用于技术设施的具有证书管理的控制系统的制作方法

1.本发明涉及一种用于技术设施、特别是制造或过程设施的控制系统，该控制系统包括至少一个第一操作员站服务器和第二操作员站服务器，并且该控制系统被设计和设置用于，在证书管理的范畴内启动用于技术设施的组件的证书的颁发和吊销，并且以吊销列表的形式在控制系统内公布先前已签发的证书的吊销。本发明还涉及一种用于该控制系统的方法。


背景技术：

2.在工业设施的证书管理的范畴内，必须既能颁发证书又能吊销证书。设施组件使用的证书的吊销尤其在设施组件停止运行时以及在设施组件被更换(或由另外的组件替换)时实现，并且可以在设施运行时实现。在此，被使用的证书由于吊销而无效。否则，证书可能被滥用，例如使用这些证书(可能在另外的系统部分中)将注销的或拆下的设备用于通信。
3.在模块自动化的场景中，必要时能够触发特定证书的吊销的可行方案也是必不可少的。原因在于，一个模块在不同的项目中与其他不同的模块组合或能与其组合，并且在此通常会分配一个项目特定的证书，该证书对于与相应项目场景中的其他模块进行通信而言是必需的。一旦在特定的项目场景中不再需要使用模块(并因此必须被禁止)，则应吊销在该项目场景中被分配给该模块的所有项目特定的证书，以排除对证书的滥用。
4.在技术设施的自动证书管理的范畴内重要的是，使用证书与其他组件进行通信的所有设施组件都具有能够随时检查相应通信伙伴的证书的吊销状态的能力。在根据标准ietf的“rfc 5280”和标准iec的62443
‑4‑
2的证书验证的范畴内，吊销状态的检查在此是强制步骤。如果设施组件不能检查其相应通信伙伴的证书的吊销状态，则根据标准将该证书视为无效而拒绝并且将通信过程中断。这严重影响技术设施的正常运行和可用性。
5.因此，在技术设施的场景中重要的是，允许所有合法的项目化的通信伙伴相互访问其证书的吊销列表。每个设施组件都应能够访问相应合法通信伙伴的证书的当前吊销列表以及其自己的证书的吊销列表。
6.如果一个设施中仅运行一个认证机构(certification authority，缩写：ca)并且所有设施组件都从该认证机构获取证书，那么在此仅涉及一个(唯一的)吊销列表。但是，如果(通常是这种情况)使用多个(可能是项目特定或子设施特定的)认证机构，则通常每个认证机构都有一个吊销列表。但是，出于安全原因，应该排除设施组件可以访问其在系统或相应项目的场景中与其项目化的通信伙伴进行通信所不需要的吊销列表。
7.在(视情境而定)可由设施组件本身或由授权的(管理)实体启动吊销证书的情况下，吊销申请(revocation request)被提交给签发该证书的认证机构。这种吊销申请是已知证书管理协议的一部分，例如根据标准rfc 4210的cmp(证书管理协议)，并由认证机构(例如所谓的ejbca/primekey ca)支持。对于支持在其范围内没有任何吊销申请作为消息类型的协议的其他认证机构，该吊销可以
8.‑
或者人工地直接在认证机构处(例如通过其网络前端)实现，
9.‑
或者利用应用(例如由注册机构(registration authority，缩写：ra)实现。
10.然后，由认证机构吊销的证书被该认证机构放在所谓的吊销列表(certificate revocation list，缩写：crl)中，该吊销列表已包含其他(最初由其签发并在以后吊销的)证书。该吊销列表专门用于认证机构并且通常在当地存储在认证机构中或运行认证机构的服务器上。为了预防吊销列表被篡改，吊销列表(类似于证书)在签发的认证机构(issuing ca)的签发或更新后在使用其私钥(private keys)的情况下被签名。可以使用将该吊销列表发布并签名的认证机构的证书来检查吊销列表的签名以及完整性和真实性。更准确地说，证书中列出的认证机构的公钥用于签名验证。
