-
Die vorliegende Erfindung ist gerichtet auf ein Verfahren zum Anbinden eines Internet-der-Dinge-Endgeräts an einen Datendienst bzw. an einen Server. Hierbei ist es besonders vorteilhaft, dass das Endgerät mittels einer weiteren Vermittlungskomponente derart entlastet wird, dass sowohl Rechenaufwand als auch die benötigte Bandbreite reduziert werden. Darüber hinaus ist es möglich, dass das Endgerät an einen Cloud-Server angebunden wird, auch wenn das Endgerät kein Internetprotokoll unterstützt. Die vorliegende Erfindung ist ferner gerichtet auf die Vermittlungskomponente an sich sowie auf eine Systemanordnung, welche dem Verfahren analog ausgestaltet ist. Darüber hinaus wird ein Computerprogrammprodukt mit Steuerbefehlen vorgeschlagen, welche das Verfahren implementieren bzw. die Systemanordnung betreiben.
-
US 9 860 677 B1 zeigt ein System gemäß dem Internet-der-Dinge, wobei IoT-Sensoren Messdaten liefern und an ein Gateway weiterleiten.
-
WO 2018/031 026 A1 zeigt ein Gateway, welches mit einem LPWA-Netzwerk kommuniziert.
-
-
Bei einer Datenkommunikation sind Schichtenmodelle bekannt, welche jeder Schicht eine spezifische Aufgabe zuordnen. So werden beispielsweise in einer physischen Schicht Hardwarekomponenten festgelegt, die der Datenkommunikation dienen. Typischerweise wird generell eine Anwendungsschicht vorgesehen, auf der Applikationen bzw. allgemein Steuerbefehle zur Ausführung gebracht werden können. Innerhalb der einzelnen Schichten sind Protokolle vorgesehen, die den Nachrichtenaustausch zwischen den Teilnehmern koordinieren. Darüber hinaus ist es bekannt, eine Datenkommunikation abzusichern und eine Paket-basierte Datenübertragung zum Beispiel über das Internetprotokoll IP zu bewerkstelligen.
-
Ebenfalls bekannt ist das sogenannte Internet-der-Dinge, bei dem Alltagsgegenstände mit einer Datenschnittstelle versehen werden und sodann an ein Netzwerk angebunden werden. Ein Anwendungsbeispiel ist das sogenannte Smarthome, bei dem beispielsweise eine Heizung oder ein Rollladen an ein zentrales Steuergerät kommunikativ angeschlossen werden.
-
Das Anwendungsszenario Internet-der-Dinge sieht hier ganz spezielle Endgeräte vor, welche typischerweise lediglich über geringe Rechenressourcen verfügen. So sind dieser Endgeräte in hoher Stückzahl bereitzustellen und somit werden diese bezüglich der möglichen Hardwareleistung bzw. Rechenkapazität schlank ausgeführt. Darüber hinaus sind die Schnittstellen typischerweise drahtlos ausgestaltet und verfügen generell über eine geringe Bandbreite. Somit handelt es sich also bei diesem Anwendungsszenario um ganz spezielle Endgeräte, welche bezüglich anderer Endgeräte aus anderen Anwendungsszenarien besonders einfach ausgestaltet sind.
-
Insgesamt ergibt sich folglich das Problem, dass eine Datenkommunikation bezüglich einem Internet-der-Dinge-Endgerät lediglich eingeschränkt ausgeführt werden kann, da es oftmals der Fall ist, dass entsprechende Endgeräte einige Anwendungen bzw. Protokolle nicht unterstützen. Selbst wenn die Endgeräte solche Protokolle unterstützen würden, so verfügen diese Endgeräte dennoch lediglich über derart geringe Hardwareressourcen bzw. eine geringe Bandbreite, dass in der Praxis die Verwendung solcher Protokolle nicht möglich ist.
-
Insgesamt ergibt sich also das Problem, dass die speziellen Endgeräte im Internet-der-Dinge nicht in jegliches Datennetz eingebunden werden können, da bestimmte Protokolle bzw. Anwendungen nicht unterstützt werden.
