本申请涉及技术设施的控制系统和用于移除一个或多个证书的方法,控制系统具有至少一个部件(1,10),证书服务(7,8)在部件上计算机实施,证书服务(7,8)设计用于:对与部件(1,10)或其他部件(1,10)相关联的证书存储器(2,11)检查:是否在证书存储器(2,11)中存储两个或更多个证书(3,6),证书分别仅在其有效时间段方面彼此不同,以及对于在检查时确定这样的两个或更多个证书(3,6)的情况,发起从证书存储器(2,11)中撤销和移除其有效时间段最早结束的一个或多个证书(3,6),使得仅具有最迟结束的有效时间段的证书(3,6)仍存储在证书存储器(2,11)中。11)中。11)中。
【技术实现步骤摘要】
技术设施的控制系统和用于移除一个或多个证书的方法
[0001]本专利技术涉及一种用于技术设施、特别是过程或生产设施的控制系统。本专利技术还涉及一种用于移除一个或多个证书的方法。此外,本专利技术涉及用于运行技术设施的控制系统的应用。
技术介绍
[0002]由于(通过越来越多地使用开放IT标准和协议而使)保护需求的增加和作为领先的工业安全标准的IEC62443的要求,必须越来越保障技术设施的控制系统中的通信连接安全,即充分保护防止未经授权的访问。
[0003]充分的保护尤其能够(根据所谓的威胁和风险分析(TRA)的结果)包括对传输数据的加密和/或鉴定。相应的加密和鉴定机制通常是安全通信协议(即例如TLS、OPC UA)的组成部分。使用安全通信协议的前提是:通信参与者具有数字证书。
[0004]例如,在操作环境(即例如工业设施)中用于实现安全通信或用户鉴定的证书通常称为所谓的“操作证书”(英文“Operational Certificates”OC)。出于安全原因而值得推荐的是:为使用的每个通信协议使用专用的操作证书。这意味着:如果设施部件例如将OPC UA用于保护一个通信关系并且将TLS用于保护其他通信关系,则部件分别需要OPC UA证书和TLS证书(用于TLS服务器或TLS客户端鉴定)。如果设施部件的数量进而所需的操作证书的数量小,则能够手动将证书导入设施部件中。
[0005]随着涉及安全通信关系并且需要多种证书的设施部件数量的增加,有意义的是:(基于由设施部件生成的证书请求(英文:Certificate Requests,CR))自动化操作证书的签发以及所签发的证书与部件的分配。这种自动化的证书管理通常以所谓的公钥基础设施(PKI)为前提,公钥基础设施应该存在于相应的操作环境(例如工业设施)中。
[0006]因此,为了使设施部件能够最佳地“理解”所使用的公钥基础设施的部件,在该部件中总是实施常用的证书管理协议,即例如根据RFC 4210或根据“轻量级CMP配置文件”的“证书管理协议(CMP)”。使用这种协议能够区分各种场景(即例如用于特定目的的操作证书的初始请求或对特定目的已经存在的操作证书的更新的请求)。此外,这种协议适合于:请求不同类型的证书,因为在大多数情况下值得推荐的是:在请求应用特定的操作证书之前,对设施部件配置与设施绑定的客户证书(英文Customer Device Certificate客户设备证书,缩写:CDC),客户证书将部件绑定至客户设施(如员工证件将员工绑定与企业),并且客户证书然后被用作为用于请求操作证书的基础。
[0007]应根据当前预设/建议(例如来自NIST)定期(例如每两年)更新证书和配属的私钥。在自动化证书管理的上下文中,这意味着:设施部件向颁发要更新的证书的证书颁发机构(CA)例如通过以下方式请求更新(例如,经由中央注册机构(RA)):即设施部件将证书请求传输至证书颁发机构。为此,设施部件应能够检查当前时刻是否位于在证书中列出的时间点“有效期自”与“有效期至”之间。
[0008]由于可能的连接问题和超时的风险,证书的更新通常提前请求(例如,在证书到期
前几周)或者由用户手动地(经由管理用户界面)执行。证书更新的结果通过证书表示,该证书通常通过不同的公钥和/或不同的有效时间段与原始证书区分。基本的证书内容(特别是证书属性“申请人”、“签发人”、“序列号”、“密匙使用目的”、“扩展密匙使用目的”的值)在此保持不变。
[0009]证书通常存储在相应的设施部件的证书存储器中(英文Certificate Store证书库),更确切地说通常存储在子目录“Own”中。因此,在成功执行更新后,在“Own”目录中存在至少两个(几乎)相同且重叠有效的证书,证书可用于相同目的。对于为了测试目的通过用户手动多次重复发起证书更新,或者设施部件由于技术问题(例如连接问题)没有在预先配置的时间段内获得所请求的证书进而(可能多次)重复请求更新的情况,甚至能够在“Own”下存储多个相同的、重叠有效的证书,这些证书仅通过不同的有效时间段和不同的公钥来彼此区分。
[0010]这如下面所述的那样会起到不利的作用:如果设施部件在其证书存储器(在“Own”下)中查找用于特定目的的证书(例如“Key Usage”或“Extended Key Usage)”,以便例如对应传输至其他设施部件的数据包进行签名或者相对于其他设施部件进行鉴定,则设施部件发现不仅一个匹配于该专用目的的证书。查找该证书必或者能够需要大量时间并且损害设施部件的性能。此外,设施部件的证书存储器由此被不必要地过度填充。为此需要考虑的是:大多数工业物联网设备(例如所谓的工业边缘设备)具有非常受限的存储空间。特别是出于这个原因,只有必要的证书才应存储在这种设备的证书存储器中。
[0011]此外,通常错误地认为:用于更新证书的过程默认地还包含或涉及撤销现有证书。但是,通常不是这种情况。例如,根据RFC 4210的所谓的证书管理协议(CMP)限定两种不同的用于请求证书更新或证书撤销的消息或请求类型(密钥更新请求,KUR,或撤销请求,RR)连同配属的响应类型(密钥更新响应,KUP,或撤销响应,RP),它们彼此不处于直接关系中。也在利用根据OPC UA规范的所谓的OPC UA全局发现服务器(GDS)进行证书管理的上下文中没有明确设置撤销请求。
[0012]如果用于更新证书的过程默认包含立即撤销现有证书,则这引起:设施部件已经请求其更新的现有的证书在通过负责的进行签发的证书颁发机构(签发CA)签发“继任者”后立即被撤销,即设定到签发CA的证书吊销列表(证书撤销列表,CRL)。因此,如果以一定延迟将“继任者”交付给相关的设施部件(通常经由注册机构(RA))(这在工业环境中经常是这种情况),则因此会发生:在存储在相关的设施部件的证书存储器中的证书已经无效(因为其被列到签发CA的CRL上),但设施部件还不具有更新的证书。
[0013]因此,部件在安全通信的范畴中会“在不知的情况下”使用已撤销进而不再有效的证书,这对其通信伙伴而言在检查撤销状态(英文Revocation Status Checking)时在证书验证的范畴中会被“注意到”。因此,通信伙伴拒绝通信过程,这会导致通信中断,从而导致危害工业设施的正常运行和可用性。
[0014]在EP 3 258 662 A1中公开一种用于在认证机构中注册智能电气设备的方法。
[0015]US 5 745 574 A公开一种具有多个认证机构的安全基础设施。
技术实现思路
[0016]本专利技术所基于的目的是提出一种用于技术设施的控制系统,该控制系统能够实现
用于技术设施的部件的改进的证书管理。
[0017]目的通过具有本专利技术的特征的用于技术设施、特别是过程或生产设施的控制系统来实现。此外,该目的还通过具有本专利技术的特征的用于从用于设施部件、特别是生产或过程设施的控制系统的部件的证书存储器中移除一个或多个证书的方法来实现。此外,该目的通过根据本专利技术的控本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于技术设施的控制系统,所述技术设施特别是过程或生产设施,所述控制系统具有至少一个部件(1,10),在一个或多个所述部件上以计算机实施证书服务(7,8),其中,所述证书服务(7,8)设计用于:对与所述部件(1,10)或其他部件(1,10)相关联的证书存储器(2,11)检查:是否在所述证书存储器(2,11)中存储有两个或更多个证书(3,6),所述证书分别仅在所述证书的有效时间段方面彼此不同,以及对于在检查时确定两个或更多个所述证书(3,6)的情况,发起从所述证书存储器(2,11)中撤销和移除所述证书的有效时间段最早结束的一个或多个证书(3,6),使得仅具有最迟结束的有效时间段的证书(3,6)仍存储在所述证书存储器(2,11)中。2.根据权利要求1所述的控制系统,其中,所述证书服务(7,8)设计用于:将已被撤销的并从所述证书存储器(2,11)中移除的一个或多个证书(3,6)存储在所述控制系统的存档中和/或基于云的环境中,以便实现证书撤销的可追溯性。3.根据权利要求1所述的控制系统,其中,所述证书服务(7,8)设计用于:当所述证书服务确认证书(3,6)的撤销时,所述证书服务才发起证书(3,6)的移除。4.根据权利要求3所述的控制系统,其中,对证书(3,6)的撤销的确认表示负责撤销的认证机构(4)的明确的撤销消息。5.根据权利要求3或4所述的控制系统,其中,对证书(3,6)的撤销的确认表示吊销列表(9),在证书(3,6)的撤销之后负责撤销的认证机构(4)签发所述吊销列表,并且所述吊销列表列出已撤销的证书(3,6)和由所述认证机构(4)撤销的其他证书(3,6)。6.根据前述权利要求中任一项所述的控制系统,其中,所述认证服务(7,8)设计用于:通过直接向负责证书(3,6)的撤销的认证机构(4)提出撤销请求来发起一个或多个证书(3,6)的撤销。7.根据权利要求1至5中任一项所述的控制系统,其中,所述认证服务(7,8)设计用于:通过对所述控制系统的操作员的相应的请求来发起一个或多个证书(3,6)的撤销。8.根据前述权利要求中任一项所述的控制系统,其中,所述部件(1,10)代表自动化设备、现场设备、可编程逻辑控制器、交换机、机床、边缘部件、操作员站服务器或操作员站客户端。9.根据前述权利要求中任一项所述的控制系统,其中,所述认证服务(7,8)设计用于:对于在检查时确定两个或更多个证书(3,6)的情况,或者当存在负责撤销的认证机构(4)的明确的撤销消息时,或者当存在在撤销证书(3,6)之后签发的吊销列表(4)时,或者在撤销证书(3,6)时,将事件分类为安全事件并且将相应的消息存储在所述控制系统的...
【专利技术属性】
技术研发人员:安娜,
申请(专利权)人:西门子股份公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。