CN111406259A - 借助有轨车辆的数据处理系统提供数据技术功能的方法和系统 - Google Patents
借助有轨车辆的数据处理系统提供数据技术功能的方法和系统 Download PDFInfo
- Publication number
- CN111406259A CN111406259A CN201880076717.0A CN201880076717A CN111406259A CN 111406259 A CN111406259 A CN 111406259A CN 201880076717 A CN201880076717 A CN 201880076717A CN 111406259 A CN111406259 A CN 111406259A
- Authority
- CN
- China
- Prior art keywords
- authentication
- data
- user
- unit
- server unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R25/00—Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
Abstract
本发明涉及一种借助有轨车辆(2)的数据处理系统(8)提供数据技术功能的方法以及系统。为了与用户相关地且可变地提供数据技术功能,所述方法包括:基于认证过程,借助认证单元(24)产生(D)认证令牌,其中,所述认证令牌标识所述数据处理系统(8)的用户(14)的会话,以及基于所述认证令牌,借助所述数据处理系统(8)的服务器单元(10)提供(N)数据技术功能。
Description
技术领域
本发明涉及一种借助有轨车辆的数据处理系统来提供数据技术功能的方法以及系统。
背景技术
原则上已知,使有轨车辆中的数据处理系统的数据技术功能仅供特定用户或者用户组使用。例如,使用钥匙开关,以便根据钥匙开关的位置,来激活或者停用数据技术功能。仅具有合适(匹配)的钥匙的用户能够激活数据技术功能。
此外,已知为用户解锁数据处理系统的接口、例如诊断接口。在此,基于对用户的认证来进行解锁,其中,仅针对该接口的解锁设置认证。
发明内容
在这种背景下,本发明要解决的技术问题是,与用户相关地且可变地提供数据技术功能。
根据本发明,上述技术问题通过借助有轨车辆的数据处理系统提供数据技术功能的方法来解决。所述方法包括:基于认证过程,借助认证单元产生认证令牌,其中,认证令牌标识数据处理系统的用户的会话;以及基于认证令牌,借助数据处理系统的服务器单元提供数据技术功能。
本发明基于如下认识:由不同的用户调用车辆中的数据技术功能、诸如操作处理、信息的显示等。在此,期望以与用户相关或者特定于用户的方式,向不同的用户或者用户组提供数据技术功能。特定的数据技术功能应当仅能够由授权的用户或者用户组调用。
在从现有技术中已知的解决方案中,所提供的数据技术功能例如与钥匙开关位置耦合。仅向具有匹配的钥匙的用户,并且仅在钥匙开关占据被设置为用于解锁功能的位置期间,提供数据技术功能。
此外,已知的解决方案的特征在于,对于每一个数据技术功能,例如对诊断数据的访问,都需要自己的认证。因此,在对用户权限的管理方面,已知的解决方案是静态地实现的。
通过中央认证服务产生认证令牌,根据本发明的解决方案消除了这种问题。令牌标识数据处理系统的用户的会话。可以基于令牌来提供不同的数据技术功能。
这具有以下优点,即,能够以与用户相关或者特定于用户的方式提供数据技术功能。此外,在判断是否应当提供数据技术功能时,数据处理系统的多个不同的服务器单元可以使用认证令牌。以这种方式,使得能够基于唯一的认证过程,来向用户提供多个不同的数据技术功能。因此,通过根据本发明的方法,实现所谓的SSO方法(SSO:Single-Sign-On(单点登录))。
根据本发明的解决方案的另一个优点在于管理用户权限时的可变性。可以特别简单地通过以数据技术的方式访问认证单元,来改变用户权限,并且可以根据数据处理系统的操作者的希望,来调整用户权限。优选对认证单元的访问局限于属于数据处理系统和/或有轨车辆的操作者的用户。
作为根据本发明的方法的另一个优点,从中央认证得到安全性的提高,特别是针对数据处理系统和/或有轨车辆的环境对数据处理系统和/或有轨车辆的保护的增加(本领域技术人员称为安全性)。
有轨车辆优选被构造为轨道车辆。
数据处理系统优选包括通信系统,通信系统包括至少一个以太网以及以数据技术的方式连接到相应的以太网的不同的参与者(系统)。参与者可以经由相应的以太网进行通信(例如交换数据)。在具有多个以太网的通信网络中,这些以太网例如可以作为虚拟LAN(VLAN:Virtual Local Area Network(虚拟局域网)),在逻辑上彼此分离,以便将数据流彼此分离。通信网络优选包括运营商网络,其在物理上与轨道车辆的控制网络分离,并且可以以数据技术的方式与控制网络连接。本领域技术人员将术语“控制网络”理解为包括用于进行车辆控制的一个或多个部件(控制技术设备)的网络。除了一般的控制技术(例如驱动和制动技术)部件之外,用于向乘客和车上人员输出信息的系统、卫生间的自动化的运行、对轨道车辆和陆地侧之间的通信的管理等,也可以属于控制网络。这些部件以控制和通信技术的方式经由控制网络彼此连接。
