用于将终端设备联接到可联网的计算机基础设施中的方法转让专利
申请号 : CN201980041243.0
文献号 : CN112335215B
文献日 : 2022-03-08
发明人 : 罗伯特·施瓦茨
申请人 : 西门子股份公司
摘要 :
本发明提出一种用于将终端设备(1)联接到可联网的计算机基础设施(2)的分配给用户(6a)的区域(4a)中的方法,所述计算机基础设施针对多个用户(6、6a)构建,其中为分配给用户(6a)的区域(4a)创建用户证书(12a),并提供给用户(6a)和/或可联网的计算机基础设施(2),其中创建与用户证书(12a)兼容的终端设备证书(16a),其中将终端设备证书(16a)输入到终端设备(1)中,其中终端设备(1)经由数据连接(20)注册在可联网的计算机基础设施(2)中,其中为了注册将终端设备证书(16a)和/或根据终端设备证书(16a)加密的密码从终端设备(1)经由数据连接(20)传输至可联网的计算机基础设施(2),其中终端设备(1)根据所传输的终端设备证书(16a)或根据终端设备证书(16a)加密的且传输的密码与用户证书(12)的兼容性的检查来在可联网的计算机基础设施(2)中认证终端设备(1),并且其中在成功认证的情况下为终端设备(1)在分配给用户(6a)的区域(4a)中开放可联网的计算机基础设施(2)的使用。
权利要求 :
1.一种用于将终端设备(1)联接到可联网的计算机基础设施(2)的分配给用户(6a)的区域(4a)中的方法,所述计算机基础设施被配置用于多个用户(6、6a),其中,为分配给所述用户(6a)的所述区域(4a)创建用户证书(12a),并将所述用户证书提供给所述用户(6a)和/或所述可联网的计算机基础设施(2),其中,创建与所述用户证书(12a)兼容的终端设备证书(16a),其中,所述终端设备证书(16a)基于所述用户证书(12a)‑由所述用户(6a)和/或
‑在所述可联网的计算机基础设施(2)的分配给所述用户(6a)的所述区域(4a)内由相应的应用来创建,
其中,将所述终端设备证书(16a)输入到所述终端设备(1)中,其中,所述终端设备(1)经由数据连接(20)在所述可联网的计算机基础设施(2)中注册,
其中,为了注册,所述终端设备证书(16a)从所述终端设备(1)经由所述数据连接(20)被传输至所述可联网的计算机基础设施(2),其中,所述终端设备(1)根据对传输的所述终端设备证书(16a)与所述用户证书(12)的兼容性的验证,在所述可联网的计算机基础设施(2)中对所述终端设备(1)进行认证,并且其中,在认证成功的情况下,在分配给所述用户(6a)的所述区域(4a)中为所述终端设备(1)开放对所述可联网的计算机基础设施(2)的使用。
2.根据权利要求1所述的方法,其中,所述终端设备证书(16a)通过从所述用户证书(12a)派生来创建。
3.根据前述权利要求中任一项所述的方法,其中,所述终端设备证书(16a)到所述终端设备(1)中的输入是通过在制造所述终端设备(1)期间输入到所述终端设备(1)的存储器中来实现的,和/或通过将存储有所述终端设备证书(16a)的非易失性存储介质(18)连接到所述终端设备(1)来实现的。
4.根据权利要求1或2所述的方法,其中,在分配给用户(6a)的所述区域(4a)中提供多个子用户区域(8a‑d),所述子用户区域被配置为分别由不同的子用户(10a‑d)来访问,并且其中,在认证成功的情况下,在相应的子用户区域(8a)中为所述终端设备(1)开放对所述可联网的计算机基础设施(2)的使用。
5.根据权利要求4所述的方法,其中,分别基于所述用户证书(12a)为所述可联网的计算机基础设施(2)的分配给用户(6a)的所述区域(4a)的多个子用户(10a‑d)创建与所述用户证书(12a)兼容的子用户证书(14a‑d),其中,所述子用户证书(14a‑d)两两彼此不兼容,并且其中,基于子用户的子用户证书(14a)来创建子用户(10a)的所述终端设备证书(1)。
6.根据权利要求1或2所述的方法,其中,针对所述终端设备(1)与所述可联网的计算机基础设施(2)的通信,使用发布订阅协议。
7.根据权利要求1或2所述的方法,其中,所述终端设备(1)与所述可联网的计算机基础设施(2)在OPC‑UA协议的框架下进行通信。
8.根据权利要求1或2所述的方法,其中,通过借助于对于所述终端设备(1)特定的登陆标识符(24)和密码进行登陆,实现所述终端设备(1)在所述可联网的计算机基础设施(2)中的注册,其中,所述终端设备证书(16a)被用作密码,或者从所述终端设备证书(16a)中派生出与所述用户证书(12a)兼容的密码。
9.根据权利要求1或2所述的方法,其中,使用云服务作为可联网的计算机基础设施(2),并且其中,所述云服务中的租户被用作分配给所述用户(6a)的区域(4a)。
10.根据权利要求1或2所述的方法,其中,经由在所述可联网的计算机基础设施(2)中为此所设置和配置的注册位置(23)办理所述终端设备(1)的注册,并且其中,在成功认证之后,所述可联网的计算机基础设施(2)的所述注册位置(23)将访问标记(26)分配给所述终端设备(1),借助所述访问标记所述终端设备(1)获得对所述可联网的计算机基础设施(2)的分配给所述用户(6a)的所述区域(4a)的访问。
11.一种可联网的计算机基础设施(2),包括:‑多个区域(4、4a),所述区域分别被分配给不同的用户(6、
6a),
‑多个用于构建到终端设备(1)的至少一个数据连接(20)的访问点(22),‑非易失性存储器,和
‑处理器,
其中,分配给用户(6a)的区域(4a)被配置为:在所述区域基于提供的配属给所述用户(6a)的用户证书(12a)由相应的应用来生成终端设备证书(16a),其中,所述处理器设置用于:
‑检查标识符与存储在所述非易失性存储器中的所述用户证书(12a)的兼容性,其中,所述标识符通过经由访问点(22)构建的数据连接(20)从终端设备(1)被传输至所述可联网的计算机基础设施(2),和
‑在确定所述标识符与所述用户证书(12a)的兼容性的情况下在分配给相应的用户(6a)的所述区域(4a)中为所述终端设备(1)开放对所述可联网的计算机基础设施(2)的使用,
其中,所述终端设备证书(16a)或利用所述终端设备证书(16a)加密的密码被设为标识符。
12.根据权利要求11所述的可联网的计算机基础设施(2),所述可联网的计算机基础设施被设计为云服务器。
说明书 :
用于将终端设备联接到可联网的计算机基础设施中的方法
技术领域
[0001] 本发明涉及一种用于将终端设备联接到可联网的计算机基础设施的分配给用户的区域中的方法,所述计算机基础设施针对多个用户构建,其中,终端设备经由数据连接注
册在可联网的计算机基础设施中,其中,在注册期间将密码从终端设备经由数据连接传输
至可联网的计算机基础设施,其中,终端设备根据通过可联网的计算机基础设施检查所传
输的密码来认证。
册在可联网的计算机基础设施中,其中,在注册期间将密码从终端设备经由数据连接传输
至可联网的计算机基础设施,其中,终端设备根据通过可联网的计算机基础设施检查所传
输的密码来认证。
背景技术
[0002] “物联网”(IoT)是将物理上有形的、原则上能够在空间上彼此分开任意远的设备彼此联网进而使这些设备因此通过相应的通信技术和协议相互协作的概念。例如,对于处
于建造过程中的机器便是这种情况,在此对不同地点处的建造设施彼此告知生产的进度或
者还告知在该地点处出现的问题,进而为了获得更有效的设施负荷率而相互协调。同样地,
例如用于尤其再生性产生能量的设施以及用于能量传输的设施彼此通信,以便根据在不同
地点处产生的服务来调节网络中的馈入和负荷率。
于建造过程中的机器便是这种情况,在此对不同地点处的建造设施彼此告知生产的进度或
者还告知在该地点处出现的问题,进而为了获得更有效的设施负荷率而相互协调。同样地,
例如用于尤其再生性产生能量的设施以及用于能量传输的设施彼此通信,以便根据在不同
地点处产生的服务来调节网络中的馈入和负荷率。
[0003] 在此,对于实际设备联网和成功连接以充分利用其协同的主要挑战是创建合适的通信协议。经常由不同的制造商制造的待联网的不同设备必须将信息提供给IoT中的其他
用户,使得该信息对于该用户是可处理的。大型设施通常针对其不同功能而使用根据功能
由不同标准给出的协议,这就更加适用。
用户,使得该信息对于该用户是可处理的。大型设施通常针对其不同功能而使用根据功能
由不同标准给出的协议,这就更加适用。
[0004] 此外,对于用于将设备联接于IoT的通信协议,对于协议固有的连接安全是重要方面。一方面应当保证:在IoT网络的后端中,仅相应授权的设备才获得对特定功能的访问,从
而对于验证该授权的认证应当是尽可能安全的。
而对于验证该授权的认证应当是尽可能安全的。
[0005] 然而,另一方面,通常还期望尽可能简单且用户友好地连接设备。用于具体实现IoT的云服务通常划分成与特定用户或普通用户相关联的各个区域,其中,相应的用户仅应
访问该设备或其所指配的区域就的设置在IoT中的功能。在此,对于将设备联接于“其”区
域,正是用户通常期望具有高灵活性的方面。
访问该设备或其所指配的区域就的设置在IoT中的功能。在此,对于将设备联接于“其”区
域,正是用户通常期望具有高灵活性的方面。
[0006] 为了由用户控制工业自动化系统,US 2014/0 208 390 A1提出:使该用户经由OPA UA客户端与OPA UA服务器通信。OPA UA服务器访问映像的列表,映像将各个存储的应用程
序证书与具体用户关联并且如有可能将其与相应的权限关联。用户能够经由其在OPA客户
端中的相应的应用程序证书在OPA UA服务器中进行登录,从而访问为其在OPA服务器的映
像中存储的权限。
序证书与具体用户关联并且如有可能将其与相应的权限关联。用户能够经由其在OPA客户
端中的相应的应用程序证书在OPA UA服务器中进行登录,从而访问为其在OPA服务器的映
像中存储的权限。
[0007] 在IP.COM Journal,2008年6月3日,XP013124895,“Nutzer‑Autorisierung an Schutzgeraeten mittels Rollen‑und Rechte‑Struktur und die Zuweisung dieser
mittels Parametriereinrichtung(借助于角色和权限结构对保护设备进行用户授权以及
借助于参数化装置来分配该用户授权)”中,对于用于控制和监视供电网络的保护设备,为
了由这种设备访问另一设备,实现内部的角色和权限结构,其中,各个角色通过联合关于一
组对象、例如设备的权限来定义。在设备处登录经由特征性的证书的相应的角色来进行。
mittels Parametriereinrichtung(借助于角色和权限结构对保护设备进行用户授权以及
借助于参数化装置来分配该用户授权)”中,对于用于控制和监视供电网络的保护设备,为
了由这种设备访问另一设备,实现内部的角色和权限结构,其中,各个角色通过联合关于一
组对象、例如设备的权限来定义。在设备处登录经由特征性的证书的相应的角色来进行。
发明内容
[0008] 因此,本发明所根据的目的是:提出一种用于将终端设备联接到可联网的计算机基础设施的分配给用户的区域中的方法,在安全性尽可能高的同时用户能够尽可能舒适地
执行该方法。
执行该方法。
[0009] 根据本发明,所述目的通过一种用于将终端设备联接到可联网的计算机基础设施的分配给用户的区域中的方法来实现,计算机基础设施设置用于多个用户,其中,为分配给
用户的区域创建用户证书,并提供给用户和/或可联网的计算机基础设施,其中,根据用户
证书创建与用户证书兼容的、尤其私人的终端设备证书,其中,终端设备证书由用户创建
和/或在可联网的计算机基础设施的分配给用户的区域之内由相应的应用来创建,其中,将
终端设备证书输入到终端设备中,其中,终端设备经由数据连接在可联网的计算机基础设
施中注册,其中,为了注册将终端设备证书和/或根据终端设备证书加密的密码从终端设备
经由数据连接传输至可联网的计算机基础设施,其中,终端设备根据所传输的终端设备证
书或根据终端设备证书加密的且传输的密码与用户证书的兼容性的检查来在可联网的计
算机基础设施中并且尤其通过该可联网的计算机基础设施认证终端设备,并且其中,在成
功认证的情况下在分配给用户的区域中为终端设备开放对可联网的计算机基础设施的使
用。有利地并且部分地本身视作为发明点的设计方案是从属权利要求和下面的描述的主
题。
用户的区域创建用户证书,并提供给用户和/或可联网的计算机基础设施,其中,根据用户
证书创建与用户证书兼容的、尤其私人的终端设备证书,其中,终端设备证书由用户创建
和/或在可联网的计算机基础设施的分配给用户的区域之内由相应的应用来创建,其中,将
终端设备证书输入到终端设备中,其中,终端设备经由数据连接在可联网的计算机基础设
施中注册,其中,为了注册将终端设备证书和/或根据终端设备证书加密的密码从终端设备
经由数据连接传输至可联网的计算机基础设施,其中,终端设备根据所传输的终端设备证
书或根据终端设备证书加密的且传输的密码与用户证书的兼容性的检查来在可联网的计
算机基础设施中并且尤其通过该可联网的计算机基础设施认证终端设备,并且其中,在成
功认证的情况下在分配给用户的区域中为终端设备开放对可联网的计算机基础设施的使
用。有利地并且部分地本身视作为发明点的设计方案是从属权利要求和下面的描述的主
题。
[0010] 在此,可联网的计算机基础设施尤其包括存储机构和/或处理器或计算机构和/或程序应用,程序应用能够优选地在计算机构上执行,并且程序应用能够尤其地存储在存储
机构上。在此,可联网的计算机基础设施特别是分散的,即可从大量可能的空间地点起访
问,地点彼此间分别具有显著的间距。在此,尤其能够经由因特网连接进行访问。在这方面,
可联网的计算机基础设施独立于实现物理部件、即存储机构和/或处理器或计算机构的位
置,通过与用户联网能够从用户的相应的地点起利用,其中,用户尤其能够通过终端设备提
供。
机构上。在此,可联网的计算机基础设施特别是分散的,即可从大量可能的空间地点起访
问,地点彼此间分别具有显著的间距。在此,尤其能够经由因特网连接进行访问。在这方面,