-
Somit ist es eine Aufgabe der vorliegenden Erfindung, ein verbessertes Verfahren bereitzustellen, welches es einem Endgerät mit geringen Hardwareressourcen ermöglicht, eine sichere Datenkommunikation mit einem anderen Netzwerkteilnehmer durchzuführen. Generell soll das vorgeschlagene Verfahren das Endgerät entlasten und hierbei dennoch sicherstellen, dass nichtunterstützte Protokolle erfindungsgemäß trotzdem bezüglich des Endgeräts kompatibel gemacht werden. Darüber hinaus ist es eine Aufgabe der vorliegenden Erfindung, eine entsprechende Vermittlungskomponente vorzuschlagen sowie eine Systemanordnung aufweisend die Vermittlungskomponente, wobei die vorgeschlagene Systemanordnung eingerichtet sein soll, das Verfahren auszuführen. Darüber hinaus ist es eine Aufgabe, ein Computerprogrammprodukt vorzuschlagen mit Steuerbefehlen, welche das Verfahren implementieren bzw. die Systemanordnung betreiben.
-
Die Aufgabe wird gelöst mit den Merkmalen der unabhängigen Patentansprüche. Weitere vorteilhafte Ausgestaltungen sind in den Unteransprüchen angegeben.
-
Demgemäß wird ein Verfahren zum Anbinden eines Internet-der-Dinge-Endgeräts an einen Datendienst vorgeschlagen, aufweisend ein kommunikatives Koppeln einer Vermittlungskomponente zwischen dem Endgerät und einem Server, ein Einrichten einer gesicherten Verbindung zwischen der Vermittlungskomponente und dem Server, wobei das Endgerät einen Identitätsnachweis an die Vermittlungskomponente übermittelt, ein Authentifizieren des Endgeräts bei dem Server mittels der eingerichteten gesicherten Verbindung und des Identitätsnachweises zwischen der Vermittlungskomponente und dem Server erfolgt, und bei einem positiven Authentifizieren ein Übertragen einer Nutzlast zwischen dem Endgerät und dem Server über die Vermittlungskomponente erfolgt.
-
Das vorgeschlagene Verfahren sieht vor, dass ein Endgerät mit geringen Hardwareressourcen an ein Netzwerk angeschlossen wird. Hierzu wird nicht, wie es der Stand der Technik zeigt, eine Ende-zu-Ende-Verschlüsselung implementiert, sondern vielmehr übernimmt eine Übermittlungskomponente die Datenübertragung zu dem Server bzw. dem Datendienst und übermittelt hierzu entsprechende Kontrolldaten. Mittels des vorgeschlagenen Verfahrens wird es möglich, dass das Endgerät im Wesentlichen nur Nutzlast überträgt und der sogenannte Overhead von der Vermittlungskomponente übersendet wird. Bei einem Overhead handelt es sich generell um Daten, die nicht der Nutzlast zuzuordnen sind, die aber dennoch übermittelt werden müssen, da beispielsweise eine Adressierung oder eine Absicherung des Kommunikationskanals erfolgt.
-
Somit ist es also besonders vorteilhaft, dass das Endgerät lediglich diejenige Kommunikation übernimmt, die dringend zur Übertragung der Nutzlast notwendig ist und weitere Verfahrensschritte bzw. Datenübertragungen an die Vermittlungskomponente ausgelagert werden. Dies bietet ebenfalls den Vorteil, dass das Endgerät mit einem Server kommunizieren kann, auch wenn das Endgerät nicht das sogenannte Internetprotokoll unterstützt. Dies wird dadurch möglich, dass die Vermittlungskomponente vorgeschaltet wird, und somit kann diese Vermittlungskomponente die Datenkommunikation mit dem Server übernehmen.
-
Darüber hinaus ist es besonders vorteilhaft, dass einzelne Verfahrensschritte, die der Absicherung der Datenkommunikation dienen, ebenfalls von der Vermittlungskomponente durchgeführt werden können. So kann der sogenannte Handshake derart durchgeführt werden, dass nicht das Endgerät an sich den Handshake durchführt, sondern vielmehr kann das Endgerät lediglich eine Identität bzw. ein Zertifikat an die Vermittlungskomponente übersenden. Die Vermittlungskomponente übernimmt sodann die wesentlichen Verfahrensschritte im Handshake und kommuniziert direkt mit dem Server. Das Endgerät kommuniziert generell ebenfalls mit dem Server, wobei dies lediglich indirekt über die Vermittlungskomponente erfolgt.
-
Der angeführte Handshake wird lediglich beispielhaft beschrieben, wobei die Datenkommunikation möglichst von dem Endgerät an die Vermittlungskomponente ausgelagert wird. So übernimmt die Vermittlungskomponente die Kommunikation mit dem Server und handelt hierbei beispielsweise eine Netzwerkadresse aus bzw. übermittelt diejenigen Zertifikate, die zur Kommunikation mit dem Server notwendig sind.