以数据技术的方式连接到运营商网络的部件,例如可以是乘客信息系统(Fahrgastinformationssystem,FIS)和/或用于监视轨道车辆的内部和外部区域的照相机监视系统(CCTV:Closed Circuit Television(闭路电视))。FIS或者照相机监视系统的对应的部件以数据技术的方式经由运营商网络彼此连接。
优选将如下人员理解为用户:为了执行操作处理,而在车辆上对该人员进行了登录或者认证。用户可以与一个或多个用户组相关联。向相应的用户组提供特定的数据技术功能(或者,针对特定的数据技术功能,阻止该用户组)。因此,例如可以设置针对维护、清洁、车辆随从或者车辆引导的用户组。仅允许授权的用户组执行特定的用户处理。例如,仅为用户组“维护”设置(作为数据技术功能的示例的)诊断数据的调用。
本领域技术人员将术语“数据技术功能”理解为数据处理系统提供的所有功能。数据技术功能例如可以包括:借助用户接口操作以数据技术的方式连接到通信网络的部件。进一步地,数据技术功能例如可以包括:调用数据处理系统的数据。
认证单元优选被构造为具有认证服务的认证服务器。进一步优选认证服务包括远程认证拨入用户服务(Remote Authentication Dial-In User Service,RADIUS)。进一步优选认证服务器是有轨车辆的数据处理系统内部的中央服务器,经由以太网向通信网络的不同的参与者提供该中央服务器。认证服务器具有存储器,在存储器上存储有关于用户的数据、关于用户与一个用户组或多个用户组的关联的数据和/或关于对用户分配的用户权限的数据。
本领域技术人员优选将表述“基于认证令牌”理解为,认证令牌形成数据技术功能的提供的基础。因此,服务器单元例如可以在接收到认证令牌时,立即提供数据技术功能。替换地,服务器单元可以使用接收到的认证令牌,以便独立地或者借助数据处理系统的另外的部件,来确定要提供哪个数据技术功能。
按照根据本发明的方法的一个优选实施方式,认证过程包括:借助验证单元提供验证信息;以及基于验证信息,借助认证单元产生认证令牌。
认证过程特别是包括按照一般的语言习惯称为“用户登录”的方法步骤。
本领域技术人员优选将“基于验证信息,借助认证单元产生认证令牌”理解为,当对用户成功地进行了验证时,产生认证令牌。
本领域技术人员将术语“验证”理解为,借助验证单元检查用户的真实性。此外,本领域技术人员将术语“认证”理解为,通过认证单元证明真实性。在本领域技术人员的语言习惯上,经常将术语“认证”和“验证”共同理解为术语“认证”。
在该实施方式的一个优选扩展方案中,验证单元基于
-机械和/或电子钥匙,
-提供至少一个用户信息的标识介质,特别是智能卡,和/或
-由读取器采集的用户的生物测量特征的使用,来产生验证信息。
优选验证单元包括验证设备,在验证设备上,用户借助验证介质,例如借助钥匙、智能卡或者生物测量特征,来执行验证。验证设备例如可以包括:
-用于容纳钥匙的锁,
-用于容纳智能卡的智能卡读取器,
-用于(作为生物测量特征)读取用户的指纹的指纹读取器,和/或
-用于(作为生物测量特征)采集用户的面部的照相机单元。
本领域技术人员优选将术语“智能卡”理解为具有至少一个集成电路并且优选具有存储器、微处理器等的塑料卡。
电子钥匙优选可以由存储在用户的终端设备上的软件密钥材料形成。例如可以将软件密钥材料存储在作为用户的位于驾驶台的车辆驾驶员的智能电话上。可以借助蓝牙或者WLAN(WLAN:Wireless Local Area Network(无线局域网)),将软件密钥材料传输到车辆。
验证单元优选包括控制计算机,其以数据技术的方式连接到数据处理系统、特别是连接到以太网。控制计算机读取由认证设备产生的信息,基于这些信息产生验证信息,并且经由以太网将验证信息发送到认证单元。
验证信息到认证单元的传输优选以加密的方式进行。
按照根据本发明的方法的另一个优选实施方式,在会话结束时,认证令牌变为无效和/或被删除。由此,实现由认证令牌标识用户的会话。优选通过用户退出登录来触发会话的结束。附加地和/或替换地,也可以在经过预先给定的时间段时结束会话。其结果可能是,用户必须在使用数据处理系统期间重新登录。
在根据本发明的方法的另一个优选实施方式中,将认证令牌传输到用户接口,用户接口被构造为用于由用户调用功能。
用户接口可以将认证令牌用于不同的目的。例如,在接收到认证令牌之后,激活用户接口。替换地或者附加地,用户接口可以使用认证令牌来限制提供的功能。在此,用于用户接口的认证令牌的存在和/或设计,优选用作是否应当提供数据技术功能的判断标准。替换地或者附加地,可以借助用户接口,基于认证令牌,向服务器单元请求数据技术功能。
