用于以安全的方式来访问设备的方法和系统技术方案

技术编号:5397310 阅读:159 留言:0更新日期:2012-04-11 18:40
本发明专利技术涉及一种不利用到任何外部服务的网络连接性来访问嵌入式设备环境中的设备的安全且可信赖的方式。通过移动存储器或访问票据存储装置,即诸如具有用于存储用户证书或用户识别手段(诸如密码或指纹)的适当的存储器的智能卡或USB棒之类的物理令牌,来控制用户或服务技术人员对访问关键嵌入式设备的这种类型的访问。用户在行进到访问关键设备或通信地连接到该访问关键设备的位置之前获取来自集中式票据或访问授权服务器的具有适合的终止期的电子访问票据。访问票据包含用户关于一个或多个访问关键设备的访问权利,并且同样地被存储在移动存储器装置上。访问权利由访问关键设备根据用户身份的认证,基于用户证书,由移动存储器装置所耦合到的认证设备来评估。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及工业过程控制领域。它脱离了如在权利要求1的前序部分中所描述 的由用户或操作员访问(access)工业过程控制系统的访问关键设备(access-critical device)的方法。
技术介绍
当今,嵌入式设备或服务器是包括工业自动化、发电站控制、电/气/水公共设施 自动化以及相应的计算机网络(路由器、管理的交换机、防火墙)的关键基础设施的工业过 程控制系统的重要元件。在它们的使用寿命期间,人类用户和软件过程必须访问这些嵌入 式设备以发布命令、获得测量或状态信息、诊断故障、以及改变设置和应用。因为这些设备 对于它们各自的系统来说是关键的,所以应该约束并且严格控制对它们的访问。然而,对于访问关键嵌入式设备来说基于密码的认证方案不会在仅少数人类用户 (操作员、客户端工作场所的维护人员)负责大量的嵌入式设备的场景中提供必要的安全 性和可扩展的(scalable)易管理性。用户通常属于多个组织,并且每个用户必须具有访问 大量嵌入式设备(充当服务器)的能力。在物理上并且在组织上分布这些嵌入式服务器, 并且因此这些嵌入式服务器属于不同的认证域(authentication domain)。实际上,在当今 的典型嵌入式环境中,每个嵌入式设备是具有其自身的用户基础的其自身的认证域,这是 因为对每个设备能够以完全独立于其它主机和外部通信链路的方式来操作以最大化由该 嵌入式设备控制的系统的弹性和可靠性的历史需要。这样的嵌入式设备场景与其中许多客 户端可访问有限数目的服务器的纯粹商业场景相反。在上面的嵌入式设备场景中,传统的基于密码的访问控制以及直接对嵌入式设备 的认证具有一些主要的弱点访问实际上不可撤销,因为它是基于认识的;以及重新配置 所有受到影响的服务器将是不可行的。而且,该设备上的存储限制通常限制用户账户的数 目并且因此需要防止单独的责任性(accountability)的组证书(credential)。如果用户 使用多个设备的相同密码,则单个设备的折衷(compromise)导致整个系统的折衷。为了避免这些缺点,在访问许可组织的控制下,在中央认证和授权 (Authentication and Authorization, AA)控制服务器中保持对各个客户端的访问权利 (rights)。这允许对访问权利的改变的快速转出(roll-out),并且基于角色的访问控制可 以被用于可扩展的客户端权利分配。专利申请W0 03/107133公开了在与用户或远程管理 员相反的安全远程管理应用(secure remote management appliance, SRMA)不具有到集 中式访问控制服务器(ACS)的连接的情况下使用的特定认证协议。一旦用户试图连接到 SRMA,该SRMA就以随机数Ns的形式发布挑战(challenge)。然后,ACS准备要经由用户发 送到SRMA的消息,所述消息包括用于用户回复(re) SRMA的授权信息。为了保护机密性,使 用SRMA的公钥来对该信息进行加密,并且为了验证该信息的完整性利用ACS的私钥来对该 信息的散列以及原始挑战Ns进行加密。如果必要,为了让用户认证SRMA,ACS将SRMA的公 钥(pub)提供给用户。然而,主要功能和本地紧急设备访问必须不依赖于中央服务器或通信基础设施的 可用性,即访问控制方案应该支持被隔离的并且仅经由前面板或直接控制台端口访问才可 访问的嵌入式服务器。M. Naedele 的题为"An Access Control Protocol for Embedded Device,,(4thInternational IEEE Conf. on Industrial Informatics (INDIN2006), Singapore,August 2006)的文章提到集中式用户管理与离线设备访问的结合,其中服务技 术人员在行进到嵌入式服务器位置之前获取来自访问授权服务器的具有适当的终止期的 能力。该能力包括其授权的访问权利,并且因此可以由目标服务器离线评估。
技术实现思路
因此,本专利技术的目的是指出一种不利用到任何外部服务的网络连接性来访问嵌入 式设备环境中的设备的安全且可信赖的方式,这一目的通过根据权利要求1和6所述的访 问访问关键设备的方法和系统来实现。根据从属专利权利要求,其它优选实施例是显而易 见的。根据本专利技术,通过移动存储器或访问票据(ticket)存储装置,即诸如具有用于存 储用户证书或用户识别手段(诸如密码或指纹)的适当的存储器的智能卡或USB棒(USB stick)之类的物理令牌(physical token),来控制用户或服务技术人员对访问关键嵌入式 设备的访问。用户在行进到访问关键设备或通信地连接到该访问关键设备的位置之前获取 来自集中式票据或访问授权服务器的具有适合的终止期的能力文件(capability file)或 电子访问票据。访问票据包含用户关于一个或多个访问关键设备的访问权利,并且同样地 被存储在移动存储器装置上。访问权利由访问关键设备根据用户身份的认证,基于用户证 书,由移动存储器装置所耦合或接合的认证设备来评估。在本专利技术的第一优选变型中,为了建立访问权利的认证即为了验证用户自己没有 窜改访问权利,访问票据通过票据服务器的私钥加密,并且由认证设备解密。在本专利技术的第二优选变型中,认证设备或者与访问关键设备一样,或者是将各个 访问权利传送到一些连接的访问关键设备的专用票据分发器,因此提供用于访问多个设备 的简单认证过程。票据分发器本身可以是嵌入式设备,例如作为子站自动化(Substation Automation)系统的操作员工作站的一部分。本专利技术的有利实施例针对需要用户物理存在于用于维护活动的设备处的情况,并 且针对用户经由通信地连接到访问关键设备的HMI设备(例如子站自动化系统的操作员工 作站)的人机接口(HMI)访问访问关键设备。在后面的情况下,HMI设备潜在地与认证设 备一样,并且优选地适应于与访问关键设备的安全通信会话。在本专利技术的另一个优选变型中,适当的严格约束访问权利(例如停机)被就地 (onsite)存储以用于紧急情况,并且可以被任何用户调用。创造性的方法或访问协议被最有益地应用于子站自动化的情况,在子站自动化 中,用于保护和控制子站主设备(也被称为智能电子设备)的嵌入式设备通常位于单个控 制室中。最初在票据分发器处认证的用户或操作员随后在不必在每个设备处重新认证的情 况下连续地移动到并且访问控制室中的一些嵌入式设备。此外,用于IED访问目的的用户 认证可以与对控制室的物理访问控制相结合。根据本专利技术的方法保留上文中提到的远程离线协议的许多特征,其中存在用户和访问关键设备之间的(而不是在后者与AA服务器之间的)持久通信连接。特别地,因为可 能不存在撤销方案,所以根据用户的实际物理位移所需的时间以及分配给执行计划的维护 任务的时间使用从分钟到天的范围内变化的适当的终止期。集中式用户管理方案的其它有 效优点是(在AA服务器处创建和删除用户账户)的简单性、基于用户和当前任务的访问权 利、以及不存在存储在访问关键设备上的账户或任何种类的秘密。附图说明将参考在附图中说明的优选示例性实施例来在下面的文本中详细解释本文档来自技高网
...

【技术保护点】
用户(U)访问工业控制系统的访问关键设备(D)的方法,包括:-票据服务器(AA)将具有用户访问权利的访问票据(T)发布给访问关键设备(D);以及-所述访问关键设备(D)根据所述访问权利许可所述用户(U)访问所述访问关键设备(D),其特征在于所述方法包括:-将所述访问票据(T)连同一些用户证书一起存储在所述用户(U)的移动存储器装置(M)上;-物理上将所述移动存储器装置(M)移动并耦合到认证设备(D、TD);以及-认证设备(D、TD)基于存储在所连接的移动存储器装置(M)上的用户证书来认证所述用户(U),并且将所述访问权利从所述移动存储器装置(M)传送到所述访问关键设备(D)。

【技术特征摘要】
【国外来华专利技术】...

【专利技术属性】
技术研发人员:F霍尔鲍姆M布兰德尔
申请(专利权)人:ABB技术有限公司
类型:发明
国别省市:CH[瑞士]

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1