WO2022069247A1 - Device and method for setting up a service-based authentication - Google Patents

Device and method for setting up a service-based authentication Download PDF

Info

Publication number
WO2022069247A1
WO2022069247A1 PCT/EP2021/075516 EP2021075516W WO2022069247A1 WO 2022069247 A1 WO2022069247 A1 WO 2022069247A1 EP 2021075516 W EP2021075516 W EP 2021075516W WO 2022069247 A1 WO2022069247 A1 WO 2022069247A1
Authority
WO
WIPO (PCT)
Prior art keywords
service
certificate
csr
registration authority
software module
Prior art date
Application number
PCT/EP2021/075516
Other languages
German (de)
French (fr)
Inventor
Sebastian Bode
Andreas Scholz
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2022069247A1 publication Critical patent/WO2022069247A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Definitions

  • the present invention relates to means for setting up an authentication of a service using a service-related certificate.
  • technologies that were previously reserved for server-based data processing are also finding their way into industrial devices - i.e. into intelligent field devices, sensors, actuators and control units of automation technology as well as into automation systems themselves.
  • These technologies also include virtualization environments, ie execution environments that allow modular execution of individually separated software modules, with the software modules being able to be distributed to a plurality of devices and used by an orchestration service.
  • the software modules can be a container within a container virtualization or a guest system within a virtualization defined by a hypervisor environment.
  • microservices are run on one or more containers of dynamically selected field devices, or a container on one field device is terminated and a container is created on another field device instead in order to run parts of the applications there.
  • This "elastic" environment which is characterized by an orchestration of services that transcends device boundaries, previously self-evident persistent couplings of a service to "its" device and thus also to communication parameters - such as e.g. B. a MAC address of the device - with which the service can be reliably addressed and possibly was also identifiable .
  • a logic working on a rule-based basis as the recipient of the device-related certificate will refuse to accept this device-related certificate as the basis for authentication of a software module run on the device. Such a recipient will also refuse to use this device-related certificate as a basis for an authentication of a service offered by the running software module, ie as the basis of a service-related authentication.
  • the present invention is therefore faced with the task of creating means for setting up a service-related authentication of services that are characterized by an orchestration that goes beyond device boundaries.
  • the method according to the invention for setting up a service-related authentication comprises the steps: a) initialization of a software module in an execution environment of a device at the instigation of an orchestration service, the software module comprising at least one service; b) creating a certificate request using at least one service-related attribute; c) transmission of the certificate application to a device-internal registration point; d) Transmission of the certificate application with a public key of an asymmetric key pair from the internal registration office to a device-external registration office; e ) receipt by the device of a service - related certificate corresponding to the certificate request ; and; f) Use of the service-related certificate to authenticate the service.
  • the invention is characterized by a device-internal registration authority or Local Registration Authority, LRA for short, which accepts a certificate application from a service and authentically forwards this certificate application to a device-external registration authority.
  • LRA Local Registration Authority
  • the certificate application is linked to a specific service as well as to a specific device. After a certificate application has been approved and a certificate has been assigned, it is kept in the device and can now be presented for service-related authentication.
  • a software module is initialized in an execution environment of a device.
  • Software modules are understood to mean, in particular, software modules in a virtualized work environment, for example in a container virtualization or in a virtualization defined by a hypervisor environment.
  • Initialization of a software module is to be understood as meaning that software modules are run or terminated on selected devices, depending on the available resources, and are instead created, run, or, in other words, initialized, on another device.
  • the monitoring of resources, the selection of devices, the initialization and termination of software modules or Services are provided by a server or Server service, commonly referred to as an orchestration service.
  • a software module can include one or more services and a service can be distributed over several software modules, including software modules on different devices.
  • a certificate application is created using at least one service-related attribute, ie an attribute that is preferably assigned individually to a service.
  • This service-related attribute is preferably used to create a reference to the service through which the certificate application is also made.
  • a second service can also submit a certificate request for a first service instead of a first service or on behalf of a first service, with the service-related attribute of the first service preferably being used to create the certificate request.
  • a unique reference to the service is established, for example, in that the service uses a service name assigned to it as a service-related attribute.
  • a signed service-related attribute is optionally used, that is to say a service-related attribute in a form signed by a trustworthy authority.
  • the trustworthy body can be, for example, the orchestration service, which makes the assignment by inserting the service-related attribute into the software module, for example a container, or brings in its associated configuration data.
  • steps c) and d) of the method according to the invention is a transmission of the certificate request - in the professional world as a Certi ficate Signing Request or.
  • CSR known - via a device-internal registration authority - Local Registration Authority, short LRA - to a device-external registration authority - Registration Authority, short RA - provided.
  • the certificate application is transmitted using a public key from an asymmetric key pair.
  • the associated private key of this asymmetric pair of keys remains in a location in the device, which is the subject of further refinements. In any case, the private key preferably remains within the device.
  • the generation of this asymmetric pair of keys is also the subject of further refinements.
  • the asymmetrical key This pair can either be generated on the occasion of the certificate application or already be stored in another device-internal location.
  • This point is preferably a storage module or also Trusted Platform Module, TPM for short, ie a hardware module for calculating and/or storing cryptographic data, which is usually installed in isolation in the device.
  • the certificate application is, for example, an electronic form or a text file in a well-defined format and contains not only textual application data but also the public key.
  • the transmission of the certificate request with the public key of the asymmetric key pair proposed in step d) from the device-internal registration authority to the device-external registration authority can be met in such a way that the public key in step b), ie in the course of creating the certificate application; or ; in step c), ie in the course of a transmission of the certificate application to the device-internal registration point; or ; in step d), ie before or in the course of a transmission of the certificate application from the device-internal registration point to the device-external registration point; is added to the certificate application.
  • All of the three configuration variants mentioned above are encompassed by the invention and form a basis for a wide range of advantageous configurations within the scope of the invention.
  • a service-related certificate corresponding to the certificate application is received by the device and stored there for later use, for example in a volatile memory area assigned to the service or in a volatile memory area assigned to the software module or in the safekeeping module or .
  • Trusted Platform Module, TPM for short, of the device, where it is available on demand by a service - in particular by the service for which the service-related certificate was created.
  • the certificate only issued if the certificate application was submitted via the device-internal registration authority and it is proven by an ownership factor - i.e. a submission of at least one service-related attribute - that a certificate with the content in accordance with the certificate application is to be issued for the certificate application by this device-internal registration authority.
  • step f) of the method according to the invention after the service-related certificate has been deposited, this service-related certificate is now used for authentication and/or for identification of the service.
  • the invention also relates to a device set up for generating and using a service-related authentication, which comprises the following components:
  • an execution environment for initializing a software module comprising at least one service at the instigation of an orchestration service
  • a device-internal registration point for receiving a certificate request using at least one service-related attribute and for transmitting the certificate request with a public key of an asymmetric key pair to a device-external registration point; and; an interface for receiving a service-related certificate corresponding to the certificate request.
  • the invention was motivated by problems in an "elastic" environment, as a result of which traditional couplings - with which the service could be reliably addressed and identified - of a service to a device or to communication parameters - such as e.g. B. a MAC address of the device - no longer exist.
  • a basic idea of the invention is that from the point of view of a server or a service running on another device, it must be irrelevant on which device a service to be addressed is running. Ideally, the server should be able to use only the certificate to determine divorce, whether the right service reports to him.
  • the invention solves this need by means of a service-related certificate, the content of which includes the service-related attribute that was already part of the certificate application.
  • the method according to the invention has the further advantage that when a software module is moved from a first to a second device ordered by the orchestration service, it does not require that private keys—as a basis for cryptographic operations—have to be exchanged as a result of the move. If a software module is moved at the instigation of an orchestration service, ie terminated on a first device and reinitialized on a second device, the method according to the invention is used again on the second device designed according to the invention by submitting a certificate application on the second device. A private key generated or reused in this way remains in the second device, while the private key used before the move remains on the first device, without the need for a move of the private key that potentially compromises security. An even more secure embodiment provides that the keys remain stored in a TPM (Trusted Platform Module) within the device and cannot leave it.
  • TPM Trustet Platform Module
  • the method according to the invention for obtaining the certificates has the further advantage that the method takes place autonomously, as required and fully automatically.
  • earlier devices provided for an initial implementation of devices with a previously planned equipment with cryptographic key pairs, which could only be supplemented or replaced by individual and therefore largely non-automatic updates. These updates naturally result in at least a temporary loss of device availability.
  • the fully automatic and needs-based procurement of the certificates according to the method according to the invention ensures a high level of availability, particularly in the event that other tere instances of a service or an application are started, which in turn should receive service-related certificates for their authentication.
  • a first proof of entitlement is provided by the device:
  • the certificate is preferably only issued if the certificate application is submitted via the device-internal registration authority.
  • a second proof of authorization is provided by the orchestration service, which stores the service-related attribute at least indirectly when a software module is initialized.
  • the orchestration service stores the service-related attribute at least indirectly when a software module is initialized.
  • the invention makes it possible to bind a certificate to a physical trust anchor, e.g. B. to dynamically change a custody module or Trusted Platform Module, or TPM for short, and thus dynamically switch between services, software modules or containers that have a certificate
  • the invention enables encrypted communication at the service level using the TLS protocol (Transport Layer Security) and by submitting a service-related Authentication - that is, the service-related certificate produced according to the invention or Client Certificates . It is also possible for services to authenticate themselves to other services.
  • TLS protocol Transport Layer Security
  • the submission of a client certificate for unilateral or bilateral authentication makes the TLS transmission protocol even more secure with regard to a middleman or Man in the Middle Attack.
  • the software module is a container within a container virtualization. According to an alternative embodiment of the method according to the invention, it is provided that the software module is a guest system within a virtualization defined by a hypervisor environment.
  • the certificate application is created using at least one device-related attribute. It can therefore be provided that in the certificate application - and consequently also in the application by a certification body or certi ficate authority or CA created and returned by the device-external registration authority certi fikat - in addition to the service identi fi cial information also the field device identifying information is available. This measure improves double coupling of the certificate to the service and to the device. Provision can also be made for one of the certification bodies or Certi ficate Authority or A list is kept at the CA-assigned authority, which devices have received which certificates for which services. Based on this information, certificates can be revoked during de-commissioning.
  • the service-related attribute includes at least one service name assigned to the service.
  • the service-related attribute is signed with a digital signature, for example the digital signature of a trustworthy authority.
  • the trustworthy body can be an orchestration service, for example, which initializes the software module or made the assignment of the service.
  • Such an orchestration service can, for example, be part of container orchestration software - e.g. B. the open source software Kubernetes for automating the deployment, scaling and management of container applications - which makes the assignment, for example by putting the information in the container or . brings in the associated configuration data.
  • the signed i . H .
  • An authentic, service-related attribute is inserted into the certificate request, which, according to the invention, is forwarded by the device-internal registration authority to the device-external registration authority.
  • the signed service-related attribute can also be stored in a trustworthy database. In such a database, the service-related attribute and other information can be retrieved, which services are to be run on which devices.
  • each service or each instance of a service also receives a secret identifier, by means of which it can provide proof to the device-external registration authority and/or to the certification authority that a certificate issuance for a specific identity is provided by an orchestration service.
  • a certificate is preferably only issued if the certificate application has been submitted via the device-internal registration authority and—z. B. it is proven by an ownership factor or a database query that a certificate with the content in accordance with the certificate application is to be issued on the certificate application of this device-internal registration authority.
  • the certificate request is transmitted in a transport-secure manner, in particular by using an SSL protocol, a TLS protocol (Transport Layer Security) or a CMS protocol (Cryptographic Message Syntax).
  • a transport-secured transmission or, in other words, an encryption of the data to be transmitted, in addition to guaranteeing that the data cannot be changed, is an essential aspect of secure communication. Encryption is now mainly carried out using TLS (Transport Layer Security), which enables anonymous, unilaterally authenticated and/or mutually authenticated secure connections to be set up.
  • the TLS transmission protocol is more secure if the transport-secured communication to be set up is based on a digital certificate for unilateral authentication. Without certificate-based authentication, TLS is more susceptible to a middleman or Man in the Middle Attack . If an intermediary is active before a key is exchanged, he can fake his own key on both sides and thus eavesdrop on the data transmission and also manipulate it unnoticed.
  • a device-related certificate is used for authentication to the device-external registration authority and, optionally further, to the certification authority.
  • the use of a device-related certificate for authentication to the device-external registration authority has two advantages: on the one hand, the device-related certificate is a surrogate for the service-related certificate that does not yet exist; fi cation body serve to further examine the certificate application with regard to the service-related and also the device-related coupling.
  • the validity of the service-related certificate is limited to a period of time or to an expiration date.
  • the validity of a certificate is preferably limited to a relatively short period of time, measured against a period in which a software module remains active in an execution environment.
  • FIG. a schematic representation of an exemplary embodiment of a device.
  • the FIG shows a device DVC which, in connection with other devices (not shown) of the same, similar or different type, participates in a packet-oriented network NW in such a way that at least at times wireless or wired communication links are set up between the device DVC and other partners in the communication links could .
  • An orchestration server with an orchestration server running on it is also connected via the packet-oriented network NW.
  • the registration authority RA is communicatively linked, at least at times, to a certification authority CA or else a certi ficate authority.
  • the device DVC includes a network interface IF, an execution unit CTR and a storage module TPM or Trusted Platform Module, TPM for short, in a manner customary in the art, ie a hardware module isolated in the device DVC for calculating and/or storing cryptographic data.
  • the custody module TPM can be designed as a keymaster trusted application, ie as software that runs in a secure context. The keymaster has access to original cryptographic material maintained through a keystore and performs all keystore operations.
  • the custody module TPM can be used as a Trusted Execution Environment or TEE can be implemented, for example in an area on a chipset assigned to the execution unit CTR, which works like a Trusted Platform Module, but is not physically isolated from the rest of the chip.
  • the storage module TPM can be designed as a secure element. Secure Element is also a physically separate, tamper-proof memory module for storing cryptographic data, which is often used as an EMV chip on payment or Debit cards are used. The abbreviation EMV designates three companies Europay International, MasterCard and VISA, which had this chip developed.
  • the device DVC also includes an execution environment CEN for initializing software modules D1, D2, D3 at the instigation of the orchestration service ORC.
  • the device DVC is therefore set up to operate a virtualization environment which allows a modular design of the logically separated software modules D1, D2, D3.
  • the device DVC comprises a device-internal registration center LRA for receiving a certificate request CSR using at least one service-related attribute of the service and for transmitting the certificate request CSR with a public key of an asymmetric key pair to the device-external registration center RA.
  • the handover of the certificate application CSR from the service to the device-internal registration authority LRA is shown in the drawing with dashed lines in order to hide the physical path of the handover, which is ignored due to the modular nature and the complex interaction of the execution environment CEN with the execution unit CTR, in favor of a simpler representation logical handover .
  • the device DVC is thus characterized in particular by the device-internal registration point LRA, which accepts the certificate request CSR from the service and authentically sends this certificate request CSR to the device-external registration point RA passes on .
  • the device-external registration authority RA forwards this certificate application CSR to the certification authority CA after an optional check.
  • the certificate application CSR is created using at least one service-related attribute, ie an attribute that is preferably assigned individually to a service.
  • a reference to the service is preferably established with this service-related attribute.
  • the service-related attribute contains at least one service name assigned to the service.
  • the certificate application CSR is related both to the specific service and also to the specific device DVC.
  • This double coupling of the certificate to the service and to the device can be further strengthened.
  • the device DVC is also assigned a device-related certificate--not shown--which contains the public key of the device DVC, information about the device DVC, such as identity, type and possibly information about the issuer of the certificate. Provision can be made for the certificate request CSR to contain information identifying the device in addition to information identifying the service.
  • Both the device-related certificate (not shown) and the service-related certificate CTF are usually signed by an issuing certification authority CA, so the certificates do not necessarily have to be stored in the storage module TPM, but can be stored in any memory area of the device DVC will .
  • the certificate request CSR is transmitted to the device-external registration authority RA and to the certification authority CA together with a public key of an asymmetric key pair.
  • This asymmetric key pair can be generated by the service, or alternatively or with further involvement of the execution entity CTR and/or the repository module TPM.
  • the asymmetric pair of keys can either be generated on the occasion of the CSR certificate request or already be stored in another device-internal location, in particular the storage module TPM.
  • the associated private key of this asymmetric key pair remains in a volatile or non-volatile memory area managed by the service, by the execution unit CTR and/or by the custody module TPM.
  • a service-related certificate CTF corresponding to the certificate application CSR is received and stored in the device CSR for later use, for example in a volatile memory area assigned to the service or in a volatile memory area allocated to the software module D1, where the certificate CTF is available on demand by the service.
  • the CTF certificate can then be presented for a service-related authentication of the service.
  • the means according to the invention enable the service to issue verified certificates such as X. 509 certificates in an “elastic” environment characterized by a cross-device orchestration of services, without the need to expose private keys outside of the service.
  • Asymmetric key pairs, in particular private keys of the service can be stored in the custody module TPM, so that no traces remain on volatile or non-volatile memory areas of the device DVC.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

The present invention relates to setting up a service-based authentication of services that are characterised by an orchestration that exceeds device limits in virtualisation environments, for example in container technology. In this context, hitherto self-evident persistent couplings of a service to a device or to communication parameters by means of which it was possible to reliably address and if necessary also identify the service are discontinued. In order to set up a service-based authentication of the service in this elastic environment, a device-internal registry or local registration authority is provided according to the invention. This measure establishes a relationship both between a certificate request made by the service and the specific service and between a certificate request made by the service and the specific device. After a certificate is assigned according to the certificate request, the certificate is held available and can be presented for service-based authentication. In the course of a relocation, ordered by the orchestration service, of a container to a new device, it is not required for private keys to be taken to the new device as a consequence of the relocation. Instead, the method according to the invention is applied again to the new device.

Description

Beschreibung description
Gerät und Verfahren zur Einrichtung einer dienstbezogenen Au- thentisierung Device and method for setting up service-related authentication
Die vorliegende Erfindung betri f ft Mittel zur Einrichtung einer Authentisierung eines Dienstes mittels eines dienstbezogenen Zerti fikats . The present invention relates to means for setting up an authentication of a service using a service-related certificate.
Mit einer zunehmenden Implementierung cloudbasierter Architekturen in industriellen Fertigungsumgebungen halten auch in industriellen Geräten - also in intelligenten Feldgeräten, Sensoren, Aktoren und Steuerungseinheiten der Automatisierungstechnik sowie in Automatisierungssystemen selbst - Technologien Einzug, welche bislang einer servergestützten Datenverarbeitung vorbehalten waren . Zu diesen Technologien zählen auch Virtualisierungsumgebungen, also Aus führungsumgebungen, welche eine modulare Aus führung einzeln abgetrennter Softwaremodulen erlauben, wobei die Softwaremodule durch einen Orchestrierungsdienst auf eine Mehrzahl von Geräten verteilt und zum Einsatz gebracht werden können . Die Softwaremodule können j e nach eingesetzter Virtualisierungsumgebungen ein Container innerhalb einer Containervirtualisierung oder ein Gastsystem innerhalb einer durch einen Hypervisorumgebung definierten Virtualisierung sein . In Anwendung der Containertechnologie werden Anwendungen bzw . Apps sowie Mikrodienste bzw . Microservices j e nach verfügbaren Ressourcen auf einem oder mehreren Containern dynamisch ausgewählter Feldgerät zum Ablauf gebracht oder auch ein Container auf einem Feldgerät beendet und stattdessen ein Container auf einem anderen Feldgerät erzeugt , um Teile der Anwendungen dort zum Ablauf zu bringen . Durch dieses »elastische« Umfeld, welches durch eine Gerätegrenzen überschreitende Orchestrierung von Diensten geprägt ist , werden bisher selbstverständliche persistente Kopplungen eines Dienstes an »sein« Gerät und somit auch zu Kommunikationsparametern - wie z . B . einer MAC-Adresse des Geräts - aufgegeben, mit denen der Dienst zuverlässig ansprechbar und ggf . auch identi fi zierbar war . Im Zuge einer steigenden Komplexität industrieller Automatisierungssysteme entsteht ein zunehmender Bedarf , Feldgeräte bereits auf einer Feldebene mit einer Fähigkeit zur Kommunikation untereinander aus zustatten, um von diesen erfasste Daten nicht einfach nur in Richtung einer höhere Leitebene zu liefern, sondern die erfassten Daten bereits auf Feldebene zu strukturieren, aggregieren, interpretieren und/oder zusammenzuführen . With the increasing implementation of cloud-based architectures in industrial manufacturing environments, technologies that were previously reserved for server-based data processing are also finding their way into industrial devices - i.e. into intelligent field devices, sensors, actuators and control units of automation technology as well as into automation systems themselves. These technologies also include virtualization environments, ie execution environments that allow modular execution of individually separated software modules, with the software modules being able to be distributed to a plurality of devices and used by an orchestration service. Depending on the virtualization environment used, the software modules can be a container within a container virtualization or a guest system within a virtualization defined by a hypervisor environment. In the application of container technology, applications or Apps and microservices or Depending on the available resources, microservices are run on one or more containers of dynamically selected field devices, or a container on one field device is terminated and a container is created on another field device instead in order to run parts of the applications there. Through this "elastic" environment, which is characterized by an orchestration of services that transcends device boundaries, previously self-evident persistent couplings of a service to "its" device and thus also to communication parameters - such as e.g. B. a MAC address of the device - with which the service can be reliably addressed and possibly was also identifiable . In the course of increasing complexity of industrial automation systems, there is an increasing need to equip field devices with the ability to communicate with one another at field level, in order not simply to deliver the data recorded by them in the direction of a higher control level, but to send the recorded data to the field level structure, aggregate, interpret and/or merge .
Da mit einer zunehmend vielschichtigen Vernetzung der industriellen Feldebene mit der Leitebene , einer Unternehmensebene oder sogar dem Internet eine Absicherung der Kommunikation durch eine physische Abtrennung von einzelnen Netzwerken oder Netzwerksegmenten nicht mehr möglich ist , wird zunehmend darüber nachgedacht , kryptographische Verfahren bereits auf der Feldebene einzusetzen, um in Softwaremodulen ablaufende Diensten eine sichere Kommunikation mit anderen Diensten zu ermöglichen . Since, with the increasingly complex networking of the industrial field level with the control level, a company level or even the Internet, it is no longer possible to secure communication by physically separating individual networks or network segments, there is increasing thought about using cryptographic methods at the field level. to enable services running in software modules to communicate securely with other services.
Ein Einsatz kryptographischer Verfahren in modularen Diensten erfordert eine dienstbezogenen Authentisierung, also ein mit kryptographischen Mitteln fälschungssicher und belegbar gestaltetes Nachweismittel , mit dem ein Dienst seine eigene Identität belegen - sich also authentisieren - kann . Derzeit existieren zwar digitale Zerti fikate , welche eine Authentisierung des Geräts ermöglichen . Eine Vorlage eines solchen gerätbezogenen Zerti fikats allein ermöglicht j edoch nur die Authentisierung des Geräts und lässt keine Rückschlüsse auf die Echtheit , Überprüfbarkeit und Vertrauenswürdigkeit der auf dem Gerät zum Ablauf gebrachten Softwaremodule zu, zumal die Initialisierung dieser Dienste nicht dem Gerät obliegt , sondern dem Orchestrierungsdienst . Eine regelbasiert arbeitende Logik als Empfänger des gerätbezogenen Zerti fikats wird es ablehnen, dieses gerätbezogene Zerti fikat als Grundlage für eine Authentisierung eines am Gerät zum Ablauf gebrachten Softwaremoduls zu akzeptieren . Ein solcher Empfänger wird es auch ablehnen, dieses gerätbezogene Zerti fikat als Grundlage für eine Authentisierung eines durch das ablaufende Softwaremodul angebotenen Dienstes , also als Grundlage einer dienstbezogenen Authentisierung, zu akzeptieren . The use of cryptographic methods in modular services requires service-related authentication, i.e. a forgery-proof and verifiable means of proof designed with cryptographic means, with which a service can prove its own identity - i.e. authenticate itself. There are currently digital certificates that enable the device to be authenticated. However, the presentation of such a device-related certificate alone only enables the authentication of the device and does not allow any conclusions to be drawn about the authenticity, verifiability and trustworthiness of the software modules running on the device, especially since the initialization of these services is not the responsibility of the device but of the orchestration service . A logic working on a rule-based basis as the recipient of the device-related certificate will refuse to accept this device-related certificate as the basis for authentication of a software module run on the device. Such a recipient will also refuse to use this device-related certificate as a basis for an authentication of a service offered by the running software module, ie as the basis of a service-related authentication.
Selbst wenn ein Empfänger eines gerätbezogenen Zerti fikats entscheidet , dass das empfangene Zerti fikat nicht nur bezüglich des Geräts vertrauenswürdig ist , sondern auch bezüglich eines angebotenen Dienstes der auf dem Gerät zum Ablauf gebrachten Softwaremodule , kann dieses gerätbezogene Zerti fikat nicht den Dienst identi fi zieren, da das Zerti fikat aufgrund seines Zerti fikat-inhärenten Schutzes gegen Veränderungen nicht so angepasst werden kann, dass es den Dienst angibt , für den es zur dienstbezogenen Authentisierung Verwendung finden soll . Es bleibt fest zuhalten, dass eine dienstbezogene Authentisierung für orchestrierte Dienste derzeit nicht zufriedenstellend gelöst ist . Even if a recipient of a device-related certificate decides that the received certificate is trustworthy not only with regard to the device, but also with regard to an offered service of the software modules running on the device, this device-related certificate cannot identify the service, since the certificate cannot be adapted to specify the service for which it is intended to be used for service-related authentication, due to its certificate-inherent protection against changes. It is clear that service-related authentication for orchestrated services has not yet been satisfactorily resolved.
Die vorliegende Erfindung ist somit vor die Aufgabe gestellt , Mittel zur Einrichtung einer dienstbezogenen Authentisierung von Diensten zu schaf fen, welche durch eine Gerätegrenzen überschreitende Orchestrierung geprägt sind . The present invention is therefore faced with the task of creating means for setting up a service-related authentication of services that are characterized by an orchestration that goes beyond device boundaries.
Die Aufgabe wird durch ein Verfahren mit den Merkmalen des Patentanspruchs 1 gelöst . The task is solved by a method with the features of patent claim 1 .
Das erfindungsgemäße Verfahren zur Einrichtung einer dienstbezogenen Authentisierung, umfasst die Schritte : a) Initialisierung eines Softwaremoduls in einer Aus führungsumgebung eines Geräts auf Veranlassung eines Orchestrierungsdienstes , wobei das Softwaremodul mindestens einen Dienst umfasst ; b) Erstellen eines Zerti fikatsantrags unter Verwendung mindestens eines dienstbezogenen Attributs ; c) Übermittlung des Zerti fikatsantrags an eine gerätinterne Registrierungsstelle ; d) Übertragung des Zerti fikatsantrags mit einem öf fentlichen Schlüssel eines asymmetrischen Schlüsselpaars von der ge- rätinternen Registrierungsstelle an eine gerätexterne Registrierungsstelle ; e ) Empfang eines dem Zerti fikatsantrag entsprechenden dienstbezogenen Zerti fikats durch das Gerät ; und; f ) Verwendung des dienstbezogenen Zerti fikats zur Authenti- sierung des Dienstes . The method according to the invention for setting up a service-related authentication comprises the steps: a) initialization of a software module in an execution environment of a device at the instigation of an orchestration service, the software module comprising at least one service; b) creating a certificate request using at least one service-related attribute; c) transmission of the certificate application to a device-internal registration point; d) Transmission of the certificate application with a public key of an asymmetric key pair from the internal registration office to a device-external registration office; e ) receipt by the device of a service - related certificate corresponding to the certificate request ; and; f) Use of the service-related certificate to authenticate the service.
Die Erfindung ist geprägt von einer gerätinternen Registrierungsstelle oder Local Registration Authority, kurz LRA, welche einen Zerti fikatsantrag von einem Dienst entgegennimmt und diesen Zerti fikatsantrag authentisch an eine gerätexterne Registrierungsstelle weitergibt . Mit dieser Maßnahme wird ein Bezug des Zerti fikatsantrags sowohl zu einem spezi fischen Dienst also auch zu einem spezi fischen Gerät hergestellt . Nach einer zerti fikatsantragsgemäßen Bewilligung und Zuweisung eines Zerti fikats wird dieses im Gerät vorgehalten und kann nun für eine dienstbezogene Authentisierung vorgelegt werden . The invention is characterized by a device-internal registration authority or Local Registration Authority, LRA for short, which accepts a certificate application from a service and authentically forwards this certificate application to a device-external registration authority. With this measure, the certificate application is linked to a specific service as well as to a specific device. After a certificate application has been approved and a certificate has been assigned, it is kept in the device and can now be presented for service-related authentication.
In Schritt a ) des erfindungsgemäßen Verfahrens ist eine Initialisierung eines Softwaremoduls in einer Aus führungsumgebung eines Geräts vorgesehen . Als Softwaremodule werden insbesondere Softwaremodule in einer virtualisierten Arbeitsumgebung verstanden, beispielweise in einer Containervirtuali- sierung oder in einer durch eine Hypervisorumgebung definierten Virtualisierung . Unter einer Initialisierung eines Softwaremoduls ist zu verstehen, dass Softwaremodule j e nach verfügbaren Ressourcen auf ausgewählten Geräten zum Ablauf gebracht oder auch beendet und stattdessen auf einem anderen Gerät erzeugt , zum Ablauf gebracht , oder, mit anderen Worten initialisiert werden . Die Überwachung der Ressourcen, die Auswahl von Geräten, die Initialisierung und Beendigung von Softwaremodulen bzw . Diensten erfolgt durch einen Server bzw . Serverdienst , auf welchen üblicherweise als Orchestrierungsdienst Bezug genommen wird . Ein Softwaremodul kann dabei einen oder mehrere Dienste umfassen und ein Dienst kann über mehrere Softwaremodule , auch Softwaremodulen auf verschiedenen Geräten, verteilt sein . In Schritt b ) des erfindungsgemäßen Verfahrens ist ein Erstellen eines Zerti fikatsantrags unter Verwendung mindestens eines dienstbezogenen Attributs , also eines einem Dienst vorzugsweise individuell zugewiesenen Attributs , vorgesehen . Vorzugsweise wird mit diesem dienstbezogenen Attribut ein Bezug zu dem Dienst hergestellt , durch den auch der Zerti fikatsantrag gestellt wird . Alternativ kann aber auch ein zweiter Dienst einen Zerti fikatsantrag für einen ersten Dienst , anstelle eines ersten Dienstes oder in Vertretung eines ersten Dienstes stellen, wobei vorzugsweise das dienstbezogene Attribut des ersten Dienstes zur Erstellung des Zerti fikatsantrags verwendet wird . Ein eindeutiger Bezug zu dem Dienst wird beispielsweise hergestellt , indem der Dienst einen ihm zugewiesenen Dienstnamen als dienstbezogenes Attribut verwendet . Optional wird ein signiertes dienstbezogenes Attribut verwendet , also ein dienstbezogenes Attribut einer von einer vertrauenswürdigen Stelle signierten Form . Die vertrauenswürdige Stelle kann beispielsweise der Orchestrierungsdienst sein, welche die Zuweisung vornimmt , indem dieser beispielsweise das dienstbezogene Attribut in das Softwaremodul , beispielsweise einem Container, bzw . dessen zugehörige Konfigurationsdaten einbringt . In step a) of the method according to the invention, a software module is initialized in an execution environment of a device. Software modules are understood to mean, in particular, software modules in a virtualized work environment, for example in a container virtualization or in a virtualization defined by a hypervisor environment. Initialization of a software module is to be understood as meaning that software modules are run or terminated on selected devices, depending on the available resources, and are instead created, run, or, in other words, initialized, on another device. The monitoring of resources, the selection of devices, the initialization and termination of software modules or Services are provided by a server or Server service, commonly referred to as an orchestration service. A software module can include one or more services and a service can be distributed over several software modules, including software modules on different devices. In step b) of the method according to the invention, a certificate application is created using at least one service-related attribute, ie an attribute that is preferably assigned individually to a service. This service-related attribute is preferably used to create a reference to the service through which the certificate application is also made. Alternatively, however, a second service can also submit a certificate request for a first service instead of a first service or on behalf of a first service, with the service-related attribute of the first service preferably being used to create the certificate request. A unique reference to the service is established, for example, in that the service uses a service name assigned to it as a service-related attribute. A signed service-related attribute is optionally used, that is to say a service-related attribute in a form signed by a trustworthy authority. The trustworthy body can be, for example, the orchestration service, which makes the assignment by inserting the service-related attribute into the software module, for example a container, or brings in its associated configuration data.
In Schritten c ) und d) des erfindungsgemäßen Verfahrens ist eine Übermittlung des Zerti fikatsantrags - in der Fachwelt auch als Certi ficate Signing Request bzw . CSR bekannt - über eine gerätinterne Registrierungsstelle - Local Registration Authority, kurz LRA - an eine gerätexterne Registrierungsstelle - Registration Authority, kurz RA - vorgesehen . Die Übermittlung des Zerti fikatsantrags erfolgt mit einem öf fentlichen Schlüssel eines asymmetrischen Schlüsselpaars . Der zughörige private Schlüssel dieses asymmetrischen Schlüsselpaars verbleibt in einer Stelle des Geräts , welche Gegenstand weiterer Ausgestaltungen ist . Jedenfalls verbleibt der private Schlüssel vorzugsweise innerhalb des Geräts . Auch die Erzeugung dieses asymmetrischen Schlüsselpaars ist Gegenstand weiterer Ausgestaltungen . So kann das asymmetrische Schlüs- selpaar entweder aus Anlass des Zerti fikatsantrags erzeugt werden oder bereits in einer anderen gerätinternen Stelle hinterlegt sein . Bevorzugt ist diese Stelle ein Verwahrungsmodul oder auch Trusted Platform Module , kurz TPM, also ein im Gerät meist isoliert angelegtes Hardwaremodul zur Berechnung und/oder Verwahrung kryptographischer Daten . Der Zertifikatsantrag ist beispielsweise ein elektronisches Formular bzw . eine Textdatei in einem wohldefinierten Format und enthält neben textuellen Antragsdaten auch den öf fentlichen Schlüssel . Der in Schritt d) vorgeschlagenen Übertragung des Zerti fikatsantrags mit dem öf fentlichen Schlüssel des asymmetrischen Schlüsselpaars von der gerätinternen Registrierungsstelle an die gerätexterne Registrierungsstelle kann so entsprochen werden, dass der öf fentliche Schlüssel in Schritt b ) , also im Zuge einer Erstellung des Zerti fikatsantrags ; oder ; in Schritt c ) , also im Zuge einer Übermittlung des Zerti- f ikatsantrags an die gerätinterne Registrierungsstelle ; oder ; in Schritt d) , also vor oder im Zuge einer Übertragung des Zerti fikatsantrags von der gerätinternen Registrierungsstelle an die gerätexterne Registrierungsstelle ; dem Zerti fikatsantrag hinzugefügt wird . Alle oben genannten drei Ausgestaltungsvarianten sind durch die Erfindung umfasst und bilden eine Grundlage für mannigfaltige vorteilhafte Ausgestaltungen im Rahmen der Erfindung . In steps c) and d) of the method according to the invention is a transmission of the certificate request - in the professional world as a Certi ficate Signing Request or. CSR known - via a device-internal registration authority - Local Registration Authority, short LRA - to a device-external registration authority - Registration Authority, short RA - provided. The certificate application is transmitted using a public key from an asymmetric key pair. The associated private key of this asymmetric pair of keys remains in a location in the device, which is the subject of further refinements. In any case, the private key preferably remains within the device. The generation of this asymmetric pair of keys is also the subject of further refinements. In this way, the asymmetrical key This pair can either be generated on the occasion of the certificate application or already be stored in another device-internal location. This point is preferably a storage module or also Trusted Platform Module, TPM for short, ie a hardware module for calculating and/or storing cryptographic data, which is usually installed in isolation in the device. The certificate application is, for example, an electronic form or a text file in a well-defined format and contains not only textual application data but also the public key. The transmission of the certificate request with the public key of the asymmetric key pair proposed in step d) from the device-internal registration authority to the device-external registration authority can be met in such a way that the public key in step b), ie in the course of creating the certificate application; or ; in step c), ie in the course of a transmission of the certificate application to the device-internal registration point; or ; in step d), ie before or in the course of a transmission of the certificate application from the device-internal registration point to the device-external registration point; is added to the certificate application. All of the three configuration variants mentioned above are encompassed by the invention and form a basis for a wide range of advantageous configurations within the scope of the invention.
In Schritt e ) des erfindungsgemäßen Verfahren wird ein dem Zerti fikatsantrag entsprechendes dienstbezogenes Zerti fikat durch das Gerät empfangen und dort für eine spätere Verwendung abgelegt , beispielsweise in einem flüchtigen, dem Dienst zugewiesenen Speicherbereich oder in einem flüchtigen, dem Softwaremodul zugewiesenen Speicherbereich oder im Verwahrungsmodul bzw . Trusted Platform Module , kurz TPM, des Geräts , wo es auf Abruf durch einen Dienst - insbesondere durch den Dienst , für den das dienstbezogene Zerti fikat erstellt wurde - bereitsteht . Vorzugsweise wird das Zerti fikat nur dann ausgestellt , wenn der Zerti fikatsantrag über die gerätinterne Registrierungsstelle eingereicht wurde und durch einen Besitz faktor - also einer Vorlage mindestens eines dienstbezogenen Attributs - nachgewiesen ist , dass ein Zertifikat mit dem Zerti fikatsantraggemäßen Inhalt auf den Zertifikatsantrag dieser gerätinternen Registrierungsstelle ausgestellt werden soll . In step e) of the method according to the invention, a service-related certificate corresponding to the certificate application is received by the device and stored there for later use, for example in a volatile memory area assigned to the service or in a volatile memory area assigned to the software module or in the safekeeping module or . Trusted Platform Module, TPM for short, of the device, where it is available on demand by a service - in particular by the service for which the service-related certificate was created. Preferably, the certificate only issued if the certificate application was submitted via the device-internal registration authority and it is proven by an ownership factor - i.e. a submission of at least one service-related attribute - that a certificate with the content in accordance with the certificate application is to be issued for the certificate application by this device-internal registration authority.
In Schritt f ) des erfindungsgemäßen Verfahrens erfolgt nach Hinterlegung des dienstbezogenen Zerti fikats nun eine Verwendung dieses dienstbezogenen Zerti fikats zur Authentisierung und/oder zur Identi fi zierung des Dienstes . In step f) of the method according to the invention, after the service-related certificate has been deposited, this service-related certificate is now used for authentication and/or for identification of the service.
Die Erfindung betri f ft weiterhin ein zur Erzeugung und Verwendung einer dienstbezogenen Authentisierung eingerichtetes Gerät , welches folgende Komponenten umfasst : The invention also relates to a device set up for generating and using a service-related authentication, which comprises the following components:
- eine Aus führungsumgebung zur Initialisierung eines mindestens einen Dienst umfassenden Softwaremoduls auf Veranlassung eines Orchestrierungsdienstes ; an execution environment for initializing a software module comprising at least one service at the instigation of an orchestration service;
- eine gerätinternen Registrierungsstelle zur Entgegennahme eines Zerti fikatsantrags unter Verwendung mindestens eines dienstbezogenen Attributs und zur Übertragung des Zerti fikatsantrags mit einem öf fentlichen Schlüssel eines asymmetrischen Schlüsselpaars an eine gerätexterne Registrierungsstelle ; und; eine Schnittstelle zum Empfang eines dem Zerti fikatsantrag entsprechenden dienstbezogenen Zerti fikats . a device-internal registration point for receiving a certificate request using at least one service-related attribute and for transmitting the certificate request with a public key of an asymmetric key pair to a device-external registration point; and; an interface for receiving a service-related certificate corresponding to the certificate request.
Die Erfindung wurde durch Probleme in einem »elastische« Umfeld motiviert , infolgedessen traditionelle Kopplungen - mit denen der Dienst zuverlässig ansprechbar und identi fi zierbar war - eines Dienstes an ein Gerät oder an Kommunikationsparameter - wie z . B . einer MAC-Adresse des Geräts - nicht mehr existieren . Ein Grundgedanke der Erfindung ist , dass es aus Sicht eines Servers oder eines auf einem anderen Gerät laufenden Dienstes unerheblich sein muss , auf welchem Gerät ein anzusprechender Dienst läuft . Der Server sollte idealerweise in der Lage sein, lediglich anhand des Zerti fikats zu ent- scheiden, ob sich der richtige Dienst bei ihm meldet . Die Erfindung löst dieses Bedürfnis durch ein dienstbezogenes Zerti fikat , in dessen Inhalt das dienstbezogene Attribut übernommen wird, das bereits Bestandteil des Zerti fikatsantrags war . The invention was motivated by problems in an "elastic" environment, as a result of which traditional couplings - with which the service could be reliably addressed and identified - of a service to a device or to communication parameters - such as e.g. B. a MAC address of the device - no longer exist. A basic idea of the invention is that from the point of view of a server or a service running on another device, it must be irrelevant on which device a service to be addressed is running. Ideally, the server should be able to use only the certificate to determine divorce, whether the right service reports to him. The invention solves this need by means of a service-related certificate, the content of which includes the service-related attribute that was already part of the certificate application.
Das erfindungsgemäße Verfahren hat den weiteren Vorteil , dass es im Zuge eines vom Orchestrierungsdienst angeordneten Umzugs eines Softwaremoduls von einem ersten auf ein zweites Gerät nicht erfordert , dass private Schlüssel - als eine Grundlage kryptographischer Operationen - in Folge des Umzugs ausgetauscht werden müssten . Wird ein Softwaremodul unter Veranlassung eines Orchestrierungsdienstes umgezogen, also auf einem ersten Gerät beendet und auf einem zweiten Gerät neu initialisiert , wird das erfindungsgemäße Verfahren auf dem zweiten erfindungsgemäß ausgestalten Gerät erneut angewandt , indem ein Zerti fikatsantrag auf dem zweiten Gerät gestellt wird . Ein dabei erzeugter oder weiterverwendeter privater Schlüssel verbleibt im zweiten Gerät , während der vor dem Umzug verwendete private Schlüssel auf dem ersten Gerät verbleibt , ohne dass eine die Sicherheit potentiell kompromittierender Umzug des privaten Schlüssels erforderlich wäre . Eine noch sicherere Ausgestaltung sieht vor, dass die Schlüssel in einem TPM ( Trusted Plattform Module ) innerhalb des Geräts aufbewahrt bleiben und dieses nicht verlassen können . The method according to the invention has the further advantage that when a software module is moved from a first to a second device ordered by the orchestration service, it does not require that private keys—as a basis for cryptographic operations—have to be exchanged as a result of the move. If a software module is moved at the instigation of an orchestration service, ie terminated on a first device and reinitialized on a second device, the method according to the invention is used again on the second device designed according to the invention by submitting a certificate application on the second device. A private key generated or reused in this way remains in the second device, while the private key used before the move remains on the first device, without the need for a move of the private key that potentially compromises security. An even more secure embodiment provides that the keys remain stored in a TPM (Trusted Platform Module) within the device and cannot leave it.
Das erfindungsgemäße Verfahren zum Bezug der Zerti fikate hat den weiteren Vorteil , dass das Verfahren autonom, bedarfsgerecht und vollautomatisch erfolgt . Demgegenüber war in früheren Geräten eine Erstimplementierung von Geräten mit einer vorab geplanten Ausstattung mit kryptographischen Schlüsselpaaren vorgesehen, welche nur durch individuelle und daher weitgehend nicht-automatische Updates ergänzt oder ersetzt werden konnten . Diese Updates erzeugen naturgemäß eine zumindest vorübergehenden Aus fall Geräteverfügbarkeit . Demgegenüber gewährleistet der vollautomatische und bedarfsgerechte Bezug der Zerti fikate gemäß dem erfindungsgemäßen Verfahren eine hohe Verfügbarkeit insbesondere für den Fall , dass wei- tere Instanzen eines Dienstes oder einer Anwendung gestartet werden, welche ihrerseits dienstbezogene Zerti fikate zu deren Authentisierung erhalten sollen . The method according to the invention for obtaining the certificates has the further advantage that the method takes place autonomously, as required and fully automatically. In contrast, earlier devices provided for an initial implementation of devices with a previously planned equipment with cryptographic key pairs, which could only be supplemented or replaced by individual and therefore largely non-automatic updates. These updates naturally result in at least a temporary loss of device availability. In contrast, the fully automatic and needs-based procurement of the certificates according to the method according to the invention ensures a high level of availability, particularly in the event that other tere instances of a service or an application are started, which in turn should receive service-related certificates for their authentication.
Die Erfindung kombiniert in vorteilhafter Weise zwei - oder auch mehrere - Berechtigungsnachweise , welche für die Ausstellung des Zerti fikats erforderlich gemacht werden : The invention advantageously combines two or more proofs of authorization which are required for issuing the certificate:
- Ein erster Berechtigungsnachweis wird durch das Gerät be- reitgestellt : Vorzugsweise wird das Zerti fikat nur dann ausgestellt , wenn der Zerti fikatsantrag über die gerätinterne Registrierungsstelle eingereicht wird . A first proof of entitlement is provided by the device: The certificate is preferably only issued if the certificate application is submitted via the device-internal registration authority.
- Ein zweiter Berechtigungsnachweis wird durch den Orchestrierungsdienst bereitgestellt , welches das dienstbezogene Attribut zumindest indirekt bei der Initialisierung eines Softwaremoduls hinterlegt . Durch diesen zweiten Berechtigungsnachweise bzw . Besitz faktor - einer Vorlage mindestens eines dienstbezogenen Attributs - wird nachgewiesen ist , dass ein Zerti fikat mit dem Zerti fikatsantraggemäßen Inhalt auf den Zerti fikatsantrag der gerätinternen Registrierungsstelle ausgestellt werden soll . - A second proof of authorization is provided by the orchestration service, which stores the service-related attribute at least indirectly when a software module is initialized. Through this second proof of entitlement or Possession factor - a submission of at least one service-related attribute - it is proven that a certificate with the content in accordance with the certificate application is to be issued on the certificate application of the device-internal registration authority.
Durch diese erfindungsgemäße Vorsehung, zwei - oder auch mehrere - Berechtigungsnachweise zu fordern, ist es einem Gerät in vorteilhafter Weise nicht möglich, Zerti fikate für beliebige Dienste anzufordern . Ebenso wenig ist es für einen Orchestrierungsdienst möglich, ohne die Mithil fe von Geräten überhaupt Zerti fikate ausstellen zu lassen . As a result of this provision according to the invention of requiring two—or even more—proofs of authorization, it is advantageously not possible for a device to request certificates for any services. Nor is it possible for an orchestration service to have certificates issued at all without the help of devices.
Die Erfindung ermöglicht es , eine Bindung eines Zerti fikats an einen physischen Vertrauensanker, z . B . ein Verwahrungsmodul oder auch Trusted Platform Module , kurz TPM, dynamisch zu verändern und somit Dienste , Softwaremodule oder Container, welche über ein Zerti fikat verfügen, dynamisch zwischen The invention makes it possible to bind a certificate to a physical trust anchor, e.g. B. to dynamically change a custody module or Trusted Platform Module, or TPM for short, and thus dynamically switch between services, software modules or containers that have a certificate
( Feld- ) Geräten umzuziehen . (Field) devices to move.
Die Erfindung ermöglicht eine verschlüsselte Kommunikation auf Dienstebene unter Verwendung des TLS-Protokolls ( Transport Layer Security) und unter Vorlage einer dienstbezogenen Authentisierung - also des erfindungsgemäß hergestellten dienstbezogenen Zerti fikats bzw . Clientzerti f ikats . Ebenso wird es Diensten ermöglicht , sich gegenüber anderen Diensten zu authenti fi zieren . Die Vorlage eines Clientzerti f ikats für eine unilaterale oder bilaterale Authentisierung macht das Übertragungsprotokoll TLS noch sicherer bezüglich eines Mittelsmann- bzw . »Man in the Middle« -Angri f fs . The invention enables encrypted communication at the service level using the TLS protocol (Transport Layer Security) and by submitting a service-related Authentication - that is, the service-related certificate produced according to the invention or Client Certificates . It is also possible for services to authenticate themselves to other services. The submission of a client certificate for unilateral or bilateral authentication makes the TLS transmission protocol even more secure with regard to a middleman or Man in the Middle Attack.
Weitere Ausgestaltungen der Erfindung sind Gegenstand der abhängigen Patentansprüche . Further configurations of the invention are the subject matter of the dependent patent claims.
Gemäß einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens ist vorgesehen, dass das Softwaremodul ein Container innerhalb einer Containervirtualisierung ist . Gemäß einer alternativen Aus führungs form des erfindungsgemäßen Verfahrens ist vorgesehen, dass das Softwaremodul ein Gastsystem innerhalb einer durch einen Hypervisorumgebung definierten Virtua- lisierung ist . According to one possible embodiment of the method according to the invention, it is provided that the software module is a container within a container virtualization. According to an alternative embodiment of the method according to the invention, it is provided that the software module is a guest system within a virtualization defined by a hypervisor environment.
Gemäß einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens ist vorgesehen, dass das Erstellen des Zerti fikatsantrags unter weiterer Verwendung mindestens eines gerätbezogenen Attributs erfolgt . Es kann also vorgesehen sein, dass im Zerti fikatsantrag - und demzufolge auch im antragsgemäß von einer Zerti fi zierungsstelle oder Certi ficate Authority bzw . CA erstellten und von der gerätexternen Registrierungsstelle rückgelieferten Zerti fikat - neben einer den Dienst identi fi zierenden Angabe auch eine das Feldgerät kennzeichnende Angabe vorhanden ist . Diese Maßnahme verbessert eine doppelte Kopplung des Zerti fikats an den Dienst und an das Gerät . Es kann auch vorgesehen sein, dass seitens einer der Zerti fi zierungsstelle oder Certi ficate Authority bzw . CA zugeordneten Stelle eine Liste geführt wird, welche Geräte für welche Dienste welche Zerti fikate erhalten haben . Basierend auf diesen Angaben kann ein Widerruf von Zerti fikaten bei einer De-Kommissionierung erfolgen . Es kann weiterhin bereits bei der Ausgabe der Zerti fikate durch die Zerti fi zierungsstelle oder alternativ auch bei Weitervermittlung des dienstbezogenen Zerti fikats von der gerätexternen Registrierungsstelle an die gerätinterne Registrierungsstelle vorgesehen sein, dass die Zerti fi zierungsstelle oder die gerätexterne Registrierungsstelle vor Ausstellung bzw . Weitervermittlung der Zerti fikate prüft , ob die in den Zerti fikaten Bezug genommenen Geräte bekannt sind, so dass Zerti fikate beispielsweise nur für solche Geräte bereitgestellt werden, welche einer Anlage zugeordnet sind . According to one possible embodiment of the method according to the invention, it is provided that the certificate application is created using at least one device-related attribute. It can therefore be provided that in the certificate application - and consequently also in the application by a certification body or certi ficate authority or CA created and returned by the device-external registration authority certi fikat - in addition to the service identi fi cial information also the field device identifying information is available. This measure improves double coupling of the certificate to the service and to the device. Provision can also be made for one of the certification bodies or Certi ficate Authority or A list is kept at the CA-assigned authority, which devices have received which certificates for which services. Based on this information, certificates can be revoked during de-commissioning. It can continue to be provided when the certificates are issued by the certification body or, alternatively, when the service-related certificate is passed on from the device-external registration body to the device-internal registry, that the certification body or the device-external registration body before issuing or Forwarding of the certificates checks whether the devices referred to in the certificates are known, so that certificates are provided, for example, only for devices that are assigned to a system.
Gemäß einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens ist vorgesehen, dass das dienstbezogene Attribut zumindest einen dem Dienst zugewiesenen Dienstnamen umfasst . According to one possible embodiment of the method according to the invention, it is provided that the service-related attribute includes at least one service name assigned to the service.
Gemäß einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens ist vorgesehen, dass das dienstbezogene Attribut mit einer digitalen Signatur, beispielweise der digitalen Signatur einer vertrauenswürdigen Stelle , signiert ist . Die vertrauenswürdige Stelle kann beispielsweise ein Orchestrierungsdienst sein, welche eine Initialisierung des Softwaremoduls bzw . Zuweisung des Dienstes vorgenommen hat . Ein solcher Orchestrierungsdienst kann beispielsweise Teil einer Containerorchestrierungssoftware - z . B . die Open-Source-Software Kubernetes zur Automatisierung einer Bereitstellung, Skalierung und Verwaltung von Container-Anwendungen - sein, welche die Zuweisung vornimmt , indem sie beispielsweise die Information in den Container bzw . die zugehörigen Konfigurationsdaten einbringt . Das signierte , d . h . authentische , dienstbezogene Attribut wird in den Zerti fikatsantrag eingefügt , welcher erfindungsgemäß durch die gerätinterne Registrierungsstelle an die gerätexternen Registrierungsstelle weitergereicht wird . Alternativ kann das signierte dienstbezogene Attribut wird auch in einer vertrauenswürdigen Datenbank abgelegt sein . In einer solchen Datenbank können das dienstbezogene Attribut sowie andere Informationen abgerufen werden, welche Dienste auf welchen Geräten zum Ablauf gebracht werden sollen . Ebenso ist alternativ denkbar, dass j eder Dienst oder auch j eder Instanz eines Dienstes eine geheime Kennung erhält , mittels derer sie gegenüber der gerätexterne Registrierungsstelle und/oder gegenüber der Zerti fi zierungsstelle einen Nachweis erbringen kann, dass eine Zerti fikatsausstellung auf eine bestimmte Identität durch einen Orchestrierungsdienst vorgesehen wird . Vorzugsweise wird ein Zerti fikat nur dann ausgestellt , wenn der Zerti fikatsantrag über die gerätinterne Registrierungsstelle eingereicht wurde und - z . B . durch einen Besitz faktor oder eine Datenbankabfrage - nachgewiesen ist , dass ein Zerti fikat mit dem Zerti fikatsantraggemäßen Inhalt auf den Zerti fikatsantrag dieser gerätinternen Registrierungsstelle ausgestellt werden soll . According to one possible embodiment of the method according to the invention, it is provided that the service-related attribute is signed with a digital signature, for example the digital signature of a trustworthy authority. The trustworthy body can be an orchestration service, for example, which initializes the software module or made the assignment of the service. Such an orchestration service can, for example, be part of container orchestration software - e.g. B. the open source software Kubernetes for automating the deployment, scaling and management of container applications - which makes the assignment, for example by putting the information in the container or . brings in the associated configuration data. The signed , i . H . An authentic, service-related attribute is inserted into the certificate request, which, according to the invention, is forwarded by the device-internal registration authority to the device-external registration authority. Alternatively, the signed service-related attribute can also be stored in a trustworthy database. In such a database, the service-related attribute and other information can be retrieved, which services are to be run on which devices. It is also alternatively conceivable that each service or each instance of a service also receives a secret identifier, by means of which it can provide proof to the device-external registration authority and/or to the certification authority that a certificate issuance for a specific identity is provided by an orchestration service. A certificate is preferably only issued if the certificate application has been submitted via the device-internal registration authority and—z. B. it is proven by an ownership factor or a database query that a certificate with the content in accordance with the certificate application is to be issued on the certificate application of this device-internal registration authority.
Gemäß einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens ist vorgesehen, dass die Übertragung des Zerti fikatsantrags transportgesichert , insbesondere durch Anwendung eines SSL-Protokolls , eines TLS-Protokolls ( Transport Layer Security) oder eines CMS-Protokolls ( Cryptographic Message Syntax ) erfolgt . Eine transportgesicherte Übertragung oder, mit anderen Worten, eine Verschlüsslung der zu übertragenden Daten ist neben einer Gewährleistung der Unveränderbarkeit der Daten ein wesentlicher Teilaspekt einer sicheren Kommunikation . Eine Verschlüsselung erfolgt heute überwiegend unter Verwendung von TLS ( Transport Layer Security) , welches den Aufbau von anonymen, unilateral authentisierten und/oder beiderseitig authentisierten gesicherten Verbindungen ermöglicht . According to one possible embodiment of the method according to the invention, it is provided that the certificate request is transmitted in a transport-secure manner, in particular by using an SSL protocol, a TLS protocol (Transport Layer Security) or a CMS protocol (Cryptographic Message Syntax). A transport-secured transmission or, in other words, an encryption of the data to be transmitted, in addition to guaranteeing that the data cannot be changed, is an essential aspect of secure communication. Encryption is now mainly carried out using TLS (Transport Layer Security), which enables anonymous, unilaterally authenticated and/or mutually authenticated secure connections to be set up.
Das Übertragungsprotokoll TLS ist sicherer, wenn der transportgesichert auf zubauende Kommunikation ein digitales Zertifikat zur unilateralen Authentisierung zugrundgelegt wird . TLS ist nämlich ohne eine zerti fikatsbasierte Authenti fi zierung anfälliger für einen Mittelsmann- bzw . »Man in the Midd- le«-Angri f f . I st nämlich ein Mittelsmann vor einem Schlüsselaustausch aktiv, kann er beiden Seiten seine eigenen Schlüssel vortäuschen und so die Datenübertragung unbemerkt mithören und auch unbemerkt manipulieren . Gemäß einer Aus führungsform des erfindungsgemäßen Verfahrens ist vorgesehen, dass zur transportgesicherten Übertragung des Zerti fikatsantrags an die gerätexterne Registrierungsstelle ein gerätebezogenes Zerti fikat zur Authenti fi zierung gegenüber der gerätexterne Registrierungsstelle sowie , optional im weiteren, gegenüber der Zerti fi zierungsstelle verwendet wird . Die Verwendung eines gerätebezogenes Zerti fikat zur Authenti fi zierung gegenüber der gerätexterne Registrierungsstelle hat zwei Vorteile : Einerseits ist das gerätebezogene Zerti fikat ein Surrogat für das noch nicht existierende dienstbezogene Zerti fikat , andererseits kann das gerätebezogene Zerti fikat auch der gerätexternen Registrierungsstelle und/oder der Zerti fi zierungsstelle dazu dienen, den Zerti fikatsantrag bezüglich der dienstbezogenen und auch der gerätebezogenen Kopplung weiter zu untersuchen . The TLS transmission protocol is more secure if the transport-secured communication to be set up is based on a digital certificate for unilateral authentication. Without certificate-based authentication, TLS is more susceptible to a middleman or Man in the Middle Attack . If an intermediary is active before a key is exchanged, he can fake his own key on both sides and thus eavesdrop on the data transmission and also manipulate it unnoticed. According to one embodiment of the method according to the invention, it is provided that for transport-secured transmission of the certificate request to the device-external registration authority, a device-related certificate is used for authentication to the device-external registration authority and, optionally further, to the certification authority. The use of a device-related certificate for authentication to the device-external registration authority has two advantages: on the one hand, the device-related certificate is a surrogate for the service-related certificate that does not yet exist; fi cation body serve to further examine the certificate application with regard to the service-related and also the device-related coupling.
Gemäß einer möglichen Aus führungs form des erfindungsgemäßen Verfahrens ist vorgesehen, eine Gültigkeit des dienstbezogenen Zerti fikats auf einen Zeitraum oder auf ein Ablaufdatum zu beschränken . Bevorzugt ist die Gültigkeit eines Zerti fikats , gemessen an einem Zeitraum, in der ein Softwaremodul in einer Aus führungsumgebung aktiv bleibt , auf einen relativ kurzen Zeitraum beschränkt . According to one possible embodiment of the method according to the invention, the validity of the service-related certificate is limited to a period of time or to an expiration date. The validity of a certificate is preferably limited to a relatively short period of time, measured against a period in which a software module remains active in an execution environment.
Im Folgenden werden weitere Aus führungsbeispiele und Vorteile der Erfindung anhand der Zeichnung näher erläutert . Dabei zeigt die einzige FIG . eine schematische Darstellung einer beispielhaften Aus führungs form eines Geräts . Further exemplary embodiments and advantages of the invention are explained in more detail below with reference to the drawing. The only FIG. a schematic representation of an exemplary embodiment of a device.
Die FIG zeigt ein Gerät DVC, welches in Verbindung mit anderen - nicht dargestellten - Geräten von gleicher, ähnlicher oder anderer Bauart an einem paketorientierten Netzwerk NW derart teilhat , dass zumindest zeitweise drahtlose oder drahtgebundene Kommunikationsverbindungen zwischen dem Gerät DVC und anderen Partner der Kommunikationsverbindungen aufgebaut werden könne . The FIG shows a device DVC which, in connection with other devices (not shown) of the same, similar or different type, participates in a packet-oriented network NW in such a way that at least at times wireless or wired communication links are set up between the device DVC and other partners in the communication links could .
Über das paketorientierte Netzwerk NW ist weiterhin ein Orchestrierungsserver mit einem darauf ablaufenden Orchestrie- rungsdienst ORC sowie eine Registrierungsstelle RA verbunden, auf welche im Folgenden auch als gerätexterne Registrierungsstelle RA Bezug genommen . Die Registrierungsstelle RA ist zumindest zeitweise mit einer Zerti fi zierungsstelle CA oder auch Certi ficate Authority kommunikativ verbunden . An orchestration server with an orchestration server running on it is also connected via the packet-oriented network NW. tion service ORC and a registration authority RA connected, referred to below as device-external registration authority RA. The registration authority RA is communicatively linked, at least at times, to a certification authority CA or else a certi ficate authority.
Das Gerät DVC umfasst in fachüblicher Weise eine Netzwerkschnittstelle I F, eine Aus führungseinheit CTR und ein Verwahrungsmodul TPM oder auch Trusted Platform Module , kurz TPM, also ein im Gerät DVC isoliert angelegtes Hardwaremodul zur Berechnung und/oder Verwahrung kryptographischer Daten . The device DVC includes a network interface IF, an execution unit CTR and a storage module TPM or Trusted Platform Module, TPM for short, in a manner customary in the art, ie a hardware module isolated in the device DVC for calculating and/or storing cryptographic data.
Alternativ kann das Verwahrungsmodul TPM als Keymaster Trusted Application ausgestaltet sein, also als Software , die in einem sicheren Kontext ausgeführt wird . Der Keymaster hat Zugri f f auf ursprüngliches kryptografisches Material , das über einen Keystore verwaltet wird, und führt alle Keystore- Vorgänge aus . Alternativ kann das Verwahrungsmodul TPM als Trusted Execution Environment bzw . TEE ausgeführt sein, also beispielweise in einem ein Bereich auf einem der Aus führungseinheit CTR zugeordneten Chipsatz , welcher wie ein Trusted Platform Module arbeitet , j edoch nicht physisch vom Rest des Chips isoliert ist . Alternativ kann das Verwahrungsmodul TPM als Secure Element ausgestaltet sein . Secure Element ist ein ebenfalls physisch abgetrenntes , manipulationssicheres Speichermodul zur Speicherung kryptografischer Daten, welcher häufig als EMV-Chip auf Zahlungs-bzw . Debitkarten zum Einsatz kommt . Das Kürzel EMV bezeichnet drei Gesellschaften Europay International , MasterCard und VISA, die diesen Chip entwickeln ließen . Alternatively, the custody module TPM can be designed as a keymaster trusted application, ie as software that runs in a secure context. The keymaster has access to original cryptographic material maintained through a keystore and performs all keystore operations. Alternatively, the custody module TPM can be used as a Trusted Execution Environment or TEE can be implemented, for example in an area on a chipset assigned to the execution unit CTR, which works like a Trusted Platform Module, but is not physically isolated from the rest of the chip. Alternatively, the storage module TPM can be designed as a secure element. Secure Element is also a physically separate, tamper-proof memory module for storing cryptographic data, which is often used as an EMV chip on payment or Debit cards are used. The abbreviation EMV designates three companies Europay International, MasterCard and VISA, which had this chip developed.
Das Gerät DVC umfasst des Weiteren eine Aus führungsumgebung CEN zur Initialisierung von Softwaremodulen D1 , D2 , D3 auf Veranlassung des Orchestrierungsdienstes ORC . Das Gerät DVC ist also eingerichtet zum Betrieb einer Virtualisierungsumgebung welche eine modulare Aus führung der logisch abgetrennten Softwaremodule D1 , D2 , D3 erlaubt . Die Softwaremodule D1 , D2 , D3 können j e nach eingesetzter Virtualisierungsumgebung als Gastsysteme innerhalb einer durch einen Hypervisorumgebung definierten Virtualisierung oder, wie im vorliegenden Aus führungsbeispiel , Container D1 , D2 , D3 innerhalb einer Container- virtualisierung eingerichtet sein . The device DVC also includes an execution environment CEN for initializing software modules D1, D2, D3 at the instigation of the orchestration service ORC. The device DVC is therefore set up to operate a virtualization environment which allows a modular design of the logically separated software modules D1, D2, D3. The software modules D1, D2, D3, depending on the virtualization environment used as Guest systems within a virtualization defined by a hypervisor environment or, as in the present exemplary embodiment, container D1, D2, D3 be set up within a container virtualization.
In Anwendung der Containertechnologie werden - nicht dargestellten - Anwendungen bzw . Apps sowie Mikrodienste bzw . Microservices - im Folgenden allgemein als Dienste bezeichnet - j e nach verfügbaren Ressourcen auf einem oder mehreren Containern D1 , D2 , D3 zum Ablauf gebracht oder auch beendet und stattdessen ein Container auf einem anderen Gerät erzeugt , um den Dienst oder Teile des Dienstes dort zum Ablauf zu bringen . Die folgende Darstellung beschränkt sich lediglich aus Gründen der Übersichtlichkeit und ohne Beschränkung der Allgemeingültigkeit auf einen - nicht dargestellten - Dienst , welcher auf dem ersten Softwaremodul ausgeführt und/oder welcher auf dem ersten Softwaremodul Dl angeboten wird . In the application of container technology - not shown - applications or Apps and microservices or Microservices - hereinafter generally referred to as services - depending on the available resources on one or more containers D1, D2, D3 are run or terminated and instead a container is created on another device in order to run the service or parts of the service there bring . For reasons of clarity and without restricting the general validity, the following description is limited to a service—not shown—which runs on the first software module and/or which is offered on the first software module D1.
Das Gerät DVC umfasst eine gerätinternen Registrierungsstelle LRA zur Entgegennahme eines Zerti fikatsantrags CSR unter Verwendung mindestens eines dienstbezogenen Attributs des Dienstes und zur Übertragung des Zerti fikatsantrags CSR mit einem öf fentlichen Schlüssel eines asymmetrischen Schlüsselpaars an die gerätexterne Registrierungsstelle RA. Die Übergabe des Zerti fikatsantrag CSR von dem Dienst an die gerätinterne Registrierungsstelle LRA ist zeichnerisch strichliert dargestellt , um den aufgrund der modularen Natur sowie der komplexen Zusammenwirkung der Aus führungsumgebung CEN mit der Ausführungseinheit CTR außer Acht gelassenen physischen Weg der Übergabe aus zublenden zugunsten einer einfacher dargestellten logischen Übergabe . Das gleiche gilt für die später erläuterte Übergabe des dienstbezogenen Zerti fikat CTF von der gerätinternen Registrierungsstelle LRA an den Dienst . The device DVC comprises a device-internal registration center LRA for receiving a certificate request CSR using at least one service-related attribute of the service and for transmitting the certificate request CSR with a public key of an asymmetric key pair to the device-external registration center RA. The handover of the certificate application CSR from the service to the device-internal registration authority LRA is shown in the drawing with dashed lines in order to hide the physical path of the handover, which is ignored due to the modular nature and the complex interaction of the execution environment CEN with the execution unit CTR, in favor of a simpler representation logical handover . The same applies to the transfer of the service-related certificate CTF from the device-internal registration authority LRA to the service, which will be explained later.
Das Gerät DVC ist also insbesondere geprägt durch die gerätinternen Registrierungsstelle LRA, welche den Zerti fikatsantrag CSR vom Dienst entgegennimmt und diesen Zerti fikatsantrag CSR authentisch an die gerätexterne Registrierungsstelle RA weitergibt . Die gerätexterne Registrierungsstelle RA gibt diesen Zerti fikatsantrag CSR nach optionaler Prüfung an die Zerti fi zierungsstelle CA weiter . The device DVC is thus characterized in particular by the device-internal registration point LRA, which accepts the certificate request CSR from the service and authentically sends this certificate request CSR to the device-external registration point RA passes on . The device-external registration authority RA forwards this certificate application CSR to the certification authority CA after an optional check.
Der Zerti fikatsantrag CSR wird unter Verwendung mindestens eines dienstbezogenen Attributs erstellt , also eines einem Dienst vorzugsweise individuell zugewiesenen Attributs . Vorzugsweise wird mit diesem dienstbezogenen Attribut ein Bezug zu dem Dienst hergestellt . Das dienstbezogene Attribut enthält zumindest einen dem Dienst zugewiesenen Dienstnamen . The certificate application CSR is created using at least one service-related attribute, ie an attribute that is preferably assigned individually to a service. A reference to the service is preferably established with this service-related attribute. The service-related attribute contains at least one service name assigned to the service.
Mit der Vorsehung der gerätinternen Registrierungsstelle LRA wird ein Bezug des Zerti fikatsantrags CSR sowohl zu dem spezi fischen Dienst also auch zu dem spezi fischen Gerät DVC hergestellt . Diese doppelte Kopplung des Zerti fikats an den Dienst und an das Gerät kann weiter verstärkt werden . Dazu ist dem Gerät DVC des Weiteren ein - nicht dargestelltes - gerätebezogenes Zerti fikat zugeordnet , das den öf fentlichen Schlüssel des Geräts DVC, Information über das Gerät DVC, wie beispielsweise Identität , Typ und möglicherweise Information über den Herausgeber des Zerti fikats enthält . Dabei kann vorgesehen sein, dass im Zerti fikatsantrag CSR neben einer den Dienst identi fi zierenden Angabe auch eine das Gerät kennzeichnende Angabe vorhanden ist . With the provision of the device-internal registration point LRA, the certificate application CSR is related both to the specific service and also to the specific device DVC. This double coupling of the certificate to the service and to the device can be further strengthened. For this purpose, the device DVC is also assigned a device-related certificate--not shown--which contains the public key of the device DVC, information about the device DVC, such as identity, type and possibly information about the issuer of the certificate. Provision can be made for the certificate request CSR to contain information identifying the device in addition to information identifying the service.
Sowohl das - nicht dargestellte - gerätebezogene Zerti fikat als auch das dienstbezogene Zerti fikat CTF sind üblicherweise durch eine herausgebende Zerti fi zierungsstelle CA signiert , daher müssen die Zerti fikate nicht notwendigerweise im Verwahrungsmodul TPM gespeichert werden, sondern können in einem beliebigen Speicherbereich des Geräts DVC gespeichert werden . Both the device-related certificate (not shown) and the service-related certificate CTF are usually signed by an issuing certification authority CA, so the certificates do not necessarily have to be stored in the storage module TPM, but can be stored in any memory area of the device DVC will .
Die Übermittlung des Zerti fikatsantrags CSR an die gerätexterne Registrierungsstelle RA sowie an die Zerti fi zierungsstelle CA erfolgt zusammen mit einem öf fentlichen Schlüssel eines asymmetrischen Schlüsselpaars . Dieses asymmetrische Schlüsselpaar kann vom Dienst generiert werden oder alternativ oder unter weiterer Beteiligung der Aus führungseinheit CTR und/oder dem Verwahrungsmodul TPM . Das asymmetrische Schlüsselpaar entweder aus Anlass des Zerti fikatsantrags CSR erzeugt werden oder bereits in einer anderen gerätinternen Stelle , insbesondere dem Verwahrungsmodul TPM hinterlegt sein . Der zugehörige private Schlüssel dieses asymmetrischen Schlüsselpaars verbleibt in einem vom Dienst , von der Aus führungseinheit CTR und/oder vom Verwahrungsmodul TPM verwalteten flüchtigen oder nicht flüchtigen Speicherbereich . The certificate request CSR is transmitted to the device-external registration authority RA and to the certification authority CA together with a public key of an asymmetric key pair. This asymmetric key pair can be generated by the service, or alternatively or with further involvement of the execution entity CTR and/or the repository module TPM. The asymmetric pair of keys can either be generated on the occasion of the CSR certificate request or already be stored in another device-internal location, in particular the storage module TPM. The associated private key of this asymmetric key pair remains in a volatile or non-volatile memory area managed by the service, by the execution unit CTR and/or by the custody module TPM.
Nachdem dem Zerti fikatsantrag CSR durch die Zerti fi zierungsstelle CA zerti fikatsantragsgemäß entsprochen wurde , wird ein dem Zerti fikatsantrag CSR entsprechendes dienstbezogenes Zerti fikat CTF empfangen und im Gerät CSR für eine spätere Verwendung abgelegt , beispielsweise in einem flüchtigen, dem Dienst zugewiesenen Speicherbereich oder in einem flüchtigen, dem Softwaremodul Dl zugewiesenen Speicherbereich, wo das Zerti fikat CTF auf Abruf durch den Dienst bereitsteht . Das Zerti fikat CTF kann im Weiteren für eine dienstbezogene Au- thentisierung des Dienstes vorgelegt werden . After the certificate application CSR has been met by the certification body CA according to the certificate application, a service-related certificate CTF corresponding to the certificate application CSR is received and stored in the device CSR for later use, for example in a volatile memory area assigned to the service or in a volatile memory area allocated to the software module D1, where the certificate CTF is available on demand by the service. The CTF certificate can then be presented for a service-related authentication of the service.
Die erfindungsgemäßen Mittel ermöglichen es dem Dienst , geprüfte Zerti fikate wie X . 509-Zerti f ikate in einer durch eine Gerätegrenzen überschreitende Orchestrierung von Diensten geprägten »elastischen« Umgebung abzurufen, ohne dass private Schlüssel außerhalb des Dienstes verfügbar gemacht werden müssen . Asymmetrische Schlüsselpaare , insbesondere private Schlüssel des Dienstes können im Verwahrungsmodul TPM gespeichert werden, so dass keine Spuren auf flüchtigen oder nichtflüchtigen Speicherbereichen des Geräts DVC verbleiben . The means according to the invention enable the service to issue verified certificates such as X. 509 certificates in an “elastic” environment characterized by a cross-device orchestration of services, without the need to expose private keys outside of the service. Asymmetric key pairs, in particular private keys of the service, can be stored in the custody module TPM, so that no traces remain on volatile or non-volatile memory areas of the device DVC.

Claims

Patentansprüche patent claims
1. Verfahren zur Einrichtung einer dienstbezogenen Authenti- sierung, umfassend die Schritte: a) Initialisierung eines Softwaremoduls (Dl) in einer Ausführungsumgebung (CEN) eines Geräts (DVC) auf Veranlassung eines Orchestrierungsdienstes (ORC) , wobei das Softwaremodul mindestens einen Dienst umfasst; b) Erstellen eines Zertifikatsantrags (CSR) unter Verwendung mindestens eines dienstbezogenen Attributs; c) Übermittlung des Zertifikatsantrags (CSR) an eine gerätinterne Registrierungsstelle (LRA) ; d) Übertragung des Zertifikatsantrags mit einem öffentlichen Schlüssel eines asymmetrischen Schlüsselpaars von der gerätinternen Registrierungsstelle (LRA) an eine gerätexterne Registrierungsstelle (RA) ; e) Empfang eines dem Zertifikatsantrag (CSR) entsprechenden dienstbezogenen Zertifikats (CTF) durch das Gerät (DVC) ; und; f) Verwendung des dienstbezogenen Zertifikats (CTF) zur Au- thentisierung des Dienstes. 1. A method for setting up a service-related authentication, comprising the steps of: a) initialization of a software module (DI) in an execution environment (CEN) of a device (DVC) at the instigation of an orchestration service (ORC), the software module comprising at least one service; b) creating a certificate request (CSR) using at least one service-related attribute; c) transmission of the certificate application (CSR) to a device-internal registration authority (LRA); d) transmission of the certificate application with a public key of an asymmetric key pair from the device-internal registration authority (LRA) to a device-external registration authority (RA); e) receipt of a service-related certificate (CTF) corresponding to the certificate request (CSR) by the device (DVC); and; f) Use of the service-related certificate (CTF) to authenticate the service.
2. Verfahren nach Patentanspruch 1, dadurch gekennzeichnet, dass das Softwaremodul (Dl) ein Container innerhalb einer Containervirtualisierung ist. 2. The method according to claim 1, characterized in that the software module (Dl) is a container within a container virtualization.
3. Verfahren nach Patentanspruch 1, dadurch gekennzeichnet, dass das Softwaremodul (Dl) ein Gastsystem innerhalb einer durch einen Hypervisorumgebung definierten Virtualisierung ist . 3. The method according to claim 1, characterized in that the software module (Dl) is a guest system within a virtualization defined by a hypervisor environment.
4. Verfahren nach einem der vorgenannten Patentansprüche, dadurch gekennzeichnet, dass das Erstellen des Zertifikatsantrags (CSR) unter weiterer Verwendung mindestens eines gerätbezogenen Attributs erfolgt. 4. The method according to any one of the preceding claims, characterized in that the creation of the certificate request (CSR) is carried out using at least one device-related attribute.
5. Verfahren nach einem der vorgenannten Patentansprüche, dadurch gekennzeichnet, dass das dienstbezogene Attribut zumindest einen dem Dienst zugewiesenen Dienstnamen umfasst. 5. The method according to any one of the preceding claims, characterized in that the service-related attribute comprises at least one service name assigned to the service.
6. Verfahren nach einem der vorgenannten Patentansprüche, dadurch gekennzeichnet, dass das dienstbezogene Attribut mit einer digitalen Signatur signiert ist. 6. The method according to any one of the preceding claims, characterized in that the service-related attribute is signed with a digital signature.
7. Verfahren nach einem der vorgenannten Patentansprüche, dadurch gekennzeichnet, dass die Übertragung des Zertifikatsantrags (CLS) transportgesichert, insbesondere durch Anwendung eines SSL-Protokolls, eines TLS-Protokolls oder eines CMS-Protokolls erfolgt. 7. Method according to one of the preceding patent claims, characterized in that the transmission of the certificate application (CLS) takes place in a transport-secured manner, in particular by using an SSL protocol, a TLS protocol or a CMS protocol.
8. Verfahren nach gemäß dem vorgenannten Patentanspruch 7, dadurch gekennzeichnet, dass zur transportgesicherten Übertragung des Zertifikatsantrags (CLS) an die gerätexterne Registrierungsstelle (RA) ein gerätebezogenes Zertifikat zur Authentifizierung gegenüber der gerätexternen Registrierungsstelle (RA) verwendet wird. 8. The method according to the aforementioned claim 7, characterized in that a device-related certificate for authentication to the device-external registration authority (RA) is used for transport-secured transmission of the certificate request (CLS) to the device-external registration authority (RA).
9. Verfahren nach einem der vorgenannten Patentansprüche, dadurch gekennzeichnet, dass eine Gültigkeit des dienstbezogenen Zertifikats (CTF) auf einen Zeitraum oder auf ein Ablaufdatum beschränkt ist. 9. The method according to any one of the preceding claims, characterized in that a validity of the service-related certificate (CTF) is limited to a period of time or an expiration date.
10. Gerät, umfassend, 10. device, comprising,
- eine Ausführungsumgebung (GEN) zur Initialisierung eines mindestens einen Dienst umfassenden Softwaremoduls (Dl) auf Veranlassung eines Orchestrierungsdienstes (ORC) ,- An execution environment (GEN) for initializing at least one service comprehensive software module (Dl) at the instigation of an orchestration service (ORC),
- eine gerätinternen Registrierungsstelle (LRA) zur Entgegennahme eines Zertifikatsantrags (CSR) unter Verwendung mindestens eines dienstbezogenen Attributs und zur Übertragung des Zertifikatsantrags (CSR) mit einem öffentlichen Schlüssel eines asymmetrischen Schlüsselpaars an eine gerätexterne Registrierungsstelle (RA) ; und; eine Schnittstelle (IF) zum Empfang eines dem Zertifikatsantrag (CSR) entsprechenden dienstbezogenen Zertifikats (GTE) . - A device-internal registration authority (LRA) for receiving a certificate request (CSR) using at least one service-related attribute and for transmitting the certificate application (CSR) with a public key of an asymmetric key pair to a device-external registration authority (RA); and; an interface (IF) for receiving a certificate request (CSR) corresponding service-related certificate (GTE).
11. Gerät nach Patentanspruch 10, eingerichtet zur Verwendung des dienstbezogenen Zertifikats (GTE) zur Authentisierung des Dienstes . 11. Device according to claim 10, set up to use the service-related certificate (GTE) to authenticate the service.
PCT/EP2021/075516 2020-09-29 2021-09-16 Device and method for setting up a service-based authentication WO2022069247A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020212271 2020-09-29
DE102020212271.7 2020-09-29

Publications (1)

Publication Number Publication Date
WO2022069247A1 true WO2022069247A1 (en) 2022-04-07

Family

ID=77924406

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2021/075516 WO2022069247A1 (en) 2020-09-29 2021-09-16 Device and method for setting up a service-based authentication

Country Status (1)

Country Link
WO (1) WO2022069247A1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130086377A1 (en) * 2011-10-04 2013-04-04 Cleversafe, Inc. Processing a certificate signing request in a dispersed storage network
US20200177632A1 (en) * 2017-08-08 2020-06-04 Huawei Technologies Co., Ltd. Network function service discovery method and device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130086377A1 (en) * 2011-10-04 2013-04-04 Cleversafe, Inc. Processing a certificate signing request in a dispersed storage network
US20200177632A1 (en) * 2017-08-08 2020-06-04 Huawei Technologies Co., Ltd. Network function service discovery method and device

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"Network Functions Virtualisation (NFV); Architectural Framework;ETSI GS NFV 002", ETSI DRAFT; ETSI GS NFV 002, EUROPEAN TELECOMMUNICATIONS STANDARDS INSTITUTE (ETSI), 650, ROUTE DES LUCIOLES ; F-06921 SOPHIA-ANTIPOLIS ; FRANCE, vol. ISG - NFV, no. V1.1.2, 4 November 2014 (2014-11-04), pages 1 - 21, XP014216312 *
"Network Functions Virtualisation (NFV); Trust; Report on Certificate Management", vol. NFV SEC, no. V1.1.1, 16 January 2019 (2019-01-16), pages 1 - 38, XP014344115, Retrieved from the Internet <URL:http://www.etsi.org/deliver/etsi_gr/NFV-SEC/001_099/005/01.01.01_60/gr_NFV-SEC005v010101p.pdf> [retrieved on 20190116] *

Similar Documents

Publication Publication Date Title
EP3125492B1 (en) Method and system for generating a secure communication channel for terminals
DE60006041T2 (en) METHOD FOR VERIFYING THE USE OF PUBLIC KEYS GENERATED BY A LOADED SYSTEM
DE102011081804B4 (en) Method and system for providing device-specific operator data, which are bound to an authentication credential, for an automation device of an automation system
EP3681102B1 (en) Method for validation of a digital user certificate
DE112011100182T5 (en) Transaction check for data security devices
EP3649768A1 (en) Method for the secure replacement of a first manufacturer certificate already incorporated into a device
EP3743844B1 (en) Blockchain-based identity system
AT506735B1 (en) DISTRIBUTED DATA STORAGE DEVICE
EP3422274A1 (en) Method for configuring or changing a configuration of a payment terminal and/or for allocating a payment terminal to an operator
EP3910875A1 (en) Concept for exchanging cryptographic key information
DE102017201891A1 (en) Programmable hardware security module and method on a programmable hardware security module
EP2452319A1 (en) Method and device for authenticating components within an automatic teller machine
EP3373545A1 (en) Safety unit, in particular for an iot device and method for executing one or more applications for secure data exchange with one or more servers providing web services
WO2022069247A1 (en) Device and method for setting up a service-based authentication
WO2022022997A1 (en) Channel-based communication in an iot network
EP3881486B1 (en) Method for providing proof of origin for a digital key pair
WO2015155016A1 (en) Provision of a virtual connection for transmitting application data units
EP3906653B1 (en) Method for issuing a cryptographically protected authenticity certificate for a user
WO2024012624A1 (en) Method for securely generating a token which can be issued, method for securely destroying a token, and token issuer
DE102016207635A1 (en) Method and device for securing device access
EP4187413A1 (en) Control system for a process engineering system and method for creating automation for components of a process engineering system
WO2022063851A1 (en) Server for handling transactions
DE10136384C2 (en) Device for the computer-controlled generation of a large number of data records
AT517151B1 (en) Method for authorizing access to anonymously stored data
DE102012209123B4 (en) Device, system and method for remote seizure and establishment of secrets in machinery to machine communication

Legal Events

Date Code Title Description
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 21778066

Country of ref document: EP

Kind code of ref document: A1