本发明专利技术涉及用于技术设施的具有证书管理的控制系统,尤其提出用于技术设施、特别是制造或过程设施的控制系统(1)和方法,控制系统包括至少一个第一操作员站服务器(2)和第二操作员站服务器并被设计和设置用于在证书管理的范畴内启动用于技术设施组件(7)的证书的颁发和吊销,并以吊销列表(15)的形式在控制系统(1)内公布先前已签发的证书的吊销。根据本发明专利技术,控制系统(1)被设计和设置用于将吊销列表(15)存储在第一操作员站服务器(2)和/或第二操作员站服务器上,控制系统(1)被设计和设置用于使第一操作员站服务器(2)和第二操作员站服务器互相校准,从而在两个操作员站服务器上存储具有相同内容的吊销列表(15)。存储具有相同内容的吊销列表(15)。存储具有相同内容的吊销列表(15)。
【技术实现步骤摘要】
用于技术设施的具有证书管理的控制系统
[0001]本专利技术涉及一种用于技术设施、特别是制造或过程设施的控制系统,该控制系统包括至少一个第一操作员站服务器和第二操作员站服务器,并且该控制系统被设计和设置用于,在证书管理的范畴内启动用于技术设施的组件的证书的颁发和吊销,并且以吊销列表的形式在控制系统内公布先前已签发的证书的吊销。本专利技术还涉及一种用于该控制系统的方法。
技术介绍
[0002]在工业设施的证书管理的范畴内,必须既能颁发证书又能吊销证书。设施组件使用的证书的吊销尤其在设施组件停止运行时以及在设施组件被更换(或由另外的组件替换)时实现,并且可以在设施运行时实现。在此,被使用的证书由于吊销而无效。否则,证书可能被滥用,例如使用这些证书(可能在另外的系统部分中)将注销的或拆下的设备用于通信。
[0003]在模块自动化的场景中,必要时能够触发特定证书的吊销的可行方案也是必不可少的。原因在于,一个模块在不同的项目中与其他不同的模块组合或能与其组合,并且在此通常会分配一个项目特定的证书,该证书对于与相应项目场景中的其他模块进行通信而言是必需的。一旦在特定的项目场景中不再需要使用模块(并因此必须被禁止),则应吊销在该项目场景中被分配给该模块的所有项目特定的证书,以排除对证书的滥用。
[0004]在技术设施的自动证书管理的范畴内重要的是,使用证书与其他组件进行通信的所有设施组件都具有能够随时检查相应通信伙伴的证书的吊销状态的能力。在根据标准IETF的“RFC 5280”和标准IEC的62443
‑4‑
2的证书验证的范畴内,吊销状态的检查在此是强制步骤。如果设施组件不能检查其相应通信伙伴的证书的吊销状态,则根据标准将该证书视为无效而拒绝并且将通信过程中断。这严重影响技术设施的正常运行和可用性。
[0005]因此,在技术设施的场景中重要的是,允许所有合法的项目化的通信伙伴相互访问其证书的吊销列表。每个设施组件都应能够访问相应合法通信伙伴的证书的当前吊销列表以及其自己的证书的吊销列表。
[0006]如果一个设施中仅运行一个认证机构(Certification Authority,缩写:CA)并且所有设施组件都从该认证机构获取证书,那么在此仅涉及一个(唯一的)吊销列表。但是,如果(通常是这种情况)使用多个(可能是项目特定或子设施特定的)认证机构,则通常每个认证机构都有一个吊销列表。但是,出于安全原因,应该排除设施组件可以访问其在系统或相应项目的场景中与其项目化的通信伙伴进行通信所不需要的吊销列表。
[0007]在(视情境而定)可由设施组件本身或由授权的(管理)实体启动吊销证书的情况下,吊销申请(Revocation Request)被提交给签发该证书的认证机构。这种吊销申请是已知证书管理协议的一部分,例如根据标准RFC 4210的CMP(证书管理协议),并由认证机构(例如所谓的EJBCA/PrimeKey CA)支持。对于支持在其范围内没有任何吊销申请作为消息类型的协议的其他认证机构,该吊销可以
[0008]‑
或者人工地直接在认证机构处(例如通过其网络前端)实现,
[0009]‑
或者利用应用(例如由注册机构(Registration Authority,缩写:RA)实现。
[0010]然后,由认证机构吊销的证书被该认证机构放在所谓的吊销列表(Certificate Revocation List,缩写:CRL)中,该吊销列表已包含其他(最初由其签发并在以后吊销的)证书。该吊销列表专门用于认证机构并且通常在当地存储在认证机构中或运行认证机构的服务器上。为了预防吊销列表被篡改,吊销列表(类似于证书)在签发的认证机构(Issuing CA)的签发或更新后在使用其私钥(Private Keys)的情况下被签名。可以使用将该吊销列表发布并签名的认证机构的证书来检查吊销列表的签名以及完整性和真实性。更准确地说,证书中列出的认证机构的公钥用于签名验证。
[0011]通常,按周期(以在相应的认证机构中配置的固定的时间间隔)更新存储在相应认证机构中的吊销列表。然后可以将吊销列表人工地或以应用(例如通过http/HTTPS或借助相应的应用/脚本)分配给技术设施的不同网段中的确定的其他实体。在此必须设置这种吊销列表分发点(Certificate Distribution Points,缩写:CDP),并配置相应的网络设置(包括防火墙规则),以使每个需要证书为了进行安全通信并作为在特定网段中的通信参与者的设施组件能够成功访问该网段中的分发点。为了使设施组件“知道”在何处找到其通信伙伴的证书的必要的吊销列表,分发点的地址(例如URL)由认证机构包含在证书中或被以其他方式和方法告知设施组件(例如通过将地址包含在设施组件的配置文件中)。
[0012]通常,例如由于对网络设置所做的更改,由必须检查其伙伴的证书的吊销状态的终端设备对存储在特定网段中的各个分发点上的吊销列表的访问无效或“突然”不再有效。这导致超时和通信中断。由此,设施可用性被严重损害。在这种情况下,故障排除通常非常耗时,使得问题通常持续存在。
技术实现思路
[0013]本专利技术的目的是提出一种技术设施的控制系统,该控制系统通过可靠地查询证书的吊销状态来实现证书管理。
[0014]该目的通过本专利技术的用于技术设施的控制系统实现。此外,该目的通过用于该控制系统的方法实现。
[0015]在开头部分所述类型的控制系统中,该目的根据本专利技术如下地实现,即将控制系统设计和设置用于,将吊销列表存储在第一操作员站服务器和/或第二操作员站服务器上,其中,该控制系统被设计和设置用于,使第一操作员站服务器和第二操作员站服务器互相校准,从而在两个操作员站服务器上存储具有相同内容的吊销列表。
[0016]在本文中,控制系统应被理解为计算机辅助技术系统,其包括用于显示、操作和控制诸如制造或生产设施之类的技术系统的功能。在当前情况下,控制系统包括用于确定测量值的传感器和各种执行器。另外,控制系统包括用于驱控执行器或传感器的、所谓的过程或生产现场的组件。此外,控制系统还具有用于将技术设施和工程可视化的装置。控制系统还被理解为用于更复杂规则的另外的运算单元以及用于数据存储和处理的系统。
[0017]技术设施可以是来自过程工业的设施,例如来自化学、制药、石油化工或食品和饮料工业的设施。其也包括生产例如汽车和所有类型的商品的生产工业中的设施。适合于执行根据本专利技术的方法的技术设施还可以来自发电领域。技术设施还包括风力涡轮机、太阳
能设备或发电厂。
[0018]在此,“操作员站服务器”应被理解为一种服务器,其收集操作和监视系统的中心数据并且通常收集技术设施的控制系统的警报和测量值档案,并将其提供给用户。操作员站服务器通常建立至技术设施的自动化系统的通信连接,并将技术设施的数据转发给所谓的客户端,该客户端用于操作和监视技术设施的各个功能部件的运行。操作员站服务器可以具有客户端功能,以访问其他操作员站服务器的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于技术设施的控制系统(1),所述控制系统包括至少一个第一操作员站服务器(2)和第二操作员站服务器,并且所述控制系统被设计和设置用于,在证书管理的范畴内启动用于所述技术设施的组件(7)的证书的颁发和吊销,并以吊销列表(15)的形式在所述控制系统(1)内公布先前已签发的证书的吊销,其特征在于,所述控制系统(1)被设计和设置用于,将所述吊销列表(15)存储在所述第一操作员站服务器(2)和/或所述第二操作员站服务器上,其中,所述控制系统(1)被设计和设置用于,使所述第一操作员站服务器(2)和所述第二操作员站服务器互相校准,从而在两个操作员站服务器上存储具有相同内容的吊销列表(15)。2.根据权利要求1所述的控制系统(1),其中,所述控制系统(1)包括以计算机实施的吊销服务(17),所述吊销服务被设计和设置用于以事件控制和自动的方式启动证书的吊销。3.根据权利要求1或2所述的控制系统(1),其中,所述技术设施的组件(7)之间的通信关系的改变表示能被考虑用于启动证书吊销的事件。4.根据前述权利要求中任一项所述的控制系统(1),其中,吊销服务(17)被设计和设置用于,通过使所述吊销服务(17)向认证机构(13)提交吊销申请来启动证书的吊销,其中,所述吊销服务(17)被设计和设置用于监控或允许监控所述吊销申请的处理。5.根据前述权利要求中任一项所述的控制系统(1),所述控制系统包括至少一个与所述第一操作员站服务器(2)和/或所述第二操作员站服务器连接的第一组件以及至少一个与所述第一操作员站服务器(2)和/或所述第二操作员站服务器连接的第二组件,...
【专利技术属性】
技术研发人员:本杰明,
申请(专利权)人:西门子股份公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。