-
Das vorgeschlagene Endgerät, welches an dem Verfahren teilnimmt, ist typischerweise ein mobiles Endgerät, welches mittels einer Luftschnittstelle Daten kommunizieren kann. Generell ist die vorliegende Erfindung besonders bei einem Endgerät gemäß dem Internet-der-Dinge einzusetzen, da hier der Vorteil der geschickten Aufteilung der Datenkommunikation besonders zum Tragen kommt. Dies ist deshalb der Fall, da das Endgerät in seinen Rechenressourcen und Datenübertragungskapazitäten stark eingeschränkt ist. So handelt es sich bei dem Endgerät typischerweise um ein mobiles Endgerät mit einem Mikrocontroller, geringem Speicher und beispielsweise einer Spulenantenne. Der Fachmann kennt hier weitere Beispiele eines Endgeräts gemäß dem Internet-der-Dinge, wobei ein solches Endgerät nicht über einen leistungsstarken Prozessor verfügt, wie dies bei einem Mobiltelefon oder einem Computer der Fall ist. Zudem ist es möglich, dass das Endgerät lediglich über eine passive Stromquelle verfügt. So ist es möglich, dass das Endgerät beispielsweise als eine Smartcard vorliegt, welche eine Drahtspule aufweist. Wird die Smartcard an das Lesegerät herangeführt, so wird ein Strom induziert und die Smartcard wird mittels dieses induzierten Stroms betrieben. Somit steht eben lediglich für einen Bruchteil einer Sekunde eine Stromversorgung bereit, und es können folglich keine aufwändige Datenkommunikation und Rechenschritte durchgeführt werden. In diesem Zeitraum können lediglich Nutzdaten an die Vermittlungskomponente übersendet werden, wobei auch eine Identität des Endgeräts übertragen wird. Die weitere Datenkommunikation übernimmt sodann die Vermittlungskomponente und übermittelt die entsprechenden Daten an den Server. Gemäß einem Aspekt der vorliegenden Erfindung kann es auch möglich sein, dass die Kommunikationseinrichtung lediglich in der Richtung von dem Endgerät zu dem Server betrieben wird. Dies ist beispielsweise bei einer Smartcard der Fall, da diese stets ohne Stromversorgung ist und lediglich bei einem induzierten Strom Daten freigibt.
-
Generell wird der Datendienst von dem Server bereitgestellt, wobei es sich um einen herkömmlichen Server handeln kann. Dies ist deshalb der Fall, da der Server leistungsstarke Hardwareressourcen vorhält und somit uneingeschränkt mit der Vermittlungskomponente kommunizieren kann. Die Vermittlungskomponente liegt ebenfalls typischerweise als ein leistungsstarkes Endgerät vor, wodurch ebenfalls die Kommunikation mit dem Server nicht eingeschränkt ist. Lediglich die Kommunikation zwischen dem Endgerät und der Vermittlungskomponente unterliegt starken Restriktionen, da das Endgerät, wie bereits beschrieben, typischerweise über wenig Bandbreite verfügt und zudem teilweise gängige Protokolle nicht unterstützt.
-
Bei dem vorgeschlagenen Verfahren zum Anbinden eines Internet-der-Dinge-Endgeräts dient das Anwendungsszenario des Internet-der-Dinge der Verdeutlichung, dass es sich bei dem Endgerät um ein leistungsschwaches Endgerät handelt, welches einen Datendienst eines Servers in Anspruch nehmen will. So kann das Endgerät beispielsweise Statusinformationen an den Server übermitteln, und in einem Rückkanal kann der Server optional das Endgerät anweisen, einen bestimmten Vorgang auszuführen. Die vorgeschaltete Vermittlungskomponente vermittelt also die Datenkommunikation zwischen dem Endgerät und dem Server.
