DE102017221300A1 - Verfahren und System zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbeitungssystems eines spurgebundenen Fahrzeugs - Google Patents

Verfahren und System zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbeitungssystems eines spurgebundenen Fahrzeugs Download PDF

Info

Publication number
DE102017221300A1
DE102017221300A1 DE102017221300.0A DE102017221300A DE102017221300A1 DE 102017221300 A1 DE102017221300 A1 DE 102017221300A1 DE 102017221300 A DE102017221300 A DE 102017221300A DE 102017221300 A1 DE102017221300 A1 DE 102017221300A1
Authority
DE
Germany
Prior art keywords
data
authentication
unit
user
authentication token
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102017221300.0A
Other languages
English (en)
Inventor
Thorsten Braun
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Priority to DE102017221300.0A priority Critical patent/DE102017221300A1/de
Priority to PCT/EP2018/079528 priority patent/WO2019105666A1/de
Priority to CN201880076717.0A priority patent/CN111406259A/zh
Priority to EP18800531.8A priority patent/EP3692457A1/de
Priority to RU2020116390A priority patent/RU2748111C1/ru
Publication of DE102017221300A1 publication Critical patent/DE102017221300A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan

Abstract

Die Erfindung betrifft ein Verfahren sowie ein System zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbeitungssystems (8) eines spurgebundenen Fahrzeugs (2). Um die datentechnische Funktion benutzerbezogen und variabel bereitzustellen, umfasst das Verfahren: Erzeugen (D) eines Authentifizierungs-Tokens mittels einer Authentifizierungs-Einheit (24) auf Basis eines Authentifizierungsvorgangs, wobei das Authentifizierungs-Token eine Sitzung eines Benutzers (14) des Datenverarbeitungssystems (8) identifiziert, und Bereitstellen (N) der datentechnischen Funktion mittels einer Server-Einheit (10) des Datenverarbeitungssystems (8) auf Basis des Authentifizierungs-Tokens.

