DE102022105373A1 - Method and system for the computer-aided management of a number of remotely controllable experiments - Google Patents

Method and system for the computer-aided management of a number of remotely controllable experiments Download PDF

Info

Publication number
DE102022105373A1
DE102022105373A1 DE102022105373.3A DE102022105373A DE102022105373A1 DE 102022105373 A1 DE102022105373 A1 DE 102022105373A1 DE 102022105373 A DE102022105373 A DE 102022105373A DE 102022105373 A1 DE102022105373 A1 DE 102022105373A1
Authority
DE
Germany
Prior art keywords
computer
access
external
requested
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022105373.3A
Other languages
German (de)
Inventor
Frank Rößner
Stefan Petrasz
Marvin Banse
Oliver Theel
Andreas Winter
Florian Schmalriede
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Carl Von Ossietzky Universitaet Oldenburg
Original Assignee
Carl Von Ossietzky Universitaet Oldenburg
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Carl Von Ossietzky Universitaet Oldenburg filed Critical Carl Von Ossietzky Universitaet Oldenburg
Priority to DE102022105373.3A priority Critical patent/DE102022105373A1/en
Publication of DE102022105373A1 publication Critical patent/DE102022105373A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur rechnergestützten Verwaltung einer Anzahl von fernsteuerbaren Experimenten (EX1, EX2, ..., EX5), in dem eine Vielzahl von Verwaltungsrechnern (SE1, SE2, SE3) vorgesehen ist, die über ein Datennetz (DN) miteinander kommunizieren können, wobei jeder Verwaltungsrechner (SE1, SE2, SE3) einen individuellen Nutzerkreis (N1, N2, N3) verwaltet und einer oder mehrere der Verwaltungsrechner (SE1, SE2, SE3) jeweils einen spezifischen Rechner (R1, R2) repräsentieren, der mit einem oder mehreren, dem jeweiligen spezifischen Rechner (R1, R2) zugeordneten Laboren (LA1, LA2, ..., LA5) kommunikationstechnisch verbunden ist, wobei die Nutzer (NU) der Nutzerkreise (N1, N2, N3) mittels Clients (CL) externe Zugriffsanfragen (RE) über das Datennetz (DN) an einen der spezifischen Rechner (R1, R2) als angefragten Rechner (AR) richten können, um Zugriff auf ein Experiment (EX1, EX2, ..., EX5) in einem das Experiment ausführenden Labor (LA1, LA2, ..., LA5) anzufragen, wobei die externen Zugriffsanfragen (RE) jeweils von einem externen Nutzer (NU) stammen, der zu einem anderen Nutzerkreis (N1, N2, N3) als der Nutzerkreis (N1, N2, N3) gehört, der vom dem angefragten Rechner (AR) verwaltet wird. Erfindungsgemäß wird bei Empfang einer externen Zugriffsanfrage (RE) eines externen Nutzers (NU) in dem angefragten Rechner (AR) eine Berechtigungsüberprüfung (AUT) des externen Nutzers (NU) in dem Rechner (ER) durchgeführt, welcher der Verwaltungsrechner (SE1, SE2, SE3) ist, der den Nutzerkreis (N1, N2, N3) des externen Nutzers (NU) verwaltet.The invention relates to a method for the computer-aided management of a number of remotely controllable experiments (EX1, EX2, ..., EX5), in which a large number of management computers (SE1, SE2, SE3) are provided, which communicate with one another via a data network (DN). can, whereby each administration computer (SE1, SE2, SE3) manages an individual user group (N1, N2, N3) and one or more of the administration computers (SE1, SE2, SE3) each represent a specific computer (R1, R2), which is connected to a or several laboratories (LA1, LA2, ..., LA5) assigned to the respective specific computer (R1, R2) are connected by communication technology, with the users (NU) of the user groups (N1, N2, N3) using external clients (CL). Access requests (RE) can be directed via the data network (DN) to one of the specific computers (R1, R2) as the requested computer (AR) in order to access an experiment (EX1, EX2, ..., EX5) in one executing the experiment Laboratory (LA1, LA2, ..., LA5), whereby the external access requests (RE) each come from an external user (NU) who belongs to a different user group (N1, N2, N3) than the user group (N1, N2 , N3), which is managed by the requested computer (AR). According to the invention, upon receipt of an external access request (RE) from an external user (NU) in the requested computer (AR), an authorization check (AUT) of the external user (NU) is carried out in the computer (ER), which is the management computer (SE1, SE2, SE3) is who manages the user group (N1, N2, N3) of the external user (NU).

Description

Die Erfindung betrifft ein Verfahren und ein System zur rechnergestützten Verwaltung einer Anzahl von fernsteuerbaren Experimenten.The invention relates to a method and a system for the computer-aided management of a number of remotely controllable experiments.

Aus dem Stand der Technik sind Ansätze bekannt, welche einen entfernten Zugriff von Nutzern auf in einem Labor durchgeführte Experimente ermöglichen. Hierfür enthält das Labor entsprechende Sensorik und Aktorik, die kommunikationstechnisch mit einem zentralen Server verbunden ist, auf den die Nutzer über ein Datennetz zugreifen können, um im Rahmen einer Fernsteuerung des entsprechenden Experiments die Sensorik bzw. Aktorik zu steuern bzw. daraus Daten auszulesen.Approaches are known from the prior art which enable remote access by users to experiments carried out in a laboratory. For this purpose, the laboratory contains appropriate sensors and actuators, which are connected to a central server via communication technology, which users can access via a data network in order to control the sensors and actuators or read data from them as part of remote control of the corresponding experiment.

Das Dokument US 9,741,276 B2 offenbart ein System zum entfernten Zugriff auf Experimente, bei dem Nutzer mit ihren Clients über ein Netzwerk auf ein Gateway zugreifen können, das wiederum mit Steuerrechnern zur Steuerung entsprechender Experimente verbunden ist.The document US 9,741,276 B2 discloses a system for remote access to experiments in which users and their clients can access a gateway via a network, which in turn is connected to control computers for controlling corresponding experiments.

Die Druckschrift US 2016/0217700 A1 offenbart die entfernte Durchführung eines Laborexperiments über mobile Clients, die über ein Netzwerk an einen Verwaltungsrechner des Experiments gekoppelt sind.The publication US 2016/0217700 A1 discloses the remote implementation of a laboratory experiment via mobile clients that are linked via a network to an experiment management computer.

Herkömmliche Verfahren zur Verwaltung von fernsteuerbaren Experimenten weisen den Nachteil auf, dass der zur Fernsteuerung berechtigte Nutzerkreis nur durch die Veränderung der Konfiguration eines zentralen Verwaltungsrechners bzw. dessen Datenbank auf neue Nutzer erweiterbar ist.Conventional methods for managing remotely controllable experiments have the disadvantage that the user group authorized for remote control can only be expanded to include new users by changing the configuration of a central administration computer or its database.

Aufgabe der Erfindung ist es deshalb, ein Verfahren und ein System zur Verwaltung einer Anzahl von fernsteuerbaren Experimenten zu schaffen, das eine einfache Erweiterung auf neue Nutzer ermöglichen.The object of the invention is therefore to create a method and a system for managing a number of remotely controllable experiments that enable easy expansion to new users.

Diese Aufgabe wird durch das Verfahren gemäß Patentanspruch 1 bzw. das System gemäß Patentanspruch 9 gelöst. Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen definiert.This task is solved by the method according to patent claim 1 or the system according to patent claim 9. Further developments of the invention are defined in the dependent claims.

An dem erfindungsgemäßen Verfahren zur rechnergestützten Verwaltung einer Anzahl von fernsteuerbaren Experimenten (d.h. von zumindest einem fernsteuerbaren Experiment) ist eine Vielzahl von Verwaltungsrechnern beteiligt. Diese Verwaltungsrechner können über ein Datennetz miteinander kommunizieren. Jeder Verwaltungsrechner verwaltet dabei einen individuellen (d.h. zum entsprechenden Verwaltungsrechner gehörigen) Nutzerkreis mit einer Vielzahl von Nutzern. Es ist dabei zulässig, dass die Nutzerkreise unterschiedlicher Verwaltungsrechner einander entsprechen. Optional ist zumindest ein Teil der Nutzer eines Nutzerkreises unterschiedlich zu den Nutzern eines anderen Nutzerkreises. Gegebenenfalls können die Nutzerkreise der Verwaltungsrechner auch disjunkt zueinander sein, d.h. die jeweiligen Nutzer des Nutzerkreises eines Verwaltungsrechners gehören nicht zu dem Nutzerkreis eines anderen Verwaltungsrechners. Der obige Begriff des Verwaltens ist derart zu verstehen, dass ausschließlich der Verwaltungsrechner auf den von ihm verwalteten Nutzerkreis direkt ohne Zwischenschaltung weiterer Verwaltungsrechner (lesend und schreibend) zugreifen kann.A large number of management computers are involved in the method according to the invention for the computer-aided management of a number of remotely controllable experiments (i.e. at least one remote-controllable experiment). These administration computers can communicate with each other via a data network. Each administration computer manages an individual group of users (i.e. belonging to the corresponding administration computer) with a large number of users. It is permissible for the user groups of different administrative computers to correspond to one another. Optionally, at least some of the users of one user group are different from the users of another user group. If necessary, the user groups of the administration computers can also be disjoint from one another, i.e. the respective users of the user group of one administration computer do not belong to the user group of another administration computer. The above term “management” is to be understood in such a way that only the administration computer can access the group of users it manages directly without the interposition of other administration computers (reading and writing).

