[发明专利]技术设施的证书管理在审
申请号: | 202111209702.7 | 申请日: | 2021-10-18 |
公开(公告)号: | CN114448655A | 公开(公告)日: | 2022-05-06 |
发明(设计)人: | 本杰明·卢茨;安娜·帕尔明 | 申请(专利权)人: | 西门子股份公司 |
主分类号: | H04L9/40 | 分类号: | H04L9/40;H04L9/08;H04L9/32 |
代理公司: | 北京康信知识产权代理有限责任公司 11240 | 代理人: | 沈敬亭 |
地址: | 德国*** | 国省代码: | 暂无信息 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 技术 设施 证书 管理 | ||
本申请涉及技术设施的证书管理,提出了一种用于技术设施的控制系统,控制系统包括至少一个认证机构和设施组件,认证机构负责为设施组件签发和撤销证书,认证机构被设计为创建关于所撤销的证书的禁用列表,能够在控制系统中分发禁用列表,在控制系统中实施禁用列表服务,禁用列表服务被设计和设置为将禁用列表分发给设施组件,设施组件分别包括本地存储器,先前分发的禁用列表能够存储在本地存储器中。控制系统的特征为,禁用列表服务被设计为,在成功撤销证书后确定撤销原因,根据撤销原因,触发先前分发的并在设施组件的相应本地存储器上存储的禁用列表的移除,由此引起在成功撤销后所新创建的禁用列表在设施组件的相应本地存储器中的存储。
技术领域
本发明涉及一种具有本发明的前序特征的技术设施,特别是加工设施或过程设施的控制系统。本发明还涉及一种用于运行技术设施的方法。
背景技术
在技术设施(例如过程设施)自动化的背景下,各种协议和机制用于在技术设施(例如自动化设备,客户端或服务器)的各个组件之间的安全通信。大多数这些安全协议和机制都需要使用所谓的数字证书。在此,在本文件中,证书被理解为确认(在这种情况下为机器、设备、应用程序等的)确定的特性的数字数据集。证书的真实性和完整性通常能够借助加密方法进行验证。
证书由认证主体或认证机构签发。这在英语中被称为所谓的“Issuing CA(认证机构)”。这样的认证机构通常始终在线,并基于收到的证书申请为各种申请人签发证书,并使用认证机构自身的认证机构证书给证书签名。认证机构的可信度由此确保,即通过位于受保护的环境中的可信赖的根认证主体(也称为“Root CA”)的证书给认证机构自身的认证机构证书签名。在此应该注意的是,根CA大部分时间处于离线状态,并且仅在根CA应为所属认证机构签发证书时-在遵守最严格的安全预防措施的情况下-才被激活或被接通。
可能会发生需要撤销一个证书或同时撤销多个证书。由认证机构(英文:IssuingCertification Authority,缩写CA)为设施组件签发的证书的这种撤销总是导致,该证书由负责的认证机构放置在所谓的禁用列表(英文:Certificate Revocation List,缩写CRL)中,该禁用列表包含所有不再有效的证书。
由所属或负责的认证机构在使用认证机构的私钥(英文:Private Key)的情况下给更新或新签发的禁用列表签名,并因此有资格值得信赖。
可能有必要的是,必须尽快或立即撤销证书。对此的一个实例是有缺陷且无法修复的设备,该设备应该与过程设施的网络断开连接。出于安全原因,在这里将由设备使用的证书(或多个证书)放在相应的禁用列表中并因此使其无效,这能够是有意义的。
通过证书的立即撤销能够实现,一方面使设备不再能够在过程设施内(在使用过程设施的操作证书的情况下)进行通信,并且另一方面不再能够在过程设施之外(在使用过程设施的制造商证书的情况下)提供该设备。
为了使设施组件能够相互成功地验证设施组件的证书,每个组件都必须具有各个其他组件的信任链(英文:Trust Chain)。在此,证书的信任链由签发此证书的认证机构的证书和由所属的上级的中间CA和所属的根CA的证书组成。在相互证书验证时,由组件验证组件的通信伙伴的证书以及所有在所属的信任链中包含的CA证书。在验证的范畴内的强制性步骤是验证相应(CA)证书的撤销状态。在此检查证书是否在先前描述的、通过负责的认证机构签发(和签名)的证书禁用列表(英文:Certificate Revocation List,CRL)上被公布。
通常,认证机构将禁用列表存储在CRL分发点(英文:CRL Distribution Point,CDP)上,CRL分发点的地址或URL(Uniform Resource Locator,统一资源定位符)包含在证书中。因此原则上,通过设施组件从CDP中“获取”禁用列表并检查禁用列表是否可能包含相应的证书,每个设施组件都能够自己检查其自身的证书以及其通信伙伴的证书的撤销状态。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于西门子股份公司,未经西门子股份公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111209702.7/2.html,转载请声明来源钻瓜专利网。