借助于肯定名單來(lái)使用證書的制作方法
【專利摘要】本發(fā)明涉及用于借助于肯定名單（WL）來(lái)使用證書（ZERT）的方法和設(shè)備。在這種情況下基于消息（VMSG），其中所述消息（VMSG）包括設(shè)備（G）的證書（ZERT），所述證書（ZERT）具有用于證書（ZERT）的真實(shí)性的檢查（PROOF1）的簽名（SIG）和用于證書（ZERT）的允許性根據(jù)肯定名單（WL）的確定（PROOF2）的允許性信息（ZINFO），根據(jù)所述檢查以及所述確定來(lái)實(shí)施對(duì)所述設(shè)備（G）的授權(quán)。本發(fā)明可以被用于工業(yè)或醫(yī)學(xué)環(huán)境中。
【專利說(shuō)明】
借助于肯定名單來(lái)使用證書
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及用于借助于肯定名單來(lái)使用證書的方法和設(shè)備。
【背景技術(shù)】
[0002]對(duì)自動(dòng)化設(shè)施的也作為黑客攻擊已知的惡意攻擊近來(lái)顯著增加。因此，特定的數(shù)字證書被用于設(shè)備、如制造機(jī)器人或控制設(shè)備，以便可以針對(duì)這些設(shè)備執(zhí)行鑒權(quán)。該鑒權(quán)例如保證:僅僅肯定地被鑒權(quán)的設(shè)備可以在自動(dòng)化設(shè)施中被運(yùn)行。同樣，人員相關(guān)的數(shù)字證書也可以被用在工業(yè)環(huán)境中，例如以便向技術(shù)員釋放維護(hù)訪問(wèn)。
[0003]根據(jù)文獻(xiàn)[I]，“數(shù)字證書[…]是數(shù)字?jǐn)?shù)據(jù)集，所述數(shù)字?jǐn)?shù)據(jù)集證實(shí)人員或?qū)ο蟮拇_定的特性并且所述數(shù)字?jǐn)?shù)據(jù)集的真實(shí)性以及完整性可以通過(guò)密碼方法來(lái)檢驗(yàn)。數(shù)據(jù)證書尤其包含用于其檢驗(yàn)所需要的數(shù)據(jù)。”
此外，根據(jù)文獻(xiàn)[2]，“屬性證書[…]是一種數(shù)字證書并且表示確定的數(shù)字信息(屬性)和另外的因此被屬性化(attributiert)的數(shù)字證書之間的由值得信任的權(quán)威數(shù)字簽名的結(jié)合?！蔽墨I(xiàn)[2]進(jìn)一步闡明:“屬性證書[…]典型地標(biāo)明如下特性，所述特性更詳細(xì)地表征要么證書本身要么人員”。
[0004]從文獻(xiàn)[3]中已知限制數(shù)字證書的有效性的另一可能性。在那里提出在鑒權(quán)例程的范圍中也相對(duì)于白名單(=用英文white list或certificate white list)的數(shù)字證書。也被稱為肯定名單的白名單表明:要鑒權(quán)的數(shù)字證書是否可以由要鑒權(quán)的單元來(lái)鑒權(quán)。因此，鑒權(quán)的單元可以在肯定名單里搜索如下條目，所述條目指明要鑒權(quán)的數(shù)字證書或者對(duì)其的引用。如果所述條目被找到，則進(jìn)行鑒權(quán)，否則該鑒權(quán)被停止。
[0005]現(xiàn)有技術(shù)中的一個(gè)缺點(diǎn)是，是否基于肯定名單來(lái)進(jìn)行數(shù)字證書的也被稱為證書確認(rèn)的鑒權(quán)或者有效性檢驗(yàn)是不清楚的。另一方面，鑒權(quán)的單元已經(jīng)可以基于當(dāng)前的證書在不檢驗(yàn)肯定名單的情況下肯定地執(zhí)行設(shè)備的鑒權(quán)，盡管證書借助于肯定名單的附加的檢驗(yàn)將是必需的，例如因?yàn)樵O(shè)備只能在預(yù)先確定的環(huán)境中被運(yùn)行。

【發(fā)明內(nèi)容】

[0006]因此，任務(wù)在于說(shuō)明方法和設(shè)備，所述設(shè)備允許在使用數(shù)字證書的情況下安全性的提尚。
[0007]該任務(wù)通過(guò)從屬權(quán)利要求的特征來(lái)解決。本發(fā)明的改進(jìn)方案可以從從屬權(quán)利要求獲悉。
[0008]本發(fā)明涉及用于產(chǎn)生消息的方法，其中該消息包括設(shè)備G的證書并且該證書具有用于檢查證書的真實(shí)性的簽名，
其特征在于，
給該消息添加用于證書的允許性根據(jù)肯定名單的確定的允許性信息。
[0009]本發(fā)明示出如下優(yōu)點(diǎn):在借助于消息對(duì)設(shè)備授權(quán)時(shí)除了簽名之外也確定:證書是否存在于肯定名單上。由此在對(duì)設(shè)備授權(quán)時(shí)的安全性通過(guò)如下方式被提高:不僅證書根據(jù)簽名的檢查而且允許性的確定必須被執(zhí)行。執(zhí)行不僅所述檢查而且所述確定的“強(qiáng)制”通過(guò)消息來(lái)控制并且因此不隨機(jī)地依賴于用于授權(quán)的單元除了證書的簽名的檢查之外是否也執(zhí)行證書根據(jù)肯定名單的確定。因此避免:如果雖然簽名的檢查是肯定的但是根據(jù)肯定名單的確定不發(fā)生，則授權(quán)是成功的。此外，授權(quán)的安全性還通過(guò)如下方式被提高:對(duì)于設(shè)備來(lái)說(shuō)在通知授權(quán)時(shí)清楚的是，不僅所述檢查而且所述確定被執(zhí)行并且是肯定的。
[0010]在一個(gè)示例中，消息可以具有收信人字段、證書和允許性信息。在另一示例中，消息包括證書和允許性信息。此外，允許性信息可以與證書分離地或者作為證書的一部分被布置在消息中。在后一種情況下消息也可以描述新的證書。
[0011]在一種改進(jìn)方案中，給允許性信息添加有效性信息，其中有效性信息具有以下參數(shù)中的至少一個(gè)，所述至少一個(gè)參數(shù)表征在允許性的確定中要使用的肯定名單WL:
-肯定名單的允許的簽發(fā)者；
-肯定名單的最大允許的年齡；
-肯定名單的應(yīng)用環(huán)境參數(shù)AUP;
-要使用的肯定名單的說(shuō)明REF。
[0012]通過(guò)使用此類型的允許性信息來(lái)進(jìn)一步提高在對(duì)設(shè)備授權(quán)時(shí)的安全性，因?yàn)橥ㄟ^(guò)有效性信息限制可以被用于所述確定的肯定名單的數(shù)量。必要時(shí)在限制之后不存在用于確定的肯定名單，使得授權(quán)失敗或者僅僅具有低安全等級(jí)的設(shè)備的授權(quán)被允許。
[0013]在本發(fā)明的一種有利的改進(jìn)方案中，給允許性信息添加用于執(zhí)行G的第一應(yīng)用的第一應(yīng)用信息，其中第一應(yīng)用信息可以在基于(i)簽名的真實(shí)性的肯定的檢查以及(ii)證書的允許性根據(jù)肯定名單的肯定的確定對(duì)設(shè)備肯定地授權(quán)的情況下被應(yīng)用。由此可以給設(shè)備分配由于肯定的授權(quán)而允許的行為方式、即應(yīng)用。因此安全性通過(guò)如下方式被提高:根據(jù)授權(quán)給設(shè)備分配第一應(yīng)用、即第一類別的至少一個(gè)應(yīng)用。
[0014]在本發(fā)明的一種有利的改進(jìn)方案中，給允許性信息添加用于執(zhí)行設(shè)備的第二應(yīng)用的第二應(yīng)用信息，其中第二應(yīng)用信息可以在基于(i)簽名的真實(shí)性的肯定的檢查以及(ii)證書的允許性根據(jù)肯定名單的否定的確定對(duì)設(shè)備肯定地授權(quán)的情況下被應(yīng)用。因此，安全性通過(guò)如下方式被提高:根據(jù)所述檢查以及確定給設(shè)備分配第二應(yīng)用、即第二類別的至少一個(gè)應(yīng)用，其中可以考慮低安全等級(jí)的應(yīng)用作為第二類別的應(yīng)用。
[0015]在本發(fā)明的一種改進(jìn)方案中，給允許性信息添加以下實(shí)施參數(shù)中的至少一個(gè)，其中相應(yīng)的實(shí)施參數(shù)描述可以根據(jù)證書的哪個(gè)特性來(lái)執(zhí)行所述確定:
-證書的序列號(hào)；
-證書的簽發(fā)者；
-證書的指紋；
-公開密鑰的指紋；
-證書的副本PI5。
[0016]由此在授權(quán)時(shí)的安全性可以進(jìn)一步被提高，因?yàn)橄⒖梢悦鞔_地通知執(zhí)行所述確定的單元:所述單元應(yīng)當(dāng)或者可以將實(shí)施參數(shù)中的哪個(gè)用于實(shí)施所述確定。
[0017]本發(fā)明還涉及用于根據(jù)消息對(duì)設(shè)備授權(quán)的方法，其中消息可以根據(jù)之前所描述的步驟中的一個(gè)來(lái)產(chǎn)生，其中如果
(a)證書的真實(shí)性的檢查肯定地被執(zhí)行，以及 (b )證書ZERT的允許性根據(jù)肯定名單的確定肯定地被執(zhí)行，
則所述設(shè)備針對(duì)應(yīng)用第一類別的至少一個(gè)應(yīng)用被授權(quán)。
[0018]本發(fā)明示出如下優(yōu)點(diǎn):在借助于消息對(duì)設(shè)備授權(quán)時(shí)除了簽名之外也確定:證書是否存在于肯定名單上。由此在對(duì)設(shè)備授權(quán)時(shí)的安全性通過(guò)如下方式被提高:不僅證書根據(jù)簽名的檢查而且允許性的確定必須被執(zhí)行。執(zhí)行不僅所述檢查而且所述確定的“強(qiáng)制”通過(guò)消息來(lái)控制并且因此不隨機(jī)地依賴于用于授權(quán)的單元除了證書的簽名的檢查之外是否也執(zhí)行證書根據(jù)肯定名單的確定。因此避免:如果雖然簽名的檢查是肯定的但是根據(jù)肯定名單的確定不發(fā)生，則授權(quán)是成功的。此外，授權(quán)的安全性還通過(guò)如下方式被提高:對(duì)于設(shè)備來(lái)說(shuō)在通知授權(quán)時(shí)清楚的是，不僅所述檢查而且所述確定被執(zhí)行并且是肯定的。
[0019]本發(fā)明此外涉及尤其根據(jù)之前所描述的方法的、用于根據(jù)消息對(duì)設(shè)備授權(quán)的方法，其中消息VMSG可以根據(jù)之前所描述的步驟中的一個(gè)來(lái)產(chǎn)生，其中如果
(a)證書的真實(shí)性的檢查肯定地被執(zhí)行，以及 (b )證書的允許性根據(jù)肯定名單的確定否定地被執(zhí)行，
則所述設(shè)備針對(duì)應(yīng)用第二類別的至少一個(gè)應(yīng)用被授權(quán)。
[0020]在這種情況下除了之前所描述的優(yōu)點(diǎn)之外有利的是，在否定的確定的情況下授權(quán)不是強(qiáng)制性地失敗，而是也存在具有低安全等級(jí)的授權(quán)的可能性，即設(shè)備不可以執(zhí)行安全關(guān)鍵的應(yīng)用或者參與安全關(guān)鍵的應(yīng)用。因此，設(shè)備例如可以執(zhí)行更新，但是本身不與其它設(shè)備參與制造的執(zhí)行。
[0021]在一種有利的改進(jìn)方案中，證書的允許性的確定至少根據(jù)以下實(shí)施參數(shù)中的一個(gè)來(lái)執(zhí)行，其中相應(yīng)的實(shí)施參數(shù)再現(xiàn)證書的特性:
-證書的序列號(hào)；
-證書的簽發(fā)者；
-證書的指紋；
-公開密鑰的指紋；
-證書的副本。
[0022]由此在授權(quán)時(shí)的安全性可以進(jìn)一步被提高，因?yàn)橄⒖梢悦鞔_地通知執(zhí)行所述確定的單元:所述單元應(yīng)當(dāng)或者可以將實(shí)施參數(shù)中的哪個(gè)用于實(shí)施所述確定。
[0023]在本發(fā)明的一種改進(jìn)方案中，可以在允許性的確定的范圍中分析有效性信息，其中有效性信息具有以下參數(shù)中的至少一個(gè)，所述至少一個(gè)參數(shù)表征在允許性的確定中要使用的肯定名單:
-肯定名單的允許的簽發(fā)者；
-肯定名單的最大允許的年齡MAXG;
-肯定名單的應(yīng)用環(huán)境參數(shù)(AUP);
-要使用的肯定名單的說(shuō)明REF。
[0024]通過(guò)使用此類型的允許性信息，在對(duì)設(shè)備授權(quán)時(shí)的安全性進(jìn)一步被提高，因?yàn)橥ㄟ^(guò)有效性信息限制可以被用于所述確定的肯定名單的數(shù)量。必要時(shí)在限制之后不存在用于所述確定的肯定名單，使得授權(quán)失敗或者僅僅具有低安全等級(jí)的設(shè)備的授權(quán)被允許。
[0025]此外，本發(fā)明涉及如下消息，所述消息包括設(shè)備的證書，其中證書具有用于證書ZERT的真實(shí)性的檢查的簽名、和用于證書的允許性根據(jù)肯定名單的確定的允許性信息。此夕卜，所述消息可以根據(jù)用于產(chǎn)生所述消息的步驟中的一個(gè)來(lái)構(gòu)建。
[0026]所述消息的優(yōu)點(diǎn)可以從相應(yīng)的上面所示出的用于產(chǎn)生所述消息的實(shí)施方案獲悉。
[0027]本發(fā)明還涉及用于產(chǎn)生消息的第一設(shè)備，所述第一設(shè)備具有:
-第一單元，所述第一單元用于將設(shè)備的證書插入到所述消息中，其中所述證書ZERT具有用于所述證書的真實(shí)性的檢查的簽名SIG，
-第二單元，所述第二單元用于添加用于證書的允許性根據(jù)肯定名單的確定的允許性?目息O
[0028]第二單元此外可以被設(shè)計(jì)，使得允許性信息能夠根據(jù)所示出的用于產(chǎn)生所述消息的實(shí)施方案中的一個(gè)被擴(kuò)展。
[0029]關(guān)于第一設(shè)備的優(yōu)點(diǎn)與相應(yīng)的上面所示出的用于產(chǎn)生消息的實(shí)施方案一致。
[0030]此外，本發(fā)明還涉及用于根據(jù)消息對(duì)設(shè)備授權(quán)的第二設(shè)備，其中所述消息可以根據(jù)之前所描述的步驟中的一個(gè)來(lái)產(chǎn)生，所述第二設(shè)備具有用于所述消息VMSG的證書的真實(shí)性的檢查的第三單元、用于所述證書的允許性根據(jù)肯定名單的確定的第四單元、和第五單元，所述第五單元用于如果所述檢查以及所述確定分別是肯定的，則針對(duì)應(yīng)用第一類型Kl的至少一個(gè)應(yīng)用對(duì)所述設(shè)備授權(quán)。
[0031]此外，第五單元可以被構(gòu)造用于如果所述檢查是肯定的并且所述確定是否定的，則針對(duì)應(yīng)用第一類型的至少一個(gè)應(yīng)用對(duì)所述設(shè)備授權(quán)。
[0032]此外，第三單元、第四單元和第五單元可以被構(gòu)造，使得允許性信息的改進(jìn)方案中的至少一個(gè)能夠根據(jù)所示出的方法來(lái)實(shí)施。
[0033]關(guān)于相應(yīng)的第二設(shè)備的優(yōu)點(diǎn)與相應(yīng)的上面所示出的用于消息的授權(quán)的實(shí)施方案一致。
【附圖說(shuō)明】
[0034]根據(jù)附圖更詳細(xì)地解釋本發(fā)明及其改進(jìn)方案。詳細(xì)地:
圖1示出消息從設(shè)備到檢查單元的傳送；
圖2示出包括證書和允許性信息的消息的構(gòu)造；
圖3示出作為消息的允許性信息的一部分的有效性信息；
圖4示出用于產(chǎn)生消息的流程圖和第一設(shè)備；
圖5示出用于借助于消息對(duì)設(shè)備授權(quán)的流程圖和第二設(shè)備；
圖6示出根據(jù)ASN.1標(biāo)準(zhǔn)所編碼的證書。
[0035]具有相同的功能和作用方式的元件在圖中配備相同的附圖標(biāo)記。
【具體實(shí)施方式】
[0036]在本發(fā)明的第一實(shí)施例中在用于污水凈化的工業(yè)設(shè)施中有缺陷的栗應(yīng)當(dāng)被替換并且在內(nèi)連到污水凈化設(shè)施的控制通信中之前被授權(quán)。為此，維修技術(shù)員裝配新的栗G來(lái)代替有缺陷的栗。在隨后也被稱為設(shè)備G的新的栗已被連接到電網(wǎng)上之后，該栗產(chǎn)生消息VMSG，其中消息VMSG包括栗G的證書，參見(jiàn)圖1和2。證書ZERT在其側(cè)具有至少一個(gè)簽名SIG，其中根據(jù)簽名SIG可以執(zhí)行證書ZERT的真實(shí)性或者有效性的檢查PR00F1。
[0037]此外消息VMSG以補(bǔ)充栗G的消息的方式包括具有允許性信息ZINFO的消息VMSGj許性信息ZINFO具有如下目的:以此通知檢查單元Z除了檢查簽名SIG之外也應(yīng)當(dāng)執(zhí)行證書ZERT的允許性根據(jù)肯定名單WL的確定。允許性信息優(yōu)選地被包含在栗G的證書中。然而，也可能的是，允許性信息被包含在消息VMSG的其它部分中。
[0038]栗G的證書例如可以是由栗的制造者所簽發(fā)的設(shè)備證書、栗G的自己簽名的證書或由污水凈化設(shè)施的運(yùn)營(yíng)商針對(duì)栗所簽發(fā)的并且在栗的安裝之前在栗G上所配置的證書。也可能的是，在栗G開始運(yùn)轉(zhuǎn)時(shí)栗首先創(chuàng)建證書請(qǐng)求消息并且將該證書請(qǐng)求消息發(fā)出，以便請(qǐng)求針對(duì)栗G的在污水凈化設(shè)施中有效的證書。污水凈化設(shè)施的證書服務(wù)器于是可以給栗G提供證書，所述證書包括允許性信息。該證書于是可以如上面所描述的那樣由栗G用于與檢查單元Z的通信。
[0039]圖2示范性地示出消息VMSG。該消息具有簽名SIG和針對(duì)允許性信息ZINFO的一個(gè)或多個(gè)說(shuō)明。在第一實(shí)施例中，允許性信息僅僅具有指示信號(hào)FLG，其中指示信號(hào)FLG表明:除了檢查之外也應(yīng)當(dāng)借助于證書ZERT的允許性根據(jù)肯定名單WL的確定PR00F2來(lái)檢驗(yàn)證書ZERT0
[0040]也作為白名單(whitelist)已知的肯定名單WL表示一個(gè)或多個(gè)條目的匯編，其中相應(yīng)的條目可以針對(duì)特定的證書被構(gòu)造。證書的允許性根據(jù)肯定名單的確定一般意味著:檢查證書本身或者證書的所導(dǎo)出的信息或者能夠分配給證書的信息是否存在于肯定名單中。如果在肯定名單中針對(duì)要檢查的證書不能找到條目，則所述確定是否定的，否則是肯定的。肯定名單WL可以由上級(jí)的實(shí)體提供給檢查單元Z并且在該示例中包括設(shè)備的證書的名單，所述證書完全只能在所述工業(yè)設(shè)施中、即在該特殊的環(huán)境中肯定地被驗(yàn)證。
[0041 ]在當(dāng)前的第一實(shí)施例中，證書ZERT的簽名SIG借助于對(duì)證書ZERT的真實(shí)性的檢查PR00F1來(lái)肯定地檢驗(yàn)。證書的允許性根據(jù)肯定名單WL的確定PR00F2得出:證書ZERT被存放在肯定名單WL中并且因此第二檢查PR00F2也是肯定的。因?yàn)椴粌H第一檢查PR00F1而且第二檢查PR00F2是肯定的，所以栗G被允許在所述工業(yè)設(shè)施中使用。這隨后借助于應(yīng)答消息RMSG來(lái)通知栗G。因此，栗G針對(duì)應(yīng)用第一類別Kl的應(yīng)用被授權(quán)。因此，栗G可以例如從控制計(jì)算機(jī)以防止操縱的方式接收控制數(shù)據(jù)、例如用于激活或去激活所述栗的控制命令。在另一示例中，栗例如可以以受保護(hù)的方式給污水凈化設(shè)施的診斷服務(wù)器提供診斷數(shù)據(jù)。
[0042]除了借助于指示信號(hào)FLG來(lái)通知檢查單元Z不僅應(yīng)當(dāng)執(zhí)行檢查PR00F1而且應(yīng)當(dāng)執(zhí)行確定PR00F2的可能性之外，還可以給予檢查單元Z有效性信息GI，所述有效性信息促使檢查單元Z在所述確定的范圍中驗(yàn)證肯定名單WL的有效性，參見(jiàn)圖3。為此，有效性信息GI例如可以具有以下參數(shù)中的一個(gè)或多個(gè):
-肯定名單WL的允許的簽發(fā)者ZULA:
由此表明:在證書ZERT的允許性的確定中只能利用如下那些肯定名單WL，所述肯定名單已由一個(gè)或多個(gè)通過(guò)有效性信息被定義為允許的簽發(fā)者創(chuàng)建，例如栗的證書必須被記錄在西門子公司的肯定名單上或者被記錄在污水凈化設(shè)施的運(yùn)營(yíng)商的肯定名單上。
[0043]-肯定名單WL的最大允許的年齡MAXG:
在這種情況下確定所述確定PR00F2所基于的肯定名單WL多大年齡。最大允許的年齡MAXG例如表明5周的時(shí)間段。多個(gè)可能的要用于確定允許性的肯定名單中的一個(gè)已經(jīng)在6周前被產(chǎn)生。因此，該肯定名單在所述確定的范圍中不再被使用，因?yàn)樵摽隙麊蔚哪挲g大于5個(gè)月。
[0044]-肯定名單WL的應(yīng)用環(huán)境參數(shù)AUP:
消息VMSG可以在這種情況下表明關(guān)于設(shè)備G的使用場(chǎng)所或者環(huán)境的信息。例如在連接到電網(wǎng)上之后給栗G分派了確定的域的IP地址、例如192.168.180.X。應(yīng)用環(huán)境參數(shù)AUP被設(shè)定為192.168.180.X。在針對(duì)允許性的確定選擇一個(gè)或多個(gè)肯定名單WL的情況下通過(guò)檢查單元Z來(lái)檢驗(yàn):相應(yīng)的肯定名單是否對(duì)于相應(yīng)的應(yīng)用環(huán)境參數(shù)AUP來(lái)說(shuō)是允許的。例如，第一肯定名單僅對(duì)于168.180.180.X的應(yīng)用環(huán)境參數(shù)來(lái)說(shuō)是允許的并且第二肯定名單對(duì)于應(yīng)用環(huán)境參數(shù)168.178.180.X來(lái)說(shuō)是允許的。因此，通過(guò)允許性的確定僅僅第二肯定名單被用于允許性的檢驗(yàn)。應(yīng)用環(huán)境參數(shù)AUP—般描述一個(gè)或多個(gè)特定的特性，所述特性更詳細(xì)地描述在栗G的當(dāng)前情況下設(shè)備的使用場(chǎng)所。除了 IP地址之外，這也可以是圍繞所述設(shè)備的另外的設(shè)備的溫度、空氣濕度、特定的特性、如MAC地址或IP地址，或者也可以是來(lái)自無(wú)線電數(shù)據(jù)的信息、如無(wú)線WLAN(WLAN - Wireless Local Area Network(無(wú)線局域網(wǎng)))、網(wǎng)絡(luò)或基于GPS的方位信息(GPS - Global Posit1ning System(全球定位系統(tǒng)))的識(shí)別特征。
[0045]在第一實(shí)施例的擴(kuò)展方案中，還可以給允許性信息ZINFO添加用于執(zhí)行設(shè)備G的第一應(yīng)用APPl的第一應(yīng)用信息ANWIl。該應(yīng)用信息AUTHl表明:如果不僅檢查PR00F1而且允許性的確定PR00F2是肯定的，則設(shè)備G可以執(zhí)行哪個(gè)應(yīng)用或者哪些應(yīng)用APPl。例如，栗在此情況下也可以在工業(yè)設(shè)施的關(guān)鍵區(qū)域中、例如在栗必須抽吸非常熱以及非常冷的介質(zhì)的區(qū)域中被運(yùn)行。因此可以借助于第一應(yīng)用APPl的說(shuō)明來(lái)表明:栗可以在工業(yè)設(shè)施的哪些區(qū)域中被使用。因此，證書的針對(duì)第一應(yīng)用的允許性被確定。
[0046]在所述示例的一種改進(jìn)方案中可以通過(guò)用于執(zhí)行一個(gè)或多個(gè)第二應(yīng)用APP2的第二應(yīng)用信息ANWI2來(lái)補(bǔ)充允許性信息ZINF0。在這種情況下說(shuō)明:如果檢查PR00F1是肯定的并且允許性的確定PR00F2是否定的，則所述設(shè)備可以執(zhí)行哪些任務(wù)或者應(yīng)用。這意味著，雖然證書的簽名是有效的，然而證書(或?qū)ψC書的引用)在檢查單元Z的有效的肯定名單上不能訪問(wèn)?？赡艿牡诙?yīng)用APP2可以在此情況下被構(gòu)成，使得栗G不可以在工業(yè)設(shè)施中被使用。在另一設(shè)計(jì)方案中可以給栗G傳輸僅僅非關(guān)鍵任務(wù)、諸如用于在例如10至25°C的非關(guān)鍵溫度范圍中抽吸介質(zhì)。此外，第二應(yīng)用的一種設(shè)計(jì)方案可以被執(zhí)行，使得栗雖然可以參與與一個(gè)或多個(gè)相鄰的設(shè)備以及檢查單元的通信，然而本身不可以抽吸介質(zhì)。
[0047]消息VMSG的產(chǎn)生根據(jù)圖4來(lái)更詳細(xì)地解釋。該圖示出4個(gè)步驟S0，-_，S3，所述步驟表示用于產(chǎn)生的流程圖。此外，圖4也體現(xiàn)具有用于執(zhí)行用于創(chuàng)建消息的步驟的第一單元Ml和第二單元M2的第一設(shè)備VORl。
[0048]在步驟SO中，流程圖開始。
[0049]在通過(guò)第一單元Ml來(lái)實(shí)現(xiàn)的第一步驟SI中，產(chǎn)生包括至少一個(gè)簽名SIG的證書。
[0050]在第二步驟S2中，給消息VMSG添加允許性信息ZINF0。第二步驟S2通過(guò)第二單元M2來(lái)實(shí)施。將允許性信息ZINFO添加到消息VMSG尤其可以通過(guò)以下方式來(lái)進(jìn)行:給消息ZINFO添加包括允許性信息的證書。
[0051]根據(jù)圖2的流程圖在第三步驟S3中被終止。
[0052]在另一實(shí)施例中，用于根據(jù)消息VMSG對(duì)栗授權(quán)的特定步驟應(yīng)當(dāng)借助于圖5來(lái)更詳細(xì)地解釋。圖5—方面示出具有步驟TO至TlO的流程圖以及也示出用于執(zhí)行所述步驟的多個(gè)單元M3，…，M5。所述單元體現(xiàn)第二設(shè)備V0R2。
[0053]流程圖在步驟TO中開始。
[0054]在第一步驟Tl中，第二設(shè)備V2接收消息VMSG。針對(duì)圖5的圖示假定:消息VMSG除了證書之外也包括允許性信息ZINF0，其中允許性信息包括肯定名單WL的最大允許的年齡MAXG類型的有效性信息GI。優(yōu)選地，允許性信息ZINFO被編碼在證書中。然而，允許性信息也可以作為單獨(dú)的信息被編碼在消息VMSG中。此外，消息VM SG附加地還具有第一和第二應(yīng)用信息ANWIl、ANW2。第一和第二應(yīng)用信息ANWIl、ANW2在此可以分別被編碼在證書中或者其可以作為單獨(dú)的信息被編碼在消息VMSG中。
[0055]在隨后的第二步驟T2中，借助于證書ZERT的簽名SIG來(lái)執(zhí)行證書的真實(shí)性的檢查PR00F1 ο第三單元M3實(shí)現(xiàn)第二步驟T2并且第五單元M5實(shí)現(xiàn)第三步驟T3。
[0056]在第三步驟T3中檢查:所述檢查PR00F1是肯定的還是否定的。如果所述檢查是否定的，則在路徑N中離開第三步驟T3并且隨后實(shí)施第十步驟T10。如果所述檢查PR00F1是肯定的，則通過(guò)路徑J離開第三步驟T3并且隨后實(shí)施第四步驟T4。
[0057]在第四步驟T4中，首先使用通過(guò)最大允許的年齡MAXG所代表的有效性信息，以便選擇存在用于允許性的確定的肯定名單WL。如果在檢查單元Z中沒(méi)有相關(guān)地滿足有效性信息GI的肯定名單WL，則所述確定PR00F2的第一等級(jí)是否定的。否則，該第一等級(jí)是肯定的。
[0058]在第五步驟T5中，在第一等級(jí)的否定的結(jié)果的情況下走上以第九步驟T9結(jié)束的路徑N。否則，第五步驟T5將流程圖通過(guò)路徑J引導(dǎo)到第六步驟T6。
[0059]在第六步驟T6中，在所述確定PR00F2的第二等級(jí)的范圍中確定:是否能夠在肯定名單WL中找到證書或者從中導(dǎo)出的搜索值。如果針對(duì)證書或者從中導(dǎo)出的涉及所述證書的搜索值的條目存在于肯定名單中，則在第六步驟T6中所述確定的第二等級(jí)是肯定的。否則在第六步驟T6中所述第二等級(jí)是否定的。
[0060]在隨后的第七步驟T7中，分析第六步驟T6的確定的第二等級(jí)。如果該第六步驟是否定的，則通過(guò)路徑N離開第七步驟并且流程圖在第九步驟T9中繼續(xù)。否則，流程圖通過(guò)路徑J從第七步驟通向第八步驟T8。
[0061 ]在本發(fā)明的另一實(shí)施方式中，消息VMSG可以被構(gòu)建，使得僅僅允許性信息ZINFO以指示信號(hào)FLG的形式被構(gòu)造，即在消息VMSG中不存在有效性信息GI。在此情況下，允許性的確定PR00F2僅僅通過(guò)步驟T6、T7來(lái)實(shí)現(xiàn)。第四和第五步驟T4、T5在此被跳過(guò)。第四單元分別實(shí)現(xiàn)第四和第六步驟T4、T6并且第五單元M5分別實(shí)現(xiàn)第五和第七步驟T6、T7。
[0062]如果不僅對(duì)證書的真實(shí)性的檢查PR00F1而且根據(jù)肯定名單WL關(guān)于證書的允許性的確定PR00F2分別是肯定的，則流程圖處于第八步驟T8中。在此情況下，在第八步驟T8中，設(shè)備、即栗G被授權(quán)執(zhí)行第一類別Kl的應(yīng)用、諸如第一應(yīng)用APP1。在應(yīng)用第一類別Kl的應(yīng)用結(jié)束之后通過(guò)調(diào)用最后的步驟TlO來(lái)終止第八步驟。但是，第一類別的應(yīng)用可以不必通過(guò)第一應(yīng)用信息來(lái)定義。因此可以通過(guò)默認(rèn)來(lái)規(guī)定:第一類別的應(yīng)用表示釋放設(shè)備用于運(yùn)行。
[0063]在第九步驟T9中，流程圖表明:對(duì)證書的真實(shí)性的檢查是肯定的。然而，在所述第九步驟T9中證書的允許性根據(jù)肯定名單的確定是否定的。因此，栗可以在第九步驟中被授權(quán)第二類別K2的應(yīng)用。第二類別的應(yīng)用例如可以通過(guò)如下方式來(lái)構(gòu)成:沒(méi)有應(yīng)用可以被實(shí)施并且栗不被允許用于在工業(yè)設(shè)施中使用。替代地可以在第九步驟T9中通過(guò)栗來(lái)執(zhí)行第二應(yīng)用APP2，所述第二應(yīng)用例如不是安全關(guān)鍵的。在第九步驟T9結(jié)束之后流程圖在第十步驟TlO中被繼續(xù)。
[0064]在第十步驟TlO中，圖5的流程圖被終止。
[0065]關(guān)于證書的允許性的確定PR00F2可以根據(jù)證書和肯定名單的以下實(shí)施參數(shù)APA中的至少一個(gè)來(lái)執(zhí)行:
-證書的序列號(hào):檢查單元Z可以根據(jù)證書的被包含在消息VMSG中的序列號(hào)在肯定名單WL中定位證書。
[0066]-證書的簽發(fā)者:檢查單元Z也可以依賴于證書的簽發(fā)者來(lái)執(zhí)行第二檢查的執(zhí)行。如果例如證書的簽發(fā)者未被記錄在肯定名單中，則第二檢查PR00F2是否定的。
[0067]-證書的指紋:證書的指紋被理解為:不是證書本身、而是編碼形式、例如哈希編碼的證書被用于執(zhí)行允許性的確定。因此，證書的哈希值可以通過(guò)檢查單元從消息VMSG的證書獲得。隨后使用該哈希值，以便在肯定名單中識(shí)別相同的哈希值。如果相同的哈希值未被找到，則所述確定是否定的，否則是肯定的。
[0068]-簽名中的公開密鑰的指紋:對(duì)此的處理方式與項(xiàng)目“證書的指紋”類似，其中代替整個(gè)證書僅僅簽名的公開密鑰被用于所述確定。
[0069]-證書的副本:處理方式與“證書的指紋”類似，其中代替證書的編碼形式在本發(fā)明的該變型方案中證書可以以明文被使用。因此，證書以明文表示如下索引，應(yīng)當(dāng)在肯定名單中搜索所述索引。
[0070]在本發(fā)明的一種改進(jìn)方案中，消息也可以具有之前所提到的實(shí)施參數(shù)APA中的一個(gè)。由此通知檢查單元:應(yīng)當(dāng)將參數(shù)中的哪個(gè)用于在肯定名單中定位證書。
[0071]圖6示出具有證書ZERT和允許性信息ZINFO的消息。根據(jù)圖6的示例表示針對(duì)所謂的身份證書的根據(jù)借助于ASN.1編碼(ASN.1 = Abstract Syntax Notat1n One(抽象語(yǔ)法表示法I))的X.509的編碼。根據(jù)圖6的消息被劃分成證書ZERT區(qū)域和描述允許性信息ZINFO的區(qū)域。此外，允許性信息ZINFO描述鑒于要使用的肯定名單REF和肯定名單的允許的簽發(fā)者ZULA的有效性信息GI說(shuō)明以及用于執(zhí)行允許性的確定PR00F2的實(shí)施參數(shù)APA。關(guān)于實(shí)施參數(shù)APA的特點(diǎn)是，檢查單元Z被給予三個(gè)用于執(zhí)行所述確定的選項(xiàng)。因此，檢查單元Z可以根據(jù)證書的序列號(hào)、指紋或者公開密鑰的指紋來(lái)執(zhí)行第二檢查。代替身份證書的使用，本發(fā)明也可以被用于屬性證書。在這種情況下的處理方式與圖6中的圖示類似。
[0072]用于產(chǎn)生消息的第一設(shè)備通過(guò)第一和第二單元來(lái)實(shí)現(xiàn)。因此，第一和第二單元表示檢查單元Z ο用于對(duì)設(shè)備授權(quán)的第二設(shè)備通過(guò)第三、第四和第五單元裝置來(lái)實(shí)現(xiàn)。
[0073 ]在說(shuō)明書中所示出的單元可以以軟件、硬件或者以由軟件和硬件構(gòu)成的組合來(lái)實(shí)現(xiàn)。在此，本發(fā)明的各個(gè)步驟可以以機(jī)器可讀的形式被存放在存儲(chǔ)器中，其中所述存儲(chǔ)器與處理器連接，使得所述處理器讀出以及可以處理機(jī)器可讀的命令。此外，用于將數(shù)據(jù)交換到處理器或者從處理器交換數(shù)據(jù)的輸入和輸出接口可以與處理器耦合。
[0074]根據(jù)多個(gè)示例解釋了本發(fā)明及其改進(jìn)方案。本發(fā)明不限于這些特殊的實(shí)施例。此夕卜，所述實(shí)施例以及改進(jìn)方案可以以任意的方式被組合。
【主權(quán)項(xiàng)】
1.用于產(chǎn)生消息(VMSG)的方法，其中所述消息(VMSG)包括設(shè)備(G )的證書(ZERT )并且所述證書(ZERT)具有用于所述證書(ZERT)的真實(shí)性的檢查(PROOFl)的簽名(SIG)， 其特征在于， 給所述消息(VMSG)添加用于所述證書(ZERT)的允許性根據(jù)肯定名單(WL)的確定(PR00F2 )的允許性信息(ZINFO )。2.根據(jù)權(quán)利要求1所述的方法， 其特征在于， 給所述允許性信息(ZINFO)添加有效性信息(GI)，其中所述有效性信息(GI)具有以下參數(shù)中的至少一個(gè)，所述至少一個(gè)參數(shù)表征在所述允許性的確定(PR00F2)中要使用的肯定名單(WL): -所述肯定名單(WL)的允許的簽發(fā)者(ZULA); -所述肯定名單(WL)的最大允許的年齡(MAXG); -所述肯定名單(WL)的應(yīng)用環(huán)境參數(shù)(AUP)， -要使用的肯定名單(WL)的說(shuō)明(REF)。3.根據(jù)前述權(quán)利要求之一所述的方法， 其特征在于， 給所述允許性信息(ZINFO)添加用于執(zhí)行所述設(shè)備(G)的第一應(yīng)用(APPl)的第一應(yīng)用信息(ANWIl)，其中所述第一應(yīng)用信息(ANWIl)能夠在基于(i)所述簽名(SIGl)的真實(shí)性的肯定的檢查以及(ii )所述證書(ZERT )的允許性根據(jù)所述肯定名單(WL)的肯定的確定(PR00F2 )對(duì)所述設(shè)備(G )肯定地授權(quán)的情況下被應(yīng)用。4.根據(jù)前述權(quán)利要求之一所述的方法， 其特征在于， 給所述允許性信息(ZINFO)添加用于執(zhí)行所述設(shè)備(G)的第二應(yīng)用(APP2)的第二應(yīng)用信息(ANWI2)，其中所述第二應(yīng)用信息(ANWI2)能夠在基于(i)所述簽名(SIGl)的真實(shí)性的肯定的檢查以及(ii )所述證書(ZERT )的允許性根據(jù)所述肯定名單(WL)的否定的確定(PR00F2 )對(duì)所述設(shè)備(G )肯定地授權(quán)的情況下被應(yīng)用。5.根據(jù)前述權(quán)利要求之一所述的方法， 其特征在于， 給所述允許性信息(ZINFO)添加以下實(shí)施參數(shù)(APA)中的至少一個(gè)，其中相應(yīng)的實(shí)施參數(shù)(APA)描述能夠根據(jù)所述證書(ZERT)的哪個(gè)特性來(lái)執(zhí)行所述確定(PR00F2 ): -所述證書的序列號(hào)(PI1); -所述證書的簽發(fā)者(PI4); -所述證書的指紋(PI2); -公開密鑰的指紋(PI3); -所述證書的副本(PI5)。6.用于根據(jù)消息(VMSG)對(duì)設(shè)備(G)授權(quán)的方法，其中所述消息(VMSG)根據(jù)權(quán)利要求1至5之一來(lái)產(chǎn)生， 其特征在于， 如果: (C)所述證書(ZERT)的真實(shí)性的檢查(PROOFl)肯定地被執(zhí)行，以及 (d )所述證書(ZERT )的允許性根據(jù)所述肯定名單(WL)的確定(PR00F2 )肯定地被執(zhí)行， 則所述設(shè)備(G)針對(duì)應(yīng)用第一類別(Kl)的至少一個(gè)應(yīng)用被授權(quán)。7.尤其根據(jù)權(quán)利要求6所述的、用于根據(jù)消息(VMSG)對(duì)設(shè)備(G)授權(quán)的方法，其中所述消息(VMSG)根據(jù)權(quán)利要求1至5之一來(lái)產(chǎn)生， 其特征在于， 如果: (c)所述證書(ZERT)的真實(shí)性的檢查(PR00F1)肯定地被執(zhí)行，以及 (d )所述證書(ZERT )的允許性根據(jù)所述肯定名單(WL)的確定(PR00F2 )否定地被執(zhí)行， 則所述設(shè)備(G)針對(duì)應(yīng)用第二類別(K2)的至少一個(gè)應(yīng)用被授權(quán)。8.根據(jù)權(quán)利要求6和7之一所述的方法， 其特征在于， 所述證書(ZERT)的允許性的確定(PR00F2)至少根據(jù)以下實(shí)施參數(shù)(APA)中的一個(gè)來(lái)執(zhí)行，其中相應(yīng)的實(shí)施參數(shù)(APA)再現(xiàn)所述證書(ZERT)的特性: -所述證書的序列號(hào)(PI1); -所述證書的簽發(fā)者(PI4); -所述證書的指紋(PI2); -公開密鑰的指紋(PI3); -所述證書的副本(PI5)。9.根據(jù)權(quán)利要求6至8之一所述的方法， 其特征在于， 在所述允許性的確定(PR00F2)的范圍中分析有效性信息(GI)，其中所述有效性信息(GI)具有以下參數(shù)中的至少一個(gè)，所述至少一個(gè)參數(shù)表征在所述允許性的確定(PR00F2)中要使用的肯定名單(WL): -所述肯定名單(WL)的允許的簽發(fā)者(ZULA); -所述肯定名單(WL)的最大允許的年齡(MAXG); -所述肯定名單(WL)的應(yīng)用環(huán)境參數(shù)(AUP)， -要使用的肯定名單(WL)的說(shuō)明(REF)。10.消息(VMSG)， 其特征在于 設(shè)備(G)的證書(ZERT)，其中所述證書(ZERT)具有用于所述證書(ZERT)的真實(shí)性的檢查(PR00F1)的簽名(SIG)， 用于所述證書(ZERT )的允許性根據(jù)肯定名單(WL )的確定(PR00F2)的允許性信息(ZINFO)011.根據(jù)權(quán)利要求10所述的消息， 其中所述允許性信息(ZINFO)根據(jù)權(quán)利要求2至5之一來(lái)擴(kuò)建。12.用于產(chǎn)生消息(VMSG)的第一設(shè)備(V0R1)，所述第一設(shè)備具有: -第一單元(Ml)，所述第一單元用于將設(shè)備(G)的證書(ZERT)插入到所述消息(VMSG)中，其中所述證書(ZERT)具有用于所述證書(ZERT)的真實(shí)性的檢查(PR00F1)的簽名(SIG)， -第二單元(M2)，所述第二單元用于添加用于所述證書(ZERT)的允許性根據(jù)肯定名單(WL )的確定(PR00F2 )的允許性信息(ZINFO )。13.根據(jù)權(quán)利要求12所述的第一設(shè)備(VORl)， 其中所述第二單元(M2)被設(shè)計(jì)，使得所述允許性信息(ZINFO)能夠根據(jù)權(quán)利要求2至5之一來(lái)擴(kuò)展。14.用于根據(jù)消息(VMSG)對(duì)設(shè)備(G)授權(quán)的第二設(shè)備(V0R2)，其中所述消息(VMSG)根據(jù)權(quán)利要求1至5之一來(lái)產(chǎn)生，所述第二設(shè)備具有: 第三單元(M3)，所述第三單元用于所述消息(VMSG)的證書(ZERT)的真實(shí)性的檢查(PR00F1)， 第四單元(M4)，所述第四單元用于所述證書(ZERT)的允許性根據(jù)所述肯定名單(WL)的確定(PR00F2)， 第五單元(M5)，所述第五單元用于如果所述檢查(PR00F1)和所述確定(PR00F2)分別是肯定的，則針對(duì)應(yīng)用第一類別(Kl)的至少一個(gè)應(yīng)用對(duì)所述設(shè)備(G)授權(quán)。15.根據(jù)權(quán)利要求14所述的第二設(shè)備(V0R2)， 其中所述第五單元(M5)此外被構(gòu)造用于如果所述檢查(PR00F1)是肯定的并且所述確定(P0RRF2 )是否定的，則針對(duì)應(yīng)用第一類別(KI)的至少一個(gè)應(yīng)用對(duì)所述設(shè)備(G )授權(quán)。16.根據(jù)權(quán)利要求14或15所述的第二設(shè)備(V0R2)， 其中所述第三單元(M3)、所述第四單元(M4)和所述第五單元(M5)此外被構(gòu)造，使得所述允許性信息(ZINFO)的改進(jìn)方案中的至少一個(gè)能夠根據(jù)權(quán)利要求2至5之一來(lái)實(shí)施。
【文檔編號(hào)】H04L9/32GK106031124SQ201480076438
【公開日】2016年10月12日
【申請(qǐng)日】2014年12月8日
【發(fā)明人】R.法爾克, S.弗里斯
【申請(qǐng)人】西門子公司