CN116746134A - 用户设备上第三组件与云中服务组件间通信的方法和实现该方法的网络布置 - Google Patents
用户设备上第三组件与云中服务组件间通信的方法和实现该方法的网络布置 Download PDFInfo
- Publication number
- CN116746134A CN116746134A CN202180092078.9A CN202180092078A CN116746134A CN 116746134 A CN116746134 A CN 116746134A CN 202180092078 A CN202180092078 A CN 202180092078A CN 116746134 A CN116746134 A CN 116746134A
- Authority
- CN
- China
- Prior art keywords
- component
- data
- cloud
- service
- device management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000004891 communication Methods 0.000 title claims abstract description 21
- 238000004806 packaging method and process Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 9
- 230000005540 biological transmission Effects 0.000 claims description 7
- 238000009434 installation Methods 0.000 claims description 5
- 238000003860 storage Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 description 52
- 230000008569 process Effects 0.000 description 20
- 238000009826 distribution Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 8
- 238000012800 visualization Methods 0.000 description 8
- 230000009286 beneficial effect Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 230000006837 decompression Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012856 packing Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/53—Network services using third party service providers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Transfer Between Computers (AREA)
Abstract
一种用于用户设备2上的第三组件4与云3中的服务组件10之间的通信的方法,其中,该服务组件10使用数据ID 13进行签名,其中,第三组件4提供组件数据20,其中,使用数据ID 13标识组件数据20,以便产生经标识的组件数据21,其中,将所述经标识的组件数据21传输到云3中,其中,将所述经标识的组件数据21配属于具有数据ID 13的服务组件10。
Description
技术领域
本发明涉及一种具有权利要求1的特征的方法以及一种具有权利要求11的特征的网络布置、一种具有权利要求12的特征的计算机程序和一种机器可读的存储介质。
背景技术
为分发应用程序时,常常青睐云解决方案,其中,通过供应商在云、例如GooglePlay Store中分发这些应用程序。在分发后,这些应用程序在很大程度上独立于供应商,并且利用由这些应用程序提供的通信伙伴。
文献DE 10 2018 219 067 A1——其可能构成最接近的现有技术——描述了用于在本地创建具有用于多个服务的个人相关的用户数据的数据页的一种系统和一种方法,这些服务能够被用户访问并且在多个服务器上被提供。
发明内容
在本发明的范畴内,提出一种具有权利要求1的特征的方法、一种具有权利要求11的特征的网络布置、一种具有权利要求12的特征的计算机程序以及一种具有权利要求13的特征的机器可读的存储介质。本发明的优选的或有利的实施方式由从属权利要求、以下描述以及所附示图得出。
本发明的主题是一种用于用户设备上的第三组件与云中的服务组件之间的通信的方法。