优选用户接口包括操作显示器。进一步优选操作显示器被构造为触摸屏显示器,在触摸屏显示器上提供诸如信息的显示和/或操作功能的数据技术功能。
优选认证令牌从认证单元出发被传输到用户接口。进一步优选借助用户接口的存储单元来存储认证令牌。为了使用户接口能够向用户提供由服务器单元提供的功能,用户接口以数据技术的方式(特别是经由通信网络)与服务器单元连接。
根据该实施方式的一个优选的扩展方案,在从用户接口向服务器单元发出的、对数据技术功能的请求中,将认证令牌附在请求上。
用户接口向服务器单元请求数据技术功能。服务器单元以中央的方式提供数据技术功能。服务器单元可以根据所附的认证令牌来检查请求。这防止通过操纵用户接口而使得能够对数据处理系统进行数据技术攻击。
优选服务器单元远离用户接口地布置。本领域技术人员将术语“远离”理解为,用户不能直接以机械方式访问服务器单元。为此,优选将服务器单元布置在轨道车辆的受保护的(用户不能接近的)区域中。
优选通过用户的操作处理来触发请求。
在另一个优选的扩展方案中,服务器单元借助认证单元检查对请求的授权。由此,基于令牌,实现对用户的授权的中央控制。在此,认证单元承担中央的角色。数据处理系统的不同的部件(例如服务器单元)可以从认证单元获得授权信息,并且必要时获得其它用户信息。仅当认证单元对认证令牌的检查成功时,服务器单元提供数据技术功能。
优选在会话内第一次进行请求时,借助认证单元对请求的授权进行检查。随后在会话内进行请求时,认证单元进行的检查不再成功。
在一个优选的扩展方案中,借助认证单元来对授权进行检查,方式是,认证单元从服务器单元接收认证令牌,对相关的授权进行检查,并且提供表示对用户授权的授权信息,。
以这种方式,能够实现基于令牌对用户的授权的中央控制。通过认证单元来检查令牌的有效性,并且附加地认证单元作为授权信息提供对用户的授权。优选认证单元将授权信息发送到服务器单元。服务器单元基于授权信息来提供数据技术功能。为此,将作为相应的功能的基础的数据传输到用户接口。
在根据本发明的方法的另一个优选实施方式中,依据授权信息,借助服务器单元提供数据技术功能。
更确切地说,由服务器单元发送到认证单元进行检查的认证令牌,形成提供数据技术功能的基础。根据该实施方式,服务器单元还可以根据授权信息来确定应当提供哪些数据技术功能。
按照根据本发明的方法的另一个优选实施方式,提供数据技术功能包括:借助服务器单元提供借助用户接口显示的信息。
例如,通过用户通过操作用户接口的触摸屏来询问信息,来触发借助用户接口对信息的显示。服务器单元根据请求(如果存在有效的认证令牌),来提供通过用户接口显示的信息。将这些信息传输到用于进行显示的用户接口,并且用户接口显示这些信息。
按照根据本发明的方法的另一个优选实施方式,提供数据技术功能包括:向数据处理系统的数据接口提供数据。优选由服务器单元提供数据并且传输到数据接口。
例如维护PC和/或诊断设备连接到数据接口。
数据接口优选包括USB转以太网桥,其在以太网和数据接口的USB连接端之间提供连接(USB:Universal Serial Bus(通用串行总线))。进一步优选数据接口包括用于对数据进行处理的计算单元和存储器。
该实施方式的一个优选的扩展方案包括:将存储单元以数据技术的方式连接到数据接口;借助数据接口向服务器单元请求数据;以及借助服务器单元提供数据。
优选存储单元包括USB数据存储器,USB数据存储器由用户随身携带,并且连接到数据接口的USB连接端。
进一步优选通过在连接服务器单元时,数据接口用信号通知存储单元连接到了数据接口,来进行请求。进一步优选根据请求,借助服务器单元提供数据,并且传输到数据接口。
优选在认证过程、特别是前面描述的类型的认证过程结束之后,向数据接口提供数据。优选将在认证过程中产生的认证令牌传输到数据接口,并且进一步优选由数据接口的存储器进行存储。进一步优选将认证令牌附在数据接口向服务器单元发出的请求上。
此外,在认证过程结束之后,将表示对用户授权的授权信息传输到服务器单元。
在将存储单元、特别是USB数据存储器连接到数据接口之后,数据接口的计算单元与服务器单元建立数据技术连接。为此,向服务器单元发出连接请求。服务器单元接受连接请求,并且根据授权信息确定应当提供哪个数据技术功能。例如,服务器单元根据授权信息确定应当为数据接口提供哪些数据。
本发明还涉及一种借助有轨车辆的数据处理系统提供数据技术功能的系统。所述系统包括:认证单元,认证单元被构造为用于基于认证过程产生认证令牌,其中,认证令牌标识数据处理系统的用户的会话;以及服务器单元,服务器单元被构造为用于基于认证令牌提供数据技术功能。
本发明还涉及一种计算机程序产品,计算机程序产品能够至少部分直接加载到服务器单元的存储器中,能够至少部分直接加载到认证单元的存储器中,并且包括软件代码片段,当产品在服务器单元的计算机和认证单元的计算机上运行时,利用软件代码片段能够执行前面描述的类型的方法。
本发明还涉及一种用于有轨车辆的数据处理系统的服务器单元,服务器单元被构造为用于基于认证令牌提供数据技术功能,认证令牌标识数据处理系统的用户的会话;并且从认证单元接收认证令牌,认证单元被构造为用于基于认证过程产生认证令牌。
关于根据本发明的系统、计算机程序产品和服务器单元的优点、实施方式和设计细节,可以参考前面关于对应的方法特征的描述。
附图说明
现在,根据附图来说明本发明的实施例。附图中:
图1示出了根据本发明的实施例的系统的示意性结构,
图2示出了根据本发明的认证过程的示意性流程图,
图3示出了根据本发明的第一实施例的方法的示意性流程图,以及
图4示出了根据本发明的第二实施例的方法的示意性流程图。
具体实施方式
图1以示意性的侧视图示出了车辆1,车辆1被构造为有轨车辆2。
有轨车辆2具有通信系统4,通信系统4至少包括以太网5、6和7。不同的参与者以数据技术的方式连接到以太网5、6和7,并且经由以太网5、6和7互连。通信系统4与以数据技术的方式连接的通信系统4的参与者一起,形成数据处理系统8。
服务器单元10以数据技术的方式连接到以太网7。服务器单元10提供多个不同的数据技术功能。例如,服务器单元10提供用于借助用户接口12进行显示的信息。
用户接口12被构造为具有触摸敏感的显示表面(所谓的触摸屏)的操作显示器13。可以借助操作显示器13向用户14提供数据处理系统8的功能。例如,可以向用户14显示信息,和/或用户14可以经由操作显示器13操作数据处理系统8的部件。服务器单元10和用户接口12以数据技术的方式经由以太网7彼此连接。
本发明从如下希望出发,即,基于用户授权向用户14提供数据技术功能。为了为用户的会话确定用户14的授权,执行认证过程。
图2示出了表示在认证过程的范围内执行的方法步骤的示意性流程图。
首先,用户14使用验证单元16在车辆1上登录。通过将为用户14个人分配的智能卡17插入智能卡读取设备18中,来进行登录(方法步骤A)。在插入之后,在方法步骤B中,向控制单元20传输验证信息。
替换地,通过将机械钥匙21插入机械锁22中,和/或通过读取生物测量特征、例如借助指纹读取器19读取指纹,来进行登录。
控制单元20以数据技术的方式连接到以太网5。在方法步骤C中,将验证信息传输到认证单元24。认证单元24被构造为具有认证服务、特别是远程认证拨入用户服务(RADIUS)的服务器25。服务器25在车辆1内部用作用于对用户进行认证的中央服务器或者服务。关于用户、用户与用户组的关联以及其授权的数据存储在服务器25上。特别是,经由以太网6以数据技术的方式与不同的参与者连接的服务器25用作SSO服务器(SSO:Single-Sign-On)。
如果与接收到的验证信息相关的用户数据存在于服务器25上,则在方法步骤D中,服务器25产生认证令牌。认证令牌标识用户14的会话。换句话说:在会话结束时,认证令牌失去其有效性和/或被删除。例如通过用户14的退出登录来触发会话的结束。
图3示出了表示在第一实施例的范围内执行的方法步骤的示意性流程图。
在方法步骤E中,经由以太网5、6、7向用户接口12传输认证令牌。用户接口12借助存储单元来存储认证令牌。
在操作用户接口12时,在方法步骤F中,用户14调用数据技术功能。例如,用户14通过操作用户接口12,作为数据技术功能来询问借助用户接口12对信息的显示。在用户14的该动作之后,在方法步骤G中,向服务器单元10发送对用户接口12的功能的请求。在方法步骤GG中,将认证令牌附在请求上,以传输到服务器单元10。
在另一个方法步骤H中,服务器单元10通过服务器单元10经由以太网6向认证单元24发送认证令牌,来检查对请求的授权。在方法步骤J中,认证单元24接收来自服务器单元10的认证令牌。在方法步骤K中,认证单元24检查相关的(与认证令牌相关联的)授权,并且在方法步骤L中提供表示对用户14授权的授权信息。
在方法步骤M中,将表示用户的登录数据和对用户的授权的授权信息,传输到服务器单元10。服务器单元10在方法步骤N中基于接收到的授权信息提供要显示的信息,并且将该要显示的信息传输到用户接口12。在方法步骤O中,借助用户接口12显示信息。
特别是在借助用户接口12第一次进行请求时,在会话内执行方法步骤H至L。一旦存在服务器单元10的授权信息,就可以在会话结束之前,根据授权信息提供这些数据技术功能。
图4示出了表示在第二实施例的范围内执行的方法步骤的示意性流程图。
在根据参考图2描述的方法步骤执行认证过程之后,可以(经由以太网5、6、7)将在认证过程中产生的认证令牌传输到数据接口32,并且由数据接口的存储器进行存储。
特别是在执行认证过程之后,认证单元24经由以太网6将用户14的授权信息传输到服务器单元10(方法步骤P)。
在方法步骤Q中,用户14将USB存储器31形式的存储单元30连接到数据接口32。例如通过将USB存储器31插入数据接口32中来进行连接。在将存储单元30连接到数据接口32之后,数据接口的计算单元与服务器单元10建立数据技术连接。为此,向服务器单元10发出连接请求。服务器单元10接受连接请求。
在方法步骤R中,数据接口32向服务器单元10请求被设置为存储在存储单元30上的数据。数据接口32包括USB转以太网桥,其在以太网7和数据接口的USB连接端之间提供连接(USB:Universal Serial Bus)。通过在将数据接口32连接Q到服务器单元10时用信号通知连接了USB存储器31,来进行请求R。
服务器单元10检查哪些数据被设置为用于存储在USB存储器31上。依据授权信息,服务器单元10在方法步骤S中提供数据。例如,服务器单元10根据授权信息来确定为数据接口提供哪些数据。在方法步骤T中,经由以太网7将所提供的数据传输到数据接口32,以便存储在存储单元30上。
Claims (15)
1.一种借助有轨车辆(2)的数据处理系统(8)提供数据技术功能的方法,所述方法包括:
-基于认证过程,借助认证单元(24)产生(D)认证令牌,其中,所述认证令牌标识所述数据处理系统(8)的用户(14)的会话,以及
-基于所述认证令牌,借助所述数据处理系统(8)的服务器单元(10)提供(N)数据技术功能。
2.根据权利要求1所述的方法,其中,所述认证过程包括:
借助验证单元(16)提供(C)验证信息,以及
基于所述验证信息,借助所述认证单元(24)产生(D)所述认证令牌。
3.根据权利要求2所述的方法,
其中,所述验证单元(16)基于如下验证介质的使用来产生所述验证信息:
-机械和/或电子钥匙(21),
-提供至少一个用户信息的标识介质,特别是智能卡(17),和/或
-由读取器(19)采集的所述用户(14)的生物测量特征。
4.根据前述权利要求中至少一项所述的方法,
其中,在所述会话结束时,所述认证令牌变为无效和/或被删除。
5.根据前述权利要求中至少一项所述的方法,
其中,将所述认证令牌传输(E)到用户接口(12),所述用户接口被构造为用于由所述用户(14)调用(F)功能。
6.根据权利要求5所述的方法,
其中,在从所述用户接口(12)向所述服务器单元(10)发出的、对数据技术功能的请求(F,G)中,将所述认证令牌附在所述请求上(GG)。
7.根据权利要求6所述的方法,
其中,所述服务器单元(10)借助所述认证单元(24)检查(H)对所述请求的授权。
8.根据权利要求7所述的方法,其中,
-所述认证单元(24)从所述服务器单元(10)接收(J)所述认证令牌,
-检查(K)相关的授权,并且
-提供(L)表示对所述用户(14)的授权的授权信息。
9.根据权利要求8所述的方法,
其中,依据所述授权信息,借助所述服务器单元(10)提供数据技术功能。
10.根据权利要求5至9中至少一项所述的方法,
其中,提供数据技术功能包括:借助所述服务器单元(10)提供借助所述用户接口(12)显示(O)的信息。
11.根据前述权利要求中至少一项所述的方法,
其中,提供数据技术功能包括:向所述数据处理系统(8)的数据接口(32)提供数据。
12.根据权利要求11所述的方法,所述方法包括:
将存储单元(30)以数据技术的方式连接(Q)到所述数据接口(32),
借助所述数据接口(32)向所述服务器单元(10)请求(R)数据,以及
基于所述认证令牌,借助所述服务器单元(10)提供(S,T)数据。
13.一种借助有轨车辆的数据处理系统(8)提供数据技术功能的系统,所述系统包括:
-认证单元(24),所述认证单元被构造为,基于认证过程产生认证令牌,其中,所述认证令牌标识所述数据处理系统(8)的用户(14)的会话,以及
-服务器单元(10),所述服务器单元被构造为,基于所述认证令牌提供数据技术功能。
14.一种计算机程序产品,所述计算机程序产品
-能够至少部分直接加载到服务器单元(10)的存储器中,
-能够至少部分直接加载到认证单元(24)的存储器中,并且
-包括软件代码片段,当所述产品在所述服务器单元(10)的计算机和所述认证单元(24)的计算机上运行时,利用所述软件代码片段能够执行根据权利要求1至12所述的方法。
15.一种用于有轨车辆(2)的数据处理系统(8)的服务器单元(10),所述服务器单元被构造为,
-基于认证令牌提供数据技术功能,所述认证令牌标识所述数据处理系统(8)的用户(14)的会话,并且
-从认证单元(24)接收所述认证令牌,所述认证单元被构造为,基于认证过程产生所述认证令牌。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102017221300.0 | 2017-11-28 | ||
DE102017221300.0A DE102017221300A1 (de) | 2017-11-28 | 2017-11-28 | Verfahren und System zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbeitungssystems eines spurgebundenen Fahrzeugs |
PCT/EP2018/079528 WO2019105666A1 (de) | 2017-11-28 | 2018-10-29 | Verfahren und system zum bereitstellen einer datentechnischen funktion mittels eines datenverarbeitungssystems eines spurgebundenen fahrzeugs |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111406259A true CN111406259A (zh) | 2020-07-10 |
Family
ID=64270826
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880076717.0A Pending CN111406259A (zh) | 2017-11-28 | 2018-10-29 | 借助有轨车辆的数据处理系统提供数据技术功能的方法和系统 |
Country Status (5)
Country | Link |
---|---|
EP (1) | EP3692457A1 (zh) |
CN (1) | CN111406259A (zh) |
DE (1) | DE102017221300A1 (zh) |
RU (1) | RU2748111C1 (zh) |
WO (1) | WO2019105666A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115085964A (zh) * | 2021-03-16 | 2022-09-20 | 西门子股份公司 | 在自动化设施的通信网络中对设备的认证 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050269401A1 (en) * | 2004-06-03 | 2005-12-08 | Tyfone, Inc. | System and method for securing financial transactions |
AU2006331310A1 (en) * | 2005-12-29 | 2007-07-05 | Axsionics Ag | Security token and method for authentication of a user with the security token |
DE102012218943A1 (de) * | 2012-10-17 | 2014-04-17 | Bundesdruckerei Gmbh | Verfahren zur Initialisierung von Datenbankmitteln |
DE102014119241A1 (de) * | 2014-12-19 | 2016-06-23 | Knorr-Bremse Systeme für Schienenfahrzeuge GmbH | Verfahren zur Authentifizierung an einer Steuereinheit eines Subsystems eines Schienenfahrzeugs |
WO2017004373A1 (en) * | 2015-07-02 | 2017-01-05 | Convida Wireless, Llc | Resource-driven dynamic authorization framework |
WO2017016252A1 (zh) * | 2015-07-24 | 2017-02-02 | 华为技术有限公司 | 令牌生成并认证的方法及认证服务器 |
US20170163636A1 (en) * | 2015-12-08 | 2017-06-08 | Canon Kabushiki Kaisha | Authorization server, authentication cooperation system, and storage medium storing program |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AU2007203701A1 (en) * | 2007-08-08 | 2009-02-26 | Red Crater Global Ltd | Security control over computer access in restricted area |
US8689292B2 (en) * | 2008-04-21 | 2014-04-01 | Api Technologies Corp. | Method and systems for dynamically providing communities of interest on an end user workstation |