-
Hierzu ist die Vermittlungskomponente zwischen dem Endgerät und dem Server kommunikativ gekoppelt. Dies erfolgt typischerweise auf Seiten des Endgeräts mittels einer Luftschnittstelle und auf Seiten des Servers mittels einer drahtgebundenen Kommunikation. Hierbei erkennt der Fachmann, dass weitere, nicht-genannte Komponenten notwendig sein können, welche die Netzwerkkommunikation vermitteln bzw. übernehmen. Netzwerktechnisch eingerichtete Komponenten können beispielsweise Router sein oder generell Komponenten, welche eine Datenkommunikation im Internet übernehmen. Generell können alle Datenkommunikationen auch drahtlos durchgeführt werden, wobei ein entsprechender Dienstanbieter verwendet wird. Das kommunikative Koppeln dient also für das Einrichten einer Datenschnittstelle zwischen dem Endgerät und der Vermittlungskomponente auf der einen Seite und der Vermittlungskomponente und dem Server auf der anderen Seite. Insgesamt wird also ein Netzwerk aufgespannt, welches sowohl das Endgerät, die Vermittlungskomponente, als auch den Server umfasst. Hierbei ist es jedoch vorteilhaft, dass keine einheitliche Datenkommunikation in dem Netzwerk stattfindet, sondern vielmehr kann die Vermittlungskomponente mit dem Endgerät gemäß einem ersten Protokoll kommunizieren und die Vermittlungskomponente kann mit dem Server mittels eines zweiten Protokolls kommunizieren. Folglich ist es also möglich, dass die Kommunikation zwischen dem Server und der Vermittlungskomponente abgesichert wird, wobei die Verbindung zwischen Endgerät und Vermittlungskomponente nicht abgesichert wird.
-
Damit eine Autorisierung bzw. eine Authentifizierung des Endgeräts erfolgen kann, übermittelt das Endgerät einen Identitätsnachweis entweder nur an die Vermittlungskomponente oder indirekt über die Vermittlungskomponente an den Server. Folglich wird sichergestellt, dass nicht jedes beliebige Endgerät eine Datenkommunikation durchführen kann, sondern lediglich berechtigte Endgeräte können bei dieser Datenkommunikation teilnehmen. So kann der Vermittlungskomponente bekannt sein, welche Endgeräte kommunizieren dürfen und welche nicht. So kann letztendlich die Authentifizierung des Endgeräts in der Vermittlungskomponente erfolgen und/oder in dem Server. Erfindungsgemäß ist es möglich, dass dieser Identitätsnachweis, welcher beispielsweise in einem Zertifikat übermittelt wird, der einzige Overhead ist. Somit ist es also möglich, dass nur Nutzdaten übertragen werden und eben der Identitätsnachweis. Folglich ist die Datenkommunikation zwischen dem Endgerät und der Vermittlungskomponente stark eingeschränkt, was den beschränkten Kapazitäten innerhalb des Endgeräts Sorge trägt.
-
Das Authentifizieren des Endgeräts kann derart erfolgen, dass das Endgerät bei der Vermittlungskomponente authentifiziert wird und die Vermittlungskomponente hierzu mit dem Server kommuniziert. Darüber hinaus ist es auch möglich, dass das Endgerät direkt beim Server authentifiziert wird, wobei die Vermittlungskomponente lediglich die Datenkommunikation übernimmt. Das Authentifizieren stellt sicher, dass das Endgerät tatsächlich ein berechtigtes Endgerät ist und nicht willkürlich irgendwelche dritten Endgeräte über die Luftschnittstelle Daten austauschen. Besonders vorteilhaft ist es hierbei, dass das Authentifizieren mittels der gesicherten Verbindung erfolgt, und somit wird die Datenkommunikation zwischen der Vermittlungskomponente und dem Server derart abgesichert, dass Dritte weder auf die Daten zugreifen können, noch diese verfälschen können. Hierzu können kryptographische Verfahren eingesetzt werden.
-
Bei einem positiven Authentifizieren erhält das Endgerät eine Freigabe und kann indirekt über die Vermittlungskomponente auf den Server zugreifen. Erfolgt kein positives Authentifizieren, so kann das vorgeschlagene Verfahren abgebrochen werden und/ oder es wird eine Fehlermeldung erzeugt. Ein Übertragen einer Nutzlast ist vorliegend nicht abschließend zu verstehen, sondern vielmehr kann auch eine weitere Datenmenge an den Server übertragen werden.
