[发明专利]实现通过网络与目标装置的安全通信的方法

权利要求书

1.一种用于实现通过网络(20)与目标装置(200)的安全通信的方法(600)，所述方法包括：

由所述目标装置上运行的OPC UA服务器(220)来开启(610)不安全OPC UA端点(222)，所述不安全OPC UA端点提供符合OPC UA信息模型的安全上下文数据(224)，其中，所述安全上下文数据指示所述目标装置上存储的初始装置证书的存在；

由第一装置(100)上运行的OPC UA客户端(120)通过所述网络连接(620)到所述OPC UA服务器，并且请求所述初始装置证书；

由所述OPC UA客户端通过所述网络上的不安全通信从所述OPC UA服务器接收(630)所述初始装置证书；

由所述第一装置针对所述初始装置证书的发布者的根证书或中间证书来验证(640)所述初始装置证书；

由所述第一装置建立(650)装置证书；

由所述第一装置使用所述初始装置证书的初始装置公有密钥来加密(660)至少所述装置证书，以产生加密数据；

通过所述网络将所述加密数据从所述OPC UA客户端发送(670)到所述OPC UA服务器；

由所述目标装置使用与所述初始装置证书关联的初始装置私有密钥对所述加密数据解密(680)，以得到至少所述装置证书；

将所述装置证书存储(690)在所述目标装置上；以及

由所述OPC UA服务器开启(710)安全OPC UA端点(226)，所述安全OPC UA端点基于所述装置证书来提供经由所述网络上的安全通信对所述目标装置的技术功能(228)的访问。

2.如权利要求1所述的方法，其中，所述装置证书包括与所述网络内的所述目标装置的网络标识相关的数据。

3.如权利要求1所述的方法，其中，在请求所述初始装置证书之前，所述OPC UA客户端浏览所述安全上下文数据，并且识别所述初始装置证书的存在。

4.如权利要求1所述的方法，其中，在接收对所述初始装置证书的所述请求时，所述OPCUA服务器从所述目标装置的安全存储装置(250)中检索所述初始装置证书，并且向所述OPCUA客户端发送所述初始装置证书。

5.如权利要求1所述的方法，其中，验证所述初始装置证书包括访问持有所述初始装置证书的所述发布者的所述根证书或所述中间证书的可信公有密钥基础设施(300)，所述可信公有密钥基础设施与所述目标装置无关。

6.如权利要求1所述的方法，包括：基于所述装置证书来建立网络装置的OPC UA客户端(520)与所述OPC UA服务器的所述安全OPC UA端点之间的安全通信，并且由所述网络装置通过所述网络来访问所述目标装置的技术功能，其中所述网络装置是所述网络内的所述第一装置或第二装置。

7.如权利要求6所述的方法，其中，所述装置证书基于所述第一装置信任的第二公有密钥基础设施(400)。

8.如权利要求7所述的方法，其中，建立所述装置证书包括(a)创建装置公有密钥和装置私有密钥，并且基于所述第二公有密钥基础设施来创建所述装置证书，或者(b)通过签署所述初始装置证书以将所述初始装置证书变换为所述装置证书，将所述初始装置证书集成到所述第二公有密钥基础设施中。

9.如权利要求7-8中的任一项所述的方法，其中，建立所述安全通信包括由所述网络装置针对所述第二公有密钥基础设施的根证书或中间证书来验证所述装置证书。

10.如权利要求1所述的方法，其中，与所述目标装置的网络标识相关的所述数据包括所述目标装置的IP地址和/或DNS服务器的标识和/或所述目标装置的主机名。

11.如权利要求1所述的方法，包括：将所述目标装置加入所述网络，并且使用TCP/IP来建立与所述第一装置的网络连接性(22)。