DE102022105373A1 - Method and system for the computer-aided management of a number of remotely controllable experiments - Google Patents
Method and system for the computer-aided management of a number of remotely controllable experiments Download PDFInfo
- Publication number
- DE102022105373A1 DE102022105373A1 DE102022105373.3A DE102022105373A DE102022105373A1 DE 102022105373 A1 DE102022105373 A1 DE 102022105373A1 DE 102022105373 A DE102022105373 A DE 102022105373A DE 102022105373 A1 DE102022105373 A1 DE 102022105373A1
- Authority
- DE
- Germany
- Prior art keywords
- computer
- access
- external
- requested
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
Die Erfindung betrifft ein Verfahren zur rechnergestützten Verwaltung einer Anzahl von fernsteuerbaren Experimenten (EX1, EX2, ..., EX5), in dem eine Vielzahl von Verwaltungsrechnern (SE1, SE2, SE3) vorgesehen ist, die über ein Datennetz (DN) miteinander kommunizieren können, wobei jeder Verwaltungsrechner (SE1, SE2, SE3) einen individuellen Nutzerkreis (N1, N2, N3) verwaltet und einer oder mehrere der Verwaltungsrechner (SE1, SE2, SE3) jeweils einen spezifischen Rechner (R1, R2) repräsentieren, der mit einem oder mehreren, dem jeweiligen spezifischen Rechner (R1, R2) zugeordneten Laboren (LA1, LA2, ..., LA5) kommunikationstechnisch verbunden ist, wobei die Nutzer (NU) der Nutzerkreise (N1, N2, N3) mittels Clients (CL) externe Zugriffsanfragen (RE) über das Datennetz (DN) an einen der spezifischen Rechner (R1, R2) als angefragten Rechner (AR) richten können, um Zugriff auf ein Experiment (EX1, EX2, ..., EX5) in einem das Experiment ausführenden Labor (LA1, LA2, ..., LA5) anzufragen, wobei die externen Zugriffsanfragen (RE) jeweils von einem externen Nutzer (NU) stammen, der zu einem anderen Nutzerkreis (N1, N2, N3) als der Nutzerkreis (N1, N2, N3) gehört, der vom dem angefragten Rechner (AR) verwaltet wird. Erfindungsgemäß wird bei Empfang einer externen Zugriffsanfrage (RE) eines externen Nutzers (NU) in dem angefragten Rechner (AR) eine Berechtigungsüberprüfung (AUT) des externen Nutzers (NU) in dem Rechner (ER) durchgeführt, welcher der Verwaltungsrechner (SE1, SE2, SE3) ist, der den Nutzerkreis (N1, N2, N3) des externen Nutzers (NU) verwaltet.The invention relates to a method for the computer-aided management of a number of remotely controllable experiments (EX1, EX2, ..., EX5), in which a large number of management computers (SE1, SE2, SE3) are provided, which communicate with one another via a data network (DN). can, whereby each administration computer (SE1, SE2, SE3) manages an individual user group (N1, N2, N3) and one or more of the administration computers (SE1, SE2, SE3) each represent a specific computer (R1, R2), which is connected to a or several laboratories (LA1, LA2, ..., LA5) assigned to the respective specific computer (R1, R2) are connected by communication technology, with the users (NU) of the user groups (N1, N2, N3) using external clients (CL). Access requests (RE) can be directed via the data network (DN) to one of the specific computers (R1, R2) as the requested computer (AR) in order to access an experiment (EX1, EX2, ..., EX5) in one executing the experiment Laboratory (LA1, LA2, ..., LA5), whereby the external access requests (RE) each come from an external user (NU) who belongs to a different user group (N1, N2, N3) than the user group (N1, N2 , N3), which is managed by the requested computer (AR). According to the invention, upon receipt of an external access request (RE) from an external user (NU) in the requested computer (AR), an authorization check (AUT) of the external user (NU) is carried out in the computer (ER), which is the management computer (SE1, SE2, SE3) is who manages the user group (N1, N2, N3) of the external user (NU).
Description
Die Erfindung betrifft ein Verfahren und ein System zur rechnergestützten Verwaltung einer Anzahl von fernsteuerbaren Experimenten.The invention relates to a method and a system for the computer-aided management of a number of remotely controllable experiments.
Aus dem Stand der Technik sind Ansätze bekannt, welche einen entfernten Zugriff von Nutzern auf in einem Labor durchgeführte Experimente ermöglichen. Hierfür enthält das Labor entsprechende Sensorik und Aktorik, die kommunikationstechnisch mit einem zentralen Server verbunden ist, auf den die Nutzer über ein Datennetz zugreifen können, um im Rahmen einer Fernsteuerung des entsprechenden Experiments die Sensorik bzw. Aktorik zu steuern bzw. daraus Daten auszulesen.Approaches are known from the prior art which enable remote access by users to experiments carried out in a laboratory. For this purpose, the laboratory contains appropriate sensors and actuators, which are connected to a central server via communication technology, which users can access via a data network in order to control the sensors and actuators or read data from them as part of remote control of the corresponding experiment.