可联网的计算机基础设施独立于实现物理部件、即存储机构和/或处理器或计算机构的位
置,通过与用户联网能够从用户的相应的地点起利用,其中,用户尤其能够通过终端设备提
供。
[0011] 在此,针对多个用户来设置可联网的计算机基础设施尤其经由将相应的区域分别分配给用户来进行。在此,在可联网的计算机基础设施中分配给用户的区域尤其是在存储
机构上的界定的存储空间和/或包括用于由相关的用户尤其结合存储在其界定的存储空间
中的数据来使用和应用特定程序应用的权限。在此,优选地,将程序应用存储在存储机构的
单独的存储区域上,使得具体的程序应用在由具体用户进行所期望的访问时优选在对该程
序应用的相关用户的权限进行验证之后提供给处理器或计算机构以执行。
机构上的界定的存储空间和/或包括用于由相关的用户尤其结合存储在其界定的存储空间
中的数据来使用和应用特定程序应用的权限。在此,优选地,将程序应用存储在存储机构的
单独的存储区域上,使得具体的程序应用在由具体用户进行所期望的访问时优选在对该程
序应用的相关用户的权限进行验证之后提供给处理器或计算机构以执行。
[0012] 用于分配给用户的区域的用户证书优选由官方认可的认证机构创建。然后,官方认可的认证机构为用户和/或可联网的计算机基础设施(在后一种情况下例如通过与可联
网的计算机基础设施的管理员的相应交互)以适当且尤其足够安全的方式来提供用户证
书,即例如经由相应加密的数据连接、或在物理数据载体上提供,从而不需要具有潜在不安
全性的数据传输。
网的计算机基础设施的管理员的相应交互)以适当且尤其足够安全的方式来提供用户证
书,即例如经由相应加密的数据连接、或在物理数据载体上提供,从而不需要具有潜在不安
全性的数据传输。
[0013] 替代于此,用户证书也能够由在可联网的计算机基础设施内实现的相应的认证机构创建。在此,终端设备证书与用户证书兼容尤其包括:能够通过用户证书解密借助于终端
设备证书加密的消息。在此尤其地,通过要求兼容性(兼容性实际上是通过用于创建至少一
个所提到的证书的相应算法来实现的)也定义了层级:对于提供的用户证书可以存在有多
个分别互不相同的终端设备证书,这些终端设备证书本身全部分别与用户证书兼容。实际
上,这能够例如通过如下方式来实现:即优选借助于合适的哈希函数根据用户证书来创建
终端设备证书。
设备证书加密的消息。在此尤其地,通过要求兼容性(兼容性实际上是通过用于创建至少一
个所提到的证书的相应算法来实现的)也定义了层级:对于提供的用户证书可以存在有多
个分别互不相同的终端设备证书,这些终端设备证书本身全部分别与用户证书兼容。实际
上,这能够例如通过如下方式来实现:即优选借助于合适的哈希函数根据用户证书来创建
终端设备证书。
[0014] 优选地,终端设备证书以与可联网的计算机基础设施分离的方式被输入到终端设备,即在将终端设备证书输入到终端设备中的时间点,不存在从终端设备到可联网的计算
机基础设施的数据连接。在此,例如能够经由到USB存储器或到与可联网的计算机基础设施
分离的、且配设有相应的存储介质的计算机的有线连接来进行输入。
机基础设施的数据连接。在此,例如能够经由到USB存储器或到与可联网的计算机基础设施
分离的、且配设有相应的存储介质的计算机的有线连接来进行输入。
[0015] 为了在可联网的计算机基础设施中注册终端设备,在此将终端设备证书经由数据连接传输到可联网的计算机基础设施,其中,可联网的计算机基础设施被设置为,基于终端
设备的用于注册的通信请求,将终端设备证书与该通信请求关联,例如经由相应的注册助
手进行。替选于或除了终端设备证书之外,也能够将密码经由数据连接从终端设备传输给
可联网的计算机基础设施,其中,密码基于终端设备证书尤其由终端设备本身加密。
设备的用于注册的通信请求,将终端设备证书与该通信请求关联,例如经由相应的注册助
手进行。替选于或除了终端设备证书之外,也能够将密码经由数据连接从终端设备传输给
可联网的计算机基础设施,其中,密码基于终端设备证书尤其由终端设备本身加密。
[0016] 为了检查传输的终端设备证书或基于终端设备证书加密并传输的密码与用户证书的兼容性,在可联网的计算机基础设施的范畴中,尤其能够设置相应的注册助手,例如实
现为相应的程序应用的注册助手。如果例如在MQTT协议的框架下在终端设备和可联网的计
算机基础设施之间进行通信,则助手优选被实现为MQTT代理。如果用户证书仅为用户本人
而并非整个可联网的计算机基础设施全局提供,则在分配给用户的区域的层级上进行检
查,在该区域中优选也实施有相应的助手。终端设备的认证尤其包括在检查时进行的对所
提出的证书的兼容性的确认。
现为相应的程序应用的注册助手。如果例如在MQTT协议的框架下在终端设备和可联网的计
算机基础设施之间进行通信,则助手优选被实现为MQTT代理。如果用户证书仅为用户本人
而并非整个可联网的计算机基础设施全局提供,则在分配给用户的区域的层级上进行检
查,在该区域中优选也实施有相应的助手。终端设备的认证尤其包括在检查时进行的对所
提出的证书的兼容性的确认。
[0017] 在分配给用户的区域中开放对可联网的计算机基础设施的使用尤其包括由设备访问分配给用户的存储空间,以及通过终端设备和/或结合终端设备来使用程序应用,其
中,用户在可联网的计算机基础设施本身的范畴内具有对于这些程序应用的使用权限。
中,用户在可联网的计算机基础设施本身的范畴内具有对于这些程序应用的使用权限。
[0018] 所提出的方法使得用户本身能够在为分配给其的区域的成功认证之后作为用于各个终端设备的“认证机构”。由此,单独的终端设备不必再针对整个可联网的计算机基础
设施进行认证,并且费事地将相应的证书存储在那里,而是更确切地说为用户提供如下可
行性:即通过该用户对于可联网的计算机基础设施的分配给该用户的区域的认证而建立的
信任,通过相应的认证被转移到待使用的终端设备上。
设施进行认证,并且费事地将相应的证书存储在那里,而是更确切地说为用户提供如下可
行性:即通过该用户对于可联网的计算机基础设施的分配给该用户的区域的认证而建立的
信任,通过相应的认证被转移到待使用的终端设备上。
[0019] 优选地,终端设备证书通过从用户证书的派生而创建。这尤其通过相应的算法、例如哈希函数来进行,在该情况中,实现了派生的证书所需的兼容性特性。这为用户实现:经
由相应地颁发终端设备证书来授予由其先验地被分级为值得信任的终端设备对分配给它
的区域的访问。
由相应地颁发终端设备证书来授予由其先验地被分级为值得信任的终端设备对分配给它
的区域的访问。
[0020] 根据本发明,终端设备证书由用户创建和/或在可联网的计算机基础设施的分配给用户的区域内由相应的应用创建。由此,为用户省去了为创建终端设备证书而将相应的
请求发送到可联网的计算机基础设施的管理单元的必要性。更确切地说,用户或尤其被分
级为值得信任的第三方能够在可联网的计算机基础设施的分配给其的区域中自己创建终
端设备证书。用于创建终端设备证书的相应的应用能够经由相应的授权通过可联网的计算
机基础设施提供给用户。
请求发送到可联网的计算机基础设施的管理单元的必要性。更确切地说,用户或尤其被分
级为值得信任的第三方能够在可联网的计算机基础设施的分配给其的区域中自己创建终
端设备证书。用于创建终端设备证书的相应的应用能够经由相应的授权通过可联网的计算
机基础设施提供给用户。
[0021] 有利地,将终端设备证书输入到终端设备中是通过在制造终端设备期间输入到终端设备的存储器中来实现的,和/或通过将非易失性存储介质连接到终端设备来实现的,终
端设备证书被存储在非易失性存储介质上。在此优选地,终端设备证书到终端设备中的输
入完全与可联网的计算机基础设施分离地进行,即在终端设备和可联网的计算机基础设施
之间没有任何类型的数据连接以进行传输。由此提高了注册的安全性,因为现在终端设备
证书的分发可以被假定为是安全的,并且对于安全性无需关于可能的数据连接的进一步假
设。在此,具体地,能够例如通过如下方式进行终端设备证书的传输:即在终端设备的制造
过程期间将与可联网的计算机基础设施分开的计算机与终端设备连接。现在,将存储有终
端设备证书的存储介质、例如USB存储设备或CD‑ROM输送给计算机。现在,通过由计算机读
出存储介质并且然后经由数据连接将终端设备证书从计算机传输给终端设备,来将其输入
到终端设备中。
端设备证书被存储在非易失性存储介质上。在此优选地,终端设备证书到终端设备中的输
入完全与可联网的计算机基础设施分离地进行,即在终端设备和可联网的计算机基础设施
之间没有任何类型的数据连接以进行传输。由此提高了注册的安全性,因为现在终端设备
证书的分发可以被假定为是安全的,并且对于安全性无需关于可能的数据连接的进一步假
设。在此,具体地,能够例如通过如下方式进行终端设备证书的传输:即在终端设备的制造
过程期间将与可联网的计算机基础设施分开的计算机与终端设备连接。现在,将存储有终
端设备证书的存储介质、例如USB存储设备或CD‑ROM输送给计算机。现在,通过由计算机读
出存储介质并且然后经由数据连接将终端设备证书从计算机传输给终端设备,来将其输入
到终端设备中。
[0022] 被证实为有利的是:在分配给用户的区域中设置多个子用户区域,这些子用户区域分别设置用于由不同的子用户来访问,并且其中,在成功认证之后在相应的子用户区域
中为终端设备开放对可联网的计算机基础设施的使用。在此,在子用户区域中的使用尤其
被理解为:终端设备仅开放对相关子用户具有相应的权限的功能的使用。这尤其能够包括:
在分配给用户的区域之内存在提供给该区域的所有子用户的可联网的计算机基础设施的
全局功能。在该情况下,终端设备具有对全局功能的访问权,并且在仅对于单个子用户特定
的功能中,仅具有对在子用户区域中开放的功能的访问权。在此,优选由子用户和/或在其
子用户区域内创建终端设备证书。
中为终端设备开放对可联网的计算机基础设施的使用。在此,在子用户区域中的使用尤其
被理解为:终端设备仅开放对相关子用户具有相应的权限的功能的使用。这尤其能够包括:
在分配给用户的区域之内存在提供给该区域的所有子用户的可联网的计算机基础设施的
全局功能。在该情况下,终端设备具有对全局功能的访问权,并且在仅对于单个子用户特定
的功能中,仅具有对在子用户区域中开放的功能的访问权。在此,优选由子用户和/或在其
子用户区域内创建终端设备证书。
[0023] 在此优选地,基于用户证书为分配给用户的区域的多个子用户创建与用户证书兼容的子用户证书,其中,子用户证书分别两两彼此不兼容,并且其中,子用户的终端设备证
书根据其子用户证书来创建。在此,子用户证书的两两不兼容性尤其被理解为:借助第一子
用户证书加密的消息无法借助第二子用户证书解密。如果现在根据具体的子用户证书创建
终端设备证书,那么这允许相应的子用户对在可联网的计算机基础设施的分配给该用户的
区域中对其有资格的终端设备进行注册而进行简单的控制。其终端设备与分配给该用户的
区域的连接的安全性在此能够通过各个子用户证书的两两互不兼容性来实现。
书根据其子用户证书来创建。在此,子用户证书的两两不兼容性尤其被理解为:借助第一子
用户证书加密的消息无法借助第二子用户证书解密。如果现在根据具体的子用户证书创建
终端设备证书,那么这允许相应的子用户对在可联网的计算机基础设施的分配给该用户的
区域中对其有资格的终端设备进行注册而进行简单的控制。其终端设备与分配给该用户的
区域的连接的安全性在此能够通过各个子用户证书的两两互不兼容性来实现。
[0024] 在一个有利的设计方案中,为了终端设备与可联网的计算机基础设施通信使用发布订阅协议。终端设备与可联网的计算机基础设施、即例如云服务的通信例如一方面能够
基于请求‑响应来运行。这意味着:对于由通信协议的一用户到另一用户的具体请求,永久
连接和相应的分配是可行的,这随着用户数量的增加并且尤其在不对称(从许多“客户端”
到一个“服务器”的请求,一个“服务器”到“潜在多个“客户端”的答复)的情况下会引起通信
的延缓。在根据发布‑订阅原理的通信协议中(也称为“pub/sub”),用户发布设有标记的消
息(“发布”),消息能够先验地由任意其他用户读取。其他用户现在能够自己定义如下标记,
用户完全希望接收/读取标记的消息(“订阅”)。这显著地简化了复杂网络中的通信。因此,
刚好对于将潜在大量终端设备连接于可联网的计算机基础设施而言,用于低通信开销的发
布‑订阅协议是有利的。
基于请求‑响应来运行。这意味着:对于由通信协议的一用户到另一用户的具体请求,永久
连接和相应的分配是可行的,这随着用户数量的增加并且尤其在不对称(从许多“客户端”
到一个“服务器”的请求,一个“服务器”到“潜在多个“客户端”的答复)的情况下会引起通信
的延缓。在根据发布‑订阅原理的通信协议中(也称为“pub/sub”),用户发布设有标记的消
息(“发布”),消息能够先验地由任意其他用户读取。其他用户现在能够自己定义如下标记,
用户完全希望接收/读取标记的消息(“订阅”)。这显著地简化了复杂网络中的通信。因此,
刚好对于将潜在大量终端设备连接于可联网的计算机基础设施而言,用于低通信开销的发
布‑订阅协议是有利的。
[0025] 优选地,终端设备与可联网的计算机基础设施的通信在OPC‑UA协议的框架下进行。OPC UA协议是用于在终端设备之间自动交换信息的协议,如其尤其能够存在于工业机
器中。为了在OPC UA协议的框架内将终端设备联接到可联网的计算机基础设施、特别是连
接到云服务,所建议的方法是特别有利的,因为该协议本身并未提供用于终端安全连接的
标准。现在,能够借助本方法克服该缺陷。
器中。为了在OPC UA协议的框架内将终端设备联接到可联网的计算机基础设施、特别是连
接到云服务,所建议的方法是特别有利的,因为该协议本身并未提供用于终端安全连接的
标准。现在,能够借助本方法克服该缺陷。
[0026] 被证实为有利的是:通过借助于对于终端设备特定的、尤其公开的登陆标识符和尤其私人密码登陆将终端设备注册在可联网的计算机基础设施中,其中,将终端设备证书
用作为密码,或者从终端设备证书中派生出与用户证书兼容的密码。尤其地,登录标识符在
此能够通过JSON Web令牌通过,JSON Web令牌借助终端设备证书或借助从其派生的、在保
持与用户证书的兼容性的情况下派生的密码来加密。
用作为密码,或者从终端设备证书中派生出与用户证书兼容的密码。尤其地,登录标识符在
此能够通过JSON Web令牌通过,JSON Web令牌借助终端设备证书或借助从其派生的、在保
持与用户证书的兼容性的情况下派生的密码来加密。
[0027] 有利地,将云服务用作可联网的计算机基础设施,其中,将云服务中的租户用作分配给用户的区域。在此,云服务是可联网的计算机基础设施,可联网的计算机基础设施可以
设置为,使得其能够基本上在没有空间上的限制的情况下在全局经由通常的因特网连接而
被访问。由于越来越多地将云服务用于将终端设备刚好在工业环境中联网,该方法尤其适
合于此。
设置为,使得其能够基本上在没有空间上的限制的情况下在全局经由通常的因特网连接而
被访问。由于越来越多地将云服务用于将终端设备刚好在工业环境中联网,该方法尤其适
合于此。
[0028] 有利地,终端设备的注册经由在可联网的计算机基础设施中为此所设的和设置的注册位置来办理,其中,可联网的计算机基础设施的注册位置在成功认证之后将访问标记
分配给终端设备,借助访问标记终端设备获得对可联网的计算机基础设施的分配给用户的
区域的访问。在此,注册位置能够虚拟地实现为相应的程序应用。在此,访问标记能够通过
相应的令牌提供,令牌优选以合适的文件格式存在。在该情况下,仅有被分配有所提到的访
问标记的终端设备才能够访问分配给用户的区域。
分配给终端设备,借助访问标记终端设备获得对可联网的计算机基础设施的分配给用户的
区域的访问。在此,注册位置能够虚拟地实现为相应的程序应用。在此,访问标记能够通过
相应的令牌提供,令牌优选以合适的文件格式存在。在该情况下,仅有被分配有所提到的访
问标记的终端设备才能够访问分配给用户的区域。
[0029] 本发明还提出一种可联网的计算机基础设施,其包括:多个区域,区域分别分配给不同的用户;多个用于构建到尤其外部的、即先验不属于可联网的计算机基础设施的终端
设备的至少一个数据连接的访问点;非易失性存储器;和处理器。
设备的至少一个数据连接的访问点;非易失性存储器;和处理器。
[0030] 在此,分配给用户的区域设置用于:在那里根据所提供的、与用户相关联的用户证书通过相应的应用产生终端设备证书。在此,处理器设置用于:检查标识符与存储在非易失
性存储器中的用户证书的兼容性,标识符通过经由访问点构建的数据连接从终端设备传输
至可联网的计算机基础设施,和在确定标识符与用户证书的兼容性的情况下对于终端设备
在分配给相应的用户的区域中开放可联网的计算机基础设施的使用。针对方法和针对其改
进形式说明的优点意义上能够转用于可联网的计算机基础设施。
性存储器中的用户证书的兼容性,标识符通过经由访问点构建的数据连接从终端设备传输
至可联网的计算机基础设施,和在确定标识符与用户证书的兼容性的情况下对于终端设备
在分配给相应的用户的区域中开放可联网的计算机基础设施的使用。针对方法和针对其改
进形式说明的优点意义上能够转用于可联网的计算机基础设施。
[0031] 根据本发明,根据前述方法,将终端设备证书或借助终端设备证书加密的密码设作为标识符。优选地,可联网的计算机基础设施构成为云服务。
附图说明
[0032] 下面参考附图更详细地阐述本发明的示例性实施例。在此示意地示出:
[0033] 图1示出用于将终端设备联接到可联网的计算机基础设施中的方法的框图。
具体实施方式
[0034] 在图1中示意地示出方法的框图,通过该方法终端设备1被联接至可联网的计算机基础设施2。在此,可联网的计算机基础设施2通过云服务提供,云服务在结构上划分成不同
的区域4,这些区域分别被分配给不同的用户6。尤其地,这包括可联网的计算机基础设施2
的存储空间中的尤其是彼此分离的存储区域,以及对于分配给不同用户的区域4可能还包
括对可联网的计算机基础设施2的不同功能和/或应用的访问。分配给具体用户6a的区域4a
在此划分成多个子用户区域8a‑d,这些子用户区域分别设置用于由不同的子用户10a‑d访
问。
的区域4,这些区域分别被分配给不同的用户6。尤其地,这包括可联网的计算机基础设施2
的存储空间中的尤其是彼此分离的存储区域,以及对于分配给不同用户的区域4可能还包
括对可联网的计算机基础设施2的不同功能和/或应用的访问。分配给具体用户6a的区域4a
在此划分成多个子用户区域8a‑d,这些子用户区域分别设置用于由不同的子用户10a‑d访
问。
[0035] 这种架构例如能够在如下情况下提供:即云服务服务商首先通常将其云服务、即可联网的计算机基础设施2提供给多个在此由用户6提供的企业,并且为它们分配相应的区
域4。如果在此企业中的一个例如是由机器和设施的制造商提供的,优选地为了维护和/或
保养而以特别的方式监控这些机器和设施的运行,那么设施的制造商可以作为用户6在可
联网的计算机基础设施2的为其所分配的区域4中具有用于子用户10a‑d的子用户区域8a‑
d,它们本身是由用户6a的设施的应用者提供的。在此,不同的子用户10a‑d在可联网的计算
机基础设施2的范畴中分别仅具有对其自身的设施相关的功能的访问权。
域4。如果在此企业中的一个例如是由机器和设施的制造商提供的,优选地为了维护和/或
保养而以特别的方式监控这些机器和设施的运行,那么设施的制造商可以作为用户6在可
联网的计算机基础设施2的为其所分配的区域4中具有用于子用户10a‑d的子用户区域8a‑
d,它们本身是由用户6a的设施的应用者提供的。在此,不同的子用户10a‑d在可联网的计算
机基础设施2的范畴中分别仅具有对其自身的设施相关的功能的访问权。
[0036] 现在,具体的子用户10a希望为了使用可联网的计算机基础设施2的功能而将终端设备1与其连接。在此如有可能,终端设备1不基于用户6a的设备标准来提供,而是例如能够
通过用于用户6a的设施的运行参数的附加测量设备提供。为此,首先将数字用户证书12a存
储在分配给用户6a的区域4a中。在此,用户证书12a例如可以由官方认可的认证机构颁发。
用户6a根据用户证书12a为每个子用户10a‑d分别创建相应的子用户证书14a‑d,这些子用
户证书都与用户证书12a兼容。在此,相关的证书的兼容性尤其包括:借助于层级中的低级
的证书、即当前子用户证书14a‑d之一来加密的消息,能够由层级中更高的证书、即当前用
户证书12a来解密。在此,子用户证书14a‑d例如能够借助于合适的哈希函数从用户证书12a
派生。
通过用于用户6a的设施的运行参数的附加测量设备提供。为此,首先将数字用户证书12a存
储在分配给用户6a的区域4a中。在此,用户证书12a例如可以由官方认可的认证机构颁发。
用户6a根据用户证书12a为每个子用户10a‑d分别创建相应的子用户证书14a‑d,这些子用
户证书都与用户证书12a兼容。在此,相关的证书的兼容性尤其包括:借助于层级中的低级
的证书、即当前子用户证书14a‑d之一来加密的消息,能够由层级中更高的证书、即当前用
户证书12a来解密。在此,子用户证书14a‑d例如能够借助于合适的哈希函数从用户证书12a
派生。
[0037] 因此,子用户10a拥有子用户证书14a。现在,子用户10a,例如重新根据适当的哈希函数,从子用户证书14a中派生出终端设备证书16a,该终端设备证书与子用户证书14a并且
尤其与用户证书12a以已经描述的方式兼容。
尤其与用户证书12a以已经描述的方式兼容。
[0038] 用户10a拥有的终端设备1应当为了通信经由OPC UA Pub/Sub协议与联网的计算机基础设施2连接。为此,终端设备证书16a存储在数据载体18上,并由子用户10a传输到终
端设备1上。数据载体18例如能够是USB存储器,能够从该USB存储器起到终端设备1建立到
终端设备1的有线数据连接,经由数据连接传输终端设备证书16a。现在,经由数据连接20将
终端设备1与虚拟的计算机基础设施2的访问点22连接。访问点22与作为注册位置23的MQTT
代理连接,终端设备1现在向该MQTT代理传输登录标识符24,并且借助作终端设备证书16a,
该登陆标识符被确认为密码。替代于此,登录标识符24能够存在于借助终端设备证书16a加
密的JSON Web令牌中。
端设备1上。数据载体18例如能够是USB存储器,能够从该USB存储器起到终端设备1建立到
终端设备1的有线数据连接,经由数据连接传输终端设备证书16a。现在,经由数据连接20将
终端设备1与虚拟的计算机基础设施2的访问点22连接。访问点22与作为注册位置23的MQTT
代理连接,终端设备1现在向该MQTT代理传输登录标识符24,并且借助作终端设备证书16a,
该登陆标识符被确认为密码。替代于此,登录标识符24能够存在于借助终端设备证书16a加
密的JSON Web令牌中。
[0039] 在MQTT代理中检查:由终端设备1传输的终端设备证书16a是否与用户证书12a兼容。如果兼容,则向终端设备1分配访问令牌形式的访问标记26,通过该访问标记,终端设备
获得对可联网的计算机基础设施2的在子用户区域8a中为子用户10a开放的功能的访问权,
即尤其对子用户区域的存储空间的访问和对区域6a的子用户8a具有权限的程序应用的访
问。
获得对可联网的计算机基础设施2的在子用户区域8a中为子用户10a开放的功能的访问权,
即尤其对子用户区域的存储空间的访问和对区域6a的子用户8a具有权限的程序应用的访
问。
[0040] 尽管详细地通过优选的实施例详细地阐述和表述了本发明,然而本发明不通过所公开的实例而限制,并且能够由本领域技术人员从中派生出其他的变型形式,而没有偏离
本发明的保护范围。
本发明的保护范围。