Im erfindungsgemäßen Verfahren repräsentieren einer oder mehrere der Verwaltungsrechner jeweils einen spezifischen Rechner. Ein jeweiliger spezifischer Rechner ist dabei mit einem oder mehreren, dem jeweiligen spezifischen Rechner zugeordneten Laboren kommunikationstechnisch verbunden. Die Nutzer der Nutzerkreise können mittels Clients externe Zugriffsanfragen über das Datennetz an einen der spezifischen Rechner als angefragten Rechner richten, um Zugriff auf ein Experiment in einem das Experiment ausführenden Labor anzufragen, das dem angefragten Rechner zugeordnet ist. Externe Zugriffsanfragen zeichnen sich dadurch aus, dass sie jeweils von einem externen Nutzer stammen, der zu einem anderen Nutzerkreis als der Nutzerkreis gehört, der von dem angefragten Rechner verwaltet wird.In the method according to the invention, one or more of the management computers each represent a specific computer. A respective specific computer is connected via communication technology to one or more laboratories assigned to the respective specific computer. The users of the user groups can use clients to direct external access requests via the data network to one of the specific computers as the requested computer in order to request access to an experiment in a laboratory carrying out the experiment that is assigned to the requested computer. External access requests are characterized by the fact that they each come from an external user who belongs to a different user group than the user group that is managed by the requested computer.

In einer bevorzugten Ausführungsform gehören die jeweiligen Verwaltungsrechner zu separaten Einrichtungen, wie z.B. schulischen oder universitären Einrichtungen. Diejenigen Einrichtungen, die über entsprechende Labore zur Durchführung von Experimenten verfügen, haben dabei einen speziellen Verwaltungsrechner, der mit diesen Laboren kommunizieren kann und somit einen spezifischen Rechner im Sinne der obigen Definition darstellt.In a preferred embodiment, the respective administrative computers belong to separate facilities, such as school or university facilities. Those facilities that have appropriate laboratories for carrying out experiments have a special administration computer that can communicate with these laboratories and therefore represents a specific computer in the sense of the above definition.

Im erfindungsgemäßen Verfahren werden bei Empfang einer externen Zugriffsanfrage eines externen Nutzers die nachfolgend beschriebenen Schritte a) bis c) durchgeführt, wenn in dem angefragten Rechner eine externe Zugriffsanfrage eines externen Nutzers empfangen wird.In the method according to the invention, when an external access request from an external user is received, the steps a) to c) described below are carried out if an external access request from an external user is received in the requested computer.

In einem Schritt a) sendet der angefragte Rechner eine erste Nachricht über das Datennetz an einen externen Rechner, welcher der Verwaltungsrechner ist, der den Nutzerkreis des externen Nutzers verwaltet.In a step a), the requested computer sends a first message via the data network to an external computer, which is the management computer that manages the external user's user group.

In einem Schritt b) führt der externe Rechner bei Empfang (d.h. ausgelöst durch den Empfang) dieser ersten Nachricht eine Berechtigungsüberprüfung des externen Nutzers durch und sendet als Ergebnis der Berechtigungsüberprüfung eine zweite Nachricht über das Datennetz an den angefragten Rechner, wobei die zweite Nachricht eine Zugriffsberechtigungsinformation für einen Zugriff des externen Nutzers auf das mit der externen Zugriffsanfrage angefragte Experiment enthält.In a step b), the external computer carries out an authorization check of the external user upon receipt (ie triggered by receipt) of this first message and, as a result of the authorization check, sends a second message via the data network to the person being requested Computer, wherein the second message contains access authorization information for the external user to access the experiment requested with the external access request.

In einem Schritt c) ermöglicht der angefragte Rechner bei Empfang (d.h. ausgelöst durch den Empfang) der zweiten Nachricht basierend auf einer Auswertung der darin enthaltenen Zugriffsberechtigungsinformation dem externen Nutzer den Zugriff auf das angefragte Experiment, sofern der Zugriff gemäß der Zugangsberechtigungsinformation zugelassen ist. Ansonsten wird der Zugriff verweigert. Mit anderen Worten wird der gemäß der Zugriffsberechtigungsinformation erlaubte Zugriff freigeschaltet, wobei der tatsächliche Zugriff des externen Nutzers nicht zwangsläufig bereits in Schritt c) erfolgen muss.In a step c), upon receipt (i.e. triggered by receipt) of the second message, the requested computer allows the external user to access the requested experiment based on an evaluation of the access authorization information contained therein, provided that access is permitted in accordance with the access authorization information. Otherwise access will be denied. In other words, the access permitted according to the access authorization information is enabled, although the external user's actual access does not necessarily have to take place in step c).

Das erfindungsgemäße Verfahren weist den Vorteil auf, dass externen Nutzern, die nicht zu dem Nutzerkreis eines Verwaltungsrechners zur Durchführung zugeordneter Experimente gehören, auch ein Fernzugriff auf diese Experimente ermöglicht wird. Dabei wird eine Authentifizierung des jeweiligen externen Nutzers bei demjenigen Verwaltungsrechner durchgeführt, der den Nutzerkreis verwaltet, zu dem der externe Nutzer gehört. Demzufolge müssen keine Änderungen an der Konfiguration des Verwaltungsrechners vorgenommen werden, der die Experimente verwaltet. Das Verfahren ist somit skalierbar, d.h. es kann auf beliebige viele Nutzerkreise und Experimente mit geringem Aufwand erweitert werden. Darüber hinaus arbeiten die einzelnen Verwaltungsrechner unabhängig voneinander. Hierdurch wird die Fehlersicherheit des Verfahrens erhöht, da der Ausfall eines Verwaltungsrechners nicht die Funktion eines anderen Verwaltungsrechners beeinträchtigt.The method according to the invention has the advantage that external users who are not part of the user group of an administration computer for carrying out assigned experiments are also enabled to have remote access to these experiments. The respective external user is authenticated at the administrative computer that manages the group of users to which the external user belongs. As a result, no changes need to be made to the configuration of the management computer that manages the experiments. The process is therefore scalable, i.e. it can be expanded to any number of user groups and experiments with little effort. In addition, the individual administration computers work independently of each other. This increases the error-proofness of the method, since the failure of one management computer does not affect the function of another management computer.

Die in der obigen zweiten Nachricht enthaltene Zugriffsberechtigungsinformation kann verschieden ausgestaltet sein. In einer einfachen Variante ist diese Information derart ausgestaltet, dass sie lediglich angibt, ob jegliche Art von Zugriff für den externen Nutzer erlaubt ist oder nicht. In einer bevorzugten Variante hat die Zugriffsberechtigungsinformation jedoch eine höhere Granularität. Das heißt, die Zugriffsberechtigungsinformation spezifiziert, welche Art oder Arten von Zugriffen zugelassen sind, wobei der angefragte Rechner in Schritt c) nur den Zugriff für die zugelassene Art oder zugelassenen Arten von Zugriffen ermöglicht und für die anderen Arten verweigert. Der Begriff der Art des Zugriffs ist dabei weit zu verstehen. Insbesondere kann sich die Art eines Zugriffs auch auf eine spezifische Zugriffsaktion, z.B. den Zugriff auf bestimmte Aktoren des entsprechenden Labors bzw. den Zugriff auf bestimmte Auswertedaten des Labors beziehen.The access authorization information contained in the above second message can be designed in different ways. In a simple variant, this information is designed in such a way that it simply indicates whether any type of access is permitted for the external user or not. In a preferred variant, however, the access authorization information has a higher granularity. That is, the access authorization information specifies which type or types of access are permitted, with the requested computer in step c) only allowing access for the permitted type or types of access and denying access for the other types. The concept of type of access is to be understood broadly. In particular, the type of access can also refer to a specific access action, e.g. access to certain actuators in the corresponding laboratory or access to certain evaluation data from the laboratory.

In einer weiteren bevorzugten Ausführungsform werden die erste Nachricht und/oder die zweite Nachricht und vorzugsweise sowohl die erste Nachricht als auch die zweite Nachricht jeweils signiert und/oder verschlüsselt übertragen. Hierdurch wird die Sicherheit des Verfahrens gegen Angriffe Dritter erhöht. Dabei können zum Signieren bzw. Verschlüsseln der Nachrichten beliebige, aus dem Stand der Technik bekannte Kryptoverfahren, wie z.B. asymmetrische Kryptoverfahren mit einem öffentlichen und einem privaten Schlüssel, genutzt werden.In a further preferred embodiment, the first message and/or the second message and preferably both the first message and the second message are each transmitted signed and/or encrypted. This increases the security of the process against third-party attacks. Any cryptographic methods known from the prior art, such as asymmetrical cryptographic methods with a public and a private key, can be used to sign or encrypt the messages.

In einer weiteren bevorzugten Ausführungsform wird bei der Ausführung eines Zugriffs, der durch den obigen Schritt c) ermöglicht wurde, die Kommunikation betreffend das angefragte Experiment zwischen dem Client des externen Nutzers und dem angefragten Rechner verschlüsselt durchgeführt, wodurch der tatsächlich durchgeführte Zugriff nochmals besonders geschützt wird. Für die Verschlüsselung können wiederum an sich bekannte Kryptoverfahren, wie z.B. asymmetrische Kryptoverfahren, genutzt werden.In a further preferred embodiment, when executing an access made possible by step c) above, the communication regarding the requested experiment between the client of the external user and the requested computer is carried out in encrypted form, whereby the access actually carried out is once again particularly protected . For the encryption, known cryptographic methods, such as asymmetrical cryptographic methods, can be used.

In einer weiteren Ausführungsform erfolgt die Ausführung eines Zugriffs, der durch den obigen Schritt c) ermöglicht wurde, unter Zwischenschaltung einer Schnittstelle zwischen dem angefragten Rechner und dem ausführenden Labor, wobei die Schnittstelle erste Kommunikationsnachrichten betreffend das angefragte Experiment, die vom Client des externen Nutzers über das Datennetz an den angefragten Rechner übertragen werden, in korrespondierende zweite Kommunikationsnachrichten wandelt, die an das ausführende Labor weitergeleitet und dort verarbeitet werden. Beispielsweise umfassen diese ersten Kommunikationsnachrichten Steuerbefehle, die auf die Aktorik bzw. Sensorik des entsprechenden Experiments einwirken, wobei diese Steuerbefehle in spezifische, im entsprechenden Labor verarbeitbare Steuerbefehle umgesetzt werden können.In a further embodiment, the access made possible by step c) above is carried out with the interposition of an interface between the requested computer and the executing laboratory, the interface receiving first communication messages relating to the requested experiment, which are transmitted by the client of the external user The data network is transmitted to the requested computer, converted into corresponding second communication messages, which are forwarded to the executing laboratory and processed there. For example, these first communication messages include control commands that act on the actuators or sensors of the corresponding experiment, whereby these control commands can be converted into specific control commands that can be processed in the corresponding laboratory.

In einer bevorzugten Variante der soeben beschriebenen Ausführungsform wandelt die Schnittstelle bei der Ausführung des Zugriffs, der durch Schritt c) ermöglicht wurde, dritte Kommunikationsnachrichten betreffend das angefragte Experiment, die von dem ausführenden Labor stammen, in vierte Kommunikationsnachrichten, die von dem angefragten Rechner über das Datennetz an den Client des externen Nutzers weitergeleitet und dort verarbeitet werden. Beispielsweise können die vierten Kommunikationsnachrichten mittels der Sensorik des Labors erfasste Ergebnisse betreffen, die über die Schnittstelle in ein geeignetes, durch den Client verarbeitetes Format gewandelt werden.In a preferred variant of the embodiment just described, when executing the access made possible by step c), the interface converts third communication messages relating to the requested experiment, which come from the executing laboratory, into fourth communication messages which come from the requested computer via the Data network is forwarded to the external user's client and processed there. For example, the fourth communication messages may concern results recorded by the laboratory's sensors, which are converted via the interface into a suitable format processed by the client.

In einer bevorzugten Variante beruhen die im Labor verarbeitbaren Kommunikationsnachrichten, d.h. die obigen zweiten bzw. dritten Kommunikationsnachrichten, auf einer Physical-Computing-Plattform, beispielsweise auf einer quelloffenen Physical-Computing-Plattform, wie z.B. Arduino oder Raspberry Pi. In einer weiteren bevorzugten Variante ist das im erfindungsgemäßen Verfahren verwendete Datennetz das Internet. Auf diese Weise können Experimente auch durch sehr weit entfernte Nutzer über ihre Clients gesteuert werden.In a preferred variant, the communication messages that can be processed in the laboratory, ie the above second and third communications, are based tion messages, on a physical computing platform, for example on an open-source physical computing platform, such as Arduino or Raspberry Pi. In a further preferred variant, the data network used in the method according to the invention is the Internet. In this way, experiments can also be controlled by users who are very far away via their clients.

Das erfindungsgemäße Verfahren kann für beliebige Experimente zum Einsatz kommen. Vorzugsweise umfasst die Anzahl von fernsteuerbaren Experimenten ein oder mehrere naturwissenschaftliche Experimente, insbesondere ein oder mehrere chemische und/oder physikalische und/oder biologische Experimente.The method according to the invention can be used for any experiments. The number of remotely controllable experiments preferably includes one or more scientific experiments, in particular one or more chemical and/or physical and/or biological experiments.

Neben dem oben beschriebenen Verfahren betrifft die Erfindung ein System zur rechnergestützten Verwaltung einer Anzahl von fernsteuerbaren Experimenten, wobei das System dazu eingerichtet ist, das erfindungsgemäße Verfahren bzw. eine oder mehrere bevorzugte Varianten des erfindungsgemäßen Verfahrens durchzuführen.In addition to the method described above, the invention relates to a system for the computer-aided management of a number of remotely controllable experiments, the system being set up to carry out the method according to the invention or one or more preferred variants of the method according to the invention.

Ein Ausführungsbeispiel der Erfindung wird nachfolgend anhand der beigefügten Figuren detailliert beschrieben.An exemplary embodiment of the invention is described in detail below with reference to the attached figures.

Es zeigen:

  • 1 eine schematische Darstellung eines Systems zur Durchführung einer Ausführungsform des erfindungsgemäßen Verfahrens; und
  • 2 ein Diagramm, das einen Nachrichtenaustausch zum Zugriff auf ein Experiment für das System der 1 verdeutlicht.
Show it:
  • 1 a schematic representation of a system for carrying out an embodiment of the method according to the invention; and
  • 2 a diagram showing a message exchange to access an experiment for the system of 1 clarified.

1 zeigt beispielhaft eine Infrastruktur zur Durchführung einer Ausführungsform des erfindungsgemäßen Verfahrens. Die Infrastruktur umfasst drei Einrichtungen 1, 2 und 3, welche durch entsprechende Rechtecke angedeutet sind. Die Einrichtungen können unterschiedliche Institutionen sein. Vorzugsweise handelt es sich um Lehreinrichtungen, insbesondere um Universitäten und gegebenenfalls auch um Schulen. Jeder der Einrichtungen 1, 2 und 3 ist ein disjunkter Nutzerkreis N1, N2 und N3 aus unterschiedlichen Nutzern zugeordnet. Die Nutzer sind beispielsweise Studenten bzw. Angestellte an einer universitären Einrichtung oder einer Schule. Der Nutzerkreis N1 ist in einer Datenbank DB 1 gespeichert, der Nutzerkreis N2 in einer Datenbank DB2 und der Nutzerkreis N3 in einer Datenbank DB3. Die einzelnen Einrichtungen 1, 2 und 3 verfügen über entsprechende Verwaltungsrechner in der Form von Servern SE1, SE2 und SE3, die untereinander über ein Datennetz DN kommunizieren können, das lediglich schematisch durch eine Leitung angedeutet ist. In der hier beschriebenen Ausführungsform umfasst das Datennetz DN das Internet. 1 shows an example of an infrastructure for carrying out an embodiment of the method according to the invention. The infrastructure includes three facilities 1, 2 and 3, which are indicated by corresponding rectangles. The facilities can be different institutions. These are preferably teaching institutions, in particular universities and possibly also schools. Each of the devices 1, 2 and 3 is assigned a disjoint user group N1, N2 and N3 made up of different users. The users are, for example, students or employees at a university institution or a school. The user group N1 is stored in a database DB 1, the user group N2 in a database DB2 and the user group N3 in a database DB3. The individual devices 1, 2 and 3 have corresponding management computers in the form of servers SE1, SE2 and SE3, which can communicate with one another via a data network DN, which is only indicated schematically by a line. In the embodiment described here, the data network DN includes the Internet.