Das Dokument
Die Druckschrift
Herkömmliche Verfahren zur Verwaltung von fernsteuerbaren Experimenten weisen den Nachteil auf, dass der zur Fernsteuerung berechtigte Nutzerkreis nur durch die Veränderung der Konfiguration eines zentralen Verwaltungsrechners bzw. dessen Datenbank auf neue Nutzer erweiterbar ist.Conventional methods for managing remotely controllable experiments have the disadvantage that the user group authorized for remote control can only be expanded to include new users by changing the configuration of a central administration computer or its database.
Aufgabe der Erfindung ist es deshalb, ein Verfahren und ein System zur Verwaltung einer Anzahl von fernsteuerbaren Experimenten zu schaffen, das eine einfache Erweiterung auf neue Nutzer ermöglichen.The object of the invention is therefore to create a method and a system for managing a number of remotely controllable experiments that enable easy expansion to new users.
Diese Aufgabe wird durch das Verfahren gemäß Patentanspruch 1 bzw. das System gemäß Patentanspruch 9 gelöst. Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen definiert.This task is solved by the method according to
An dem erfindungsgemäßen Verfahren zur rechnergestützten Verwaltung einer Anzahl von fernsteuerbaren Experimenten (d.h. von zumindest einem fernsteuerbaren Experiment) ist eine Vielzahl von Verwaltungsrechnern beteiligt. Diese Verwaltungsrechner können über ein Datennetz miteinander kommunizieren. Jeder Verwaltungsrechner verwaltet dabei einen individuellen (d.h. zum entsprechenden Verwaltungsrechner gehörigen) Nutzerkreis mit einer Vielzahl von Nutzern. Es ist dabei zulässig, dass die Nutzerkreise unterschiedlicher Verwaltungsrechner einander entsprechen. Optional ist zumindest ein Teil der Nutzer eines Nutzerkreises unterschiedlich zu den Nutzern eines anderen Nutzerkreises. Gegebenenfalls können die Nutzerkreise der Verwaltungsrechner auch disjunkt zueinander sein, d.h. die jeweiligen Nutzer des Nutzerkreises eines Verwaltungsrechners gehören nicht zu dem Nutzerkreis eines anderen Verwaltungsrechners. Der obige Begriff des Verwaltens ist derart zu verstehen, dass ausschließlich der Verwaltungsrechner auf den von ihm verwalteten Nutzerkreis direkt ohne Zwischenschaltung weiterer Verwaltungsrechner (lesend und schreibend) zugreifen kann.A large number of management computers are involved in the method according to the invention for the computer-aided management of a number of remotely controllable experiments (i.e. at least one remote-controllable experiment). These administration computers can communicate with each other via a data network. Each administration computer manages an individual group of users (i.e. belonging to the corresponding administration computer) with a large number of users. It is permissible for the user groups of different administrative computers to correspond to one another. Optionally, at least some of the users of one user group are different from the users of another user group. If necessary, the user groups of the administration computers can also be disjoint from one another, i.e. the respective users of the user group of one administration computer do not belong to the user group of another administration computer. The above term “management” is to be understood in such a way that only the administration computer can access the group of users it manages directly without the interposition of other administration computers (reading and writing).
Im erfindungsgemäßen Verfahren repräsentieren einer oder mehrere der Verwaltungsrechner jeweils einen spezifischen Rechner. Ein jeweiliger spezifischer Rechner ist dabei mit einem oder mehreren, dem jeweiligen spezifischen Rechner zugeordneten Laboren kommunikationstechnisch verbunden. Die Nutzer der Nutzerkreise können mittels Clients externe Zugriffsanfragen über das Datennetz an einen der spezifischen Rechner als angefragten Rechner richten, um Zugriff auf ein Experiment in einem das Experiment ausführenden Labor anzufragen, das dem angefragten Rechner zugeordnet ist. Externe Zugriffsanfragen zeichnen sich dadurch aus, dass sie jeweils von einem externen Nutzer stammen, der zu einem anderen Nutzerkreis als der Nutzerkreis gehört, der von dem angefragten Rechner verwaltet wird.In the method according to the invention, one or more of the management computers each represent a specific computer. A respective specific computer is connected via communication technology to one or more laboratories assigned to the respective specific computer. The users of the user groups can use clients to direct external access requests via the data network to one of the specific computers as the requested computer in order to request access to an experiment in a laboratory carrying out the experiment that is assigned to the requested computer. External access requests are characterized by the fact that they each come from an external user who belongs to a different user group than the user group that is managed by the requested computer.
In einer bevorzugten Ausführungsform gehören die jeweiligen Verwaltungsrechner zu separaten Einrichtungen, wie z.B. schulischen oder universitären Einrichtungen. Diejenigen Einrichtungen, die über entsprechende Labore zur Durchführung von Experimenten verfügen, haben dabei einen speziellen Verwaltungsrechner, der mit diesen Laboren kommunizieren kann und somit einen spezifischen Rechner im Sinne der obigen Definition darstellt.In a preferred embodiment, the respective administrative computers belong to separate facilities, such as school or university facilities. Those facilities that have appropriate laboratories for carrying out experiments have a special administration computer that can communicate with these laboratories and therefore represents a specific computer in the sense of the above definition.
Im erfindungsgemäßen Verfahren werden bei Empfang einer externen Zugriffsanfrage eines externen Nutzers die nachfolgend beschriebenen Schritte a) bis c) durchgeführt, wenn in dem angefragten Rechner eine externe Zugriffsanfrage eines externen Nutzers empfangen wird.In the method according to the invention, when an external access request from an external user is received, the steps a) to c) described below are carried out if an external access request from an external user is received in the requested computer.