DE102008042262B4 (de) * | 2008-09-22 | 2010-05-27 | Bundesdruckerei Gmbh | Verfahren zur Speicherung von Daten, Computerprogrammprodukt, ID-Token und Computersystem |
US8984588B2 (en) * | 2010-02-19 | 2015-03-17 | Nokia Corporation | Method and apparatus for identity federation gateway |
US9734321B2 (en) * | 2011-12-12 | 2017-08-15 | Nokia Technologies Oy | Method and apparatus for providing federated service accounts |
US8966268B2 (en) * | 2011-12-30 | 2015-02-24 | Vasco Data Security, Inc. | Strong authentication token with visual output of PKI signatures |
US9742767B1 (en) * | 2014-09-25 | 2017-08-22 | Google Inc. | Systems, methods, and media for authenticating multiple devices |
US9619638B2 (en) * | 2015-08-25 | 2017-04-11 | International Business Machines Corporation | Vehicle operations based on biometric fingerprint analysis |
-
2017
- 2017-11-28 DE DE102017221300.0A patent/DE102017221300A1/de active Pending
-
2018
- 2018-10-29 WO PCT/EP2018/079528 patent/WO2019105666A1/de unknown
- 2018-10-29 EP EP18800531.8A patent/EP3692457A1/de active Pending
- 2018-10-29 CN CN201880076717.0A patent/CN111406259A/zh active Pending
- 2018-10-29 RU RU2020116390A patent/RU2748111C1/ru active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050269401A1 (en) * | 2004-06-03 | 2005-12-08 | Tyfone, Inc. | System and method for securing financial transactions |
AU2006331310A1 (en) * | 2005-12-29 | 2007-07-05 | Axsionics Ag | Security token and method for authentication of a user with the security token |
DE102012218943A1 (de) * | 2012-10-17 | 2014-04-17 | Bundesdruckerei Gmbh | Verfahren zur Initialisierung von Datenbankmitteln |
DE102014119241A1 (de) * | 2014-12-19 | 2016-06-23 | Knorr-Bremse Systeme für Schienenfahrzeuge GmbH | Verfahren zur Authentifizierung an einer Steuereinheit eines Subsystems eines Schienenfahrzeugs |
WO2017004373A1 (en) * | 2015-07-02 | 2017-01-05 | Convida Wireless, Llc | Resource-driven dynamic authorization framework |
WO2017016252A1 (zh) * | 2015-07-24 | 2017-02-02 | 华为技术有限公司 | 令牌生成并认证的方法及认证服务器 |
US20170163636A1 (en) * | 2015-12-08 | 2017-06-08 | Canon Kabushiki Kaisha | Authorization server, authentication cooperation system, and storage medium storing program |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115085964A (zh) * | 2021-03-16 | 2022-09-20 | 西门子股份公司 | 在自动化设施的通信网络中对设备的认证 |
CN115085964B (zh) * | 2021-03-16 | 2023-11-03 | 西门子股份公司 | 在自动化设施的通信网络中对设备的认证 |
Also Published As
Publication number | Publication date |
---|---|
EP3692457A1 (de) | 2020-08-12 |
DE102017221300A1 (de) | 2019-05-29 |
RU2748111C1 (ru) | 2021-05-19 |
WO2019105666A1 (de) | 2019-06-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7079805B2 (ja) | 期限付セキュアアクセス | |
JP6758525B2 (ja) | 汎用入退管理装置 | |
AU2016273888B2 (en) | Controlling physical access to secure areas via client devices in a networked environment | |
JP6937764B2 (ja) | 物理空間へのアクセスを制御するためのシステムおよび方法 | |
EP3005211B1 (en) | Resource management based on biometric data | |
KR101425464B1 (ko) | 승객 수송장치 제어 시스템에 대한 접근 제어 시스템 및 접근 제어 방법 | |
JP6378773B2 (ja) | 物理的にセキュアなラックへのアクセス方法及びコンピュータネットワークインフラストラクチャ | |
CN111903104A (zh) | 用于执行用户认证的方法及系统 | |
US20170257378A1 (en) | Method for operating a field device | |
CN109074693B (zh) | 用于访问控制系统的虚拟面板 | |
CN109067881B (zh) | 远程授权方法及其装置、设备和存储介质 | |
GB2516939A (en) | Access authorisation system and secure data communications system | |
CN103902871A (zh) | 采用虹膜识别实现云计算的用户身份认证方法 | |
US7950063B2 (en) | Diagnosis system with identification display device | |
US10169612B2 (en) | Method for executing a safety-critical function of a computing unit in a cyber-physical system | |
CN104462172A (zh) | 由分布式系统中的装置执行的方法及在分布式系统中的装置 | |
CN111406259A (zh) | 借助有轨车辆的数据处理系统提供数据技术功能的方法和系统 | |
CN107077666B (zh) | 用于对自助系统处的动作进行授权的方法和装置 | |
WO2022096870A1 (en) | Augmented access control system | |
JP2007241550A (ja) | 印刷機管理装置及び印刷機 | |
KR20140076275A (ko) | 클라우드 컴퓨팅 환경에서의 스마트 시스템 보안 방법 | |
KR101830129B1 (ko) | 앱내 채널링 인증방법 및 그 시스템 | |
KR102169770B1 (ko) | 생체인식 보안 설정 및 해제 방법, 및 이를 채용한 생체인식 보안 디바이스 | |
TR2023010333A2 (tr) | Araçlarin beyni̇ni̇ si̇ber saldirilardan koruyan bi̇r si̇ber güvenli̇k si̇stemi̇ | |
DE102019109343A1 (de) | Verfahren und Vorrichtung zur Übertragung digitaler Daten |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |