提供安全的供应商服务访问的方法和装置的制造方法
【专利摘要】本发明题为提供安全的供应商服务访问的方法和装置。本发明提供一种用于分别准予对装置的指令集的访问和拒绝访问的方式。本技术教导提供能够有效防止未经授权的访问的优势。因此,维护工作能够由专业人员来执行,并且指令集的安全敏感部分被保护。
【专利说明】
提供安全的供应商服务访问的方法和装置
技术领域
[0001]本发明涉及一种安全机制,其允许客户阻止对特定装置的维护访问。一旦将产品交付给客户,允许对配置文件(例如包括装置的固件)的访问或者限制访问以使得没有外部服务人员能够访问装置配置则成为客户的选择。本发明还指向用于操作这种装置的相应方法。【背景技术】
[0002]本发明的技术背景是关于是否对服务人员准予对所交付装置的访问以及客户可如何防止对所述装置的访问(例如从装置读出和改变参数或者更新固件)的问题。服务技术人员需要访问由特定供应商所销售的装置,以便执行关于这些装置的维护、调整装置参数、 并且在装置处于客户驻地的同时响应由客户所报告的伴随装置的问题。供应商技术人员的受限的访问,也就是具有比常规访问更多许可的访问通过在装置上包含特殊访问功能性来提供。访问通常通过秘密或认证机制,例如使用密码来限制到供应商的人员。如果客户不能禁用或去除限制到供应商人员的访问,则这种功能性已知为后门。
[0003]对于在适当位置具有后门存在多种问题。首先,客户因安全性和保密性原因而可能不接受进入其装置的后门。因此,禁用后门应当是可能的。其次,由于这类后门通常包括秘密但是不可去除和硬编码密码,所以它们可能违反客户所提出的特定网络安全要求。硬编码密码的问题在于,一旦这种密码成为已知(并且其很可能会)并且通过因特网来发布, 则每个人能够访问该装置,并且客户不能改变密码也不能禁用后门以防止这种未经授权访问。因此,如果客户的装置因后门而被攻击并且造成损坏,则供应商可能成为调查目标。然而,也存在不关心这类后门的客户的类型,例如如果装置用在不可访问地点。对于这种类型的客户,服务访问和易于使用比安全特征更为重要,因而客户不希望为密码或复杂的设定费心。[〇〇〇4]已知装置提供生成变化访问代码的特征。所生成的代码然后被服务技术人员要求来访问装置。虽然装置在这种情况下没有存储秘密密码,但是所使用算法的知识以及对算法的输入,例如初始化值允许黑客推断密码,并且这样得到未经授权的访问。因此,这种方法仍然被认为是不可去除后门,再次违反网络安全要求。
[0005]对连网的计算系统的一种形式的攻击是对网络连接进行窃听,以得到合法用户的认证信息,例如登录ID和密码等。一旦捕获这个信息,它能够在以后用来获得对系统的访问。许多个人计算机具有管理密码,其必须被输入以便改变用户通常不应当改变的系统设定或其他关键参数。一次性密码系统设计成回击这种类型的攻击(称作回放攻击)。通常已知的是一次性密码认证系统,0TP。这种系统提供系统访问(登录)和要求认证的其他应用的认证,其防范基于回放所捕获可再用密码的被动攻击。
[0006]SecurelD是用于执行用户对网络资源的二因素认证的已知机制。
[0007]存在通过除了用户名和密码之外还要求附加因素来保护对装置的访问的解决方案。这种附加因素的示例是预先生成令牌,例如用来授权在线银行的交易的TAN编号、基于当前时间所生成并且用来保护对在线服务的访问的一次性密码、通过RSA卡(fob)所生成的一次性密码,其用来保护对在线服务和VPN隧道的访问。
[0008]二因素认证的部署在范围和规模方面保持受限。尽管越来越高的威胁和攻击等级,但是大多数应用仍然依靠用于管制用户访问的弱认证方案。缺乏硬件和固件技术供应商之间的互配已经是采用二因素认证技术中的限制因素。具体来说,缺乏开放规范已经引起硬件和固件组件通过专有技术密切耦合的解决方案,从而引起高成本解决方案、不良采用和有限创新。
[0009]按照现有技术的状态的方法的缺点在于,它们或者正为了保护装置而造成许多工作量或者它们可能不是安全的。
【发明内容】
[0010]因此,本发明的目的是为客户提供一种改进装置,其能够易于配置,而无需很多工作量,使得限制对装置的访问。因此,用户能够自行判定是否准予维护人员或技术人员对装置的访问。
[0011]这个问题通过按照独立权利要求1所述的主题来解决。
[0012]相应地,提出一种对其维护提供安全供应商服务访问的装置,包括:配置存储装置,提供用于操作装置的装置配置;以及安全模块,布置成指配用于访问配置存储装置的至少一个访问权限,其中如果至少一个接入权限被设置,则装置才是可操作的。
[0013]如当前提出的本发明涉及装置,其可以是使用固件来操作的任何种类的装置。这种装置可需要由供应商所提供的专业技术人员对错误的维护或修复。因此,客户需要判定内部安全标准是否允许外部人员对所提供的装置的访问。为了支持客户的安全准则,装置提供接口,其允许安全供应商服务访问,并且因此允许客户限制或禁用由供应商对装置的访问。维护的概念指的是用于通过读和写操作来操作装置的固件或指令集的任何种类的访问。对于维护工作,可要求从装置读出特定参数或者向装置上传进一步的指令集。任何种类的这种访问操作能够由客户来限制。安全供应商服务访问的提供通过提供对配置存储装置的访问权限来完成,配置存储装置保存用于操作装置所需的指令集。这使客户能够准予对配置存储装置中存储的特定功能性的访问权限。
[0014]只要没有设置访问权限,则禁用装置的操作可以是有利的。访问权限的设置被认为是本发明的应用情形中的基本步骤,并且因此客户应当始终首先完成访问权限的设置。 将访问权限初始化为未设置可以是有用的。因此,由客户来准予或拒绝访问权限,并且因此主动禁止供应商对装置的访问。
[0015]对于访问权限的配置,可提供安全模块,其布置成使能访问权限的安全修改。这可通过其他认证或加密技术来实现。因此,安全模块可包括其允许访问权限的配置的其他硬件或软件组件。安全模块可使用数据网络网络来远程操作,这能够要求其他组件(例如接口模块)。在本发明的一个实施例中,技术人员要求另一装置,其被插入待维护装置中以用于读出服务参数。因此,配置存储装置由接口模块来访问。
[0016]按照另一实施例,提供了用于访问配置存储装置的独立接口模块以及用于访问安全模块的一个另一接口模块。本领域的技术人员意识到,配置存储装置以及安全模块能够通过无线网络来访问。按照本发明的另一方面,配置存储装置以及安全模块可针对在另一网络、例如因特网的使用下。如果装置提供相应的在线功能性,则一旦适当设置访问权限, 维护工作能够通过因特网来实现。
[0017]安全模块可按照转变模型来操作。这种转变模型描述访问权限的状态,例如启用的访问、禁用的访问或者访问权限未设置。本领域的技术人员意识到,如果访问权限尚未设置,则技术人员确实有权访问配置存储装置。一旦客户主动禁用访问权限,则技术人员不再有权访问配置存储装置。此外,使客户例如通过定义准予对配置存储装置的访问的时间跨度来准予临时访问可以是有利的。
[0018]还在特定装置的上下文中所述,本发明的范围也针对基于独立的安全模块。如上所述的安全模块可耦合到按照特定固件来操作的任何装置。此外,本领域的技术人员意识至IJ,访问权限可设置成仅针对装置的配置集合的部分。此外,可实现角色模型,其允许特定技术人员或管理员访问装置的特定功能性。
[0019]按照本发明的另一方面,装置被布置使得至少一个访问权限是读访问权限和写访问权限其中之一。这提供如下优点:技术人员能够读出状态信息并且运行诊断例程,以及此外能够更新系统信息(例如固件),并且通过装置的相应重新配置来修复发生问题。
[0020]按照本发明的另一方面,装置被设置使得装置配置包括装置参数、固件、装置控制指令、用于操作装置的指令集和状态信息中的至少一个。这提供如下优点:能够访问关于从硬件驱动器到控制例程的所有等级的控制信息,这使得技术人员有可能修复与装置的配置有关的错误。
[0021]按照本发明的另一方面,装置被设置使得至少一个访问权限能够按照其他访问参数的组中的至少一个来被指配,该组包括永久访问权限、临时访问权限和准予访问的时间段。这提供如下优点:客户具有与访问权限的指配有关的极大灵活性。在请求时,技术人员能够提供有在预定时间量之后到期的临时访问,或者特定时间点可用于维护。
[0022]按照本发明的另一方面,安全模块包括用于设置至少一个访问权限的接口模块。 这提供如下优点:维护能够例如使用无线接口或者另一网络,例如因特网来远程执行。提供适合接口模块的专业化装置可以是有利的,其还限制访问。接口模块可实现其他安全方面, 使得对权限管理的访问受到限制并且适当控制。
[0023]按照本发明的另一方面,装置布置成在加密技术的使用下操作安全模块。这提供如下优点:另一安全机制能够被应用以用于控制访问权限管理。
[0024]按照本发明的另一方面,装置布置成使得至少一个访问权限是可配置的,以使得对配置存储装置的访问被启用、禁用或者未设置。这提供如下优点:在将装置交付给客户之后,访问权限最初尚未设置,这为客户提供与相应访问权限的设置有关的全面灵活性。因此,没有交付缺省配置,而是将准予访问的选择完全留给客户。
[0025]按照本发明的另一方面,装置被布置使得从访问权限未设置的条件到启用条件访问和禁用访问其中之一的转变是可变动的,并且反之亦然。这提供如下优点:实现清楚定义的转变模型,其按照简易并且因此不易出错的方式允许客户配置装置,而无需精通阶段。
[0026]按照本发明的另一方面,装置被布置使得禁止从启用访问权限的条件到禁用访问权限的直接转变,并且反之亦然。这提供如下优点:装置能够设置成初始配置,但是没有与从限制访问到启用访问的直接转变有关的误用是可能的。允许从指示禁用对装置的访问的状态到临时准予访问的状态的转变仍然在本发明的范围之内。这并没有违犯禁止从永久访问到永久闭锁的直接转变的规则。
[0027]按照本发明的另一方面,装置被布置成使得至少一个访问权限的状态通过至少一个访问位来编码。这提供如下优点:状态信息能够以极小工作量来编码和存储,并且能够实现相应标志,其设置为0或1或者设置为指示其未设置的值。情况可以是,要求附加位或位序列,以用于对访问权限的状态进行编码。
[0028]本发明的主题的焦点是如何能够按照安全方式来实现对装置的特殊或受限的访问。如前面提到的,特殊或受限的访问例如对维护是所需的。由于安全性、保修以及有时甚至是法律原因而可能不允许客户访问这个功能性。
[0029]本发明所针对的装置是独立装置,其没有绑定到中心认证方案中。此外,技术人员访问与客户不同的功能性,并且因此技术人员具有与客户不同的访问权限。例如如果客户只能监测装置但不能对它重新配置,则装置甚至可以完全不要求客户认证。这提出对能够停用特殊访问功能性的需要,但是同时黑客或入侵者将其关闭不应当是可行的,即使不存在客户认证。因此,需要非标准认证解决方案。总之,系统应当到位,其在只有技术人员能够使用它的意义上保护对服务功能性的访问。此外,有可能停用服务功能性。如果客户不希望给予技术人员访问,则应当不可能让他们在没有客户同意的情况下(重新)激活访问。最后, 如果客户准予技术人员访问权,则应当不可能让入侵者将它停用。
[0030]本发明为服务技术人员提供安全访问,而没有不可去除后门。该解决方案满足网络安全要求,并且易于实现,并且不要求对装置的显著改变。该解决方案为安全感知客户以及确定低安全风险并且因而更关注易用性的客户提供有益效果。
[0031]本发明还提供一种用于操作对其维护提供安全供应商服务访问的装置的方法,包括下列步骤:提供配置存储装置,其提供用于操作装置的装置配置;以及提供安全模块,其布置成指配用于访问配置存储装置的至少一个访问权限,其中如果至少一个访问权限被设置,装置才是可操作的。【附图说明】
[0032]下面将参照附图,只作为说明来描述本发明。[〇〇33]图1示出按照本发明的方面的,对其维护提供安全供应商服务访问的装置;图2示出按照本发明的方面的,用于操作对其维护提供安全供应商服务访问的装置的方法;以及图3示出按照本发明的方面的,用于操作对其维护提供安全供应商服务访问的装置的方法的转变模型。【具体实施方式】
[0034]图1示出装置1,其按照提供允许客户限制对装置的访问权限的安全供应商服务访问的方法来操作。当前图1中所描绘的模块和组件只是示范性的,并且可包括其他装置或者至少连接地耦合到其他装置。按照当前方面,装置1按照配置存储装置10上存储的指令集来操作。通常,这种配置存储装置10提供固件,并且被布置为装置的整体部分,使得装置1和配置存储装置10实现为单个硬件组件,其中配置存储装置10不可拆卸地附连到装置1。本领域的技术人员意识到,配置存储装置10也可布置在装置1的外部,并且提供相应接口以用于操作装置。
[0035] 一旦技术人员需要访问配置存储装置10,则必须针对安全模块以用于得到对配置存储装置10的访问。安全模块20可连接地耦合到另一存储装置30,其提供描述特定访问权限的转变模型和用于指配访问权限的相应的控制逻辑。访问权限数据库30还可存储已经指配给配置存储装置10的访问权限。[〇〇36]按照应用情形,请求技术人员维护装置1。技术人员持有配置装置,其包括接口模块頂2。为了访问装置,待维护装置也提供接口模块IM1。在当前应用情形中,维护工作通过两个接口模块IM1与IM2之间的通信无线地实现。因此,借助于无线接口来针对安全模块20, 并且技术人员从安全模块20请求访问权限。基于访问权限存储装置30中存储的访问权限配置,准予技术人员对配置存储装置10的访问或者拒绝访问。
[0037]类似地,客户能够设置特定访问权限,也就是,通过使用接口模块IM2,其通过另一接口模块IM1与装置进行通信。一旦客户接收到产品(也就是装置1),客户能够主动设置维护工作的访问权限,并且因此配置访问权限存储装置30。这再次通过针对安全模块20并且配置特定访问权限转变模型来执行。这种模型例如通过本申请的图3来描述。
[0038]图2示出按照本发明的另一方面的用于操作装置1的方法。在当前应用情形中,操作装置以使得在第一方法步骤100中,指令集经由存储装置(也就是配置存储装置10)来提供。这分别由装置的制造商或供应商执行。连同用于操作装置的指令集一起,在另一步骤 101中提供未定义的访问权限。在这个方法步骤101中,访问权限可被预定义为未设置的参数,这表示尚未向访问权限指配值。这又可称作访问权限的未决定状态。因此,能够定义为步骤100的所提供固件的哪一部分定义哪些读或写访问权限。备选地能够在方法步骤102跟踪访问权限的状态。如果访问权限尚未设置(这再次在步骤102中来确定),则可对技术人员准予访问。如果这类访问权限尚未设置,则锁定装置的操作可以是有利的。这允许技术人员上传新固件,其然后解锁装置以用于其正常操作。因此,如果在方法步骤103中请求访问,则在方法步骤102中检查这些相应访问权限,并且可取决于方法步骤102的结果在配置存储装置上允许或者不允许读或写操作。一旦在方法步骤104中设置访问权限并且在方法步骤102 中确定拒绝外部技术人员的访问,则在方法步骤105中锁定配置存储装置。如果方法步骤 102的结果是准予访问,则安全模块可在步骤106中解锁配置存储装置。因此,所请求的读或写操作能够在步骤107中执行。
[0039]本领域的技术人员意识到,所选方法步骤可反复地和/或按照不同顺序来执行。可要求其他方法步骤,其在当前图2中未描绘。[〇〇4〇]图3示出按照本发明的方面的用于操作对其维护提供安全供应商服务访问的装置的方法的转变模型。
[0041]在从供应商得到装置之后,装置处于“未决定”状态。客户然后能够明确启用或禁用特殊访问功能性,这使装置分别转变为状态“启用”或“禁用”。
[0042]希望特殊服务功能性始终被启用的客户将选择“启用”。为了避免某个人有意或无意禁用服务访问的风险,客户一旦启用它时则不能自行禁用它。每个装置配备有针对技术人员的密码保护的帐户,其能够由客户来停用。密码能够用来使状态从“启用”回复到“未决定”,即,如果被请求时要求技术人员改变这个设置。
[0043]如果安全感知客户希望提供仅按需访问或者希望能够自行停用装置访问,则权限选择为“禁用”。当转变成“禁用”状态时,生成在客户站点的管理员必须保持为保密的随机密码。这可能是印在屏幕上的密码。备选机制是将密码或证书直接存储在附连的USB棒上。 在这种情况下,必须保护对USB棒的访问。从禁用状态的任何转变要求密码,S卩,不可能让具有对机器的(物理)访问的任何人(包括技术人员)在没有密码的情况下重新启用访问。这种限制确保供应商不能将服务用作后门。如果为了维护而请求临时访问,则在客户站点的管理员输入密码,并且选择“临时启用”作为新状态。在这种状态中,装置如同“启用”状态中一样是可服务的;然而,当管理员、供应商的技术人员或者超时触发它时将转变回“禁用”。最后,管理员还能够使用其密码再次进入“未决定”状态,其使转变成“启用”状态是可能的。所有状态和转变在下图中描绘。
[0044]除了“禁用”之外的每一种状态允许技术人员服务于装置。注意,这可包括状态“未决定”。这意味着,没有接触装置并且将整个装置管理留给供应商的客户默许地允许技术人员对它访问。第二点在于,如果不存在配置了特定访问权限的用户帐户,则客户在没有密码的情况下能够实现的任何动作也能够由其他任何人执行。保护所有关键转变(也就是从“启用”到“未决定”以及从“禁用”到“临时启用”或“未决定”)。仅当装置留在状态“未决定”以及入侵者引起到“禁用”的转变并且不透露密码时,误用才是可能的。如果客户在设置装置时选择“启用”或“禁用”,则能够避开这种风险。
[0045]如上所述,当前图3描绘了描述由客户设置的访问权限的特定状态的示范转变模 ±夬。图3示出从“未决定”、“启用”、“禁用”或“临时启用”的状态的转变。如在图3中能够看到, 可以仅允许从“未决定”到“启用”(并且反之亦然)、从“未决定”到“禁用”(并且反之亦然)的转变。在特定情况下,允许从“禁用”到“临时启用”(并且反之亦然)的转变。为了防止误用, 排除“启用”到“禁用”的转变。如在当前图3的右手边能够看到,客户能够禁用对装置的访问,并且将访问权限的配置设置回“未决定”。这阻止供应商将禁用状态设置回“未决定”状态。如果访问权限为“启用”,则要求客户的交互。因此,实现特定角色模型,其允许对装置的基本功能性的安全访问。如果访问为“禁用”,则再次只有客户才能够临时启用对装置的访问。这种访问权限模型可如图1中所描绘的存储在相应存储装置30中。因此,提供装置的固件,其仅对置信技术人员允许对装置的指令集的访问。
[0046]现有技术的状态与本发明的技术教导之间的差别至少在于,已知方法用来保护和授权对特定服务的访问,而所提出的解决方案用来完全启用或禁用服务。按照现有技术的解决方案用于其中用户访问不取决于其他方的授权的情形中。所提出的解决方案针对其中由一方进行的访问必须由另一方来授权的情形,其中任一方可能是技术人员或客户。所提出的解决方案实现一方的安全访问,即使不存在另一方的认证机制。当前提供的方法保护对功能性的特定部分的访问,而全部其他功能性可在没有任何认证的情况下是可用的。
[0047]本领域的技术人员理解,本发明的范围并不局限于诸如供应商、客户、技术人员、 管理员等的角色模型,而是针对可以是或者可以不是人类的普通用户。例如,情况可以是, 基于机器的施动者、例如服务器或者一般来说的计算装置请求访问。因此,如前面所述的所有施动者在适用的地方也可以是任何硬件资源。
[0048]本发明的另一方面是用于对其维护提供安全供应商服务访问的装置,包括具有用于操作装置的指令集和/或装置配置的高速缓冲存储装置以及布置成设置用于访问高速缓冲存储装置的访问权限的安全模块,其中如果没有设置访问权限则闭锁装置。
[0049]本发明的另一方面是用于对装置的维护提供安全供应商服务访问的装置的安全模块,装置包括具有用于操作装置的指令集和/或装置配置的高速缓冲存储装置,其中安全模块布置成设置用于访问高速缓冲存储装置的访问权限,其中如果没有设置访问权限则闭锁装置。
[0050]连同所提出的装置、系统和模块一起,提供用于其操作的相应方法以及其上存储了由计算机处理器可执行的指令的计算机可读介质,指令在由处理器运行时执行如上所述方面的方法。
【主权项】
1.一种装置(1),对其维护提供安全的供应商服务访问,包括:-配置存储装置(10),提供用于操作所述装置(1)的装置配置;以及-安全模块(20),布置成设置用于访问所述配置存储装置(10)的至少一个访问权限; 其中只有所述至少一个访问权限被设置,所述装置(1)才是可操作的。2.如权利要求1所述的装置(1),其被布置使得所述至少一个访问权限是读访问权限和 写访问权限其中之一。3.如权利要求1或2所述的装置(1),其被设置使得所述装置配置包括装置参数、固件、 装置控制指令、用于操作所述装置的指令集和状态信息中的至少一个。4.如以上权利要求中的任一项所述的装置(1),其被布置使得所述至少一个访问权限 能够按照其他访问参数的组中的至少一个来指配,所述组包括永久访问权限、临时访问权 限和准予访问的时间段。5.如以上权利要求中的任一项所述的装置(1),其中,所述安全模块(20)包括用于设置 所述至少一个访问权限的接口模块。6.如以上权利要求中的任一项所述的装置(1),其被布置成在加密技术的使用下操作 所述安全模块(20)。7.如以上权利要求中的任一项所述的装置(1),其被置使得所述至少一个访问权限是 可配置的,以使得对所述配置存储装置(10)的访问被启用、禁用或者未设置。8.如以上权利要求中的任一项所述的装置(1),其被布置使得从访问权限未设置的条 件到启用条件访问和禁用访问其中之一的转变是可变动的并且反之亦然。9.如以上权利要求中的任一项所述的装置(1),其被布置使得禁止从启用访问权限的 条件到禁用访问权限的直接转变并且反之亦然。10.如以上权利要求中的任一项所述的装置(1),其被布置使得至少一个访问权限的状 态通过至少一个访问位来编码。11.一种用于操作装置(1)的方法,所述装置(1)对其维护提供安全的供应商服务访 问,包括:-提供配置存储装置(10),其提供用于操作所述装置(1)的装置配置;以及-提供安全模块(20),其布置成指配用于访问所述配置存储装置(10)的至少一个访问 权限;其中只有所述至少一个访问权限被设置,所述装置(1)才是可操作的。12.如权利要求11所述的方法,还包括提供指定访问权限状态的启用转变的转变模型。13.如权利要求11或12所述的方法,还包括如果所述至少一个访问权限被设置,则解锁 所述装置。14.如权利要求11至13中的任一项所述的方法,还包括提供对所述存储的装置配置的 至少一部分的访问权限的指配。15.—种计算机可读介质,其上存储了由计算机处理器可执行的指令,所述指令在由所 述处理器执行时实行如权利要求11至14所述的方法。
【文档编号】H04L29/06GK105991656SQ201610167329
【公开日】2016年10月5日
【申请日】2016年3月23日
【发明人】M.哈范, R.施勒格, S.奥伯梅尔, T.洛彻尔
【申请人】Abb 技术有限公司