In einem Schritt a) sendet der angefragte Rechner eine erste Nachricht über das Datennetz an einen externen Rechner, welcher der Verwaltungsrechner ist, der den Nutzerkreis des externen Nutzers verwaltet.In a step a), the requested computer sends a first message via the data network to an external computer, which is the management computer that manages the external user's user group.
In einem Schritt b) führt der externe Rechner bei Empfang (d.h. ausgelöst durch den Empfang) dieser ersten Nachricht eine Berechtigungsüberprüfung des externen Nutzers durch und sendet als Ergebnis der Berechtigungsüberprüfung eine zweite Nachricht über das Datennetz an den angefragten Rechner, wobei die zweite Nachricht eine Zugriffsberechtigungsinformation für einen Zugriff des externen Nutzers auf das mit der externen Zugriffsanfrage angefragte Experiment enthält.In a step b), the external computer carries out an authorization check of the external user upon receipt (ie triggered by receipt) of this first message and, as a result of the authorization check, sends a second message via the data network to the person being requested Computer, wherein the second message contains access authorization information for the external user to access the experiment requested with the external access request.
In einem Schritt c) ermöglicht der angefragte Rechner bei Empfang (d.h. ausgelöst durch den Empfang) der zweiten Nachricht basierend auf einer Auswertung der darin enthaltenen Zugriffsberechtigungsinformation dem externen Nutzer den Zugriff auf das angefragte Experiment, sofern der Zugriff gemäß der Zugangsberechtigungsinformation zugelassen ist. Ansonsten wird der Zugriff verweigert. Mit anderen Worten wird der gemäß der Zugriffsberechtigungsinformation erlaubte Zugriff freigeschaltet, wobei der tatsächliche Zugriff des externen Nutzers nicht zwangsläufig bereits in Schritt c) erfolgen muss.In a step c), upon receipt (i.e. triggered by receipt) of the second message, the requested computer allows the external user to access the requested experiment based on an evaluation of the access authorization information contained therein, provided that access is permitted in accordance with the access authorization information. Otherwise access will be denied. In other words, the access permitted according to the access authorization information is enabled, although the external user's actual access does not necessarily have to take place in step c).
Das erfindungsgemäße Verfahren weist den Vorteil auf, dass externen Nutzern, die nicht zu dem Nutzerkreis eines Verwaltungsrechners zur Durchführung zugeordneter Experimente gehören, auch ein Fernzugriff auf diese Experimente ermöglicht wird. Dabei wird eine Authentifizierung des jeweiligen externen Nutzers bei demjenigen Verwaltungsrechner durchgeführt, der den Nutzerkreis verwaltet, zu dem der externe Nutzer gehört. Demzufolge müssen keine Änderungen an der Konfiguration des Verwaltungsrechners vorgenommen werden, der die Experimente verwaltet. Das Verfahren ist somit skalierbar, d.h. es kann auf beliebige viele Nutzerkreise und Experimente mit geringem Aufwand erweitert werden. Darüber hinaus arbeiten die einzelnen Verwaltungsrechner unabhängig voneinander. Hierdurch wird die Fehlersicherheit des Verfahrens erhöht, da der Ausfall eines Verwaltungsrechners nicht die Funktion eines anderen Verwaltungsrechners beeinträchtigt.The method according to the invention has the advantage that external users who are not part of the user group of an administration computer for carrying out assigned experiments are also enabled to have remote access to these experiments. The respective external user is authenticated at the administrative computer that manages the group of users to which the external user belongs. As a result, no changes need to be made to the configuration of the management computer that manages the experiments. The process is therefore scalable, i.e. it can be expanded to any number of user groups and experiments with little effort. In addition, the individual administration computers work independently of each other. This increases the error-proofness of the method, since the failure of one management computer does not affect the function of another management computer.
Die in der obigen zweiten Nachricht enthaltene Zugriffsberechtigungsinformation kann verschieden ausgestaltet sein. In einer einfachen Variante ist diese Information derart ausgestaltet, dass sie lediglich angibt, ob jegliche Art von Zugriff für den externen Nutzer erlaubt ist oder nicht. In einer bevorzugten Variante hat die Zugriffsberechtigungsinformation jedoch eine höhere Granularität. Das heißt, die Zugriffsberechtigungsinformation spezifiziert, welche Art oder Arten von Zugriffen zugelassen sind, wobei der angefragte Rechner in Schritt c) nur den Zugriff für die zugelassene Art oder zugelassenen Arten von Zugriffen ermöglicht und für die anderen Arten verweigert. Der Begriff der Art des Zugriffs ist dabei weit zu verstehen. Insbesondere kann sich die Art eines Zugriffs auch auf eine spezifische Zugriffsaktion, z.B. den Zugriff auf bestimmte Aktoren des entsprechenden Labors bzw. den Zugriff auf bestimmte Auswertedaten des Labors beziehen.The access authorization information contained in the above second message can be designed in different ways. In a simple variant, this information is designed in such a way that it simply indicates whether any type of access is permitted for the external user or not. In a preferred variant, however, the access authorization information has a higher granularity. That is, the access authorization information specifies which type or types of access are permitted, with the requested computer in step c) only allowing access for the permitted type or types of access and denying access for the other types. The concept of type of access is to be understood broadly. In particular, the type of access can also refer to a specific access action, e.g. access to certain actuators in the corresponding laboratory or access to certain evaluation data from the laboratory.
In einer weiteren bevorzugten Ausführungsform werden die erste Nachricht und/oder die zweite Nachricht und vorzugsweise sowohl die erste Nachricht als auch die zweite Nachricht jeweils signiert und/oder verschlüsselt übertragen. Hierdurch wird die Sicherheit des Verfahrens gegen Angriffe Dritter erhöht. Dabei können zum Signieren bzw. Verschlüsseln der Nachrichten beliebige, aus dem Stand der Technik bekannte Kryptoverfahren, wie z.B. asymmetrische Kryptoverfahren mit einem öffentlichen und einem privaten Schlüssel, genutzt werden.In a further preferred embodiment, the first message and/or the second message and preferably both the first message and the second message are each transmitted signed and/or encrypted. This increases the security of the process against third-party attacks. Any cryptographic methods known from the prior art, such as asymmetrical cryptographic methods with a public and a private key, can be used to sign or encrypt the messages.
In einer weiteren bevorzugten Ausführungsform wird bei der Ausführung eines Zugriffs, der durch den obigen Schritt c) ermöglicht wurde, die Kommunikation betreffend das angefragte Experiment zwischen dem Client des externen Nutzers und dem angefragten Rechner verschlüsselt durchgeführt, wodurch der tatsächlich durchgeführte Zugriff nochmals besonders geschützt wird. Für die Verschlüsselung können wiederum an sich bekannte Kryptoverfahren, wie z.B. asymmetrische Kryptoverfahren, genutzt werden.In a further preferred embodiment, when executing an access made possible by step c) above, the communication regarding the requested experiment between the client of the external user and the requested computer is carried out in encrypted form, whereby the access actually carried out is once again particularly protected . For the encryption, known cryptographic methods, such as asymmetrical cryptographic methods, can be used.
In einer weiteren Ausführungsform erfolgt die Ausführung eines Zugriffs, der durch den obigen Schritt c) ermöglicht wurde, unter Zwischenschaltung einer Schnittstelle zwischen dem angefragten Rechner und dem ausführenden Labor, wobei die Schnittstelle erste Kommunikationsnachrichten betreffend das angefragte Experiment, die vom Client des externen Nutzers über das Datennetz an den angefragten Rechner übertragen werden, in korrespondierende zweite Kommunikationsnachrichten wandelt, die an das ausführende Labor weitergeleitet und dort verarbeitet werden. Beispielsweise umfassen diese ersten Kommunikationsnachrichten Steuerbefehle, die auf die Aktorik bzw. Sensorik des entsprechenden Experiments einwirken, wobei diese Steuerbefehle in spezifische, im entsprechenden Labor verarbeitbare Steuerbefehle umgesetzt werden können.In a further embodiment, the access made possible by step c) above is carried out with the interposition of an interface between the requested computer and the executing laboratory, the interface receiving first communication messages relating to the requested experiment, which are transmitted by the client of the external user The data network is transmitted to the requested computer, converted into corresponding second communication messages, which are forwarded to the executing laboratory and processed there. For example, these first communication messages include control commands that act on the actuators or sensors of the corresponding experiment, whereby these control commands can be converted into specific control commands that can be processed in the corresponding laboratory.
In einer bevorzugten Variante der soeben beschriebenen Ausführungsform wandelt die Schnittstelle bei der Ausführung des Zugriffs, der durch Schritt c) ermöglicht wurde, dritte Kommunikationsnachrichten betreffend das angefragte Experiment, die von dem ausführenden Labor stammen, in vierte Kommunikationsnachrichten, die von dem angefragten Rechner über das Datennetz an den Client des externen Nutzers weitergeleitet und dort verarbeitet werden. Beispielsweise können die vierten Kommunikationsnachrichten mittels der Sensorik des Labors erfasste Ergebnisse betreffen, die über die Schnittstelle in ein geeignetes, durch den Client verarbeitetes Format gewandelt werden.In a preferred variant of the embodiment just described, when executing the access made possible by step c), the interface converts third communication messages relating to the requested experiment, which come from the executing laboratory, into fourth communication messages which come from the requested computer via the Data network is forwarded to the external user's client and processed there. For example, the fourth communication messages may concern results recorded by the laboratory's sensors, which are converted via the interface into a suitable format processed by the client.
In einer bevorzugten Variante beruhen die im Labor verarbeitbaren Kommunikationsnachrichten, d.h. die obigen zweiten bzw. dritten Kommunikationsnachrichten, auf einer Physical-Computing-Plattform, beispielsweise auf einer quelloffenen Physical-Computing-Plattform, wie z.B. Arduino oder Raspberry Pi. In einer weiteren bevorzugten Variante ist das im erfindungsgemäßen Verfahren verwendete Datennetz das Internet. Auf diese Weise können Experimente auch durch sehr weit entfernte Nutzer über ihre Clients gesteuert werden.In a preferred variant, the communication messages that can be processed in the laboratory, ie the above second and third communications, are based tion messages, on a physical computing platform, for example on an open-source physical computing platform, such as Arduino or Raspberry Pi. In a further preferred variant, the data network used in the method according to the invention is the Internet. In this way, experiments can also be controlled by users who are very far away via their clients.
