The invention relates to a method for generating device-specific certificates for devices, including: connecting the security device with the device, in which a private signature key capable of being used once is stored in the security device; storing the device-specific identification information in the security device; accessing the private signature key in the security device; and generating according to the identification information stored in the security device. Device-specific device certificates, in which private signature keys are used to sign device-specific device certificates, and further access to private signature keys is disabled. In addition, a security device for executing the method and a security system with the device are proposed. Using the described method and the described security device, it is possible to generate device-specific device certificates for devices at very low cost, especially without using public key infrastructure.
【技术实现步骤摘要】
方法、安全装置和安全系统
本专利技术涉及一种用于为设备生成设备专用的设备证书的方法和安全装置以及一种安全系统。
技术介绍
为了能够与通信网络中的通信伙伴安全地通信,电子设备,特别是现场设备、控制设备或物联网设备(IdD设备)必须经常向通信伙伴进行验证。通过对身份的验证,通信伙伴能够确保消息是真实可信的,即确实来自指定的设备。例如,设备可以借助于数字签名的设备证书由通信伙伴进行验证,该证书包含设备专用的信息以及设备的公钥。数字设备证书例如是在设备制造或启动时创建的。为了创建设备证书,可以使用公钥基础结构(PKI),其借助于证书颁发机构(英文“CertificationAuthority”(CA))从设备获得证书请求,并生成数字签名的设备证书。所创建的设备证书必须通过PKI接口传输到设备上。此外公知的是,将安全模块与安全模块专用的安全模块证书嵌入或集成到设备中。然而在此,必须先创建安全模块证书并通过接口将其传输到安全模块。尽管由此可以对安全模块进行验证,但不能对设备进行验证。
技术实现思路
在此背景下,本专利技术的目的在于提供一种用于为设备生成设备专用的设备证书的改进方法。进一步目的在于提供一种用于为设备生成设备特定设备证书的改进的安全装置以及一种改进的安全系统。因此,提出了一种用于为设备生成设备专用的设备证书的方法。该方法包括:将安全装置联接到设备,其中,在安全装置中存储有能使用一次的私人签名密钥;将设备专门的识别信息存储在安全装置中;访问安全装置中的私人签名密钥;根据在安全装置中存储的识别信息生成设备专用的设备证书,其中,用私人签名密钥对设备专用的设备证书进行 ...
【技术保护点】
1.一种用于为设备(1、1a‑1c)生成设备专用的设备证书(18、18a‑18c)的方法,所述方法包括:将安全装置(2)与所述设备(1、1a‑1c)联接(S1),其中,在所述安全装置中存储有能使用一次的私人签名密钥(3);将设备专用的识别信息(21、21a‑21c)存储(S2)在所述安全装置(2)中;访问(S3)在所述安全装置(2)中的所述私人签名密钥(3);根据所述安全装置(2)中存储的所述识别信息(21、21a‑21c)生成(S4)所述设备专用的设备证书(18、18a‑18c),其中,用所述私人签名密钥(3)对所述设备专用的设备证书(18、18a‑18c)进行签名;以及禁用(S5)对所述私人签名密钥(3)的进一步访问。
【技术特征摘要】
2017.06.29 EP 17178641.11.一种用于为设备(1、1a-1c)生成设备专用的设备证书(18、18a-18c)的方法,所述方法包括:将安全装置(2)与所述设备(1、1a-1c)联接(S1),其中,在所述安全装置中存储有能使用一次的私人签名密钥(3);将设备专用的识别信息(21、21a-21c)存储(S2)在所述安全装置(2)中;访问(S3)在所述安全装置(2)中的所述私人签名密钥(3);根据所述安全装置(2)中存储的所述识别信息(21、21a-21c)生成(S4)所述设备专用的设备证书(18、18a-18c),其中,用所述私人签名密钥(3)对所述设备专用的设备证书(18、18a-18c)进行签名;以及禁用(S5)对所述私人签名密钥(3)的进一步访问。2.根据权利要求1所述的方法,其中,禁止(S5)对所述私人签名密钥(3)的进一步访问包括删除所述私人签名密钥(3)、覆盖所述私人签名密钥(3)、改变所述私人签名密钥(3)和/或禁止对密钥存储设备(4)的访问,在所述密钥存储设备中存储有所述私人签名密钥(3)。3.根据权利要求1或2所述的方法,其中,在多个不同的安全装置(2)中存储的签名密钥(3)是相同的。4.根据权利要求1至3中任一项所述的方法,所述方法还包括:从所述设备(1、1a-1c)或经由所述安全装置(2)中的所述设备的接口,接收(S20)设备专用的所述识别信息(21、21a-21c),或者在所述安全装置(2)中生成设备专用的所述识别信息(21、21a-21c)。5.根据权利要求1至4中任一项所述的方法,所述方法还包括:在所述安全装置(2)中,检查(S21)存储的所述识别信息(21、21a-21c)是否以预设的数据格式存储,以及如果存储的所述识别信息(21、21a-21c)以所述预设的数据格式存储,则生成(S4)所述设备专用的设备证书(18、18a-18c)。6.根据权利要求1至5中任一项所述的方法,所述方法还包括:在所述安全装置(2)中,接收(S11)激活信息;检查(S12)所述激活信息是否与预设的激活信息一致;以及如果所述激活...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。