Die einzelnen Verwaltungsrechner SE1 bis SE3, auf denen jeweils eine Instanz einer Managementsoftware installiert ist, stehen mit den entsprechenden Datenbanken DB 1, DB2 bzw. DB3 in Verbindung, um die Nutzerkreise der jeweiligen Datenbanken zu verwalten. Mit anderen Worten verwaltet der Verwaltungsrechner SE1 den Nutzerkreis N1 der Datenbank DB1, der Verwaltungsrechner SE2 den Nutzerkreis N2 der Datenbank DB2 und der Verwaltungsrechner SE3 den Nutzerkreis N3 der Datenbank DB3. Die Verwaltungsrechner SE1 und SE2 stellen spezifische Rechner R1 bzw. R2 im Sinne der Ansprüche dar. Demzufolge wird in 1 der Verwaltungsrechner SE1 auch als spezifischer Rechner R1 und der Verwaltungsrechner SE2 auch als spezifischer Rechner R2 in bezeichnet.The individual management computers SE1 to SE3, on each of which an instance of management software is installed, are connected to the corresponding databases DB 1, DB2 and DB3 in order to manage the user groups of the respective databases. In other words, the administration computer SE1 manages the user group N1 of the database DB1, the administration computer SE2 manages the user group N2 of the database DB2 and the administration computer SE3 manages the user group N3 of the database DB3. The administration computers SE1 and SE2 represent specific computers R1 and R2 in the sense of the claims. Accordingly, in 1 the management computer SE1 is also referred to as a specific computer R1 and the management computer SE2 is also referred to as a specific computer R2.

Die Rechner R1 und R2 zeichnen sich dadurch aus, dass sie kommunikationstechnisch mit Laboren verbunden sind, die zu der entsprechenden Einrichtung 1 bzw. 2 gehören und in 1 mit den Bezugszeichen LA1 bis LA5 bezeichnet sind. Die in den jeweiligen Laboren durchgeführten Experimente EX1 bis EX5 können dabei unter Zwischenschaltung des mit dem jeweiligen Labor verbundenen Verwaltungsrechners ferngesteuert werden. Je nach Ausgestaltung kann es sich bei den Experimenten um chemische und/oder physikalische und/oder biologische Experimente handeln. Ein Beispiel für ein chemisches Experiment ist die adsorptive Trennung von Methan und Kohlendioxid in einem Stickstoffstrom.The computers R1 and R2 are characterized by the fact that they are connected by communication technology to laboratories that belong to the corresponding facility 1 or 2 and in 1 are designated by the reference numbers LA1 to LA5. The experiments EX1 to EX5 carried out in the respective laboratories can be controlled remotely using the administration computer connected to the respective laboratory. Depending on the design, the experiments can be chemical and/or physical and/or biological experiments. An example of a chemical experiment is the adsorptive separation of methane and carbon dioxide in a stream of nitrogen.

Gemäß 1 ist der Verwaltungsrechner SE1 bzw. der spezifische Rechner R1 mit den Laboren LA1, LA2 und LA3 verbunden, wobei in dem Labor LA1 das Experiment EX1, in dem Labor LA2 das Experiment EX2 und in dem Labor LA3 das Experiment EX3 durchführbar ist. Demgegenüber ist der Verwaltungsrechner SE2 bzw. der spezifische Rechner R2 mit dem Labor LA4 und dem Labor LA5 verbunden, wobei in dem Labor LA4 das Experiment EX4 und in dem Labor LA5 das Experiment EX5 durchführbar ist. Die einzelnen Labore sind über einheitliche Kommunikationsschnittstellen IF mit dem jeweiligen Verwaltungsrechner SE1 bzw. SE2 verbunden. Im Unterschied zu den Verwaltungsrechnern SE1 und SE2 verwaltet der Verwaltungsrechner SE3 zwar auch einen zugeordneten Nutzerkreis N3, jedoch sind diesem Verwaltungsrechner keine Labore zugeordnet, da die Einrichtung 3 nicht über Labore verfügt.According to 1 the administration computer SE1 or the specific computer R1 is connected to the laboratories LA1, LA2 and LA3, whereby the experiment EX1 can be carried out in the laboratory LA1, the experiment EX2 in the laboratory LA2 and the experiment EX3 in the laboratory LA3. In contrast, the management computer SE2 or the specific computer R2 is connected to the laboratory LA4 and the laboratory LA5, whereby the experiment EX4 can be carried out in the laboratory LA4 and the experiment EX5 can be carried out in the laboratory LA5. The individual laboratories are connected to the respective administration computer SE1 or SE2 via standardized communication interfaces IF. In contrast to the administration computers SE1 and SE2, the administration computer SE3 also manages an assigned user group N3, but no laboratories are assigned to this administration computer because the facility 3 does not have any laboratories.

Über die kommunikationstechnische Anbindung der Labore an den entsprechenden Verwaltungsrechner wird die Fernsteuerung der Experimente in den jeweiligen Laboren ermöglicht. Hierfür sind die Labore mit Aktoren und Sensoren ausgestattet, die unter Zwischenschaltung des daran angebundenen Verwaltungsrechners SE1 bzw. SE2 ferngesteuert werden können. Vorzugswiese basieren die Aktoren und Sensoren auf einer quelloffenen Physical-Computing-Plattform, wie z.B. Arduino oder Raspberry Pi. Dabei kann ein Nutzer NU über einen an das Datennetz DN angeschlossenen Client bzw. Client-Rechner CL ein entsprechendes Experiment derjenigen Einrichtung steuern, zu dessen Nutzerkreis er gehört, sofern die Einrichtung ein Labor umfasst, was für die Einrichtungen 1 und 2 der Fall ist. Hierfür ist auf dem Client CL eine entsprechende Software mit Benutzerschnittstelle vorgesehen, welche die Fernsteuerung des Experiments, insbesondere die Steuerung der entsprechenden Aktoren und das Auslesen von Daten aus entsprechenden Sensoren, ermöglicht.The remote control of the experiments in the respective laboratories is made possible via the communication technology connection between the laboratories and the corresponding administration computer. The laboratories are equipped with actuators and sensors for this purpose tet, which can be controlled remotely with the interposition of the management computer SE1 or SE2 connected to it. The actuators and sensors are preferably based on an open-source physical computing platform, such as Arduino or Raspberry Pi. A user NU can control a corresponding experiment of the device via a client or client computer CL connected to the data network DN This is the user group if the facility includes a laboratory, which is the case for facilities 1 and 2. For this purpose, appropriate software with a user interface is provided on the client CL, which enables remote control of the experiment, in particular the control of the corresponding actuators and the reading of data from corresponding sensors.

Gemäß der Erfindung wird nunmehr die Möglichkeit geschaffen, dass auch externe Nutzer über ihre Clients auf Experimente einer Einrichtung zugreifen können, zu deren direktem Nutzerkreis sie nicht gehören. Dabei wurde im Vorfeld eine Vereinbarung zwischen entsprechenden Einrichtungen geschlossen, die es ermöglicht, dass bestimmte Nutzer des Nutzerkreises einer Einrichtung auch die Experimente einer anderen Einrichtung nutzen können, obwohl sie dort nicht zum Nutzerkreis gehören. Diese Vereinbarung kennen die Verwaltungsrechner der beteiligten Einrichtungen.According to the invention, the possibility is now created that external users can also access experiments of a facility via their clients whose direct user group they do not belong to. An agreement was concluded in advance between relevant institutions, which enables certain users of one institution to also use the experiments of another institution, even though they do not belong to the user group there. The administrative computers of the participating institutions are aware of this agreement.

Im Folgenden wird ein Szenario beschrieben, bei dem ein Nutzer NU aus dem Nutzerkreis N3, der zu der Einrichtung 3 gehört, ein Experiment der Einrichtung 1 ausführen möchte, obwohl er nicht zu dem Nutzerkreis N1 gehört. Dabei wurde vorab zwischen der Einrichtung 1 und der Einrichtung 3 vereinbart, dass die Nutzer des Nutzerkreises N3, deren Einrichtung 3 keine Labore aufweist, Zugriff auf Experimente der Einrichtung 1 erhalten. Im nachfolgend beschriebenen Fall möchte der Nutzer NU aus dem Nutzerkreis N3 auf das Experiment EX3 des Labors LA3 der Einrichtung 1 zugreifen. In diesem konkreten Fall stellt der Verwaltungsrechner SE3 einen externen Rechner ER im Sinne des Anspruchs 1 dar, wohingegen der Verwaltungsrechner SE1 ein angefragter Rechner AR im Sinne des Anspruchs 1 ist, was in 1 auch durch entsprechende Bezugszeichen verdeutlicht ist.A scenario is described below in which a user NU from the user group N3, who belongs to the device 3, wants to carry out an experiment on the device 1, even though he does not belong to the user group N1. It was agreed in advance between facility 1 and facility 3 that the users of user group N3, whose facility 3 does not have any laboratories, would have access to experiments at facility 1. In the case described below, the user NU from the user group N3 would like to access the experiment EX3 of the laboratory LA3 of facility 1. In this specific case, the administration computer SE3 represents an external computer ER within the meaning of claim 1, whereas the administration computer SE1 is a requested computer AR within the meaning of claim 1, which is in 1 is also illustrated by corresponding reference symbols.

Damit der Nutzer NU Zugriff auf das Experiment EX3 erhält, werden die Nachrichten RE, ME1 und ME2 ausgetauscht, die in dem Diagramm der 2 wiedergegeben sind. Die einzelnen Nachrichten werden zwischen Client CL, angefragtem Rechner SE1, AR und externem Rechner SE3, ER über das Datennetz DN übertragen. Ein externer Nutzer NU, der auf das Experiment EX3 zugreifen möchte, sendet zunächst mittels seines Clients CL eine Zugriffsanfrage RE an den angefragten Rechner SE1. Die Zugriffsanfrage enthält eine Identifikation UID des Nutzers NU, die im Nutzerkreis des Nutzers NU eindeutig ist, sowie eine Identifikation SID des Rechners SE3, die über alle Einrichtungen hinweg eindeutig ist. Die Kombination aus Identifikation UID und Identifikation SID ist somit über alle Einrichtungen hinweg eindeutig. Erfindungswesentlich ist nunmehr, dass die Information, dass der Nutzer NU zum Zugriff auf das Experiment EX3 berechtigt ist, weder im Rechner SE1 noch in der Datenbank DB1 hinterlegt ist. Der Rechner SE1 kennt ausschließlich seinen eigenen Nutzerkreis N1 direkt über die entsprechenden Einträge in der Datenbank DB 1. Ferner ist dem Rechner SE1 der Nutzer NU nur über die Verbindung zu SE3 bekannt. Mit anderen Worten vertraut der Rechner SE1 dem Rechner SE3 dahingehend, dass die Nutzer der Datenbank DB3 auf das Experiment EX3 des Rechners SE1 zugreifen können. Dies wird durch die oben beschriebene Vereinbarung sichergestellt.In order for the user NU to gain access to the experiment EX3, the messages RE, ME1 and ME2 are exchanged, which are shown in the diagram 2 are reproduced. The individual messages are transmitted between the client CL, the requested computer SE1, AR and the external computer SE3, ER via the data network DN. An external user NU who wants to access the experiment EX3 first sends an access request RE to the requested computer SE1 using his client CL. The access request contains an identification UID of the user NU, which is unique within the user group of the user NU, and an identification SID of the computer SE3, which is unique across all devices. The combination of identification UID and identification SID is therefore unique across all facilities. What is now essential to the invention is that the information that the user NU is authorized to access the experiment EX3 is not stored either in the computer SE1 or in the database DB1. The computer SE1 only knows its own user group N1 directly via the corresponding entries in the database DB 1. Furthermore, the computer SE1 only knows the user NU via the connection to SE3. In other words, the computer SE1 trusts the computer SE3 to the extent that the users of the database DB3 can access the experiment EX3 of the computer SE1. This is ensured by the agreement described above.

Damit der Rechner SE1 die Information erhält, ob der Nutzer NU tatsächlich zum Zugriff auf das Experiment EX3 zugelassen ist, werden die Nachrichten ME1 und ME2 zwischen Rechner SE1 und Rechner SE3 ausgetauscht. Diese Nachrichten werden vorzugsweise signiert und verschlüsselt übermittelt. Hierzu kann beispielsweise ein asymmetrisches Kryptoverfahren mit öffentlichen und privaten Schlüsseln genutzt werden, bei dem eine entsprechende Nachricht mit dem öffentlichen Schlüssel des Empfängers verschlüsselt ist und der Empfänger diese Nachricht mit seinem privaten Schlüssel entschlüsseln kann. Gegebenenfalls kann zum Signieren bzw. Verschlüsseln der Nachricht ME1 und ME2 auch ein Token verwendet werden, der vom Rechner SE1 generiert wird und vor der Übermittlung der Nachrichten ME1 und ME2 verschlüsselt an den Rechner SE3 übertragen wurde.So that the computer SE1 receives the information as to whether the user NU is actually permitted to access the experiment EX3, the messages ME1 and ME2 are exchanged between the computer SE1 and the computer SE3. These messages are preferably sent signed and encrypted. For this purpose, for example, an asymmetric cryptographic method with public and private keys can be used, in which a corresponding message is encrypted with the recipient's public key and the recipient can decrypt this message with his private key. If necessary, a token can also be used to sign or encrypt the messages ME1 and ME2, which is generated by the computer SE1 and was transmitted in encrypted form to the computer SE3 before the messages ME1 and ME2 were transmitted.

Gemäß 2 wird von dem Rechner SE1 in Antwort auf die Zugriffsanfrage RE die erste Nachricht ME1 an den Rechner SE3 übertragen, dessen Identität SID dem Rechner SE1 aus der Anfrage RE bekannt ist. Die Nachricht ME1 hat den Zweck, eine Berechtigungsüberprüfung des Nutzers NU in dem Rechner SE3 auszulösen. Hierfür ist die Identität UID des Nutzers NU in der Nachricht ME1 hinterlegt. Die Berechtigungsüberprüfung ist in 2 mit dem Bezugszeichen AUT bezeichnet. In der hier beschriebenen Ausführungsform erfolgt die Berechtigungsüberprüfung AUT derart, dass überprüft wird, ob der Nutzer NU mit seiner Identifikation UID tatsächlich in der Datenbank DB3 enthalten ist, wobei in der Datenbank DB3 hinterlegt ist, dass alle darin enthaltenen Nutzer auf Experimente des Rechners SE1 zugreifen können.According to 2 the computer SE1 transmits the first message ME1 to the computer SE3 in response to the access request RE, the identity SID of which is known to the computer SE1 from the request RE. The purpose of the message ME1 is to trigger an authorization check for the user NU in the computer SE3. For this purpose, the identity UID of the user NU is stored in the message ME1. The authorization check is in 2 denoted by the reference symbol AUT. In the embodiment described here, the authorization check AUT is carried out in such a way that it is checked whether the user NU with his identification UID is actually contained in the database DB3, it being stored in the database DB3 that all users contained therein access experiments on the computer SE1 can.

Da der Nutzer NU zum Nutzerkreis N3 der Datenbank DB3 gehört, wird von dem Rechner SE3 eine Nachricht ME2 an den Rechner SE1 gesendet, welche anzeigt, dass der Zugriff des Nutzers NU auf das Experiment EX3 bzw. das entsprechende Labor LA3 erlaubt ist. Als Folge kann der Nutzer NU über entsprechende Kommunikationsnachrichten bzw. Steuerbefehle auf das Experiment EX3 Einfluss nehmen kann. Gegebenenfalls ist es auch möglich, dass einem Nutzer nur eingeschränkte Zugriffsrechte auf ein Experiment gegeben werden, wobei in diesem Fall eine entsprechende Information für den Nutzer NU in der Datenbank DB3 hinterlegt ist. Die Information über die Einschränkung der Zugriffsrechte wird ebenfalls in der Nachricht ME2 an den Rechner SE1 übermittelt, der dann nur einen entsprechend beschränkten Zugriff auf das Experiment ermöglicht. Ebenso kann die Nachricht ME2 anzeigen, dass der Nutzer NU überhaupt keinen Zugriff auf das Experiment hat, was dann der Fall ist, wenn der Nutzer NU überhaupt nicht in der Datenbank DB3 bzw. dem Nutzerkreis N3 hinterlegt ist.Since the user NU belongs to the user group N3 of the database DB3, the computer SE3 a message ME2 is sent to the computer SE1, which indicates that the user NU's access to the experiment EX3 or the corresponding laboratory LA3 is permitted. As a result, the user NU can influence the experiment EX3 via appropriate communication messages or control commands. If necessary, it is also possible for a user to be given only limited access rights to an experiment, in which case corresponding information for the user NU is stored in the DB3 database. The information about the restriction of access rights is also transmitted in the message ME2 to the computer SE1, which then only allows correspondingly limited access to the experiment. Likewise, the message ME2 can indicate that the user NU has no access to the experiment at all, which is the case if the user NU is not stored in the database DB3 or the user group N3 at all.

Da im hier beschriebenen Szenario die Nachricht ME2 die Berechtigung des Nutzers für das Experiment EX3 anzeigt, lässt der Rechner SE1, der die Nachricht ME2 empfängt, den Zugriff auf das Experiment zu. Anschließend kann dann eine Kommunikation CO zwischen dem Client CL des Nutzers NU und dem Rechner SE1 stattfinden, wie durch einen Doppelpfeil in 2 angedeutet ist. Gemäß dieser Kommunikation, welche vorzugsweise verschlüsselt ist, wird auf das Experiment Einfluss genommen, wobei an der Kommunikation auch das Labor LA3 unter Zwischenschaltung der Schnittstelle IF zwischen Rechner SE1 und Labor LA3 beteiligt ist, was jedoch nicht aus 2 ersichtlich wird.Since in the scenario described here the message ME2 indicates the user's authorization for the experiment EX3, the computer SE1, which receives the message ME2, allows access to the experiment. Communication CO can then take place between the client CL of the user NU and the computer SE1, as indicated by a double arrow in 2 is indicated. According to this communication, which is preferably encrypted, the experiment is influenced, with the laboratory LA3 also being involved in the communication with the interface IF between the computer SE1 and the laboratory LA3, but this is not the case 2 becomes apparent.

Im Rahmen der Kommunikation CO werden erste Kommunikationsnachrichten CM1 vom Client CL über das Datennetz DN an den Rechner SE1 übermittelt. Diese ersten Kommunikationsnachrichten werden über die Schnittstelle IF in zweite Kommunikationsnachrichten CM2 für das Labor LA3 gewandelt. Ferner werden von dem Labor LA3 dritte Kommunikationsnachrichten CM3 an die Schnittstelle IF zwischen Rechner SE1 und Labor LA3 gesendet, wobei die Schnittstelle diese dritten Kommunikationsnachrichten in vierte Kommunikationsnachrichten CM4 wandelt, die über das Datennetz DN an den Client CL übermittelt werden. Im Folgenden werden Beispiele dieser Kommunikationsnachrichten CM1, CM2, CM3 und CM4 beschrieben.As part of the communication CO, first communication messages CM1 are transmitted from the client CL to the computer SE1 via the data network DN. These first communication messages are converted into second communication messages CM2 for the laboratory LA3 via the interface IF. Furthermore, third communication messages CM3 are sent from the laboratory LA3 to the interface IF between the computer SE1 and the laboratory LA3, the interface converting these third communication messages into fourth communication messages CM4, which are transmitted to the client CL via the data network DN. Examples of these communication messages CM1, CM2, CM3 and CM4 are described below.

Möchte der Nutzer NU im Rahmen des Zugriffs auf das Experiment EX3 einen Aktor des Labors LA3 steuern, kann er eine erste Kommunikationsnachricht CM1 in der Form einer Steueranweisung über das Datennetz DN an den Rechner SE1 senden. Diese Nachricht muss dann in einen speziellen Steuerbefehl der Plattform gewandelt werden, die von der Sensorik und Aktorik des Labors LA3 genutzt wird (z.B. Arduino). Die Schnittstelle IF übersetzt die erste Kommunikationsnachricht CM1 in eine zweite Kommunikationsnachricht CM2, welche einen Steuerbefehl darstellt, der von der Plattform des Labors LA3 verarbeitbar ist. In gleicher Weise können dritte Kommunikationsnachrichten CM3, welche auf der Plattform des Labors LA3 beruhen und Informationen zu Sensoren bzw. Aktoren enthalten, über die Schnittstelle IF in entsprechende vierte Kommunikationsnachrichten CM4 gewandelt werden, die wiederum vom Rechner SE1 über das Datennetz DN an den Client CL weitergeleitet und dort verarbeitet werden.If the user NU would like to control an actuator of the laboratory LA3 as part of accessing the experiment EX3, he can send a first communication message CM1 in the form of a control instruction via the data network DN to the computer SE1. This message must then be converted into a special control command of the platform that is used by the sensors and actuators of the LA3 laboratory (e.g. Arduino). The interface IF translates the first communication message CM1 into a second communication message CM2, which represents a control command that can be processed by the platform of the laboratory LA3. In the same way, third communication messages CM3, which are based on the platform of the laboratory LA3 and contain information about sensors or actuators, can be converted via the interface IF into corresponding fourth communication messages CM4, which in turn are sent from the computer SE1 via the data network DN to the client CL forwarded and processed there.

Wie oben dargelegt, kann somit nach der Gewährung eines Zugriffs das entsprechende Experiment EX3 in dem Labor LA3 über den Benutzer NU basierend auf den beschriebenen Kommunikationsnachrichten CM1, CM2, CM3 und CM4 ferngesteuert werden, obwohl der Nutzer NU nicht zum Nutzerkreis der Einrichtung 1, sondern zum Nutzerkreis der Einrichtung 3 gehört.As explained above, after access has been granted, the corresponding experiment EX3 in the laboratory LA3 can be remotely controlled via the user NU based on the described communication messages CM1, CM2, CM3 and CM4, although the user NU is not part of the user group of the facility 1, but rather belongs to the user group of facility 3.

Das im Vorangegangenen beschriebene Verfahren weist eine Reihe von Vorteilen auf. Insbesondere wird erstmalig die Möglichkeit geschaffen, dass ein Nutzerkreis, der nicht zu dem Nutzerkreis eines Verwaltungsrechners für entsprechende Experimente gehört, auf diese Experimente zugreifen kann. Dabei ist es nicht erforderlich, dass der originäre Nutzerkreis des Verwaltungsrechners erweitert wird. Vielmehr wird im Rahmen einer Berechtigungsüberprüfung ermittelt, ob Nutzer des anderen Nutzerkreises eine Zugriffsberechtigung auf die Experimente haben. Das erfindungsgemäße Verfahren ist somit skalierbar, d.h. es kann problemlos um neue Nutzer erweitert werden, ohne dass der originäre Nutzerkreis eines Verwaltungsrechners angepasst werden muss. Darüber hinaus wird die Fehlertoleranz bzw. Verfügbarkeit des Verfahrens durch die dezentrale Zugriffssteuerung erhöht. Fällt beispielsweise der Verwaltungsrechner einer Einrichtung aus, hat dies keinen Einfluss auf die Verwaltungsrechner einer anderen Einrichtung. Dadurch steigt insbesondere die Verfügbarkeit der Experimente für die Nutzerkreise, die nicht vom Ausfall des Verwaltungsrechners betroffen sind. Ferner bleibt die administrielle Autonomie der am Verfahren beteiligten Einrichtungen erhalten.The method described above has a number of advantages. In particular, the possibility is created for the first time that a group of users who are not part of the user group of an administration computer for corresponding experiments can access these experiments. It is not necessary that the original user group of the administration computer be expanded. Rather, an authorization check is used to determine whether users from the other user group have access authorization to the experiments. The method according to the invention is therefore scalable, i.e. it can easily be expanded to include new users without having to adapt the original user group of an administration computer. In addition, the fault tolerance and availability of the method is increased by the decentralized access control. For example, if the administration computer of one facility fails, this has no impact on the administration computers of another institution. This increases the availability of the experiments for those user groups who are not affected by the failure of the management computer. Furthermore, the administrative autonomy of the institutions involved in the process is retained.

ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDED IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of documents listed by the applicant was generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • US 9741276 B2 [0003]US 9741276 B2 [0003]
  • US 2016/0217700 A1 [0004]US 2016/0217700 A1 [0004]

Claims (10)

Verfahren zur rechnergestützten Verwaltung einer Anzahl von fernsteuerbaren Experimenten (EX1, EX2, ..., EX5), in dem eine Vielzahl von Verwaltungsrechnern (SE1, SE2, SE3) vorgesehen ist, die über ein Datennetz (DN) miteinander kommunizieren können, wobei jeder Verwaltungsrechner (SE1, SE2, SE3) einen individuellen Nutzerkreis (N1, N2, N3) mit einer Vielzahl von Nutzern (NU) verwaltet und einer oder mehrere der Verwaltungsrechner (SE1, SE2, SE3) jeweils einen spezifischen Rechner (R1, R2) repräsentieren, der mit einem oder mehreren, dem jeweiligen spezifischen Rechner (R1, R2) zugeordneten Laboren (LA1, LA2, ..., LA5) kommunikationstechnisch verbunden ist, wobei die Nutzer (NU) der Nutzerkreise (N1, N2, N3) mittels Clients (CL) externe Zugriffsanfragen (RE) über das Datennetz (DN) an einen der spezifischen Rechner (R1, R2) als angefragten Rechner (AR) richten können, um Zugriff auf ein Experiment (EX1, EX2, ..., EX5) in einem das Experiment ausführenden Labor (LA1, LA2, ..., LA5) anzufragen, das dem angefragten Rechner (AR) zugeordnet ist, wobei die externen Zugriffsanfragen (RE) jeweils von einem externen Nutzer (NU) stammen, der zu einem anderen Nutzerkreis (N1, N2, N3) als der Nutzerkreis (N1, N2, N3) gehört, der vom dem angefragten Rechner (AR) verwaltet wird, wobei bei Empfang einer externen Zugriffsanfrage (RE) eines externen Nutzers (NU) in dem angefragten Rechner (AR) folgende Schritte ausgeführt werden: a) der angefragte Rechner (AR) sendet eine erste Nachricht (ME1) über das Datennetz (DN) an einen externen Rechner (ER), welcher der Verwaltungsrechner (SE1, SE2, SE3) ist, der den Nutzerkreis (N1, N2, N3) des externen Nutzers (NU) verwaltet; b) bei Empfang der ersten Nachricht (ME1) führt der externe Rechner (ER) eine Berechtigungsüberprüfung (AUT) des externen Nutzers (NU) durch und sendet als Ergebnis der Berechtigungsüberprüfung (AUT) eine zweite Nachricht (ME2) über das Datennetz (DN) an den angefragten Rechner (AR), wobei die zweite Nachricht (ME2) eine Zugriffsberechtigungsinformation für einen Zugriff des externen Nutzers (NU) auf das mit der externen Zugriffsanfrage (RE) angefragte Experiment (EX1, EX2, ..., EX5) enthält; c) bei Empfang der zweiten Nachricht (ME2) ermöglicht der angefragte Rechner (AR) basierend auf einer Auswertung der Zugriffsberechtigungsinformation dem externen Nutzer (NU) den Zugriff auf das angefragte Experiment (EX1, EX2, ..., EX5), sofern der Zugriff gemäß der Zugriffsberechtigungsinformation zugelassen ist.Method for the computer-aided management of a number of remotely controllable experiments (EX1, EX2, ..., EX5), in which a large number of management computers (SE1, SE2, SE3) are provided, which can communicate with one another via a data network (DN), each Management computer (SE1, SE2, SE3) manages an individual user group (N1, N2, N3) with a large number of users (NU) and one or more of the management computers (SE1, SE2, SE3) each represent a specific computer (R1, R2). , which is connected in terms of communication technology to one or more laboratories (LA1, LA2, ..., LA5) assigned to the respective specific computer (R1, R2), the users (NU) of the user groups (N1, N2, N3) using clients (CL) can direct external access requests (RE) via the data network (DN) to one of the specific computers (R1, R2) as the requested computer (AR) in order to access an experiment (EX1, EX2, ..., EX5). to request a laboratory carrying out the experiment (LA1, LA2, ..., LA5), which is assigned to the requested computer (AR), whereby the external access requests (RE) each come from an external user (NU) who belongs to a different group of users (N1, N2, N3) belongs to the user group (N1, N2, N3) which is managed by the requested computer (AR), whereby upon receipt of an external access request (RE) from an external user (NU) in the requested computer ( AR) the following steps must be carried out: a) the requested computer (AR) sends a first message (ME1) via the data network (DN) to an external computer (ER), which is the management computer (SE1, SE2, SE3) that contains the user group (N1, N2, N3 ) managed by the external user (NU); b) upon receipt of the first message (ME1), the external computer (ER) carries out an authorization check (AUT) of the external user (NU) and, as a result of the authorization check (AUT), sends a second message (ME2) via the data network (DN) to the requested computer (AR), the second message (ME2) containing access authorization information for access by the external user (NU) to the experiment (EX1, EX2, ..., EX5) requested with the external access request (RE); c) upon receipt of the second message (ME2), the requested computer (AR) allows the external user (NU) to access the requested experiment (EX1, EX2, ..., EX5) based on an evaluation of the access authorization information, provided that access is permitted according to the access authorization information. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Zugriffsberechtigungsinformation der zweiten Nachricht (ME2) spezifiziert, welche Art oder Arten von Zugriffen zugelassen sind, wobei der angefragte Rechner (AR) in Schritt c) nur den Zugriff für die zugelassene Art oder zugelassenen Arten von Zugriffen ermöglicht.Procedure according to Claim 1 , characterized in that the access authorization information of the second message (ME2) specifies which type or types of access are permitted, the requested computer (AR) in step c) only enabling access for the permitted type or types of access. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die erste Nachricht (ME1) und/oder die zweite Nachricht (ME2) jeweils signiert und/oder verschlüsselt übertragen werden.Procedure according to Claim 1 or 2 , characterized in that the first message (ME1) and/or the second message (ME2) are each transmitted signed and/or encrypted. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei der Ausführung eines Zugriffs, der durch Schritt c) ermöglicht wurde, die Kommunikation betreffend das angefragte Experiment (EX1, EX2, ..., EX5) zwischen dem Client (CL) des externen Nutzers (NU) und dem angefragten Rechner (AR) verschlüsselt durchgeführt wird.Method according to one of the preceding claims, characterized in that when executing an access made possible by step c), the communication regarding the requested experiment (EX1, EX2, ..., EX5) between the client (CL) of the external The user (NU) and the requested computer (AR) are carried out in encrypted form. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Ausführung eines Zugriff, der durch Schritt c) ermöglicht wurde, unter Zwischenschaltung einer Schnittstelle (IF) zwischen dem angefragten Rechner (RE) und dem ausführenden Labor (LA1, LA2, ..., LA5) erfolgt, wobei die Schnittstelle (IF) erste Kommunikationsnachrichten (CM1) betreffend das angefragte Experiment (EX1, EX2, ..., EX5), die vom Client (CL) des externen Nutzers (NU) über das Datennetz (DN) an den angefragten Rechner (AR) übertragen werden, in korrespondierende zweite Kommunikationsnachrichten (CN2) wandelt, die an das ausführende Labor (LA1, LA2, ..., LA5) weitergeleitet und dort verarbeitet werden.Method according to one of the preceding claims, characterized in that the execution of an access made possible by step c) with the interposition of an interface (IF) between the requested computer (RE) and the executing laboratory (LA1, LA2, ... , LA5), whereby the interface (IF) sends first communication messages (CM1) relating to the requested experiment (EX1, EX2, ..., EX5), which are sent from the client (CL) of the external user (NU) via the data network (DN). are transmitted to the requested computer (AR), converted into corresponding second communication messages (CN2), which are forwarded to the executing laboratory (LA1, LA2, ..., LA5) and processed there. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass die Schnittstelle (IF) bei der Ausführung des Zugriff, der durch Schritt c) ermöglicht wurde, ferner dritte Kommunikationsnachrichten (CM3) betreffend das angefragte Experiment, die von dem ausführenden Labor (LA1, LA2, ..., LA5) stammen, in vierte Kommunikationsnachrichten (CM4) wandelt, die von dem angefragten Rechner (ER) über das Datennetz (DN) an den Client (CL) des externen Nutzers (NU) weitergeleitet und dort verarbeitet werden.Procedure according to Claim 5 , characterized in that when executing the access made possible by step c), the interface (IF) also sends third communication messages (CM3) relating to the requested experiment, which are sent by the executing laboratory (LA1, LA2, ..., LA5 ) are converted into fourth communication messages (CM4), which are forwarded by the requested computer (ER) via the data network (DN) to the client (CL) of the external user (NU) and processed there. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Datennetz (DN) das Internet umfasst.Method according to one of the preceding claims, characterized in that the data network (DN) comprises the Internet. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Anzahl von fernsteuerbaren Experimenten (EX1, EX2, ..., EX5) ein oder mehrere naturwissenschaftliche Experimente, insbesondere ein oder mehrere chemische und/oder physikalische und/oder biologische Experimente, umfasst.Method according to one of the preceding claims, characterized in that the number of remotely controllable experiments (EX1, EX2, ..., EX5) comprises one or more scientific experiments, in particular one or more chemical and/or physical and/or biological experiments. System zur rechnergestützten Verwaltung einer Anzahl von fernsteuerbaren Experimenten (EX1, EX2, ..., EX5), in dem eine Vielzahl von Verwaltungsrechnern (SE1, SE2, SE3) vorgesehen ist, die über ein Datennetz (DN) miteinander kommunizieren können, wobei jeder Verwaltungsrechner (SE1, SE2, SE3) einen individuellen Nutzerkreis (N1, N2, N3) mit einer Vielzahl von Nutzern (NU) verwaltet und einer oder mehrere der Verwaltungsrechner (SE1, SE2, SE3) jeweils einen spezifischen Rechner (R1, R2) repräsentieren, der mit einem oder mehreren, dem jeweiligen spezifischen Rechner (R1, R2) zugeordneten Laboren (LA1, LA2, ..., LA5) kommunikationstechnisch verbunden ist, wobei die Nutzer (NU) der Nutzerkreise (N1, N2, N3) mittels Clients (CL) externe Zugriffsanfragen (RE) über das Datennetz (DN) an einen der spezifischen Rechner (R1, R2) als angefragten Rechner (AR) richten können, um Zugriff auf ein Experiment (EX1, EX2, ..., EX5) in einem das Experiment ausführenden Labor (LA1, LA2, ..., LA5) anzufragen, das dem angefragten Rechner (AR) zugeordnet ist, wobei die externen Zugriffsanfragen (RE) jeweils von einem externen Nutzer (NU) stammen, der zu einem anderen Nutzerkreis (N1, N2, N3) als der Nutzerkreis (N1, N2, N3) gehört, der vom dem angefragten Rechner (AR) verwaltet wird, wobei das System derart ausgestaltet ist, dass bei Empfang einer externen Zugriffsanfrage (RE) eines externen Nutzers (NU) in dem angefragten Rechner (AR) folgende Schritte ausgeführt werden: a) der angefragte Rechner (AR) sendet eine erste Nachricht (ME1) über das Datennetz (DN) an einen externen Rechner (ER), welcher der Verwaltungsrechner (SE1, SE2, SE3) ist, der den Nutzerkreis (N1, N2, N3) des externen Nutzers (NU) verwaltet; b) bei Empfang der ersten Nachricht (ME1) führt der externe Rechner (ER) eine Berechtigungsüberprüfung (AUT) des externen Nutzers (NU) durch und sendet als Ergebnis der Berechtigungsüberprüfung (AUT) eine zweite Nachricht (ME2) über das Datennetz (DN) an den angefragten Rechner (AR), wobei die zweite Nachricht (ME2) eine Zugriffsberechtigungsinformation für einen Zugriff des externen Nutzers (NU) auf das mit der externen Zugriffsanfrage (RE) angefragte Experiment (EX1, EX2, ..., EX5) enthält; c) bei Empfang der zweiten Nachricht (ME2) ermöglicht der angefragte Rechner (AR) basierend auf einer Auswertung der Zugriffsberechtigungsinformation dem externen Nutzer (NU) den Zugriff auf das angefragte Experiment (EX1, EX2, ..., EX5), sofern der Zugriff gemäß der Zugriffsberechtigungsinformation zugelassen ist.System for the computer-aided management of a number of remotely controllable experiments (EX1, EX2, ..., EX5), in which a large number of management computers (SE1, SE2, SE3) are provided, which can communicate with one another via a data network (DN), each management computer (SE1, SE2, SE3) having one individual user group (N1, N2, N3) with a large number of users (NU) and one or more of the management computers (SE1, SE2, SE3) each represent a specific computer (R1, R2) that is connected to one or more, the respective Laboratories (LA1, LA2, ..., LA5) assigned to specific computers (R1, R2) are communication-connected, with the users (NU) of the user groups (N1, N2, N3) using clients (CL) to make external access requests (RE). can direct the data network (DN) to one of the specific computers (R1, R2) as the requested computer (AR) in order to access an experiment (EX1, EX2, ..., EX5) in a laboratory carrying out the experiment (LA1, LA2 , ..., LA5) that is assigned to the requested computer (AR), the external access requests (RE) each coming from an external user (NU) who belongs to a different user group (N1, N2, N3) than the User group (N1, N2, N3) belongs, which is managed by the requested computer (AR), the system being designed in such a way that upon receipt of an external access request (RE) from an external user (NU) in the requested computer (AR) The following steps are carried out: a) the requested computer (AR) sends a first message (ME1) via the data network (DN) to an external computer (ER), which is the administration computer (SE1, SE2, SE3) that contains the user group ( N1, N2, N3) of the external user (NU); b) upon receipt of the first message (ME1), the external computer (ER) carries out an authorization check (AUT) of the external user (NU) and, as a result of the authorization check (AUT), sends a second message (ME2) via the data network (DN) to the requested computer (AR), the second message (ME2) containing access authorization information for access by the external user (NU) to the experiment (EX1, EX2, ..., EX5) requested with the external access request (RE); c) upon receipt of the second message (ME2), the requested computer (AR) allows the external user (NU) to access the requested experiment (EX1, EX2, ..., EX5) based on an evaluation of the access authorization information, provided that access is permitted according to the access authorization information. System nach Anspruch 9, dadurch gekennzeichnet, dass das System zur Durchführung eines Verfahrens nach einem der Ansprüche 2 bis 8 eingerichtet ist.System after Claim 9 , characterized in that the system for carrying out a method according to one of the Claims 2 until 8th is set up.
DE102022105373.3A 2022-03-08 2022-03-08 Method and system for the computer-aided management of a number of remotely controllable experiments Pending DE102022105373A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022105373.3A DE102022105373A1 (en) 2022-03-08 2022-03-08 Method and system for the computer-aided management of a number of remotely controllable experiments

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022105373.3A DE102022105373A1 (en) 2022-03-08 2022-03-08 Method and system for the computer-aided management of a number of remotely controllable experiments

Publications (1)

Publication Number Publication Date
DE102022105373A1 true DE102022105373A1 (en) 2023-09-14

Family

ID=87759883

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022105373.3A Pending DE102022105373A1 (en) 2022-03-08 2022-03-08 Method and system for the computer-aided management of a number of remotely controllable experiments

Country Status (1)

Country Link
DE (1) DE102022105373A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69029759T2 (en) 1989-05-15 1997-07-17 Ibm Flexible interface for authentication services in a distributed data processing system
US20160217700A1 (en) 2013-09-24 2016-07-28 Enable Training And Consulting, Inc. Systems and methods for remote learning
US9741276B2 (en) 2014-06-26 2017-08-22 Rohm Co., Ltd. Electro-optical device, method of measuring characteristics of electro-optical device, and semiconductor chip

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69029759T2 (en) 1989-05-15 1997-07-17 Ibm Flexible interface for authentication services in a distributed data processing system
US20160217700A1 (en) 2013-09-24 2016-07-28 Enable Training And Consulting, Inc. Systems and methods for remote learning
US9741276B2 (en) 2014-06-26 2017-08-22 Rohm Co., Ltd. Electro-optical device, method of measuring characteristics of electro-optical device, and semiconductor chip

Similar Documents

Publication Publication Date Title
DE19960978B4 (en) Method for controlling access to electronic data files stored in a data archive system
WO2001090855A1 (en) Encryption of data to be stored in an information processing system
EP2772856B1 (en) Method for performing tasks on a production computer system and data processing system
EP0868691B1 (en) Process for access control to computer-controlled programs usable by several user units at the same time
EP3743844B1 (en) Blockchain-based identity system
DE102013203101A1 (en) Extend the attributes of a credential request
CH705781A1 (en) User rights management and access control system with a time limit.
DE112017002794T5 (en) METHOD AND DEVICE FOR ISSUING A CERTIFICATE OF AUTHORITY FOR AN INCIDENT AREA NETWORK
EP1722534A1 (en) Attribute-based allocating of resources to security domains
WO2008022606A1 (en) Method for authentication in an automation system
EP1164475A2 (en) Method to install software in hardware
WO2018166942A1 (en) Method for access control
DE102013203436A1 (en) Generate a key to provide permission information
EP1528450A1 (en) Method for identification, authentication and authorisation of user access to secured data
DE102014108162A1 (en) Method for operating a field device by means of an operating device
DE102022105373A1 (en) Method and system for the computer-aided management of a number of remotely controllable experiments
EP3376419B1 (en) System and method for electronically signing a document
EP3358802B1 (en) Method for securely providing a cryptographic key
WO2011147693A1 (en) Method for providing edrm-protected (enterprise digital rights management) data objects
DE102013010171A1 (en) Computer network, network nodes and method for providing certification information
EP3840321B1 (en) Method and system for authenticating a mobile id using hash values
DE102017123671B4 (en) System and procedure for managing personal data
EP4216489A1 (en) Method for changing an actual access key in a field device used in automation technology
DE102021118591A1 (en) METHOD, SYSTEM AND COMPUTER PROGRAM FOR ENCRYPTION, PROCESSING, TRANSMISSION, STORAGE AND TRACEABILITY OF THE ENCRYPTION OF PERSONAL DATA
EP3910900A1 (en) Method, computer program product and computer readable medium for securing of data transmission between at least two devices

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication