借助于肯定名单来使用证书的制作方法

借助于肯定名单来使用证书的制作方法
【专利摘要】本发明涉及用于借助于肯定名单（WL）来使用证书（ZERT）的方法和设备。在这种情况下基于消息（VMSG），其中所述消息（VMSG）包括设备（G）的证书（ZERT），所述证书（ZERT）具有用于证书（ZERT）的真实性的检查（PROOF1）的签名（SIG）和用于证书（ZERT）的允许性根据肯定名单（WL）的确定（PROOF2）的允许性信息（ZINFO），根据所述检查以及所述确定来实施对所述设备（G）的授权。本发明可以被用于工业或医学环境中。
【专利说明】
借助于肯定名单来使用证书
技术领域
[0001]本发明涉及用于借助于肯定名单来使用证书的方法和设备。
【背景技术】
[0002]对自动化设施的也作为黑客攻击已知的恶意攻击近来显著增加。因此，特定的数字证书被用于设备、如制造机器人或控制设备，以便可以针对这些设备执行鉴权。该鉴权例如保证:仅仅肯定地被鉴权的设备可以在自动化设施中被运行。同样，人员相关的数字证书也可以被用在工业环境中，例如以便向技术员释放维护访问。
[0003]根据文献[I]，“数字证书[…]是数字数据集，所述数字数据集证实人员或对象的确定的特性并且所述数字数据集的真实性以及完整性可以通过密码方法来检验。数据证书尤其包含用于其检验所需要的数据。”
此外，根据文献[2]，“属性证书[…]是一种数字证书并且表示确定的数字信息(属性)和另外的因此被属性化(attributiert)的数字证书之间的由值得信任的权威数字签名的结合。”文献[2]进一步阐明:“属性证书[…]典型地标明如下特性，所述特性更详细地表征要么证书本身要么人员”。
[0004]从文献[3]中已知限制数字证书的有效性的另一可能性。在那里提出在鉴权例程的范围中也相对于白名单(=用英文white list或certificate white list)的数字证书。也被称为肯定名单的白名单表明:要鉴权的数字证书是否可以由要鉴权的单元来鉴权。因此，鉴权的单元可以在肯定名单里搜索如下条目，所述条目指明要鉴权的数字证书或者对其的引用。如果所述条目被找到，则进行鉴权，否则该鉴权被停止。
[0005]现有技术中的一个缺点是，是否基于肯定名单来进行数字证书的也被称为证书确认的鉴权或者有效性检验是不清楚的。另一方面，鉴权的单元已经可以基于当前的证书在不检验肯定名单的情况下肯定地执行设备的鉴权，尽管证书借助于肯定名单的附加的检验将是必需的，例如因为设备只能在预先确定的环境中被运行。

【发明内容】

[0006]因此，任务在于说明方法和设备，所述设备允许在使用数字证书的情况下安全性的提尚。
[0007]该任务通过从属权利要求的特征来解决。本发明的改进方案可以从从属权利要求获悉。
[0008]本发明涉及用于产生消息的方法，其中该消息包括设备G的证书并且该证书具有用于检查证书的真实性的签名，
其特征在于，
给该消息添加用于证书的允许性根据肯定名单的确定的允许性信息。
[0009]本发明示出如下优点:在借助于消息对设备授权时除了签名之外也确定:证书是否存在于肯定名单上。由此在对设备授权时的安全性通过如下方式被提高:不仅证书根据签名的检查而且允许性的确定必须被执行。执行不仅所述检查而且所述确定的“强制”通过消息来控制并且因此不随机地依赖于用于授权的单元除了证书的签名的检查之外是否也执行证书根据肯定名单的确定。因此避免:如果虽然签名的检查是肯定的但是根据肯定名单的确定不发生，则授权是成功的。此外，授权的安全性还通过如下方式被提高:对于设备来说在通知授权时清楚的是，不仅所述检查而且所述确定被执行并且是肯定的。
[0010]在一个示例中，消息可以具有收信人字段、证书和允许性信息。在另一示例中，消息包括证书和允许性信息。此外，允许性信息可以与证书分离地或者作为证书的一部分被布置在消息中。在后一种情况下消息也可以描述新的证书。
[0011]在一种改进方案中，给允许性信息添加有效性信息，其中有效性信息具有以下参数中的至少一个，所述至少一个参数表征在允许性的确定中要使用的肯定名单WL:
-肯定名单的允许的签发者；
-肯定名单的最大允许的年龄；
-肯定名单的应用环境参数AUP;
-要使用的肯定名单的说明REF。
[0012]通过使用此类型的允许性信息来进一步提高在对设备授权时的安全性，因为通过有效性信息限制可以被用于所述确定的肯定名单的数量。必要时在限制之后不存在用于确定的肯定名单，使得授权失败或者仅仅具有低安全等级的设备的授权被允许。
[0013]在本发明的一种有利的改进方案中，给允许性信息添加用于执行G的第一应用的第一应用信息，其中第一应用信息可以在基于(i)签名的真实性的肯定的检查以及(ii)证书的允许性根据肯定名单的肯定的确定对设备肯定地授权的情况下被应用。由此可以给设备分配由于肯定的授权而允许的行为方式、即应用。因此安全性通过如下方式被提高:根据授权给设备分配第一应用、即第一类别的至少一个应用。
[0014]在本发明的一种有利的改进方案中，给允许性信息添加用于执行设备的第二应用的第二应用信息，其中第二应用信息可以在基于(i)签名的真实性的肯定的检查以及(ii)证书的允许性根据肯定名单的否定的确定对设备肯定地授权的情况下被应用。因此，安全性通过如下方式被提高:根据所述检查以及确定给设备分配第二应用、即第二类别的至少一个应用，其中可以考虑低安全等级的应用作为第二类别的应用。
[0015]在本发明的一种改进方案中，给允许性信息添加以下实施参数中的至少一个，其中相应的实施参数描述可以根据证书的哪个特性来执行所述确定:
-证书的序列号；
-证书的签发者；
-证书的指纹；
-公开密钥的指纹；
-证书的副本PI5。
[0016]由此在授权时的安全性可以进一步被提高，因为消息可以明确地通知执行所述确定的单元:所述单元应当或者可以将实施参数中的哪个用于实施所述确定。
[0017]本发明还涉及用于根据消息对设备授权的方法，其中消息可以根据之前所描述的步骤中的一个来产生，其中如果
(a)证书的真实性的检查肯定地被执行，以及 (b )证书ZERT的允许性根据肯定名单的确定肯定地被执行，
则所述设备针对应用第一类别的至少一个应用被授权。
[0018]本发明示出如下优点:在借助于消息对设备授权时除了签名之外也确定:证书是否存在于肯定名单上。由此在对设备授权时的安全性通过如下方式被提高:不仅证书根据签名的检查而且允许性的确定必须被执行。执行不仅所述检查而且所述确定的“强制”通过消息来控制并且因此不随机地依赖于用于授权的单元除了证书的签名的检查之外是否也执行证书根据肯定名单的确定。因此避免:如果虽然签名的检查是肯定的但是根据肯定名单的确定不发生，则授权是成功的。此外，授权的安全性还通过如下方式被提高:对于设备来说在通知授权时清楚的是，不仅所述检查而且所述确定被执行并且是肯定的。
[0019]本发明此外涉及尤其根据之前所描述的方法的、用于根据消息对设备授权的方法，其中消息VMSG可以根据之前所描述的步骤中的一个来产生，其中如果
(a)证书的真实性的检查肯定地被执行，以及 (b )证书的允许性根据肯定名单的确定否定地被执行，
则所述设备针对应用第二类别的至少一个应用被授权。
[0020]在这种情况下除了之前所描述的优点之外有利的是，在否定的确定的情况下授权不是强制性地失败，而是也存在具有低安全等级的授权的可能性，即设备不可以执行安全关键的应用或者参与安全关键的应用。因此，设备例如可以执行更新，但是本身不与其它设备参与制造的执行。
[0021]在一种有利的改进方案中，证书的允许性的确定至少根据以下实施参数中的一个来执行，其中相应的实施参数再现证书的特性:
-证书的序列号；
-证书的签发者；
-证书的指纹；
-公开密钥的指纹；
-证书的副本。
[0022]由此在授权时的安全性可以进一步被提高，因为消息可以明确地通知执行所述确定的单元:所述单元应当或者可以将实施参数中的哪个用于实施所述确定。
[0023]在本发明的一种改进方案中，可以在允许性的确定的范围中分析有效性信息，其中有效性信息具有以下参数中的至少一个，所述至少一个参数表征在允许性的确定中要使用的肯定名单:
-肯定名单的允许的签发者；
-肯定名单的最大允许的年龄MAXG;
-肯定名单的应用环境参数(AUP);
-要使用的肯定名单的说明REF。
[0024]通过使用此类型的允许性信息，在对设备授权时的安全性进一步被提高，因为通过有效性信息限制可以被用于所述确定的肯定名单的数量。必要时在限制之后不存在用于所述确定的肯定名单，使得授权失败或者仅仅具有低安全等级的设备的授权被允许。
[0025]此外，本发明涉及如下消息，所述消息包括设备的证书，其中证书具有用于证书ZERT的真实性的检查的签名、和用于证书的允许性根据肯定名单的确定的允许性信息。此夕卜，所述消息可以根据用于产生所述消息的步骤中的一个来构建。
[0026]所述消息的优点可以从相应的上面所示出的用于产生所述消息的实施方案获悉。
[0027]本发明还涉及用于产生消息的第一设备，所述第一设备具有:
-第一单元，所述第一单元用于将设备的证书插入到所述消息中，其中所述证书ZERT具有用于所述证书的真实性的检查的签名SIG，
-第二单元，所述第二单元用于添加用于证书的允许性根据肯定名单的确定的允许性?目息O
[0028]第二单元此外可以被设计，使得允许性信息能够根据所示出的用于产生所述消息的实施方案中的一个被扩展。
[0029]关于第一设备的优点与相应的上面所示出的用于产生消息的实施方案一致。
[0030]此外，本发明还涉及用于根据消息对设备授权的第二设备，其中所述消息可以根据之前所描述的步骤中的一个来产生，所述第二设备具有用于所述消息VMSG的证书的真实性的检查的第三单元、用于所述证书的允许性根据肯定名单的确定的第四单元、和第五单元，所述第五单元用于如果所述检查以及所述确定分别是肯定的，则针对应用第一类型Kl的至少一个应用对所述设备授权。
[0031]此外，第五单元可以被构造用于如果所述检查是肯定的并且所述确定是否定的，则针对应用第一类型的至少一个应用对所述设备授权。
[0032]此外，第三单元、第四单元和第五单元可以被构造，使得允许性信息的改进方案中的至少一个能够根据所示出的方法来实施。
[0033]关于相应的第二设备的优点与相应的上面所示出的用于消息的授权的实施方案一致。
【附图说明】
[0034]根据附图更详细地解释本发明及其改进方案。详细地:
图1示出消息从设备到检查单元的传送；
图2示出包括证书和允许性信息的消息的构造；
图3示出作为消息的允许性信息的一部分的有效性信息；
图4示出用于产生消息的流程图和第一设备；
图5示出用于借助于消息对设备授权的流程图和第二设备；
图6示出根据ASN.1标准所编码的证书。
[0035]具有相同的功能和作用方式的元件在图中配备相同的附图标记。
【具体实施方式】
[0036]在本发明的第一实施例中在用于污水净化的工业设施中有缺陷的栗应当被替换并且在内连到污水净化设施的控制通信中之前被授权。为此，维修技术员装配新的栗G来代替有缺陷的栗。在随后也被称为设备G的新的栗已被连接到电网上之后，该栗产生消息VMSG，其中消息VMSG包括栗G的证书，参见图1和2。证书ZERT在其侧具有至少一个签名SIG，其中根据签名SIG可以执行证书ZERT的真实性或者有效性的检查PR00F1。
[0037]此外消息VMSG以补充栗G的消息的方式包括具有允许性信息ZINFO的消息VMSGj许性信息ZINFO具有如下目的:以此通知检查单元Z除了检查签名SIG之外也应当执行证书ZERT的允许性根据肯定名单WL的确定。允许性信息优选地被包含在栗G的证书中。然而，也可能的是，允许性信息被包含在消息VMSG的其它部分中。
[0038]栗G的证书例如可以是由栗的制造者所签发的设备证书、栗G的自己签名的证书或由污水净化设施的运营商针对栗所签发的并且在栗的安装之前在栗G上所配置的证书。也可能的是，在栗G开始运转时栗首先创建证书请求消息并且将该证书请求消息发出，以便请求针对栗G的在污水净化设施中有效的证书。污水净化设施的证书服务器于是可以给栗G提供证书，所述证书包括允许性信息。该证书于是可以如上面所描述的那样由栗G用于与检查单元Z的通信。
[0039]图2示范性地示出消息VMSG。该消息具有签名SIG和针对允许性信息ZINFO的一个或多个说明。在第一实施例中，允许性信息仅仅具有指示信号FLG，其中指示信号FLG表明:除了检查之外也应当借助于证书ZERT的允许性根据肯定名单WL的确定PR00F2来检验证书ZERT0
[0040]也作为白名单(whitelist)已知的肯定名单WL表示一个或多个条目的汇编，其中相应的条目可以针对特定的证书被构造。证书的允许性根据肯定名单的确定一般意味着:检查证书本身或者证书的所导出的信息或者能够分配给证书的信息是否存在于肯定名单中。如果在肯定名单中针对要检查的证书不能找到条目，则所述确定是否定的，否则是肯定的。肯定名单WL可以由上级的实体提供给检查单元Z并且在该示例中包括设备的证书的名单，所述证书完全只能在所述工业设施中、即在该特殊的环境中肯定地被验证。
[0041 ]在当前的第一实施例中，证书ZERT的签名SIG借助于对证书ZERT的真实性的检查PR00F1来肯定地检验。证书的允许性根据肯定名单WL的确定PR00F2得出:证书ZERT被存放在肯定名单WL中并且因此第二检查PR00F2也是肯定的。因为不仅第一检查PR00F1而且第二检查PR00F2是肯定的，所以栗G被允许在所述工业设施中使用。这随后借助于应答消息RMSG来通知栗G。因此，栗G针对应用第一类别Kl的应用被授权。因此，栗G可以例如从控制计算机以防止操纵的方式接收控制数据、例如用于激活或去激活所述栗的控制命令。在另一示例中，栗例如可以以受保护的方式给污水净化设施的诊断服务器提供诊断数据。
[0042]除了借助于指示信号FLG来通知检查单元Z不仅应当执行检查PR00F1而且应当执行确定PR00F2的可能性之外，还可以给予检查单元Z有效性信息GI，所述有效性信息促使检查单元Z在所述确定的范围中验证肯定名单WL的有效性，参见图3。为此，有效性信息GI例如可以具有以下参数中的一个或多个:
-肯定名单WL的允许的签发者ZULA:
由此表明:在证书ZERT的允许性的确定中只能利用如下那些肯定名单WL，所述肯定名单已由一个或多个通过有效性信息被定义为允许的签发者创建，例如栗的证书必须被记录在西门子公司的肯定名单上或者被记录在污水净化设施的运营商的肯定名单上。
[0043]-肯定名单WL的最大允许的年龄MAXG:
在这种情况下确定所述确定PR00F2所基于的肯定名单WL多大年龄。最大允许的年龄MAXG例如表明5周的时间段。多个可能的要用于确定允许性的肯定名单中的一个已经在6周前被产生。因此，该肯定名单在所述确定的范围中不再被使用，因为该肯定名单的年龄大于5个月。
[0044]-肯定名单WL的应用环境参数AUP:
消息VMSG可以在这种情况下表明关于设备G的使用场所或者环境的信息。例如在连接到电网上之后给栗G分派了确定的域的IP地址、例如192.168.180.X。应用环境参数AUP被设定为192.168.180.X。在针对允许性的确定选择一个或多个肯定名单WL的情况下通过检查单元Z来检验:相应的肯定名单是否对于相应的应用环境参数AUP来说是允许的。例如，第一肯定名单仅对于168.180.180.X的应用环境参数来说是允许的并且第二肯定名单对于应用环境参数168.178.180.X来说是允许的。因此，通过允许性的确定仅仅第二肯定名单被用于允许性的检验。应用环境参数AUP—般描述一个或多个特定的特性，所述特性更详细地描述在栗G的当前情况下设备的使用场所。除了 IP地址之外，这也可以是围绕所述设备的另外的设备的温度、空气湿度、特定的特性、如MAC地址或IP地址，或者也可以是来自无线电数据的信息、如无线WLAN(WLAN - Wireless Local Area Network(无线局域网))、网络或基于GPS的方位信息(GPS - Global Posit1ning System(全球定位系统))的识别特征。
[0045]在第一实施例的扩展方案中，还可以给允许性信息ZINFO添加用于执行设备G的第一应用APPl的第一应用信息ANWIl。该应用信息AUTHl表明:如果不仅检查PR00F1而且允许性的确定PR00F2是肯定的，则设备G可以执行哪个应用或者哪些应用APPl。例如，栗在此情况下也可以在工业设施的关键区域中、例如在栗必须抽吸非常热以及非常冷的介质的区域中被运行。因此可以借助于第一应用APPl的说明来表明:栗可以在工业设施的哪些区域中被使用。因此，证书的针对第一应用的允许性被确定。
[0046]在所述示例的一种改进方案中可以通过用于执行一个或多个第二应用APP2的第二应用信息ANWI2来补充允许性信息ZINF0。在这种情况下说明:如果检查PR00F1是肯定的并且允许性的确定PR00F2是否定的，则所述设备可以执行哪些任务或者应用。这意味着，虽然证书的签名是有效的，然而证书(或对证书的引用)在检查单元Z的有效的肯定名单上不能访问。可能的第二应用APP2可以在此情况下被构成，使得栗G不可以在工业设施中被使用。在另一设计方案中可以给栗G传输仅仅非关键任务、诸如用于在例如10至25°C的非关键温度范围中抽吸介质。此外，第二应用的一种设计方案可以被执行，使得栗虽然可以参与与一个或多个相邻的设备以及检查单元的通信，然而本身不可以抽吸介质。
[0047]消息VMSG的产生根据图4来更详细地解释。该图示出4个步骤S0，-_，S3，所述步骤表示用于产生的流程图。此外，图4也体现具有用于执行用于创建消息的步骤的第一单元Ml和第二单元M2的第一设备VORl。
[0048]在步骤SO中，流程图开始。
[0049]在通过第一单元Ml来实现的第一步骤SI中，产生包括至少一个签名SIG的证书。
[0050]在第二步骤S2中，给消息VMSG添加允许性信息ZINF0。第二步骤S2通过第二单元M2来实施。将允许性信息ZINFO添加到消息VMSG尤其可以通过以下方式来进行:给消息ZINFO添加包括允许性信息的证书。
[0051]根据图2的流程图在第三步骤S3中被终止。
[0052]在另一实施例中，用于根据消息VMSG对栗授权的特定步骤应当借助于图5来更详细地解释。图5—方面示出具有步骤TO至TlO的流程图以及也示出用于执行所述步骤的多个单元M3，…，M5。所述单元体现第二设备V0R2。
[0053]流程图在步骤TO中开始。
[0054]在第一步骤Tl中，第二设备V2接收消息VMSG。针对图5的图示假定:消息VMSG除了证书之外也包括允许性信息ZINF0，其中允许性信息包括肯定名单WL的最大允许的年龄MAXG类型的有效性信息GI。优选地，允许性信息ZINFO被编码在证书中。然而，允许性信息也可以作为单独的信息被编码在消息VMSG中。此外，消息VM SG附加地还具有第一和第二应用信息ANWIl、ANW2。第一和第二应用信息ANWIl、ANW2在此可以分别被编码在证书中或者其可以作为单独的信息被编码在消息VMSG中。
[0055]在随后的第二步骤T2中，借助于证书ZERT的签名SIG来执行证书的真实性的检查PR00F1 ο第三单元M3实现第二步骤T2并且第五单元M5实现第三步骤T3。
[0056]在第三步骤T3中检查:所述检查PR00F1是肯定的还是否定的。如果所述检查是否定的，则在路径N中离开第三步骤T3并且随后实施第十步骤T10。如果所述检查PR00F1是肯定的，则通过路径J离开第三步骤T3并且随后实施第四步骤T4。
[0057]在第四步骤T4中，首先使用通过最大允许的年龄MAXG所代表的有效性信息，以便选择存在用于允许性的确定的肯定名单WL。如果在检查单元Z中没有相关地满足有效性信息GI的肯定名单WL，则所述确定PR00F2的第一等级是否定的。否则，该第一等级是肯定的。
[0058]在第五步骤T5中，在第一等级的否定的结果的情况下走上以第九步骤T9结束的路径N。否则，第五步骤T5将流程图通过路径J引导到第六步骤T6。
[0059]在第六步骤T6中，在所述确定PR00F2的第二等级的范围中确定:是否能够在肯定名单WL中找到证书或者从中导出的搜索值。如果针对证书或者从中导出的涉及所述证书的搜索值的条目存在于肯定名单中，则在第六步骤T6中所述确定的第二等级是肯定的。否则在第六步骤T6中所述第二等级是否定的。
[0060]在随后的第七步骤T7中，分析第六步骤T6的确定的第二等级。如果该第六步骤是否定的，则通过路径N离开第七步骤并且流程图在第九步骤T9中继续。否则，流程图通过路径J从第七步骤通向第八步骤T8。
[0061 ]在本发明的另一实施方式中，消息VMSG可以被构建，使得仅仅允许性信息ZINFO以指示信号FLG的形式被构造，即在消息VMSG中不存在有效性信息GI。在此情况下，允许性的确定PR00F2仅仅通过步骤T6、T7来实现。第四和第五步骤T4、T5在此被跳过。第四单元分别实现第四和第六步骤T4、T6并且第五单元M5分别实现第五和第七步骤T6、T7。
[0062]如果不仅对证书的真实性的检查PR00F1而且根据肯定名单WL关于证书的允许性的确定PR00F2分别是肯定的，则流程图处于第八步骤T8中。在此情况下，在第八步骤T8中，设备、即栗G被授权执行第一类别Kl的应用、诸如第一应用APP1。在应用第一类别Kl的应用结束之后通过调用最后的步骤TlO来终止第八步骤。但是，第一类别的应用可以不必通过第一应用信息来定义。因此可以通过默认来规定:第一类别的应用表示释放设备用于运行。
[0063]在第九步骤T9中，流程图表明:对证书的真实性的检查是肯定的。然而，在所述第九步骤T9中证书的允许性根据肯定名单的确定是否定的。因此，栗可以在第九步骤中被授权第二类别K2的应用。第二类别的应用例如可以通过如下方式来构成:没有应用可以被实施并且栗不被允许用于在工业设施中使用。替代地可以在第九步骤T9中通过栗来执行第二应用APP2，所述第二应用例如不是安全关键的。在第九步骤T9结束之后流程图在第十步骤TlO中被继续。
[0064]在第十步骤TlO中，图5的流程图被终止。
[0065]关于证书的允许性的确定PR00F2可以根据证书和肯定名单的以下实施参数APA中的至少一个来执行:
-证书的序列号:检查单元Z可以根据证书的被包含在消息VMSG中的序列号在肯定名单WL中定位证书。
[0066]-证书的签发者:检查单元Z也可以依赖于证书的签发者来执行第二检查的执行。如果例如证书的签发者未被记录在肯定名单中，则第二检查PR00F2是否定的。
[0067]-证书的指纹:证书的指纹被理解为:不是证书本身、而是编码形式、例如哈希编码的证书被用于执行允许性的确定。因此，证书的哈希值可以通过检查单元从消息VMSG的证书获得。随后使用该哈希值，以便在肯定名单中识别相同的哈希值。如果相同的哈希值未被找到，则所述确定是否定的，否则是肯定的。
[0068]-签名中的公开密钥的指纹:对此的处理方式与项目“证书的指纹”类似，其中代替整个证书仅仅签名的公开密钥被用于所述确定。
[0069]-证书的副本:处理方式与“证书的指纹”类似，其中代替证书的编码形式在本发明的该变型方案中证书可以以明文被使用。因此，证书以明文表示如下索引，应当在肯定名单中搜索所述索引。
[0070]在本发明的一种改进方案中，消息也可以具有之前所提到的实施参数APA中的一个。由此通知检查单元:应当将参数中的哪个用于在肯定名单中定位证书。
[0071]图6示出具有证书ZERT和允许性信息ZINFO的消息。根据图6的示例表示针对所谓的身份证书的根据借助于ASN.1编码(ASN.1 = Abstract Syntax Notat1n One(抽象语法表示法I))的X.509的编码。根据图6的消息被划分成证书ZERT区域和描述允许性信息ZINFO的区域。此外，允许性信息ZINFO描述鉴于要使用的肯定名单REF和肯定名单的允许的签发者ZULA的有效性信息GI说明以及用于执行允许性的确定PR00F2的实施参数APA。关于实施参数APA的特点是，检查单元Z被给予三个用于执行所述确定的选项。因此，检查单元Z可以根据证书的序列号、指纹或者公开密钥的指纹来执行第二检查。代替身份证书的使用，本发明也可以被用于属性证书。在这种情况下的处理方式与图6中的图示类似。
[0072]用于产生消息的第一设备通过第一和第二单元来实现。因此，第一和第二单元表示检查单元Z ο用于对设备授权的第二设备通过第三、第四和第五单元装置来实现。
[0073 ]在说明书中所示出的单元可以以软件、硬件或者以由软件和硬件构成的组合来实现。在此，本发明的各个步骤可以以机器可读的形式被存放在存储器中，其中所述存储器与处理器连接，使得所述处理器读出以及可以处理机器可读的命令。此外，用于将数据交换到处理器或者从处理器交换数据的输入和输出接口可以与处理器耦合。
[0074]根据多个示例解释了本发明及其改进方案。本发明不限于这些特殊的实施例。此夕卜，所述实施例以及改进方案可以以任意的方式被组合。
【主权项】
1.用于产生消息(VMSG)的方法，其中所述消息(VMSG)包括设备(G )的证书(ZERT )并且所述证书(ZERT)具有用于所述证书(ZERT)的真实性的检查(PROOFl)的签名(SIG)， 其特征在于， 给所述消息(VMSG)添加用于所述证书(ZERT)的允许性根据肯定名单(WL)的确定(PR00F2 )的允许性信息(ZINFO )。2.根据权利要求1所述的方法， 其特征在于， 给所述允许性信息(ZINFO)添加有效性信息(GI)，其中所述有效性信息(GI)具有以下参数中的至少一个，所述至少一个参数表征在所述允许性的确定(PR00F2)中要使用的肯定名单(WL): -所述肯定名单(WL)的允许的签发者(ZULA); -所述肯定名单(WL)的最大允许的年龄(MAXG); -所述肯定名单(WL)的应用环境参数(AUP)， -要使用的肯定名单(WL)的说明(REF)。3.根据前述权利要求之一所述的方法， 其特征在于， 给所述允许性信息(ZINFO)添加用于执行所述设备(G)的第一应用(APPl)的第一应用信息(ANWIl)，其中所述第一应用信息(ANWIl)能够在基于(i)所述签名(SIGl)的真实性的肯定的检查以及(ii )所述证书(ZERT )的允许性根据所述肯定名单(WL)的肯定的确定(PR00F2 )对所述设备(G )肯定地授权的情况下被应用。4.根据前述权利要求之一所述的方法， 其特征在于， 给所述允许性信息(ZINFO)添加用于执行所述设备(G)的第二应用(APP2)的第二应用信息(ANWI2)，其中所述第二应用信息(ANWI2)能够在基于(i)所述签名(SIGl)的真实性的肯定的检查以及(ii )所述证书(ZERT )的允许性根据所述肯定名单(WL)的否定的确定(PR00F2 )对所述设备(G )肯定地授权的情况下被应用。5.根据前述权利要求之一所述的方法， 其特征在于， 给所述允许性信息(ZINFO)添加以下实施参数(APA)中的至少一个，其中相应的实施参数(APA)描述能够根据所述证书(ZERT)的哪个特性来执行所述确定(PR00F2 ): -所述证书的序列号(PI1); -所述证书的签发者(PI4); -所述证书的指纹(PI2); -公开密钥的指纹(PI3); -所述证书的副本(PI5)。6.用于根据消息(VMSG)对设备(G)授权的方法，其中所述消息(VMSG)根据权利要求1至5之一来产生， 其特征在于， 如果: (C)所述证书(ZERT)的真实性的检查(PROOFl)肯定地被执行，以及 (d )所述证书(ZERT )的允许性根据所述肯定名单(WL)的确定(PR00F2 )肯定地被执行， 则所述设备(G)针对应用第一类别(Kl)的至少一个应用被授权。7.尤其根据权利要求6所述的、用于根据消息(VMSG)对设备(G)授权的方法，其中所述消息(VMSG)根据权利要求1至5之一来产生， 其特征在于， 如果: (c)所述证书(ZERT)的真实性的检查(PR00F1)肯定地被执行，以及 (d )所述证书(ZERT )的允许性根据所述肯定名单(WL)的确定(PR00F2 )否定地被执行， 则所述设备(G)针对应用第二类别(K2)的至少一个应用被授权。8.根据权利要求6和7之一所述的方法， 其特征在于， 所述证书(ZERT)的允许性的确定(PR00F2)至少根据以下实施参数(APA)中的一个来执行，其中相应的实施参数(APA)再现所述证书(ZERT)的特性: -所述证书的序列号(PI1); -所述证书的签发者(PI4); -所述证书的指纹(PI2); -公开密钥的指纹(PI3); -所述证书的副本(PI5)。9.根据权利要求6至8之一所述的方法， 其特征在于， 在所述允许性的确定(PR00F2)的范围中分析有效性信息(GI)，其中所述有效性信息(GI)具有以下参数中的至少一个，所述至少一个参数表征在所述允许性的确定(PR00F2)中要使用的肯定名单(WL): -所述肯定名单(WL)的允许的签发者(ZULA); -所述肯定名单(WL)的最大允许的年龄(MAXG); -所述肯定名单(WL)的应用环境参数(AUP)， -要使用的肯定名单(WL)的说明(REF)。10.消息(VMSG)， 其特征在于 设备(G)的证书(ZERT)，其中所述证书(ZERT)具有用于所述证书(ZERT)的真实性的检查(PR00F1)的签名(SIG)， 用于所述证书(ZERT )的允许性根据肯定名单(WL )的确定(PR00F2)的允许性信息(ZINFO)011.根据权利要求10所述的消息， 其中所述允许性信息(ZINFO)根据权利要求2至5之一来扩建。12.用于产生消息(VMSG)的第一设备(V0R1)，所述第一设备具有: -第一单元(Ml)，所述第一单元用于将设备(G)的证书(ZERT)插入到所述消息(VMSG)中，其中所述证书(ZERT)具有用于所述证书(ZERT)的真实性的检查(PR00F1)的签名(SIG)， -第二单元(M2)，所述第二单元用于添加用于所述证书(ZERT)的允许性根据肯定名单(WL )的确定(PR00F2 )的允许性信息(ZINFO )。13.根据权利要求12所述的第一设备(VORl)， 其中所述第二单元(M2)被设计，使得所述允许性信息(ZINFO)能够根据权利要求2至5之一来扩展。14.用于根据消息(VMSG)对设备(G)授权的第二设备(V0R2)，其中所述消息(VMSG)根据权利要求1至5之一来产生，所述第二设备具有: 第三单元(M3)，所述第三单元用于所述消息(VMSG)的证书(ZERT)的真实性的检查(PR00F1)， 第四单元(M4)，所述第四单元用于所述证书(ZERT)的允许性根据所述肯定名单(WL)的确定(PR00F2)， 第五单元(M5)，所述第五单元用于如果所述检查(PR00F1)和所述确定(PR00F2)分别是肯定的，则针对应用第一类别(Kl)的至少一个应用对所述设备(G)授权。15.根据权利要求14所述的第二设备(V0R2)， 其中所述第五单元(M5)此外被构造用于如果所述检查(PR00F1)是肯定的并且所述确定(P0RRF2 )是否定的，则针对应用第一类别(KI)的至少一个应用对所述设备(G )授权。16.根据权利要求14或15所述的第二设备(V0R2)， 其中所述第三单元(M3)、所述第四单元(M4)和所述第五单元(M5)此外被构造，使得所述允许性信息(ZINFO)的改进方案中的至少一个能够根据权利要求2至5之一来实施。
【文档编号】H04L9/32GK106031124SQ201480076438
【公开日】2016年10月12日
【申请日】2014年12月8日
【发明人】R.法尔克, S.弗里斯
【申请人】西门子公司