專利名稱:用于基于證書進行認證的方法
技術領域:
本發(fā)明涉及一種用于基于證書進行認證的方法,其中第一用戶相對于第二用戶借助被分配給第一用戶的數(shù)字證書而被認證�����。
背景技術:
數(shù)字證書本身在現(xiàn)有技術中是公知的��。這些數(shù)字證書包含為其簽發(fā)證書的人員或機構或機器形式的實體的身份(Identitaet)���。此處并且在下文使用概念“用戶”��,可以給該用戶分配證書�。用戶在此可以是為其簽發(fā)證書的計算機或機器�����。同樣�,用戶可以涉及管理人員或機構的證書的計算機或機器。由于證書管理的責任�,給計算機或機器分配該證書。證書包含用于相對應實體的公鑰����,并且通過證書中的數(shù)字簽名可以確認證書的所有者�����。數(shù)字簽名在此由證書發(fā)行機構計算。通過發(fā)行機構的根證書或朝著(hin zu)根證書的證書鏈可以將簽名驗證為有效的����。在數(shù)字證書中,可以編碼(eincodieren)有所謂的屬性形式的附加信息����,通過所述附加信息確定證書的使用者的權限或證書的使用限制。例如����,公知的是,借助屬性僅針對確定的通信類型或通信協(xié)議限制證書或通過證書確認的加密密鑰�����。同樣公知的是���,限制證書的地理有效性���,使得證書在認證的過程中僅可以被在預先確定的地理區(qū)域中的用戶使用。此外在現(xiàn)有技術中還描述了,將WLAN網(wǎng)絡名作為證書擴展編碼到證書中�����,以便由此從多個在進行認證的用戶中存在的證書中選擇合適的證書�����。此外���,描述了將權限信息編碼到證書中��。根據(jù)權限信息確定:允許利用證書被認證的用戶實施哪些訪問����。此外公知的是�����,將角色信息(Ro 11 eninformat ion )編碼到證書中���,以便簡化對多個用戶的經(jīng)授權的訪問的管理����。在此,根據(jù)存放在證書中的角色允許或拒絕用戶對其他用戶的訪問�����。在現(xiàn)有技術中公知的證書擴展盡管能夠實現(xiàn)對證書的使用的限制����,但不允許確定在該證書應只可用于其的兩個通信伙伴之間的專用通信連接�����。
發(fā)明內容
因此�,本發(fā)明的任務是提出一種用于基于證書進行認證的方法,其中針對預先確定的通信任務可以精細地(feingranuIar )確定證書的使用���。該任務通過根據(jù)權利要求1所述的方法或根據(jù)權利要求15所述的通信網(wǎng)絡來解決���。本發(fā)明的改進方案被限定在從屬權利要求中。在根據(jù)本發(fā)明的方法的過程中執(zhí)行認證�����,其中第一用戶相對于第二用戶借助被分配給第一用戶的數(shù)字證書而被認證���。證書在此詳細說明了一個或多個特征�����,所述特征要被第二用戶滿足���。概念“在證書中的一個或多個特征的詳細說明”在此要寬泛地被理解�。被詳細說明的特征可以直接被存放在證書中�。同樣存在如下可能性:證書包含對相對應的特征的參考,所述相對應的特征被存儲在其他位置上���。由此��,實現(xiàn)了證書中的特征的間接詳細說明�����。
在根據(jù)本發(fā)明的認證的過程中����,依據(jù)證書檢驗:第二用戶是否滿足所述一個或多個特征�,其中對于成功認證所需的標準在于第二用戶滿足所述一個或多個特征。根據(jù)本發(fā)明的方法的特點在于�,在認證時考慮第二用戶的特性�,其中所述第二用戶在認證時表示第一用戶(即被認證者)相對于其被認證的認證者�����。以這種方式���,證書的使用可以專用地被限制到在第一用戶與第二用戶之間的確定的通信連接上��。如上面已經(jīng)提及的那樣,通過證書詳細說明的特征可以直接地或間接地(例如通過參考)在證書中被編碼���。在優(yōu)選的實施形式中�,這些特征類似于在現(xiàn)有技術中那樣通過一個或多個屬性被詳細說明���,其直接包含相對應的特征�����,和/或包含一個或多個對屬性的參考��,通過所述參考間接地詳細說明所述特征���。與公知的屬性不同�,這些屬性現(xiàn)在包含第二用戶的特征或特性����。必要時,在證書中也可以詳細說明其他本身公知的屬性��,這些屬性附加地除了第二用戶的要滿足的特征之外還確定其他限制�,這些限制在認證時要予以考慮。在根據(jù)本發(fā)明的方法的優(yōu)選實施形式中��,通過第二用戶本身對第二用戶是否滿足所述一個或多個特征進行檢驗����。優(yōu)選地,在此���,第一用戶將其證書傳送給第二用戶��,或者第二用戶在第三位置處調用證書��,例如在相對應的證書發(fā)行機構或目錄服務處調用證書��。以這種方式�,第二用戶獲得對要被其滿足的特征的訪問�,使得該第二用戶可以檢驗該第二用戶是否滿足這些特征����。如果第二用戶不應滿足這些特征�,則第一用戶的認證被中斷或被拒絕。在根據(jù)本發(fā)明的方法的另一實施形式中����,通過第一用戶執(zhí)行對第二用戶是否滿足所述一個或多個特征的檢驗。在這種情況下���,相對應地要滿足的特征不需要被傳送或被提供給第二用戶���。在此��,第二用戶的相對應的特性可以已經(jīng)事先被存放在第一用戶中���,依據(jù)所述第二用戶的相對應的特性可以檢驗是否滿足在證書中詳細說明的特征�����。同樣存在如下可能性�,第一用戶從第二用戶接收關于第二用戶的特性的信息�,或者在第三位置(例如證書發(fā)行機構或目錄服務)處調用所述信息�����,使得第一用戶緊接著依據(jù)所述信息可以確定第二用戶是否滿足在證書中被詳細說明的所述一個或多個特征�。如果不滿足這些特征����,則認證又可以以適當?shù)姆绞奖恢袛啵绲谝挥脩艨梢苑艞墝⒆C書傳送給第二用戶或在稍后的時刻結束認證��。要被第二用戶滿足的特征可以涉及第二用戶的任意特性����。優(yōu)選地,這些特征包括如下特征中的一個或多個:
一第二用戶的身份或身份范圍����;
一第二用戶的設備類型;
一由第二用戶提供的服務���;
一由第二用戶提供的方法����。上述“設備類型”的概念在此要寬泛地被理解,并且可以涉及一個或多個預先確定的設備(通過所述設備實現(xiàn)第二用戶的功能)�,必要時也涉及確定的設備制造商的設備。上述的身份或上述的身份范圍在此例如可以包括地址��、尤其是IP地址或MAC地址,或者包括相對應的地址范圍��、尤其是IP地址范圍或MAC地址范圍�。同樣,身份或身份范圍可以涉及名字、例如DNS名字��,或涉及名字范圍(Namensbereich)����、尤其是DNS名字范圍。身份或身份范圍必要時也可以是端口號或端口號范圍�����、例如基于TCP協(xié)議和/或UDP協(xié)議的端口號或端口號范圍�,或者是URL標識符(Bezeichner )或URL標識符范圍�。為了詳細說明身份范圍,尤其是可以使用在現(xiàn)有技術中公知的合適的通配符或網(wǎng)絡掩碼�����。可表示要被第二用戶滿足的特征的上面列出的服務例如是網(wǎng)絡服務�����。類似地����,要由第二用戶提供的上面提及的方法可以表示網(wǎng)絡服務的方法。在根據(jù)本發(fā)明的方法的另一特別優(yōu)選的實施形式中�,在第一用戶相對于第二用戶的認證的過程中,除了上述對第二用戶是否滿足所述在該證書中詳細說明的一個或多個特征的檢驗之外也進行證書的驗證�。該驗證可以以本身公知的方式通過檢驗證書的簽名來進行。在根據(jù)本發(fā)明的方法的另一實施形式中��,利用第一用戶的在證書中所包含的公鑰以及被分配給該公鑰的私鑰建立在第一用戶與第二用戶之間的加密保護的連接���,例如基于SSL/TLS協(xié)議和/或IKE/IPsec協(xié)議和/或IKEv2/IPsec協(xié)議來建立所述連接���。在連接建立的過程中,接著可以進行對要被第一用戶滿足的所述一個或多個特征的檢驗��。必要時也存在如下可能性:在單獨的認證步驟中��,除了連接建立之外還執(zhí)行對特征的檢驗�,例如在建立加密保護的連接之后執(zhí)行所述檢驗����。在根據(jù)本發(fā)明的方法的另一特別優(yōu)選的實施形式中����,證書是擴展的X.509證書,其中X.509證書本身在現(xiàn)有技術中是公知的�����。擴展的證書附加地詳細說明了要被第二用戶滿足的一個或多個特征���。根據(jù)本發(fā)明的方法必要時也可以被用于在第一用戶與第二用戶之間進行相互認證�。也就是說�����,第一用戶利用該方法在第二用戶處被認證����,并且在交換第一用戶和第二用戶的角色的情況下,類似地����,第二用戶在第一用戶處被認證。根據(jù)本發(fā)明的方法可以被用于計算機或機器形式的任意第一用戶或第二用戶��。優(yōu)選地�,用戶在此表示自動化系統(tǒng)的部件、諸如相對應的控制設備���、現(xiàn)場設備����、傳感器���、執(zhí)行器
坐坐寸寸ο除了上面所描述的方法之外�����,本發(fā)明此外還涉及一種帶有第一用戶和第二用戶的通信網(wǎng)絡�,其中在通信網(wǎng)絡運行時可以根據(jù)上面所描述的方法或上面所描述的方法的一種或多種變型方案來執(zhí)行基于證書的認證���。
隨后依據(jù)所附的附圖詳細地描述了本發(fā)明的實施例�。其中:
圖1示出了按照根據(jù)本發(fā)明的方法的第一實施形式的認證的流程 圖2示出了按照根據(jù)本發(fā)明的方法的第二實施形式的認證的流程圖�����;以及 圖3示出了按照根據(jù)本發(fā)明的方法的第三實施形式的雙向認證的流程圖。
具體實施例方式在下文基于擴展的X.509證書闡述了根據(jù)本發(fā)明的認證�����,該擴展的X.509證書例如在IKE/IPsec或SSL/TLS認證中被使用���。常規(guī)的X.509證書以本身公知的方式除了其他信息之外還包含第一用戶的公鑰���,該第一用戶想要相對于第二用戶被認證。在認證的過程中���,該密鑰被用于加密地交換秘密并且用于為在第一用戶與第二用戶之間的加密保護的通信生成會話密鑰���。該證書在此通過可信賴的證書頒發(fā)機構來簽名。為了驗證該證書��,該證書被傳送給第二用戶��,該第二用戶緊接著以本身公知的方式基于發(fā)布該證書的證書頒發(fā)機構的根證書來驗證簽名或驗證朝著根證書的證書鏈�。在下表I中再現(xiàn)了常規(guī)的X.509證書的重要信息。表1:
權利要求
1.一種用于基于證書進行認證的方法���,其中第一用戶(A)相對于第二用戶(B)利用被分配給第一用戶(A)的證書被認證��,其中: 一證書(C����,C’ )詳細說明要被第二用戶(B)滿足的一個或多個特征(AV��,AV’)���; 一在認證的過程中���,依據(jù)證書(C,C’ )檢驗第二用戶(B)是否滿足所述一個或多個特征(AV)���,其中對于成功認證所需的標準在于第二用戶(B)滿足所述一個或多個特征(AV����,AV����,)。
2.根據(jù)權利要求1所述的方法�����,其中,所述一個或多個特征(AV�,AV’)通過一個或多個屬性和/或一個或多個對屬性的參考在證書(C,C’ )中被詳細說明��。
3.根據(jù)權利要求1或2所述的方法��,其中��,通過第二用戶(B)執(zhí)行對第二用戶(B)是否滿足所述一個或多個特征(AV��,AV’ )的檢驗����。
4.根據(jù)權利要求3所述的方法,其中���,第一用戶(A)將所述第一用戶(A)的證書(C�,C’)傳送給第二用戶(B)����,或者第二用戶(B)在第三位置處調用證書(C,C’)����,于是第二用戶(B)檢驗該第二用戶(B)是否滿足所述一個或多個特征(AV�,AV’)�。
5.根據(jù)上述權利要求之一所述的方法,其中����,通過第一用戶(A)執(zhí)行對第二用戶(B)是否滿足所述一個或多個特征(AV���,AV’ )的檢驗���。
6.根據(jù)權利要求5所述的方法,其中�,第一用戶(A)從第二用戶(B)接收到關于第二用戶(B)的特性的信息或者在第三位置處調用所述關于第二用戶(B)的特性的信息,其中第一用戶(A)緊接著依據(jù)所述信息確定第二用戶(B)是否滿足在證書(C�,C’)中被詳細說明的所述一個或多個特征。
7.根據(jù)上述權利要求之一所述的方法�,其中,要被第二用戶(B)滿足的所述一個或多個特征包括如下特征中的一個或多個: 一第二用戶(B)的身份或身份范圍����; 一第二用戶(B)的設備類型; 一由第二用戶(B)提供的服務�����; 一由第二用戶(B)提供的方法。
8.根據(jù)權利要求7所述的方法�,其中,身份或身份范圍包括如下量中的至少一個: 一地址��、尤其是IP地址或MAC地址��; 一地址范圍��、尤其是IP地址范圍或MAC地址范圍���; 一名字����、尤其是DNS名字��; 一名字范圍����、尤其是DNS名字范圍; 一端口號或端口號范圍����、尤其是基于TCP和/或UDP協(xié)議的端口號或端口號范圍; -URL標識符或URL標識符范圍。
9.根據(jù)權利要求7或8所述的方法���,其中���,由第二用戶(B)提供的服務包括網(wǎng)絡服務和/或由第二用戶(B)提供的方法包括網(wǎng)絡服務方法。
10.根據(jù)上述權利要求之一所述的方法����,其中,在第一用戶(A)相對于第二用戶(B)的認證的過程中�����,通過第二用戶(B)對第一用戶(A)的證書(C����,C’ )進行驗證����。
11.根據(jù)上述權利要求之一所述的方法,其中���,利用第一用戶(A)的包含在證書(C����,C’)中的公鑰以及被分配給所述公鑰的私鑰在第一與第二用戶(R1,R2)之間建立加密保護的連接����,尤其是基于SSL/TLS協(xié)議和/或IKE/IPsec協(xié)議和/或IKEv2/IPsec協(xié)議建立所述加密保護的連接。
12.根據(jù)上述權利要求之一所述的方法����,其中,證書(C�����,C’)是擴展的X.509證書�,所述擴展的X.509證書附加地詳細說明要被第二用戶滿足的所述一個或多個特征(AV,AV’)����。
13.根據(jù)上述權利要求之一所述的方法,其中�,該方法被用于在第二用戶(B)處認證第一用戶(A)以及在第一用戶(A)處認證第二用戶(B)。
14.根據(jù)上述權利要求之一所述的方法���,其中���,第一和/或第二用戶(A�,B)表示自動化系統(tǒng)的部件����。
15.一種具有第一和第二用戶(A,B)的通信網(wǎng)絡��,其中在所述通信網(wǎng)絡運行時能夠執(zhí)行基于證書的認證��,其中第一用戶(A)相對于第二用戶(B)借助被分配給第一用戶(A)的數(shù)字證書(C����,C’)被認證,其中����, 一證書(C���,C’ )詳細說明要被第二用戶(B)滿足的一個或多個特征(AV�����,AV’)�����; 一在認證的過程中��,依據(jù)證書(C����,C’ )檢驗第二用戶(B)是否滿足所述一個或多個特征(AV),其中對于成功認證所需的標準在于第二用戶(B)滿足所述一個或多個特征�����。
16.根據(jù)權利要求15所述的通信網(wǎng)絡�,其被構建為使得在所述通信網(wǎng)絡中能夠執(zhí)行根據(jù)權利要求2至14之一所述的方法。
全文摘要
本發(fā)明涉及一種用于基于證書進行認證的方法��,其中第一用戶(A)相對于第二用戶(B)利用被分配給第一用戶(A)的證書而被認證�。證書(C,C')詳細說明要被第二用戶(B)滿足的一個或多個特征(AV�����,AV')�����。在認證的過程中,依據(jù)證書(C���,C')檢驗第二用戶(B)是否滿足所述一個或多個特征(AV)����,其中對于成功認證所需的標準在于第二用戶(B)滿足所述一個或多個特征(AV�,AV')。根據(jù)本發(fā)明的方法的特點在于����,在認證的過程中檢驗第二用戶的特征,所述第二用戶表示相對于其進行認證的認證者�。由此,以合適的方式可以確定用于針對在兩個通信伙伴之間的專用通信連接進行認證的證書�。該方法可以被用于通信網(wǎng)絡中的任意用戶,用戶優(yōu)選地表示自動化系統(tǒng)的部件�、諸如控制設備、現(xiàn)場設備����、傳感器��、執(zhí)行器等等�����。
文檔編號H04W12/06GK103098414SQ201180043122
公開日2013年5月8日 申請日期2011年7月22日 優(yōu)先權日2010年9月7日
發(fā)明者R.法爾克, S.弗里斯 申請人:西門子公司