【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及用于构造设备与单元的以密码方式受保护的连接的两种相对应的方法,其中一种方法从设备的角度来描述,并且一种方法从单元的角度来描述。本专利技术此外涉及所属的设备和所属的单元。
技术介绍
1、在设备、尤其是工业iot设备或移动无线电设备上简单地初始设立安全配置是基本目标。这也被称为置备(provisioning)、配置入网(onboarding)、引导(bootstrapping)或配对(pairing)。在此,存在矛盾的要求:一方面,这应该尽可能自动化地进行,并且在此不需要用户交互或仅需要最小限度的用户交互,但是另一方面应该能够严格地控制:哪些设备在关键环境中、尤其是工业环境中被接受为允许的设备。此外,该解决方案应该能够灵活地应用在不同的部署场景中,而不依赖于尤其是移动无线电提供商或移动无线电提供商协会的特定的集中式安全基础设施或者特定的pki基础设施。
2、用于初始设立的以前的解决方案保护设立过程本身,使得仅进行允许的设立。但是,这些解决方案需要复杂的手动或管理交互,尤其是以便在每个设立过程时单独地输入或装载从安全角度足够强的允许性信息、诸如密码或配置入网令牌,或者所述解决方案需要提供对应的安全信息的安全基础设施。然而即使在这种情况下,也必须设立对应的信息。在此可能还需要与公共网络(互联网)的在线连接性。因此,这样的解决方案是麻烦的,并且在典型的工业应用场景(工业iot)中部分地仅受限制地可应用。
3、特别在最初设立安全配置时,用于自动化允许性检验的技术实现是挑战性的,因为在这里尚不存在安全配置
4、本专利技术的任务在于提供一种用于尤其是与在设备上设立安全配置相结合地对设备进行改善的允许性检验的解决方案。一般来说,存在对以下改善的可能性的需求:检验访问的允许性。
技术实现思路
1、从独立权利要求的特征中得出本专利技术。有利的改进方案和设计方案是从属权利要求的主题。本专利技术的设计方案、应用可能性和优点从随后的描述和附图中得出。
2、本专利技术涉及一种用于构造设备与单元的以密码方式受保护的第一连接的方法。从待连接的设备的角度来看,该方法具有以下步骤:
3、-通过所述设备发送连接询问,其中给所述连接询问分配以密码方式受保护的设备连接信息和设备认证信息,
4、其中所述设备连接信息说明:所述设备与至少一个第二设备的哪个至少一个第二连接在时间上较早地已经存在,
5、其中所述设备认证信息对所述设备进行认证,并且
6、-根据所述设备连接信息和所述设备认证信息的检验的结果构造所述设备与所述单元的以密码方式受保护的第一连接。
7、因此,本专利技术的一个方面在于以以密码方式受保护的方式确认信息,所述信息说明待连接的设备在过去已经与哪些其他的第二设备连接。
8、在访问设备、尤其是访问诸如云服务、边缘设备、控制设备、另一iot设备、通信网络之类的单元时,在访问配置入网网络、访问置备服务器或访问设备管理服务器时,将设备连接信息以防操纵的方式提供给在过去连接的第二设备。
9、由此得出优点:不必明确地为特定的设备设立授权信息,所述授权信息允许通过该设备特定地尤其是访问诸如用于执行置备过程的置备服务器之类的单元。代替地,可以间接地推断出该信息。
10、如果在所定义的行动的范围中将待投入运行的设备根据所定义的行动方式与其他的设备、即第二设备(也可被称为组件)连接,则从中隐性地得出授权:允许特定的逻辑访问尤其是用于通过置备服务器在设备上自动地置备安全凭证。
11、在本专利技术的一种改进方案中,设备连接信息附加地说明:对于待连接的设备,与哪个至少一个第二设备当前继续地存在至少一个连接。因此,相应的第二连接可以在确认时间点再次被解除或继续地存在。
12、在本专利技术的另一改进方案中,设备连接信息具有至少一个第二设备的:
13、-标记符,尤其是关于设备制造商、设备类型和/或设备序列号,和/或
14、-认证凭证、尤其是证书、密码密钥和/或密码散列,与所述至少一个第二设备已经存在至少一个第二连接。
15、尤其是当存在第二连接时,待连接的设备确定设备连接信息,并且存储所述设备连接信息本身或将所述设备连接信息给予外部存储器用于存储。
16、在本专利技术的另一改进方案中,给所述连接询问附加地分配附加信息,所述附加信息尤其是说明:
17、-在哪个时间点,和/或
18、-在哪个持续时间上,和/或
19、-经由哪个设备接口,和/或
20、-与哪个至少一个第三连接组合地
21、已经存在所述至少一个第二连接。
22、可以由设备本身本地地存储附加信息,尤其是存储在闪存中或设备的安全元件中。可替代地,也可以由设备将信息存储在外部存储器、尤其是可替换的存储模块、诸如sd卡、数据库、分布式数据库(例如分布式账本、区块链)中,优选地以以密码方式受保护的交易数据结构的形式存储。存储在外部存储器中的信息优选地此外包括设备的标识信息,例如设备的标记符或认证凭证。
23、在本专利技术的另一改进方案中,所述设备连接信息由:
24、-所述设备和/或
25、-外部单元
26、提供。
27、优选地通过设备本身提供设备连接信息,所述设备与访问一起或者以分配给访问的方式提供该信息。设备连接信息可替代地或附加地可以由所连接的设备、由单独的单元、尤其是网络服务或由分布式数据库提供。
28、在本专利技术的另一改进方案中,此外根据第二设备连接信息来构造设备与单元的以密码方式受保护的连接,其中检验第一设备连接信息和第二设备连接信息的一致性。如果由设备和外部单元提供设备连接信息,则这是特别有利的。
29、在该变型方案中,检验多个由不同的点提供的设备连接信息的一致性。从而,仅当先前的第二连接不仅由设备本身确认,而且附加地也由分别以前连接的第二设备确认或者仅当所述先前的第二连接附加地由分布式数据库确认时,所述先前的第二连接才能作为适用的被考虑。这具有更高的要实现的安全等级。
30、在本专利技术的另一改进方案中,第二设备被构造为:
31、-外围设备,和/或
32、-扩展模块,和/或
33、-机床的工具,和/或
34、-iot设备,和/或
35、-与所述设备机械连接、优选地以无破坏性方式不可拆卸的第二设备。
36、从而,一些所连接的第二设备也可以固定地与访问设备连接,尤其是固定地安装在该访问设备中,尤其是安装在内部扩展槽或插接位置中,或者必要时也粘接、浇注或焊接。
37、在本专利技术的另本文档来自技高网...
【技术保护点】
1.一种用于构造设备(D)与单元(E)的以密码方式受保护的第一连接的方法,具有以下步骤:
2.根据权利要求1所述的方法,其中所述设备连接信息(CD-A)附加地说明:与哪个至少一个第二设备当前存在所述至少一个第二连接。
3.根据前述权利要求中任一项所述的方法,其中所述设备连接信息(CD-A)具有至少一个第二设备的:
4.根据前述权利要求中任一项所述的方法,其中给所述连接询问(req)附加地分配附加信息,所述附加信息尤其是说明:
5.根据前述权利要求中任一项所述的方法,其中所述设备连接信息(CD-A)由:
6.根据前述权利要求中任一项所述的方法,其中所述第二设备被构造为:
7.根据前述权利要求中任一项所述的方法,其中所述单元(E)被构造为:
8.根据前述权利要求中任一项所述的方法,其中使用规则用于检验(P-AR)所述连接询问(reg),基于所述规则决定:
9.根据前述权利要求中任一项所述的方法,其中:
10.根据前述权利要求中任一项所述的方法,其中所述设备认证信息(DA)被构造
11.根据前述权利要求中任一项所述的方法,其中所述设备认证信息(DA)以密码方式受保护,尤其是通过密码签名来保护。
12.一种用于执行根据权利要求1至11中任一项所述的方法的设备(D),具有:
13.一种用于构造单元(E)与设备(D)的以密码方式受保护的第一连接的方法,具有以下步骤:
14.一种用于执行根据权利要求13所述的方法的单元(E),具有:
...【技术特征摘要】
【国外来华专利技术】
1.一种用于构造设备(d)与单元(e)的以密码方式受保护的第一连接的方法,具有以下步骤:
2.根据权利要求1所述的方法,其中所述设备连接信息(cd-a)附加地说明:与哪个至少一个第二设备当前存在所述至少一个第二连接。
3.根据前述权利要求中任一项所述的方法,其中所述设备连接信息(cd-a)具有至少一个第二设备的:
4.根据前述权利要求中任一项所述的方法,其中给所述连接询问(req)附加地分配附加信息,所述附加信息尤其是说明:
5.根据前述权利要求中任一项所述的方法,其中所述设备连接信息(cd-a)由:
6.根据前述权利要求中任一项所述的方法,其中所述第二设备被构造为:
7.根据前述权利要求中任一项所述的方法,其中所述单元(e)被构造...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。