首页 / 专利库 / 银行与财务事项 / 货币 / 对授权证明请求的安全的处理

对授权证明请求的安全的处理

阅读:1049发布:2020-06-02

专利汇可以提供对授权证明请求的安全的处理专利检索,专利查询,专利分析的服务。并且本 发明 涉及一种用于安全地处理 请求 授权证明的单元的授权证明请求的方法,其中该授权证明请求包含在 区 块 链 的交易中,其中登记机构执行对区块链数据结构以及借助于该区块链来保护的交易的检查,而且在检查成功的情况下将该授权证明请求转发给认证机构。有利地,授权证明请求包含在交易中,而登记机构执行对区块链数据结构以及借助于区块链来保护的交易的检查。交易以及因此授权证明请求受区块链保护。尤其是,授权证明请求事后不再能被改变,而且已在授权证明请求的 框架 内被传送给登记机构的信息防篡改地被存放在区块链中。,下面是对授权证明请求的安全的处理专利的具体信息内容。

1.一种用于安全地处理请求授权证明的单元的授权证明请求(CSR)的方法,其中所述授权证明请求(CSR)包含在链的交易(T)中,
其中登记机构(10)执行对区块链数据结构以及借助于所述区块链来保护的交易(T)的检查,而且在检查成功的情况下将所述授权证明请求(CSR)转发给认证机构(20)。
2.根据权利要求1所述的方法,其中所述认证机构(20)签发所述授权证明并且将所述授权证明提供给客户。
3.根据权利要求1或2所述的方法,其中所述交易包括由客户创建的并且属于所述授权证明请求(CSR)的信息,尤其是属性、授权、色或公共加密密钥以及尤其是请求所述授权证明的单元的标识符或名称。
4.根据上述权利要求之一所述的方法,其中通过所述登记机构(10)对所述区块链数据结构的检查包括:检查区块链长度或者在所要检查的区块前面和后面的区块。
5.根据上述权利要求之一所述的方法,其中通过所述登记机构(10)对所述交易(T)的检查包括:检查所述交易中的数据,从而确定能识别出是属于所述登记机构(10)还是属于被分配给所述登记机构的认证机构(20)。
6.根据权利要求1至4之一所述的方法,其中通过所述登记机构(10)对所述交易的检查包括:进行检查,从而确定是否至少基于在所述交易(T)中提供的加密货币金额而由所述认证机构(20)针对请求单元签发所述授权证明。
7.根据上述权利要求之一所述的方法,其中在所述授权证明请求(CSR)中,在主体到加密密钥的所限定的分配的情况下请求对数字证书或安全令牌的签发,或者在主体到加密密钥的所限定的分配的情况下请求对数字证书的撤销或者安全令牌的撤销的签发。
8.根据上述权利要求之一所述的方法,其中所述登记机构在对所述交易(T)的检查中考虑其它交易、尤其是具有第三方的关于请求单元的可信度的说明的交易。
9.根据上述权利要求之一所述的方法,其中形成签发所述授权证明的签发交易并且将所述签发交易嵌入到所述区块链数据结构中,尤其是基于所签发的授权证明来形成签发所述授权证明的签发交易并且将所述签发交易嵌入到所述区块链数据结构中。
10.一种登记机构(10),所述登记机构用于安全地处理请求授权证明的单元的包含在区块链的交易(T)中的授权证明请求(CSR),所述登记机构适合于检查区块链数据结构以及借助于所述区块链来保护的交易(T)而且适合于在检查成功的情况下将所述授权证明请求(CSR)转发给认证机构(20)。
11.根据权利要求10所述的登记机构,所述登记机构还适合于检查所述交易(T)中的数据,从而确定能识别出是属于所述登记机构(10)还是属于被分配给所述登记机构的认证机构(20)。
12.根据权利要求10所述的登记机构,所述登记机构还适合于进行检查,从而确定是否至少基于在所述交易(T)中提供的加密货币金额而由所述认证机构(20)针对请求单元签发授权证明。
13.根据权利要求10至12之一所述的登记机构,所述登记机构还适合于生成如下文件扩展名,所述文件扩展名确认对所述授权证明请求(CSR)的基于区块链的处理,而且所述登记机构还适合于将所述文件扩展名转发给所述认证机构(20),从而纳入到所签发的授权证明中。
14.根据权利要求10至13之一所述的登记机构,所述登记机构还适合于在对所述交易(T)的检查中考虑其它交易、尤其是具有第三方的关于请求单元的可信度的说明的交易。
15.一种系统,所述系统包括根据权利要求10至14之一所述的登记机构(10)以及还包括用于签发授权证明并且将所述授权证明提供给客户的认证机构(20)。
16.根据权利要求15所述的系统,其中所述登记机构(10)或所述认证机构(20)还适合于形成签发所述授权证明的签发交易,尤其是基于所签发的授权证明来形成签发所述授权证明的签发交易,使得所述签发交易能嵌入到所述区块链数据结构中。

说明书全文

对授权证明请求的安全的处理

技术领域

[0001] 本发明涉及一种用于安全地处理授权证明请求的方法、登记机构以及系统,该系统尤其包括该登记机构,其中该授权证明请求包含在链的交易中。

背景技术

[0002] 在工业自动化设施中,在安全基础设施的框架内,使用授权证明或安全凭证(Security Credentials)、诸如数字证书,所述授权证明或安全凭证由认证机构或者所谓的Certification Authorities签发。在此,在自动化设施之内的设备使用数字证书,以便相对于第三方证明自己的身份。证书借助于认证机构的签名来确认:包含在该证书中的关于设备或主体的身份或公钥的说明是准确的。因此,数字证书尤其是确认公钥到主体、诸如人类用户或者设备或软件进程的分配。可以信任证书,因为存在所有参与安全基础设施的成员都信任的中央认证机构。运行这种中央证书基础设施花费高,而且因此证书的成本高。同时,尤其是在工业环境下,大量的设备或过程面向基于证书的安全解决方案。尤其是利用授权证明或数字证书来进行认证。

发明内容

[0003] 在该背景下,本发明的任务是:更高效地构建对授权证明请求或证书请求的处理,而且同时确保安全的处理,使得可以给容许的单元签发授权证明。
[0004] 该任务通过在独立权利要求中说明的特征来解决。有利的设计方案在从属权利要求中说明。
[0005] 本发明涉及一种用于安全地处理请求授权证明的单元的授权证明请求的方法,其中该授权证明请求包含在区块链的交易中,其中登记机构执行对区块链数据结构以及借助于该区块链来保护的交易的检查,而且在检查成功的情况下将该授权证明请求转发给认证机构。
[0006] 授权证明请求在下文例如被理解为证书请求或者证书撤销请求。尤其涉及数据组,在该数据组中,请求单元确认识别码或标识符或标识名称或识别属性以及所分配的公钥,例如通过加密校验和、诸如消息验证码或数字签名来确认识别码或标识符或标识名称或识别属性以及所分配的公钥。尤其是,包括主体识别码和该主体的公钥的证书请求可以作为区块链的经数字签名的交易存在。一般用主体(Subject)来表示证书和所包含的公钥的所有者,例如设备(通过制造商来标识)、模型或序列号、具有网络地址、IP地址或URL的计算机系统,或者带有姓名或电子邮件地址的人员。
[0007] 在下文,登记机构被理解为如下机构,该机构由于地位特殊而不必被用户信任。尤其不是被分配给中央认证机构的登记机构。涉及尤其是分散的装置,该分散的装置检查并且处理到达的授权证书请求而且将这些授权证书请求转发给认证机构。认证机构可以是中央单元,或者可以分散地存在多个认证机构。按照本发明,利用区块链,用于证书请求的共同的基础设施可以被多个认证机构使用。
[0008] 区块链技术实现了分布式的、去中心的数据库,交易能防篡改地存放在该数据库中。为此,交易被寄存在区块中。在这种区块链数据结构中,除了一个或多个交易之外,还寄存有前辈区块的哈希值。通过区块链网络中的大多数可信节点来形成保护,所述大多数可信节点执行对区块的所谓的挖掘或确证。在参与区块链的节点的网络中,每隔一定时间、例如每10分钟就形成新的区块并且在此一并寄存现有的区块的哈希值。在该挖掘过程中,检查要寄存在区块中的交易的有效性。附加地,解答所谓的加密拼图,挖掘节点必须对该加密拼图施加计算能。花费例如通过在区块链所基于的加密货币方面的某个金额来酬报。对加密拼图的解答也被称作工作量证明(Proof-of-Work-Nachweis)。证明对计算密集型的任务的解决方案,该任务应根据区块的内容来解决。区块的链在有多个区块链节点的情况下被存储,对参与的节点进行同步。因此,关于交易的信息冗余地寄存在网络中。
[0009] 因为所有区块都是基于现有的区块形成,其方式是将前辈区块的哈希值嵌入到新的区块中,所以形成链。因此,这些交易受保护以防篡改,因为可以通过区块链追踪直至初始区块(也称作源区块)的链。因为这些交易通过区块链网络可用,所以可以追踪从该链中的哪个区块开始,例如交易的内容不再与前面的版本一致。因此,这些交易防篡改地寄存在每个经验证的区块链中。如果校验和形成通过现有的块被追踪到,则在早前的时间点已经在网络中形成的块中的交易的改动会能够被追踪。
[0010] 在区块链网络(该区块链网络是公共的,而且因而在该区块链网络中,不能单独地信任每一个节点)之内,由处在网络中的尤其是不执行独立的挖掘的第三方节点尤其是通过如下方式对区块进行确证:在创建该区块之后等待确定的时间或者等待在该区块之后形成的区块的一定的数目,直至链足够长得使得可以信任该链。例如,另一链路径并行地来构造,该链路径被证明为不可信,因为多个节点并没有验证区块或在其中形成的区块的交易,而是作为替代在可信的更长的链中形成其它区块。为此,攻击者不允许拥有超过区块链的其余部分共同的计算能力,因为该攻击者否则可能会通过将能够通过欺诈性挖掘自己更快地形成足够长的链。
[0011] 区块链数据结构或区块包括交易数据和至少一个哈希值,该至少一个哈希值根据前辈区块来形成。由此,形成交易链。在链中出现一次的交易不再能够未经察觉地被改变。交易数据涉及一个交易或多个交易。在区块链数据结构中,尤其包含交易数据的校验和或者该校验和以及其它数据、诸如时间戳。例如,形成对由多个交易组成的交易数据的校验和。对于校验和形成来说,尤其使用加密哈希函数。
[0012] 通过对于激励(该激励例如由加密货币的金额来实现)进行对区块的所谓的挖掘,分布式网络结构的感兴趣之处在于确认或确证区块正确,也就是说执行挖掘。只要这种分布式网络中的大部分计算能力没有攻击者,也就是说不再有攻击者能通过挖掘来输出区块,尤其是可解答比可信节点加起来更多的加密拼图,就可以从确定的长度开始信任区块链而且尤其可以在链路径中一定数目的接下来的区块之后信任单个区块。
[0013] 公知的区块链系统是比特币(Bitcoin)和以太坊(Ethereum)。比特币最初是被创造用来进行加密货币转移的,而以太坊建立在所谓的智能合约(Smart Contract)的集成的基础上。在智能合约中约定的条件受区块链保护,而合约本身通过网络来办理。合约条件的实现通过所属的被执行的交易来控制,而在经编程的智能合约中规定的后续行动可以根据完成的交易来执行。
[0014] 对于非公共的区块链系统来说,也可设想的是如下区块链,其中在没有激励的情况下进行挖掘,因为例如所有节点都被信任。
[0015] 交易数据尤其不是以明文嵌入到区块链中,而是为了形成交易数据而形成交易的哈希值。交易本身同样在区块链网络中可用。因此,通过挖掘节点或矿工可以执行对交易的检查。因此,明文的交易分布在网络中而且尤其是由设备发送给一个或多个区块链节点。
[0016] 有利地,授权证明请求包含在交易中,而登记机构执行对区块链数据结构以及借助于区块链来保护的交易的检查。交易以及因此授权证明请求受区块链保护。尤其是,授权证明请求事后不再能被改变,而且已在授权证明请求的框架内被传送给登记机构的信息防篡改地被存放在区块链中。
[0017] 如果交易已通过区块的挖掘被记录到区块链数据结构中,则至少只要区块链存在,授权证明请求的信息就在区块链的链中被确定下来。如果对区块链数据结构的检查成功,也就是说如果由于存在于区块链网络中的区块链数据结构而可以以对交易或交易的区块的挖掘合法或具有法律效力为出发点,则该交易可以被信任。这尤其是依据区块链的长度来检查,或者依据多个跟在具有该交易的区块后面的区块来检查。
[0018] 在检查成功的情况下,将授权证明请求转发给认证机构。授权证明请求的合法性通过分散的安全基础设施来提供。有利地,取消了花费高的中央机构,该中央机构必须检查请求背后的授权或信息。作为替代,使用分散地在网络中可支配的计算能力,该计算能力由所谓的挖掘节点使用,以便为了承诺的报酬而执行挖掘。该挖掘包含对证书请求的花费高的检查,这些证书请求现在分散地而不是集中地被执行。替选地,借助于智能合约来进行挖掘,这些智能合约同样分布在区块链网络之内而且本身已经通过其它区块的挖掘被确证。
[0019] 用于签发授权证明、如数字证书的行政程序明显被简化。对证书请求的花费高的检查被转移到区块链平台中,而且由此通过登记机构对请求的检查明显更高效地来构建。同时,可以使用具有基于证书的认证的安全解决方案。到目前为止以数字证书来工作的系统、设施或各个设备不必被改装而且尤其是不必有区块链能力。尤其不需要的是:例如设备直接参与区块链平台并且存储公共加密密钥到识别码的分配。相反,按照所描述的方案,可以使用传统的PKI安全基础设施,而且可以使用被接受的安全技术、如基于证书的认证。因此,简化了PKI的运行并且同时降低了证书的成本。特别有利的是针对数目相对少的所需的证书、例如几十或几百个所需的证书的应用,对于该应用来说,具有中央认证机构的公钥基础设施并不被信赖。
[0020] 按照一个设计方案,认证机构签发授权证明并且将该授权证明提供给客户。在此,客户是请求单元而且想要获得授权证明本身或者其它主体、例如设施的嵌入式系统。认证机构拥有相对应的私钥,用于对授权证明请求进行签名。在一个变型方案中,经由登记机构来提供。例如,进行请求的设备与登记机构之间的通信往来被用于传送授权证明请求。
[0021] 有利地,可以采用所谓的证书(Certificate)作为服务机制。由认证机构签发的证书例如在时间上受限制,而且为了重新获得有效的证书,需要传送新的交易。该交易也包含加密货币金额的交换,使得能实现对基于区块链的证书签发的报酬。这样,尤其对于其中设立自己进行对请求的检查的中央认证机构不划算的量级来说,仍然可以为了酬金而提供对证书的签发。所签发的证书与所需的使用期适配,因为例如在一定的时长之后不再重新请求证书。
[0022] 按照一个设计方案,交易包括由客户创建的并且属于授权证明请求的信息、尤其是属性信息。例如,请求授权证明的单元的标识符或名称在信息中被传送。例如还传送属于请求单元的公共加密密钥。
[0023] 按照一个设计方案,通过登记机构对区块链数据结构的检查包括:检查区块链长度或者在被检查的区块前面和后面的区块。因此,登记机构可以信任包含在所建立的区块链中的交易的可信度。为此,具有相关的交易的区块的链必须相对于该链的可能存在的其它路径已经经历过,所述其它路径例如是由于有错误的挖掘或者由攻击者同样签发的。因此,有利地,由本地登记机构进行的检查非常高效地被执行。对授权证明请求的花费高的检查被转移到区块链中,该区块链分散地检查具有授权证明请求的交易。例如,该检查借助于智能合约来实现,所述智能合约的安全性又基于区块链。例如,执行初步检查,以便在成功经过初步检查的情况下使对授权证明请求的检查加快。例如,该初步检查包括:对身份或色以及与此相关联的权利和义务的花费高的调查。
[0024] 按照一个设计方案,通过登记机构对交易的检查包括:检查交易中的数据,从而确定能识别出是属于登记机构还是属于被分配给该登记机构的认证机构。因此,有利地,只检查交易和所属的区块链部分,所述区块链部分涉及登记机构。在另一变型方案中,节点可以检查区块链,使得该节点知道所有有效的、被该区块链确认的交易。然后,该节点例如将涉及到该节点的那些交易滤出,例如只将最新的交易滤出。如果当前的涉及到该节点的交易完整而且不仅仅包含改动,则该节点例如不一定需要早前的交易。其它经优化的用于确定相关的授权证明请求或者证书签名请求(Certificate Signing Requests)的方法是可设想的。例如进行启发式搜索。如果知道请求在某些时间点被发送,则可以有针对性地搜索区块和在所述区块中被确认的在相对应的时间段内的交易。
[0025] 按照另一设计方案,通过登记机构对交易的检查包括:进行检查,从而确定是否至少基于在交易中提供的加密货币金额而由认证机构针对请求单元签发授权证明。因此,对证书的签发与在请求中以加密货币提供多少钱有关。
[0026] 在具有授权证明请求的交易中还可以包含智能合约,该智能合约规定了对进行签发的认证机构的报酬。例如,为此存储针对容许的或可靠的认证机构的标准。在这种情形下,对证书的签发可以由多个认证机构实现。因此,实现了针对公钥基础设施服务的开放市场。
[0027] 按照一个设计方案中,在授权证明请求中,在主体到加密密钥的所限定的分配的情况下请求对数字证书或安全令牌的签发,或者在主体到加密密钥的所限定的分配的情况下请求对数字证书的撤销或者安全令牌的撤销的签发。请求单元尤其是主体本身、例如设备,或者通过自动化设施的规划工具来执行,该规划工具针对不同的设备来请求相应的证书。请求可涉及对证书的签发以及对所签发的证书的撤销。
[0028] 授权证明或证书尤其被理解为X.509证书、设备证书、用户证书或属性证书。该授权证明或证书一般可以是安全令牌(Security Token)、诸如Kerberos票据(Kerberos Ticket)、JSON Web令牌或SAML令牌,也就是说通过进行签发的机构的加密校验和来确认的数据结构,该数据结构将安全信息、诸如公钥或属性或授权或角色分配给主体。同样,基于区块链的交易可以产生并且提供证书撤销信息、即所谓的证书撤销清单(Certificate Revocation List)、证书状态信息、即所谓的在线证书状态协议响应(Online Certificate Status Protocol Response)、简称OCSP响应或者证书有效性信息、即所谓的证书白名单(Certificate White List)。例如,根据对区块链数据结构的检查结果来更新证书撤销清单或证书白名单,或者提供与此相关的OCSP响应。
[0029] 在一个设计方案中,如下文件扩展名:已执行了对授权证明请求的基于区块链的处理,作为信息被添加给通过认证机构签发的数字证书或安全令牌或者所签发的对数字证书或安全令牌的撤销。例如,添加证书已经基于区块链被签发的标志。例如,录入对所使用的区块链平台或区块链基础设施的参考或者被用于进行申请的交易的参考或者包含该交易的区块。因此,申请和签发证书的过程能被第三方追踪和检查。因此,所签发的证书可以被检查,从而确定哪些区块链交易已经导致对证书的签发。证书的信任状态可以有利地被估计或者通过标记来适配。
[0030] 在一个设计方案中,登记机构在对该交易的检查中考虑其它交易、尤其是具有第三方的关于请求单元的可信度的说明的交易。因此,附加地可以采用如下机制:除了对区块链数据结构的成功检查之外,附加地必须存在交叉确认,该交叉确认尤其是又通过区块链来保护,而且该交叉确认例如以第二种方式来确认请求单元的可信度和对请求单元的授权。
[0031] 按照一个设计方案,形成签发授权证明的签发交易并且将该签发交易嵌入到区块链数据结构中,尤其是基于所签发的授权证明来形成签发授权证明的签发交易并且将该签发交易嵌入到区块链数据结构中。因此,数字证书例如优选地同样作为交易来提供,也就是说认证机构例如产生区块链交易,该区块链交易取决于所签发的证书。交易例如可以包含统一资源定位系统(Uniform Resource Locator)、简称URL,证书能从统一资源定位系统加载。替选地,证书本身包含在该交易中。
[0032] 本发明还涉及一种登记机构,该登记机构用于安全地处理请求授权证明的单元的包含在交易中的授权证明请求,该登记机构适合于检查区块链数据结构以及借助于区块链来保护的交易而且适合于在检查成功的情况下将授权证明请求转发给认证机构。
[0033] 按照一个设计方案,该登记机构还适合于检查交易中的数据,从而确定能识别出是属于该登记机构还是属于被分配给该登记机构的认证机构。
[0034] 按照一个设计方案,该登记机构还适合于进行检查,从而确定是否至少基于在交易中提供的加密货币金额而由认证机构针对请求单元签发授权证明。
[0035] 按照一个设计方案,该登记机构还适合于生成如下文件扩展名,该文件扩展名确认对授权证明请求的基于区块链的处理,而且该登记机构还适合于将该文件扩展名转发给认证机构,从而纳入到所签发的授权证明中。
[0036] 按照一个设计方案,该登记机构还适合于在对该交易的检查中考虑其它交易、尤其是具有第三方的关于请求单元的可信度的说明的交易。
[0037] 本发明还涉及一种系统,该系统包括按照上面描述的实施方式的登记机构以及还包括用于签发授权证明并且将授权证明提供给客户的认证机构。
[0038] 按照一个设计方案,该登记机构或该认证机构还适合于形成签发授权证明的签发交易,尤其是基于所签发的授权证明来形成签发授权证明的签发交易,使得该签发交易能嵌入到区块链数据结构中。
[0039] 该登记机构和该认证机构是可以以硬件技术方式和/或也可以以软件技术方式来实现的单元。在以硬件技术方式的实现方案中,相应的单元可以构造为装置或者构造为装置的部分,例如可以构造为计算机或者构造为微处理器。在以软件技术方式的实现方案的情况下,相应的单元可以被构造为计算机程序产品、被构造为功能、被构造为例程、被构造为程序代码的部分或者被构造为可实施的对象。附图说明
[0040] 随后,本发明借助于实施例依据附图进一步予以阐述。其中:图1示出了按照本发明的第一实施例的由具有登记机构和认证机构的自动化设施的设备构成的系统的示意图;
图2示出了按照第二实施例的交易的数据结构的示意图。

具体实施方式

[0041] 在图1中示意性地示出了:由多个现场设备D1、D2、D3和一个设备路由器D组成的自动化网络AN如何与登记机构10和认证机构20相互作用。登记机构10以及这些设备D1至D3中的一个或多个设备通过网络NW与区块链平台连接,该区块链平台由三个区块链节点BN1、BN2、BN3代表地来描绘。在所描述的示例中,设备D1应该获得证书。为此,设备D1将交易T1发送给区块链网络,该交易尤其包含授权证明请求CSR。
[0042] 在另一变型方案中,设备D1将它的授权证明请求CSR、即所谓的证书签名请求(Certificate Signing Request)发送给登记机构10,该登记机构转发交易从而在区块链网络NW中分发。
[0043] 有利地,在如下时间点进行对设备D1的初步检查,在该时间点,有关设备D1的授权的花费高的检查不影响或者不进行干扰。通过所述初步检查,订立框架协议,所述框架协议通过在区块链平台中的确证来在智能合约中向设备D1确认针对证书请求的一定的授权。尤其是,在确实对证书进行请求的过程之前发送交易,其目的是:获得由区块链对这些交易的确证。例如,在设备D1需要证书的时间点,由设备D1将授权证明请求CSR直接发送给认证机构10,而且该授权证明请求包含或者参阅现有的智能合约,作为框架协议。
[0044] 在一个变型方案中,在自动化设施中设置设备路由器D,该设备路由器针对一个或多个设备D1至D3将证书请求消息寄送给登记机构10,而且该设备路由器尤其是也负责经由区块链网络来传送交易。
[0045] 登记机构10检查区块链的交易是涉及该区块链本身还是涉及所分配的认证机构20。如果该登记机构找到具有针对可由认证机构20签发的证书的请求的有效的录入项,则该登记机构将包含在交易中的证书签名请求CSR转发给认证机构20。这只有在登记机构10信任区块链或信任来自涉及交易的所形成的区块的链的片段时才发生。区块链平台尤其是基于比特币的区块链系统或者是以太坊网络的平台。值得信任的是:在区块链中的良性的矿工的计算能力超出了攻击者的计算能力。如果接着例如等待足够的时间,使得链已经稳定地形成并且在该链的区块之一中的交易已经被足够多的节点确认为具有法律效力,则该交易被信任。
[0046] 可以设置任意的其它机制,这些机制能够实现通过登记机构10对交易或包含在该交易中的授权证明请求CSR的交叉检查,以便进一步提高系统中的安全性。例如,该交易具有加密校验和,该加密校验和至少保护该交易的部分。例如,可以明确地录入数字签名,该数字签名是由具有所属的私钥的运营商来签名的。该信息例如不被执行挖掘的区块链节点进一步关注,而登记机构10可以分析该信息,用于对请求单元的加密检查。这可以附加地实现而且与分散的检查相比提高了安全性。
[0047] 被提供用于授权证明请求CSR的信息可以被分配到多个交易上,例如对于每个属性来说被分配到单独的交易上。例如,用于确认第三方的说明的单独的交易在区块链网络中可支配而且变成区块的组成部分,例如用于申请证书签发的另一交易被传送而且可以单独地被确证。根据由登记机构10转发的授权证明询问CSR,认证机构20签发合适的授权证明。例如涉及证书或证书的撤销。在所描述的实施例中,认证机构20提供如下交易,该交易限定了对证书的签发。该交易例如可以直接由认证机构20转发给区块链网络NW,或者通过登记机构来转发给区块链网络NW,该登记机构与区块链网络耦合并且经由网络连接来接收区块链网络的数据。
[0048] 证书例如由认证机构20直接提供给设备或直接提供给自动化网络,或者通过登记机构10来提供给设备或提供给自动化网络。认证机构20和登记机构10尤其构造为共同的单元。
[0049] 例如,在工业自动化设施中,除了获得多个设备的证书请求的登记机构之外,还设置至少一个本地登记单元,该本地登记单元执行对请求消息的本地检查。因为在所描述的实施例中,取消了通过本地机构引起的花费高的检查,所以可以取消本地登记机构,而仅仅登记机构10借助于与区块链的交换来控制证书签发。
[0050] 在图2中描绘了按照本发明的第二实施例的交易T。例如,如下录入项包含在交易中:标识符ID被说明为“Subject(主体):Siemens SiABC; V1.3; SN=3175438”,公钥KEYPUB被说明为“Public Device Key(公共设备密钥):3A76E21876EFA03787FD629A65E9E990... ”,说明加密算法:“Algorithm(算法):ECC”,作为属性A1、A2和A3。说明:“Curve(曲线):brainpoolP160r1”,作为被用于ECC算法的曲线。说明“ProtectionSwitch037E”,作为设备调试标识符(Device Commissioning Identifier)。还包含授权证明请求CSR,作为“CertificateRequest:certFormat:X.509v3;  certProfile: IEC6235; CA: 
VerySecure”。
[0051] 尽管本发明已经详细地通过实施例进一步图解说明和描述,但是本发明并不限于所公开的例子,而且其它变型方案可以由本领域技术人员从中推导出来,而不脱离本发明的保护范围。
高效检索全球专利

专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。

我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。

申请试用

分析报告

专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。

申请试用

QQ群二维码
意见反馈