与项目相关的证书管理的制作方法

本发明涉及一种根据权利要求1所述的用于技术设施的控制系统。此外，本发明涉及一种根据权利要求5所述的用于验证控制系统中的设备的方法。本发明还涉及一种根据权利要求6所述的将控制系统用于运行技术设施的应用。

背景技术：

在工业技术设施的环境中，在运行时使用所谓的操作证书。通过使用操作证书，能够通过加密手段来实现工业技术设施的控制系统中的通信用户的验证和通信完整性。

在此，安全地存储在设备中的私钥绑定于所属的公钥。在此，在公钥基础设施(pki)的环境中，用于对操作证书和其所属的密码密钥进行管理的流程的自动支持尤其作为技术设施内的设备与应用之间的可靠通信的基础而变得越来越重要。

通过减少证书管理范围中的手动行为和基于标准协议的日益自动化的流程，尤其为了推出和更新证书，能够在工业设施的环境中提高灵活性和互动能力。

通常，在设施的环境中，利用标准协议、例如证书管理协议(cmp)来实现操作证书的自动化管理。在此，设备和应用根据情况从本地注册服务、所谓的本地注册机构(lra)请求所需的操作证书。这例如在由于证书到期或吊销而需要进行更新的情况下进行。

在此，设备和应用将请求发送至本地注册服务，即发送所谓的证书签名请求(csr)。本地注册服务通过其首先检查用于签署请求的签名的有效性的方式来检查请求。然后，本地注册服务检查：设备或应用的设备证书、序列号和必要时其他的身份特征是否存储在技术设施的控制系统的软件清单、即所谓的清单中。在检查成功的情况下，将请求转发至颁发用于设备或应用的操作证书的所谓的认证机构(ca)或证书颁发机构。

如果在控制系统中存储用于设备的设备证书并且该设备被识别为是可信任的，则在当前的现有技术中，能够以完整的规模使用在任意每个工程项目之内的设备，该设备根据其存储在控制系统中的证书应得到该规模。在此，在当前的范围中将工程项目理解为工业设施的一部分(或全部设施)的自动化任务。其在此例如能够涉及“观察、操作、更改等”的过程。

例如，如果在项目的环境中将由工业设施的值得信任的证书颁发机构颁发的有效的web(网络)服务器证书绑定到自动化装置as1的web服务器，则该证书能够用于构建利用https(超文本传输安全协议)成功地由用户在项目2的环境中发起的、至诊断缓存器的连接。由于web服务器证书由工业设施的、在设施范围以及跨项目范围中视为可信赖的证书颁发机构颁发，所以该web证书在通过构建连接标准地触发的验证过程中成功使用。这表示：as1的web服务器根据证书和所属的设施范围以及跨项目范围中适用的证书链成功地对web客户端进行验证，该web客户端在这种情况下在项目2的环境中由用户/web浏览器代表。这通过如下方式实现：客户端能够成功地确认web服务器证书的真实性，因为对于该客户端(如所有其他设施用户和设备那样)存在全部对于确认证书真实性所需的数据。

由此实现对as1的web服务器的访问，即使在项目2的环境中未提出、未期望并且原则上应当避免该访问。

在通信协议opcua(开放平台通信统一架构)的环境中，由于as1的opcua服务器具有在项目1的环境中有效的相关的服务器证书的事实，存在(在项目2中为此未被授权的)opcua客户端成功建立至自动化装置as1的opcua服务器的基于证书的连接的风险。

在us2006/0136748a1中公开了一种用于通过密码方法进行数据存储的数据处理系统。

us2007/0226693a1公开了一种用于制备认证项目计划的方法，该认证项目计划用于借助于预先限定的规则来认证移动平台的项目。

在wo2011/019898a1中公开了一种用于在私钥和公钥网络的范围中授予证书的方法。

技术实现要素：

本发明所基于的目的是：将仅为特定工程项目的环境中的应用而设置的操作证书以及用于工业设施的控制系统的所属的基础架构设计成，使得操作证书仅在预先确定的另外的工程项目的环境中能被认证为有效的。

所述目的通过根据权利要求1所述的用于技术设施的控制系统来实现。此外，所述目的通过根据权利要求5所述的用于验证控制系统中的设备的方法来实现。此外，所述目的通过根据权利要求6所述的将控制系统用于运行技术设施的应用来实现。由从属权利要求得出有利的改进方案。

用于开头部分所述类型的技术设施的、根据本发明的控制系统包括：本地注册服务，该本地注册服务设计用于验证控制系统中的设备；软件清单，该软件清单设计用于存储关于设备的验证的信息；和用于颁发用于设备的证书的认证处。

根据本发明的控制系统的特征在于：软件清单具有多个子清单，在子清单中能够与项目相关地分别存储彼此无关的、关于特定工程项目的设备的验证的信息，

并且本地注册服务设计用于，与项目相关地注册设备，并且将设备存储在软件清单的与项目相关的、配属于相应的工程项目的子清单中，

并且认证处与项目相关地设计并且具有两个层级，其中，第一层级设计和设置用于颁发用于设备的与项目相关的设备证书，并且其中，第二层级设计和设置用于颁发用于设备的与项目相关的操作证书。在此，能由认证处的第一层级颁发的设备证书具有唯一的项目标识。

由于以根据本发明的方式设计控制系统，控制系统能够将仅设置用于特定工程项目的环境中的应用的操作证书设计成，使得该操作证书在任何另外的工程项目的环境中都不能被认证为有效的或仅在预先确定的另外的工程项目的环境中能被认证为有效的。在此，在本文中将工程项目理解为工业设施的一部分(或全部设施)的自动化任务。其在此例如能够涉及“观察、操作、更改等”的过程。但是，还能够根据标准x.509(也称为标准iso/iec9594-8)颁发操作证书。

在此，与项目相关地设计认证处表示：认证处设计成对于每个工程项目作为独立的认证处。在特定工程项目的环境中使用的认证处妥协的情况下，控制系统的(还与另外的工程项目相关的)认证处在另外的工程项目的环境中还视为是可信任的。因此，所属的工程项目不受妥协影响。

例如，在多个联合工作的模块化的工业设施的情况下，由每个设施规划专门的工程项目。在此，所有这些设施都被分开地规划(必要时也借助不同的工程系统)。将多个规划的若干设备用于联合协作。在一种假设的情况下，在模块化的设施a1的第一项目p1中规划自动化装置as1并且在那里将方法技术流程自动化。为了联合协作，在第二工程项目p2中将自动化装置as1的若干进程数据用于操作和监视，例如在工程项目p2中存在设施形成器，由自动化装置as1将设施形成器动态化。为此，需要对项目p2中的自动化装置as1进行专门的访问。

借助于根据本发明的控制系统，能通过与工程项目p1相关(即“工程项目p1专用”)的相应的操作设备证书来调节要在工程项目p1的环境中实现的规划、维护和保养(系统通知)。相同的内容适用于“详细的操作和监视”，例如适用于调节控制器参数。例如，与另一项目中的另一设施联合地进行“简单的操作和监视”应当也是可行的，为此，控制系统在该实例中颁发与工程项目p2相关的(即“工程项目2专用”的)操作设备证书。

通过以根据本发明的方式设计控制系统，能够有效地防止在“错误的”工程项目的环境中意外或故意滥用操作证书。

根据本发明的控制系统实现与目前最新的ca(认证机构)产品的灵活连接，并且由于可能将标准协议用于证书管理而支持所有常见的证书管理应用实例(尤其是引导、更新、吊销、硬件更换)。因此，该控制系统符合作为工业自动化的领先的国际安全标准的标准iec62443的pki(公钥基础设施)的相关要求。

此外，根据本发明的控制系统实现：在工业设施运行时更新操作证书和通过证书支持的设备更换，而不引起设施冲突，并且随后实现软件清单和认证处的重启。由此显著改善设施可用性。

借助于项目标识，控制系统设计成简单地识别在哪个工程项目的环境中进行对认证处的查询。

例如假设：通过本地注册服务由认证处从各种工程项目中针对同一自动化设备请求操作证书。在此，操作证书通过唯一的项目标识(项目id)来表征操作证书，使得自动化设备能够提供或拒绝特定服务。

如果在工程项目p3和p4中使用设施部件、例如自动化装置as(包装单元的一部分)，那么将该设施部件存储在软件清单的所属的子清单中。然后，设施部件在注册的范围中获得项目特定的操作证书。例如，能够经由项目特定的操作证书来调节，从而可以在自动化装置as上监视和操控(monitoring&control)，并且仅可以操作(监视)工程项目p4。

如果在自动化装置as中注册来自工程项目p4的环境中的设备(例如服务器)，那么在验证时共同传送项目标识，从而由此能够传送用于加密通信的项目特定的操作证书。由此实现在项目之间的明显区别，并排除在一个工程项目的环境中创建的证书的任何滥用，或者排除在另一工程项目的环境中的允许的通信关系的任何滥用。

在控制系统的一个有利的改进方案中，控制系统包括至少一个进程数据档案，其中，软件清单集成在进程数据档案中。进程数据档案也称为进程历史记录器。进程数据档案尤其良好地适合作为控制系统内的数据源，因为其以高可用性设计。

优选地，控制系统还具有至少一个工程部件和/或至少一个操作者系统、即所谓的操作站(os)。操作者系统能够是工业工作站simaticpcs7，但不限制于此。在此，本地注册服务集成在工程部件和/或操作者系统或属于操作者系统的服务器中。因此不需要将附加的(硬件)部件用于执行本地注册服务。更确切地说，本地注册服务能够集成到技术设施的控制系统的现有的架构中。因此，不需要附加的硬件，这将用于这种改进的控制系统的投资额保持得很小。

有利地，将关于系统配置和/或借助控制系统运行的技术设施的信息存储在控制系统的软件清单中。在此，能够从控制系统的工程部件、所谓的工程站(es)中读出信息。工程部件能够是工业工作站simaticpcs7，但不限于此。控制系统配置的变化有利地在技术设施运行时无延迟地反映在软件清单中。

在根据本发明的控制系统的一个有利的改进方案中，认证处的两个层级中的每个层级各自包括来源认证处和颁发认证处。由此能够尤其简单且可靠地设置证书的颁发。

此外，所述目的通过一种用于与项目相关地验证控制系统中的设备的方法，该控制系统用于工程项目的范围中的技术设施，其中，控制系统具有至少一个本地注册服务、至少一个软件清单和认证处，该方法包括以下步骤：

a)在控制系统内的设备的验证的范围中，通过至少一个本地注册服务得出以下信息：哪个通信协议和/或应用被设备支持和/或是激活的；

b)通过本地注册服务在认证处的第一层级请求与项目相关的设备证书；

c)将与项目相关的设备证书存储在控制系统的软件清单的、配属于工程项目的子清单中；

d)通过设备在本地注册服务中请求与项目相关的操作证书；

e)通过本地注册服务检查：对于提出请求的设备，在包含提出请求的设备的工程项目的范围中，是否已将与项目相关的对应的设备证书存储在控制系统的软件清单的配属于工程项目的子清单中；

f)通过本地注册服务在认证处的第一层级请求与项目相关的操作证书；

g)将与项目相关的操作证书转发至设备。

在优选的应用中，控制系统能够用于运行技术设施。

附图说明

本发明的上述特征、特点和优点以及实现它们的方式和方法结合实施例的以下描述能够更明白易懂，实施例结合附图来详细描述。附图示出：

图1示出控制系统内的设备和用户的与项目相关的权限的示意图；和

图2示出根据本发明的控制系统的原理图。

具体实施方式

图1示意地说明未示出的控制系统1内的各个用户u1、u2、u3和设备g1、g2、g3的使用权和访问权。

在第一工程项目p1的范围内，给予两个用户u1、u2和两个设备g1、g2权限。在此将工程项目理解为工业设施的一部分(或全部设施)的自动化任务。其在此例如能够涉及“观察、操作、更改等”的过程。

在第二工程项目p2的范围内，给予仅一个第三用户u3和两个设备g2、g3权限。如设备g3的实例所示，也能够在多个工程项目p1、p2中给予多个用户或设备权限。

在此，通过本发明确保：在工程项目p1、p2内对控制系统1验证成功的用户或设备也不自动具有在另外的工程项目p1、p2的范围中的相应权限。

在图2中示出技术设施的根据本发明的控制系统1。控制系统1包括工程部件或工程站2、进程数据档案或进程历史记录器3、操作者系统的服务器或操作者系统服务器4、以及认证机构或认证处5。工程站2、进程历史记录器3、操作者系统服务器4和认证处5经由终端总线6相互连接。

用户或客户端7借助于终端总线6与之前提出的四个部件连接。终端总线6例如能够设计为工业以太网，但不限于此。认证处5具有第一层级5a和第二层级5b。第一层级5a设计和设置用于颁发用于设备8的与项目相关的设备证书。为此，认证处5的第一层级5a包括来源证书处5aa和颁发证书处5ab。与此类似，认证处5的第二层级5b包括来源证书处(rootca)5ba和颁发证书处(issuingca)5bb。

在此，两个层级5a、5b的来源认证处5aa、5ba彼此独立。第一层级5a设计和设置用于颁发与项目相关的设备证书。认证处5的第二层级5b设计和设置用于颁发与项目相关的操作证书。

认证处5设计用于，根据在其范围内关于证书向认证处5提出请求的工程项目来分配与项目相关的设备证书和操作证书。

设备8借助于设施总线9连接于操作者系统服务器4。在此可替换地，所连接的设备8也能够是应用，尤其能够是web应用。在本发明的范围内，能够将任意数量的设备和/或应用连接于操作者系统服务器4。设施总线9例如能够设计为工业以太网，但不限于此。设备8又能够与任意数量的子系统(未示出)连接。

清单或软件清单10集成在进程历史记录器3或进程数据档案中。软件清单10包括多个子清单10a、10b、10c。第一本地注册服务11集成在操作者系统服务器4中。操作者系统服务器4的本地注册服务11具有作为子服务的管理服务12、状态服务13、通知服务14、分发服务15和注册服务16，其工作方式和任务在下文中阐述。本地注册服务11还包括本地数据存储器26。本地注册服务11可替换地或附加地能够集成在工程系统2中。

在控制系统1的图1所示的实施方式中示出单独的第二本地注册服务17的变化方案。第二本地注册服务17集成在工程系统2中。该第二本地注册服务包括作为子服务的注册服务18、配置服务19和分发服务20，其工作方式和任务同样在下文中阐述。

所有集成在技术设施中的设备8或应用在技术设施投入运行时必须向工程系统2的本地注册服务17验证，以便注册为可信任的通信用户。为此，设备8在此发送用于创建设备证书(devicecertificate)的请求21，即发送所谓的证书签名请求(csr)。设备证书包含在其范围内提出请求21的工程项目的唯一的项目标识。

借助于工程系统2的本地注册服务17的注册服务18将设备8的请求21转发至认证处5的第一层级5a。在此，第一层级5a的颁发认证处5ab请求来源认证处5ab中的相应的证书5aa。

除了设备8的原本的验证之外，还得出：哪些通信协议或应用被设备8支持。在此，工程系统2的本地注册服务17借助于来自进程历史记录器3的清单10中的信息首先检查：将哪些设备/应用5注册为可信任的通信用户并将哪些证书分配给工程项目的范围中的设备8。其前提是在清单10中存储：哪些协议和应用被集成在技术设施中的应用/设备8主动支持。该检查引起：为设备8仅提供使用特定协议或特定应用所需的证书，例如协议https、securesyslog或者opcua。

随后，工程系统2的本地注册服务17还检查：设备8是否实际上也需要由其原则上支持的证书。为此，工程系统2的本地注册服务17的配置服务19确定技术设施的网络配置，其包括技术设施的各个部件之间的通信关系，并且检查设备8是否也主动地使用该通信关系进而实际上也需要相应的证书。

仅在检查成功的情况下，工程系统2的本地注册服务17代表设备8借助于相应的证书签名请求22和认证处5的第一层级5a的分配23来取得与项目相关的对应的设备证书。最后，由工程系统2的本地注册服务17的分发服务20经由分配24将与项目相关的设备证书传输给设备8。此外，与项目相关的设备证书存储在软件清单10的分配给工程项目的子清单10a、10b、10c中。因此，仅在需要情况下并且根据在其范围内向控制系统1验证设备8的工程项目进行设备证书的分配。

通常发生的是：在技术设施运行时，工程系统2不可用或不持续地可用。为此，第一本地注册服务11集成在操作者系统服务器4中。其工作方式类似于工程系统2中的之前阐述的第二注册服务17的工作方式。用于在技术设施运行时验证应用/设备8或用于将证书分配给应用/设备的方法与之前阐述的在设施投入运行时的验证的区别在于：前者以事件控制的方式启动。该事件例如为在运行期间的设备更换，但不限制于此。

本地注册服务11的管理服务12从软件清单10的相应的子清单10a、10b、10c中加载对于检查由被替换的设备8提出的证书签名请求25所需的信息。为了能够选择正确的子清单10a、10b、10c，请求25包含在其范围中进行请求25的工程项目的唯一的项目标识。存储在子清单10a、10b、10c中的数据加载到本地注册服务11的数据存储器26中。

随后，管理服务12首先得出：将哪些应用/设备8注册为可信任的通信用户，以及将哪些证书分配给设备8。此外，管理服务12检查：在其范围内包含有请求25的工程项目的环境中，设备8是否具有与项目相关的对应的设备证书。

该检查与在技术设施投入运行时的方法类似地引起：仅应将操作证书提供给代替的设备8，代替的设备在特定工程项目的范围中需要操作证书以使用特定协议，例如协议https、securesyslog或者opcua，或者使用特定应用，并且该允许将操作证书分配给代替的设备。

此外，管理服务12检查：代替的设备8是否实际上也需要尤其原则上支持其的操作证书。为此，管理服务确定技术设施的当前的网络配置，其包括技术设施的各个部件之间的通信关系，并且检查代替的设备8是否也主动使用通信关系进而实际上也需要相应的操作证书。

管理服务12从操作者系统服务器4的运行时间环境28的配置进程27中获得关于通信关系的信息或技术设施的网络配置的信息。随后，通过管理服务12将信息存储在进程历史记录器3的软件清单10的相应的与项目相关的子清单10a、10b、10c中。管理服务12除了之前阐述的信息之外还能将关于相关客户端7的信息存储在清单10中。

仅在检查成功的情况下，操作者系统服务器4的本地注册服务11代表代替的设备8借助于相应的证书签名请求29和认证处5的第二层级5b的对应的分配30来取得相应的操作证书。最后，由操作者系统服务器4的第一本地注册服务11的分发服务15经由分配31将操作证书传输至代替的设备8。在此，分发服务15使用操作者系统服务器4的运行时间环境28的驱动器32。

因此，仅在需要的情况下并且在有效验证的情况下进行操作证书的分配，这显著减小了由证书管理引起的通信量并且阻止了设备8和/或应用或特定用户获得对控制系统1的或对控制系统1和其所属的工业设施的部件的不期望的访问。同时，可以在工业设施运行时替换设备8，即工业设施不必为了替换设备而停止。

能够借助于集成到操作者系统服务器4的可视化服务33中的数据源34将验证数据或证书传输至一个或多个客户端7。

第一本地注册服务11代表设备8取得的所有操作证书被存储在数据存储器26中。第一本地注册服务11的状态服务13尤其监控证书的到期日期。如果其确定证书马上到期，则第一本地注册服务11在认证处5的第二层级5b请求代替证书。在此，尤其考虑设施网络的当前配置。

第一注册服务11的通知服务14尤其检查：处于软件清单10中的操作证书的有效日期是否马上到期。在该情况下，通知服务经由操作者系统服务器4的运行时间环境28生成相应的诊断消息(警报)，使得控制系统1的操作员或维护人员在客户端7的所谓的警报控制器中被告知相应的输出，以便随后执行相应的操作。通知服务14通过由其生成到操作员的相应消息的方式对技术设施中的对于证书管理相关的其他的配置变化做出反应。

第一本地注册服务11的另外的子服务是状态服务13。状态服务13在控制系统1运行时得出所使用的操作证书的当前状态。状态信息例如能够是由应用/设备8使用的证书的数量和类型。状态服务13还能检测：通过分发服务15当前是否还分配操作证书或者未来是否还必须分配证书。状态服务13还能记录在验证或证书分配时可能出现的错误。

本发明通过之前根据附图描述的特征实现：使在(正确的)工程项目p1、p2的环境中颁发的设备证书不再能不期望地或不允许地在(错误的)另外的工程项目p1、p2中生效。原因是，对于证书管理所需的参数(特别是证书链连同参与的认证处5的公钥(公钥基础设施))仅在“正确的”工程项目p1、p2的环境中(在其所属的子清单10a、10b、10c)中可用。

尽管在细节方面通过优选的实施例详细阐述和描述了本发明，但本发明不被公开的实例限制，并且能够由本领域技术人员从其中推导出其他的变化方案，而不脱离本发明的保护范围。