特别是,用户设备理解为UE——User Equipment(用户设备)。该用户设备特别是可以构造为移动电话、平板电脑、计算机,但也可以构造为车辆、制造机械(Fertigungsmaschine)、工作机械(Arbeitsmaschine)、机器人等。因此,用户设备特别是理解为使得能够实现第三组件的运行的所有终端设备。
第三组件理解为能够在用户设备上运行的应用软件、应用程序、软件、计算机程序和/或应用程序。
云特别是理解为例如通过互联网使其可用的IT基础架构。特别是,云构造为计算机网络。特别是,云可以提供不同的服务模式,尤其是提供基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)和/或功能即服务(FaaS)。
在云中,通过服务组件提供至少一个服务。该服务可以表示处理。处理的最简单的示例是数据的转发。替代或补充地,设置云处理组件的不同类型作为服务组件,这些不同的类型实现所述至少一个服务。例如,这包括用于可视化的云处理服务、用于转发的云处理服务或用于汇总数据的云处理服务。服务组件理解为能够在云中运行的应用软件、应用程序、软件、计算机程序和/或应用程序。
该方法使得能够实现在用户设备上的第三组件与云中的服务组件之间的通信、特别是数据交换。在此,通信可以仅单向地、特别是从第三组件到服务组件,或者双向地进行,从而从第三组件到服务组件发送数据并且从服务组件到第三组件发送数据。这些数据可以任意地构型,并且特别是也包括图像、视频、声学信息、消息——特别是控制消息。
服务组件配备有数据ID,该数据ID与所述服务组件一起被签名。特别是,该签名通过证书(Zertifikat)进行。特别是,该证书构造为加密的和/或数字的证书,该加密的和/或数字的证书具有公开的部分和私有的部分、特别是公钥和私钥。
使用证书的该签名特别是通过该证书的私有的部分进行,并且能够通过该证书的公开的部分进行检查。该公开的部分例如保存在认证机构(Zertifizierungsstelle)处。
第三组件提供组件数据。例如,第三组件可以通过用户设备对输入信号和/或输入数据进行记录、处理和作为组件数据进行提供。设置,使用数据ID标识所述组件数据,以便产生经标识的组件数据。特别是,组件数据与数据ID数据技术连接。将经标识的组件数据,包括组件数据和数据ID,特别是通过端点,传输到云中。
设置,在云中,将所述经标识的组件数据配属于具有该数据ID的服务组件。
特别是,在云中,将所述经标识的组件数据转发至具有该数据ID的服务组件,该数据ID处于所述经标识的组件数据中。
在此,本发明的一个构思是,通过使用数据ID的、数据的标识可以实现在云中的配属和使用服务组件的匹配的处理,所述服务组件使用数据ID进行签名。因此可以实现唯一明确地将数据、特别是组件数据配属于服务组件。
通过该方法方式,网络布置能够处理任意数据,而不必注意兼容的或标准化的数据类型。本发明的一个特别的优点是,数据的处理能够独立于与其他的组件或标准的兼容性进行。在此,用户设备处理与云处理之间的关系可以不同地构型。其可以是简单的转发。但也例如可考虑压缩/解压或分析和可视化。例如,作为服务的、云中的服务组件也可以例如是作为数据仪表板的一部分的、专门的应用程序数据和/或组件数据的可视化,该数据仪表板可以显示来自相同的用户设备或来自多个用户设备的多个第三组件的数据。
在本发明的一种优选扩展方案中,第三组件使用组件ID进行签名。特别是,该签名通过该证书或另外的证书进行。特别是,该证书构造为加密的和/或数字的证书,该加密的和/或数字的证书具有公开的部分和私有的部分、特别是公钥和私钥。
使用组件ID的签名特别是通过证书的私有的部分进行,并且能够通过该证书的公开的部分进行检查。该公开的部分例如保存在认证机构处。组件ID可以具有不同的签名数据。
在本发明的一种优选实现中,用户设备具有设备管理组件。所述设备管理组件也可以称为设备管理器(Device Manager或)。设置,所述设备管理组件与云中的设备管理服务器通信。该设备管理服务器也可以称为设备服务器(Device Server)。优选设置,将所述经标识的组件数据通过设备管理组件和设备管理服务器引导至云中的服务组件。
在本发明的一种优选构型中,经标识的组件数据的数据传输通过设备管理组件和设备管理服务器通过唯一的连接进行。特别是,设备管理服务器提供端点,其中,设备管理组件特别是仅仅使用该端点进行通信。该连接尤其优选构造为受保护的连接。例如,该连接构造为VPN连接。通过该构型实现,仅必须保持到云中到设备管理服务器的单个的、特别是受保护的连接,通过该连接可以实现组件数据的传输。因此描述一种网络布置,在该网络布置中,用户设备可以通过到云和/或外界的多个、优选唯一的连接来运行。这使得能够实现准确地检验用户设备的通信并简化用于设定防火墙规则的耗费。