Description

  • Die Erfindung betrifft ein Verfahren sowie ein System zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbeitungssystems eines spurgebundenen Fahrzeugs.
  • Grundsätzlich ist es bekannt, datentechnische Funktionen eines Datenverarbeitungssystems in einem spurgebundenen Fahrzeug ausschließlich bestimmten Benutzern oder Benutzergruppen zugänglich zu machen. Beispielsweise wird ein Schlüssel-Schalter verwendet, um anhand der Stellung des Schlüssel-Schalters datentechnische Funktionen zu aktivieren oder zu deaktivieren. Ausschließlich Benutzer, die über einen geeigneten (passenden) Schlüssel verfügen, können die datentechnische Funktion aktivieren.
  • Es ist zudem bekannt, eine Schnittstelle des Datenverarbeitungssystems, beispielsweise eine Diagnoseschnittstelle, für einen Benutzer freizuschalten. Die Freischaltung erfolgt dabei auf Basis einer Authentifizierung des Benutzers, wobei die Authentifizierung ausschließlich für die Freischaltung dieser Schnittstelle vorgesehen ist.
  • Vor diesem Hintergrund ist es Aufgabe der Erfindung, datentechnische Funktionen benutzerbezogen und variabel bereitzustellen.
  • Diese Aufgabe wird erfindungsgemäß durch ein Verfahren zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbeitungssystems eines spurgebundenen Fahrzeugs gelöst. Das Verfahren umfasst: Erzeugen eines Authentifizierungs-Tokens mittels einer Authentifizierungs-Einheit auf Basis eines Authentifizierungsvorgangs, wobei das Authentifizierungs-Token eine Sitzung eines Benutzers des Datenverarbeitungssystems identifiziert, und Bereitstellen der datentechnischen Funktion mittels einer Server-Einheit des Datenverarbeitungssystems auf Basis des Authentifizierungs-Tokens.
  • Die Erfindung beruht auf der Erkenntnis, dass datentechnische Funktionen, wie Bedienhandlungen, die Anzeige von Informationen, etc., in Fahrzeugen von unterschiedlichen Benutzern abgerufen werden. Dabei ist es wünschenswert, die datentechnische Funktionen unterschiedlichen Benutzern oder Benutzergruppen benutzerbezogen bzw. benutzerspezifisch zur Verfügung zu stellen. Bestimmte datentechnische Funktionen sollen ausschließlich von berechtigten Benutzern oder Benutzergruppen abrufbar sein.
  • Bei den aus dem Stand der Technik bekannten Lösungen sind die bereitgestellten datentechnischen Funktionen beispielsweise an eine Schlüssel-Schalterstellung gekoppelt. Die datentechnische Funktion wird ausschließlich demjenigen Benutzer bereitgestellt, der über den passenden Schlüssen verfügt, und ausschließlich, während der Schlüssel-Schalter ein für das Freischalten der Funktion vorgesehene Stellung einnimmt.
  • Des Weiteren zeichnen sich die bekannten Lösungen dadurch aus, dass für jede datentechnische Funktion, beispielsweise ein Zugriff auf Diagnosedaten, eine eigene Authentifizierung erforderlich ist. Die bekannten Lösungen sind folglich hinsichtlich der Verwaltung von Benutzerrechten statisch ausgeführt.
  • Die erfindungsgemäße Lösung behebt diese Probleme, indem ein zentraler Authentifizierungsdienst ein Authentifizierungs-Token erzeugt. Das Token identifiziert eine Sitzung eines Benutzers des Datenverarbeitungssystems. Auf Basis des Tokens können unterschiedliche datentechnische Funktionen bereitgestellt werden.
  • Dies hat den Vorteil, dass datentechnische Funktionen benutzerbezogen bzw. benutzerspezifisch bereitgestellt werden können. Zudem können mehrere unterschiedliche Server-Einheiten des Datenverarbeitungssystems das Authentifizierungs-Token bei der Entscheidung, ob eine datentechnische Funktion bereitgestellt werden soll, nutzen. Auf diese Weise ist es möglich, dem Benutzer mehrere unterschiedliche datentechnische Funktionen auf Basis eines einzigen Authentifizierungsvorgangs zur Verfügung zu stellen. Demnach wird durch das erfindungsgemäße Verfahren ein sogenanntes SSO-Verfahren (SSO: Single Sign-On) erzielt.
  • Ein weiterer Vorteil der erfindungsgemäßen Lösung liegt in der Variabilität bei der Verwaltung von Benutzerrechten. Die Benutzerrechte können besonders einfach durch einen datentechnischen Zugriff auf die Authentifizierungs-Einheit geändert und gemäß den Wünschen des Betreibers des Datenverarbeitungssystems angepasst werden. Vorzugsweise ist der Zugriff auf die Authentifizierungs-Einheit auf Benutzer beschränkt, die dem Betreiber des Datenverarbeitungssystem und/oder des spurgebundenen Fahrzeugs angehören.
  • Als weiterer Vorteil des erfindungsgemäßen Verfahrens ergibt sich aus der zentralen Authentifizierung eine Erhöhung der Sicherheit, insbesondere eine Erhöhung des Schutzes des Datenverarbeitungssystems und/oder des spurgebundenen Fahrzeugs vor seiner Umwelt (fachmännisch als Security bezeichnet).
  • Das spurgebundene Fahrzeug ist vorzugsweise als Schienenfahrzeug ausgebildet.
  • Das Datenverarbeitungssystem umfasst vorzugsweise ein Kommunikationssystem, welches zumindest ein Ethernet-Netz und unterschiedliche datentechnisch an das jeweilige Ethernet-Netz angeschlossene Teilnehmer (Systeme) umfasst. Die Teilnehmer können über das jeweilige Ethernet-Netz kommunizieren (beispielsweise Daten austauschen). Bei einem Kommunikationsnetz mit mehreren Ethernet-Netzen können diese logisch voneinander getrennt werden, beispielsweise als virtuelle LANs (VLAN: Virtual Local Area Network), um Datenströme voneinander zu trennen. Das Kommunikationsnetz umfasst vorzugsweise ein Betreibernetz, welches physikalisch von einem Steuernetz des Schienenfahrzeugs getrennt ist und mit dem Steuernetz datentechnisch verbunden sein kann. Der Fachmann versteht den Begriff „Steuernetz“ als ein Netz, welches eine oder mehrere Komponenten zur Fahrzeugsteuerung (Leittechnik) umfasst. Neben den klassischen leittechnischen (z.B. antriebs- und bremstechnischen) Komponenten können auch Systeme zur Ausgabe von Informationen an Fahrgäste und Bordpersonal, der automatisierte Betrieb einer Sanitärzelle, die Verwaltung einer Kommunikation zwischen dem Schienenfahrzeug und der Landseite, etc. zum Steuernetz gehören. Die Komponenten sind steuerungs- und kommunikationstechnisch über das Steuernetz miteinander verbunden.
  • Komponenten, die datentechnisch an das Betreibernetz angeschlossen sind, können beispielsweise ein Fahrgastinformationssystem (FIS) und/oder ein Kameraüberwachungssystem zur Überwachung des Innen- und Außenbereichs des Schienenfahrzeugs (CCTV: Closed Circuit Television) sein. Die entsprechenden Komponenten des FISs bzw. Kameraüberwachungssystems sind datentechnisch über das Betreibernetz miteinander verbunden.
  • Als Benutzer ist vorzugsweise eine Person zu verstehen, welche sich zum Durchführen von Bedienhandlungen am Fahrzeug anmeldet bzw. authentifiziert. Der Benutzer kann einer oder mehreren Benutzergruppen zugeordnet sein. Einer jeweiligen Benutzergruppe stehen bestimmte datentechnische Funktionen zur Verfügung (oder die Benutzergruppe ist für bestimmte datentechnische Funktionen gesperrt). So können beispielsweise Benutzergruppen für Wartung, Reinigung, Fahrzeugbegleitung oder Fahrzeugführung vorgesehen sein. Bestimmte Benutzerhandlungen dürfen lediglich von berechtigten Benutzergruppen durchgeführt werden. Beispielsweise ist der Abruf von Diagnosedaten (als Beispiel für eine datentechnische Funktion) ausschließlich für die Benutzergruppe „Wartung“ vorgesehen.
  • Der Fachmann versteht unter dem Begriff „datentechnische Funktion“ sämtliche Funktionen, die von dem Datenverarbeitungssystem zur Verfügung gestellt werden. Die datentechnische Funktion kann beispielsweise das Bedienen einer an das Kommunikationsnetz datentechnisch angeschlossenen Komponente mittels einer Benutzerschnittstelle umfassen. Weiter kann die datentechnische Funktion beispielsweise einen Abruf von Daten des Datenverarbeitungssystems umfassen.
  • Die Authentifizierungs-Einheit ist vorzugsweise als Authentifizierungs-Server mit Authentifizierungsdienst ausgebildet. Weiter vorzugsweise umfasst der Authentifizierungsdienst einen Remote Authentication Dial-in User Service (RADIUS). Weiter vorzugsweise ist der Authentifizierungs-Server ein zentraler Server innerhalb des Datenverarbeitungssystems des spurgebundenen Fahrzeugs, welcher verschiedenen Teilnehmern des Kommunikationsnetzes über das Ethernet-Netz zur Verfügung steht. Der Authentifizierungs-Server weist einen Speicher auf, auf dem Daten zu dem Benutzer, Daten zu einer Zuordnung des Benutzers zu einer Benutzergruppe oder mehreren Benutzergruppen und/oder Daten zu Benutzerrechten, die dem Benutzer zugeordnet sind, gespeichert sind.
  • Der Fachmann versteht die Formulierung „auf Basis des Authentifizierungs-Tokens“ vorzugsweise dahingehend, dass das Authentifizierungs-Token eine Grundlage für das Bereitstellen der datentechnischen Funktion bildet. So kann die Server-Einheit die datentechnische Funktion beispielsweise unmittelbar bei Empfang des Authentifizierungs-Tokens bereitstellen. Alternativ kann die Server-Einheit ein empfangenes Authentifizierungs-Token nutzen, um eigenständig oder unter Zuhilfenahme einer anderen Komponente des Datenverarbeitungssystems zu ermitteln, welche datentechnische Funktion bereitzustellen ist.
  • Gemäß einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens umfasst der Authentifizierungsvorgang: Bereitstellen einer Authentisierungsinformation mittels einer Authentisierungs-Einheit und Erzeugen des Authentifizierungs-Tokens mittels der Authentifizierungs-Einheit auf Basis der Authentisierungsinformation.
  • Der Authentifizierungsvorgang umfasst insbesondere diejenigen Verfahrensschritte, die nach dem allgemeinen Sprachgebrauch als „Anmelden des Benutzers“ bezeichnet werden.
  • Unter „Erzeugen des Authentifizierungs-Tokens mittels der Authentifizierungs-Einheit auf Basis der Authentisierungsinformation“ versteht der Fachmann vorzugsweise dahingehend, dass das Authentifizierungs-Token erzeugt wird, wenn sich der Benutzer erfolgreich authentisiert hat.
  • Der Fachmann versteht unter dem Begriff „Authentisieren“ das Prüfen der Echtheit des Benutzers mittels der Authentisierungs-Einheit. Weiter versteht der Fachmann unter dem Begriff „Authentifizieren“ die Bezeugung der Echtheit durch die Authentifizierungs-Einheit. Im fachmännischen Sprachgebrauch werden die Begriffe „Authentifizieren“ und „Authentisieren“ häufig gemeinsam unter den Begriff „Authentifizieren“ gefasst.
  • Bei einer bevorzugten Weiterbildung dieser Ausführungsform erzeugt die Authentisierungs-Einheit die Authentisierungsinformation auf Basis einer Anwendung
    • - eines mechanischen und/oder elektronischen Schlüssels,
    • - eines Identifikationsmediums, welches wenigstens eine Benutzerinformation bereitstellt, insbesondere einer Smartcard, und/oder
    • - eines biometrischen Merkmals des Benutzers, welches von einem Leser erfasst wird.
  • Vorzugsweise umfasst die Authentisierungs-Einheit ein Authentisierungsgerät, an welchem der Benutzer mittels eines Authentisierungsmediums, beispielsweise mittels des Schlüssels, der Smartcard oder des biometrischen Merkmals, eine Authentisierung durchführt. Das Authentisierungsgerät kann beispielsweise
    • - ein Schloss zur Aufnahme des Schlüssels,
    • - einen Smartcard-Leser zur Aufnahme der Smartcard,
    • - einen Fingerabdruck-Leser zum Lesen des Fingerabdrucks des Benutzers (als biometrisches Merkmal) und/oder
    • - eine Kameraeinheit zum Erfassen des Gesichts des Benutzers (als biometrisches Merkmal)
    umfassen. Der Fachmann versteht den Begriff „Smartcard“ vorzugsweise als Kunststoffkarte, welche zumindest einen integrierten Schaltkreis aufweist und vorzugsweise einen Speicher, einen Mikroprozessor, etc. aufweist.
  • Der elektronische Schlüssel kann vorzugsweise von einem Software-Schlüsselmaterial gebildet sein, welches auf einem Endgerät des Benutzers gespeichert ist. Beispielsweise kann das Software-Schlüsselmaterial auf einem Smartphone eines im Führerstand befindlichen Fahrzeugführers als Benutzer gespeichert sein. Das Software-Schlüsselmaterial kann mittels Bluetooth oder WLAN (WLAN: Wireless Local Area Network) an das Fahrzeug übertragen werden.
  • Die Authentisierungs-Einheit umfasst vorzugsweise einen Steuer-Rechner, der datentechnisch an das Datenverarbeitungssystem, insbesondere an das Ethernet-Netz, angeschlossen ist. Der Steuerrechner liest die von dem Authentifizierungsgerät erzeugten Informationen aus, erzeugt auf Basis dieser Informationen die Authentisierungsinformation und sendet die Authentisierungsinformation über das Ethernet-Netz an die Authentifizierungs-Einheit.
  • Die Übertragung der Authentisierungsinformation an die Authentifizierungs-Einheit erfolgt vorzugsweise verschlüsselt.
  • Gemäß einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird das Authentifizierungs-Token bei einem Beenden der Sitzung ungültig und/oder gelöscht. Dadurch wird erreicht, dass das Authentifizierungs-Token die Sitzung des Benutzers identifiziert. Vorzugsweise wird die Beendigung der Sitzung durch ein Abmelden des Benutzers ausgelöst. Zusätzlich und/oder alternativ kann die Sitzung bei Ablauf einer vorgegebenen Zeitdauer beendet werden. Dies kann zur Folge haben, dass sich der Benutzer während der Benutzung des Datenverarbeitungssystems erneut anmelden muss.
  • Bei einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird das Authentifizierungs-Token an eine Benutzerschnittstelle übertragen, welche zum Abrufen der Funktion durch den Benutzer ausgebildet ist.
  • Die Benutzerschnittstelle kann das Authentifizierungs-Token für unterschiedliche Zwecke nutzen. Beispielsweise wird die Benutzerschnittstelle auf den Empfang des Authentifizierungs-Tokens hin aktiviert. Alternativ oder zusätzlich kann die Benutzerschnittstelle das Authentifizierungs-Token dazu nutzen, bereitgestellte Funktionen zu beschränken. Dabei dienen das Vorhandensein und/oder die Ausgestaltung des Authentifizierungs-Tokens für die Benutzerschnittstelle vorzugsweise als Entscheidungskriterium, ob eine datentechnische Funktion zur Verfügung gestellt werden soll. Alternativ oder zusätzlich kann die datentechnische Funktion mittels der Benutzerschnittstelle auf Basis des Authentifizierungs-Tokens bei der Server-Einheit angefragt werden.
  • Vorzugsweise umfasst die Benutzerschnittstelle eine Bedien-Anzeige. Weiter vorzugsweise ist die Bedien-Anzeige als Touchscreen-Anzeige ausgebildet, auf der datentechnische Funktionen wie die Anzeige von Informationen und/oder Bedienfunktionen bereitgestellt werden.
  • Vorzugsweise wird das Authentifizierungs-Token ausgehend von der Authentifizierungs-Einheit an die Benutzerschnittstelle übertragen. Weiter vorzugsweise wird das Authentifizierungs-Token mittels einer Speichereinheit der Benutzerschnittstelle gespeichert. Damit die Benutzerschnittstelle die von der Server-Einheit bereitgestellte Funktion einem Benutzer zur Verfügung stellen kann, ist die Benutzerschnittstelle datentechnisch, insbesondere über das Kommunikationsnetz, mit der Sever-Einheit verbunden.
  • Gemäß einer bevorzugten Weiterbildung der Ausführungsform wird bei einer Anfrage nach der datentechnischen Funktion, welche von der Benutzerschnittstelle an die Server-Einheit gerichtet ist, das Authentifizierungs-Token der Anfrage beigefügt.
  • Die Benutzerschnittstelle fragt die datentechnische Funktion bei der Server-Einheit an. Die Server-Einheit stellt die datentechnische Funktion zentral zur Verfügung. Anhand des beigefügten Authentifizierungs-Tokens kann die Server-Einheit die Anfrage prüfen. Dies verhindert, dass ein datentechnischer Angriff auf das Datenverarbeitungssystem durch Manipulation der Benutzerschnittstelle ermöglicht wird.
  • Vorzugsweise ist die Server-Einheit entfernt von der Benutzerschnittstelle angeordnet. Der Fachmann versteht den Begriff „entfernt“ dahingehend, dass der Benutzer keinen unmittelbaren, mechanischen Zugriff auf die Server-Einheit hat. Dafür ist die Server-Einheit vorzugsweise in einem geschützten (für den Benutzer nicht zugänglichen) Bereich des Schienenfahrzeugs angeordnet.
  • Vorzugsweise wird die Anfrage durch eine Bedienhandlung des Benutzers ausgelöst.
  • Bei einer weiteren bevorzugten Weiterbildung prüft die Server-Einheit eine Berechtigung der Anfrage unter Zuhilfenahme der Authentifizierungs-Einheit. Dadurch wird eine zentrale Steuerung von Berechtigungen des Benutzers auf Basis des Tokens erzielt. Die zentrale Rolle nimmt dabei die Authentifizierungs-Einheit ein. Verschiedene Komponenten des Datenverarbeitungssystems (z.B. die Server-Einheit) können Berechtigungsinformationen und gegebenenfalls weitere Benutzerinformationen von der Authentifizierungs-Einheit erlangen. Die Server-Einheit stellt die datentechnische Funktion nur dann bereit, wenn die Prüfung des Authentifizierungs-Tokens durch die Authentifizierungs-Einheit erfolgreich ist.
  • Vorzugsweise wird die Berechtigung der Anfrage mittels der Authentifizierungs-Einheit bei einem erstmaligen Anfragen innerhalb einer Session geprüft. Bei folgenden Anfragen innerhalb der Session ist eine Prüfung durch die Authentifizierungs-Einheit nicht mehr erforderlich.
  • Das Prüfen der Berechtigung unter Zuhilfenahme der Authentifizierungs-Einheit erfolgt bei einer bevorzugten Weiterbildung, indem die Authentifizierungs-Einheit das Authentifizierungs-Token von der Server-Einheit empfängt, die zugehörige Berechtigung prüft und eine Berechtigungsinformation, welche die Berechtigung des Benutzers repräsentiert, bereitstellt.
  • Auf diese Weise wird eine zentrale Steuerung von Berechtigungen des Benutzers auf Basis des Tokens ermöglicht. Es wird die Gültigkeit des Token durch die Authentifizierungs-Einheit geprüft und zusätzlich Berechtigungen des Benutzers als Berechtigungsinformation von der Authentifizierungs-Einheit bereitgestellt. Vorzugsweise sendet die Authentifizierungs-Einheit die Berechtigungsinformation an die Server-Einheit. Auf Basis der Berechtigungsinformation werden datentechnische Funktionen von der Server-Einheit bereitgestellt. Dafür werden der jeweiligen Funktion zugrundeliegende Daten an die Benutzerschnittstelle übertragen.
  • Bei einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird die datentechnische Funktion mittels der Server-Einheit in Abhängigkeit der Berechtigungsinformation bereitgestellt.
  • Zwar bildet das Authentifizierungs-Token, welches die Sever-Einheit an die Authentifizierungs-Einheit zur Prüfung sendet, die Grundlage für das Bereitstellen der datentechnischen Funktion. Gemäß der Ausführungsform kann die Server-Einheit zudem anhand der Berechtigungsinformation ermitteln, welche datentechnischen Funktionen bereitgestellt werden sollen.
  • Gemäß einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens umfasst das Bereitstellen der datentechnischen Funktion ein Bereitstellen von Informationen mittels der Server-Einheit für eine Anzeige mittels einer Benutzerschnittstelle.
  • Beispielsweise wird die Anzeige der Informationen mittels der Benutzerschnittstelle dadurch ausgelöst, dass der Benutzer die Informationen durch Betätigen eines Touchscreens der Benutzerschnittstelle erfragt. Auf die Anfrage hin (sofern ein gültiges Authentifizierungs-Token vorliegt), stellt die Server-Einheit die Informationen für eine Anzeige durch die Benutzerschnittstelle bereit. Die Informationen werden an die Benutzerschnittstelle für die Anzeige übertragen und von der Benutzerschnittstelle angezeigt.
  • Gemäß einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens umfasst das Bereitstellen der datentechnischen Funktion ein Bereitstellen von Daten an einer Datenschnittstelle des Datenverarbeitungssystems. Vorzugsweise werden die Daten von der Server-Einheit bereitgestellt und an die Datenschnittstelle übertragen.
  • An die Datenschnittstelle wird beispielsweise ein Wartungs-PC und/oder ein Diagnosegerät angeschlossen.
  • Die Datenschnittstelle umfasst vorzugsweise eine USB-to-Ethernet-Bridge, welche eine Verbindung zwischen dem Ethernet-Netz und einem USB-Anschluss der Datenschnittstelle zur Verfügung stellt (USB: Universal Serial Bus). Die Datenschnittstelle umfasst weiter vorzugsweise eine Recheneinheit zum Verarbeiten von Daten und einen Speicher.
  • Eine bevorzugte Weiterbildung der Ausführungsform umfasst: datentechnisches Anschließen einer Speichereinheit an die Datenschnittstelle, Anfragen der Daten mittels der Datenschnittstelle bei der Server-Einheit und Bereitstellen der Daten mittels der Server-Einheit.
  • Vorzugsweise umfasst die Speichereinheit einen USB-Datenspeicher, welcher von dem Benutzer mit sich geführt und an den USB-Anschluss der Datenschnittstelle angeschlossen wird.
  • Weiter vorzugsweise erfolgt das Anfragen, indem beim Anschließen der Server-Einheit von der Datenschnittstelle signalisiert wird, dass die Speichereinheit an die Datenschnittstelle angeschlossen ist. Weiter vorzugsweise werden die Daten mittels der Server-Einheit auf die Anfrage hin bereitgestellt und an die Datenschnittstelle übertragen.
  • Vorzugsweise erfolgt das Bereitstellen der Daten an die Datenschnittstelle nach Abschluss eines Authentifizierungsvorgangs, insbesondere eines Authentifizierungsvorgangs der vorhergehend beschriebenen Art. Das bei dem Authentifizierungsvorgang erzeugte Authentifizierungs-Token wird vorzugsweise an die Datenschnittstelle übertragen und weiter vorzugsweise von dem Speicher der Datenschnittstelle gespeichert. Weiter vorzugsweise wird das Authentifizierungs-Token der Anfrage, welche von der Datenschnittstelle an die Server-Einheit gerichtet ist, beigefügt.
  • Zudem wird eine Berechtigungsinformation, welche eine Berechtigung des Benutzers repräsentiert, nach Abschluss des Authentifizierungsvorgangs an die Server-Einheit übertragen.
  • Nach dem Anschließen der Speichereinheit, insbesondere des USB-Datenspeichers, an die Datenschnittstelle stellt die Recheneinheit der Datenschnittstelle eine datentechnische Verbindung zur Server-Einheit her. Dazu wird eine Verbindungsanfrage an die Server-Einheit gerichtet. Die Server-Einheit nimmt die Verbindungsanfrage entgegen und ermittelt anhand der Berechtigungsinformation, welche datentechnische Funktion bereitzustellen ist. Beispielsweise ermittelt die Server-Einheit anhand der Berechtigungsinformation, welche Daten für die Datenschnittstelle bereitgestellt werden sollen.
  • Die Erfindung betrifft ferner ein System zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbeitungssystems eines spurgebundenen Fahrzeugs. Das System umfasst: eine Authentifizierungs-Einheit, welche ausgebildet ist, ein Authentifizierungs-Token auf Basis eines Authentifizierungsvorgangs zu erzeugen, wobei das Authentifizierungs-Token eine Sitzung eines Benutzers des Datenverarbeitungssystems identifiziert, und eine Server-Einheit, welche ausgebildet ist, die datentechnische Funktion auf Basis des Authentifizierungs-Tokens bereitzustellen.
  • Die Erfindung betrifft ferner ein Computerprogrammprodukt, das zumindest teilweise direkt in einen Speicher einer Server-Einheit geladen werden kann, zumindest teilweise direkt in einen Speicher einer Authentifizierungs-Einheit geladen werden kann und Softwarecodeabschnitte umfasst, mit denen das Verfahren der vorstehend beschriebenen Art ausgeführt werden kann, wenn das Produkt auf einem Computer der Server-Einheit und einem Computer der Authentifizierungs-Einheit läuft.
  • Die Erfindung betrifft ferner eine Server-Einheit für ein Datenverarbeitungssystem eines spurgebundenen Fahrzeugs, welche ausgebildet ist eine datentechnischen Funktion auf Basis eines Authentifizierungs-Tokens, welches eine Sitzung eines Benutzers des Datenverarbeitungssystems identifiziert, bereitzustellen und das Authentifizierungs-Token von einer Authentifizierungs-Einheit zu empfangen, welche ausgebildet ist, das Authentifizierungs-Token auf Basis eines Authentifizierungsvorgangs zu erzeugen.
  • Zu Vorteilen, Ausführungsformen und Ausgestaltungsdetails des erfindungsgemäßen Systems, Computerprogrammprodukts und der Server-Einheit kann auf die bevorstehende Beschreibung zu den entsprechenden Verfahrensmerkmalen verwiesen werden.
  • Ausführungsbeispiele der Erfindung werden nun anhand der Zeichnungen erläutert. Es zeigen:
    • 1 einen schematischen Aufbau eines Systems gemäß einem Ausführungsbeispiel der Erfindung,
    • 2 ein schematisches Ablaufdiagramm eines erfindungsgemäßen Authentifizierungsvorgangs,
    • 3 ein schematisches Ablaufdiagramm eines Verfahrens gemäß einem ersten Ausführungsbeispiel der Erfindung und
    • 4 ein schematisches Ablaufdiagramm eines Verfahrens gemäß einem zweiten Ausführungsbeispiel der Erfindung.
  • 1 zeigt ein Fahrzeug 1, welches als spurgebundenes Fahrzeug 2 ausgebildet ist, in einer schematischen Seitenansicht.
  • Das spurgebundene Fahrzeug 2 weist ein Kommunikationssystem 4 auf, welches zumindest Ethernet-Netze 5, 6 und 7 umfasst. An die Ethernet-Netze 5, 6 und 7 sind unterschiedliche Teilnehmer datentechnisch angeschlossen und über die Ethernet-Netze 5, 6 und 7 verbunden. Das Kommunikationssystem 4 bildet gemeinsam mit seinen datentechnisch angeschlossenen Teilnehmern ein Datenverarbeitungssystem 8.
  • Eine Server-Einheit 10 ist datentechnisch an das Ethernet-Netz 7 angeschlossen. Die Server-Einheit 10 stellt mehrere unterschiedliche datentechnische Funktionen bereit. Beispielsweise stellt die Server-Einheit 10 Informationen für eine Anzeige mittels einer Benutzerschnittstelle 12 zur Verfügung.
  • Die Benutzerschnittstelle 12 ist als Bedien-Anzeige 13 mit einer berührungssensitiven Anzeigefläche (sog. Touchscreen) ausgebildet. Mittels der Bedien-Anzeige 13 können einem Benutzer 14 Funktionen des Datenverarbeitungssystems 8 bereitgestellt werden. Beispielsweise können dem Benutzer 14 Informationen angezeigt werden und/oder der Benutzer 14 kann eine Komponente des Datenverarbeitungssystems 8 über die Bedien-Anzeige 13 bedienen. Die Server-Einheit 10 und die Benutzerschnittstelle 12 sind datentechnisch über das Ethernet-Netz 7 miteinander verbunden.
  • Die Erfindung geht von dem Wunsch aus, dem Benutzer 14 datentechnische Funktionen auf Basis einer Benutzerberechtigung bereitzustellen. Um die Berechtigung des Benutzers 14 für eine Sitzung des Benutzers zu ermitteln, wird ein Authentifizierungsvorgang durchgeführt.
  • 2 zeigt ein schematisches Ablaufdiagramm, welches die im Rahmen des Authentifizierungsvorgangs durchgeführten Verfahrensschritte repräsentiert.
  • Zunächst meldet sich der Benutzer 14 unter Anwendung einer Authentisierungs-Einheit 16 am Fahrzeug 1 an. Das Anmelden erfolgt durch Einstecken einer dem Benutzer 14 persönlich zugeordneten Smartcard 17 in ein Smartcard-Lesegerät 18 (Verfahrensschritt A). Auf das Einstecken hin werden in einem Verfahrensschritt B Authentisierungsinformationen an eine Steuereinheit 20 übertragen.
  • Alternativ erfolgt das Anmelden durch Einstecken eines mechanischen Schlüssels 21 in ein mechanisches Schloss 22 und/oder durch Auslesen eines biometrischen Merkmals, beispielsweise eines Fingerabdrucks mittels einer Fingerabdrucklesers 19.
  • Die Steuereinheit 20 ist datentechnisch an das Ethernet-Netz 5 angeschlossen. In einem Verfahrensschritt C werden die Authentisierungsinformationen an eine Authentifizierungs-Einheit 24 übertragen. Die Authentifizierungs-Einheit 24 ist als Server 25 mit Authentifizierungsdienst, insbesondere einem Remote Authentication Dial-In User Service (RADIUS) ausgebildet. Der Server 25 dient innerhalb des Fahrzeugs 1 als zentraler Server bzw. Dienst zum Authentifizieren von Benutzern. Auf dem Server 25 sind Daten zu Benutzern, Zuordnungen von Benutzern zu Benutzergruppen und deren Berechtigungen gespeichert. Insbesondere dient der Server 25, welcher über das Ethernet-Netz 6 mit unterschiedlichen Teilnehmern datentechnisch verbunden ist, als SSO-Server (SSO: Single-Sign-On).
  • Liegen auf dem Server 25 zu den empfangenen Authentisierungsinformationen zugehörige Benutzerdaten vor, erzeugt der Server 25 in einem Verfahrensschritt D ein Authentifizierungs-Token. Das Authentifizierungs-Token identifiziert eine Sitzung des Benutzers 14. Mit anderen Worten: Das Authentifizierungs-Token verliert bei Beendigung der Sitzung seine Gültigkeit und/oder wird gelöscht. Die Beendigung der Sitzung wird beispielsweise durch Abmelden des Benutzers 14 ausgelöst.
  • 3 zeigt ein schematisches Ablaufdiagramm, welches die im Rahmen eines ersten Ausführungsbeispiels durchgeführten Verfahrensschritte repräsentiert.
  • In einem Verfahrensschritt E wird das Authentifizierungs-Token an die Benutzerschnittstelle 12 über das Ethernet-Netz 5, 6, 7 übertragen. Die Benutzerschnittstelle 12 speichert das Authentifizierungs-Token mittels einer Speichereinheit.
  • Beim Bedienen der Benutzerschnittstelle 12 ruft der Benutzer 14 in einem Verfahrensschritt F eine datentechnische Funktion auf. Beispielsweise erfragt der Benutzer 14 durch Bedienen der Benutzerschnittstelle 12 als datentechnische Funktion eine Anzeige von Informationen mittels der Benutzerschnittstelle 12. Auf diese Aktion des Benutzers 14 hin wird in einem Verfahrensschritt G eine Anfrage nach der Funktion von der Benutzerschnittstelle 12 an die Server-Einheit 10 gesendet. Der Anfrage wird das Authentifizierungs-Token für die Übersendung an die Server-Einheit 10 in einem Verfahrensschritt GG beigefügt.
  • In einem weiteren Verfahrensschritt H prüft die Server-Einheit 10 eine Berechtigung der Anfrage, indem die Server-Einheit 10 das Authentifizierungs-Token an die Authentifizierungseinheit 24 über das Ethernet-Netz 6 sendet. Die Authentifizierungseinheit 24 empfängt das Authentifizierungs-Token von der Server-Einheit 10 in einem Verfahrensschritt J. In einem Verfahrensschritt K prüft die Authentifizierungseinheit 24 eine zugehörige Berechtigung (die dem Authentifizierungs-Token zugeordnet ist) und stellt in einem Verfahrensschritt L eine Berechtigungsinformation, welche die Berechtigung des Benutzers 14 repräsentiert, bereit.
  • Die Berechtigungsinformation, welche Anmeldedaten des Benutzers und Berechtigungen des Benutzers repräsentieren, werden in einem Verfahrensschritt M an die Server-Einheit 10 übertragen. Die Server-Einheit 10 stellt die anzuzeigenden Informationen auf Basis der empfangenen Berechtigungsinformation in einem Verfahrensschritt N bereit und überträgt diese an die Benutzerschnittstelle 12. Die Information wird in einem Verfahrensschritt O mittels der Benutzerschnittstelle 12 angezeigt.
  • Die Verfahrensschritte H bis L sind insbesondere bei einem erstmaligen Anfragen mittels der Benutzerschnittstelle 12 innerhalb einer Sitzung durchzuführen. Sobald die Berechtigungsinformationen der Server-Einheit 10 vorliegen, kann diese datentechnische Funktionen anhand der Berechtigungsinformationen bis zur Beendigung der Sitzung bereitstellen.
  • 4 zeigt ein schematisches Ablaufdiagramm, welches die im Rahmen eines zweiten Ausführungsbeispiels durchgeführten Verfahrensschritte repräsentiert.
  • Nach Durchführung des Authentifizierungsvorgangs gemäß den in Bezug auf 2 beschriebenen Verfahrensschritten kann das bei dem Authentifizierungsvorgang erzeugte Authentifizierungs-Token an eine Datenschnittstelle 32 (über das Ethernet-Netz 5, 6, 7) übertragen und von einem Speicher der Datenschnittstelle gespeichert werden.
  • Insbesondere werden nach Durchführung des Authentifizierungsvorgangs Berechtigungsinformationen des Benutzers 14 von der Authentifizierungseinheit 24 über das Ethernet-Netz 6 an die Server-Einheit 10 übertragen (Verfahrensschritt P).
  • In einem Verfahrensschritt Q schließt der Benutzer 14 eine Speichereinheit 30 in Form eines USB-Speichers 31 an die Datenschnittstelle 32 an. Das Anschließen erfolgt beispielsweise durch Einstecken des USB-Speichers 31 in die Datenschnittstelle 32. Nach dem Anschließen der Speichereinheit 30 an die Datenschnittstelle 32 stellt eine Recheneinheit der Datenschnittstelle eine datentechnische Verbindung zur Server-Einheit 10 her. Dazu wird eine Verbindungsanfrage an die Server-Einheit 10 gerichtet. Die Server-Einheit 10 nimmt die Verbindungsanfrage entgegen.
  • Die Datenschnittstelle 32 fragt in einem Verfahrensschritt R bei der Server-Einheit 10 Daten an, die zur Speicherung auf der Speichereinheit 30 vorgesehen sind. Die Datenschnittstelle 32 umfasst eine USB-to-Ethernet-Bridge, welche eine Verbindung zwischen dem Ethernet-Netz 7 und einem USB-Anschluss der Datenschnittstelle zur Verfügung stellt (USB: Universal Serial Bus). Das Anfragen R erfolgt, indem bei dem Anschließen Q von der Datenschnittstelle 32 an die Server-Einheit 10 signalisiert wird, dass der USB-Speicher 31 angeschlossen ist.
  • Die Server-Einheit 10 prüft, welche Daten für eine Speicherung auf dem USB-Speicher 31 vorgesehen sind. In Abhängigkeit der Berechtigungsinformation stellt die Server-Einheit 10 die Daten in einem Verfahrensschritt S bereit. Beispielsweise ermittelt die Server-Einheit 10 anhand der Berechtigungsinformation, welche Daten für die Datenschnittstelle bereitgestellt werden. In einem Verfahrensschritt T werden die bereitgestellten Daten über das Ethernet-Netz 7 an die Datenschnittstelle 32 übertragen, um auf der Speichereinheit 30 gespeichert zu werden.

Claims (15)

  1. Verfahren zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbeitungssystems (8) eines spurgebundenen Fahrzeugs (2) umfassend: - Erzeugen (D) eines Authentifizierungs-Tokens mittels einer Authentifizierungs-Einheit (24) auf Basis eines Authentifizierungsvorgangs, wobei das Authentifizierungs-Token eine Sitzung eines Benutzers (14) des Datenverarbeitungssystems (8) identifiziert, und - Bereitstellen (N) der datentechnischen Funktion mittels einer Server-Einheit (10) des Datenverarbeitungssystems (8) auf Basis des Authentifizierungs-Tokens.
  2. Verfahren nach Anspruch 1, wobei der Authentifizierungsvorgang umfasst: Bereitstellen (C) einer Authentisierungsinformation mittels einer Authentisierungseinheit (16) und Erzeugen (D) des Authentifizierungs-Tokens mittels der Authentifizierungs-Einheit (24) auf Basis der Authentisierungsinformation.
  3. Verfahren nach Anspruch 2, wobei die Authentisierungseinheit (16) die Authentisierungsinformation auf Basis einer Anwendung - eines mechanischen und/oder elektronischen Schlüssels (21), - eines Identifikationsmediums, welches wenigstens eine Benutzerinformation bereitstellt, insbesondere einer Smartcard (17), und/oder - eines biometrischen Merkmals des Benutzers (14), welches von einem Leser (19) erfasst wird, erzeugt.
  4. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, wobei das Authentifizierungs-Token bei einem Beenden der Sitzung ungültig wird und/oder gelöscht wird.
  5. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, wobei das Authentifizierungs-Token an eine Benutzerschnittstelle (12), welche zum Abrufen (F) der Funktion durch den Benutzer (14) ausgebildet ist, übertragen wird (E).
  6. Verfahren nach Anspruch 5, wobei bei einer Anfrage (F, G) nach der datentechnischen Funktion, welche von der Benutzerschnittstelle (12) an die Server-Einheit (10) gerichtet ist, das Authentifizierungs-Token der Anfrage beigefügt wird (GG).
  7. Verfahren nach Anspruch 6, wobei die Server-Einheit (10) eine Berechtigung der Anfrage unter Zuhilfenahme der Authentifizierungs-Einheit (24) prüft (H) .
  8. Verfahren nach Anspruch 7, wobei - die Authentifizierungs-Einheit (24) das Authentifizierungs-Token von der Server-Einheit (10) empfängt (J), - die zugehörige Berechtigung prüft (K) und - eine Berechtigungsinformation, welche die Berechtigung des Benutzers (14) repräsentiert, bereitstellt (L).
  9. Verfahren nach Anspruch 8, wobei die datentechnische Funktion mittels der Server-Einheit (10) in Abhängigkeit der Berechtigungsinformation bereitgestellt wird.
  10. Verfahren nach wenigstens einem der Ansprüche 5 bis 9, wobei das Bereitstellen der datentechnischen Funktion ein Bereitstellen von Informationen mittels der Server-Einheit (10) für eine Anzeige (0) mittels der Benutzerschnittstelle (12) umfasst.
  11. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, wobei das Bereitstellen der datentechnischen Funktion ein Bereitstellen von Daten an einer Datenschnittstelle (32) des Datenverarbeitungssystems (8) umfasst.
  12. Verfahren nach Anspruch 11 umfassend: datentechnisches Anschließen (Q) einer Speichereinheit (30) an die Datenschnittstelle (32), Anfragen (R) der Daten mittels der Datenschnittstelle (32) bei der Server-Einheit (10) und Bereitstellen (S, T) der Daten mittels der Server-Einheit (10) auf Basis des Authentifizierungs-Tokens.
  13. System zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbeitungssystems (8) eines spurgebundenen Fahrzeugs umfassend: - eine Authentifizierungs-Einheit (24), welche ausgebildet ist, ein Authentifizierungs-Token auf Basis eines Authentifizierungsvorgangs zu erzeugen, wobei das Authentifizierungs-Token eine Sitzung eines Benutzers (14) des Datenverarbeitungssystems (8) identifiziert, und - eine Server-Einheit (10), welche ausgebildet ist, die datentechnische Funktion auf Basis des Authentifizierungs-Tokens bereitzustellen.
  14. Computerprogrammprodukt, das - zumindest teilweise direkt in einen Speicher einer Server-Einheit (10) geladen werden kann, - zumindest teilweise direkt in einen Speicher einer Authentifizierungs-Einheit (24) geladen werden kann und - Softwarecodeabschnitte umfasst, mit denen das Verfahren gemäß den Ansprüchen 1 bis 12 ausgeführt werden kann, wenn das Produkt auf einem Computer der Sever-Einheit (10) und einem Computer der Authentifizierungs-Einheit (24) läuft.
  15. Server-Einheit (10) für ein Datenverarbeitungssystem (8) eines spurgebundenen Fahrzeugs (2), welche ausgebildet ist - eine datentechnischen Funktion auf Basis eines Authentifizierungs-Tokens, welches eine Sitzung eines Benutzers (14) des Datenverarbeitungssystems (8) identifiziert, bereitzustellen und - das Authentifizierungs-Token von einer Authentifizierungs-Einheit (24) zu empfangen, welche ausgebildet ist, das Authentifizierungs-Token auf Basis eines Authentifizierungsvorgangs zu erzeugen.
DE102017221300.0A 2017-11-28 2017-11-28 Verfahren und System zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbeitungssystems eines spurgebundenen Fahrzeugs Pending DE102017221300A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102017221300.0A DE102017221300A1 (de) 2017-11-28 2017-11-28 Verfahren und System zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbeitungssystems eines spurgebundenen Fahrzeugs
PCT/EP2018/079528 WO2019105666A1 (de) 2017-11-28 2018-10-29 Verfahren und system zum bereitstellen einer datentechnischen funktion mittels eines datenverarbeitungssystems eines spurgebundenen fahrzeugs
CN201880076717.0A CN111406259A (zh) 2017-11-28 2018-10-29 借助有轨车辆的数据处理系统提供数据技术功能的方法和系统
EP18800531.8A EP3692457A1 (de) 2017-11-28 2018-10-29 Verfahren und system zum bereitstellen einer datentechnischen funktion mittels eines datenverarbeitungssystems eines spurgebundenen fahrzeugs
RU2020116390A RU2748111C1 (ru) 2017-11-28 2018-10-29 Способ и система для предоставления информационно-технической функции посредством системы обработки данных колейного транспортного средства

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017221300.0A DE102017221300A1 (de) 2017-11-28 2017-11-28 Verfahren und System zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbeitungssystems eines spurgebundenen Fahrzeugs

Publications (1)

Publication Number Publication Date
DE102017221300A1 true DE102017221300A1 (de) 2019-05-29

Family

ID=64270826

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017221300.0A Pending DE102017221300A1 (de) 2017-11-28 2017-11-28 Verfahren und System zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbeitungssystems eines spurgebundenen Fahrzeugs

Country Status (5)

Country Link
EP (1) EP3692457A1 (de)
CN (1) CN111406259A (de)
DE (1) DE102017221300A1 (de)
RU (1) RU2748111C1 (de)
WO (1) WO2019105666A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4060946A1 (de) * 2021-03-16 2022-09-21 Siemens Aktiengesellschaft Authentifizieren eines gerätes in einem kommunikationsnetz einer automatisierungsanlage

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090328170A1 (en) * 2008-04-21 2009-12-31 Cryptek, Inc. Method and Systems for Dynamically Providing Communities of Interest on an End User Workstation
DE102008042262B4 (de) * 2008-09-22 2010-05-27 Bundesdruckerei Gmbh Verfahren zur Speicherung von Daten, Computerprogrammprodukt, ID-Token und Computersystem
US20140337954A1 (en) * 2011-12-12 2014-11-13 Nokia Corporation Method and Apparatus for Providing Federated Service Accounts
US20170324730A1 (en) * 2010-02-19 2017-11-09 Nokia Technologies Oy Method and apparatus for identity federation gateway

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050269401A1 (en) * 2004-06-03 2005-12-08 Tyfone, Inc. System and method for securing financial transactions
EP1811421A1 (de) * 2005-12-29 2007-07-25 AXSionics AG Sicherheitstoken und Verfahren zur Benutzerauthentifizierung mit dem Sicherheitstoken
AU2007203701A1 (en) * 2007-08-08 2009-02-26 Red Crater Global Ltd Security control over computer access in restricted area
US8966268B2 (en) * 2011-12-30 2015-02-24 Vasco Data Security, Inc. Strong authentication token with visual output of PKI signatures
DE102012218943A1 (de) * 2012-10-17 2014-04-17 Bundesdruckerei Gmbh Verfahren zur Initialisierung von Datenbankmitteln
US9742767B1 (en) * 2014-09-25 2017-08-22 Google Inc. Systems, methods, and media for authenticating multiple devices
DE102014119241B4 (de) * 2014-12-19 2021-04-01 Knorr-Bremse Systeme für Schienenfahrzeuge GmbH Verfahren zur Authentifizierunq an einer Steuereinheit eines im Schienenfahrzeug befindlichen Subsystems und Steuereinheit hierfür
CN107925668B (zh) * 2015-07-02 2021-08-03 康维达无线有限责任公司 资源驱动的动态授权框架
CN106375270B (zh) * 2015-07-24 2020-12-08 华为技术有限公司 令牌生成并认证的方法及认证服务器
US9619638B2 (en) * 2015-08-25 2017-04-11 International Business Machines Corporation Vehicle operations based on biometric fingerprint analysis
JP6682254B2 (ja) * 2015-12-08 2020-04-15 キヤノン株式会社 認証連携システム及び認証連携方法、認可サーバー及びプログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090328170A1 (en) * 2008-04-21 2009-12-31 Cryptek, Inc. Method and Systems for Dynamically Providing Communities of Interest on an End User Workstation
DE102008042262B4 (de) * 2008-09-22 2010-05-27 Bundesdruckerei Gmbh Verfahren zur Speicherung von Daten, Computerprogrammprodukt, ID-Token und Computersystem
US20170324730A1 (en) * 2010-02-19 2017-11-09 Nokia Technologies Oy Method and apparatus for identity federation gateway
US20140337954A1 (en) * 2011-12-12 2014-11-13 Nokia Corporation Method and Apparatus for Providing Federated Service Accounts

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Single Sign-on. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 23.11.2017. URL: https://de.wikipedia.org/w/index.php?title=Single_Sign-on&oldid=171283981 [abgerufen am 20.11.2018] *

Also Published As

Publication number Publication date
RU2748111C1 (ru) 2021-05-19
EP3692457A1 (de) 2020-08-12
CN111406259A (zh) 2020-07-10
WO2019105666A1 (de) 2019-06-06

Similar Documents

Publication Publication Date Title
EP2997550B2 (de) Verfahren zur zugriffskontrolle
EP2332313B1 (de) Verfahren zur speicherung von daten, computerprogrammprodukt, id-token und computersystem
DE102011089580B3 (de) Verfahren zum Lesen von Attributen aus einem ID-Token
DE102007019541A1 (de) Verfahren und System zum Authentifizieren eines Benutzers
EP2966605A1 (de) Verfahren und System zur Authentifizierung eines Benutzers
EP2977964B1 (de) Verfahren zur nutzerbezogene Berechtigungen erfordernden Steuerung eines Gerätes über ein mobiles Endgerät
DE102011078018A1 (de) System zum Ausführen von Fernfunktionen eines Kraftfahrzeugs
DE102015005232B4 (de) Steuern einer Freischaltberechtigung eines Kraftfahrzeugs
DE102004044454A1 (de) Tragbares Gerät zur Freischaltung eines Zugangs
DE10311327A1 (de) Nutzer-Objekte zur Authentifizierung der Nutzung medizinischer Daten
DE102010010760B4 (de) Verfahren zur Vergabe eines Schlüssels an ein einem drahtlosen Sensor-Aktor-Netz neu hinzuzufügendes Teilnehmergerät
WO2015104087A1 (de) Bereitstellung eines fahrzeugnutzungsprofils für einen fahrer eines kraftfahrzeugs
WO2017157629A1 (de) Verfahren zur kontrolle des zugriffs auf fahrzeuge
DE102014108162A1 (de) Verfahren zur Bedienung eines Feldgerätes vermittels eines Bediengerätes
DE102017221300A1 (de) Verfahren und System zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbeitungssystems eines spurgebundenen Fahrzeugs
DE102015000479B4 (de) Kraftfahrzeug mit biometrischer Freischaltfunktion
DE102015101523A1 (de) Verfahren zur Berechtigungsverwaltung in einer Anordnung mit mehreren Rechensystemen
EP3062255A1 (de) Lizensierung von Softwareprodukten
DE102018202173A1 (de) Verfahren und Vorrichtung zur Authentifizierung eines Nutzers eines Fahrzeugs
EP3657750B1 (de) Verfahren zur authentifizierung einer datenbrille in einem datennetz
DE102018215739A1 (de) Verwendung einer Benutzerschnittstelle eines Fahrgastinformationssystems und/oder Unterhaltungssystems
DE102016210139A1 (de) Verfahren zum Setzen eines Identifikationsmerkmals, Fahrzeug, Betriebsverfahren für ein Sicherheitssystem und Sicherheitssystem
DE102008047639A1 (de) Verfahren und Vorrichtung zum Zugriff auf ein maschinenlesbares Dokument
DE102014100794A1 (de) Verfahren zumindest zum Lesen wenigstens einer Ausweisnummer von Benutzerdatenspeichern mit unterschiedlichen Datenstrukturen
WO2020126675A1 (de) Abwicklungssystem

Legal Events

Date Code Title Description
R012 Request for examination validly filed