Beschreibung

Verfahren zur Erstellung, Vergabe und überprüfung von Autori- sierungs-Bewilligungen

Die Erfindung betrifft ein Verfahren zur Erstellung, Vergabe und überprüfung von Autorisierungs-Bewilligungen gemäß dem Oberbegriff des Anspruchs 1.

Die Einrichtung oder Inbetriebnahme bzw. der Betrieb eines Geräts oder einer Komponente in einer verteilten Struktur, wie beispielsweise einem Netzwerk, z.B. einem Stromverteilernetzwerk, erfordert meist eine Authentisierung eines das Ge ^¬ rät benutzenden bzw. auf das Gerät zugreifenden Benutzers, typischerweise einem Servicetechniker. Häufig werden hierzu Autorisierungs-Schemata verwendet, welche sicherstellen bzw. sicherstellen sollen, dass ein administrierend handelnder Servicetechniker nicht nur authentisiert ist, sondern zudem berechtigt ist, bestimmte Handlungen bzw. Maßnahmen vorzuneh- men.

Bislang wird eine Autorisierung entweder auf lokaler Ebene oder mit speziellen Online-Authentisierungsdiensten, wie beispielsweise Kerberos durchgeführt.

Bei Kerberos fordert ein Benutzer, der einen eine Autorisie ^¬ rung fordernden Dienst nutzen möchte, ein Ticket bei einem Kerberos-Server an, welches anschließend dem Dienst vorge ^¬ zeigt wird. Der Dienst überprüft im Gegenzug das Ticket und gewährt den Zugang zu dem Dienst. Bei Kerberos sind demnach drei Parteien beteiligt: Ein Client, ein einen Dienst zur Verfügung stellender Server, den der Client nutzen will, und ein Kerberos-Server. Der Kerberos-Dienst authentisiert sowohl den Server gegenüber dem Client, als auch den Client gegen- über dem Server. Auch der Kerberos-Server selbst authentisiert sich gegenüber dem Client und Server und verifiziert selbst deren Identität. Kerberos verwendet auch als Tickets oder Grants bezeichnete Bewilligungen zur Authentisierung. Um

den Kerberos-Dienst nutzen zu können, muss sich ein Client zuerst beim Kerberos-Server anmelden. Er fordert vom Kerberos-Server ein sog. Ticket Granting Ticket (TGT) an. Hierzu muss der Nutzer des Clients entweder ein Passwort eingeben, sich per Zertifikat und assoziiertem privaten Schlüssel au- thentisieren oder das TGT wird direkt bei der Benutzeranmel ^¬ dung angefordert. Mit dem TGT ist der Client in der Lage, weitere Tickets für Dienste anzufordern, ohne sich nochmal authentisieren zu müssen. Es wird auch ein als Session Key bezeichneter Sitzungsschlüssel für die Kommunikation zwischen Client und Kerberos-Server ausgehandelt. Er kann benutzt wer ^¬ den, um den Datenverkehr zu verschlüsseln. Um einen Dienst, der Kerberos unterstützt, benutzen zu können, fordert der Client ein weiteres Ticket an. Dieses Ticket sendet der Client dann an den Dienst, der überprüft, ob er dem Client den Zugriff gestatten soll. Auch hierbei wird ein Sitzungsschlüssel vereinbart und die Identität von Client, Server und Kerberos-Server überprüft.

Nachteilig hieran ist, dass Kerberos nur in Online-Szenarien eingesetzt werden kann.

Das nachfolgende, beispielhafte Szenario, welches eine vor ^¬ zugsweise lokale Administration einer Umspannstation- Steuereinrichtung sowie deren zugehöriger Außen- bzw. Feld- Einrichtungen in einem Stromverteilernetzwerk betrifft, verdeutlicht die sich hieraus ergebende Problematik.

Um bestimmte administrative Aufgaben auszuführen, die bei- spielsweise bestimmte Handlungen, wie etwa Umschalt-Maßnahmen betreffen, ist eine Autorisierung des Servicetechnikers er ^¬ forderlich. Abhängig von dem Online-Status der zu administrierenden Steuereinrichtung ist es möglich, dass das zu administrierende Gerät oder die umzuschaltende Komponente nicht in der Lage ist, eine Autorisierungs-Information von einer Zentrale bzw. Leitstelle zu erhalten oder von einer solchen zu erfragen.

Für solche Fälle sollte der Servicetechniker in der Lage sein, eine Autorisierungs-Bewilligung vorzulegen bzw. bereitzustellen, selbst wenn die Umspannstation offline ist. Folglich ist der Servicetechniker ersucht, die Autorisierungs- Bewilligung mit sich zu führen, welche jedoch innerhalb eines Tages entkräftet werden können muss.

Als eine Aufgabe der Erfindung kann es daher angesehen werden, ein Verfahren zu schaffen zur Erstellung, Vergabe und überprüfung von Autorisierungs-Bewilligungen, welche erforderlich sind, um durch einen Eingriffsplan vorgegebene Aufgaben durch Vornahme von durch die Aufgaben definierten Handlungen an einem Gerät oder einer Komponente einer verteilten Struktur durch einen Servicetechniker zu erfüllen.

Die Aufgabe wird gelöst mit den Merkmalen des Anspruchs 1.

Ein erfindungsgemäßes Verfahren sieht demnach zur Erstellung, Vergabe und überprüfung von Autorisierungs-Bewilligungen, welche erforderlich sind, um durch einen Eingriffsplan vorgegebene Aufgaben durch Vornahme von durch die Aufgaben definierten Handlungen an einem Gerät oder einer Komponente einer verteilten Struktur durch einen Servicetechniker zu erfüllen, die folgenden Verfahrensschritte vor: - Erzeugung mindestens einer an eine auf einem durch den Servicetechniker mitgeführten bzw. mitführbaren Speichermedium gespeicherte, eine beschränkte Gültigkeits ^¬ dauer aufweisende Identitätsbescheinigung des Servicetechnikers gebundene und zur Erfüllung mindestens einer durch den Eingriffsplan vorgegebenen Aufgabe erforderlichen Autorisierungs-Bewilligung;

- Signierung der Autorisierungs-Bewilligung mit einem privaten bzw. nichtöffentlichen Schlüssel bzw. einem nichtöffentlichen Zertifikat; - Speicherung der signierten Autorisierungs-Bewilligung auf einem durch den Servicetechniker mitgeführten bzw. mitführbaren Speichermedium;

- Zurverfügungstellung zumindest der Identitätsbescheinigung und der signierten Autorisierungs-Bewilligung durch den Servicetechniker an das Gerät bzw. die Komponente;

- überprüfung der Gültigkeitsdauer der Identitätsbeschei- nigung durch das Gerät bzw. durch die Komponente;

- überprüfung der Signatur der signierten Autorisierungs- Bewilligung durch das Gerät bzw. durch die Komponente mittels eines dem zur Erstellung der Signatur verwendeten nichtöffentlichen Schlüssel bzw. nichtöffentlichen Zertifikat zugehörigen öffentlichen Schlüssels bzw. öffentlichen Zertifikats sowie einem Haupt-Zertifikat ei ^¬ ner Zertifizierungsbehörde, welche den öffentlichen Schlüssel bzw. das öffentliche Zertifikat ausgestellt hat; - wobei sowohl der öffentliche Schlüssel bzw. das öffent ^¬ liche Zertifikat, als auch das Haupt-Zertifikat der Zer ^¬ tifizierungsbehörde dem Gerät bzw. der Komponente zur Verfügung stehen oder zur Verfügung gestellt werden;

- überprüfung der Autorisierungs-Bewilligung durch das Ge- rät bzw. durch die Komponente; und

- wenn das Ergebnis aller überprüfungen die Identität des Servicetechnikers bestätigt und die Erfüllung der Aufga ^¬ ben gestattet, Erteilung der Erlaubnis an den Service ^¬ techniker durch das Gerät bzw. durch die Komponente, die vorzunehmenden Handlungen zur Erfüllung der durch den

Eingriffsplan gestellten bzw. vorgegebenen Aufgaben auszuführen .

Die vorliegende Erfindung ermöglicht eine fliegende Erzeugung und Verteilung von Autorisierungs-Bewilligungen für Servicetechniker, in Abhängigkeit von erforderlichen vorzunehmenden Handlungen bzw. Maßnahmen welche als Teil eines in einem Arbeitsplan enthaltenen bzw. erfassten Eingriffplans in Form von Aufgaben definiert sind.

Die zu administrierende Komponente bzw. das zu administrie ^¬ rende Gerät ist durch das erfindungsgemäße Verfahren in der

Lage, offline oder online eine Autorisierungs-Bewilligung zu verifizieren .

Eine vorteilhafte Ausgestaltung der Erfindung sieht vor, dass die signierte Autorisierungs-Bewilligung auf dem selben durch den Servicetechniker mitgeführten bzw. mitführbaren Speichermedium gespeichert ist, wie die eine beschränkte Gültigkeits ^¬ dauer aufweisende Identitätsbescheinigung.

Eine weitere vorteilhafte Ausgestaltung der Erfindung sieht vor, dass die signierte Autorisierungs-Bewilligung online abgefragt werden kann und mit der eine beschränkte Gültigkeits ^¬ dauer aufweisende Identitätsbescheinigung kryptografisch verbunden ist. Durch die kryptografische Verbundenheit ist die signierte Autorisierungs-Bewilligung an die Identitätsbescheinigung gebunden, so dass Missbrauch ausgeschlossen ist, bzw. die signierte Autorisierungs-Bewilligung nur in Verbindung mit der zugeordneten Identitätsbescheinigung verwendet werden kann.

Sowohl der öffentliche Schlüssel bzw. das öffentliche Zerti ^¬ fikat, als auch das Haupt-Zertifikat der Zertifizierungsbe ^¬ hörde können in einer in dem Gerät bzw. in der Komponente integrierten Datenbank bzw. auf einem in dem Gerät bzw. in der Komponente integrierten Speicher abgelegt sein.

Ebenfalls können sowohl der öffentliche Schlüssel bzw. das öffentliche Zertifikat, als auch das Haupt-Zertifikat der Zertifizierungsbehörde dem Gerät bzw. der Komponente von dem Servicetechniker zur Verfügung gestellt werden.

Dabei ist denkbar, dass sowohl der öffentliche Schlüssel bzw. das öffentliche Zertifikat, als auch das Haupt-Zertifikat der Zertifizierungsbehörde dem Gerät bzw. der Komponente von dem Servicetechniker zur Verfügung gestellt werden, indem diese ebenfalls auf dem selben durch den Servicetechniker mitgeführten bzw. mitführbaren Speichermedium gespeichert sind,

wie die eine beschränkte Gültigkeitsdauer aufweisende Identi- tätsbescheinigung.

Eine andere vorteilhafte Ausgestaltung der Erfindung sieht vor, dass das Gerät bzw. die Komponente sowohl den öffentli ^¬ chen Schlüssel bzw. das öffentliche Zertifikat, als auch das Haupt-Zertifikat der Zertifizierungsbehörde online abfragt.

Das durch den Servicetechniker mitgeführte bzw. mitführbare Speichermedium ist vorzugsweise eine Smartcard oder ein Uni ^¬ versal Serial Bus (USB) Stick.

Eine zusätzliche vorteilhafte Ausgestaltung der Erfindung sieht vor, dass der zur Signatur der Autorisierungs- Bewilligung verwendete nichtöffentliche Schlüssel der nicht ^¬ öffentliche Schlüssel eines den Eingriffsplan erstellenden Servicezentrums ist.

Eine besonders vorteilhafte Ausgestaltung der Erfindung sieht vor, dass die Identitätsbescheinigung des Servicetechnikers eine auf vorzugsweise zwei Jahren beschränkte Gültigkeitsdau ^¬ er aufweist.

Eine weitere, besonders vorteilhafte Ausgestaltung der Erfin- düng sieht vor, dass die Autorisierungs-Bewilligung eine Gültigkeitsdauer von höchstens 24 Stunden hat, um die Anforderung zu erfüllen, den Zugang nach Ablauf eines Tages zu verweigern. Das erfindungsgemäße Verfahren ermöglicht eine Aus ^¬ stellung kurzzeitiger Autorisierungs-Bewilligungen zur Erfül- lung bestimmter zugeordneter Aufgaben, die mit einem den Eingriffsplan erstellenden Planungshilfsprogramm erstellt werden können. Durch die unmittelbare Verknüpfung von Eingriffsplan, darin definierten Aufgaben, durch die Aufgaben vorgegebene vorzunehmende Handlungen bzw. zu ergreifende Maßnahmen, sowie der Identität des in dem Eingriffsplan benannten Servicetechnikers, sowie durch die daraus entstehende unmittelbare zeit ^¬ liche Nähe von der Erstellung des Eingriffsplans bis zur Aus ^¬ führung des Eingriffsplans durch einen Servicetechniker kön-

nen Autorisierungs-Bewilligungen mit nur kurzer Gültigkeit erzeugt werden, wodurch sichergestellt wird, dass Autorisie- rungs-Maßnahmen innerhalb sehr kurzer Zeit widerrufen werden können, ohne eine Identitätsbescheinigung zu widerrufen, an welche die Autorisierungs-Bewilligungen geknüpft sind.

Die Erfindung wird nachfolgend anhand der einzigen Zeichnung Fig. 1 näher erläutert. Es zeigt

Figur 1 in einer schematischen Darstellung einen Ablauf eines erfindungsgemäßen Verfahrens.

In einem ersten Verfahrensschritt 01 erzeugt ein Servicezent ^¬ rum in Abhängigkeit von einem Eingriffsplan eine an einen be- stimmten Servicetechniker gebundene Authentisierungs- Bewilligung oder eine Liste von Authentisierungs- Bewilligungen, welche erforderlich sind, um bestimmte beispielsweise administrative Handlungen zur Erfüllung bestimmter durch den Eingriffsplan gestellter bzw. vorgegebener Auf- gaben an einer zu administrierenden Komponente vornehmen zu können. Die Autorisierungs-Bewilligung bzw. die Liste der Autorisierungs-Bewilligungen ist dabei mit einem privaten bzw. nichtöffentlichen Schlüssel beispielsweise des Servicezent ^¬ rums signiert.

In einem zweiten Verfahrensschritt 02 wird die Autorisie ^¬ rungs-Bewilligung bzw. die Liste von Autorisierungs- Bewilligungen auf einer Smartcard gespeichert. Auf der Smart ^¬ card ist vorzugsweise auch eine auf eine Gültigkeitsdauer von vorzugsweise höchstens zwei Jahren beschränkte bzw. alle bei ^¬ spielsweise zwei Jahre zu erneuernde Identitätsbescheinigung des Servicetechnikers gespeichert bzw. abgelegt.

In einem dritten Verfahrensschritt 03 stellt der Servicetech- niker der zu administrierenden Komponente seine vorzugsweise alle auf der selben Smartcard gespeicherten Berechtigungs ^¬ nachweise zur Verfügung. Diese Berechtigungsnachweise sind zumindest seine Identitätsbescheinigung und die Authentisie-

rungs-Bewilligung bzw. die Liste der Authentisierungs- Bewilligungen .

In einem vierten Verfahrensschritt 04 überprüft die zu admi- nistrierende Komponente zunächst die Identitätsbescheinigung des Servicetechnikers, indem die Gültigkeitsdauer der Identi ^¬ tätsbescheinigung überprüft wird, und indem die mit dem privaten bzw. nichtöffentlichen Schlüssel erstellte Signatur des Servicezentrums mittels eines von einer Zertifizierungsbehör- de ausgestellten öffentlichen Schlüssels, bzw. öffentlichen Zertifikats des Servicezentrums und einem Haupt-Zertifikat der Zertifizierungsbehörde, welche den öffentlichen Schlüssel bzw. das öffentliche Zertifikat des Servicezentrums ausge ^¬ stellt hat, überprüft wird. Sowohl der öffentliche Schlüssel bzw. das öffentliche Zertifikat des Servicezentrums, als auch das Haupt-Zertifikat der Zertifizierungsbehörde stehen der zu administrierenden Komponente zur Verfügung oder werden dieser zur Verfügung gestellt. Dabei ist einerseits denkbar, dass diese Zertifikate in einer in die Komponente integrierte Da- tenbank bzw. auf einem in der Komponente integrierten Speicher abgelegt sind, oder ebenfalls von dem Servicetechniker zur Verfügung gestellt werden, beispielsweise indem diese ebenfalls auf dessen Smartcard gespeichert sind. Weiterhin ist denkbar, dass die Komponente die Zertifikate in einem weiteren Verfahrensschritt 05 online beispielsweise beim Ser ^¬ vicezentrum abfragt.

Weiterhin überprüft die zu administrierende Komponente im vierten Verfahrensschritt 04 die Autorisierungs-Bewilligung bzw. die Liste der Autorisierungs-Bewilligungen, bevor sie anschließend dem Servicetechniker gestattet, die vorzunehmenden Handlungen zur Erfüllung der durch den Eingriffsplan gestellten bzw. vorgegebenen bestimmten Aufgaben auszuführen.

Wie bereits angedeutet ist denkbar, in einem fünften Verfahrensschritt 05 auch die Autorisierungs-Bewilligung bzw. die Liste der Autorisierungs-Bewilligungen online beispielsweise beim Servicezentrum überprüft.

Ein weiteres vorteilhaftes Ausführungsbeispiel des erfin ^¬ dungsgemäßen Verfahrens betrifft eine Unterstützung von Autorisierungen in Bereitschafts-Notdienst-Situationen. Mit der Planung von Bereitschafts-Notdienstzeiten von Servicetechnikern kann eine Bereitschafts-Autorisierungs-Bewilligung erzeugt und an einen betroffenen Servicetechniker ausgegeben werden. Die Gültigkeitsdauer der Bereitschafts- Autorisierungs-Bewilligung entspricht dabei der Bereit- schafts-Notdienst zeit des Servicetechnikers. Diese Bereit- schafts-Autorisierungs-Bewilligung kann nun entweder direkt verwendet werden, um auf eine Komponente zuzugreifen, oder sie kann dazu verwendet werden, um eine Autorisierungs- Bewilligung für eine einen Notfall aufweisende Komponente zu erzeugen. Aufgrund der kurzen Gültigkeitsdauer der Bewilligungen ist ein Widerruf bzw. eine Aufhebung der Bewilligung nicht erforderlich.

Das erfindungsgemäße Verfahren ermöglicht eine Ausstellung kurzzeitiger Autorisierungs-Bewilligungen zur Erfüllung bestimmter zugeordneter Aufgaben, die mit einem Planungshilfsprogramm erstellt werden können.

Durch die unmittelbare Verknüpfung von Eingriffsplan, darin definierten Aufgaben, durch die Aufgaben vorgegebene vorzunehmende Handlungen bzw. zu ergreifende Maßnahmen, sowie der Identität des in dem Eingriffsplan benannten Servicetechnikers, sowie durch die daraus entstehende unmittelbare zeitli ^¬ che Nähe von der Erstellung des Eingriffsplans bis zur Aus- führung des Eingriffsplans durch einen Servicetechniker können Autorisierungs-Bewilligungen mit nur kurzer Gültigkeit erzeugt werden, wodurch sichergestellt wird, dass Autorisie- rungs-Maßnahmen innerhalb sehr kurzer Zeit widerrufen werden können, ohne eine Identitätsbescheinigung zu widerrufen, an welche die Autorisierungs-Bewilligungen geknüpft sind.

Die Erfindung nutzt die beispielsweise von Kerberos bekannten Schemata, und wendet diese auf die Erstellung, Vergabe und

überprüfung bzw. Herausgabe, Verteilung und Verwendung von Autorisierungs-Bewilligungen, wie beispielsweise Bestätigungs-Nachweise, so genannte Attribut-Zertifikate, oder als Security Assertion Markup Language (SAML) Assertions bezeich- nete Sicherheits-Zeichen, an. Bestätigungs-Nachweise bzw. At ^¬ tribut-Zertifikate und SAML Assertions werden hierbei expli ^¬ zit erwähnt, da diese Merkmale aufweisen bzw. zur Verfügung stellen, welche auch in Offline-Szenarien Verwendung finden können .

Da beide Schemata digitale Signaturen verwenden bzw. vorse ^¬ hen, ist erfindungsgemäß vorgesehen, dass die zu administrie ^¬ rende Komponente eine geeignete Information einer Haupt- Zertifizierungsbehörde besitzt, um eine in einer Autorisie- rungs-Bewilligung enthaltene Signatur zu überprüfen.

Aus Sicht des Arbeitsablaufs ist erfindungsgemäß vorgesehen, dass ein Servicetechniker zunächst einen Arbeitsplan erhält, auf dem bestimmte durch vorzunehmende Handlungen zu erfüllen- de administrative Aufgaben von einem Servicezentrum vorgegeben sind. Ein den Arbeitsablauf erzeugendes Planungshilfspro ^¬ gramm erzeugt außerdem zu den bestimmten Aufgaben an einen bestimmten Servicetechniker gebundene Autorisierungs- Bewilligungen .

Vorzugsweise besitzt jeder Servicetechniker außerdem zum Nachweis seiner Identität einen auch als Identitätsbescheinigung bezeichneten Berechtigungsnachweis.

Identitätsbescheinigungen werden zu diesem Zweck vorzugsweise mit einer Gültigkeitsdauer von zwei Jahren ausgestellt.

Die Autorisierungs-Bewilligung ist vorzugsweise an die Identitätsbescheinigung des Servicetechnikers gebunden und hat eine Gültigkeit von vorzugsweise höchstens 24 Stunden, um die Anforderung zu erfüllen, den Zugang nach Ablauf eines Tages zu verweigern.

Die Autorisierungs-Bewilligung ist mit einem privaten bzw. nichtöffentlichen Schlüssel des Servicezentrums signiert bzw. verschlüsselt .

Ein öffentlicher Schlüssel bzw. ein öffentliches Zertifikat des Servicezentrums ist von einer Zertifizierungsbehörde (CA; Certification Authority) ausgestellt.

Ein Haupt-Zertifikat dieser Zertifizierungsbehörde steht den zu administrierenden Komponenten zur Verfügung oder wird diesen zur Verfügung gestellt.

Das Servicezentrum übermittelt die Autorisierung beispiels ^¬ weise mittels geeigneter Mittel, wie etwa Email, Smartcard, Universal Serial Bus (USB) Stick oder dergleichen, an den Servicetechniker .

Vorzugsweise wird die Autorisierungs-Bewilligung zusammen mit der Identitätsbescheinigung auf dem selben Medium gespeichert bzw. abgelegt, vorzugsweise auf dem Medium, auf dem bereits die Identitätsbescheinigung des Servicetechnikers gespeichert bzw. abgelegt ist, wodurch nur ein Speicher für die Bescheinigungen bzw. Bewilligungen benötigt wird.

Dabei kann es sich beispielsweise um eine Smartcard oder um einen verschlüsselten USB-Stick oder um ein anderes geeignetes Medium, welches die gespeicherten Informationen schützt handeln .

Zudem kann der öffentliche Schlüssel, bzw. das öffentliche Zertifikat des Servicezentrums auch noch auf diesem Medium gespeichert sein, beispielsweise wenn dieser nicht in der zu administrierenden Komponente verfügbar ist.

Der Servicetechniker kann dann nach erfolgreicher Authenti- sierung auf die zu administrierende Komponente zugreifen.

Die zu administrierende Komponente überprüft im Gegenzug zu ^¬ erst die Identitätsbescheinigung des Servicetechnikers, indem die Gültigkeitsdauer der Identitätsbescheinigung überprüft wird, und indem die mit dem privaten bzw. nichtöffentlichen Schlüssel erstellte Signatur des Servicezentrums mittels des öffentliche Schlüssels, bzw. des öffentlichen Zertifikats des Servicezentrums und dem Haupt-Zertifikat der ausstellenden Zertifizierungsbehörde überprüft wird. Dann überprüft die zu administrierende Komponente die Autorisierungs-Bewilligung, bevor sie anschließend dem Servicetechniker gestattet, die vorzunehmenden Handlungen zur Erfüllung der bestimmten Aufgaben auszuführen.