Настоящее изобретение относится к способу, системе и модулю аутентификации для динамической авторизации мобильного коммуникационного устройства для сети. В частности, при этом здесь подразумеваются мобильные устройства технического обслуживания, которые обеспечивают возможность доступа к сетям с обслуживаемых установок.
Технические устройства требуют выполнения работ по техническому обслуживанию, проводимых с регулярными интервалами или при некорректном функционировании. При этом обычно используются мобильные устройства технического обслуживания, такие как ноутбуки или персональные цифровые помощники (PDA), которые через децентрализовано доступный интерфейс получают доступ для технического обслуживания к определенному промышленному оборудованию, например поезду, посту централизации, средству управления производством или медицинскому прибору. Соединение с децентрализовано доступным интерфейсом осуществляется проводным или беспроводным способом. Посредством доступа для технического обслуживания могут вызываться диагностические функции, может выполняться считывание из накопителя сбоев, могут модифицироваться установки конфигурации промышленной установки или выполняться обновления программного обеспечения.
Для того чтобы предотвратить несанкционированные действия на этих критичных коммуникационных интерфейсах, должно гарантироваться, что доступ для технического обслуживания разрешается только санкционированным мобильным устройствам технического обслуживания.
Поэтому для предоставления прав доступа обычно осуществляется проверка аутентификации, при которой проверяется индикация утверждаемой идентичности и тем самым полномочие на доступ к соответствующему интерфейсу для технического обслуживания. Если проверка аутентификации успешна, то соответствующему пользователю предоставляются ранее установленные права доступа.
Большинство известных способов аутентификации основываются на том, что подлежащая аутентификации инстанция по отношению к проверяющей инстанции должна доказать, что она обладает некоторым секретом и/или некоторым предметом. Самым известным способом аутентификации является передача пароля, при котором аутентифицирующаяся инстанция непосредственно передает пароль в проверяющую инстанцию. Проверяющая инстанция или блок проверки аутентификации проверяет затем правильность переданного пароля.
Другая известная возможность предотвращения несанкционированного использования доступа для технического обслуживания состоит в том, чтобы предусматривать соответствующие сетевые гнезда для доступа для технического обслуживания в области физически защищенного доступа. Например, сетевое гнездо может быть защищено запираемым щитком для технического обслуживания или находиться в запираемом помещении. Такой способ требует большого количества интерфейсов для технического обслуживания, прежде всего в пространственно распределенных установках.
При контроле доступов для технического обслуживания в больших установках такие способы влекут за собой также значительные административные затраты, обусловленные, например, предоставлением паролей или механических ключей. Механическое запирание коммуникационных интерфейсов к тому же возможно только при проводных доступах, в то время как при беспроводных доступах такой способ не может использоваться. При беспроводных доступах для технического обслуживания существует только возможность защитить соответствующие коммуникационные интерфейсы посредством выдачи паролей для технического обслуживания. В частности, при временном использовании персонала технического обслуживания или свободных сотрудников соответствующие пароли технического обслуживания должны после завершения задачи технического обслуживания на обслуживаемой системе вновь изменяться, что вновь приводит к повышенным затратам на конфигурирование при применении этого способа.
Задача настоящего изобретения в соответствии с этим заключается в создании способа для авторизации сетевых доступов, который снижает затраты администрирования и конфигурирования по сравнению с известными до сих пор способами. Эта задача решается способом, системой и модулем аутентификации с признаками пунктов 1, 5 и 9 формулы изобретения. Предпочтительные варианты осуществления изобретения приведены в зависимых пунктах.
В соответствующем изобретению способе для динамической авторизации мобильного коммуникационного устройства для сети ассоциированный с мобильным коммуникационным устройством модуль аутентификации связывается с сетью через коммуникационный интерфейс с физически защищенным доступом. Мобильное коммуникационное устройство передает через другой беспроводной или проводной коммуникационный интерфейс запрос доступа в сеть. Блоку проверки аутентификации сети от модуля аутентификации предоставляется информация проверки безопасности мобильного коммуникационного устройства. Блок проверки аутентификации авторизует на основе запроса доступа и информации проверки безопасности мобильное коммуникационное устройство для сети.
Основополагающий аспект предложенного изобретения состоит в том, чтобы применять доступ для технического обслуживания с физически защищенным доступом, как, например, щиток для технического обслуживания с механическим замком, чтобы гарантировать надежную организацию информации проверки безопасности, необходимую для логической безопасности доступа к по меньшей мере одной функции технического обслуживания через по меньшей мере один децентрализованный интерфейс для технического обслуживания. Для этого не само мобильное устройство технического обслуживания связывается с коммуникационным интерфейсом с физически защищенным доступом, а второй ассоциированный с мобильным устройством технического обслуживания модуль аутентификации. Через этот модуль аутентификации предоставляются информации проверки безопасности для безопасного доступа для технического обслуживания к сети через дополнительные, децентрализованные коммуникационные интерфейсы сети. Доступ может при этом осуществляться непосредственно с сетью и/или с компонентом сети, например, управляющим вычислителем.
В варианте осуществления предложенного изобретения информации проверки безопасности представляют собой данные конфигурации для установления безопасного сетевого соединения мобильного коммуникационного устройства. Эти данные конфигурации включают в себя, например, идентифицирующую информацию мобильного коммуникационного устройства, например серийный номер, сетевой адрес сетевого адаптера или ключ, ассоциированный с мобильным коммуникационным устройством. После того как сети посредством модуля аутентификации таким способом стала известна идентичность мобильного коммуникационного устройства, мобильному коммуникационному устройству после этого предоставляется доступ к другим коммуникационным интерфейсам сети после сообщения его идентичности. Тем самым мобильное коммуникационное устройство применяет данные конфигурации безопасности для аутентификации по отношению к сети, которые уже были предоставлены сети посредством модуля аутентификации. Сеть при этом проверяет предоставленные модулем аутентификации данные конфигурации безопасности и переданные мобильным коммуникационным устройством данные конфигурации безопасности.
В другом варианте осуществления предложенного изобретения информации проверки безопасности представляют собой функциональность аутентификации для установления безопасного сетевого соединения мобильного коммуникационного устройства. При этом передается команда проверки через блок проверки аутентификации на модуль аутентификации. Ответ проверки определяется посредством модуля аутентификации на основе команды проверки, и ответ проверки передается посредством модуля аутентификации на блок проверки аутентификации. В заключение, ответ аутентификации проверяется блоком проверки аутентификации.
В этом варианте осуществления настоящего изобретения посредством модуля аутентификации не только предоставляются данные конфигурации безопасности, но и модуль аутентификации берет на себя в способе «запрос-ответ» аутентификацию мобильного коммуникационного устройства по отношению к сети. С точки зрения мобильного коммуникационного устройства сеть в этом случае действует как посредник аутентификации, а модуль аутентификации - как сервер аутентификации. Способ «запрос-ответ» для проверки аутентификации может при этом базироваться на симметричной или асимметричной криптографии.
Соответствующая изобретению система для динамической авторизации мобильного коммуникационного устройства для сети посредством блока проверки аутентификации сети содержит ассоциированный с мобильным коммуникационным устройством модуль аутентификации, который через коммуникационный интерфейс с физически защищенным доступом может соединяться с сетью. Мобильное коммуникационное устройство само может соединяться с сетью через другие беспроводные или проводные коммуникационные интерфейсы. Модуль аутентификации содержит средство для предоставления информаций проверки безопасности мобильного коммуникационного устройства, на основе которых осуществляется авторизация мобильного коммуникационного устройства посредством блока проверки аутентификации сети. Соответствующий изобретению модуль аутентификации выполнен с возможностью осуществления соответствующего изобретению способа.
Далее изобретение поясняется более подробно на примерах выполнения со ссылками на приложенные чертежи, на которых показано следующее:
фиг.1 - схематичное представление соответствующей изобретению системы для динамической авторизации доступов для технического обслуживания на примере вагона поезда,
фиг.2 - схематичное представление последовательности операций соответствующего изобретению способа для динамической авторизации доступов для технического обслуживания.
На фиг.1 показаны первый и второй вагоны 101, 102 поезда, для которых показаны их приборы управления. Можно видеть систему 103 контроля поезда, информационно-развлекательную систему 104 для пассажиров и систему 105 технического обслуживания поезда, которые соединены между собой посредством сети. Через электрические элементы связи 106 сети отдельных вагонов 101, 102 поезда связаны между собой. Кроме того, представлены шлюзы 107, 108, через которые осуществляется сетевая коммуникация между отдельными вагонами поезда. К сети можно получить доступ извне беспроводным или проводным способом. Показаны средства беспроводного доступа 109 в виде беспроводной точки доступа локальной сети (LAN) и проводного доступа 110.
Для того чтобы мобильное устройство 111 технического обслуживания могло получить доступ к беспроводной точке доступа и тем самым получить доступ к сети технического обслуживания поезда, в средстве доступа 110 для технического обслуживания используется модуль 112 аутентификации, ассоциированный с мобильным устройством технического обслуживания. Средство доступа 110 для технического обслуживания здесь размещено за запираемым щитком для технического обслуживания, так что оно доступно только с помощью соответствующего механического ключа.
Таким способом авторизуется децентрализованный доступ для технического обслуживания к отдельным приборам управления, с которыми мобильное устройство 111 технического обслуживания беспроводным способом соединяется через точку 109 доступа или с которыми оно соединяется через кабельное соединение (не показано).
К тому же мобильное устройство технического обслуживания может получить доступ к функциям технического обслуживания подсоединенной части 102 поезда. Для этого не нужно модуль 112 аутентификации переключать на другой вагон поезда. Способ, таким образом, может также применяться, если другой вагон поезда не имеет собственного средства доступа для технического обслуживания для модуля 112 аутентификации. Достаточно, если только в одном вагоне поезда имеется такое средство доступа для технического обслуживания.
Далее описаны возможные технические реализации для динамической авторизации мобильного коммуникационного устройства с помощью модуля аутентификации для сети.
После того как модуль 112 аутентификации, ассоциированный с мобильным коммуникационным устройством 111, соединен через коммуникационный интерфейс 110 с физически защищенным доступом с сетью, мобильное коммуникационное устройство 111 передает через другой беспроводной коммуникационный интерфейс 109 запрос доступа к сети. Затем блок проверки аутентификации сети (не показано) проверяет заданный сетевой доступ (здесь 110) на наличие подключенного модуля 112 аутентификации.
В этом выполнении предложенного изобретения блок проверки аутентификации сети проверяет после принятого запроса доступа мобильного коммуникационного устройства заданный сетевой доступ (порт XY) на наличие подключенного модуля аутентификации. В альтернативном выполнении блок проверки аутентификации сети проверяет, например, регулярно заданный сетевой доступ (порт XY), подключен ли модуль аутентификации. В другом выполнении блок проверки аутентификации сети проверяет несколько заданных сетевых доступов на наличие подключенного модуля 112 аутентификации.
Сработавший модуль 112 аутентификации затем предоставляет блоку проверки аутентификации сети информацию проверки безопасности мобильного коммуникационного устройства.
В одном выполнении предложенного изобретения информации проверки безопасности являются данными конфигурации для установления безопасного сетевого соединения мобильного коммуникационного устройства. Эти данные конфигурации включают в себя, например, идентифицирующую информацию мобильного коммуникационного устройства, такую как серийный номер, сетевой адрес сетевого адаптера или ключ, ассоциированный с мобильным коммуникационным устройством.
В альтернативном выполнении предложенного изобретения информации проверки безопасности представляют собой функциональность аутентификации для установления безопасного сетевого соединения мобильного коммуникационного устройства. При этом команда проверки передается посредством блока проверки аутентификации на модуль 112 аутентификации. Ответ проверки определяется модулем 112 аутентификации на основе команды проверки, и ответ проверки передается посредством модуля 112 аутентификации на блок проверки аутентификации. Ответ проверки затем проверяется блоком проверки аутентификации.
В этом выполнении настоящего изобретения посредством модуля 112 аутентификации не только предоставляются данные конфигурации безопасности, но и модуль аутентификации в способе «запрос-ответ» берет на себя аутентификацию мобильного коммуникационного устройства 111 по отношению к сети. С точки зрения мобильного коммуникационного устройства сеть работает в этом случае как посредник аутентификации, а модуль 112 аутентификации - как сервер аутентификации. Способ «запрос-ответ» для проверки аутентификации может при этом базироваться на симметричной или асимметричной криптографии. Он может быть реализован, например, посредством протокола ЕАР (расширенный протокол аутентификации) или четырехходового квитирования согласно IEEE 802.11.
Затем блок проверки аутентификации авторизует на основе запроса доступа и информации проверки безопасности мобильное коммуникационное устройство 111.
После того как сети посредством модуля аутентификации, таким образом, стала известна идентичность мобильного коммуникационного устройства, затем мобильному коммуникационному устройству предоставляется доступ к другим коммуникационным интерфейсам сети после сообщения его идентичности.
В одном выполнении настоящего изобретения предоставленный доступ для технического обслуживания остается действующим, пока модуль аутентификации вставлен. В другом выполнении настоящего изобретения доступ для технического обслуживания сохраняется действующим в течение заданного интервала времени, независимо от того, вставлен или нет модуль аутентификации.
Пока мобильному коммуникационному устройству предоставлен доступ для технического обслуживания, оно может повторно получать доступ для технического обслуживания. Так оно может, после прерывания соединения или при переходе на другой коммуникационный интерфейс сети, снова получить доступ к сети.
Уже существующий доступ для технического обслуживания мобильного коммуникационного устройства может заканчиваться, если предоставленный мобильному коммуникационному устройству доступ для технического обслуживания больше не действует, например, когда модуль аутентификации, ассоциированный с мобильным коммуникационным устройством, отсоединен от сети. В одном варианте уже существующий доступ для технического обслуживания может продолжать существовать и в том случае, когда предоставленный мобильному коммуникационному устройству доступ для технического обслуживания больше не действует. Оно не может тогда вновь получить доступ для технического обслуживания, например, к другому коммуникационному интерфейсу сети.
В одном выполнении настоящего изобретения генерируется предупредительное сообщение, если соединение между мобильным устройством технического обслуживания и модулем аутентификации в течение некоторого времени больше не существует или авторизация снова деактивируется.
В другом варианте осуществляется деактивирование предоставления права доступа, если доступ в течение заданной длительности времени не был использован.
В одном выполнении настоящего изобретения мобильное устройство технического обслуживания жестко ассоциировано с определенным модулем аутентификации. В одном варианте осуществляется переменная привязка модуля аутентификации к определенному мобильному устройству технического обслуживания за счет того, что он соединяется с мобильным устройством технического обслуживания.
Посредством описанного способа ассоциируемое с модулем аутентификации мобильное устройство технического обслуживания временно авторизуется для доступа для технического обслуживания определенной промышленной установки. Авторизованное тем самым мобильное устройство технического обслуживания может получать доступ к другим, в частности, беспроводным интерфейсам технического обслуживания промышленной установки. При этом оно применяет, например, данные конфигурации безопасности для аутентификации по отношению к промышленной установке, которые посредством промышленной установки проверяются с применением данных конфигурации безопасности, установленных посредством модуля аутентификации.
Устанавливается временная привязка, причем в качестве признака безопасности применяется физическая защита доступа. Эта временная привязка обеспечивает возможность защищенного доступа для технического обслуживания к этой промышленной установке посредством этого связанного мобильного устройства технического обслуживания, причем для этого могут применяться дополнительные интерфейсы, которые не применяются посредством защиты доступа, применяемой для установления привязки. Так используется физическая защита доступа, чтобы установить независимую от этого логическую защиту доступа.
Фиг.2 показывает в схематичном представлении последовательность операций соответствующего изобретению способа для динамической авторизации сетевого доступа. Прежде всего отпирается (201) щиток технического обслуживания промышленной установки. Затем вставляется модуль аутентификации. Затем мобильное устройство технического обслуживания беспроводным или проводным способом соединяется (203) с интерфейсом для технического обслуживания. После этого проверяется, ассоциирован ли вставленный модуль аутентификации с мобильным устройством технического обслуживания и имеет ли он полномочия (204) на техническое обслуживание. Если это не имеет места, то доступ к техническому обслуживанию блокируется (205). Если вставленный модуль аутентификации может ассоциироваться с мобильным устройством технического обслуживания и мобильное устройство технического обслуживания имеет полномочия на техническое обслуживание, то доступ для технического обслуживания предоставляется (206) и задача технического обслуживания может выполняться (207). Затем устройство технического обслуживания отделяется (208) от интерфейса для технического обслуживания. После этого модуль аутентификации может также быть удален (209). Наконец, щиток технического обслуживания вновь механически запирается (210).
Основная идея изобретения также может быть перенесена на другие мобильные коммуникационные устройства, такие как, например, телефон проводника или прибор для проверки проездных билетов, которые динамически соединяются с соответствующей сетью.
Применяется имеющаяся физическая защита доступа, чтобы установить логическую защиту доступа на функции технического обслуживания, которые не покрываются физической защитой доступа. Тем самым административные затраты на управление логическими информациями безопасности снижаются или исключаются.
Доступ к техническому обслуживанию возможен не только, как является обычным в настоящее время, через физически защищенный доступ для технического обслуживания, но также можно устройство технического обслуживания совместно вводить децентрализованным образом, чтобы пространственно независимым образом, например через WLAN, иметь возможность доступа к промышленной установке. В особенности в случае поезда, оснащенного WLAN, нужно только вставить модуль аутентификации за щитком технического обслуживания, чтобы затем иметь возможность доступа ко всему поезду через WLAN. Тем самым создается чрезвычайно просто реализуемая функциональная возможность, позволяющая получать доступ определенного мобильного устройства технического обслуживания к функциям технического обслуживания.
Изобретение относится к области технического обслуживания. Технический результат - ограничение открытого доступа к сетям с обслуживаемыми установками. Способ для динамической авторизации мобильного коммуникационного устройства для сети, при котором ассоциированный с коммуникационным устройством модуль аутентификации связывается с сетью через коммуникационный интерфейс с физически защищенным доступом, защищенный и вложенный в запираемое устройство механического запирания, мобильное коммуникационное устройство передает через другой коммуникационный интерфейс запрос доступа в сеть, блоку проверки аутентификации сети от модуля аутентификации предоставляется информация проверки безопасности мобильного коммуникационного устройства, блок проверки аутентификации авторизует на основе запроса доступа и информации проверки безопасности мобильное коммуникационное устройство для сети. 3 н. и 6 з.п. ф-лы, 2 ил.
1. Способ для динамической авторизации мобильного коммуникационного устройства для сети, при котором
ассоциированный с коммуникационным устройством модуль аутентификации связывается с сетью через коммуникационный интерфейс с физически защищенным доступом, защищенный и вложенный в запираемое устройство механического запирания, обеспечивая таким образом ограниченный открытый доступ,
мобильное коммуникационное устройство передает через другой беспроводной или проводной коммуникационный интерфейс запрос доступа в сеть,
блоку проверки аутентификации сети от модуля аутентификации предоставляется информация проверки безопасности мобильного коммуникационного устройства,
блок проверки аутентификации авторизует на основе запроса доступа и информации проверки безопасности мобильное коммуникационное устройство для сети.
2. Способ по п. 1, причем
информации проверки безопасности представляют собой данные конфигурации для установления безопасного сетевого соединения мобильного коммуникационного устройства.
3. Способ по п. 2, причем
данные конфигурации для установления безопасного сетевого соединения включают в себя идентифицирующую информацию мобильного коммуникационного устройства и/или симметричную или асимметричную информацию ключа.
4. Способ по п. 1, причем
информации проверки безопасности представляют собой функциональность аутентификации для установления безопасного сетевого соединения мобильного коммуникационного устройства, выполненный таким образом, что
передается команда проверки через блок проверки аутентификации на модуль аутентификации,
ответ проверки определяется посредством модуля аутентификации на основе команды проверки, и ответ проверки передается посредством модуля аутентификации на блок проверки аутентификации,
ответ аутентификации проверяется блоком проверки аутентификации.
5. Система для динамической авторизации мобильного коммуникационного устройства для сети посредством блока проверки аутентификации сети, содержащая
ассоциированный с мобильным коммуникационным устройством модуль аутентификации, который через коммуникационный интерфейс с физически защищенным доступом может соединяться с сетью,
мобильное коммуникационное устройство, которое может соединяться с сетью через другие беспроводные или проводные коммуникационные интерфейсы,
запираемое устройство механического запирания,
причем коммуникационный интерфейс с физически защищенным доступом защищен и вложен в запираемое устройство механического запирания для обеспечения ограниченного открытого доступа, причем модуль аутентификации содержит средство для предоставления информаций проверки безопасности мобильного коммуникационного устройства, на основе которого осуществляется авторизация мобильного коммуникационного устройства посредством блока аутентификации сети.
6. Система по п. 5, причем
информации проверки безопасности представляют собой данные конфигурации для установления безопасного сетевого соединения мобильного коммуникационного устройства.
7. Система по п. 6, причем
данные конфигурации для установления безопасного сетевого соединения включают в себя идентифицирующую информацию мобильного коммуникационного устройства и/или симметричную или асимметричную информацию ключа.
8. Система по п. 5, причем
информации проверки безопасности представляют собой функциональность аутентификации для установления безопасного сетевого соединения мобильного коммуникационного устройства, и модуль аутентификации и блок проверки аутентификации выполнены таким образом, что
передается команда проверки через блок проверки аутентификации на модуль аутентификации,
ответ проверки определяется посредством модуля аутентификации на основе команды проверки, и ответ проверки передается посредством модуля аутентификации на блок проверки аутентификации, ответ аутентификации проверяется блоком проверки аутентификации.
9. Модуль аутентификации, выполненный с возможностью осуществления способа по любому из пп. 1-4.
Авторы
Даты
2016-02-20—Публикация
2011-04-26—Подача