-
Gemäß einem Aspekt der vorliegenden Erfindung kommunizieren das Endgerät und die Vermittlungskomponente mittels eines Niedrigenergieweitverkehrnetzwerks. Dies hat den Vorteil, dass auch sogenannte LPWA-Komponenten unterstützt werden. Hierbei handelt es sich um sogenannte Low-Power-Wide-Area-Komponenten. Folglich wird ein solches Netzwerk zwischen dem Endgerät und der Vermittlungskomponente aufgespannt, was das Endgerät derart vom Stand der Technik unterscheidet, dass nicht jegliche Datenverbindung vorgesehen wird, sondern vielmehr beschränkt diese Kommunikation das Endgerät auf ein Endgerät des sogenannten Internet-der-Dinge. Somit ist es möglich, dass das Endgerät und die Vermittlungskomponente über das vorgeschlagene Netzwerk kommunizieren und die Vermittlungskomponente mit dem Server über eine TCP/IP-Verbindung kommunizieren.
-
Gemäß einem weiteren Aspekt der vorliegenden Erfindung betreibt das Endgerät lediglich eine schmalbandige Funkschnittstelle. Dies hat den Vorteil, dass auf der Seite des Endgeräts lediglich geringe Hardwareressourcen benötigt werden und das Endgerät als ein sogenanntes Narrowband-Endgerät vorliegen kann. Somit ist vorgesehen, dass das Endgerät ausschließlich diese Funkschnittstelle betreibt und keine leistungsstarke Funkschnittstelle, wie beispielsweise gemäß einem WLAN-Standard.
-
Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird das Endgerät mittels einer LoRaWAN oder einer Narrowband-IoT-Spezifikation betrieben. Dies hat den Vorteil, dass das Endgerät gängige Standards bedienen kann und mittels der entsprechenden Standardisierung das Endgerät in einfacher Art und Weise in das Netzwerk eingebunden werden kann.
-
Gemäß einem weiteren Aspekt der vorliegenden Erfindung kommuniziert die Vermittlungskomponente mit dem Server mittels eines ersten Protokolls und die Vermittlungskomponente mit dem Endgerät mittels eines zweiten, vom ersten unterschiedlichen Protokoll. Dies hat den Vorteil, dass auch ein heterogenes Netzwerk betrieben werden kann, bei dem beispielsweise die Vermittlungskomponente mit dem Server mittels Internetprotokoll kommuniziert und die Vermittlungskomponente mit dem Endgerät mittels eines Protokolls aus dem Internet-der-Dinge. Somit dient also die Vermittlungskomponente als ein Gateway, welches zwischen den beiden Netzwerktechniken vermittelt.
-
Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird die gesicherte Verbindung gemäß dem Transport Layer Security TLS Protokoll betrieben. Dies hat den Vorteil, dass bestehende Implementierungen betrieben werden können und die Datenkommunikation des Endgeräts mit dem Server, insofern als diese von der Vermittlungskomponente betrieben wird, entsprechend abgesichert werden kann. Somit kann also mindestens die Strecke zwischen der Vermittlungskomponente zu dem Server abgesichert werden und das Endgerät muss entsprechende Daten nicht offen übermitteln. Darüber hinaus kann das Transport Layer Security Protokoll auf die einzelnen Einzelheiten verteilt werden, so dass das Endgerät generell an einer Absicherung des Kommunikationskanals teilnimmt, die wesentliche Arbeit jedoch von dem leistungsfähigeren Gateway bzw. der Vermittlungskomponente übernommen wird.
-
Gemäß einem weiteren Aspekt der vorliegenden Erfindung sendet die Vermittlungskomponente ein Zertifikat an den Server. Dies hat den Vorteil, dass auf diese Art und Weise die Identität des Endgeräts auch an den Server übermittelt werden kann. Darüber hinaus kann es vorteilhaft sein, Zertifikate einzusetzen, um die Datenkommunikation abzusichern.
-
Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird das Endgerät mittels einer physischen Schicht und einer Datencodierungsschicht betrieben. Dies hat den Vorteil, dass diese beiden Schichten ausreichend sind, um ein Endgerät bereitzustellen, ohne hierbei unnötige weitere Schichten zu implementieren. Bei der Datencodierungsschicht handelt es sich beispielsweise um eine Schicht, die die Anwendungen vorhält und betreibt und im Wesentlichen im Zusammenwirken mit der physischen Schicht die Datenkommunikation bewerkstelligt. Somit wird also kein umfangreiches Schichtenmodell implementiert, wie es beispielsweise das ISO OSI Modell vorsieht. Hierbei ist es insbesondere vorteilhaft, dass das Endgerät nicht die weiteren Schichten vorhalten muss, aber trotzdem mittels anderer Endgeräte kommunizieren kann, welche das komplette Schichtenmodell implementieren. Damit weitere Protokolle bedient werden können, wird die Vermittlungskomponente zwischengeschaltet, die weitere Schichten vorhält.
-
Gemäß einem weiteren Aspekt der vorliegenden Erfindung führt die Vermittlungskomponente eine Identitätsprüfung des Endgeräts mittels des Identitätsnachweises durch. Dies hat den Vorteil, dass die Identitätsprüfung bereits bei der Vermittlungskomponente erfolgen kann und nicht erst bei dem Server. Letzteres ist erfindungsgemäß jedoch ebenfalls möglich. Die Identitätsprüfung stellt sicher, dass das Gerät bzw. das Endgerät zu authentifizieren ist und tatsächlich auch ein berechtigtes Endgerät an der Datenkommunikation teilnimmt.
-
Gemäß einem weiteren Aspekt der vorliegenden Erfindung kommunizieren die Vermittlungskomponente und der Server mittels des Internetprotokolls IP. Dies hat den Vorteil, dass eine vollwertige Datenkommunikation zwischen diesen beiden Einheiten durchgeführt werden kann. Darüber hinaus können herkömmliche Netzwerke, wie beispielsweise das Internet, Verwendung finden.
-
Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird ein SSL/TLS Handshake durch das Endgerät, die Vermittlungskomponente und dem Server durchgeführt. Dies hat den Vorteil, dass nicht die gesamte Kommunikation bzw. der Handshake durch das Endgerät durchgeführt werden muss, sondern vielmehr kann das Endgerät Arbeits- bzw. Rechenschritte an die Vermittlungskomponente auslagern. Ein entsprechendes Beispiel eines solchen Handshakes ist in den Figuren gezeigt. Bei einem Handshake handelt es sich um einen definierten Begriff im Rahmen des SSL/TLS Protokolls.
-
Gemäß einem weiteren Aspekt der vorliegenden Erfindung betreibt das Endgerät ein sicheres Element. Dies hat den Vorteil, dass ein Hardwarebaustein vorliegen kann, der softwaretechnisch und/oder hardwaretechnisch besonders gegen einen Eingriff Dritter bzw. ein Auslesen abgesichert ist. Bei dem sicheren Element kann es sich beispielsweise um eine Universal Integrated Circuit Card UICC oder eine embedded Universal Integrated Circuit Card eUICC handeln. So können sicherheitsrelevante Verfahrensschritte in dem besonders abgesicherten Bereich in dem Endgerät durchgeführt werden. Darüber hinaus kann vertrauliche Information, wie beispielsweise die Identität des Endgeräts in diesem Element abgespeichert werden.
-
Die Aufgabe wird auch gelöst durch eine Vermittlungskomponente eingerichtet zur Verwendung in dem vorgeschlagenen Verfahren.
-
Die Aufgabe wird auch gelöst durch eine Systemanordnung zum Anbinden eines Internet-der-Dinge-Endgeräts an einen Datendienst, aufweisend eine Vermittlungskomponente , welche kommunikativ zwischen dem Endgerät und einem Server gekoppelt ist, eine Schnittstellenvorrichtung zum Einrichten einer gesicherten Verbindung zwischen der Vermittlungskomponente und dem Server, wobei das Endgerät eingerichtet ist, einen Identitätsnachweis an die Vermittlungskomponente zu übermitteln, die Systemanordnung eingerichtet ist, ein Authentifizieren des Endgeräts bei dem Server mittels der eingerichteten gesicherten Verbindung und des Identitätsnachweises zwischen der Vermittlungskomponente und dem Server durchzuführen, und die Systemanordnung eingerichtet ist, bei einem positiven Authentifizieren ein Übertragen einer Nutzlast zwischen dem Endgerät und dem Server über die Vermittlungskomponente durchzuführen.
-
Die vorgeschlagene Systemanordnung umfasst im Wesentlichen das Endgerät, die Vermittlungskomponente und den Server. Es können generell weitere netzwerktechnisch eingerichtete Vorrichtungen Anwendung finden. Die Systemanordnung umfasst gemäß einem Aspekt der vorliegenden Erfindung nicht lediglich die Eignung zur Durchführung der einzelnen Verfahrensschritte bzw. zur Bereitstellung einer entsprechenden Funktionalität, sondern ist tatsächlich so eingerichtet.
-
Die Aufgabe wird auch gelöst durch ein Computerprogrammprodukt mit Steuerbefehlen, welche das Verfahren implementieren bzw. die Systemanordnung betreiben.
-
Erfindungsgemäß ist es besonders vorteilhaft, dass das Verfahren eingerichtet ist, die Systemanordnung zu betreiben, und die Systemanordnung eingerichtet ist, das vorgeschlagene Verfahren auszuführen. So hält das Verfahren Verfahrensschritte vor, welche funktional durch strukturelle Merkmale der Systemanordnung nachgebildet werden können. Darüber hinaus umfasst die Systemanordnung strukturelle Merkmale, welche eine Funktionalität bereitstellen, die den Verfahrensschritten entspricht.
-
Weitere vorteilhafte Ausgestaltungen werden anhand der beigefügten Figuren näher erläutert. Es zeigen:
- 1: ein Schichtenmodell, wie es erfindungsgemäß Einsatz findet;
- 2: die vorgeschlagene Systemanordnung gemäß einem Aspekt der vorgeschlagenen Erfindung;
- 3: ein Sequenzdiagramm gemäß dem vorgeschlagenen Verfahren bzw. ein Protokoll zum Betreiben der Systemanordnung; und
- 4: ein schematisches Ablaufdiagramm des Verfahrens zum Anbinden eines Endgeräts an einen Datendienst.
-
1 zeigt ein Schichtenmodell und verdeutlicht insbesondere, warum eine TLS-Authentifizierung mit einem Narrowband-Internet-of-Things-Endgerät nicht funktioniert. So sind vorliegend mehrere Schichten gezeigt, beispielsweise die Sicherungsschicht, die Vermittlungsschicht, die Transportschicht und die Anwendungsschicht. Auf der Anwendungsschicht wird typischerweise SSL/TLS implementiert und darüber hinaus weitere Dienste für Applikationen wie E-Mail-Clients und -Server sowie www-Server. Generell besteht hierbei jedoch das Problem, dass bei einem Endgerät des Internet-der-Dinge kein SSL/TLS verfügbar ist. Somit ist es also hier nicht möglich, eine Absicherung der Datenkommunikation mittels dieses Protokolls durchzuführen. Dieser Nachteil wird erfindungsgemäß dadurch überwunden, dass die Vermittlungskomponente tatsächlich SSL/TLS implementieren kann und somit die abgesicherte Datenkommunikation mit dem Server für das Endgerät übernimmt.
-
2 zeigt auf der linken Seite das Endgerät, in der Mitte die Vermittlungskomponente und auf der rechten Seite den Server. Vorliegend ist die Vermittlungskomponente als Gateway bezeichnet und der Server ist als Cloud-Dienst bezeichnet. Wie auf der linken Seite eingezeichnet ist, umfasst das Endgerät lediglich zwei Schichten, nämlich eine Datencodierungsschicht und eine physische Schicht. Insgesamt ist es also nicht möglich, dass das Endgerät das Internetprotokoll implementiert, weshalb es mit dem Gateway kommuniziert. So übermittelt das Endgerät lediglich die Nutzdaten und diejenige Information, welche zum Überprüfen der Identität benötigt wird, an das Gateway. Wie in der Mitte gezeigt ist, umfasst das Gateway also die Vermittlungskomponente, sowohl das Schichtenmodell des Endgeräts als auch das Schichtenmodell des Servers. Somit ist es also möglich, dass mittels einer Schnittstelle vorliegend auf der linken Seite mit dem Endgerät kommuniziert wird, und vorliegend auf der rechten Seite des Gateway eine Schnittstelle vorgesehen ist, die mit dem Server kommuniziert. Jeder der Kommunikationspartner hat also in dem Gateway ein geeignetes Schichtenmodell zur Verfügung, mit dem er kommunizieren kann. So weist das Endgerät ein erstes Schichtenmodell auf, welches von dem Schichtenmodell des Servers unterschiedlich ist, und die Vermittlungskomponente umfasst sowohl das Schichtenmodell des Endgeräts als auch des Servers.
-
Wie rechts oben eingezeichnet ist, erfolgt ein TLS Handshake mit einer Anfrage einer Client-Authentifizierung. Somit erfolgt also die Authentifizierung des Endgeräts zwischen dem Gateway und dem Server.
-
3 zeigt eine Integration des Endgeräts mittels eines TLS Handshake. Hierzu ist auf der linken Seite das Endgerät eingezeichnet, in der Mitte die Vermittlungskomponente und auf der rechten Seite der Server. Das Endgerät wird als Endpunkt bezeichnet, die Vermittlungskomponente wird als Basisstation bezeichnet und der Server wird hier als Cloud-Server bezeichnet.
-
Wie in der vorliegenden 3 ersichtlich ist, erfolgt erst ein Verbindungsaufbau, wozu entsprechende Nachrichten übermittelt werden. Die Basisstation agiert hier als Client und der Cloud-Server agiert als Server. Hierzu kann eine Identifikation übermittelt werden sowie weitere Informationen, die der Absicherung des Datenkanals dienen. Beispielsweise kann eine Zufallszahl übermittelt werden. Generell wird ein TLS-Protokoll implementiert, wobei jedoch das Endgerät beteiligt wird, wie es auf der linken Seite gezeigt ist. Hierzu werden Zertifikate angefragt und übermittelt, was zwischen der Basisstation und dem Server geschieht, und sodann übermittelt das Endgerät die Nutzdaten mit einer Kennung für den Client und Prüfdaten für das Überprüfen der eigenen Identität. Es kann auch eine Anfrage für eine Verschlüsselungsoperation mit den Nutzdaten übermittelt werden. Wie sodann auf der rechten Seite erkenntlich ist, erfolgt ein Verifizieren des Zertifikats, und der Server bekommt mitgeteilt, dass tatsächlich ein berechtigtes Endgerät vorliegt. Darüber hinaus können weitere bekannte Informationen ausgetauscht werden, wie beispielsweise ein Sitzungsschlüssel.
-
Wie beschrieben, erfolgt der SSL/TLS Handshake derart, dass dieser zwischen dem Endgerät und dem Gateway aufgespalten wird. So unterstützt das Gateway TCP/IP und das Endgerät eben nicht. Die Zertifizierung des Client wird durch die Basisstation durchgeführt und nicht durch das Endgerät. Die Basisstation kennt das Endgerät und zielt darauf ab, Iot-Daten in die Cloud zu liefern und führt hierzu den SSL Handshake durch. Die SIM in dem Endgerät kalkuliert die Nachricht bzw. die Challenge, was dazu benötigt wird, dass das Endgerät nachweist, dass es den richtigen Schlüssel vorhält. So kann der Schlüssel beispielsweise auch zum Nachweis der Identität des Endgeräts dienen. Erhält die Basisstation Pakete von dem Server, so wandelt sie diese Pakete um, derart, dass sie nicht mehr Internetprotokollbasiert sind. Folglich können die Inhalte der Pakete an das Endgerät übermittelt werden.
-
Die Aufteilung des kryptographischen Handshakes zwischen dem IoT-Endpunkt und dem Gateway bzw. der Basisstation sowie anschließend die eigentliche kryptographische Protokollausführung zwischen Gateway bzw. Basisstation und Cloud-Server ist vorteilhaft. Aus dem Stand der Technik sind lediglich Verfahren bekannt, bei denen eine Ende-zu-Ende-Sicherheit zwischen jeweils zwei Endpunkten etabliert wird. Die Erfindung erlaubt eine Aufteilung auf drei Endpunkte, nämlich dem Endgerät, der Vermittlungskomponente und dem Server, mit dem Vorteil, dass der Protokoll-Overhead für Low Bandwidth IoT-Endpunkte stark reduziert wird.
-
4 zeigt in einem schematischen Ablaufdiagramm ein Verfahren zum Anbinden eines Internet-der-Dinge-Endgeräts an einen Datendienst, aufweisend ein kommunikatives Koppeln 100 einer Vermittlungskomponente zwischen dem Endgerät und einem Server, ein Einrichten 101 einer gesicherten Verbindung zwischen der Vermittlungskomponente und dem Server, wobei das Endgerät einen Identitätsnachweis an die Vermittlungskomponente übermittelt 102, ein Authentifizieren 103 des Endgeräts bei dem Server mittels der eingerichteten 101 gesicherten Verbindung und des Identitätsnachweises zwischen der Vermittlungskomponente und dem Server erfolgt und bei einem positiven Authentifizieren ein Übertragen 104 einer Nutzlast zwischen dem Endgerät und dem Server über die Vermittlungskomponente erfolgt.
-
Der Fachmann erkennt hierbei, dass das Verfahren iterativ ausgeführt werden kann und zudem einzelne Verfahrensschritte Unterschritte aufweisen können.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- US 9860677 B1 [0002]
- WO 2018/031026 A1 [0003]
- CN 101917465 A1 [0004]