本申请涉及技术设施的证书管理,提出了一种用于技术设施的控制系统,控制系统包括至少一个认证机构和设施组件,认证机构负责为设施组件签发和撤销证书,认证机构被设计为创建关于所撤销的证书的禁用列表,能够在控制系统中分发禁用列表,在控制系统中实施禁用列表服务,禁用列表服务被设计和设置为将禁用列表分发给设施组件,设施组件分别包括本地存储器,先前分发的禁用列表能够存储在本地存储器中。控制系统的特征为,禁用列表服务被设计为,在成功撤销证书后确定撤销原因,根据撤销原因,触发先前分发的并在设施组件的相应本地存储器上存储的禁用列表的移除,由此引起在成功撤销后所新创建的禁用列表在设施组件的相应本地存储器中的存储。地存储器中的存储。地存储器中的存储。
【技术实现步骤摘要】
技术设施的证书管理
[0001]本专利技术涉及一种具有本专利技术的前序特征的技术设施,特别是加工设施或过程设施的控制系统。本专利技术还涉及一种用于运行技术设施的方法。
技术介绍
[0002]在技术设施(例如过程设施)自动化的背景下,各种协议和机制用于在技术设施(例如自动化设备,客户端或服务器)的各个组件之间的安全通信。大多数这些安全协议和机制都需要使用所谓的数字证书。在此,在本文件中,证书被理解为确认(在这种情况下为机器、设备、应用程序等的)确定的特性的数字数据集。证书的真实性和完整性通常能够借助加密方法进行验证。
[0003]证书由认证主体或认证机构签发。这在英语中被称为所谓的“Issuing CA(认证机构)”。这样的认证机构通常始终在线,并基于收到的证书申请为各种申请人签发证书,并使用认证机构自身的认证机构证书给证书签名。认证机构的可信度由此确保,即通过位于受保护的环境中的可信赖的根认证主体(也称为“Root CA”)的证书给认证机构自身的认证机构证书签名。在此应该注意的是,根CA大部分时间处于离线状态,并且仅在根CA应为所属认证机构签发证书时
‑
在遵守最严格的安全预防措施的情况下
‑
才被激活或被接通。
[0004]可能会发生需要撤销一个证书或同时撤销多个证书。由认证机构(英文:Issuing Certification Authority,缩写CA)为设施组件签发的证书的这种撤销总是导致,该证书由负责的认证机构放置在所谓的禁用列表(英文:Certificate Revocation List,缩写CRL)中,该禁用列表包含所有不再有效的证书。
[0005]由所属或负责的认证机构在使用认证机构的私钥(英文:Private Key)的情况下给更新或新签发的禁用列表签名,并因此有资格值得信赖。
[0006]可能有必要的是,必须尽快或立即撤销证书。对此的一个实例是有缺陷且无法修复的设备,该设备应该与过程设施的网络断开连接。出于安全原因,在这里将由设备使用的证书(或多个证书)放在相应的禁用列表中并因此使其无效,这能够是有意义的。
[0007]通过证书的立即撤销能够实现,一方面使设备不再能够在过程设施内(在使用过程设施的操作证书的情况下)进行通信,并且另一方面不再能够在过程设施之外(在使用过程设施的制造商证书的情况下)提供该设备。
[0008]为了使设施组件能够相互成功地验证设施组件的证书,每个组件都必须具有各个其他组件的信任链(英文:Trust Chain)。在此,证书的信任链由签发此证书的认证机构的证书和由所属的上级的中间CA和所属的根CA的证书组成。在相互证书验证时,由组件验证组件的通信伙伴的证书以及所有在所属的信任链中包含的CA证书。在验证的范畴内的强制性步骤是验证相应(CA)证书的撤销状态。在此检查证书是否在先前描述的、通过负责的认证机构签发(和签名)的证书禁用列表(英文:Certificate Revocation List,CRL)上被公布。
[0009]通常,认证机构将禁用列表存储在CRL分发点(英文:CRL Distribution Point,
CDP)上,CRL分发点的地址或URL(Uniform Resource Locator,统一资源定位符)包含在证书中。因此原则上,通过设施组件从CDP中“获取”禁用列表并检查禁用列表是否可能包含相应的证书,每个设施组件都能够自己检查其自身的证书以及其通信伙伴的证书的撤销状态。
[0010]通过对CDP的增加访问而产生的通常非常高的通信量能够由此降低,即在分发点的(在“检查证书的撤销状态”的步骤中)的证书验证的范畴中或经由代理“获取”设施组件的每个禁用列表随后被存储在设施组件的本地缓存中。根据“互联网X.509公钥基础设施证书和证书禁用列表(CRL)配置文件”(互联网工程任务组的征求意见5280),在检查证书的有效性(在证书验证的范畴中)时首先检查,为此所需的禁用列表是否在本地且是有效的(在访问CDP之前)。在此,禁用列表实现本地缓存的时间点被称为本地CRL缓存时间点。
[0011]由此能够实现,使得设施组件在下次证书验证时能够首先检查,所需的禁用列表是否a)已包含在设施组件的本地缓存中并且b)是最新的,即尚未过期。因此,只有在不满足a)和/或b)的情况下才需要访问CDP或CDP代理。在此,在确定禁用列表是否为最新的范畴内检查,当前时间点(这里称为检查时间点)是否处于在禁用列表中列出的时间点“本次更新”与“下次更新”之间。在此,公布该禁用列表的时间点被理解成“本次更新”,并且签发下个禁用列表的时间点被理解成“下次更新”。
[0012]通过检查时间点(作为证书的撤销状态的检查时间点)处于时间点“本次更新”与在所属的禁用列表中列出的规划的时间点“下次更新”之间,应该能够实现,禁用列表在检查时间点处仍是最新的。但是,当前正在检查撤销状态的证书仍有可能在两个时间点之间被撤销。这表明,(在较早的时间点签发了证书的)所属的认证机构已经收到了撤销申请并随后撤销了证书。但是,更新后的禁用列表并未立即由认证机构重新发布,而是仅在禁用列表中包含的时间点“下次更新”时重新发布。
[0013]这导致,在该证书被重新验证时(例如,该证书属于设施组件的通信伙伴),相关的设施组件“不会注意到”,在此期间该证书已被撤销并且该所撤销的证书已被作为有效的而接收。由此,随后例如能够实现与通信伙伴的通信,基于(实际上)已撤销(进而不再有效)的证书相对于设施组件而言,该通信伙伴自身得以证实。在某些情况下,这能够引起安全方面的重大缺陷,例如在由于通信伙伴的所属私钥(英文:Private Key)的查明的泄漏而导致证书被撤销的情况下。
[0014]这个问题能够通过在证书被撤销后(在时间点“本次更新”时),认证机构有权(例如通过适当的设置和/或脚本)立即公布禁用列表来解决。随后能够将更新的禁用列表直接分发到设施组件。对此,能够完全(总体上)不使用本地缓存。然而,这带来的缺点是,将极大地增加技术设施中的通信量(特别是在有非常多的通信关系时)。
[0015]WO 2017/144056 A1公开了一种用于改进车对X通信的信息安全性的方法,其中,车对X通信能够借助至少一个证书进行保护。
[0016]EP 3 287 925A1公开了一种具有设施组件的基于证书的通信保护的技术设施。
技术实现思路
[0017]本专利技术的目的基于,提出一种用于技术设施的控制系统,该控制系统的证书管理能够以保护资源的方式运行,而不会在此降低技术设施的安全级别。
[0018]该目的通过具有本专利技术的特征的用于技术设施,特别是用于加工设施或过程设施的控制系统来实现。此外,该目的通过根据本专利技术的用于运行技术设施,特别是用于运行加工设施或过程设施的方法来实现。有利的改进方案由从属权利要求给出。
[0019]根据本专利技术的控制系统包括至少一个认证机构和设施组件,其中,认证机构负责为设施组件签发和撤销证书,并且其本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于技术设施的控制系统(1),特别是用于加工设施或过程设施的控制系统,所述控制系统包括至少一个认证机构(14,16)和设施组件(2,3,4,5,6,7),其中,所述认证机构(14,16)负责为所述设施组件(2,3,4,5,6,7)签发和撤销证书,并且其中,所述认证机构(14,16)被设计用于,创建关于所撤销的证书的禁用列表,所述禁用列表能够在所述控制系统(1)中进行分发,并且其中,在所述控制系统(1)中实施有禁用列表服务(15),所述禁用列表服务被设计和设置用于将所述禁用列表分发到所述设施组件(2,3,4,5,6,7)处,并且其中,所述设施组件(2,3,4,5,6,7)分别包括本地存储器,先前分发的所述禁用列表能够存储在所述本地存储器中,其特征在于,所述禁用列表服务被设计用于,在成功撤销证书之后确定撤销原因,特别是通过从撤销申请中或者从相应的用户输入中提取所述撤销原因,并且根据所述撤销原因,触发对先前分发的并在所述设施组件(2,3,4,5,6,7)的相应本地存储器上存储的所述禁用列表的移除,并由于所述移除引起,在成功撤销后所新创建的禁用列表在所述设施组件(2,3,4,5,6,7)的相应的本地存储器中的存储。2.根据权利要求1所述的控制系统(1),其中,要导致移除在所述设施组件(2,3,4,5,6,7)的相应的所述...
【专利技术属性】
技术研发人员:本杰明,
申请(专利权)人:西门子股份公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。