11.通常，按周期(以在相应的认证机构中配置的固定的时间间隔)更新存储在相应认证机构中的吊销列表。然后可以将吊销列表人工地或以应用(例如通过http/https或借助相应的应用/脚本)分配给技术设施的不同网段中的确定的其他实体。在此必须设置这种吊销列表分发点(certificate distribution points，缩写：cdp)，并配置相应的网络设置(包括防火墙规则)，以使每个需要证书为了进行安全通信并作为在特定网段中的通信参与者的设施组件能够成功访问该网段中的分发点。为了使设施组件“知道”在何处找到其通信伙伴的证书的必要的吊销列表，分发点的地址(例如url)由认证机构包含在证书中或被以其他方式和方法告知设施组件(例如通过将地址包含在设施组件的配置文件中)。
12.通常，例如由于对网络设置所做的更改，由必须检查其伙伴的证书的吊销状态的终端设备对存储在特定网段中的各个分发点上的吊销列表的访问无效或“突然”不再有效。这导致超时和通信中断。由此，设施可用性被严重损害。在这种情况下，故障排除通常非常耗时，使得问题通常持续存在。


技术实现要素：

13.本发明的目的是提出一种技术设施的控制系统，该控制系统通过可靠地查询证书的吊销状态来实现证书管理。
14.该目的通过本发明的用于技术设施的控制系统实现。此外，该目的通过用于该控制系统的方法实现。
15.在开头部分所述类型的控制系统中，该目的根据本发明如下地实现，即将控制系统设计和设置用于，将吊销列表存储在第一操作员站服务器和/或第二操作员站服务器上，其中，该控制系统被设计和设置用于，使第一操作员站服务器和第二操作员站服务器互相校准，从而在两个操作员站服务器上存储具有相同内容的吊销列表。
16.在本文中，控制系统应被理解为计算机辅助技术系统，其包括用于显示、操作和控制诸如制造或生产设施之类的技术系统的功能。在当前情况下，控制系统包括用于确定测量值的传感器和各种执行器。另外，控制系统包括用于驱控执行器或传感器的、所谓的过程或生产现场的组件。此外，控制系统还具有用于将技术设施和工程可视化的装置。控制系统还被理解为用于更复杂规则的另外的运算单元以及用于数据存储和处理的系统。
17.技术设施可以是来自过程工业的设施，例如来自化学、制药、石油化工或食品和饮料工业的设施。其也包括生产例如汽车和所有类型的商品的生产工业中的设施。适合于执行根据本发明的方法的技术设施还可以来自发电领域。技术设施还包括风力涡轮机、太阳
能设备或发电厂。
18.在此，“操作员站服务器”应被理解为一种服务器，其收集操作和监视系统的中心数据并且通常收集技术设施的控制系统的警报和测量值档案，并将其提供给用户。操作员站服务器通常建立至技术设施的自动化系统的通信连接，并将技术设施的数据转发给所谓的客户端，该客户端用于操作和监视技术设施的各个功能部件的运行。操作员站服务器可以具有客户端功能，以访问其他操作员站服务器的数据(档案、消息、日期、变量)。由此可以将操作员站服务器上技术设施中的运行的图形与其他操作员站服务器中的变量相组合(服务器与服务器通讯)。操作员站服务器可以是(但不局限于)西门子公司的工业工作站服务器simatic pcs 7。
19.组件可以是技术设施中的单个传感器或执行器。但是，组件也可以是多个传感器和/或执行器的组合，例如电动机、反应器、泵或阀门系统。
20.证书被理解为确认特定特性(在该情况下为机器、设备、应用程序等)的数字数据记录。通常可以使用加密方法来验证证书的真实性和完整性。
21.吊销列表包含关于在控制系统中吊销的证书的信息。吊销列表通常由控制系统或技术设施的认证机构定期或由事件控制地(例如由证书吊销触发)首次或重新签发。
22.吊销列表、即关于已经吊销的证书的信息根据本发明存储在一个或两个操作员站服务器上。操作员站服务器具有高可用性并适合作为需要通信证书的技术设施组件的中央联系对象。以特别有利的方式，当查询(潜在的)通信伙伴的证书的吊销状态时，组件可以联系一个或两个操作员站服务器，以借助于吊销列表查询关于吊销的当前状态。通过各个操作员站服务器之间的吊销列表的自动校准来确保用于查询的吊销列表也是最新的。
23.通过先前已阐述的控制系统内有关吊销的消息的传播，技术设施的所有组件在发布的证书方面始终保持最新状态，从而显著降低证书被滥用的风险。公布表示能一直提供设施场景中关于所有已吊销的证书的信息。
24.吊销优选地由事件控制并且由过程控制系统完全自动地触发，由此尽快吊销待吊销的证书，并且在没有任何明显延迟的情况下将吊销公布。由此可以有效地最小化吊销过程中的延迟，这整体上改善了技术设施的控制系统的证书管理。
25.技术设施内的任何状态更改都能被视为事件。在本发明的有利改进方案的范畴内，技术设施的各个组件之间的通信关系的改变表示这种事件。
26.有利的是，控制系统的吊销服务被设计和设置用于，通过使吊销服务向认证机构提交吊销申请来启动证书的吊销。在此，吊销服务被设计和设置用于监控或允许监控吊销申请的处理。这表示，吊销服务或者自己(也就是直接地)对吊销申请的处理进行监控，或者允许通过单独的服务(也就是间接地)尤其通过注册服务进行监控。
27.认证机构也被称为所谓的“签发的认证机构”。这种“签发的认证机构”通常总是在线的，并且基于输入的证书申请为各种申请者颁发证书，申请者使用自己的“签发的认证机构”为证书签名。“签发的认证机构”的可信度通过由位于安全环境中的可信根认证机构(也称为“root ca”)为其自身的“签发的认证机构”的证书签名来确保。在此应该注意的是，当“根认证机构”要为关联的“签发的认证机构”颁发证书时，其在大多数情况下都是不在线的，并且仅在符合最严格的安全预防措施时才被激活或接通。“根认证机构”可以位于技术设施之外。
28.在通过吊销服务监视吊销申请的范畴内，如果延迟处理吊销申请，吊销服务可以向认证机构提交新请求(在此称为“轮询”)。例如在专用于证书管理协议的标准rfc(request for comments，注释请求)4210中描述了该过程。
29.在本发明的一个特别优选的改进方案中，控制系统被设计和设置用于，在证书被成功吊销之后在控制系统内公布吊销，其中该公布尤其以吊销列表的形式实现。
30.在使用吊销列表的情况中，吊销的证书的公布可以由认证机构实现。吊销列表中的此类条目由认证机构进行数字签名，以确保条目的真实性。这还防止了吊销列表能由用户(例如项目工程师)或智能服务本身更新，从而降低了滥用的风险。
31.在本发明的一个有利的改进方案的范畴内，控制系统包括至少一个与第一操作员站服务器和/或第二操作员站服务器连接的第一组件以及至少一个与第一操作员站服务器和/或第二操作员站服务器连接的第二组件。第一组件是第一工程项目的一部分，并且第二组件是第二工程项目的一部分。在此，该控制系统被设计和设置用于，在第一操作员站服务器和/或第二操作员站服务器上存储专门用于第一工程项目的第一吊销列表，并在第一操作员站服务器和/或第二操作员站服务器上存储专门用于第二工程项目的第二吊销列表。在此，第一组件仅访问第一吊销列表并且第二组件仅访问第二吊销列表。
32.通过设施范围中可用的专门用于项目的吊销列表，可点对点(ad
‑
hoc)地控制哪些证书是专门用于项目的证书而哪些不是。按照最小化原则(在工业安全方面谁具有很高的优先级)，每个系统组件仅被授予访问其真正需要的吊销列表的权限，并且在更新后尽快访问。
33.先前提出的目的还通过本发明的方法实现。该方法包括以下步骤：
34.a)通过技术设施的控制系统启动对该技术设施的组件的证书颁发；
35.b)通过技术设施的控制系统的以计算机实施的吊销服务来启动证书的吊销；
36.c)以吊销列表的形式在控制系统内公布先前已经签发的证书的吊销，该吊销列表被存储在第一操作员站服务器和/或第二操作员站服务器上；
37.d)使第一操作员站服务器和第二操作员站服务器互相校准，从而在两个操作员站服务器上存储具有相同内容的吊销列表。
38.关于该方法的阐述以及与其相关的优点参考根据本发明的控制系统的以上说明。
39.优选的是，响应特定事件以自动方式实现证书吊销的启动。
40.在根据本发明的方法的有利的改进方案的范畴内，技术设施的组件之间的通信关系的改变表示触发证书的吊销自动启动的事件。
41.优选的是，吊销服务为了启动证书的吊销而向认证机构提交吊销申请，其中，该吊销服务监控吊销申请的处理。
附图说明
42.结合实施例的以下描述，本发明的特性、特征和优点及其实现方式和方法变得更加明白易懂，实施例参考附图来详细阐述。
43.图1是根据本发明的控制系统的示意图。
具体实施方式
44.图1示出了根据本发明的设计为工艺技术设施的技术设施的控制系统1的一部分。控制系统1包括操作系统的第一服务器，或包括第一操作员站服务器2、第二操作员站服务器(图中未示出)和相关的操作员站客户端3。操作员站服务器2和操作员站客户端3经由终端总线4彼此连接并且与控制系统1的其他未示出的组件、例如工程站服务器或过程数据档案连接。
45.在操作和监视的场景中，用户或操作员可以通过操作员站客户端3借助于终端总线4访问操作员站服务器2。终端总线4可以被设计为例如工业以太网的形式但不限于此。下面说明第一操作员站服务器2的结构。第二(和任何其他)操作员站服务器在实质上具有类似的结构或类似的功能。
46.操作员站服务器2具有设备接口5，该设备接口连接到设施总线6。操作员站服务器2可以通过该设备接口与(外部的)设备7通信。可选地，所连接的设备7也可以是应用程序，特别是网络应用程序。在本发明的范畴内，任何数量的设备7和/或应用程序都可以连接到一个(或多个)操作员站服务器2。设施总线6可以被设计为例如工业以太网但不限于此。设备7又可以连接到任何数量的子系统(未示出)。
47.在操作员站服务器2中集成有可视化服务8，通过该可视化服务可以实现将(可视化)数据传输到操作员站客户端3。此外，操作员站服务器2具有过程映像(process image)9、过程数据档案10和所谓的“用户配置文件和选择服务”(upss)11。通过设备接口5连接到操作员站服务器2的设备7和/或应用程序的(信号)状态的简介(snapshot)存储在操作员站服务器2的过程映像9中。出于归档的目的，先前的(信号)状态存储在过程数据档案10中。
48.用户配置文件和选择服务11表示数据库，在该数据库中存储了工艺技术设施的操作员或操作者的用户资料和个人设置。这些也可以被其他操作员或操作者访问。
49.此外，控制系统1包括注册机构12、第一认证机构13a和第二认证机构13b。它们通过终端总线4与操作员站服务器2和操作员站客户端3连接。注册机构12被设计为接收认证申请并将认证申请转发给第一认证机构13a和第二认证机构13b。第一认证机构13a和第二认证机构13b用于颁发证书，其中第一认证机构13a或第二认证机构13b各自负责特定的工程项目，在该场景中，设备7和/或应用程序在工艺技术设施内相互通信。
50.如果设备7要在特定工程项目的场景中在控制系统1中注册并使用其功能，则该设备需要有效的证书。在第一步骤i中，设备7联系操作员站服务器2的认证服务14。在第二步骤ii中，认证服务14访问在用户配置文件和选择服务11中存储的、专门用于工程项目的吊销列表15，设备7希望在该工程项目的内部进行通信。在该专门用于项目的吊销列表15或用户配置文件和选择服务11的数据库16中，在工艺技术设施的场景中，在访问吊销列表15的时间点存储吊销的证书。
51.如果设备7有权获得在工程项目范围内要申请的证书，即该证书尤其未在吊销列表15中列为已吊销的证书，则在第三步骤iii中将相应的证书申请转发给注册机构12，然后该注册机构在第四步骤iv中将证书申请转发给负责的第一认证机构13a或第二认证机构13b。然后，由负责的第一认证机构13a或第二认证机构13b签发的证书通过注册机构12被传输到进行申请的设备7(步骤v)。
52.如果现在发生特定的事件(例如工艺技术设施内的通信关系改变)，则确定的证书
可能会变得无效并因此必须被吊销。基于操作员站服务器2的吊销服务17，吊销申请被发送到注册机构12。吊销申请在此是完全自动启动的，无需工艺技术设施的项目工程师或操作员的直接干预。然后，负责的第一认证机构13a或第二认证机构13b宣布相关证书无效，并将此信息存储在第一认证机构13a或第二认证机构13b中的项目特定的吊销列表15中。然后通过注册机构12将更新后的吊销列表15传送到用户配置文件和选择服务11的数据库16。
53.在此，通过注册机构12从第一认证机构13a或第二认证机构13b由事件控制取得吊销列表15能够以不同方式实现。在最简单的情况下，可以在第一认证机构13a或第二认证机构13b中配置触发器，该触发器导致在证书被吊销之后在第一认证机构13a或第二认证机构13b中在当地存储的吊销列表15立即被已更新的吊销列表15代替。吊销列表15在第一认证机构13a或第二认证机构13b中的存储位置可以由注册机构12监视(例如通过相应的智能服务)，使得每个更新都被立即识别，并且更新后的吊销列表15可以被立即发送给操作员站服务器2的用户配置文件和选择服务11。作为监视存储位置的替代方案，在第一认证机构13a或第二认证机构13b中在当地存储的吊销列表15在证书吊销之后可以立即被已更新的吊销列表15替换，并同时被转发给注册机构12(由事件控制，例如通过相应的智能服务)。
54.为了提高吊销列表15的可用性，或者更确切地说提高专门用于项目的吊销列表15的可用性，当使用多个操作员站服务器2时，数据库16通过“镜像”服务18在各个操作员站服务器2之间进行校准。
55.通过由可视化服务8在操作员站客户端3上图形化映射的接口19，操作员或项目工程师可以预设新的或修订的事件，这些事件将借助于用户配置文件和选择服务11的管理服务20被提供给吊销服务17，以便将来自动吊销证书。通过另外的接口21，操作员或操作者可以确定可以在哪个工程项目中使用哪个吊销列表15。该信息通过管理服务20存储在操作员站服务器2上的“白名单”22中。
56.通过之前描述的技术特征能实现有关已吊销证书的知识的高可用性，这些知识对于有效的证书管理至关重要。另外，根据最小化原则(在工业安全方面谁具有很高的优先级)，每个设备7仅被授予对其真正需要的当前专门用于项目的吊销列表15的访问权限。为此所需的技术功能以“工艺技术”集成在控制系统1中，从而除了在控制系统1范围内已经可用的通信路径外对于吊销管理不需要“控制系统1之外”的其他通信路径。
57.在安全性方面的另一个优点是，由于需要访问吊销列表15，因此不必在网络中进行任何特殊设置(例如不必打开任何端口，这会带来很高的安全风险)。所描述的控制系统1非常适合于在其中动态添加或移除工艺技术设施部件的模块化设施。