本发明专利技术涉及一种在服务技师(06,07)与可以远程诊断和/或可以远程维护的自动化环境的故障组件(02,03)之间建立安全连接的方法,所述方法需要服务证书来建立安全连接,首先用一个一次性密码在服务技师(06,07)与自动化环境(01)之间建立安全的初始连接,接着通过初始连接将用来与自动化环境(01)的故障组件(02,03)建立安全连接所需的服务证书从自动化环境(01)传输给服务技师(06,07),最终利用服务证书在服务技师(06,07)与故障组件(02,03)之间建立安全连接。本发明专利技术还涉及一种用来执行所述方法的自动化环境(01)。
【技术实现步骤摘要】
【国外来华专利技术】
经常有多个不同的承包方或者公司特别是在自动化环境中进行安装,或者各个组 件源于不同的公司。例如第一家公司提供自动化终端设备,第二家公司提供网络组件,第三 家公司提供办公组件和设备。
技术介绍
为了使服务技师例如能够访问自动化终端设备,通常要使用一种访问凭证,例如 具有对应私钥的服务证书,或者具有相应密码的识别码或类似手段。但是必须预先在服务 技师的计算机上(例如笔记本电脑)安装或者配置这种访问机制。为了避免出现过长的 停机时间(这会引起巨大费用,因此在自动化环境中尤为不利),必须能够尽快设置这些访 问。如果如开头所述有多家公司协同工作,并且在统称为故障的故障或维修情况下涉 及各种不同的实体,那么就会有问题。例如可能会出现这样的情况某个服务技师想要通过 远程访问方式来访问自动化终端设备,但是必须首先通过例如虚拟专用网络(VPN)隧道连 接网络。如果该服务技师尚未获得服务证书(通常为多家公司提供支持的服务技师储备数 量比较大,肯定会有这样的情况),则需要有一名服务技师来自提供网络组件的公司。因此难以将所创建的服务证书传输给该服务技师。各公司的服务技师通常相距甚 远,因为可以通过远程访问方式解决大多数任务。为了安全起见,不推荐通过互联网以纯 文本传输服务证书。如果利用加密电子邮件进行传输,则需要有一种共享的公钥基础架构 (PKI),这通常成本很高并过于复杂。为了在一定程度上规避这些问题,迄今为止服务技师要么已经在其计算机上安装 了所有待服务公司的所有服务证书,或者必须“及时”(just in time)创建一份服务证书, 然后利用一种存储介质(例如USB记忆棒)将其交给相应的服务技师。
技术实现思路
因此本专利技术的目的在于提出一种能够在服务技师与可以远程诊断和/或可以远 程维护的自动化环境的故障组件之间快速、简便地建立安全连接的方法。利用权利要求1所述的特征即可实现这一目的。根据本专利技术的在服务技师与可以远程诊断和/或远程维护的自动化环境的故障 组件之间建立安全连接的方法,其中需要服务证书才能建立安全连接,首先用一个一次性 密码在服务技师与自动化环境之间建立安全的初始连接,接着通过该初始连接将用来与自 动化环境的故障组件建立安全连接所需的服务证书从自动化环境传输给服务技师,最终利 用该服务证书在服务技师与故障组件之间建立安全连接。本专利技术相对于现有技术的优点尤其在于通过使用(例如一随机数构成的一初始 凭证形式的)一次性密码的方式,使得服务技师能够在故障情况下非常迅速、安全地执行远程访问。此外还可以很方便地将本专利技术整合在现有自动化环境之中,因为只要给网络组件 另外增加一个(例如随机数发生器形式的)逻辑单元,或者只要在网络中另外安装一个认 证组件即可。根据本专利技术的一种有益实施方式,负责故障组件的服务技师在出现故障时通过第 一通信途径和/或利用第一消息获得一份故障单,该故障单至少包含一关于自动化环境中 有关组件的提示,然后通过第二通信途径和/或利用独立于第一消息的第二消息递送或传 输一次性密码。采用划分通信途径的方式,例如在故障单中通知IP地址,通过SMS传送一 次性密码或初始凭证,使得潜在的攻击者更加难于得到相关的访问数据。根据本专利技术的另一种有益实施方式,安全的初始连接至少是一种在服务器侧经过 认证的连接,服务技师可利用一次性密码通过该连接验证身份。根据本专利技术的另一种有益实施方式,通过短信服务(SMS)将一次性密码传输给负 责故障组件的服务技师。通过SMS能够快速、有针对性地发送密码给相关的服务技师。根据本专利技术的另一种有益实施方式,由出具故障单的系统或设备自动创建一次性 密码,然后由SMS服务器将其传输给负责故障组件的服务技师。根据本专利技术的一种特别有益的实施方式,使用一种允许以“点击”方式创建一个初 始凭证、然后通过SMS发送初始凭证的用户界面来创建一次性密码。根据本专利技术的另一种特别有益的实施方式,负责故障组件的服务技师利用初始连 接与自动化环境的一网络组件建立连接,以便访问故障组件(例如自动化环境中的一个自 动化终端设备),然后通过该网络组件安全地连接到故障组件。根据本专利技术的另一种特别有益的实施方式,负责网络组件的服务技师至少对利用 (例如初始凭证形式的)一次性密码建立初始连接的过程进行监控。可想而知,可以采用遥 控方式进行〃 remote"远程监控。根据本专利技术的另一种特别有益的实施方式,为了安全起见,由负责网络组件的服 务技师创建一次性密码,负责网络组件的服务技师然后将一次性密码传输给负责故障组件 (例如自动化终端设备)的服务技师。所述一次性密码最好是一种初始凭证。初始凭证最好以一个随机数形式存在,或者根据一个随机数创建初始凭证。初始凭证最好仅仅由一个随机数构成,该随机数与自动化环境和/或故障组件相 关的数据(如互联网协议(IP)地址、计算机名称或帐号)无关。负责故障组件的服务技师 优选利用故障单获得这些数据或这些数据的一部分,获取途径与初始凭证分开。根据本专利技术的一种有益实施方式,将服务技师访问故障组件所使用的当前随机数 或当前初始凭证作为状态消息中的一个附加单元传输给网络组件的服务技师,以便提供例 如有关已经生成的随机数或者初始凭证的使用信息。 根据本专利技术的另一种有益实施方式,网络组件具有一个发送给服务技师的随机数 的数据池。根据本专利技术的一种特别有益的实施方式,每次完成访问特定的组件之后自动重新 填充数据池。这样例如就能保证在网络组件负荷低的时刻通过网络组件生成随机数或初始 凭证。此外可想而知,在数据池溢出之前还可以通知随机数生成组件的管理员生成一个新的数据池。这好比当今银行业所使用的iTANs列表。根据本专利技术的另一种有益实施方式,将用于初始连接的初始凭证随机数作为附加 信息整合在服务证书之中,例如整合在主体别名(Subject AlternativeName)之中,这样便 于以后分析网络访问日志文件(Log Files),因为很容易利用随机数将证书与建立连接的 请求关联起来。根据本专利技术的另一种有益实施方式,网络组件在建立安全初始连接之后例如自动 地提供一份能够用来连接到例如自动化终端设备的服务证书。根据本专利技术的一种特别有益的实施方式,服务证书是一种短时证书,例如有效期 仅为一小时或者一天的短时证书。根据本专利技术的另一种特别有益的实施方式,对利用服务证书建立的通过安全连接 进行的远程访问和/或一次性密码的创建进行监控或记录。根据本专利技术的一种特别有益的实施方式,由一种可以远程诊断和/或远程维护的 自动化环境执行上述方法,所述自动化环境具有用来执行这种方法的装置,这些装置优选包括至少一个配有随机数发生器的网络组件,例如一个交换机、一 个VPN-Box、一个WLAN交换机或者类似装置,所述随机数发生器用来创建初始凭证形式的一次性密码。附图说明以下将结合附图对本专利技术的一种实施例进行详细解释。附图如下附图1为可用远程访问方式进行远程诊断和/或远程维护的自动化环境示意图。一种可用远程访问方式进行远程诊断和/或远程维护的自动化环境01的构造如 下可通过局域网络(例如公司内部网络)利用一办公组件或办公设备(图中未示出)进 行配置和/或控制的一种自动化终端设备02 (例如机床02),该终端设备02与一个具有随 机数发生本文档来自技高网...
【技术保护点】
在服务技师(06,07)与可远程诊断和/或可远程维护的自动化环境的故障组件(02,03)之间建立安全连接的方法,其中,需要一份服务证书来建立所述的安全连接,其特征在于,首先利用一个一次性密码在所述服务技师(06,07)与所述自动化环境(01)之间建立一种安全的初始连接,接着通过所述初始连接将建立所述安全连接所需的服务证书从所述自动化环境(01)传输给所述服务技师(06,07),然后利用所述服务证书在所述服务技师(06,07)与所述故障组件(02,03)之间建立所述安全连接。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:斯特芬弗里斯,安德烈亚克普夫,
申请(专利权)人:西门子公司,
类型:发明
国别省市:DE[德国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。