这种连接允许控制组件数据的和另外的数据的流,特别是在吞吐量(Durchsatz)、开销(Overhead)和延迟(Latenz)方面。这在企业环境中尤其有利,如果多个不受控制的连接将可能导致在IT安全性方面的顾虑。特别是,第三组件现在不是直接地,而是通过设备管理组件将组件数据给出到云中。在此,设备管理组件能够控制组件数据、尤其在数据量和延迟方面。例如,设备管理组件可以以延迟为代价地打包多个数据,以便减少开销。这种控制尤其是也可以根据为用户设备获得的许可证(Lizenz)发生,从而在存在基本许可证的情况下做出有益于减少开销的决策,而在存在扩展许可证的情况下则做出有益于减少延迟的决策。
在本发明的一种可能的扩展方案中,服务组件通过设备管理服务器和设备管理组件向第三组件发送控制消息。特别是使用与在经标识的组件数据的传输的情况下相同的、优选受保护的连接。
还特别优选,通过设备管理服务器和设备管理组件以安装和/或更新为目的将第三组件传输到用户设备上。特别优选将第三组件与数据ID一起进行传输。
因此,在一种特别优选的形态(Konstellation)中,所述经标识的组件数据、控制消息和第三组件通过相同的、特别是受保护的连接进行传输用于安装和/或更新。使用该架构确保了这些数据的传输在IT安全性方面以简单的方式得到保护。通过利用数据ID还确保了将组件数据配属于对应的服务组件,从而也以这种方式提高IT安全性:将组件数据和另外的数据转发到正确的接收者。
在本发明的一种可能的构型中,服务组件与第三组件使用相同的证书和/或使用来自相同的开发者的证书进行签名。数据ID优选包括组件ID作为信息,从而得出在第三组件、服务组件和组件数据之间的严格的而因此可靠的配属。
在本发明的一种替代构型中,通过第一证书对服务组件进行签名,并且通过第二证书对第三组件进行签名。特别优选,通过打包证书对经签名的服务组件连同经签名的第三组件一起进行签名。在该构型中,数据ID到服务组件的配属仅仅能够通过打包证书签名进行。通过这种签名架构使得能够实现通过不同的证书对第三组件和服务组件进行签名,并且通过打包证书进行组合(Zusammenführung)。也可以实现,将已经存在的并且必要时经通过外部证书签名的服务组件与打包证书纳入该方法中。该外部证书源自其他开发者。
附图说明
本发明的另外的特征、优点和效果从优选实施例的以下描述以及所附示图中得出。示出:
图1在示意性方框图中示出用于实施用于通信的方法的网络布置的本发明的第一实施例;
图2在示意性方框图中示出用于实施用于通信的方法的网络布置的本发明的第二实施例;
图3在示意性方框图中示出用于实施用于通信的方法的网络布置的本发明的第三实施例;
图4在示意性方框图中示出用于实施用于通信的方法的网络布置的本发明的第四实施例;
图5在示意性方框图中示出用于实施用于通信的方法的网络布置的本发明的第五实施例;
图6在示意性方框图中示出用于实施用于通信的方法的网络布置的本发明的第六实施例;
图7在示意性方框图中示出用于实施用于通信的方法的网络布置的本发明的第七实施例。
具体实施方式
在附图中使用相同的参考标记示出和描述相同的或彼此相应的组件。
图1在示意性方框图中示出网络布置1作为本发明的一个实施例。网络布置1具有用户设备2以及云3中的模块。
用户设备2构造为终端,例如手机但或也构造为任意其他的终端设备。其可以通过相应的接口记录输入信号19,例如图像、视频序列、声序列、传感器测量值亦或输入数据。
用户设备2具有第三组件4,其中,第三组件4构造为计算机程序,特别是构造为应用程序。第三组件4可以源自用户设备2的操作系统的制造商或源自其他供应商。第三组件4优选数字化地记录输入信号19,并将这些输入信号转换成组件数据20作为第三组件4的输出数据。
用户设备2具有设备管理组件5,其中,设备管理组件5也可以称为设备管理器(Device Manager或)。组件数据20通过设备管理组件5通过连接6传输到云3中。连接6可以构造为受保护的连接、特别是VPN信道。
在云3中设置有设备管理服务器7和服务模块8以及组件分发模块9作为模块。这些模块可以作为软件模块和/或作为硬件模块集中地或分散地布置在云3中。服务模块8具有服务组件10,其中,服务组件10构造为计算机程序、特别是应用程序。
组件分发模块9用于向用户设备2分发第三组件4并且向服务模块8分发服务组件10。首先将第三组件4提供给设备管理服务器7,通过设备管理服务器7将第三组件4或其更新通过连接6提供给用户设备2。
例如,配属有用户设备2的不同技术配备的第三组件4或其多个变型通过证书11使用组件ID 12进行签名S。在图1中的实施例中,服务组件10通过相同的证书11使用数据ID13进行签名S。
用户设备2使用数据ID标识第三组件4的组件数据20,从而产生经标识的组件数据21。使用数据ID的标识可以通过第三组件4或者如图1所示的那样通过设备管理组件5进行。通过连接6,将经标识的组件数据21从设备管理组件5引导至云3中至设备管理服务器7,并且随后引导至具有服务组件10的服务模块8,该服务组件具有经标识的组件数据的数据ID。使用该架构实现,第三组件4的分发和经标识的组件数据的提供通过相同的连接6进行。通过使用数据ID标识组件数据实现,经标识的组件数据21或组件数据20在云中被转发至具有带有相同数据ID的相应的服务组件10的服务模块8,从而确定性地确保组件数据20到服务组件10的配属。
由现有技术已知用于设备(应用程序)的第三组件4和基本的软件模块和分发机制(例如Docker镜像、OSGI打包)。此外,由Android“App Bundles(应用程序打包)”已知,哪些是软件组件的经签名的打包,仅这些软件组件打包中的子集必须被安装在设备上,其中,该子集由设备的特性得出,在该设备上安装所述软件。最后,由Android已知概念Multi-APK,在该概念中,基本上多个应用程序可用,但仅安装应用程序的已由开发者针对相应的设备优化的那些版本。
第三组件由软件开发者编写,并且然后借助证书进行签名。在此当然,仅该软件开发者自身已知密钥。该证书的公开的部分在用于应用程序的分发/经销的服务中被保存,由此能够确认该软件的来源。现在,设备通过云中的端点与该分发服务通信,通过该分发服务将应用程序安装在设备上(例如Google Play Store)。应用程序发送的数据通常通过单独的服务器来发送(例如WhatsApp)。
然而,对于一些系统来说,与任意端点的通信具有更大的困难,因为与任意端点的通信出于安全原因是非期望的。
图1示出一种仅部分地由现有技术已知的系统。用户设备2上的设备管理组件5将该用户设备与云3中的设备管理服务器7连接。设备管理服务器7与用于分发和管理第三组件4的系统——组件分发模块8——连接。开发者现在可以为用户设备2开发第三组件4并将这些第三组件提供给云3中的设备管理组件(组件分发模块8)。为了辨识开发者,使用特别是加密的证书11,由该证书使管理组件(组件分发模块8)的公开的部分在首次登录过程中变得已知。用户设备2的所有者现在可以通过云3获取第三组件4并使其安装在用户设备2上。该安装通过设备管理服务器7进行指挥。视设备类型或在用户设备2上可用的功能性而定,在此可以使用第三组件4的多个可能的变型。
该原则的已知实现是来自苹果和谷歌的生态系统,具有针对iOS的AppStore或针对Android的PlayStore。在这些系统中,第三组件4中的每个第三组件通常自身负责进行通信,并与自己的服务器通信,如从多个可用的信使(Messenger)可看出的那样。
在这些附图中的实施例涉及用户设备2,其中,第三组件4可以事后进行安装,并且该用户设备可能地在受保护的环境中使用。用户设备2检测和处理输入数据和/或输入信号19并将所述输入数据和/或输入信号作为组件数据20或21发送到云3。在此,应优选使用至云3中的唯一的连接6。这使得能够实现更准确地检验用户设备2的通信,并简化用于设定防火墙规则的耗费。一个构思是通过开发者在云3中标识服务组件10,标识通过第三组件4在用户设备2上产生的组件数据20,以及借助于加密的签名S将两个组件打包。通过使用数据ID来标识组件数据以实现成经标识的组件数据21,可以实现组件数据20在云3中的配属,和通过具有相同的数据ID的服务组件4的匹配的处理。
通过该方法方式,网络布置1能够在不必依赖兼容的或标准化的数据类型的情况下处理任意数据。在此仅需要保持至少一个或恰好一个至云3中(至设备管理服务器7)的单个(受保护的)连接6,通过该连接现在也可以实现组件数据的传输。该连接允许控制数据流,尤其在吞吐量、开销和延迟方面。这在企业环境中尤其有利,如果多个、不受控制的连接将可能导致在IT安全性方面的顾虑。
一个特别的优点是,组件数据20的处理能够独立于与其他的组件或标准的兼容性进行,因为组件数据20配属于相应的、兼容的服务组件10。在此,用户设备处理与云处理之间的关系可以不同地构型。其可以是简单的转发。但也例如可考虑压缩/解压或分析和可视化。云3中的服务组件10例如也可以是专门的组件数据的可视化作为数据仪表板的一部分,该数据仪表板可以显示来自多个第三组件4的数据。
描述了网络布置1,在该网络布置中,用户设备2应通过至外界中的尽可能少的连接6,优选通过唯一的连接6运行。这使得能够实现更准确地检验用户设备2的通信,并简化用于设定防火墙规则的耗费。在用户设备2上有一个或多个应用程序作为第三组件4,这些应用程序处理输入信号和/或输入信号19、例如视频信号或用户输入。这些应用程序产生呈数字化的数据形式的输出信号作为组件数据20。
现在这些应用程序不是直接地,而是通过作为设备管理组件5的设备管理器将数据给出到云3中。该设备管理器在此能够控制所述数据,特别是在数据量和延迟方面。例如,该设备管理器可以以延迟为代价地打包多个数据,以便减少开销。这种控制尤其是也可以根据为用户设备获得的许可证发生,从而在存在基本许可证的情况下做出有益于减少开销的决策,而在存在扩展许可证的情况下则做出有益于减少延迟的决策。为了在云3中配属和进一步进行处理组件数据20,应用程序、即第三组件4或设备管理组件5使用数据ID标记组件数据20,所述数据ID通过接收机构在云3中进行分析处理。
现在,该开发者或另外的开发者为云3创建处理组件作为服务组件10,这些处理组件使用其证书11进行签名并将其提供给云3。确定并且标识这些处理组件用于处理数据ID。通过该数据ID,云3现在能够进行针对处理组件数据20的专门的处理,其方式是,借助处理组件来处理组件数据20。因此,使得能够实现借助数据ID的通过设备管理服务器7向作为云3中的具有服务组件10的服务模块8的正确的处理单元的转发。
到达云3中后,组件数据被提供到进行处理的实例(Instanz),该实例根据数据ID决策对于组件数据20实施哪些服务组件10。因此,这些服务组件10如应用程序那样由开发者编程,并且相应地设置具有带有数据ID的加密的签名。要注意的是,用户设备2上的应用程序也可以产生分别具有唯一明确的数据ID的不同的组件数据20。
通过服务组件10的处理的最简单的示例是组件数据20的简单的转发,如这在图2中所示出的那样。在此,组件数据从具有带有相应的数据ID的服务组件10的服务模块8转发至可预给定的服务器14。
可以实现,支持不同类型的服务组件10和/或服务模块8,例如用于可视化的云处理模块、用于转发的云处理模块或用于汇总的云处理模块。也可以实现,云处理模块又使用设备管理服务器7,以便将控制消息2送达到第三组件,如在图3中示例性地示出的那样。特别是为控制消息2利用连接6,从而继续仅使用唯一的连接6。控制消息由服务组件10发送并且使用组件ID 12进行标识。通过设备管理服务器7将控制消息发送到用户设备2。在此,一方面,组件ID 12可以确保送达至期望的用户设备、特别是至具有相同的组件ID的期望的第三组件。另一方面,组件ID 12可以对控制消息进行标识而因此进行保护。
数据ID是核心元素,因为该数据ID将用户设备2上的处理与云3中的处理耦合。同样可以实现,在处理前首先将组件数据20存储在数据库中。这在云处理是可视化时尤其有益。
数据ID优选是由基本数据类型、组件ID、专门化(Spezialisierung)和/或版本号组成的分级的(hierarchische)结构。基本数据类型允许选择数据库中的适合的保管。组件ID允许至第三组件4的配属,专门化允许第三组件4区分专门的数据,最后,版本号允许后期的处理,该处理在当数据存储在数据库中时特别有益。
设备管理组件5优选检查(或添加)数据ID中的组件ID,以便避免第三组件4这样设置数据ID,使得通过其他云处理组件、特别是服务组件10进行非期望的处理,这可能导致安全性问题。以同样的方式,云3优选检查,服务组件10已通过与通过数据ID辨识的组件ID相同的开发者被签名,这避免了其他第三组件4使组件数据被通过非负责的服务组件10处理组件数据。(该检查可以一次地进行)。
在图4中示出如图1中那样的相同的结构。来自图2和图3中的补充可以以相同的方式被用于图4中的结构中。区分于先前的示图,第三组件4和服务组件10使用不同的证书11进行签名S。因此可以是,第三组件4由第一开发者而服务组件10由第二开发者,使用分别不同的证书11进行签名S。经签名的组件4、10共同地通过打包证书15共同地使用签名S进行签名。
在先前的附图中描述的网络布置2针对所有的关联的组件4和10利用相同的证书11。通过该共同的证书11辨识这些关联的组件。
组件打包的签名:
在图4中示出一种变型,其中,该隐含的关联性通过另外的签名作为打包证书15来解决,从而原则上使用三个证书11、11、15,分别一个用于单个的组件4、10和一个用于组件4、10的集合。这允许使用现有的证书和用于各个组件进行签名的方法,尽管典型地至少两个签名是相同的。特别是,这解决了向后兼容性的问题。被分发到用户设备2的第三组件4的行为与其中没有云处理的情况相同。该属性相应地适用于云处理。因此也可以实现,将云处理外包到要求特定签名的第三组件4,其组件管理检查不可以实现。例如如果处理发生在“外部的”云上。附加地可以实现,将用于云中的数据处理的现有的组件不变地添加到打包中,例如以便确保向后兼容性,或者以便能够经许可地利用其他开发者的组件。由此例如能够对针对要求多个第三组件4和云组件10的复杂场景的解决方案进行认证,例如以便担保特定的处理保证。
最后还可以实现,作为具有打包证书15的打包的一部分,允许通过其他组件的处理,而不直接地将其一同提供。例如当要启用现有的可视化时,这尤其有利,如在图5中所示出的那样。在此,通过另一开发者提供服务组件10的数据ID 13作为现有的数据ID 13',并通过打包证书15打包。服务组件10自身未签名,替代地仅给出至服务组件10的指引。
由于现在通过打包证书15的、组件的更强的耦合,此外可以实现,提取第三组件4的组件ID并将该组件ID自动化地引入数据ID中,而开发者不必明确地这样做。
外包处理:
在图5中所示出的变型可以以多个组件类别进行扩展,如这在图6中所示出的那样。例如,可以安装具有处理组件17的本地处理节点16以减少数据流量,或者进行中间处理,如在处理组件17中压缩数据。处理节点16可以不同地构造。其可以是物理的计算单元、虚拟机,或者也可以仅是云3或边缘云上的时间。该设备可以与这些设备一起安装在该场地上(“on-premise(内部部署)”),或者由第三方例如在附近的数据中心中提供使用(“off-premise(外部部署)”,未示出)。其也可以是专用资源,或者是第三系统的一部分、例如用于管理这些设备的系统。
处理组件17的处理ID 18的行为与云3中的数据ID类似。特别是,处理ID 18借助打包证书15进行签名。处理组件17类似所描述机制来检查数据ID,并且必要时从云3请求缺少的处理组件。
如在图7中所示出的那样,处理组件17可以改变数据ID,该处理组件提取第三组件4的组件数据并在本地对所述组件数据进行进一步处理。这使得能够实现标识已经(预)处理的数据,从而可以实现组件的混合使用。为此,开发者签名两个云处理组件——本地处理组件17和第三组件4。作为服务组件10、10'的云处理组件的数据ID这样构型,使得一个组件直接接收第三组件4的组件数据(数据ID 13A),而一个组件接收本地处理组件16的组件数据(数据ID 13B)。本地处理组件的处理ID在此对应于数据ID A。
替代地可以实现,使图6中的服务模块直接地在云3中运行,只要所使用的技术允许这样做。
现有的系统
利用具有打包证书15的组件打包的一个特别的优点是,可以使用需要特定证书的系统,例如,因为组件来自外部的制造商。在云3中的配属仍可以如先前那样实现。然而组件的ID的检查很大可能地没有实现在现有系统中。因此必要时,云中的设备管理服务器7必须明确地表明如下关联:哪些数据在哪个组件中处理。
图1示出基本机制。开发者制造针对不同的目的(在设备上处理和在云中处理)的多个、不同的组件,并对这些组件数字化地进行签名。通过对发送到云上的数据进行注释的数据ID来触发通过相应的、负责该数据ID的组件的处理。图2示范性地示出该应用情况的实现。图3示出具有双向通信的构型该构型使得能够实现云处理组件将控制消息送达设备。图4示出具有组件打包的构型。可以将现有证书用于对单个组件的签名。然后使用另一证书签署这些组件的集合。图5示出现有的云处理模块的利用,如以便用于可视化标准数据类型。图6示出将组件打包利用于多个设备上的处理。图7示出组件打包在混合利用中的利用,在该利用中,不仅可以实现在单独的设备上进行单独处理而且可以实现在云中集合地处理。
Claims (13)
1.一种用于用户设备(2)上的第三组件(4)与云(3)中的服务组件(10)之间的通信的方法,
其中,所述服务组件(10)配备有数据ID(13)和/或数据ID(13)配属于所述服务组件(10),
其中,所述第三组件(4)提供组件数据(20),
其中,使用所述数据ID(13)标识所述组件数据(20),以便产生经标识的组件数据(21),
其中,将所述经标识的组件数据(21)传输到所述云(3)中,
其中,将所述经标识的组件数据(21)配属于具有所述数据ID(13)的所述服务组件(10)。
2.根据权利要求1所述的方法,其特征在于,所述第三组件(4)使用组件ID(12)进行签名。
3.根据权利要求1或2所述的方法,其特征在于,所述服务组件(10)与所述第三组件(4)使用相同的证书(11)和/或使用来自相同的开发者的证书(11)进行签名。
4.根据前述权利要求中任一项所述的方法,其特征在于,所述用户设备(2)具有设备管理组件(5),其中,所述设备管理组件(5)与所述云(3)中的设备管理服务器(7)通信,其中,将所述经标识的组件数据(21)通过所述设备管理组件(5)和所述设备管理服务器(7)引导至所述服务组件(10)。
5.根据权利要求4所述的方法,其特征在于,所述服务组件(10)通过所述设备管理服务器(7)和所述设备管理组件(5)向所述第三组件(4)发送控制消息(22)。
6.根据权利要求4或5所述的方法,其特征在于,通过所述设备管理服务器(7)和所述设备管理组件(5)以安装和/或更新为目的将所述第三组件(4),优选与所述数据ID(13),传输到所述用户设备(2)上。
7.根据前述权利要求中任一项所述的方法,其特征在于,经签名的所述服务组件(10)和经签名的所述第三组件(4)通过打包证书(15)进行签名。
8.根据权利要求7所述的方法,其特征在于,所述服务组件(10)通过外部证书进行签名。
9.根据前述权利要求中任一项所述的方法,其特征在于,所述第三组件(4)的提供和/或更新、所述经标识的组件数据(21)的传输,和可选地补充地所述控制消息(22)的传输通过共同的连接(6)进行。
10.根据权利要求9所述的方法,其特征在于,所述共同的连接(6)构造为受保护的连接。
11.一种网络布置,所述网络布置用于执行根据前述权利要求中任一项所述的方法,
所述网络布置具有用户设备(2),其中,在所述用户设备(2)上能够实施地布置有第三组件(4),并且所述第三组件构造用于提供组件数据(20),
所述网络布置具有服务组件(10),其中,所述服务组件(10)能够实施地布置在所述云(3)中,其中,所述服务组件(10)使用数据ID进行签名,其中,所述用户设备(2)构造用于使用数据ID(13)标识组件数据(20),以便产生经标识的组件数据(21),其中,所述经标识的组件数据(21)能够传输到所述云(3)中,其中,将所述经标识的组件数据配属于具有所述数据ID(13)的所述服务组件(10)。
12.一种计算机程序,所述计算机程序用于当在计算机上或者在网络布置(1)上运行所述计算机程序时执行前述权利要求中任一项所述的方法的所有方法步骤。
13.一种机器可读的存储介质,在所述机器可读的存储介质上存储有所述计算机程序。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102020214845.7 | 2020-11-26 | ||
| DE102020214845.7A DE102020214845A1 (de) | 2020-11-26 | 2020-11-26 | Verfahren zur Kommunikation zwischen einer Drittkomponente auf einem Nutzergerät und einer Dienstkomponente in der Cloud sowie Netzwerkanordnung zur Umsetzung des Verfahrens |
| PCT/EP2021/079477 WO2022111923A1 (de) | 2020-11-26 | 2021-10-25 | Verfahren zur kommunikation zwischen einer drittkomponente auf einem nutzergerät und einer dienstkomponente in der cloud sowie netzwerkanordnung zur umsetzung des verfahrens |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116746134A true CN116746134A (zh) | 2023-09-12 |
Family
ID=78414027
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180092078.9A Pending CN116746134A (zh) | 2020-11-26 | 2021-10-25 | 用户设备上第三组件与云中服务组件间通信的方法和实现该方法的网络布置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20240022576A1 (zh) |
| EP (1) | EP4252405A1 (zh) |
| CN (1) | CN116746134A (zh) |
| DE (1) | DE102020214845A1 (zh) |
| WO (1) | WO2022111923A1 (zh) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9613052B2 (en) | 2012-06-05 | 2017-04-04 | International Business Machines Corporation | Establishing trust within a cloud computing system |
| US10924554B2 (en) * | 2014-05-05 | 2021-02-16 | Citrix Systems, Inc. | Application customization |
| US9935955B2 (en) | 2016-03-28 | 2018-04-03 | Zscaler, Inc. | Systems and methods for cloud based unified service discovery and secure availability |
| DE102018219067A1 (de) | 2018-11-08 | 2020-05-14 | Robert Bosch Gmbh | Transparenzmechanismus zur lokalen Komposition von personenbezogenen, verteilt gespeicherten Nutzerdaten |
-
2020
- 2020-11-26 DE DE102020214845.7A patent/DE102020214845A1/de active Pending
-
2021
- 2021-10-25 WO PCT/EP2021/079477 patent/WO2022111923A1/de active Application Filing
- 2021-10-25 US US18/254,341 patent/US20240022576A1/en active Pending
- 2021-10-25 CN CN202180092078.9A patent/CN116746134A/zh active Pending
- 2021-10-25 EP EP21799023.3A patent/EP4252405A1/de not_active Withdrawn
Also Published As
| Publication number | Publication date |
|---|---|
| EP4252405A1 (de) | 2023-10-04 |
| WO2022111923A1 (de) | 2022-06-02 |
| DE102020214845A1 (de) | 2022-06-02 |
| US20240022576A1 (en) | 2024-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11757661B2 (en) | Systems, methods, and devices for multi-stage provisioning and multi-tenant operation for a security credential management system | |
| US11204751B2 (en) | Mitigating incompatibilities due to code updates in a system containing multiple networked electronic control units | |
| CN108923908B (zh) | 授权处理方法、装置、设备及存储介质 | |
| JP5516821B2 (ja) | 仮想化及び認証を用いた電子ネットワークにおける複数のクライアントの遠隔保守のためのシステム及び方法 | |
| CN110266764B (zh) | 基于网关的内部服务调用方法、装置及终端设备 | |
| US20190141022A1 (en) | On-premise and off-premise communication | |
| CN110839087B (zh) | 接口调用方法及装置、电子设备和计算机可读存储介质 | |
| CN114025021B (zh) | 一种跨Kubernetes集群的通信方法、系统、介质和电子设备 | |
| US20080141350A1 (en) | Authentication for computer system management | |
| CA3180848A1 (en) | Preventing unauthorized package deployment in clusters | |
| CN112953745B (zh) | 服务调用方法、系统、计算机设备和存储介质 | |
| US20140059174A1 (en) | Method and System for Automatic Distribution and Installation of A Client Certificate in A Secure Manner | |
| KR20160018554A (ko) | 신뢰 및 비신뢰 플랫폼에 걸쳐 인터넷 액세스가능 애플리케이션 상태를 로밍하는 기법 | |
| CN112702336A (zh) | 政务服务的安全控制方法、装置、安全网关及存储介质 | |
| CN114338682B (zh) | 流量身份标识传递方法、装置、电子设备及存储介质 | |
| US9948632B2 (en) | Sharing data between sandboxed applications with certificates | |
| US9723436B2 (en) | Mobile device location | |
| CN113497762A (zh) | 数据报文的传输方法及装置 | |
| CN116746134A (zh) | 用户设备上第三组件与云中服务组件间通信的方法和实现该方法的网络布置 | |
| CN115766123A (zh) | 数据跨域授权方法及装置和电子设备 | |
| US20220376924A1 (en) | Header for conveying trustful client address | |
| CN114785612A (zh) | 一种云平台管理方法、装置、设备及介质 | |
| CN107707641B (zh) | 一种通过IPv4终端维护IPv6云主机的方法和设备 | |
| CN113761503A (zh) | 接口调用的处理方法及装置 | |
| US12107833B2 (en) | Configurable proxying application program interface façade service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |