The present invention relates to a method for proving the authenticity of the device by means of a certificate of the device, in which the certificate is provided in the first step, and the integrity of the identity description of the certificate can be checked based on the digital signature of the certificate issuer, and the certificate has hardware authentication information. In the second step, the attribution of the certificate to the device is proved by means of the hardware secret belonging to the hardware authentication information of the device. Thus, a two-factor authentication is realized, which combines the authentication of devices with the use of hardware-specific secrets for checking.
【技术实现步骤摘要】
【国外来华专利技术】借助凭证对设备真实性的证明
技术介绍
在工业自动化设施中,在安全基础设施的范畴中使用凭证或安全凭证(SecurityCredentials),例如由认证实体或所谓的认证机构(CertificationAuthorities)颁发的数字证书。在这种情况下,自动化设施内的设备使用数字证书向第三方证明自己。证书借助于认证实体的签名确认证书中包含的关于例如设备的身份或公钥的说明是正确的。可以通过铭牌来表征技术设备以唯一地表征硬件。例如,安全特征(如全息图)可以集成到铭牌中。此外,可以在生产期间将数据引入到设备中,也可以在使用期间请求所述数据。如果设备和检验点之间存在数据通信连接,则可以使用该数据通信连接以执行密码认证。一般已知的是,存储具有设备的公钥和设备的标识信息的数字证书。在此情况下还已知的是,使用制造商证书以受保护地建立操作员证书。在这种情况下,通用的认证模块具有由认证模块的制造商设定的标识信息。从公开文献DE102013203101A1中已知,可以通过中间实体给证书请求补充其他参数或属性并从而提出扩展的证书请求。
技术实现思路
存在使用凭证或安全凭证、如特别是数字证书来实现技术设备向检验点的可靠认证的需要。在这种情况下,既应当保证所呈现的凭证的完整性,又应当保证呈现证书的单元的真实性。该任务通过独立权利要求中说明的特征来加以解决。在从属权利要求中说明了有利的构造。本专利技术涉及一种借助于设备的凭证来证明设备真实性的方法,其中,在第一步骤中提供凭证,并且可以基于凭证发行者的数字签名来检查凭证的身份说明的完整性,其中,凭证具有硬件认证信息,并且在第二步骤中,借助于设备的 ...
【技术保护点】
1.一种用于借助于设备(100)的凭证(10)来证明所述设备(100)的真实性的方法,其中,在第一步骤(S1)中提供所述凭证(10),并且能够基于凭证发行者的数字签名来检查所述凭证(10)的身份说明的完整性;‑其中所述凭证(10)具有硬件认证信息(20),并且在第二步骤(S2)中借助于所述设备(100)的属于所述硬件认证信息(20)的硬件秘密(30)来证明所述凭证(10)对所述设备(100)的归属性。
【技术特征摘要】
【国外来华专利技术】2016.03.30 DE 102016205198.91.一种用于借助于设备(100)的凭证(10)来证明所述设备(100)的真实性的方法,其中,在第一步骤(S1)中提供所述凭证(10),并且能够基于凭证发行者的数字签名来检查所述凭证(10)的身份说明的完整性;-其中所述凭证(10)具有硬件认证信息(20),并且在第二步骤(S2)中借助于所述设备(100)的属于所述硬件认证信息(20)的硬件秘密(30)来证明所述凭证(10)对所述设备(100)的归属性。2.根据权利要求1所述的方法,其中,所述硬件认证信息(20)被构造为硬件认证模块(101)的标识符。3.根据权利要求2所述的方法,其中,所述标识符被构造为硬件认证电路的标识符或序列号,或者被构造为硬件认证模块的公钥的值或哈希值,或者被构造为所述硬件认证模块的证书的值或者哈希值,或者被构造为在制造阶段施加到所述设备的对称密钥的标识符,或者被构造为在制造阶段施加到所述设备的对称密钥表的索引或在所述设备上设置的物理上不可克隆的函数的索引,或者被构造为密钥表的标识符。4.根据前述权利要求中任一项所述的方法,其中,借助于属于所述硬件认证信息(20)的硬件秘密(30)对所述归属性的证明基于对称或非对称的认证方法,特别是基于挑战-响应的认证方法。5.根据前述权利要求中任一项所述的方法,其中,所述硬件秘密(30)被构造为私有或秘密的密钥或物理上不可克隆的函数。6.根据前述权利要求中任一项所述的方法,其中,所述硬件秘密(30)被存储在所述设备(100)的存储器(102)中。7.根据前述权利要求中任一项所述的方法,其中,所述硬件认证信息(20)被合并到属性证书中,所...
【专利技术属性】
技术研发人员:R法尔克,S弗里斯,
申请(专利权)人:西门子股份公司,
类型:发明
国别省市:德国,DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。