Das erfindungsgemäße Verfahren kann für beliebige Experimente zum Einsatz kommen. Vorzugsweise umfasst die Anzahl von fernsteuerbaren Experimenten ein oder mehrere naturwissenschaftliche Experimente, insbesondere ein oder mehrere chemische und/oder physikalische und/oder biologische Experimente.The method according to the invention can be used for any experiments. The number of remotely controllable experiments preferably includes one or more scientific experiments, in particular one or more chemical and/or physical and/or biological experiments.
Neben dem oben beschriebenen Verfahren betrifft die Erfindung ein System zur rechnergestützten Verwaltung einer Anzahl von fernsteuerbaren Experimenten, wobei das System dazu eingerichtet ist, das erfindungsgemäße Verfahren bzw. eine oder mehrere bevorzugte Varianten des erfindungsgemäßen Verfahrens durchzuführen.In addition to the method described above, the invention relates to a system for the computer-aided management of a number of remotely controllable experiments, the system being set up to carry out the method according to the invention or one or more preferred variants of the method according to the invention.
Ein Ausführungsbeispiel der Erfindung wird nachfolgend anhand der beigefügten Figuren detailliert beschrieben.An exemplary embodiment of the invention is described in detail below with reference to the attached figures.
Es zeigen:
-
1 eine schematische Darstellung eines Systems zur Durchführung einer Ausführungsform des erfindungsgemäßen Verfahrens; und -
2 ein Diagramm, das einen Nachrichtenaustausch zum Zugriff auf ein Experiment für das System der1 verdeutlicht.
-
1 a schematic representation of a system for carrying out an embodiment of the method according to the invention; and -
2 a diagram showing a message exchange to access an experiment for the system of1 clarified.
Die einzelnen Verwaltungsrechner SE1 bis SE3, auf denen jeweils eine Instanz einer Managementsoftware installiert ist, stehen mit den entsprechenden Datenbanken DB 1, DB2 bzw. DB3 in Verbindung, um die Nutzerkreise der jeweiligen Datenbanken zu verwalten. Mit anderen Worten verwaltet der Verwaltungsrechner SE1 den Nutzerkreis N1 der Datenbank DB1, der Verwaltungsrechner SE2 den Nutzerkreis N2 der Datenbank DB2 und der Verwaltungsrechner SE3 den Nutzerkreis N3 der Datenbank DB3. Die Verwaltungsrechner SE1 und SE2 stellen spezifische Rechner R1 bzw. R2 im Sinne der Ansprüche dar. Demzufolge wird in
Die Rechner R1 und R2 zeichnen sich dadurch aus, dass sie kommunikationstechnisch mit Laboren verbunden sind, die zu der entsprechenden Einrichtung 1 bzw. 2 gehören und in
Gemäß
Über die kommunikationstechnische Anbindung der Labore an den entsprechenden Verwaltungsrechner wird die Fernsteuerung der Experimente in den jeweiligen Laboren ermöglicht. Hierfür sind die Labore mit Aktoren und Sensoren ausgestattet, die unter Zwischenschaltung des daran angebundenen Verwaltungsrechners SE1 bzw. SE2 ferngesteuert werden können. Vorzugswiese basieren die Aktoren und Sensoren auf einer quelloffenen Physical-Computing-Plattform, wie z.B. Arduino oder Raspberry Pi. Dabei kann ein Nutzer NU über einen an das Datennetz DN angeschlossenen Client bzw. Client-Rechner CL ein entsprechendes Experiment derjenigen Einrichtung steuern, zu dessen Nutzerkreis er gehört, sofern die Einrichtung ein Labor umfasst, was für die Einrichtungen 1 und 2 der Fall ist. Hierfür ist auf dem Client CL eine entsprechende Software mit Benutzerschnittstelle vorgesehen, welche die Fernsteuerung des Experiments, insbesondere die Steuerung der entsprechenden Aktoren und das Auslesen von Daten aus entsprechenden Sensoren, ermöglicht.The remote control of the experiments in the respective laboratories is made possible via the communication technology connection between the laboratories and the corresponding administration computer. The laboratories are equipped with actuators and sensors for this purpose tet, which can be controlled remotely with the interposition of the management computer SE1 or SE2 connected to it. The actuators and sensors are preferably based on an open-source physical computing platform, such as Arduino or Raspberry Pi. A user NU can control a corresponding experiment of the device via a client or client computer CL connected to the data network DN This is the user group if the facility includes a laboratory, which is the case for
Gemäß der Erfindung wird nunmehr die Möglichkeit geschaffen, dass auch externe Nutzer über ihre Clients auf Experimente einer Einrichtung zugreifen können, zu deren direktem Nutzerkreis sie nicht gehören. Dabei wurde im Vorfeld eine Vereinbarung zwischen entsprechenden Einrichtungen geschlossen, die es ermöglicht, dass bestimmte Nutzer des Nutzerkreises einer Einrichtung auch die Experimente einer anderen Einrichtung nutzen können, obwohl sie dort nicht zum Nutzerkreis gehören. Diese Vereinbarung kennen die Verwaltungsrechner der beteiligten Einrichtungen.According to the invention, the possibility is now created that external users can also access experiments of a facility via their clients whose direct user group they do not belong to. An agreement was concluded in advance between relevant institutions, which enables certain users of one institution to also use the experiments of another institution, even though they do not belong to the user group there. The administrative computers of the participating institutions are aware of this agreement.
Im Folgenden wird ein Szenario beschrieben, bei dem ein Nutzer NU aus dem Nutzerkreis N3, der zu der Einrichtung 3 gehört, ein Experiment der Einrichtung 1 ausführen möchte, obwohl er nicht zu dem Nutzerkreis N1 gehört. Dabei wurde vorab zwischen der Einrichtung 1 und der Einrichtung 3 vereinbart, dass die Nutzer des Nutzerkreises N3, deren Einrichtung 3 keine Labore aufweist, Zugriff auf Experimente der Einrichtung 1 erhalten. Im nachfolgend beschriebenen Fall möchte der Nutzer NU aus dem Nutzerkreis N3 auf das Experiment EX3 des Labors LA3 der Einrichtung 1 zugreifen. In diesem konkreten Fall stellt der Verwaltungsrechner SE3 einen externen Rechner ER im Sinne des Anspruchs 1 dar, wohingegen der Verwaltungsrechner SE1 ein angefragter Rechner AR im Sinne des Anspruchs 1 ist, was in
Damit der Nutzer NU Zugriff auf das Experiment EX3 erhält, werden die Nachrichten RE, ME1 und ME2 ausgetauscht, die in dem Diagramm der
Damit der Rechner SE1 die Information erhält, ob der Nutzer NU tatsächlich zum Zugriff auf das Experiment EX3 zugelassen ist, werden die Nachrichten ME1 und ME2 zwischen Rechner SE1 und Rechner SE3 ausgetauscht. Diese Nachrichten werden vorzugsweise signiert und verschlüsselt übermittelt. Hierzu kann beispielsweise ein asymmetrisches Kryptoverfahren mit öffentlichen und privaten Schlüsseln genutzt werden, bei dem eine entsprechende Nachricht mit dem öffentlichen Schlüssel des Empfängers verschlüsselt ist und der Empfänger diese Nachricht mit seinem privaten Schlüssel entschlüsseln kann. Gegebenenfalls kann zum Signieren bzw. Verschlüsseln der Nachricht ME1 und ME2 auch ein Token verwendet werden, der vom Rechner SE1 generiert wird und vor der Übermittlung der Nachrichten ME1 und ME2 verschlüsselt an den Rechner SE3 übertragen wurde.So that the computer SE1 receives the information as to whether the user NU is actually permitted to access the experiment EX3, the messages ME1 and ME2 are exchanged between the computer SE1 and the computer SE3. These messages are preferably sent signed and encrypted. For this purpose, for example, an asymmetric cryptographic method with public and private keys can be used, in which a corresponding message is encrypted with the recipient's public key and the recipient can decrypt this message with his private key. If necessary, a token can also be used to sign or encrypt the messages ME1 and ME2, which is generated by the computer SE1 and was transmitted in encrypted form to the computer SE3 before the messages ME1 and ME2 were transmitted.
Gemäß
Da der Nutzer NU zum Nutzerkreis N3 der Datenbank DB3 gehört, wird von dem Rechner SE3 eine Nachricht ME2 an den Rechner SE1 gesendet, welche anzeigt, dass der Zugriff des Nutzers NU auf das Experiment EX3 bzw. das entsprechende Labor LA3 erlaubt ist. Als Folge kann der Nutzer NU über entsprechende Kommunikationsnachrichten bzw. Steuerbefehle auf das Experiment EX3 Einfluss nehmen kann. Gegebenenfalls ist es auch möglich, dass einem Nutzer nur eingeschränkte Zugriffsrechte auf ein Experiment gegeben werden, wobei in diesem Fall eine entsprechende Information für den Nutzer NU in der Datenbank DB3 hinterlegt ist. Die Information über die Einschränkung der Zugriffsrechte wird ebenfalls in der Nachricht ME2 an den Rechner SE1 übermittelt, der dann nur einen entsprechend beschränkten Zugriff auf das Experiment ermöglicht. Ebenso kann die Nachricht ME2 anzeigen, dass der Nutzer NU überhaupt keinen Zugriff auf das Experiment hat, was dann der Fall ist, wenn der Nutzer NU überhaupt nicht in der Datenbank DB3 bzw. dem Nutzerkreis N3 hinterlegt ist.Since the user NU belongs to the user group N3 of the database DB3, the computer SE3 a message ME2 is sent to the computer SE1, which indicates that the user NU's access to the experiment EX3 or the corresponding laboratory LA3 is permitted. As a result, the user NU can influence the experiment EX3 via appropriate communication messages or control commands. If necessary, it is also possible for a user to be given only limited access rights to an experiment, in which case corresponding information for the user NU is stored in the DB3 database. The information about the restriction of access rights is also transmitted in the message ME2 to the computer SE1, which then only allows correspondingly limited access to the experiment. Likewise, the message ME2 can indicate that the user NU has no access to the experiment at all, which is the case if the user NU is not stored in the database DB3 or the user group N3 at all.
Da im hier beschriebenen Szenario die Nachricht ME2 die Berechtigung des Nutzers für das Experiment EX3 anzeigt, lässt der Rechner SE1, der die Nachricht ME2 empfängt, den Zugriff auf das Experiment zu. Anschließend kann dann eine Kommunikation CO zwischen dem Client CL des Nutzers NU und dem Rechner SE1 stattfinden, wie durch einen Doppelpfeil in
Im Rahmen der Kommunikation CO werden erste Kommunikationsnachrichten CM1 vom Client CL über das Datennetz DN an den Rechner SE1 übermittelt. Diese ersten Kommunikationsnachrichten werden über die Schnittstelle IF in zweite Kommunikationsnachrichten CM2 für das Labor LA3 gewandelt. Ferner werden von dem Labor LA3 dritte Kommunikationsnachrichten CM3 an die Schnittstelle IF zwischen Rechner SE1 und Labor LA3 gesendet, wobei die Schnittstelle diese dritten Kommunikationsnachrichten in vierte Kommunikationsnachrichten CM4 wandelt, die über das Datennetz DN an den Client CL übermittelt werden. Im Folgenden werden Beispiele dieser Kommunikationsnachrichten CM1, CM2, CM3 und CM4 beschrieben.As part of the communication CO, first communication messages CM1 are transmitted from the client CL to the computer SE1 via the data network DN. These first communication messages are converted into second communication messages CM2 for the laboratory LA3 via the interface IF. Furthermore, third communication messages CM3 are sent from the laboratory LA3 to the interface IF between the computer SE1 and the laboratory LA3, the interface converting these third communication messages into fourth communication messages CM4, which are transmitted to the client CL via the data network DN. Examples of these communication messages CM1, CM2, CM3 and CM4 are described below.
Möchte der Nutzer NU im Rahmen des Zugriffs auf das Experiment EX3 einen Aktor des Labors LA3 steuern, kann er eine erste Kommunikationsnachricht CM1 in der Form einer Steueranweisung über das Datennetz DN an den Rechner SE1 senden. Diese Nachricht muss dann in einen speziellen Steuerbefehl der Plattform gewandelt werden, die von der Sensorik und Aktorik des Labors LA3 genutzt wird (z.B. Arduino). Die Schnittstelle IF übersetzt die erste Kommunikationsnachricht CM1 in eine zweite Kommunikationsnachricht CM2, welche einen Steuerbefehl darstellt, der von der Plattform des Labors LA3 verarbeitbar ist. In gleicher Weise können dritte Kommunikationsnachrichten CM3, welche auf der Plattform des Labors LA3 beruhen und Informationen zu Sensoren bzw. Aktoren enthalten, über die Schnittstelle IF in entsprechende vierte Kommunikationsnachrichten CM4 gewandelt werden, die wiederum vom Rechner SE1 über das Datennetz DN an den Client CL weitergeleitet und dort verarbeitet werden.If the user NU would like to control an actuator of the laboratory LA3 as part of accessing the experiment EX3, he can send a first communication message CM1 in the form of a control instruction via the data network DN to the computer SE1. This message must then be converted into a special control command of the platform that is used by the sensors and actuators of the LA3 laboratory (e.g. Arduino). The interface IF translates the first communication message CM1 into a second communication message CM2, which represents a control command that can be processed by the platform of the laboratory LA3. In the same way, third communication messages CM3, which are based on the platform of the laboratory LA3 and contain information about sensors or actuators, can be converted via the interface IF into corresponding fourth communication messages CM4, which in turn are sent from the computer SE1 via the data network DN to the client CL forwarded and processed there.
Wie oben dargelegt, kann somit nach der Gewährung eines Zugriffs das entsprechende Experiment EX3 in dem Labor LA3 über den Benutzer NU basierend auf den beschriebenen Kommunikationsnachrichten CM1, CM2, CM3 und CM4 ferngesteuert werden, obwohl der Nutzer NU nicht zum Nutzerkreis der Einrichtung 1, sondern zum Nutzerkreis der Einrichtung 3 gehört.As explained above, after access has been granted, the corresponding experiment EX3 in the laboratory LA3 can be remotely controlled via the user NU based on the described communication messages CM1, CM2, CM3 and CM4, although the user NU is not part of the user group of the
Das im Vorangegangenen beschriebene Verfahren weist eine Reihe von Vorteilen auf. Insbesondere wird erstmalig die Möglichkeit geschaffen, dass ein Nutzerkreis, der nicht zu dem Nutzerkreis eines Verwaltungsrechners für entsprechende Experimente gehört, auf diese Experimente zugreifen kann. Dabei ist es nicht erforderlich, dass der originäre Nutzerkreis des Verwaltungsrechners erweitert wird. Vielmehr wird im Rahmen einer Berechtigungsüberprüfung ermittelt, ob Nutzer des anderen Nutzerkreises eine Zugriffsberechtigung auf die Experimente haben. Das erfindungsgemäße Verfahren ist somit skalierbar, d.h. es kann problemlos um neue Nutzer erweitert werden, ohne dass der originäre Nutzerkreis eines Verwaltungsrechners angepasst werden muss. Darüber hinaus wird die Fehlertoleranz bzw. Verfügbarkeit des Verfahrens durch die dezentrale Zugriffssteuerung erhöht. Fällt beispielsweise der Verwaltungsrechner einer Einrichtung aus, hat dies keinen Einfluss auf die Verwaltungsrechner einer anderen Einrichtung. Dadurch steigt insbesondere die Verfügbarkeit der Experimente für die Nutzerkreise, die nicht vom Ausfall des Verwaltungsrechners betroffen sind. Ferner bleibt die administrielle Autonomie der am Verfahren beteiligten Einrichtungen erhalten.The method described above has a number of advantages. In particular, the possibility is created for the first time that a group of users who are not part of the user group of an administration computer for corresponding experiments can access these experiments. It is not necessary that the original user group of the administration computer be expanded. Rather, an authorization check is used to determine whether users from the other user group have access authorization to the experiments. The method according to the invention is therefore scalable, i.e. it can easily be expanded to include new users without having to adapt the original user group of an administration computer. In addition, the fault tolerance and availability of the method is increased by the decentralized access control. For example, if the administration computer of one facility fails, this has no impact on the administration computers of another institution. This increases the availability of the experiments for those user groups who are not affected by the failure of the management computer. Furthermore, the administrative autonomy of the institutions involved in the process is retained.
ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDED IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of documents listed by the applicant was generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte PatentliteraturCited patent literature
- US 9741276 B2 [0003]US 9741276 B2 [0003]
- US 2016/0217700 A1 [0004]US 2016/0217700 A1 [0004]
Claims (10)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102022105373.3A DE102022105373A1 (en) | 2022-03-08 | 2022-03-08 | Method and system for the computer-aided management of a number of remotely controllable experiments |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102022105373.3A DE102022105373A1 (en) | 2022-03-08 | 2022-03-08 | Method and system for the computer-aided management of a number of remotely controllable experiments |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102022105373A1 true DE102022105373A1 (en) | 2023-09-14 |
Family
ID=87759883
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102022105373.3A Pending DE102022105373A1 (en) | 2022-03-08 | 2022-03-08 | Method and system for the computer-aided management of a number of remotely controllable experiments |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102022105373A1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE69029759T2 (en) | 1989-05-15 | 1997-07-17 | Ibm | Flexible interface for authentication services in a distributed data processing system |
US20160217700A1 (en) | 2013-09-24 | 2016-07-28 | Enable Training And Consulting, Inc. | Systems and methods for remote learning |
US9741276B2 (en) | 2014-06-26 | 2017-08-22 | Rohm Co., Ltd. | Electro-optical device, method of measuring characteristics of electro-optical device, and semiconductor chip |
-
2022
- 2022-03-08 DE DE102022105373.3A patent/DE102022105373A1/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE69029759T2 (en) | 1989-05-15 | 1997-07-17 | Ibm | Flexible interface for authentication services in a distributed data processing system |
US20160217700A1 (en) | 2013-09-24 | 2016-07-28 | Enable Training And Consulting, Inc. | Systems and methods for remote learning |
US9741276B2 (en) | 2014-06-26 | 2017-08-22 | Rohm Co., Ltd. | Electro-optical device, method of measuring characteristics of electro-optical device, and semiconductor chip |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE19960978B4 (en) | Method for controlling access to electronic data files stored in a data archive system | |
WO2001090855A1 (en) | Encryption of data to be stored in an information processing system | |
EP2772856B1 (en) | Method for performing tasks on a production computer system and data processing system | |
EP0868691B1 (en) | Process for access control to computer-controlled programs usable by several user units at the same time | |
EP3743844B1 (en) | Blockchain-based identity system | |
DE102013203101A1 (en) | Extend the attributes of a credential request | |
CH705781A1 (en) | User rights management and access control system with a time limit. | |
DE112017002794T5 (en) | METHOD AND DEVICE FOR ISSUING A CERTIFICATE OF AUTHORITY FOR AN INCIDENT AREA NETWORK | |
EP1722534A1 (en) | Attribute-based allocating of resources to security domains | |
WO2008022606A1 (en) | Method for authentication in an automation system | |
EP1164475A2 (en) | Method to install software in hardware | |
WO2018166942A1 (en) | Method for access control | |
DE102013203436A1 (en) | Generate a key to provide permission information | |
EP1528450A1 (en) | Method for identification, authentication and authorisation of user access to secured data | |
DE102014108162A1 (en) | Method for operating a field device by means of an operating device | |
DE102022105373A1 (en) | Method and system for the computer-aided management of a number of remotely controllable experiments | |
EP3376419B1 (en) | System and method for electronically signing a document | |
EP3358802B1 (en) | Method for securely providing a cryptographic key | |
WO2011147693A1 (en) | Method for providing edrm-protected (enterprise digital rights management) data objects | |
DE102013010171A1 (en) | Computer network, network nodes and method for providing certification information | |
EP3840321B1 (en) | Method and system for authenticating a mobile id using hash values | |
DE102017123671B4 (en) | System and procedure for managing personal data | |
EP4216489A1 (en) | Method for changing an actual access key in a field device used in automation technology | |
DE102021118591A1 (en) | METHOD, SYSTEM AND COMPUTER PROGRAM FOR ENCRYPTION, PROCESSING, TRANSMISSION, STORAGE AND TRACEABILITY OF THE ENCRYPTION OF PERSONAL DATA | |
EP3910900A1 (en) | Method, computer program product and computer readable medium for securing of data transmission between at least two devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication |