DE102017203235A1 - Verfahren und System zum Freischalten eines Nutzerzugangs zu einem mit einem eingebetteten System gekoppelten Server - Google Patents

Verfahren und System zum Freischalten eines Nutzerzugangs zu einem mit einem eingebetteten System gekoppelten Server Download PDF

Info

Publication number
DE102017203235A1
DE102017203235A1 DE102017203235.9A DE102017203235A DE102017203235A1 DE 102017203235 A1 DE102017203235 A1 DE 102017203235A1 DE 102017203235 A DE102017203235 A DE 102017203235A DE 102017203235 A1 DE102017203235 A1 DE 102017203235A1
Authority
DE
Germany
Prior art keywords
server
information
temporary information
communication device
embedded system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102017203235.9A
Other languages
English (en)
Inventor
Rainer Falk
Steffen Fries
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102017203235.9A priority Critical patent/DE102017203235A1/de
Priority to PCT/EP2017/083757 priority patent/WO2018157960A1/de
Publication of DE102017203235A1 publication Critical patent/DE102017203235A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Die Erfindung beansprucht ein Verfahren zum Freischalten eines Nutzerzugangs zu einem mit einem eingebetteten System (FD) mit Hilfe einer Autorisierung eines Nutzers durch wenigstens ein Kommunikationsgerät (K) am Server (S), mit den folgenden Schritten:
- Bereitstellen von temporären Informationen für die Autorisierung durch eine mit dem eingebetteten System gekoppelten Freischalteinheit, wobei die temporären Informationen von Serverinformationen ableitbar sind,
- Übermitteln der bereitgestellten und/oder der abgeleiteten temporären Informationen zum Server (S);
- Freischalten des genannten Nutzerzugangs zum Server (S) durch eine mit dem Server gekoppelten und mit dem mindestens einen Kommunikationsgerät (K) verbindbaren Zugangskontrolleinheit (C), wobei das Freischalten von einer Überprüfung, ob die übermittelten Informationen mit den bereitgestellten und/oder der abgeleiteten Informationen zu einem vorgebbaren Mindestmaß übereinstimmen, abhängt.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren und System zum Freischalten eines Nutzerzugangs zu einem mit einem eingebetteten System gekoppelten Server sowie ein zugehöriges Computerprogramm(-produkt).
  • Hintergrund der Erfindung
  • Als ein eingebettetes System (auch englisch „embedded system“ genannt) bezeichnet man einen elektronischen Rechner oder auch Computer, der in einen technischen Kontext eingebunden (eingebettet) ist. Dabei übernimmt der Rechner in der Regel entweder Überwachungs-, Steuerungs- oder Regelfunktionen oder ist für eine Form der Daten- bzw. Signalverarbeitung zuständig, beispielsweise beim Ver- bzw. Entschlüsseln, Codieren bzw. Decodieren oder Filtern.
  • In die Kategorie „embedded system“ kann auch ein Feldgerät, kurz FG, engl. Field Device (FD), einsortiert werden. Ein Feldgerät ist eine technische Einrichtung normalerweise im Bereich der Automatisierungstechnik, die mit einem Produktionsprozess in Beziehung steht. „Feld“ bezeichnet in der Automatisierungstechnik den Bereich außerhalb von Schaltschränken bzw. Leitwarten. Feldgeräte können somit sowohl Aktoren (Stellglieder, Ventile etc.) als auch Sensoren (Messumformer) in der Fabrik- und Prozessautomation sein.
  • Die Feldgeräte sind dann mit einem Steuerungs- und Leitsystem, meist über einen Feldbus, oder zunehmend auch über Echtzeit-Ethernet verbunden.
  • Es können (Web-)Server mit einem Feldgerät gekoppelt oder in dieses integriert verwendet werden, um Statusdaten abzufragen und um die Gerätekonfiguration zu ändern. Dabei besteht ein Bedarf, unberechtigten Zugriff auf den Server (HTTP-Server, CoAP-Server, REST-Server) des Feldgerätes zu verhindern.
  • Die Sicherheit innerhalb solch einer Infrastruktur sowie das Verhindern von absichtlichen Angriffen spielt eine zunehmend wichtigere Rolle. Bei einer erfolgreichen Manipulation kann es zu einer Fehlfunktion in Steuerungsfunktionen der oben genannten Geräte kommen.
  • Durch kryptographische Schutzfunktionen können Ziele wie Integrität, Vertraulichkeit oder Authentizität der Gegenstände erreicht werden. Dadurch werden absichtliche, zielgerichtete Angriffe abgewehrt.
  • Der Begriff „Sicherheit“ bezieht sich im Wesentlichen auf die Sicherheit, Vertraulichkeit und/oder Integrität von Daten sowie deren Übertragung und auch Sicherheit, Vertraulichkeit und/oder Integrität beim Zugriff auf entsprechende Daten. Auch die Authentifizierung bei Datenübertragungen beziehungsweise beim Datenzugriff gehört unter anderem zum Begriff „Sicherheit. Unter einer kryptografischen Funktionalität wird allgemein beispielsweise eine Funktion zur Verschlüsselung, zum Schutz der Vertraulichkeit, zum Integritätsschutz und/oder zur Authentifikation von Daten (z.B. Nutzerdaten, Steuerdaten, Konfigurationsdaten oder administrative Daten) verstanden. Die kryptografische Schutzfunktionalität kann dabei beispielsweise eine oder mehrere der nachfolgend aufgeführten Funktionalitäten umfassen:
    • - Schlüsselspeicherung
    • - System- und/oder Nutzer-Authentisierung
    • - Autorisierung
    • - Attestierung
    • - Verschlüsselung
    • - Entschlüsselung
    • - Berechnen einer kryptografischen Prüfsumme (z.B. Signatur)
    • - Prüfen einer kryptografischen Prüfsumme (z.B. Signatur)
    • - Schlüsselvereinbarung
    • - Schlüsselerzeugung
    • - Erzeugen von Zufallszahlen (z.B. Seed-Generierung)
    • - Lizenzierung
    • - Unterstützung von systemischen Überwachungsfunktionen (z.B. Tamper-Schutz, Systemintegrität, Security Incident and Event Management SIEM)
    • - Überwachen oder Überwachung von Daten
    • - Validierung von Daten
    • - Filterung von Daten
  • Die aufgezählten kryptografischen Funktionalitäten können dabei jeweils wieder mit anderen/weiteren Verfahren oder Kombinationen dieser Verfahren ausgeführt sein.
  • Das bekannte HTTP-Protokoll unterstützt eine Nutzerauthentisierung (HTTP Digest, HTTP-Basic Authentication) (siehe https://en.wikipedia.org/wiki/Digest_access_authentication . Dazu muss ein Nutzer einen Nutzernamen und ein Passwort eingeben. Der Web-Server gewährt den Nutzerzugriff nach erfolgreich Überprüfung des Nutzernamens und des Passworts. Weiterhin ist bekannt, dass ein Nutzer sich an einer Web-Anwendung authentisiert, indem er in ein Formular (Web-Seite) Nutzername und Passwort eingibt, das auch englisch „form based authentication“ genannt wird.
  • Weiterhin ist es möglich, dass ein Nutzer als Teil einer HTTP-Anfrage ein Autorisierungstoken als Datenstruktur (JWT, JSON Web Token) vom Nutzer (Web-Browser) an den Web-Server überträgt. Das JWT-Autorisierungstoken wird normalerweise von einem „Single Sign On“-Dienst ausgestellt.
  • Weiterhin ist es möglich, dass ein HTTP-Protokoll (HTTP, CoAP) über eine kryptographisch geschützte Kommunikationsverbindung (TLS, DTLS) übertragen wird. Dabei wird meist nur der Server mittels eines digitalen Zertifikats authentisiert. Es ist jedoch auch möglich, dass auch der Client sich mit seinem Client-Zertifikat authentisiert.
  • In allen oben dargestellten Fällen wird ein Nutzer authentisiert, indem der vom Nutzer verwendete Web-Client (Web-Browser) über das verwendete Kommunikationsprotokoll (HTTP, CoAP, TLS, DTLS) eine Nutzerauthentisierungsinformation überträgt. Dazu muss auf Client-Seite ein sogenanntes Nutzer-Credential vorliegen (z.B. Passwort, Schlüssel).
  • Von US 7,734,716 ist ein Automatisierungsgerät mit einem HTTP-Server bekannt, der Nutzer-definierte Web-Seiten unterstützt. Dabei ist beschrieben, dass sich ein Nutzer mittels Nutzername und Passwort authentisiert.
  • Aus EP 1621944 B1 ist bekannt, dass ein Automatisierungsgerät eine Nutzerschnittstelle aufweist, die zugriffsgeschützte Information nach Authentisierung mittels eines Security-Devices anzeigt. Darin ist auch beschrieben, dass ein weiteres Automatisierungsgerät Zugriff auf die im ersten Gerät vorliegenden zugriffsgeschützten Daten nach erfolgter Authentisierung am ersten Gerät mittels des Security-Devices erhält.
  • Aus US 2003/030542 ist bekannt, dass ausgewählte Funktionen eines elektronischen Gerätes (speziell eines PDAs) aktiviert werden, wenn ein berechtigter Nutzer in der Nähe ist. Ein physikalischer Token überträgt ein Passwort an das elektronische Gerät, um eine Funktion freizuschalten.
  • Aus DE 10 2012 214018 ist ein mobiles Kommunikationsgerät zur Autorisierung eines Nutzers bekannt. Hierbei werden spezifisch für ein Endgerät, auf das zugegriffen werden soll, Zugangsinformationen über die Kommunikation mit einem Backendsystem ermittelt und an das Feldgerät zur Prüfung geleitet.
  • Möglich sind auch Hardware Token, die zeitsynchron mit einem zentralen Server eine PIN erzeugen und für einen remote Zugang verwendet werden. Solch ein Token kann unter https://www.rsa.com/de-de/products-services/identity-accessmanagement/securid/hardware-tokens gefunden werden.
  • Es ist Aufgabe der Erfindung, die Sicherheits- bzw. Schutzmaßnahmen für den Nutzerzugang zu einem solchen Server, insbesondere einem Web-Server, zu verbessern.
  • Darstellung der Erfindung
  • Diese Aufgabe wird durch die unabhängigen Patentansprüche gelöst. Vorteilhafte Weiterbildungen sind Gegenstand der abhängigen Ansprüche.
  • Die Erfindung beansprucht ein Verfahren zum Freischalten eines Nutzerzugangs zu einem mit einem eingebetteten System mit Hilfe einer Autorisierung eines Nutzers durch wenigstens ein Kommunikationsgerät am Server, mit den folgenden Schritten:
    • - Bereitstellen von temporären Informationen für die Autorisierung durch eine mit dem eingebetteten System gekoppelten Freischalteinheit, wobei die temporären Informationen von Serverinformationen ableitbar sind,
    • - Übermitteln der bereitgestellten und/oder der abgeleiteten temporären Informationen zum Server;
    • - Freischalten des genannten Nutzerzugangs zum Server durch eine mit dem Server gekoppelten und mit dem mindestens einen Kommunikationsgerät verbindbaren Zugangskontrolleinheit, wobei das Freischalten von einer Überprüfung, ob die übermittelten Informationen mit den bereitgestellten und/oder der abgeleiteten Informationen zu einem vorgebbaren Mindestmaß übereinstimmen, abhängt.
  • Vorzugsweise wird eine Server- bzw. Berechtigungsinformation des Servers auf dem eingebetteten System aktualisiert abhängig von einer am eingebetteten System erfolgreichen (lokalen) Authentifizierung/Autorisierung, die durch die Freischalteinheit initialisiert bzw. bewerkstelligt werden kann. Diese lokale Authentifizierung/Autorisierung am eingebetteten System erfolgt dabei unabhängig von der Kommunikationsverbindung zum Zugriff bzw. Nutzerzugang auf den Server. Die lokale Authentifizierung/Autorisierung ist vorteilhaft, um eine zusätzliche Absicherung vor unbefugten Zugriff zu schafften, jedoch keine zwingende Voraussetzung, um oben genannte Schritte einzuleiten. Dass ein Anwender die Freischalteinheit besitzt und diese mit dem eingebetteten System gekoppelt ist und mit dieser kommuniziert, kann schon eine Form der Authentifizierung/Autorisierung sein. Die lokale Authentifizierung/Autorisierung kann als Auslöser zum Bereitstellen der temporären Informationen verstanden werden oder die Bereitstellung der temporären Informationen ist Teil der lokalen Authentifizierung-/Autorisierung bzw. dessen Vorgangs. Über die bereitgestellten Informationen bzw. davon abgeleiteter Informationen, die zum Server zur Autorisierung am Server übermittelt werden und anschließender Überprüfung der beiden Informationen wird letztendlich eine gesicherte Freischaltung des Nutzerzugangs gewährleistet. Die (durch die lokale Autorisierung hervorgerufene) temporär bereitgestellte und die übermittelte Informationen und deren Überprüfung kann quasi eine Zweifaktorauthentifizierung (siehe unten) angesehen werden.
  • Eine Weiterbildung der Erfindung sieht vor, dass Informationen zur Identifizierung der Freigabeeinheit durch das eingebettete System entgegengenommen werden, welche in entgegengenommener Form und/oder in abgeleiteter Form in eine Ableitung der bereitzustellenden temporären Informationen eingehen können. Diese Weiterbildung kann eine Ausführungsform der oben beschriebenen lokalen Authentifizierung/Autorisierung sein.
  • Eine Weiterbildung der Erfindung sieht vor, dass das Übermitteln der temporären Informationen dadurch erfolgt, dass ein von der Freischalteinheit bereitgestellter Code, insbesondere einen eindimensionalen Barcode oder zweidimensionalen Quick-Response-Code, mit dem wenigstens einen Kommunikationsgerät fotografiert wird, wobei das Kommunikationsgerät den Code dekodiert.
  • Eine Weiterbildung der Erfindung sieht vor, dass die übermittelten Informationen zumindest ein Passwort und/oder PIN umfassen, das/der nach einer vorgebbaren Regel aus den temporären Informationen ermittelt bzw. festgelegt wird.
  • Eine Weiterbildung der Erfindung sieht vor, dass die temporären Informationen optisch an einer Anzeigevorrichtung und/ der akustisch durch eine Sendevorrichtung bereitgestellt und an dem wenigstens einen Kommunikationsgerät zur Übermittlung derselben an den Server erfasst und/oder entgegengenommen werden.
  • Eine Weiterbildung der Erfindung sieht vor, dass die temporären Informationen mittels einer Funkübertragungseinrichtung bereitgestellt und an das wenigstens eine Kommunikationsgerät übertragen werden, welches dieselben zur Übermittlung derselben an den Server entgegennimmt.
  • Eine Weiterbildung der Erfindung sieht vor, dass die temporären Informationen mittels Eingabe an einer Nutzerschnittstelle des wenigstens einen Kommunikationsgeräts an den Server übermittelt werden.
  • Eine Weiterbildung der Erfindung sieht vor, dass die temporären Informationen mittels des eingebetteten Systems an den Server übermittelt werden.
  • Eine Weiterbildung der Erfindung sieht vor, dass durch eine in das eingebettete System integrierbare Zugangskontrolleinheit zumindest ein Port in einer Geräteanschlußeinheit des eingebetteten Systems für den Nutzerzugang zum Server freigegeben wird. Die Geräteanschlußeinheit kann als ein im englischen genannter Access Point ausgeprägt sein.
  • Eine Weiterbildung der Erfindung sieht vor, dass die Zugangskontrolleinheit zusätzlich überprüft, ob das wenigstens eine Kommunikationsgerät abgesetzt (remote) oder lokal mit dem eingebetteten System in Verbindung steht. Dies bringt den Vorteil mit sich, dass überprüft wird, ob am eingebetteten System tatsächlich eine lokale Autorisierung stattfindet und nicht von außen ein Angriff versucht wird.
  • Ein Vorteil der Erfindung ist, dass ein physikalisches Authentisierungstoken (mechanischer Schlüssel, RFID-Tag) einfach verwendet werden kann: Ein Servicetechniker bzw. Nutzer kann einen beliebigen Service-Rechner (PC, Notebook, Tablet, Mobiltelefon) verwenden, um mit einem (Web-)Browser oder einer App auf ein eingebettetes System zuzugreifen. Nur das eingebettete System selbst muss über einen entsprechenden Leser bzw. Empfänger verfügen. Es ist möglich, ein relativ schwaches Passwort als temporäre Information zu verwenden, um geschützt auf einen Server eines eingebetteten Systems zuzugreifen, da dieses vom eingebetteten System dynamisch generiert werden und zur Anzeige bereitgestellt werden kann. Durch die Kombination eines physikalischen Tokens mit dem Passwort kann eine Zweifaktorauthentifizierung, (d.h. Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren) z.B. Benutzerkennung und PIN (persönl. Identifikationsnr.) oder auch PIN und TAN (Transaktionsnr.)) für einen geschützten Nutzerzugang einfach realisiert werden.
  • Die vorstehend genannten Funktionen/Schritte können in Software, Firmware und/oder Hardware implementiert sein. Sie können als eine Art Funktionseinheiten verstanden werden, die auch in Ihrer Funktion in beliebiger Kombination in eine einzige Einheit (Komponente bzw. Server bzw. Gerät) integriert sein können.
  • Ein weiterer Aspekt der Erfindung ist ein eingebettetes System bzw. Gerät geeignet zur Durchführung des Verfahrens zum Freischalten eines Nutzerzugangs zu einem mit einem eingebetteten System koppelbaren Server mit Hilfe einer Autorisierung eines Nutzers durch wenigstens ein Kommunikationsgerät, aufweisend:
    • - Mittel zum Bereitstellen von temporären Informationen für die Autorisierung, wobei die temporären Informationen von Serverinformationen ableitbar sind,
    • - Mittel zum Übermitteln der bereitgestellten und/oder der abgeleiteten temporären Informationen zum Server,
    • - Mittel zum Freischalten des genannten Nutzerzugangs zum Server durch eine mit dem Server koppelbaren und mit dem mindestens einen Kommunikationsgerät verbindbaren Zugangskontrolleinheit und
    • - Mittel zur Überprüfung, ob die übermittelten Informationen mit den bereitgestellten und/oder den abgeleiteten Informationen zu einem vorgebbaren Mindestmaß übereinstimmen, wobei das Freischalten vom Ergebnis der Überprüfung abhängig ist.
  • Ein weiterer Aspekt der Erfindung kann ein Computerprogramm bzw. ein Computerprogrammprodukt mit mindestens einem Computerprogramm mit Mitteln zur Durchführung des Verfahrens und dessen genannte Ausgestaltungen sein, wenn das Computerprogramm(-produkt) bzw. das mindestens eine Computerprogramm auf dem eingebetteten System nach oben beschriebener Art zur Ausführung gebracht wird.
  • Obige Systeme bzw. Geräte, Einrichtungen und gegebenenfalls das Computerprogramm(-produkt) können im Wesentlichen analog wie das Verfahren und dessen Ausgestaltungen bzw. Weiterbildungen entsprechend aus- bzw. weitergebildet werden.
  • Ausführungsbeispiel(e):
  • Weitere Vorteile, Einzelheiten und Weiterbildungen der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen in Verbindung mit den Zeichnungen.
  • Dabei zeigen
    • die 1, 2, 3 und 4 jeweils ein eingebettetes System in Form eines Feldgeräts, das einem Nutzer temporäre Informationen für die Autorisierung zur Verfügung stellt in jeweils verschiedenen Ausführungsformen.
  • Die 1 zeigt ein eingebettetes System in Form eines Feldgeräts FD, das mittels einer Netzwerkschnittstelle/- Interface I über ein Netzwerk mit einem Kommunikationsgerät K, z.B. ein Service Notebook, ein Mobile Panel oder ein Tablet, in Verbindung steht. Demnach kann das Kommunikationsgerät ein mobiles bzw. tragbares Gerät sein. Das Feldgerät FD ist mit einem Server S, vorzugsweise Web- bzw. Dienstserver, gekoppelt. In dieser Ausführungsform ist der dem Feldgerät zugeordnete Server S in das Feldgerät FD integriert. Das Netzwerk N kann ein kabelgebundenes oder ein Funk- Übertragungsnetzwerk (z.B. WLAN, Bluetooth, Zigbee, NFC, etc.) sein. Des Weiteren ist das Feldgerät mit einer Zugangskontrolleinheit C gekoppelt, wobei diese in dieser Ausführungsform in das Feldgerät FD integriert ist.
  • Ein Nutzer U kann mit einem Freigabegerät, das ebenfalls ein Kommunikationsgerät z.B. in Form eines Tokens T, eines Mobilgeräts M oder sogar dasselbe Kommunikationsgerät K sein kann.
  • Das Freigabegerät des Nutzers U kommuniziert mit der Zugangskontrolleinheit C, das Informationen (z.B. Freischaltcode, PIN, Passwort etc.) für die Autorisierung des Nutzers bzw. seines Kommunikationsgerätes K. Diese Informationen sind vorzugsweise temporär, so dass diese Informationen nur für einen begrenzten Zeitraum z.B. ein paar Minuten zur Verfügung stehen. Die Server- bzw. Berechtigungsinformationen des Servers werden aktualisiert abhängig von einer direkt erfolgten, lokalen Authentifizierung/Autorisierungsprüfung durch die Zugangskontrolleinheit C. Diese lokale Authentifizierung/Autorisierung erfolgt dabei unabhängig von der Kommunikationsverbindung über das Netzwerk N zum Zugriff auf den Server S. Zur lokalen Authentifizierung/Autorisierung können insbesondere: Schlüsselschalter, DIP-Switch, Jumper, Eingabefeld (z.B. Folientastatur oder Touch-Screen bzw. Bedienfeld) am Feldgerät FD verwendet werden. Es sind auch physikalische Authentisierungstokens z.B. T in Form von beispielsweise RFID, NFC, Bluetooth, Zigbee aber auch als M12-Steckmodul, RJ45 Steckmodul oder ähnliches möglich. Dann werden temporäre Informationen bzw. von den Serverinformationen abgeleitete temporäre Informationen für die Autorisierung am Server bereitgestellt. Dies kann optisch durch Anzeige an einer Anzeigevorrichtung, akustisch durch eine Sprachausgabe oder ggf. Ultraschall, mechanische Schwingungen etc. erfolgen. Dabei kann das Freigabegerät oder das Kommunikationsgerät K mit einem entsprechenden Empfänger ausgestattet sein, um die Informationen entgegenzunehmen.
  • Nach der lokalen Authentifizierung/Autorisierung wird mit Hilfe der bereitgestellten temporären Informationen eine entsprechende (Web-)Zugangspolicy (-regel) aus mehreren möglichen Zugangspolicies durch eine mit der Zugangskontrolleinheit C gekoppelten Policy-Auswahleinheit P aktiviert, das symbolisch mit A gekennzeichnet ist und letztendlich den Nutzerzugang zum Server freigibt, wenn von Seiten des Nutzers U mit seinem Kommunikationsgerät K eine Service-Anfrage an den Server S über das Netzwerk N gestellt wird. Um die Service-Anfrage senden zu können, kann z.B. ein Firewall-Regelsatz durch P angepasst werden, oder es kann ein Port des Netzwerkinterface temporär aktiviert werden, um einen temporären Zugang zu ermöglichen. Es kann zusätzlich überprüft werden, ob das wenigstens eine Kommunikationsgerät abgesetzt (remote) oder lokal mit dem eingebetteten System in Verbindung steht. Beim IPv4-Protokoll oder IPv6-Protokoll ist in der Regel ein Hop-Counter bei einem lokalen „Link“ auf 255 gesetzt, bei einem „Remote-Link“ auf eine Zahl < 255.
  • Zur Identifizierung der Freigabeeinheit kann die Zugangskontrolleinheit C des Feldgeräts FD kann eine entsprechende Information von einem USB-Stick oder Token entgegennehmen, welche in entgegengenommener Form und/oder in abgeleiteter Form in eine Ableitung der bereitzustellenden temporären Informationen (s.o.) eingehen können.
  • Als Antwort auf die Service-Anfrage werden Statusinformationen bzw. Statusänderungen oder andere Daten bzw. Funktionen wie z.B. Konfigurationsdaten (Basis-, Safety-, Securitykonfiguration, Diagnose, Selbsttestfunktion, Zugriff auf Sensordaten, Zugriff auf Aktoren) zum Feldgerät nur dann nach einer Freischaltung des Nutzerzugangs zum Kommunikationsgerät K geliefert, wenn eine Überprüfung der temporären Informationen mit den Berechtigungsinformationen am Server zumindest zu einem vorgebbaren oder fest vorgegebenen Mindestmaß (= maximale Abweichung) übereinstimmen.
  • In 2 wird angedeutet, dass das Feldgerät FD über eine Anzeigevorrichtung D, z.B. eine LCD-Anzeige bzw. Display, und ein Bedienfeld B (Tastenfeld, Folientastatur) verfügt. Ein Benutzer kann das Feldgerät durch Eingabe eines Benutzercodes oder eines Administratorcodes entsperren. In dieser Ausführungsform entspricht dann der Freigabeeinheit das Display bzw. das Bedienfeld. Bei erfolgreicher Prüfung des Codes durch die Zugangskontrolleinheit C wird temporär ein Nutzerzugang zum Server entsprechend einer Zugangspolicy freigeschaltet. Weiterhin wird auf dem Display des Feldgerätes FD ein Zugangscode als temporäre Information bereitgestellt bzw. angezeigt, der über eine Nutzerschnittstelle bzw. - oberfläche, z.B. ein HTML-Form (Form Based Authentication), einzugeben ist. Der Nutzer muss am Feldgerät (Bedienfeld, Touchscreen) und über den Browser am Server S ein/eine gleiche, übereinstimmende PIN bzw. Passwort eingeben, das frei wählbar sein kann.
  • Es ist auch möglich, dass als temporäre Information ein eindimensionaler Barcode oder zweidimensionaler Quick-Response-Code (QR-Code) am Display angezeigt bzw. bereitgestellt wird, welcher mit dem wenigstens einen Kommunikationsgerät K fotografiert werden kann. Das Kommunikationsgerät entschlüsselt den Code und sendet die daraus erhaltenen Daten zur Autorisierung an den Server, die die bereitgestellte temporäre Informationen mit den vom Kommunikationsgerät K erhaltenen Informationen überprüft bzw. abgleicht und davon abhängig die Freischaltung des Nutzerzugangs zulässt.
  • In 3 wird gezeigt, dass der Zugang zum Feldgerät FD drahtlos erfolgt, insbesondere über WLAN. Es wäre aber auch ein Zugang über Bluetooth, Bluetooth LE, IEEE 802.15.4, ZigBee oder über ein zelluläres Mobilfunksystem (GSM, UMTS, LTE, 5G etc.) möglich.
  • Das Feldgerät verfügt über eine Geräteanschlusseinheit, die in dieser Ausführungsform als WLAN-Zugangspunkt AP (Access Point) ausgebildet und mit dem Netzwerkinterface I gekoppelt ist. Nach einer am Feldgerät direkt erfolgten, lokalen Authentifizierung/Autorisierungsprüfung wird ein WLAN-Zugangspunkt des Feldgeräts temporär aktiviert bzw. ein Port freigegeben. Die Konfiguration (insbesondere Netzwerkname SSID, ggf. ein PSK WLAN-Preshared-Key) kann fest konfiguriert sein, oder er kann dynamisch, zufällig oder pseudozufällig erzeugt und als temporäre Information auf dem Display des Feldgerätes angezeigt werden.
  • Der Nutzer loggt sich dann mit den aus den temporären Information ableitbaren bzw. ermittelbaren Informationen (Zugangsdaten bzw. -code) am Zugangspunkt AP ein und erhält nach der Überprüfung der Informationen durch die Zugangskontrolleinheit einen Nutzerzugang zum Server.
  • Es ist auch ein physikalisches Authentisierungstoken T - wie in 4 gezeigt - denkbar, der ein Passwort oder eine PIN anzeigen kann, die bei der Server-Autorisierung einzugeben ist (z.B. in ein Formularfeld). Abhängig vom verwendeten Authentisierungstoken, das ein Feldgerät freigeschaltet hat, wird ein Passwort als temporäre Information durch das Feldgerät ausgewählt, das über die Nutzerschnittstelle eingegeben werden muss. Wird ein physikalisches Authentisierungstoken verwendet, kann in zeitlich gleichen oder variablen Abständen geprüft werden, ob dieses Token noch vorhanden ist und in Abhängigkeit der lokalen Policy P entschieden werden, ob bei nicht mehr vorhandenem Token die Verbindung zum Server aufrechterhalten wird oder abgebaut wird. Wird das Fehlen des Tokens bemerkt, kann abhängig von der Policy eine Warnung oder ein Hinweis über den Server an den Nutzer ausgegeben werden. In einer weiteren Ausführungsform ist das Zugangstoken z.B. über eine drahtlose Kommunikation mit dem Feldgerät FD verbunden. Hierbei wird nicht nur das Vorhandensein des Token T geprüft, sondern auch dynamische Informationen mit dem Token ausgetauscht. Das Token generiert hierbei beispielsweise eine PIN (z.B. nach einer bestimmten Zeit oder auf Knopfdruck) und stellt diese als temporäre Information auf seinem Display dar. Diese PIN wird dann beispielsweise über NFC an das Feldgerät FD übertragen. Der Servicetechniker muss nun diese PIN am Server eingeben, um sich für die Freischaltung des Nutzerzugriffs zu autorisieren.
  • Das bringt den Vorteil mit sich, dass auch Feldgeräte nutzbar sind, die nicht über eine integrierte Anzeigevorrichtung verfügen.
  • Obwohl die Erfindung im Detail durch das bevorzugte Ausführungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.
  • Die Implementierung der vorstehend beschriebenen Prozesse oder Verfahrensabläufe kann anhand von Instruktionen erfolgen, die auf computerlesbaren Speichermedien oder in flüchtigen Computerspeichern (im Folgenden zusammenfassend als computerlesbare Speicher bezeichnet) vorliegen. Computerlesbare Speicher sind beispielsweise flüchtige Speicher wie Caches, Puffer oder RAM sowie nichtflüchtige Speicher wie Wechseldatenträger, Festplatten, usw.
  • Die vorstehend beschriebenen Funktionen oder Schritte können dabei in Form zumindest eines Instruktionssatzes in/auf einem computerlesbaren Speicher vorliegen. Die Funktionen oder Schritte sind dabei nicht an einen bestimmten Instruktionssatz oder an eine bestimmte Form von Instruktionssätzen oder an ein bestimmtes Speichermedium oder an einen bestimmten Prozessor oder an bestimmte Ausführungsschemata gebunden und können durch Software, Firmware, Microcode, Hardware, Prozessoren, integrierte Schaltungen usw. im Alleinbetrieb oder in beliebiger Kombination ausgeführt werden. Dabei können verschiedenste Verarbeitungsstrategien zum Einsatz kommen, beispielsweise serielle Verarbeitung durch einen einzelnen Prozessor oder Multiprocessing oder Multitasking oder Parallelverarbeitung usw.
  • Die Instruktionen können in lokalen Speichern abgelegt sein, es ist aber auch möglich, die Instruktionen auf einem entfernten System abzulegen und darauf via Netzwerk zuzugreifen.
  • Der Begriff „Prozessor“, „zentrale Signalverarbeitung“, „Steuereinheit“ oder „Datenauswertemittel“, wie hier verwendet, umfasst Verarbeitungsmittel im weitesten Sinne, also beispielsweise Server, Universalprozessoren, Grafikprozessoren, digitale Signalprozessoren, anwendungsspezifische integrierte Schaltungen (ASICs), programmierbare Logikschaltungen wie FPGAs, diskrete analoge oder digitale Schaltungen und beliebige Kombinationen davon, einschließlich aller anderen dem Fachmann bekannten oder in Zukunft entwickelten Verarbeitungsmittel. Prozessoren können dabei aus einer oder mehreren Vorrichtungen bzw. Einrichtungen bzw. Einheiten bestehen. Besteht ein Prozessor aus mehreren Vorrichtungen, können diese zur parallelen oder sequentiellen Verarbeitung bzw. Ausführung von Instruktionen ausgelegt bzw. konfiguriert sein.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 7734716 [0014]
    • EP 1621944 B1 [0015]
    • US 2003030542 [0016]
    • DE 102012214018 [0017]

Claims (17)

  1. Verfahren zum Freischalten eines Nutzerzugangs zu einem mit einem eingebetteten System (FD) gekoppelten Server mit Hilfe einer Autorisierung eines Nutzers (U) durch wenigstens ein Kommunikationsgerät (K) am Server (S), mit den folgenden Schritten: - Bereitstellen von temporären Informationen für die Autorisierung durch eine mit dem eingebetteten System gekoppelten Freischalteinheit, wobei die temporären Informationen von Serverinformationen ableitbar sind, - Übermitteln der bereitgestellten und/oder der abgeleiteten temporären Informationen zum Server (S); - Freischalten des genannten Nutzerzugangs zum Server (S) durch eine mit dem Server gekoppelten und mit dem mindestens einen Kommunikationsgerät (K) verbindbaren Zugangskontrolleinheit (C), wobei das Freischalten von einer Überprüfung, ob die übermittelten Informationen mit den bereitgestellten und/oder der abgeleiteten Informationen zu einem vorgebbaren Mindestmaß übereinstimmen, abhängt.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass Informationen zur Identifizierung der Freigabeeinheit durch das eingebettete System entgegengenommen werden, welche in entgegengenommener Form und/oder in abgeleiteter Form in eine Ableitung der bereitzustellenden temporären Informationen eingehen können.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Übermitteln der temporären Informationen dadurch erfolgt, dass ein von der Freischalteinheit bereitgestellter Code, insbesondere einen eindimensionalen Barcode oder zweidimensionalen Quick-Response-Code, mit dem wenigstens einen Kommunikationsgerät fotografiert wird, wobei das Kommunikationsgerät den Code dekodiert.
  4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die übermittelten Informationen zumindest ein Passwort und/oder PIN umfassen, das/der nach einer vorgebbaren Regel aus den temporären Informationen ermittelt wird.
  5. Verfahren nach einem der vorhergehenden Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die temporären Informationen optisch an einer Anzeigevorrichtung (D) und/ der akustisch durch eine Sendevorrichtung bereitgestellt und an dem wenigstens einen Kommunikationsgerät zur Übermittlung derselben an den Server erfasst und/oder entgegengenommen werden.
  6. Verfahren nach einem der vorhergehenden Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die temporären Informationen mittels einer Funkübertragungseinrichtung bereitgestellt und an das wenigstens eine Kommunikationsgerät übertragen werden, welches dieselben zur Übermittlung derselben an den Server entgegennimmt.
  7. Verfahren nach einem der vorhergehenden Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die temporären Informationen mittels Eingabe an einer Nutzerschnittstelle (B) des wenigstens einen Kommunikationsgeräts an den Server übermittelt werden.
  8. Verfahren nach einem der vorhergehenden Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die temporären Informationen mittels des eingebetteten Systems an den Server übermittelt werden.
  9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass durch eine in das eingebettete System (FD) integrierbare Zugangskontrolleinheit (C) zumindest ein Port in einer Geräteanschlußeinheit (AP) des eingebetteten Systems für den Nutzerzugang zum Server freigegeben wird.
  10. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Zugangskontrolleinheit (C) zusätzlich überprüft, ob das wenigstens eine Kommunikationsgerät (K) abgesetzt oder lokal mit dem eingebetteten System in Verbindung steht.
  11. Eingebettetes System (FD) geeignet zur Durchführung des Verfahrens zum Freischalten eines Nutzerzugangs zu einem mit einem eingebetteten System koppelbaren Server (S) mit Hilfe einer Autorisierung eines Nutzers (U) durch wenigstens ein Kommunikationsgerät (K), aufweisend: - Mittel zum Bereitstellen von temporären Informationen für die Autorisierung, wobei die temporären Informationen von Serverinformationen ableitbar sind, - Mittel zum Übermitteln der bereitgestellten und/oder der abgeleiteten temporären Informationen zum Server, - Mittel zum Freischalten des genannten Nutzerzugangs zum Server durch eine mit dem Server koppelbaren und mit dem mindestens einen Kommunikationsgerät verbindbaren Zugangskontrolleinheit und - Mittel zur Überprüfung, ob die übermittelten Informationen mit den bereitgestellten und/oder den abgeleiteten Informationen zu einem vorgebbaren Mindestmaß übereinstimmen, wobei das Freischalten vom Ergebnis der Überprüfung abhängig ist.
  12. System nach Anspruch 11, dadurch gekennzeichnet, dass durch die Mittel zum Bereitstellen der temporären Informationen ein Code bereitstellbar ist, insbesondere einen eindimensionalen Barcode oder zweidimensionalen Quick-Response-Code, welcher mit dem wenigstens einen Kommunikationsgerät fotografiert werden kann.
  13. System nach einem der vorhergehenden Ansprüche 11 oder 12, dadurch gekennzeichnet, dass die übermittelten Informationen zumindest ein Passwort und/oder PIN umfassen, das/der nach einer vorgebbaren Regel aus den temporären Informationen ermittelbar ist.
  14. System nach einem der vorhergehenden Ansprüche 11 bis 13, dadurch gekennzeichnet, dass die temporären Informationen optisch an einer Anzeigevorrichtung und/ der akustisch durch eine Sendevorrichtung bereitstellbar sind.
  15. System nach einem der vorhergehenden Ansprüche 11 bis 13, dadurch gekennzeichnet, dass die temporären Informationen mittels einer Funkübertragungseinheit zur Übermittlung an das wenigstens eine Kommunikationsgerät bereitstellbar sind.
  16. System nach einem der vorhergehenden Ansprüche 11 bis 15, gekennzeichnet durch eine Geräteanschlußeinheit (AP) und eine Zugangskontrolleinheit (C), welche zumindest einen Port in der Geräteanschlußeinheit für den Nutzerzugang zum Server (S) freigegeben kann.
  17. Computerprogrammprodukt mit mindestens einem Computerprogramm, das Mittel zur Durchführung des Verfahrens nach einem der vorstehenden Verfahrensansprüche aufweist, wenn das mindestens eine Computerprogramm verteilt im eingebetteten System nach einem der vorstehenden Systemansprüche zur Ausführung gebracht wird.
DE102017203235.9A 2017-02-28 2017-02-28 Verfahren und System zum Freischalten eines Nutzerzugangs zu einem mit einem eingebetteten System gekoppelten Server Withdrawn DE102017203235A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102017203235.9A DE102017203235A1 (de) 2017-02-28 2017-02-28 Verfahren und System zum Freischalten eines Nutzerzugangs zu einem mit einem eingebetteten System gekoppelten Server
PCT/EP2017/083757 WO2018157960A1 (de) 2017-02-28 2017-12-20 Verfahren und system zum freischalten eines nutzerzugangs zu einem mit einem eingebetteten system gekoppelten server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017203235.9A DE102017203235A1 (de) 2017-02-28 2017-02-28 Verfahren und System zum Freischalten eines Nutzerzugangs zu einem mit einem eingebetteten System gekoppelten Server

Publications (1)

Publication Number Publication Date
DE102017203235A1 true DE102017203235A1 (de) 2018-08-30

Family

ID=61007651

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017203235.9A Withdrawn DE102017203235A1 (de) 2017-02-28 2017-02-28 Verfahren und System zum Freischalten eines Nutzerzugangs zu einem mit einem eingebetteten System gekoppelten Server

Country Status (2)

Country Link
DE (1) DE102017203235A1 (de)
WO (1) WO2018157960A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018007259A1 (de) * 2018-09-14 2019-10-17 Baumer Electric Ag Verfahren zum Betreiben einer Feldgeräte-Verbindungsstruktur
DE102020128758A1 (de) 2020-11-02 2022-05-05 Vega Grieshaber Kg Mobiles Servicegerät
DE102021213519A1 (de) 2021-11-30 2023-06-01 Vega Grieshaber Kg Feldgerät, Feldgerätenetzwerk und Verfahren zum Gewähren eines Feldgerätedatenerhalts

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017111933A1 (de) * 2017-05-31 2018-12-06 Krohne Messtechnik Gmbh Verfahren zur sicheren Kommunikation mit einem Feldmessgerät der Prozesstechnik und entsprechendes Feldmessgerät
US11234125B2 (en) * 2019-08-09 2022-01-25 Rosemount Inc. Two-factor authentication for wireless field devices

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2166697A1 (de) 2008-09-17 2010-03-24 GMV Soluciones Globales Internet S.A. Verfahren und System zur Authentifizierung eines Benutzers mit Hilfe eines Mobilfunkgeräts
EP2421217A1 (de) 2010-08-16 2012-02-22 Research In Motion Limited Kommunikationssystem mit drahtloser Authentifizierung für den privaten Datenzugriff und zugehörige Verfahren
US20150237046A1 (en) 2014-02-19 2015-08-20 Samsung Electronics Co., Ltd. Method and apparatus for user authentication
US20150288681A1 (en) 2014-04-04 2015-10-08 Samsung Electronics Co., Ltd. Method and apparatus for controlling authentication state of electronic device
US9473938B2 (en) 2013-08-20 2016-10-18 Huawei Technologies Co., Ltd. Content sharing method, apparatus, and system

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030030542A1 (en) 2001-08-10 2003-02-13 Von Hoffmann Gerard PDA security system
US7734716B2 (en) 2002-01-24 2010-06-08 Ge Fanuc Automation North America, Inc. Methods and systems for management and control of an automation control module
US7530113B2 (en) 2004-07-29 2009-05-05 Rockwell Automation Technologies, Inc. Security system and method for an industrial automation system
GB2481663B (en) * 2010-11-25 2012-06-13 Richard H Harris Handling encoded information
DE102012214018B3 (de) 2012-08-07 2014-02-13 Siemens Aktiengesellschaft Autorisierung eines Nutzers durch ein tragbares Kommunikationsgerät
DE102014112611A1 (de) * 2014-09-02 2016-03-03 Endress + Hauser Conducta Gesellschaft für Mess- und Regeltechnik mbH + Co. KG Verfahren zur Authentifikation mindestens einer ersten Einheit an mindestens einer zweiten Einheit

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2166697A1 (de) 2008-09-17 2010-03-24 GMV Soluciones Globales Internet S.A. Verfahren und System zur Authentifizierung eines Benutzers mit Hilfe eines Mobilfunkgeräts
EP2421217A1 (de) 2010-08-16 2012-02-22 Research In Motion Limited Kommunikationssystem mit drahtloser Authentifizierung für den privaten Datenzugriff und zugehörige Verfahren
US9473938B2 (en) 2013-08-20 2016-10-18 Huawei Technologies Co., Ltd. Content sharing method, apparatus, and system
US20150237046A1 (en) 2014-02-19 2015-08-20 Samsung Electronics Co., Ltd. Method and apparatus for user authentication
US20150288681A1 (en) 2014-04-04 2015-10-08 Samsung Electronics Co., Ltd. Method and apparatus for controlling authentication state of electronic device

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018007259A1 (de) * 2018-09-14 2019-10-17 Baumer Electric Ag Verfahren zum Betreiben einer Feldgeräte-Verbindungsstruktur
DE102020128758A1 (de) 2020-11-02 2022-05-05 Vega Grieshaber Kg Mobiles Servicegerät
DE102021213519A1 (de) 2021-11-30 2023-06-01 Vega Grieshaber Kg Feldgerät, Feldgerätenetzwerk und Verfahren zum Gewähren eines Feldgerätedatenerhalts

Also Published As

Publication number Publication date
WO2018157960A1 (de) 2018-09-07

Similar Documents

Publication Publication Date Title
DE102017203235A1 (de) Verfahren und System zum Freischalten eines Nutzerzugangs zu einem mit einem eingebetteten System gekoppelten Server
DE112009000416B4 (de) Zweiwege-Authentifizierung zwischen zwei Kommunikationsendpunkten unter Verwendung eines Einweg-Out-Of-Band(OOB)-Kanals
DE60223129T2 (de) Verfahren und system zur sicherung eines rechnernetzwerks und persönliches identifikationsgerät, das für die steuerung des netzwerkkomponentenzugangs verwendet wird
WO2014106546A1 (de) Rfid-tag und verfahren zum betreiben eines rfid-tags
EP3130167B1 (de) Verfahren zum gesicherten zugriff auf ein feldgerät
WO2017174200A2 (de) Verfahren zur einleitung eines authentifizierungsprozesses, insbesondere geeignet zur personenauthentifizierung im rahmen eines bargeldlosen zahlungsverkehrs, und datenverarbeitungeterminal zur verwendung in einem solchen verfahren
EP3410241B1 (de) Verfahren zur sicheren kommunikation mit einem feldmessgerät der prozesstechnik und entsprechendes feldmessgerät
DE102012111316A1 (de) Kontrollsystem für die Fernkontrolle wenigstens einer Funktion eines Fahrzeugs
DE102010021256A1 (de) Verfahren zur dynamischen Autorisierung eines mobilen Kommunikationsgerätes
EP3017432B1 (de) Gesicherte kommunikationseinrichtung für ein fahrzeug und fahrzeugsystem
DE102017006200A1 (de) Verfahren, Hardware und System zur dynamischen Datenübertragung an ein Blockchain Rechner Netzwerk zur Abspeicherung Persönlicher Daten um diese Teils wieder Blockweise als Grundlage zur End zu Endverschlüsselung verwendet werden um den Prozess der Datensammlung über das Datenübertragungsmodul weitere Daten in Echtzeit von Sensoreinheiten dynamisch aktualisiert werden. Die Blockmodule auf dem Blockchaindatenbanksystem sind unbegrenzt erweiterbar.
EP2996299B1 (de) Verfahren und Anordnung zur Autorisierung einer Aktion an einem Selbstbedienungssystem
DE102008063864A1 (de) Verfahren zur Authentifizierung einer Person gegenüber einer elektronischen Datenverarbeitungsanlage mittels eines elektronischen Schlüssels
EP3769554B1 (de) Verfahren und system zur autorisierung der kommunikation eines netzwerkknotens
DE102014208965A1 (de) Verfahren zur Authentifizierung eines Netzwerkteilnehmers sowie Netzwerkteilnehmer, Netzwerk und Computerprogramm hierzu
WO2017186445A1 (de) Verfahren zur sicheren interaktion eines nutzers mit einem mobilen endgerät und einer weiteren instanz
DE102015221372A1 (de) Verfahren zur Aktivierung eines Konfigurationsmodus eines Geräts
EP3541038A1 (de) Verfahren und vorrichtung zur kryptographisch geschützten datenübertragung zwischen einem ersten gerät und einem zweiten gerät
DE102014209191A1 (de) System und Verfahren zum Herunterladen von auf einem Tachografen gespeicherten Daten
WO2014124765A1 (de) Vorrichtung und verfahren zum sicherern verwalten von zugangscodes
EP4087184B1 (de) Verfahren zur von einer systemzeit unabhängigen authentifizierung von interaktionen sowie vorrichtung zur durchführung dieses verfahrens und flammenwächter mit einer derartigen vorrichtung
DE102012007430A1 (de) System und Verfahren zur sicheren Kommunikation
EP3399457B1 (de) Verfahren und vorrichtungen zum erkennen einer manipulation eines gerätes
DE102011117186A1 (de) Verfahren zur Kontrolle des Zugriffs auf einen Aktor und/oder Sensor
DE102017215000A1 (de) Steuerung einer Funktion eines Kraftfahrzeugs

Legal Events

Date Code Title Description
R163 Identified publications notified
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee