CN105934925B - 用于在设备中基于证书认证通信伙伴的方法、管理装置和设备 - Google Patents
用于在设备中基于证书认证通信伙伴的方法、管理装置和设备 Download PDFInfo
- Publication number
- CN105934925B CN105934925B CN201480073860.6A CN201480073860A CN105934925B CN 105934925 B CN105934925 B CN 105934925B CN 201480073860 A CN201480073860 A CN 201480073860A CN 105934925 B CN105934925 B CN 105934925B
- Authority
- CN
- China
- Prior art keywords
- equipment
- certificate
- list
- positive list
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
根据本发明的用于在设备中基于证书认证通信伙伴的方法作为第一方法步骤(11)具有:识别设备的构架。针对所识别的构架从全部可能的通信伙伴中确定(12)所有被允许的通信伙伴,并且生成(13)对于构架特有的正面列表,所述正面列表分别包括每个所确定的被允许通信伙伴的证书。在下一方法步骤(14)中,将正面列表存储在设备上。参照正面列表中的证书检查(15)在设备中从误认的通信伙伴接收的证书,其中仅当误认的通信伙伴的证书与正面列表中的证书相一致时,该设备与该误认的通信伙伴之间的通信才被允许(16)。根据本发明的管理装置和根据本发明的设备被构造用于执行所描述的方法。
Description
技术领域
本发明涉及用于在通信环境中的设备中基于证书认证通信伙伴的一种方法、一种管理装置和一种设备。
背景技术
在工业自动化***中,越来越多地借助于诸如因特网协议(IP)、传输控制协议(TCP)、用户数据报协议(UDP)、超文本传输协议(HTTP)之类的开放协议也或者根据所使用设备受约束的应用协议(CoAP)来进行通信。也使用统一架构协议(OPC UA)或者消息队列遥测传输协议MQTT来进行通信。为了保证传输安全性以及通信伙伴的真实性,大多使用密码方法。对于这些方法,经常使用非对称方法,其中为发送方和接收方分别使用不同的密钥。
为了在设备中认证通信伙伴,通常检查通信伙伴的证书并且在证书的条目被检查为有效时并且在证书是由可信认证机构出具时将该证书识别为有效的。通常基于亦称证书撤销列表(Certificate Revocation List CRL)的证书吊销列表来对被接受证书进行限制,在证书吊销列表中录入了在有效期期间已经变为无效、即吊销的证书。这能够实现与多个通信伙伴的开放的通信,因为通信伙伴可以根据其证书被认证。
通信伙伴是否有权与该设备通信是根据访问控制信息或者访问控制服务器中的询问来检查的。这尤其是在诸如自动化网络之类的通信网络中导致通过通信网络的控制消息形式的高数据流,在所述通信网络中例如通过规划数据从一开始就得知所允许的通信关系。
发明内容
因此本发明的任务是,尤其是在所允许的通信伙伴处的预先确定的受限范围(Kreis)中减少通信网络中的控制消息的总量并且将通信限制于这些已知的伙伴并且保护通信免受尤其是不允许的通信伙伴的故意攻击。
该任务通过在独立权利要求中描述的措施来解决。在从属权利要求中示出了本发明的有利的改进方案。
根据本发明的用于在设备中基于证书认证通信伙伴的方法作为第一方法步骤具有:识别设备的构架。针对所识别的构架从全部可能的通信伙伴中确定所有被允许通信伙伴,并且生成该构架特有的正面列表,所述正面列表分别包括每个所确定的被允许通信伙伴的证书。在下一方法步骤中,将正面列表存储在设备上。在设备中从误认的通信伙伴接收的证书参照正面列表中的证书被检查,其中仅当误认的通信伙伴的证书与正面列表中的证书相一致时,该设备与该误认的通信伙伴之间的通信才被允许。
因此,通信环境中的每个设备都可以独立地、并且在不在外部访问控制服务器中进行询问的情况下认证被允许的通信伙伴。因此,这减少了通信网络中的控制消息的数目和带宽。附加地可以通过使用正面列表从一开始就仅仅预先规定和配置与被允许通信伙伴的通信。这降低了未经允许的和尤其是恶意的攻击者的攻击可能性。
在一个有利的实施方式中,设备的构架由设备类型和/或设备的使用目的和/或设备的被允许的地理应用区域的说明来表征。
由此可以有针对性地为不同、但具有相同构架的设备生成正面列表并且将其用在具有相应构架的所有这些设备中。因此,不必必然为每个单独的设备生成自己的正面列表。通过设备类型或地理应用区域的说明,因此可以为设备选择专用的也或者多个正面列表。在此,单个设备可以支持统一用于该设备的所有通信关系的单个正面列表。单个设备也可以支持多个正面列表,这些正面列表分别用于通信关系的确定的子集。因此,例如可以将第一正面列表用于传输控制数据和测量数据,并且可以将第二正面列表用于诊断通信。
证书的正面列表可以以多种方式导出。其例如可以以服务特有的方式或者设备特有的方式或者从服务、设备和另外信息的组合中导出。但是一般而言可以将任意准则用于界定正面列表的构架。
在一个有利的实施方式中,将关于证书的有效性的另外的条件录入到正面列表中。
这例如使得能够将证书的有效性与设备的运行模式或者与白天时间或者时间范围相耦合。
在一个有利的实施方式中,作为另外的条件将有效属性证书的存在性和/或属性证书对于证书的预先确定参数的存在性录入到正面列表中。
这所具有的优点是,由属性证书中的多样化的条目或参数所给定的多样化的附加条件可供用于有效性检查。也可以通过属性证书和证书本身的不同有效性时长来仅仅在时间上限制地设置附加条件。
在一个有利的实施方式中,在更新设备的正面列表时或以后,从设备到具有不再被允许证书的通信伙伴的所建立的所有通信连接被结束并重新建立,或者发起会议协商程序。
这保证了:在更新正面列表以后,现在不再被允许的通信关系尤其是当这样的通信连接在更新前有效存在时实际上也被结束。因此,现有通信连接在更新正面列表时也被检查。
在另一有利的实施例中,通信伙伴的证书在正面列表中根据其使用的频度来布置。
这加速了连接建立的时长,并且因此导致到最频繁联系的通信伙伴的经优化的连接建立。
在一个实施例中,证书在正面列表中的布置在正面列表的有效性时长期间被动态地匹配。
这使得在通信关系的频度改变时能够重新组织正面列表中的条目并且因此能够再次实现到经改变的最频繁使用的通信伙伴的快速通信建立。
在一个有利的实施方式中,构架作为正面列表中的参数通过字符串和/或通过IP地址和/或通过服务器名称和/或通过对象标识来说明。
通过由字符串来标记正面列表,可以简单地区分正面列表的构架。通过由IP地址或服务器名称表征正面列表的构架,例如可以将正面列表分配给正面列表的建立地点或分发位置。
根据本发明的用于为通信环境中的设备提供正面列表的列表管理装置包括:输入单元,其被构造为通过输入识别所述设备的构架;配置单元,其被配置为针对所识别的构架从全部可能的通信伙伴中确定所有被允许的通信伙伴并且由此生成正面列表,所述正面列表分别包括每个所确定的被允许通信伙伴的证书;以及输出单元,其将构架特有的正面列表传送给所述设备。
这样的列表管理装置所具有的优点是,针对设备或设备的构架,在首次通信以前建立所有被允许通信伙伴的证书并将其传送给该设备。接着,该设备在进一步的通信询问中可以独立地检查:是否涉及被允许的通信伙伴。设备与例如访问控制服务器或列表管理装置之间的持久连接是不必要的。
在一个有利的实施方式中,配置单元被构造为执行正面列表的更新。这使得能够在需要时、例如在重新配置设备时中央地改变被允许的通信伙伴并存储到该设备中。在重新配置整个通信网络时,可以通过列表管理装置例如根据设备组的新构架执行正面列表的有效、结构化的分发。
在一个有利的实施方式中,输出单元签名正面列表并将其通过本地或受保护连接传送给该设备。在此,该设备优选地具有正面列表密钥,利用该正面列表密钥来检查供该设备使用的所提供的正面列表的密码校验信息。在此,该正面列表密钥可以被规定,或者其可以由具有下级正面列表的条目的上级正面列表来提供。
这降低了正面列表在传输给该设备期间的操纵可能性。
在一个有利的实施方式中,配置单元包括过滤器,该过滤器将证书以根据其使用频度的顺序布置在正面列表中。
这允许在建立这些条目时就已经根据其使用频度对正面列表中的条目进行排序,所述频度例如通过之前使用的统计分析来确定。
根据本发明的用于基于证书认证通信环境中的通信伙伴的设备包括:存储单元,其被构造为存储具有被允许证书的正面列表;认证单元,其被构造为参照正面列表中的被允许证书来检查误认的通信伙伴的证书,其中仅当误认的通信伙伴的证书与正面列表中的证书相一致时才允许通信。
这所具有的优点是,在没有到访问控制服务器的持久连接的情况下以及在没有到列表管理装置的持久连接的情况下也可以识别被允许的通信伙伴。
在一个有利的实施方式中,设备包括一个或多个构架特有的正面列表。
这所具有的优点是,设备可以用于不同使用目的,并且在此可以选择不同的被允许的通信伙伴。这在防止未经允许的通信伙伴侵入的安全性同样高的情况下提高了设备的灵活性。
在一个有利的实施方式中,存储单元包括过滤器,该过滤器将被允许的证书以根据其使用频度的顺序布置在构架特有的正面列表中。
这使得能够在设备本身中以及根据通信连接的当前频度来动态匹配正面列表的顺序。
根据本发明的计算机程序产品包括用于执行根据前述方法权利要求所述的方法的程序指令。
根据本发明的数据载体存储根据权利要求16所述的计算机程序产品并且可以被用于将该方法安装在列表管理装置和设备中。
附图说明
根据本发明的方法、列表管理装置以及设备的实施例在附图中予以示例性示出并且根据下列的描述予以进一步阐述。其中:
图1以流程图形式示出了根据本发明的方法的实施例;
图2以示意图示出了具有列表管理装置的根据本发明的实施方式的示例性通信环境;
图3以示意图示出了根据本发明的列表管理装置的实施例;以及
图4以示意图示出了根据本发明的设备的实施例。
相互对应的部分在所有附图中都配备有相同的附图标记。
具体实施方式
根据图1,现在阐述根据本发明的用于在通信环境中进行基于证书认证的方法。基本思想在于,根据构架、比如设备类型或设备分类为设备或者为设备的使用目的或者设备的地理应用地点生成一个或多个特有的正面列表。在此,正面列表仅仅包括允许与之进行通信的通信伙伴的证书或者例如证书的哈希值。
该方法始于状态10:在该状态下,设备从通信网络中的通信伙伴接收第一通信询问。接着,在方法步骤11中,识别设备的构架。在此,该构架例如可以是对设备类型或单个设备、或者一组设备的说明。但是该构架也可以是设备的使用目的、比如该设备用于服务接入、该设备用于控制数据传输、或者该设备用于传输诊断数据。
在接下来的方法步骤12中,针对该所识别的构架,从全部可能的通信伙伴中确定所有被允许的通信伙伴。这在列表管理装置中进行,该列表管理装置例如具有到规划服务器或访问控制服务器的至少临时的连接或者集成到该列表管理装置中。
在方法步骤13中,由此生成对于构架所特有的正面列表,该正面列表分别包括每个所确定的被允许通信伙伴的特有证书。被允许的证书例如可以由证书的序列号或者例如由特征值、比如证书的哈希值和/或公共密钥的哈希值来表征并被录入。
在此,被允许的通信伙伴的选择同样可以根据通信伙伴的证书中的预先给定的参数来执行。预先给定的参数尤其是也可以包含在关于通信伙伴的证书的属性证书中,并且被考虑用于选择被允许的通信伙伴。
可以将关于证书的有效性的附加条件录入到正面列表中。这样的条件例如可以是设备的运行模式或白天时间。但是作为条件也可以是属性证书的存在性和/或有效性。仅当满足正面列表中所列举的特有准则、例如具有特有参数的属性证书附加地存在时,包含在正面列表中的证书条目的证书才应当被接受为有效的。
在生成正面列表以后,在方法步骤14中将该正面列表存储在设备上。
生成一个或多个构架特有的正面列表、包括识别构架以及确定被允许的通信伙伴(参见方法步骤11、12和13)也可以在通信环境的安装和投入运行、例如安装具有通过通信网络连接的自动化设备的自动化设施时、也或者在新设备在通信环境中首次投入运行以前执行。然后,正面列表例如可以在通信环境中的通信伙伴的第一通信询问时传输到该该设备上并且存储,参见方法步骤14。但是正面列表也可以在将设备置入到通信环境中以前安装到该设备上。
如果设备随后接收到通信伙伴的为了建立通信关系的询问,则在方法步骤15中,参照所存储的正面列表中的证书来检查在设备中从误认的通信伙伴接收的证书。如果误认的通信伙伴的证书与正面列表中的证书相一致并且证书满足正面列表中列举的附加条件,则允许通信,参见方法步骤16,并且建立通信连接,参见方法步骤18。
如果由误认的通信伙伴传送的证书与正面列表中的证书不一致或证书不满足正面列表中列举的附加条件,则拒绝该通信请求,参见方法步骤17。
设备可以针对不同构架、比如不同使用目的而存储不同正面列表。但是设备仅仅接受这样的具有与设备相适应的构架的正面列表。
因此,设备可以独立地检查与误认的通信伙伴的通信的可靠性,而不在每次通信询问时例如在访问控制服务器中通过询问执行有效性。此外,可能的通信伙伴被限制于正面列表中列举的证书所有者。因此,可以在设备上实现简单并因此快速和对错误鲁棒的证书验证。
正面列表本身例如根据也用于证书吊销列表的规范RFC 5280来结构化。作为参数,正面列表包括构架,所述构架作为字符串被说明,或者替代地或附加地也由IP地址、由服务器名称或者由对象标识来说明。不同参数的组合同样是可以的。正面列表同样可以包含关于正面列表的出具者的说明、以及包括关于正面列表的有效性时长的说明。在有效期时长期满以后或者在超过有效期日期的情况下或者也由于通信环境中的改变,可以更新正面列表。对此,有利地在列表管理装置中检查和更新正面列表,所述列表管理装置例如被构造在中央管理节点中、或者相应装置中或者该设备本身上。
