[go: up one dir, main page]

CN101401387B - 用于嵌入式设备的访问控制方法 - Google Patents

用于嵌入式设备的访问控制方法 Download PDF

Info

Publication number
CN101401387B
CN101401387B CN200780008577.5A CN200780008577A CN101401387B CN 101401387 B CN101401387 B CN 101401387B CN 200780008577 A CN200780008577 A CN 200780008577A CN 101401387 B CN101401387 B CN 101401387B
Authority
CN
China
Prior art keywords
client
server
access
target server
capability
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN200780008577.5A
Other languages
English (en)
Other versions
CN101401387A (zh
Inventor
马丁·内德勒
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ABB Research Ltd Switzerland
Original Assignee
ABB Research Ltd Switzerland
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ABB Research Ltd Switzerland filed Critical ABB Research Ltd Switzerland
Publication of CN101401387A publication Critical patent/CN101401387A/zh
Application granted granted Critical
Publication of CN101401387B publication Critical patent/CN101401387B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

客户端(C)从认证授权服务器(AA)请求用于访问目标服务器(S)的能力。认证授权服务器(AA)向客户端(C)发送包括客户端(C)的公钥(pubC)的能力(CapC,S),所述能力被使用所述认证授权服务器的私钥(privAA)而签名。客户端(C)将所述能力(CapC,S)发送给目标服务器(S)。如果所述能力有效,则目标服务器(S)授权客户端(C)访问,并且可以发起数据交换。由于本发明的协议不需要对每个目标服务器设备的单独配置,因此本发明的协议是可扩展的,其允许在合理时间内对用户访问的撤销,不将可泄密的秘密数据存储在任何目标服务器设备上,实现了针对每个用户的单独访问许可以及每个用户的责任。

Description

用于嵌入式设备的访问控制方法
本发明的背景
嵌入式设备目前是诸如联网(路由器、受管理交换机、防火墙)、电信、电业/煤气业/自来水业自动化(智能电子设备、诸如根据IEC 61850的变电站中的标准化通信网络和系统之类的通信)以及工业自动化(PLC、工艺过程控制器、驱动机器人控制器)等的关键基础设施的重要部件。在这些嵌入式服务器的工作寿命期间,人类用户和软件进程必须直接地和/或远程地对其进行访问,以便发布命令、获得测量值或状态信息、诊断故障以及改变设置和应用。由于这些设备对于其各自的系统而言是关键的,因此对这些设备的访问应当受到限制和严格控制。目前用于嵌入式设备的认证方案主要是基于密码的,其并未提供必要的安全性和可扩展的可管理性。在讨论认证及访问控制机制时,必须区分两种根本不同的使用场景:商业场景和嵌入式设备场景。
在图1中示意性地示出的、包括办公室工作和电子商务应用的商业场景中,成百或上千的用户和客户端C访问在有限数量的位置中的服务器S和服务的相对小的集合。用户和服务器均是单个或数量很少的认证域(例如Windows域或Kerberos域)的成员。在多个认证域的情况下,可以使用单点登录(single-sign on)方案来向用户模拟单个认证域。由于用户帐号被存储在应用服务器经由总是可用的网络而委托其进行认证判决的、有限数量的集中认证服务器AA上,因此用户帐号可以得到有效的管理。
与商业环境不同,图2中示意性地示出的嵌入式设备环境仅具有较少数量的人类用户(操作员、维护人员)和客户端工作场所C。这些用户典型地属于多个组织(CA、CB或CC),并且每个用户如供应商服务工程师等必须具有访问用作服务器S的大量嵌入式设备的能力。这些嵌入式服务器在物理上和组织结构上是分布式的,并且因此属于不同的认证域。事实上,在目前的典型嵌入式环境中,由于过去需要每个嵌入式设备能够完全独立于其它主机和外部通信链路地工作,以最大化由该嵌入式设备控制的系统的弹性和可靠性,因此每个嵌入式设备是包含其自身的用户库的、其自身的认证域。这种分散的用户管理面临着这样的额外的挑战:嵌入式设备的本地存储和计算能力典型地比商业认证及访问控制服务器的存储和计算能力低得多。
由于对施加于嵌入式设备上的可用性的高要求,与选择用于嵌入式设备的认证及访问控制选项相关的折衷判决迄今为止已经削弱了安全性。因此,非常需要用于嵌入式设备的、安全的且可有效地管理的认证及访问控制方案。
背景技术
在文献以及广泛使用的IT系统中存在大量不同的认证及访问控制方案。
直接在嵌入式设备上的基于密码的访问控制和认证是目前最常见的机制。该机制遭受到若干主要缺点。由于访问是基于知识的,因此访问在实践中是不可撤消的,并且对所有受到影响的服务器进行重新配置将是不可行的。此外,对设备的存储限制典型地限制了用户帐号的数量,并且因此需要避免了个人责任的组证书。如果用户对多个设备使用相同的密码,则单个设备的泄密(compromise)导致了整个系统的泄密。
已知的最佳集中式方案是也用于Microsoft Windows域认证的Kerberos认证服务。在通过引用合并于此的以下两个公开文献中详细描述了Kerberos认证服务:作者为J.Kohl和C.Neuman的“The KerberosNetwork Authentication Service”,RFC 1510,1993年9月;以及作者为B.Neumann和T.Ts’o的“Kerberos:An Authentication Service forComputer Networks”,IEEE Communications Magazine,32(9):33-38,1994年9月。Kerberos工作具有被称为“票据(ticket)”的能力。在成功的认证之后,用户获得“票据授权票(ticket granting ticket)”,该票据授权票随后可被用于从一个或更多个票据授权服务器获得针对目标服务器的实际票据。目标服务器自身针对其访问控制判决仅检查所述票据,而不检查实际的用户身份。Kerberos使用共享秘密和对称加密技术来保护参与者之间的通信的真实性和机密性。每个目标服务器必须配置有该目标服务器与中央认证服务器共享的个体密钥。这并不适合于具有上百个设备的嵌入式设备环境。Kerberos自身仅涉及认证及访问控制,而不涉及对作为结果的会话的保护。
在以下文献中提出了使用公钥加密技术的Kerberos的变体:作者为M.Sirbu和J.Chuang的“Distributed Authentication in Kerberos UsingPublic Key Cryptography”,Proceedings of the Internet SocietySymposium on Network and Distributed System Security NDSS’97,1997年。基于公钥的认证处理与访问控制处理相分离,但是访问控制处理并未与对目标服务的访问相分离。因此,每个服务器仍然需要为每个用户维护访问控制列表。
通过引用合并于此的以下文献描述了作为基于公钥的认证及访问控制协议和认证消息格式的SPKI(简单公钥证书):作者为C.M.Ellison的“SPKI Requirements”,RFC 2692,1999年9月;以及作者为C.M.Ellison、B.Frantz、B.Lampson、R.Rivest、B.M.Thomas和T.Ylonen的“Simple Public Key Certificate”,draft-ietf-spki-cert-structure-06.txt,1999年7月。主要专注于复杂的权限分配和推导算法。SPKI未提供用于对抗篡改或重放的会话保护的措施。SPKI消息格式可用在本发明的环境中以传送能力。
通过引用合并于此的以下文献:作者为J.Hughes和E.Maler的“Security Assertion Markup Language,V2.0 Technical Overview”,sstc-saml-techoverview-2.0-draft-08,2005年9月,描述了这样的内容:SAML是用于对能力进行编码的基于XML的语法,其可能用在本发明的环境中以传送能力,但是由于标准SAML只能表示是/否型的访问判决而不能表示复杂的允许语句,因此SAML是有限制的。SAML还定义了大量用于单点登录和服务器联合的认证授权传输协议,但是这些认证授权传输协议需要服务器设备对认证及访问控制服务器的在线访问。
通过引用合并于此的以下文献:ITU.Information technology-OpenSystems Interconnection-The Directory:Public-key and attributecertificate frameworks,ITU Recommendation X.509,2000年3月,描述了作为用于对可用在本发明的环境中以传送能力的数字证书和附加属性进行编码的X.509。
以下文献描述了作为使用基于可选公钥的认证方案的替代的会话保护协议的SSH(安全外壳协议):T.Ylonen和C.Lonvick的“The SecureShell Protocol Architecture”,RFC 4251,2006年1月。访问控制是基于存储在服务器设备上的ACL的,并且为了进行认证,必须在每个服务器设备上预先配置每个合法用户的公钥。
发明内容
本发明的目的是提供一种新颖的基于公钥的认证及访问控制系统及方法,其满足了对嵌入式设备的访问控制的安全性和可管理性的需求。
本发明的访问控制方法允许在具有诸多客户端、诸多目标服务器和至少一个认证授权服务器的计算机网络系统中控制客户端对目标服务器的访问。客户端具有存储在数据存储装置中的该客户端自身的私钥。目标服务器具有存储在数据存储装置中的认证授权服务器的公钥。认证授权服务器在数据存储器中存储有客户端的公钥、以及与客户端对目标服务器的访问权限相关的信息。
所述方法包括以下步骤:
-客户端向认证授权服务器请求用于访问目标服务器的能力,
-认证授权服务器基于存储在数据存储器中的信息来检查是否要授权客户端访问目标服务器。如果要授权客户端访问目标服务器,则认证授权服务器向客户端发送包括客户端的公钥的能力。用认证授权服务器的私钥对所述能力进行签名,
-客户端将从认证授权服务器接收的能力发送给目标服务器,以及
-目标服务器验证所述能力的有效性,并且如果所述能力有效,则允许客户端访问目标服务器。
在本发明的计算机网络系统中,每个嵌入式目标服务器保存预先配置的、认证授权服务器的公钥。该密钥不是秘密的。这样,由于物理攻击而导致的一个目标服务器的任何泄密并不会使得整个访问控制方案泄密。服务器不必配置有个体密钥。
各个客户端的访问权限在访问授权组织的控制下在一个或少量数目的中央服务器中进行维护。这允许访问权限变化的快速推广(roll-out)。基于规则的访问控制可以用于可扩展的客户端权限分配。可以由目标服务器的所有者(自动化系统的所有者)来管理认证授权服务器,或者这可以被外包给可信的提供商,例如自动化系统供应商。具有两个或更多个串行和/或并行的授权请求的组合方案是可行的。客户端对认证授权服务器的认证可以通过常用的认证方案、例如Windows/Kerberos域、用户名/密码、SSL等等进行。
为了允许客户端离线地访问目标服务器,客户端在意图访问目标服务器之前、从中央认证授权服务器获得通常具有在时间上受到限制的有效性的能力。可以以计算机和/或人类可读的格式来对所述能力进行编码。所述能力可以被存储在数据存储装置如计算机可读智能卡上。可以使用诸如智能卡标识码(PIN)之类的附加因素来确保对所述能力的访问控制。所述能力包含其授权的访问权限,并因此可以由目标服务器离线评估。使用离线目标服务器可能不存在撤销方案。本发明的方法通过以下方式来减轻此问题:为在线远程访问使用短的截止期(分钟/小时),并且在需要对目标服务器的物理访问时使用较长的截止期(小时/天)。该方案需要中央认证授权服务器与目标服务器之间的某种程度的时间同步。
为了明确地识别访问目标服务器的每个客户端,所述能力包含客户端标识符。
由认证授权服务器用其自身的私钥进行了签名的所述能力包含客户端的公钥。在获得对目标服务器的访问之前,客户端必须证明其持有私钥。这样,目标服务器能够验证所述能力的提供者的身份。只有私钥的持有者才能对会话密钥进行解密并且所述能力只能随客户端的私钥一起使用的事实防止了使用所述能力的副本的客户端电子欺骗(Spoofing)。
为了避免使用用于不同的服务器的授权的能力,所述能力包含服务器标识符。该标识符允许服务器验证已针对对它的访问而发布了该能力。如果该标识符不匹配,则可以拒绝、记录和报告任何请求。
为了避免重放旧消息或重用会话密钥,从目标服务器至客户端的每个消息包含必须被包括在从客户端至目标服务器的下个消息中的随机数(nonce)。目标服务器跟踪无应答的随机数。任何具有旧的随机数的消息均被拒绝。
在阈值方案中或者在具有分离的职责的系统中,本发明的方法可以被扩展为客户端需要多于一个的访问目标服务器的能力。
已建立的会话优选地使用对称加密技术。或者加密(更为计算密集的)或者仅完整性保护都是可行的。
由于本发明的用于诸如自动化系统和网络设备之类的嵌入式服务器的认证及访问控制方案与目前用于这些系统的传统的基于密码的方案相比显著改进了各种安全特性,同时也改进了可扩展性和可管理性,因此其满足了工业中的急迫需求。该方案在电力事业中的广泛应用可能例如是用于满足关于用于访问撤销的推广时间限制的North America ElectricReliability Council’s(NERC)Critical Infrastructure Protection(CIP)(北美电力可靠性协会的关键基础设施保护)需求(NERC CIP 004-1/B/R4.2)的关键部分。
此外,具有一定应急许可(例如停机)的能力可以被存储为例如物理上受保护地接近于服务器设备,以允许在不会具有证书不可用(忘记密码;无可用的已授权的人员;或者如果认证授权服务器不可用)的风险的情况下执行这种应急动作。
附图说明
图1示出了商业环境的计算机网络,其中大量客户端计算机对在有限数量的位置中的服务器S和服务的相对小的集合进行访问,
图2示出了嵌入式设备环境的计算机网络,其中典型地属于多个组织的、数量相对少的客户端计算机对用作服务器的大量物理上分布式的嵌入式设备进行访问,以及
图3示出了本发明的计算机网络系统,即具有附加的认证授权服务器的嵌入式设备环境。
具体实施方式
图3示意性地示出了本发明的系统,其包括嵌入式服务器S、客户端C、以及认证授权服务器或简称为访问授权服务器(access authorityserver)AA。尽管仅示出了一个嵌入式服务器和一个客户端,但是本发明的系统可以包括若干嵌入式服务器和若干客户端C以及多于一个的访问授权服务器。
每个客户端具有其自身的密钥对pubC和privC,其中privC是秘密的且仅为客户端C所知,而pubC是公钥而非秘密的。
访问授权服务器AA具有其自身的密钥对pubAA和privAA,其中privAA是秘密的且仅为访问授权服务器AA所知。
嵌入式服务器S保存访问授权服务器AA的公钥pubAA。作为公钥,pubAA并不是秘密的,并且对于所有设备是相同的密钥,因此pubAA可以被有效地预先安装。对任何服务器S的不允许的访问或控制并不提供用于使协议泄密的攻击者信息。每个服务器还保存用于其自身的某种标识符IdS。嵌入式服务器S和访问授权服务器AA优选地以一定程度的同步性而共享共同的时间概念(技术上例如通过GPS来实现)。同步性偏差可能导致关于截止时间验证的错误否定和错误肯定。
访问授权服务器AA保存进行访问控制判决所需要的附加信息:
·所有客户端C对所有目标服务器S的访问权限矩阵。该矩阵中的特定权限R(C,S)可以是通用的(读/写/更新/删除)或者应用/服务器专用的。这些特定权限只需要可被服务器解释,并且因此可以是对于每个服务器而不同的。这样,可以使用相同的方案来管理针对大量不同设备的访问控制。
·Texp(C,S)是确定被授权给客户端C的用于访问目标服务器S的能力的截止时间的规则集。与能力相关的实际截止时间可能取决于C、S、所请求的访问权限、以及诸如访问服务器的预期方法(在线地、或通过直接的物理访问/控制台访问而离线地)等的上下文信息。
·用于所有注册的客户端C的pubC。由于仅存在一个这些密钥需要在其处被注册的中央位置,因此这是可管理的。
在下文中,将对所述协议的各个步骤进行说明。在图3中使用标记1-7而示出了所提出的认证及授权控制协议的步骤。步骤1至3描述了向认证访问服务器请求能力的处理,步骤4至7描述了发起与目标服务器之间的会话的处理,步骤8描述了客户端与目标服务器之间的数据交换会话。
步骤1:客户端C成功地向访问授权服务器AA进行认证。假设存在允许客户端C以足够安全的方式向访问授权服务器AA进行认证并与访问授权服务器AA进行通信的适当方案。为此目的,由于客户端C向单个中央服务器认证其自身,因此不关心上文提及的可扩展性问题。为此可以使用诸如Windows域认证或Kerberos之类的常见方法。
步骤2:客户端C向认证授权服务器AA请求能力,即可传输的许可表示,其具有针对由IdS标识的目标服务器的访问权限R′和截止时间T′exp。注意到,IdC可以是请求消息的显式部分,或者可以由访问授权服务器AA从来自C与认证授权服务器AA之间的经认证后的会话的上下文信息而获得。
C→AA:{IdS,R′,IdC,T′exp}
步骤3:访问授权服务器AA基于存储在其数据库中的信息,来检查在例如所请求的权限和预期的访问方法(在线、离线)之类的给定情况下对目标服务器S的访问是否可以被授权给客户端C以及可以授权何种程度的访问。然后访问授权服务器AA发布适当的能力,该适当的能力随后被发送给客户端C。使用访问授权服务器AA的私钥对该能力进行签名。注意到,在实践中,仅对散列进行签名。客户端C的唯一标识符IdC被包括用于使得目标服务器即使在目标服务器S自身不对客户端C进行认证的情况下也能够记录实际客户端,以允许必要时对客户端的回溯识别。客户端C的公钥pubC被包括用于随后的客户端C与目标服务器S之间的消息交换中,以使目标服务器S可以确信只有客户端C(由privC的所有权来定义)才能对使用pubC加密的消息进行解密。被寻址的服务器的唯一标识符IdS允许该服务器验证所述能力是为其自身而非任何其它服务器发布的。R″={R1,R2,R3,...}指示了可被特定目标服务器S接受/理解的、以任意访问权限语言制定的已授权访问权限集。R′被计算作为所请求的权限R′与根据授权数据库可用于该客户端的权限R(C,S)的交集。T″exp指定了该能力的截止时间。T″exp是所请求的截止时间T′exp和截止时间计算规则集Texp(C,S)的函数。
AA→C:CapC,S={IdC,pubC,IdS,R″,T″exp}privAA
如上文所述,客户端C向访问授权服务器AA的认证和访问授权服务器AA向客户端C的认证以及对这些消息的保护(机密性、完整性)被假设是可用的,并且因此不在本协议的范围之内。
可选地,附加的能力请求可被送往另一访问授权服务器AA′(步骤2′、3′),例如用于验证访问授权服务器AA对于目标服务器S仍具有发布能力的许可。这可以例如用于服务提供商针对其员工而运行其自身的访问授权服务器AA的场景中,但是服务器所有者的访问授权服务器AA′必须确认服务提供商仍遵守一切规则且有资格授权其员工。替代地,访问授权服务器AA和AA可以是并行的替换方案,以提高可用性。
步骤4:客户端C将从访问授权服务器AA接收的能力capC,S发送给目标服务器S。这可以通过网络完成或者通过直接控制台或面板访问而离线地完成。
C→S:capC,S
步骤5:目标服务器S通过检查以下各项来验证能力capC,S
-访问授权服务器AA在所述能力capC,S上的签名,通过使用访问授权服务器AA的公钥来进行检查:
S:{capC,S}pubAA=?{IdC,pubC,IdS,R″,T″exp}
-所述能力capC,S是否确实被送往S,
-所述能力是否尚未到期:
S:t<T″exp
所列出的验证步骤的顺序并不是固定的。
步骤6:在证实了所述能力有效时,目标服务器S产生随机对称会话密钥Ksess。目标服务器S利用从由访问授权服务器AA签名的所述能力中获得的客户端的公钥对该会话密钥Ksess以及随机数N进行加密。所述随机数、即随时间变化的参数可以是长计数器或时间戳,并且不一定是随机的。在实践中,对称密钥K′典型地可以用于加密K、N,并且只有该密钥K′将会被使用pubC来加密。
S→C:{Ksess,N1}pubC
步骤7:客户端C使用其自身的私钥privC来对该会话密钥进行解密。
C:{Ksess,N1}={{Ksess,N1}pubC}privC
步骤8:为了启动会话中的实际数据交换,客户端C向目标服务器S发送数据/命令。共享的对称会话密钥可用于使用例如MAC/键控散列的加密或完整性保护。通过随机数N,目标服务器S可以验证从客户端接收的消息是期望的消息而非插入的或重放的消息。
C→S:{N1,数据}Ksess(加密的)
C→S:{{N1,数据},MAC(N1,数据,Ksess)}(受完整性保护的)
目标服务器S验证所述能力仍是有效的且尚未到期以及所述随机数是正确的(如同所期望的)。
S:t<T″exp;nonce=N1
目标服务器S验证客户端所发送的请求/命令已被所提供的能力授权。如果该请求/命令已被授权,则目标服务器执行该请求/命令并向客户端返回数据。再一次地,共享的对称会话密钥可用于加密或完整性保护。
可以针对同一会话中的另外的客户端消息而重复步骤8(步骤8.1,8.2,...,8.x)。为此目的,目标服务器S发布另外的随机数N2,...,NX,该随机数随先前的客户端消息的返回数据一起发送给客户端。新的随机数将被客户端用于同一会话中的去往目标服务器的另外的消息。当然,如果不期望另外的客户端消息的话,则可以省略新的随机数。
C→S:{N2,数据}Ksess
C→S:{{N2,数据},MAC(N2,数据,Ksess)}
可以使用一个能力来在客户端与目标服务器之间建立多于一个的会话。为了建立与目标服务器之间的另外的会话,可以在能力有效期内重复步骤4-8。对于每个会话,协商单独的会话密钥。当能力有效性到期时,必须向访问授权服务器请求新的能力。
下面的部分包含了对于本发明的协议的诸多设计考虑因素:
配置可扩展性:通过在每个目标服务器中配置访问授权服务器AA的相同的公钥,不需要服务器专用的密钥管理。可以在每个服务器中安装多个访问授权服务器密钥,以允许并行地使用多个访问权(增加的可用性)或者用于将访问权限划分为一定的访问权。这可以用于例如下述这样的情形中:诊断服务提供商被允许运用其自身的访问权以访问客户的服务器,但是该访问权在服务器侧被限制为仅有读取许可。
防止通过服务器泄密的协议泄密的保护:服务器不存储可用于使所述协议泄密的秘密。注意到,这意味着,如同使用传统的基于密码的认证和访问控制一样地,不存在服务器对客户端的认证。这是在安全性与可管理性之间的折衷。因此,攻击者可以向客户端冒充(spoof)服务器。然而,该攻击只会允许拒绝服务和将错误数据注入客户端,而不能用于将恶意数据或命令注入服务器。
授权变化的快速推广:客户端对目标服务器的访问权限(访问矩阵)在访问授权组织的控制下在一个(或少量数目的)中央服务器中进行维护。在该中央服务器上可以使用基于规则的访问控制来进行可扩展的客户端权限分配。因此,任何变化均可以借助于单个变化动作来推广,并且所述变化在至多最长的截止时间之后对于在该推广之前发布的能力而言将会是有效的。
可管理性与所需要的信任之间的折衷:访问授权服务器可以由拥有目标服务器的组织来管理,或者访问授权服务器的操作可以被外包给可信的服务提供商,例如自动化系统供应商。具有两个链式的(AND)或并行的(OR)授权请求的组合方案是可行的。
离线使用:在某些情况下,物理上出现在嵌入式服务器侧对于维护动作而言是必需的,并且没有至外部服务的网络连接可用。针对该场景,服务技术人员在前去该嵌入式服务器的场所之前从访问授权服务器获得具有适当截止期的能力。该能力包含其所授权的访问权限,并因此可由目标服务器离线评估。
能力的有效性的限制:在没有重新配置所有服务器的情况下,基于知识的认证及访问控制权限(密码)不可被撤销。其它现有的撤销方案对于离线服务器不起作用。所提供的协议通过以下方式来解决该问题:为在线远程访问使用具有短的截止期(分钟/小时)的专用能力,并且如果需要对目标服务器的物理访问的话则使用以天计的截止期。注意到,基于截止的撤销需要访问授权服务器与嵌入式服务器之间的某种程度的时间同步。
审计能力:访问目标服务器的每个客户端应当被明确地单独识别。为此目的,所述能力包含可由被访问的嵌入式服务器记录的客户端标识符IdC
防止通过复制的能力进行的客户端电子欺骗:由访问授权服务器签名的能力包含客户端的公钥。客户端必须证明其有权访问对应的私钥privC以成功地参与所述协议(对会话密钥进行解密)。
确保能力仅能用于预期的服务器:所述能力中的目标服务器标识符IdS允许目标服务器验证该能力已被发布用于对该目标服务器自身的访问。注意到,这需要未经受访问控制就不能被改变的、用于每个目标服务器的某种唯一标识符,例如设备名或通信地址。当然,如果改变目标服务器身份所需要的许可并不构成用于目标服务器的访问权限的最高等级,则这向潜在的特权提升尝试开放了方案。
计算效率:所建立的会话使用对称加密技术。或者加密(更为计算密集的)或者仅有完整性保护均是可行的。
防止重放:从目标服务器至客户端的每个消息均包含随机数,该随机数必须被包括在从客户端至目标服务器的下个消息中。目标服务器无应答地对随机数进行跟踪。任何具有不期望的(例如旧的)随机数的消息都被拒绝。注意到,丢失的消息(失去同步)可能中断通信。可以使用窗口方案以在轻度增加重放攻击的风险的情况下使得该问题得以部分地减轻。
所使用的缩写和附图标记的列表
Figure GSB00000588295500121

Claims (10)

1.一种用于在计算机网络系统中控制客户端(C)对多个目标服务器(S)的访问的访问控制方法,所述方法包括:
-在认证授权服务器(AA)中存储与所述客户端(C)对所述多个目标服务器(S)的访问权限相关的信息,
-所述客户端(C)向所述认证授权服务器(AA)请求用于访问某一目标服务器(S)的能力,
-所述认证授权服务器(AA)基于存储在数据存储器中的信息,来检查是否要授权客户端(C)对目标服务器(S)的访问以及要向客户端(C)授权对目标服务器(S)的何种程度的访问,而且如果要授权客户端(C)对目标服务器(S)的访问,则向客户端(C)发送能力(CapC,S),
-所述客户端(C)将从所述认证授权服务器(AA)接收的能力(CapC,S)发送给所述目标服务器(S),
-所述目标服务器(S)验证所述能力(CapC,S)的有效性以及所述客户端(C)的身份,而且如果所述能力有效且所述客户端(C)被识别,则允许所述客户端(C)访问所述目标服务器(S),
其特征在于,所述方法包括:
-在所述客户端(C)的数据存储器中存储所述客户端(C)的私钥(privC),在所述认证授权服务器(AA)的数据存储器中存储所述客户端(C)的公钥(pubC),
-所述认证授权服务器(AA)向客户端(C)发送包括所述客户端(C)的公钥(pubC)的能力(CapC,S)。
2.根据权利要求1所述的访问控制方法,其中客户端(C)的唯一标识符(IdC)被包括在所述能力(CapC,S)中,以使所述目标服务器(S)即使在该目标服务器(S)自身不对客户端(C)进行认证的情况下也能够记录实际的客户端。
3.根据权利要求1或2所述的访问控制方法,其中所述目标服务器(S)在数据存储器中存储有所述认证授权服务器(AA)的公钥(pubAA),所述访问控制方法包括:
-使用所述认证授权服务器的私钥(privAA)来对所述能力进行签名,以及
-所述目标服务器(S)通过使用所述认证授权服务器(AA)的公钥(pubAA)检查所述认证授权服务器(AA)在所述能力(CapC,S)上的签名,来验证所述能力(CapC,S)的有效性。
4.根据权利要求1或2所述的访问控制方法,其中目标服务器(S)的唯一标识符(IdS)被包括在所述能力(CapC,S)中,以及所述目标服务器(S)通过检查所述唯一标识符(IdS)来验证所述能力(CapC,S)的有效性。
5.根据权利要求1或2所述的访问控制方法,其中认证授权服务器(AA)的存储在数据存储器中的信息包括与能力的截止时间相关的规则,截止时间(Texp)被包括在所述能力(CapC,S)中,以及所述目标服务器(S)通过将实际时间与所述截止时间(Texp)相比较来验证所述能力(CapC, S)的有效性。
6.根据权利要求1或2所述的访问控制方法,其中计算机网络系统包括至少一个另外的目标服务器,以及其中所述客户端(C)在向认证授权服务器(AA)的单个请求中请求用于访问多个目标服务器(S)的能力。
7.根据权利要求1或2所述的访问控制方法,其中所述计算机网络系统包括至少一个另外的认证授权服务器(AA′),其中所述目标服务器(S)额外地在数据存储器中存储有所述至少一个另外的认证授权服务器(AA′)的公钥(pubAA′),以及其中所述能力(CapC,S)被多于一个的认证授权服务器(AA,AA′)进行签名。
8.根据权利要求1或2所述的访问控制方法,其特征在于,所述访问控制方法包括:
-所述目标服务器(S)通过以下方式来允许所述客户端(C)访问目标服务器(S):产生随机的会话密钥(Ksess),使用所述客户端的公钥(pubC)来加密所述会话密钥,以及将所述已加密的会话密钥发送给客户端(C)。
9.根据权利要求8所述的访问控制方法,其中所述目标服务器(S)产生随机数,所述随机数随所述已加密的会话密钥一起发送给客户端(C),所述随机数由所述目标服务器(S)用于验证随后的消息并非是不期望的、插入的、或重放的消息。
10.根据权利要求1或2所述的访问控制方法,其中所述目标服务器(S)仅在存在多个能力且每个能力均授权了所请求的访问时才授权客户端(C)访问。
CN200780008577.5A 2006-03-10 2007-03-10 用于嵌入式设备的访问控制方法 Expired - Fee Related CN101401387B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP06405110.5 2006-03-10
EP06405110A EP1833222A1 (en) 2006-03-10 2006-03-10 Access control protocol for embedded devices
PCT/CH2007/000133 WO2007104174A1 (en) 2006-03-10 2007-03-10 Access control protocol for embedded devices

Publications (2)

Publication Number Publication Date
CN101401387A CN101401387A (zh) 2009-04-01
CN101401387B true CN101401387B (zh) 2012-08-29

Family

ID=36337386

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200780008577.5A Expired - Fee Related CN101401387B (zh) 2006-03-10 2007-03-10 用于嵌入式设备的访问控制方法

Country Status (4)

Country Link
US (1) US8971537B2 (zh)
EP (2) EP1833222A1 (zh)
CN (1) CN101401387B (zh)
WO (1) WO2007104174A1 (zh)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101626379A (zh) * 2009-08-11 2010-01-13 深圳市融创天下科技发展有限公司 嵌入式系统中访问权限分级的访问管理方法及装置
CN102238201B (zh) * 2010-04-23 2016-09-28 中兴通讯股份有限公司 物联网应用模块及物联网应用与物联网终端的通信方法
GB2479916A (en) * 2010-04-29 2011-11-02 Nec Corp Access rights management of locally held data based on network connection status of mobile device
US9118686B2 (en) 2011-09-06 2015-08-25 Microsoft Technology Licensing, Llc Per process networking capabilities
US9773102B2 (en) 2011-09-09 2017-09-26 Microsoft Technology Licensing, Llc Selective file access for applications
US8990561B2 (en) 2011-09-09 2015-03-24 Microsoft Technology Licensing, Llc Pervasive package identifiers
US9800688B2 (en) 2011-09-12 2017-10-24 Microsoft Technology Licensing, Llc Platform-enabled proximity service
US8955086B2 (en) * 2012-03-16 2015-02-10 Red Hat, Inc. Offline authentication
US10356204B2 (en) 2012-12-13 2019-07-16 Microsoft Technology Licensing, Llc Application based hardware identifiers
CN103067377A (zh) * 2012-12-26 2013-04-24 广东威创视讯科技股份有限公司 计算机集群系统及其鉴权方法
US9397836B2 (en) * 2014-08-11 2016-07-19 Fisher-Rosemount Systems, Inc. Securing devices to process control systems
WO2014166546A1 (en) 2013-04-12 2014-10-16 Nec Europe Ltd. Method and system for accessing device by a user
CN103281187B (zh) * 2013-05-17 2016-12-28 北京网秦天下科技有限公司 安全认证方法、设备和系统
US9858247B2 (en) 2013-05-20 2018-01-02 Microsoft Technology Licensing, Llc Runtime resolution of content references
DE102013106119A1 (de) * 2013-06-12 2014-12-18 Deutsche Telekom Ag Hierarchisches Authentifizierungs- und Autorisierungssystem
CN103428692B (zh) * 2013-08-07 2016-08-10 华南理工大学 可问责且隐私保护的无线接入网络认证方法及其认证系统
CN103699824A (zh) * 2014-01-13 2014-04-02 浪潮(北京)电子信息产业有限公司 一种调用rest api的方法、系统及客户端
CN103973703A (zh) * 2014-05-23 2014-08-06 杭州智屏科技有限公司 一种用于应用程序和服务器之间交换数据安全的请求方法
CN105205666B (zh) * 2014-06-17 2019-10-25 中国银联股份有限公司 基于蓝牙的面对面支付方法及系统
US9667605B2 (en) * 2014-07-21 2017-05-30 Gerard Lin Electronic communication system and method for communication of the same in an open environment
CN104852902A (zh) * 2015-04-10 2015-08-19 中国民航大学 基于改进Diameter/EAP-TLS协议的民航SWIM用户认证方法
CN105072180B (zh) * 2015-08-06 2018-02-09 武汉科技大学 一种有权限时间控制的云存储数据安全共享方法
EP3334084B1 (en) 2015-08-24 2020-10-07 Huawei Technologies Co., Ltd. Security authentication method, configuration method and related device
JP6655921B2 (ja) * 2015-09-11 2020-03-04 キヤノン株式会社 通信システムとその制御方法、画像形成装置とその制御方法、及びプログラム
KR102576417B1 (ko) * 2015-11-19 2023-09-08 로베르트 보쉬 게엠베하 네트워크화된 컴퓨터를 통한 임베디드 디바이스에 대한 보안 액세스 제어
EP3264208B1 (de) * 2016-06-30 2021-01-06 Siemens Aktiengesellschaft Verfahren zum aktualisieren von prozessobjekten in einem engineerings-system
CN106255103A (zh) * 2016-07-29 2016-12-21 华为技术有限公司 一种数据同步方法及设备
CN106789997B (zh) * 2016-12-12 2020-01-17 中国传媒大学 一种防重放攻击的加密方法
EP3441945A1 (de) * 2017-08-07 2019-02-13 Skidata Ag Verfahren zum betreiben eines zugangskontrollsystems umfassend einen server, zumindest eine zugangskontrollvorrichtung und zumindest ein verkaufsstellengerät für zugangsberechtigungen für das vom zugangskontrollsystem abgedeckte gebiet
WO2019206420A1 (de) * 2018-04-26 2019-10-31 Seclous Gmbh Multi-faktor zugriffskontrollverfahren in anonymen systemen
DE102019106049A1 (de) * 2019-03-08 2020-09-10 Krohne Messtechnik Gmbh Verfahren zur sicheren Kommunikation zwischen einem Feldgerät der Automatisierungstechnik und einem Endgerät sowie System zur sicheren Kommunikation zwischen einem Feldgerät und einem Endgerät
CN117874826B (zh) * 2024-03-11 2024-05-24 成都数据集团股份有限公司 一种数据库权限管理系统及方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5455953A (en) * 1993-11-03 1995-10-03 Wang Laboratories, Inc. Authorization system for obtaining in single step both identification and access rights of client to server directly from encrypted authorization ticket
JP3595109B2 (ja) * 1997-05-28 2004-12-02 日本ユニシス株式会社 認証装置、端末装置、および、それら装置における認証方法、並びに、記憶媒体
US6189096B1 (en) * 1998-05-06 2001-02-13 Kyberpass Corporation User authentification using a virtual private key
AU2087901A (en) * 1999-12-13 2001-06-18 Rsa Security Inc. System and method for generating and managing attribute certificates
US7010683B2 (en) * 2000-01-14 2006-03-07 Howlett-Packard Development Company, L.P. Public key validation service
US6802002B1 (en) * 2000-01-14 2004-10-05 Hewlett-Packard Development Company, L.P. Method and apparatus for providing field confidentiality in digital certificates
JP2002014929A (ja) * 2000-04-26 2002-01-18 Sony Corp アクセス制御システム、アクセス制御方法、およびデバイス、アクセス制御サーバ、アクセス制御サーバ登録サーバ、データ処理装置、並びにプログラム記憶媒体
GB2373418A (en) * 2001-03-16 2002-09-18 Kleinwort Benson Ltd Method and system to provide and manage secure access to internal computer systems from an external client
US7231663B2 (en) * 2002-02-04 2007-06-12 General Instrument Corporation System and method for providing key management protocol with client verification of authorization
AU2003276819A1 (en) * 2002-06-13 2003-12-31 Engedi Technologies, Inc. Out-of-band remote management station
JP4748774B2 (ja) * 2004-06-02 2011-08-17 キヤノン株式会社 暗号化通信方式及びシステム

Also Published As

Publication number Publication date
US20090022325A1 (en) 2009-01-22
EP1994712A1 (en) 2008-11-26
US8971537B2 (en) 2015-03-03
CN101401387A (zh) 2009-04-01
WO2007104174A1 (en) 2007-09-20
EP1833222A1 (en) 2007-09-12

Similar Documents

Publication Publication Date Title
CN101401387B (zh) 用于嵌入式设备的访问控制方法
CN111049660B (zh) 证书分发方法、系统、装置及设备、存储介质
US8392702B2 (en) Token-based management system for PKI personalization process
US7890767B2 (en) Virtual smart card system and method
CN101222488B (zh) 控制客户端访问网络设备的方法和网络认证服务器
CN106888084B (zh) 一种量子堡垒机系统及其认证方法
US20060200856A1 (en) Methods and apparatus to validate configuration of computerized devices
US10686771B2 (en) User sign-in and authentication without passwords
CN113872932B (zh) 基于sgx的微服务间接口鉴权方法、系统、终端及存储介质
CN101803331A (zh) 用于以安全的方式来访问设备的方法和系统
CN104798083A (zh) 用于验证访问请求的方法和系统
CN103490881A (zh) 认证服务系统、用户认证方法、认证信息处理方法及系统
CN113872992B (zh) 一种在BMC系统中实现远程Web访问强安全认证的方法
US9954853B2 (en) Network security
Dua et al. Replay attack prevention in Kerberos authentication protocol using triple password
JP2017152880A (ja) 認証システム、鍵処理連携方法、および、鍵処理連携プログラム
CN109818938A (zh) 一种it运维双因素认证系统及方法
Naedele An access control protocol for embedded devices
US20240121083A1 (en) Secure restoration of private key
CN117938375A (zh) 第三方平台集成开放平台的用户认证方法及其系统
KR102053993B1 (ko) 인증서를 이용한 사용자 인증 방법
KR20110128371A (ko) 모바일 클라이언트 보안인증시스템과 중앙제어시스템 및 그 동작방법
CN119382888B (zh) 用户认证方法、智能业务系统、设备、介质及程序
CN118250079B (zh) 一种多端应用数据安全传输方法、装置及系统
Nagar et al. A secure authenticate framework for cloud computing environment

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20120829

Termination date: 20170310

CF01 Termination of patent right due to non-payment of annual fee