电话上实现,并且例如不能有效地并行图形卡加速器和具有许多小的并行CPU的主机计算机上执行的方式构成,以便使对密码的所谓字典攻击更困难。PBKDF单向函数的一个示例将是例如用在Wif i系统中的、现今认为弱的PBKDF2标准,或在当前加密竞争期间输入算法建议的密码散列竞争,参见https://password-hashing, net/faq.html (2014年8月访问的)。
[0123]以这种方式计算的私有管理员密钥PRIVATEK_CA然后使用第二算法,实现为相应的公钥PUBLICK_CA = SCALARMULT (RPIVATEK_CA)。在图3中,该算法称为标量乘法(SCALARMULT),该术语通常结合椭圆曲线算法使用。参考基于由椭圆曲线限定的点集的数学运算。在该点集中,选择所谓的基点BP。椭圆曲线的特征在于椭圆曲线上的两个点之间存在链接,称为“点相加(point addit1n) ”,结果两个点的相加也是椭圆曲线上的点的事实。在该上下文中,基点与标量η的“标量乘法”对应于重复基点ΒΡ的相加η次的过程。结果是椭圆曲线上的点的坐标,并且该点的坐标的编码产生公钥。在图3的情况下,通过标量数形成私钥PRIVATEK_CA,以及通过编码椭圆曲线PUBLICK_CA上的点坐标形成公钥。
[0124]对根据本发明的方法保存的密钥,有利的是,它们具有确定通过使用系统地试验密钥的所谓的“强制”算法,破坏该密钥所需的算术运算的平均数的高水平的数据熵。为此,对于具有高安全性的应用基于例如256位长度的随机数,而不是基于潜在的弱密码,来生成密钥是可取的。在这种情况下,还基于不必具有有意高数值复杂度,如PBKDF函数的加密HASH算法执行密钥PRIVATEK_CA。在一个有利实施例中,安全策略P的规则R要求使用最小密码强度。
[0125]专家还将考虑除使用椭圆曲线外的等效方法,例如基于RSA和DAS。在DSA的情况下,例如,将由素数集上的数的增强代替标量乘法运算。在RSA的情况下,专家将增加素数搜索的另外的步骤,因为PBKDF函数的结果通常不是素数,而RSA需要素数来用于其私钥。
[0126]图5示出基于所生成的密钥对,如何能生成设备相关和用户相关解锁密钥ULK。
[0127]为此目的,管理员首先生成包含描述用户0P或移动设备Μ的所有信息,例如以XML或DER数据格式(来自X.509标准家族)的数据字段DB。然后,下一步骤将是使用用于该数据字段DB的签名生成单元,计算数字签名DS。该过程要求私有管理员密钥。除PC程序,所谓的WEB应用外,安全加密狗是可接受的选择,即,例如可以添加到计算机单元的USB接口的加密协同处理器。具有已经计算的相应的签名字段DS的数据字段的组合产生解锁密钥 ULKo
[0128]就它们的原理而言,用户相关和设备相关解锁密钥ULK仅关于在数据字段DB中保存的信息不同。因此,设备相关解锁密钥应当包括信息,诸如移动设备Μ的序列号、物品编号等等,而用户相关解锁密钥包括名称、个人数据等等(见上文)。
[0129]优选地,解锁密钥ULK的数据字段还包括允许验证用户0Ρ和/或移动设备Μ的认证的单个数据字段。作为一个示例,建议将移动设备Μ和/或用户0Ρ的公钥保存在如图3所示导出的数据字段DB中。
[0130]这用来后续允许现场设备FD检查移动设备Μ和用户0Ρ的可靠性,而无需将用户密码或密钥以明文传送到移动设备Μ再传送到现场设备。
[0131]图5b示出可能如何准许用户生成有效解锁密钥ULK的权限,而不为他们提供有关管理员CA的私钥的信息。
[0132]为此目的,管理员CA创建用于次级管理员SUBADMIN的相应的解锁密钥ULK,其数据字段DB包括授权次级管理员SUBADMIN生成解锁密钥ULK的个人数据字段。次级管理员SUBADMIN的该解锁密钥ULK还包括次级管理员SUBADMIN的公钥。次级管理员SUBADMIN现在可以生成用于新解锁密钥ULK的数据字段并且使用他/她的私钥对其签名。与由中央管理员CA生成的解锁密钥ULK相比,次级管理员SUBADMIN将他/她自己的解锁密钥添加到他/她生成的解锁密钥,然后经中央管理员CA的签名,将他/她识别为授权的次级管理员。
[0133]现在,现场设备FD首先能使用中央管理员CA的签名,确定是否由中央管理员CA授权次级管理员SUBADMIN自己生成解锁密钥。然后,现场设备FD可以进行到检查所呈现的解锁码是否已经由次级管理员SUBADMIN实际签名。
[0134]图4示出所述的信息如何传送到现场设备。经现场总线接口、存储介质,诸如存储卡或记忆棒的交换或经移动设备Μ的接口或任何其他通信信道,完成如图4a所示,将安全策略P传送到现场设备FD。图4b示出信息,诸如签名的黑名单条目(见下文)或解锁密钥ULK如何达到现场设备。能看出以解锁密钥的形式,将认证信息保存为解锁密钥ULK尤其允许用户0P或移动设备Μ自主地提供它们登录到现场设备FD本身所需的所有信息。例如,用户将用于他/她本人的解锁密钥ULK接收为在打印文档上保存的图形码,然后用他/她的移动设备Μ读取它,并且经接口 3,使用移动设备Μ,将它传送到现场设备FD。该过程仅要求管理员CA做出生成解锁密钥ULK的贡献。管理员CA不必物理地访问现场设备本身来将用户0Ρ的认证数据输入到现场设备FD中,例如通过将其添加到现场设备FD的认证用户的列表。用户0Ρ他/她本身现在反而通过在解锁密钥ULK中保存的信息,物理访问现场设备,即,该人具有访问权限。新用户的解锁密钥ULK在这种情况下在移动设备Μ上可用,并且可以使得例如经移动设备Μ的照相机可用,如果需要的话,并且当需要时,传送到现场设备FD。
[0135]图6示出认证过程如何在现场设备FD上进行。图6a示出所涉及的单元,而图6b示出各个步骤。
[0136]在其存储器中,现场设备保持对设施A有效的安全策略P。在该安全策略P中,找到应用的规则R。那些规则R将由移动设备Μ和/或用户0Ρ呈现的解锁密钥ULK和它们的组合指定为准许访问。
[0137]在第一步骤中,现场设备FD因此分析规则R并且如果需要,要求从移动设备Μ传送在此所述的解锁密钥ULK。如果不传送,现场设备FD中断认证过程。这对规则R中可能要求的用户0Ρ的解锁码ULK也同样成立。
[0138]一旦传送所有所需的解锁密钥ULK,现场设备在其签名验证单元中,检查由设施管理员CA直接或间接签名该解锁密钥ULK。如果签名无效,利用错误消息,中断该认证过程。
[0139]接着,可以使用验证有效的解锁密钥ULK来认证移动设备Μ和用户0Ρ。可以在解锁密钥ULK的数据字段中保存的信息,例如在此所保存的移动设备Μ的公钥和/或用户0Ρ的公钥的基础上进行认证。以现场设备FD生成随机数CHALLENGE并且请求移动设备和/或用户0P使用移动设备Μ和/或用户0Ρ的密钥,签名该随机数的方式,完成该认证检查。
[0140]为此目的,将随机数CHALLENGE传送到移动设备Μ和用户0Ρ,例如,经移动设备Μ的显示器上的用户导航,请求输入他/她的私密密码。移动设备Μ将执行图3b中所示的操作来确定私钥PRIVATEKJJSER,使用用户的私钥PRIVATEKJJSER,经在数据字段中保存的随机数CHALLENGE,计算数字签名并且将签名的结果传送到现场设备FD。然后,经签名验证,在现场设备FD上完成认证,在签名验证期间,利用其相应的公钥已经在字段PUBLICK_USER中被保存在用户的解锁密钥ULK中的私钥,检查是否经在数据字段中保存的随机数CHALLENGE导出该签名。
[0141]对设备相关的解锁密钥ULK,完成该相应的过程,在这种情况下,不由密码导出移动设备的私钥,而是保存在移动设备Μ上的适当的永久存储媒体上。
[0142]在一个有利实施例中,现场设备FD具有用于存储黑名单条目(也称为黑名单或否定列表)的存储器。以与用于解锁密钥ULK相同的方式,完成如图7所示的检查用于黑名单条目的签名。通过产生这样的黑名单中的项,管理员CA随后撤消已经经解锁密钥ULK准许的访冋。
[0143]图7示出如何使用为解锁密钥描述的机制来签名其他信息,例如包含待阻止的用户0Ρ和/或他们的移动设备Μ的列表的数据字段DB。
[0144]在一个有利实施例中,设施Α具有至少一个数据库服务器,具有所有有效解锁密钥ULK和当前有效黑名单的最新列表。可选地,该数据库服务器具有可靠地将当前的日期时间传送到所连接的移动设备Μ或现场设备FD的服务(例如,如上所述,由数字签名保护)。
[0145]在一个有利实施例中,移动设备Μ具有与该数据库服务器的数据连接(见图9)。这例如以移动设备Μ—方面维持与现场设备FD的蓝牙连接,同时维持与数据库服务器的连接,例如,经WiFi或移动无线电标准,诸如UMTS的方式完成。
[0146]对具有与以太网、WiFi或互联网接口的自己的直接链接的现场设备FD,也会直接实施数据库服务器的访问,而不涉及移动设备M。在该实施例中,可以简化如图4b所示的传送解锁密钥ULK的过程,尽管在这种情况下,设施操作员本人负责中央数据库的管理和可用性。
[0147]在一个有利实施例中,现场设备FD具有保存授权用户或移动设备的解锁密钥ULK的永久存储器,只要已经在现场设备FD上成功地认证。然后用户/移动设备为现场设备“已知”。本地永久存储器的优点在于即使中央数据库服务器故障,至少对已经“已知”的用户和移动设备,认证仍然是可能的。
[0148]在一个实施例中,传送诸如解锁密钥ULK的信息,因此,在现场设备上认证设备或用户的上述方法可以在另一安全性相关步骤之前。
[0149]在该在前步骤中,第一设备Μ和第二设备FD之间的连接首先是防窃听的。在第一进一步发展中,这可以经使用密钥,可能是暂时的会话密钥的对称加密来实现。为生成这种私密会话密钥,使用Diffie-Hellman密钥交换方法,尤其是使用椭圆曲线是有利的。当使用无线电连接时,增加这样的附加步骤尤其有利,因为以这种方式,能防止解锁密钥ULK的传送被攻击者窃听。
[0150]通常,用于认证的密钥和会话密钥是不同的。
[0151]可以使用在安全策略P中存储的规则,以这样的方式调整设施A,使得一旦移动设备Μ已经被拒绝,在同一移动设备Μ可以再次请求访问之前,必须经过一定时间,例如,几分钟或更长。
[0152]如果将新用户0Ρ或新移动设备Μ添加到设施Α,或如果现有用户0Ρ或移动设备Μ的权限改变,足以生成新解锁码U