在更新正面列表以后,该正面列表被再次传送或提供给该设备。在获得经更新的正面列表以后,所有存在的连接、尤其是借助于诸如SSL、TLS或者IPsec之类的传输层协议建立并运行的安全连接在设备中被结束,并且接着被重新建立。替代地可以发起重新的会议协商程序。在两种情况下,为每个连接检查通信伙伴的证书。因此保证,仅仅与包含在经更新的正面列表中的通信伙伴建立通信连接。
但是也可以对照旧的正面列表的条目来检查经更新的正面列表的条目。仅仅针对被改变或被删除的条目来检查并且终止、或终止现有通信连接,并且发起重新建立或会议协商程序。
正面列表的条目可以根据其使用频度、例如根据连接的实时请求或者其它准则、例如通信伙伴的优先服务来布置。通信伙伴的证书的布置可以在建立正面列表时就已经执行。但是证书的布置也可以在正面列表的有效期时长期间动态地并且在证书所存储的和所应用的设备本身中被匹配。
因为在应用这样的概率数据结构的情况下可以导致对各个证书的错误评估,所以可以附加地检查:没有证书出具机构的其它设备被布隆过滤器不可靠地显示为有效的。通过这样有针对地将条目布置在正面列表中,可以缩短连接建立的时长并且尤其是保证针对重要应用的快速通信。
图2示出了具有多个设备40、41的通信环境30,所述设备40、41分别布置在具有分别不同的构架31至36(例如将传感器数据传输给通信环境中的上级节点)的组中。设备在组31至36中的结构化或分配也可以对应于自动化或能量控制设施的功能划分。
设备40、41的正面列表例如在上级列表管理装置20中分别为不同构架生成。这些正面列表被传送给下级列表管理装置21、22,所述列表管理装置21、22例如检查:正面列表的出具者是否为可信主管机关。这可以通过正面列表的签名或者根据签名的出具者的可信度来检查。然后,下级列表管理装置21、22生成设备特有的正面列表,下级列表管理装置21、22又签名所述正面列表。因此可以保证例如传送给设备的正面列表的可信度或真实性。
图3进一步描述了列表管理装置20的构造。该列表管理装置20包括输入单元25,该输入单元25与配置单元27连接。该配置单元27又与输出单元26连接。输入单元25被构造为通过输入识别设备40、41的构架。该输入例如可以通过图2中所示的规划服务器或者其它访问控制服务器来输入或者由设备本身来提供。配置单元27被构造为针对所识别的构架从全部可能的通信伙伴中确定所有被允许的通信伙伴,并且由此生成正面列表28,所述正面列表28分别包括每个所确定的被允许的通信伙伴的证书。在此,列表管理装置20可以为分别不同的构架包括大量不同的正面列表28.k,...,28.l。
这些正面列表28.k,...,28.l在需要时或者在更新以后通过输出单元26递交给设备40、41或者下级列表管理装置21、22。输出单元26被构造为使得输出单元签名正面列表28.k,...,28.l并且将其通过本地和/或受保护的连接传送给设备40、41。配置单元27包括过滤器、例如布隆过滤器,该过滤器根据被允许证书的使用频度将它们布置在正面列表28.k,...,28.l中。附加地,用于布置被允许证书的其它准则、例如不同通信伙伴对于通信环境的功能的重要性是可以的。
图4示出了设备40。其包括存储单元42、认证单元43、以及输入和输出单元,该输入和输出单元在此被示为组合输入/输出单元44。存储单元42、认证单元43以及输入/输出单元44分别彼此连接。
在此,存储单元42被构造用于存储针对不同应用领域指派给设备40的一个或多个正面列表28.k,...,28.l。认证单元43被构造为参照正面列表28中的被允许证书以及可能在那里说明的条件来检查误认的通信伙伴的证书。仅当误认的通信伙伴的证书与正面列表28、例如针对确定构架的28.n中的证书相一致时,才允许并随后建立通信。在此,存储单元42包括过滤器,该过滤器例如以根据被允许证书的使用频度的顺序来动态地布置所述证书。这使得能够在通信连接的频度改变时将所述列表与之相匹配并且即使在通信行为改变的情况下也实现优化的连接建立时长。
所有所描述和/或所绘出的特征可以在本发明的范围内有利地彼此组合。本发明不限于所描述的实施例。
Claims (18)
1.用于在设备(40)中基于证书认证通信伙伴的方法,具有下列方法步骤:
-通过在列表管理装置(20)上的输入识别(11)设备的构架;
-在所述列表管理装置(20)中针对所识别的构架(33)从全部可能的通信伙伴中确定(12)所有被允许的通信伙伴;
-在所述列表管理装置(20)中生成(13)对于构架(33)特有的正面列表(28),所述正面列表(28)分别包括每个所确定的被允许通信伙伴的证书;
-将正面列表(28)存储在设备(40)上;
-参照正面列表(28)中的证书检查在设备(40)中从误认的通信伙伴接收的证书,其中仅当误认的通信伙伴的证书与正面列表(28)中的证书相一致时,设备(40)与所述误认的通信伙伴之间的通信才被允许,
其中不同的正面列表针对不同的构架被存储在所述设备(40)中,并且在位于相应构架中的设备内被使用。
2.根据权利要求1所述的方法,其中设备(40)的构架由设备类型和/或设备(40)的使用目的和/或设备(40)的被允许的地理应用区域的说明来表征。
3.根据权利要求1所述的方法,其中将关于证书的有效性的附加条件录入到正面列表中。
4.根据权利要求3所述的方法,其中作为附加条件将有效属性证书的存在性和/或属性证书对于证书的预先确定的参数的存在性录入到正面列表中。
5.根据权利要求1或4之一所述的方法,其中在更新设备(40)的正面列表(28)时或以后,从设备(40)到具有不再被允许证书的通信伙伴所建立的所有通信连接被结束并重新建立,或者发起会议协商程序。
6.根据权利要求1至4之一所述的方法,其中通信伙伴的证书在正面列表(28)中根据其使用的频度来布置。
7.根据权利要求6所述的方法,其中证书在正面列表(28)中的布置在正面列表(28)的有效性时长期间被动态地匹配。
8.根据权利要求1至4之一所述的方法,其中构架作为正面列表(28)中的参数通过字符串和/或通过IP地址和/或通过服务器名称和/或通过对象标识来说明。
9.根据权利要求1至4之一所述的方法,其中当已经为之生成构架特有的正面列表的构架被识别时,选择已经生成的构架特有的正面列表并且将其传送给设备(40)。
10.用于为通信环境中的设备(40)提供正面列表(28)的列表管理装置(20,21,22),包括:
输入单元(25),其被构造为通过输入识别设备(40)的构架;
配置单元(27),其被构造为针对所识别的构架从全部可能的通信伙伴中确定所有被允许的通信伙伴并且由此生成正面列表(28),所述正面列表(28)分别包括每个所确定的被允许的通信伙伴的证书;以及
输出单元(26),其将构架特有的正面列表(28)传送给设备(40),
其中正面列表针对不同的构架被产生,并且在位于相应构架中的设备内被使用。
11.根据权利要求10所述的列表管理装置,其中配置单元(27)被构造为执行正面列表(28)的更新。
12.根据权利要求10所述的列表管理装置,其中输出单元(26)签名正面列表(28)并且将其通过本地和/或受保护的连接传送给设备(40)。
13.根据权利要求11或12所述的列表管理装置,其中配置单元(27)包括过滤器,所述过滤器将证书以根据其使用频度的顺序布置在正面列表中。
14.根据权利要求10所述的列表管理装置,其中配置单元(27)被构造为存储多个构架特有的正面列表(28.l,.., 28. k)并且在识别出已知构架时选择与已知构架相对应的正面列表(28)并将其通过输出单元(26)传送给设备(40)。
15.用于基于证书认证通信环境(30)中的通信伙伴的设备(40,41),包括:
存储单元(42),其被构造用于存储具有被允许证书的正面列表(28);认证单元(43),其被构造为参照正面列表(28)中的被允许证书来检查误认的通信伙伴的证书,其中仅当误认的通信伙伴的证书与正面列表(28)中的证书相一致时才允许通信,
其中所述设备被构造成针对不同的构架存储不同的正面列表并且在所述设备位于相应构架中时使用所述不同的正面列表。
16.根据权利要求15所述的设备(40,41),其中设备(40,41)包括一个或多个构架特有的正面列表(28.l,…,28.n)。
17.根据权利要求15或16所述的设备(40,41),其中存储单元(42)包括过滤器,所述过滤器将证书以根据其使用频度的顺序布置在正面列表(28)中。
18.一种数据载体,其存储有计算机程序,所述计算机程序具有用于执行根据权利要求1-9中任一项所述的方法的程序指令。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102014201234.1A DE102014201234A1 (de) | 2014-01-23 | 2014-01-23 | Verfahren, Verwaltungsvorrichtung und Gerät zur Zertifikat-basierten Authentifizierung von Kommunikationspartnern in einem Gerät |
| DE102014201234.1 | 2014-01-23 | ||
| PCT/EP2014/078167 WO2015110233A1 (de) | 2014-01-23 | 2014-12-17 | Verfahren, verwaltungsvorrichtung und gerät zur zertifikat-basierten authentifizierung von kommunikationspartnern in einem gerät |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105934925A CN105934925A (zh) | 2016-09-07 |
| CN105934925B true CN105934925B (zh) | 2019-06-18 |
Family
ID=52302188
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480073860.6A Expired - Fee Related CN105934925B (zh) | 2014-01-23 | 2014-12-17 | 用于在设备中基于证书认证通信伙伴的方法、管理装置和设备 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20160323266A1 (zh) |
| EP (1) | EP3058701B1 (zh) |
| CN (1) | CN105934925B (zh) |
| DE (1) | DE102014201234A1 (zh) |
| WO (1) | WO2015110233A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102014201234A1 (de) * | 2014-01-23 | 2015-07-23 | Siemens Aktiengesellschaft | Verfahren, Verwaltungsvorrichtung und Gerät zur Zertifikat-basierten Authentifizierung von Kommunikationspartnern in einem Gerät |
| CN105721413B (zh) * | 2015-09-08 | 2018-05-29 | 腾讯科技(深圳)有限公司 | 业务处理方法及装置 |
| DE102016205203A1 (de) | 2016-03-30 | 2017-10-05 | Siemens Aktiengesellschaft | Datenstruktur zur Verwendung als Positivliste in einem Gerät, Verfahren zur Aktualisierung einer Positivliste und Gerät |
| AT519490B1 (de) * | 2016-12-30 | 2020-01-15 | Avl List Gmbh | Kommunikation eines Netzwerkknotens in einem Datennetz |
| CN112105747A (zh) * | 2018-01-30 | 2020-12-18 | 拜奥法尔防护有限责任公司 | 用于验证核酸扩增测定的方法和*** |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6779044B1 (en) * | 1998-11-13 | 2004-08-17 | Kabushiki Kaisha Toshiba | Access control for an information processing device |
| CN101826896A (zh) * | 2009-03-06 | 2010-09-08 | 索尼爱立信移动通信Ab株式会社 | 通信终端、发送方法和发送*** |
| CN102137209A (zh) * | 2009-12-25 | 2011-07-27 | 兄弟工业株式会社 | 信息处理设备 |
Family Cites Families (61)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5999711A (en) * | 1994-07-18 | 1999-12-07 | Microsoft Corporation | Method and system for providing certificates holding authentication and authorization information for users/machines |
| DE19622630C1 (de) * | 1996-06-05 | 1997-11-20 | Siemens Ag | Verfahren zum gruppenbasierten kryptographischen Schlüsselmanagement zwischen einer ersten Computereinheit und Gruppencomputereinheiten |
| US6408336B1 (en) * | 1997-03-10 | 2002-06-18 | David S. Schneider | Distributed administration of access to information |
| US6092201A (en) * | 1997-10-24 | 2000-07-18 | Entrust Technologies | Method and apparatus for extending secure communication operations via a shared list |
| US6550012B1 (en) * | 1998-12-11 | 2003-04-15 | Network Associates, Inc. | Active firewall system and methodology |
| US20050108219A1 (en) * | 1999-07-07 | 2005-05-19 | Carlos De La Huerga | Tiered and content based database searching |
| US6466943B1 (en) * | 1999-07-26 | 2002-10-15 | Microsoft Corporation | Obtaining table objects using table dispensers |
| US7058798B1 (en) * | 2000-04-11 | 2006-06-06 | Sun Microsystems, Inc. | Method ans system for pro-active credential refreshing |
| DE60128375D1 (de) * | 2000-09-11 | 2007-06-21 | Transnexus Inc | Verrechnungsserver für internet- und multimedia-kommunikationen |
| JP3791464B2 (ja) * | 2002-06-07 | 2006-06-28 | ソニー株式会社 | アクセス権限管理システム、中継サーバ、および方法、並びにコンピュータ・プログラム |
| WO2003105400A1 (ja) * | 2002-06-07 | 2003-12-18 | ソニー株式会社 | データ処理システム、データ処理装置、および方法、並びにコンピュータ・プログラム |
| FR2842970B1 (fr) * | 2002-07-29 | 2005-03-18 | Qosmos | Procede de reconnaissance et d'analyse de protocoles dans des reseaux de donnees |
| US7574738B2 (en) * | 2002-11-06 | 2009-08-11 | At&T Intellectual Property Ii, L.P. | Virtual private network crossovers based on certificates |
| US7703128B2 (en) * | 2003-02-13 | 2010-04-20 | Microsoft Corporation | Digital identity management |
| FR2857201B1 (fr) * | 2003-07-03 | 2005-09-23 | Thomson Licensing Sa | Procede pour la constitution de listes de services favoris dans un decodeur |
| CA2550768C (en) * | 2003-07-24 | 2015-09-22 | Koninklijke Philips Electronics N.V. | Hybrid device and person based authorized domain architecture |
| US7590840B2 (en) * | 2003-09-26 | 2009-09-15 | Randy Langer | Method and system for authorizing client devices to receive secured data streams |
| US20050086529A1 (en) * | 2003-10-21 | 2005-04-21 | Yair Buchsbaum | Detection of misuse or abuse of data by authorized access to database |
| JP4624926B2 (ja) * | 2003-11-25 | 2011-02-02 | パナソニック株式会社 | 認証システム |
| BR0318621A (pt) * | 2003-11-27 | 2006-10-17 | Telecom Italia Spa | método de arranjar comunicação entre um dispositivo de administrador e um dispositivo administrado em uma rede, sistema de um dispositivo de administrador e um dispositivo administrado em uma rede, rede de comunicação, e, produto de programa de computador |
| US7676846B2 (en) * | 2004-02-13 | 2010-03-09 | Microsoft Corporation | Binding content to an entity |
| EP1596311A1 (fr) * | 2004-05-10 | 2005-11-16 | France Telecom | Système et procédé de gestion de tables de données |
| EP1783655A4 (en) * | 2004-07-21 | 2009-11-11 | Sony Corp | COMMUNICATION SYSTEM, COMMUNICATION METHOD, CONTENT PROCESSING DEVICE AND COMPUTER PROGRAM |
| US7130998B2 (en) * | 2004-10-14 | 2006-10-31 | Palo Alto Research Center, Inc. | Using a portable security token to facilitate cross-certification between certification authorities |
| US20060085850A1 (en) * | 2004-10-14 | 2006-04-20 | Microsoft Corporation | System and methods for providing network quarantine using IPsec |
| US8266676B2 (en) * | 2004-11-29 | 2012-09-11 | Harris Corporation | Method to verify the integrity of components on a trusted platform using integrity database services |
| KR20080038175A (ko) * | 2005-08-31 | 2008-05-02 | 소니 가부시끼 가이샤 | 그룹 등록 장치, 그룹 등록 해제 장치, 그룹 등록 방법,라이선스 취득 장치 및 라이선스 취득 방법, 및, 시각 설정장치 및 시각 설정 방법 |
| EP1765012A1 (fr) * | 2005-09-14 | 2007-03-21 | Nagravision S.A. | Méthode de vérification d'un dispositif cible relié à un dispositif maître |
| US8312264B2 (en) * | 2005-09-30 | 2012-11-13 | Blue Coat Systems, Inc. | Method and system for authentication among peer appliances within a computer network |
| US20070143851A1 (en) * | 2005-12-21 | 2007-06-21 | Fiberlink | Method and systems for controlling access to computing resources based on known security vulnerabilities |
| US20070150723A1 (en) * | 2005-12-23 | 2007-06-28 | Estable Luis P | Methods and apparatus for increasing security and control of voice communication sessions using digital certificates |
| EP1999523B1 (en) * | 2006-03-30 | 2010-05-26 | Siemens Aktiengesellschaft | Control and communication system including at least one automation unit |
| JP2007274060A (ja) * | 2006-03-30 | 2007-10-18 | Brother Ind Ltd | 通信装置および通信プログラム |
| KR100860404B1 (ko) * | 2006-06-29 | 2008-09-26 | 한국전자통신연구원 | 다중 도메인 홈네트워크 환경에서의 디바이스 인증 방법 및장치 |
| US7826847B1 (en) * | 2006-07-14 | 2010-11-02 | Carrier Iq, Inc. | Neighbor list generation in wireless networks |
| FR2906910B1 (fr) * | 2006-10-10 | 2008-12-26 | Criteo Sa | Dispositif informatique de correlation propagative |
| US20080098120A1 (en) * | 2006-10-23 | 2008-04-24 | Microsoft Corporation | Authentication server auditing of clients using cache provisioning |
| US7747223B2 (en) * | 2007-03-29 | 2010-06-29 | Research In Motion Limited | Method, system and mobile device for prioritizing a discovered device list |
| US20080256646A1 (en) * | 2007-04-12 | 2008-10-16 | Microsoft Corporation | Managing Digital Rights in a Member-Based Domain Architecture |
| US7853992B2 (en) * | 2007-05-31 | 2010-12-14 | Microsoft Corporation | Configuring security mechanisms utilizing a trust system |
| US8266286B2 (en) * | 2007-06-05 | 2012-09-11 | Cisco Technology, Inc. | Dynamic key management server discovery |
| US8139515B2 (en) * | 2007-12-27 | 2012-03-20 | Motorola Mobility, Inc. | Device and method of managing data communications of a device in a network via a split tunnel mode connection |
| US8032742B2 (en) * | 2008-12-05 | 2011-10-04 | Unisys Corporation | Dynamic updating of trusted certificates and certificate revocation lists in a computing system |
| US8615581B2 (en) * | 2008-12-19 | 2013-12-24 | Openpeak Inc. | System for managing devices and method of operation of same |
| US8620883B2 (en) * | 2009-03-02 | 2013-12-31 | Qualcomm, Incorporated | Apparatus and methods of reconciling different versions of an ordered list |
| US9112850B1 (en) * | 2009-03-25 | 2015-08-18 | The 41St Parameter, Inc. | Systems and methods of sharing information through a tag-based consortium |
| CN101645896B (zh) * | 2009-09-04 | 2012-06-06 | 杭州华三通信技术有限公司 | 基于光纤通道网络的属性传播方法和交换机*** |
| US8341207B2 (en) * | 2010-04-07 | 2012-12-25 | Apple Inc. | Apparatus and method for matching users for online sessions |
| EP2579498A4 (en) * | 2010-05-24 | 2017-05-03 | Renesas Electronics Corporation | Communication system, vehicle-mounted terminal, roadside device |
| DE102010044518A1 (de) * | 2010-09-07 | 2012-03-08 | Siemens Aktiengesellschaft | Verfahren zur Zertifikats-basierten Authentisierung |
| EP2790350A4 (en) * | 2011-12-09 | 2015-11-04 | Alaxala Networks Corp | CERTIFICATE DISTRIBUTION DEVICE AND METHOD THEREFOR, AND COMPUTER PROGRAM |
| US9313096B2 (en) * | 2012-12-04 | 2016-04-12 | International Business Machines Corporation | Object oriented networks |
| US8925069B2 (en) * | 2013-01-07 | 2014-12-30 | Apple Inc. | Accessory device authentication using list of known good devices maintained by host device |
| US9215075B1 (en) * | 2013-03-15 | 2015-12-15 | Poltorak Technologies Llc | System and method for secure relayed communications from an implantable medical device |
| US20140282916A1 (en) * | 2013-03-15 | 2014-09-18 | Aerohive Networks, Inc. | Access authorization through certificate validation |
| US20140281502A1 (en) * | 2013-03-15 | 2014-09-18 | General Instrument Corporation | Method and apparatus for embedding secret information in digital certificates |
| US9654960B2 (en) * | 2013-05-31 | 2017-05-16 | Qualcomm Incorporated | Server-assisted device-to-device discovery and connection |
| US20140379911A1 (en) * | 2013-06-21 | 2014-12-25 | Gfi Software Ip S.A.R.L. | Network Activity Association System and Method |
| WO2015092951A1 (ja) * | 2013-12-16 | 2015-06-25 | パナソニックIpマネジメント株式会社 | 認証システムおよび認証方法 |
| EP3099004B1 (en) * | 2014-01-22 | 2019-03-13 | Panasonic Intellectual Property Corporation of America | Authentication method |
| DE102014201234A1 (de) * | 2014-01-23 | 2015-07-23 | Siemens Aktiengesellschaft | Verfahren, Verwaltungsvorrichtung und Gerät zur Zertifikat-basierten Authentifizierung von Kommunikationspartnern in einem Gerät |
-
2014
- 2014-01-23 DE DE102014201234.1A patent/DE102014201234A1/de not_active Withdrawn
- 2014-12-17 CN CN201480073860.6A patent/CN105934925B/zh not_active Expired - Fee Related
- 2014-12-17 WO PCT/EP2014/078167 patent/WO2015110233A1/de active Application Filing
- 2014-12-17 US US15/107,626 patent/US20160323266A1/en not_active Abandoned
- 2014-12-17 EP EP14824802.4A patent/EP3058701B1/de active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6779044B1 (en) * | 1998-11-13 | 2004-08-17 | Kabushiki Kaisha Toshiba | Access control for an information processing device |
| CN101826896A (zh) * | 2009-03-06 | 2010-09-08 | 索尼爱立信移动通信Ab株式会社 | 通信终端、发送方法和发送*** |
| CN102137209A (zh) * | 2009-12-25 | 2011-07-27 | 兄弟工业株式会社 | 信息处理设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102014201234A1 (de) | 2015-07-23 |
| EP3058701B1 (de) | 2019-08-14 |
| EP3058701A1 (de) | 2016-08-24 |
| CN105934925A (zh) | 2016-09-07 |
| WO2015110233A1 (de) | 2015-07-30 |
| US20160323266A1 (en) | 2016-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2020244458B2 (en) | Client services for applied key management systems and processes | |
| US11483143B2 (en) | Enhanced monitoring and protection of enterprise data | |
| CN105934925B (zh) | 用于在设备中基于证书认证通信伙伴的方法、管理装置和设备 | |
| KR102117584B1 (ko) | 로컬 디바이스 인증 | |
| CA2953148C (en) | System, method and apparatus for providing enrollment of devices in a network | |
| Ashibani et al. | A context-aware authentication framework for smart homes | |
| CN104813685B (zh) | 用于分布式状态的同步的订阅通知机制 | |
| CN105554098B (zh) | 一种设备配置方法、服务器及*** | |
| US11995174B2 (en) | Systems, methods, and storage media for migrating identity information across identity domains in an identity infrastructure | |
| CN102045337A (zh) | 用于管理网络资源的装置和方法 | |
| CN105009131A (zh) | 促进智能家庭设备与基于云的服务器间通信的多层认证方法 | |
| US9413536B2 (en) | Remote secure device management in smart grid ami networks | |
| US20090052675A1 (en) | Secure remote support automation process | |
| CN110463137A (zh) | 减少带宽的握手通信 | |
| JP2016038919A (ja) | プロセス制御システムに対するデバイスの安全化 | |
| EA035011B1 (ru) | Способ управления, объединения и распространения ключей шифрования | |
| US10530586B2 (en) | Method, hardware and digital certificate for authentication of connected devices | |
| CN106656923A (zh) | 一种设备关联方法、秘钥更新方法及装置 | |
| US11818114B2 (en) | Systems, methods, and storage media for synchronizing identity information across identity domains in an identity infrastructure | |
| US20180034801A1 (en) | Virtual network system, virtual network control method, orchestration apparatus, control apparatus, and control method and control program of control apparatus | |
| CN107888615B (zh) | 一种节点注册的安全认证方法 | |
| CN109981677A (zh) | 一种授信管理方法及装置 | |
| US8700904B2 (en) | Method for authentication in an automation system | |
| Thanh et al. | Implementation of open two-factor authentication service applied to virtual private network | |
| Tarazan et al. | Customizing SSL Certificate Extensions to Reduce False-Positive Certificate Error/Warning Messages |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190618 Termination date: 20201217 |