通过交换站对第一设备进行认证的制作方法
【技术领域】
[0001]本发明涉及用于在网络内通过交换站对第一设备进行认证的方法、第一设备和交换站。
【背景技术】
[0002]为了获得对物理网络的访问,想要获得访问的设备通过上级实体被认证。认证经常借助标准IEEE 802.1X发生,其中所述认证通常通过有IEEE 802.1X能力的交换机实现,所述设备连接在所述交换机的端口上。在此情况下,通过MAC地址(Media AccessControl-Adresse (媒体访问控制地址))来实现对设备的标识。一旦交换机在端口处检测到未知的MAC地址,或物理连接被中断,则所属的设备必须重新被鉴权,或者说所述设备必须通过交换机被重新认证。
[0003]虚拟化解决方案日益增加地不仅被使用在服务器环境中,而且被使用在客户端领域中。这导致,客户端设备除了物理网络接口之外,还拥有带有附加MAC地址的虚拟接口。
[0004]由现有技术已知了有IEEE 802.1X能力的交换机,其支持所谓的多主机认证(Multihost-Authentificat1n)ο在此情况下,仅认证第一访问。连接在交换机的同一端口上的虚拟网络接口或者所有其他设备不必附加地被鉴权。
[0005]此外,由现有技术已知有IEEE 802.1X能力的交换机,其支持所谓的多域认证(Mult1-Domain-Authentificat1n)ο在此情况下,每个设备或者每个网络接口(也为虚拟网络接口)必须重新鉴权,因为在物理网络上可见的虚拟MAC地址对于交换机是未知的。
[0006]类似的在自动化环境中适用!Profinet设备除了 MAC地址以外每个网络接口地还附加地具有设备特定的MAC地址。
【发明内容】
[0007]以此为背景,本发明的任务在于:实现在网络内的简化的认证过程的可能性,其中考虑通过使用附加的网络接口所形成的请求。
[0008]该任务通过根据在独立权利要求中说明的特征的方法、第一设备和交换站被解决。
[0009]有利的实施方式和改进方案在从属权利要求中得以说明。
[0010]下面所提及的优点不必必然地通过独立权利要求的主题实现。更确切地说,这里也可以涉及仅通过各个实施方式或改进方案所实现的优点。
[0011]根据本发明,用于在网络内通过交换站对第一设备进行认证的方法具有以下步骤:
第一设备在数据结构的身份区域中将第一标识符传送给交换站。第一设备在数据结构的扩展的身份区域中将至少一个附加的标识符传送给交换站。交换站根据所传送的第一标识符和所传送的附加的标识符认证第一设备。
[0012]按照所描述的方法通过交换站被认证的设备补充地说明:应该针对哪些网络接口附加地进行认证。因此,第一设备在网络内基于其物理网络接口仅须鉴权一次。同时,通过第一设备说明:应该针对哪些附加的网络接口同样地进行认证。
[0013]然而,从而保证:其他设备或其虚拟网络接口(其连接到交换机的同一端口上)必须如所期望的那样被鉴权。因此每个设备在一次性认证过程中进行认证,其中,授权从多个网络接口对网络的访问。
[0014]按照一种实施方式,第一设备传送属于物理网络接口的第一媒体访问控制地址作为第一标识符并且传送属于虚拟网络接口的附加的媒体访问控制地址或者属于物理网络接口的第二媒体访问控制地址作为附加的标识符。
[0015]在此,通过MAC地址指定网络接口。因此,属于虚拟网络接口的MAC地址以及除第一 MAC地址之外被分配给物理网络接口的第二 MAC地址可以一同被包含到认证过程中。
[0016]按照一种实施方式,数据结构被构成为证书,其中在扩展的身份区域中借助占位符说明至少一个附加的媒体访问控制地址。
[0017]因此,可以在证书中借助带有占位符的项来说明一定的地址区域,其中应该针对所述地址区域执行认证。因此,当前部地址部分未关于占位符在前部地址部分中的使用而被指定时,例如可以针对确定结尾的所有地址进行标识。但是也可以例如使总共六个字节的最初三个字节作为制造者标识符保持固定,而使另外的可由制造者自由选择的三个字节针对附加的MAC地址改变。在此,尤其是最后的字节可以包含设备版本,并且通过占位符而包括有大量设备版本。在这里,包括自确定的建造年份起的设备的占位符是可设想的。
[0018]按照一种实施方式,至少一个附加的媒体访问控制地址通过以下方式产生,即在媒体访问控制地址内的制造者标识符借助于掩码被代替。
[0019]以下MAC地址结构是可设想的:其中通过覆写在MAC地址的六个字节的最初三个字节中的制造者标识号码而产生虚拟MAC地址。最后的三个字节是特定于物理网卡的,并且被用作用于标识的基础。在配置期间,MAC地址的各个字节、尤其是制造者字节借助掩码是可覆写的。
[0020]按照一种改进方案,数据结构被构成为证书,其中在扩展的身份区域中,因特网协议地址作为附加的标识符被传送,所述因特网协议地址对应于附加的媒体访问控制地址。
[0021]如果MAC地址应该是因特网协议版本6-地址(IPv6地址)的组成部分,则可以作为附加的标识符针对每个附加的虚拟网络接口在证书中说明IP地址。
[0022]按照一种改进方案,数据结构被构造为设备证书或者属性证书。
[0023]通过使用按照标准RFC 5280的设备证书、尤其是X.509设备证书,可以在扩展的标识符中说明作为附加的标识符被传送的所有可替代的身份,其中直接给出对设备的分配,所述设备借助设备证书被鉴权。
[0024]如果传送在属性证书的扩展的身份区域中的附加的标识符,则能够在设备的生产期间签发证书,其中MAC地址被存储在所述证书中,并且稍后在设备运行期间对这些MAC地址补充其他的虚拟地址,而与是否需要和需要多少无关。因此,可以良好地分离生产和稍后的使用。
[0025]按照一种改进方案,数据结构被构造为设备证书或属性证书,其通过可靠的证明实体的签名被保护免受操纵。
[0026]由此,在对虚拟网络接口或物理网络接口和其各自的地址的认证时保证了高的安全标准。
[0027]按照另一实施方式,在根据上述实施方式或改进方案之一的方法步骤中在网络内通过交换站对至少一个第二设备进行认证。
[0028]如果在网络中存在两个或者更多设备,所述设备为了对网络访问的目的而鉴权,则认证方法针对在网络内的每个设备单独地进行。认证方法对于每个物理设备或者每个物理网络接口被执行。
[0029]按照一种改进方案,在通过交换站对第一设备进行成功认证之后,通过交换站允许第一设备对网络访问。由此确保:仅当事先已经历根据上述实施方式或者改进方案之一的认证方法并且设备已被认证时,该设备通过网络接口对网络的访问才是可能的。
[0030]按照一种改进方案,在通过交换站对第二设备进行成功认证之后,通过交换站允许第二设备对网络访问。
[0031]因此,对于每个设备实现授权步骤,其允许授权的设备对网络访问。因此,在一次性认证过程中许可设备通过多个网络接口或地址对网络访问,而不需多次认证。然而,如果设备相继地被接通,则进行这些设备的单独的认证和相应地进行单独的授权,使得对于每个设备规定单独认证和授权的安全标准能够得以遵守。
[0032]根据本发明的另一方面,实现第一设备,用于在网络内认证,其中第一设备在数据结构的身份区域中将第一标识符传输给交换站,并且其中第一设备在数据结构的扩展的身份区域中将至少一个附加的标识符传送给交换站。
[0033]按照本发明的另一方面,实现交换站,其中该交换站根据由第一设备传送的第一标识符和至少一个由第一设备传送的附加的标识符对第一设备进行鉴权。
【附图说明】
[0034]下面,利用实施例根据图进一步阐述本发明。其中:
图1示出按照本发明方法的实施例用于认证的方法步骤和主要组件的示意性布置;
图2示出按照本发明实施例的数据结构的示意图。
【具体实施方式】
[0035]图1示出本发明的实施例,其中在工业自动化设备的网络400中,第一设备100和第二设备200相继地接通,并且连接到交换站的共同端口上,所述交换站在本例中通过交换机300实现。在这样的线性拓扑中期望:第一设备100以及第二设备200被单独地认证。
[0036]在第一步骤SI中,第一设备100试图以第一媒体访问控制地址(MAC地址)111对网络400进行访问,其中所述第一媒体访问控制地址111指定第一设备100的物理网络接口。第一 MAC地址111还未在交换机300处被认证,并且交换机300在第二步骤S2中发送用于鉴权的请求。为此,第一设备100在第三步骤S3中在数据结构的身份区域510中将第一标识符传送给交换机300,其中所述数据结构在这里通过证书500实现并且示意性地在图2中示出。此外,第一设备100在扩展的身份区域520中说明三个附加的标识符112、
121,122ο
[0037]至物理网络接口的MAC地址可以被划分为三个地址区域,其中前部地址区域代表制造者和设备的标志、中部地址区域将网络接口表明为物理网络接口,以及后部地址区域对于每个物理网络接口和每个设备分别表明不同的MAC地址。
[0038]虚拟网络接口相应地拥有带有作为虚拟网络接口的标记的中部地址区域,前部地址区域又代表制造者,并且后部地址区域又对于每个设备表明各自的虚拟网络接口。
[0039]形式为 00-30-05-5A-DB-A0
的MAC地址由六个字节组成,其中最初的三个字节