Browse Prior Art Database

Flexible Zugriffskontrolle fuer Systeme der Energieversorgung auf der Grundlage von Attributzertifikaten

IP.com Disclosure Number: IPCOM000177446D
Original Publication Date: 2008-Dec-23
Included in the Prior Art Database: 2008-Dec-23
Document File: 2 page(s) / 85K

Publishing Venue

Siemens

Related People

Juergen Carstens: CONTACT

Abstract

Sowohl Leitsysteme der Energieversorgung als auch intelligente Steuergeraete (Systeme der Energieautomatisierung) verfuegen ueber eine ausgefeilte Zugriffskontrolle beruhend auf Rollen, Rechten und speziellen Regeln, welche die Bedienmoeglichkeiten der Benutzer einschraenken und die Systeme damit vor Fehlbedienung und Missbrauch schuetzen. Identifizierung, Authentisierung und Autorisierung werden in diesem Zusammenhang ueblicherweise auf der Grundlage asymmetrischer Kryptographie realisiert. Dabei kommen Benutzerzertifikate (auch Identitaetszertifikate genannt) zum Einsatz, die jeweils die Identitaet des Nutzers nachweisen und auf deren Grundlage, bei positiver Ueberpruefung, Zugriff gewaehrt wird. Um die Ueberpruefung der jeweiligen Zertifikate zu ermoeglichen, bedarf es einer umfangreichen Infrastruktur (PKI = Public Key Infrastructure), die unter anderem die Authentizitaet, Gueltigkeit und Validitaet dieser Identitaetszertifikate gewaehrleistet. Der Betrieb einer solchen Infrastruktur ist mit einem erheblichen Wartungsaufwand sowie hohen Anforderungen an Stabilitaet, Verfuegbarkeit und Sicherheit verbunden. Zeitlich limitierte Zugriffe, beispielsweise im Fall einer Vertreterregelung oder durch externes Servicepersonal, lassen sich nur mit sehr hohem Aufwand realisieren. Die zeitnahe Bereitstellung der benoetigten Identitaetszertifikate stellt dabei die groesste Herausforderung dar.

This text was extracted from a PDF file.
At least one non-text object (such as an image or picture) has been suppressed.
This is the abbreviated version, containing approximately 46% of the total text.

Page 1 of 2

Flexible Zugriffskontrolle fuer Systeme der Energieversorgung auf der

Grundlage von Attributzertifikaten

Idee: Maik G. Seewald, DE-Nuernberg

Sowohl Leitsysteme der Energieversorgung als auch intelligente Steuergeraete (Systeme der Energieautomatisierung) verfuegen ueber eine ausgefeilte Zugriffskontrolle beruhend auf Rollen, Rechten und speziellen Regeln, welche die Bedienmoeglichkeiten der Benutzer einschraenken und die Systeme damit vor Fehlbedienung und Missbrauch schuetzen. Identifizierung, Authentisierung und Autorisierung werden in diesem Zusammenhang ueblicherweise auf der Grundlage asymmetrischer Kryptographie realisiert. Dabei kommen Benutzerzertifikate (auch Identitaetszertifikate genannt) zum Einsatz, die jeweils die Identitaet des Nutzers nachweisen und auf deren Grundlage, bei positiver Ueberpruefung, Zugriff gewaehrt wird. Um die Ueberpruefung der jeweiligen Zertifikate zu ermoeglichen, bedarf es einer umfangreichen Infrastruktur (PKI = Public Key Infrastructure), die unter anderem die Authentizitaet, Gueltigkeit und Validitaet dieser Identitaetszertifikate gewaehrleistet. Der Betrieb einer solchen Infrastruktur ist mit einem erheblichen Wartungsaufwand sowie hohen Anforderungen an Stabilitaet, Verfuegbarkeit und Sicherheit verbunden. Zeitlich limitierte Zugriffe, beispielsweise im Fall einer Vertreterregelung oder durch externes Servicepersonal, lassen sich nur mit sehr hohem Aufwand realisieren. Die zeitnahe Bereitstellung der benoetigten Identitaetszertifikate stellt dabei die groesste Herausforderung dar.

Die nachfolgende Loesung betrifft ein Verfahren zur Autorisierung der Zugriffe auf Systeme der Energieautomatisierung (siehe Abbildung 1, Position 1) auf der Grundlage von Attributzertifikaten. Im Gegensatz zu Identitaetszertifikaten, welche die Identitaet des Benutzers (2) repraesentieren und sicherstellen, enthalten Attributzertifikate Informationen (Attribute), die ihre jeweilige Verwendung betreffen. Im Rahmen dieser Loesung sind dies konkrete Zugriffsrechte wie Regeln, Rollen sowie Autorisierungs- und Verantwortlichkeitsbereiche innerhalb des jeweiligen Systems der Energieautomatisierung (1). Auf der Grundlage einer Komponente fuer die Zugriffskontrolle (Access Control) (3), werden die Attribute verifiziert (4), was ueber die Referenz auf ein zugehoeriges Identitaetszertifikat erfolgt, und werden im Weiteren zur Anwendung gebracht. Das Identitaetszertifikat muss fuer diesen konkreten Fall nicht explizit erstellt werden. Dies bedeutet, dass die jeweiligen Attribute gelesen werden und der Zugriff (5) auf die Ressourcen (6) dementsprechend reglementiert wird. Beispielsweise bekommt ein Benutzer im Rahmen einer Vertreterregelung nur Zugriff auf die Funktionalitaeten des Systems der Energieautomatisierung, die er im Rahmen der Vertretung benoetigt und auch nur fuer einen limitierten Zeitraum,...