inc. Method for using contents, method for sharing contents and device based on security level
US20100138908A1 (en) * 2005-06-28 2010-06-03 Ravigopal Vennelakanti Access Control Method And Apparatus
US8341717B1 (en) * 2008-11-13 2012-12-25 Sprint Communications Company L.P. Dynamic network policies based on device classification

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7650497B2 (en) * 2003-08-15 2010-01-19 Venafi, Inc. Automated digital certificate renewer
DE102005004612A1 (de) 2005-02-01 2006-08-10 Siemens Ag Verfahren zur Aufschaltung auf verschlüsselte Kommunikationsverbindungen in einem paketorientierten Netzwerk
US7509489B2 (en) * 2005-03-11 2009-03-24 Microsoft Corporation Format-agnostic system and method for issuing certificates
US7636938B2 (en) * 2005-06-30 2009-12-22 Microsoft Corporation Controlling network access
JP4501912B2 (ja) * 2006-08-17 2010-07-14 コニカミノルタビジネステクノロジーズ株式会社 画像形成認証システム
JP2010501103A (ja) 2006-08-18 2010-01-14 ホアウェイ・テクノロジーズ・カンパニー・リミテッド 認証のための方法およびシステム
US8131997B2 (en) * 2007-08-23 2012-03-06 Samsung Electronics Co., Ltd. Method of mutually authenticating between software mobility device and local host and a method of forming input/output (I/O) channel
CN101588244A (zh) * 2009-05-08 2009-11-25 中兴通讯股份有限公司 对网络设备进行鉴权的方法及系统
US8990891B1 (en) * 2011-04-19 2015-03-24 Pulse Secure, Llc Provisioning layer two network access for mobile devices
US8954732B1 (en) * 2012-06-27 2015-02-10 Juniper Networks, Inc. Authenticating third-party programs for platforms
CN102932333A (zh) 2012-10-07 2013-02-13 潘铁军 一种移动支付的安全设备、系统和方法
JP6079394B2 (ja) * 2013-04-11 2017-02-15 富士通株式会社 証明書生成方法、証明書生成装置、情報処理装置、通信機器、及びプログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060048228A1 (en) * 2004-08-30 2006-03-02 Kddi Corporation; Keio University Communication system and security assurance device
US20100138908A1 (en) * 2005-06-28 2010-06-03 Ravigopal Vennelakanti Access Control Method And Apparatus
WO2008130191A1 (en) * 2007-04-23 2008-10-30 Lg Electronics Inc. Method for using contents, method for sharing contents and device based on security level
US8341717B1 (en) * 2008-11-13 2012-12-25 Sprint Communications Company L.P. Dynamic network policies based on device classification

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3484097A1 (de) * 2017-11-08 2019-05-15 Siemens Aktiengesellschaft Verfahren und validierungseinrichtung zum validieren eines digitalen zertifikats
WO2019091935A1 (de) 2017-11-08 2019-05-16 Siemens Aktiengesellschaft Verfahren und validierungseinrichtung zum validieren eines digitalen zertifikats
CN111492617A (zh) * 2017-11-08 2020-08-04 西门子歌美飒可再生能源公司 用于验证数字证书的方法和验证设备
US11588647B2 (en) 2017-11-08 2023-02-21 Siemens Gamesa Renewable Energy A/S Method and validation device for validating a digital certificate
CN111492617B (zh) * 2017-11-08 2024-06-21 西门子歌美飒可再生能源公司 用于验证数字证书的方法和验证设备
WO2024076358A1 (en) * 2022-10-03 2024-04-11 Altiostar Networks, Inc. Managing cell sites in a radio access network

Also Published As

Publication number Publication date
US11134072B2 (en) 2021-09-28
US20190028466A1 (en) 2019-01-24
DE102016200382A1 (de) 2017-07-20
EP3371955A1 (de) 2018-09-12
CN108476218A (zh) 2018-08-31

Similar Documents

Publication Publication Date Title
EP3371955A1 (de) Verfahren zur überprüfung einer sicherheitseinstufung eines ersten geräts mit hilfe eines digitalen zertifikats, ein erstes und zweites gerät sowie eine zertifikat-ausstellungsvorrichtung
EP2936259B1 (de) Aktualisieren eines digitalen geräte-zertifikats eines automatisierungsgeräts
EP3125492A1 (de) Verfahren und system zum erzeugen eines sicheren kommunikationskanals für endgeräte
WO2019034509A1 (de) Verfahren zum sicheren ersetzen eines bereits in ein gerät eingebrachten ersten herstellerzertifikats
EP3226464A1 (de) Datenstruktur zur verwendung als positivliste in einem gerät, verfahren zur aktualisierung einer positivliste und gerät
EP3951516A1 (de) System und verfahren zum verifizieren von komponenten eines industriellen kontrollsystems
EP3111609B1 (de) Verwendung von zertifikaten mittels einer positivliste
EP3695337B1 (de) Verfahren und bestätigungsvorrichtung zur integritätsbestätigung eines systems
WO2015110233A1 (de) Verfahren, verwaltungsvorrichtung und gerät zur zertifikat-basierten authentifizierung von kommunikationspartnern in einem gerät
EP3821582A1 (de) Verfahren zur einrichtung eines berechtigungsnachweises für ein erstes gerät
WO2020221523A1 (de) Verfahren zur vergabe von zertifikaten, leitsystem, verwendung eines solchen, technische anlage, anlagenkomponente und verwendung eines identitätsproviders
DE102016208284A1 (de) Verbessern einer Geräteauthentifizierung mit Hilfe von Geräteüberwachungsdaten
EP3025476B1 (de) Anpassen von zugriffsregeln für einen datenaustausch zwischen einem ersten netzwerk und einem zweiten netzwerk
EP3993339B1 (de) Zertifikatsmanagement in einer technischen anlage
EP3832508B1 (de) Sperrung oder widerruf eines gerätezertifikats
EP3906653B1 (de) Verfahren zum ausstellen einer kryptographisch geschützten authentizitätsbescheinigung für einen benutzer
WO2023194051A1 (de) Ausbilden einer kryptographisch geschützten verbindung
EP4333363A1 (de) Verfahren zur ausstellung eines zertifikats und computerimplementierte registrierungsstelle
EP4254233A1 (de) Verfahren und system zur gesicherten ausführung von steuerungsanwendungen, host
EP4250146A1 (de) Interaktion physischer entitäten
WO2023094514A1 (de) Leitsystem für eine verfahrenstechnische anlage und verfahren zum erstellen einer automatisierung für komponenten einer verfahrenstechnischen anlage
EP4181462A1 (de) Verfahren für ein zertifikatsmanagement für heterogene anlagen, computersystem und computerprogrammprodukt
WO2024110524A1 (de) Sicheres technisches modul
WO2023180047A1 (de) Verfahren und vorrichtung zum betreiben eines automatisierungssystems
WO2020173903A1 (de) In einem anlagenplanungswerkzeug integriertes zertifikatsmanagement

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16823278

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE