DE102018207445A1 - Method for providing user data on a communication device, central data processing device and communication system - Google Patents

Method for providing user data on a communication device, central data processing device and communication system Download PDF

Info

Publication number
DE102018207445A1
DE102018207445A1 DE102018207445.3A DE102018207445A DE102018207445A1 DE 102018207445 A1 DE102018207445 A1 DE 102018207445A1 DE 102018207445 A DE102018207445 A DE 102018207445A DE 102018207445 A1 DE102018207445 A1 DE 102018207445A1
Authority
DE
Germany
Prior art keywords
communication device
user
user data
data processing
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018207445.3A
Other languages
German (de)
Inventor
Simon Gerlach
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Volkswagen AG
Original Assignee
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen AG filed Critical Volkswagen AG
Priority to DE102018207445.3A priority Critical patent/DE102018207445A1/en
Publication of DE102018207445A1 publication Critical patent/DE102018207445A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Abstract

Die Erfindung betrifft ein Verfahren zum Bereitstellen von ersten Benutzerdaten (ID1) eines Benutzers (12) auf einem ersten Kommunikationsgerät (14), wobei ein zweites Kommunikationsgerät (16) bereitgestellt wird, auf welchem zweite Benutzerdaten (ID2) des Benutzers (12) gespeichert sind, und eine direkte kommunikative Verbindung (24) zwischen dem ersten und dem zweiten Kommunikationsgerät (14, 16) hergestellt wird. Weiterhin werden Geräte-Identifikationsdaten (VIN) zur Identifikation des ersten Kommunikationsgeräts (14) vom ersten Kommunikationsgerät (14) zum zweiten Kommunikationsgerät (16) übertragen und eine Anfrage (26) zum Bereitstellen der ersten Benutzerdaten (ID1) auf dem ersten Kommunikationsgerät (14), die zweiten Benutzerdaten (ID2) und die Geräte-Identifikationsdaten (VIN) vom zweiten Kommunikationsgerät (16) an ein geräteexternes zentrales Datenverarbeitungssystem (18) übermittelt. Zudem werden die ersten Benutzerdaten (ID1) vom zentralen Datenverarbeitungssystem (18) an das erste Kommunikationsgerät (14) in Abhängigkeit von den an das zentrale Datenverarbeitungssystem (18) übermittelten zweiten Benutzerdaten (ID2) und der Geräte-Identifikationsdaten (VIN) übermittelt.The invention relates to a method for providing first user data (ID1) of a user (12) on a first communication device (14), wherein a second communication device (16) is provided, on which second user data (ID2) of the user (12) are stored , and a direct communicative connection (24) is established between the first and the second communication device (14, 16). Furthermore, device identification data (VIN) for identifying the first communication device (14) is transmitted from the first communication device (14) to the second communication device (16) and a request (26) for providing the first user data (ID1) to the first communication device (14). , the second user data (ID2) and the device identification data (VIN) from the second communication device (16) to a device external central data processing system (18) transmitted. In addition, the first user data (ID1) are transmitted from the central data processing system (18) to the first communication device (14) as a function of the second user data (ID2) and the device identification data (VIN) transmitted to the central data processing system (18).

Description

Die Erfindung betrifft ein Verfahren zum Bereitstellen bzw. Übertragen von ersten Benutzerdaten eines Benutzers auf einen erstes Kommunikationsgerät, insbesondere einem Kraftfahrzeug, wobei ein zweites Kommunikationsgerät bereitgestellt wird, auf welchem zweite Benutzerdaten des Benutzers gespeichert sind und eine direkte kommunikative Verbindung zwischen dem ersten und dem zweiten Kommunikationsgerät hergestellt wird. Zur Erfindung gehören auch eine zentrale Datenverarbeitungseinrichtung und ein Kommunikationssystem.The invention relates to a method for providing or transmitting first user data of a user to a first communication device, in particular a motor vehicle, wherein a second communication device is provided, on which second user data of the user are stored and a direct communicative connection between the first and the second Communication device is made. The invention also includes a central data processing device and a communication system.

Viele Fahrzeugfunktionen werden heutzutage zunehmend auf Online-Dienste gestützt. Um solche Online-Dienste in Anspruch nehmen zu können, ist üblicherweise die Kenntnis des Nutzers für viele Dienste notwendig. Möchte also ein Benutzer eines Fahrzeugs solche Dienste über das Fahrzeug in Anspruch nehmen, muss er sich dafür üblicherweise mit einem Nutzeraccount oder ähnliches anmelden. Solche Anmeldungen werden von Nutzern häufig als lästig empfunden, da sie nicht primär der Fahraufgabe dienen und dazu umständlich sind. Gerade bei häufigem Fahrzeugwechsel, wie dies zum Beispiel beim Leasing von Fahrzeugen oder auch bei der Benutzung von Carsharing-Diensten der Fall ist, werden solche Anmeldungsverfahren von Benutzern als besonders umständlich empfunden, da sie jedes Mal viel Zeit in Anspruch nehmen. Zudem haben viele Nutzergruppen auch zu wenig technisches Verständnis um einen solchen Anmeldungsvorgang durchzuführen. Solche Nutzergruppen können dann Online-Dienste gar nicht in Anspruch nehmen.Many vehicle functions are increasingly being based on online services today. To be able to use such online services, usually the knowledge of the user for many services is necessary. If a user of a vehicle wants to use such services via the vehicle, he usually has to register with a user account or the like for this purpose. Such applications are often perceived by users as annoying because they are not primarily the driving task and are cumbersome. Especially with frequent vehicle changes, as is the case for example with the leasing of vehicles or also with the use of car sharing services, such registration procedures are perceived by users as particularly cumbersome, as they take a lot of time each time. In addition, many user groups also have too little technical understanding to perform such a registration process. Such user groups can then not use online services at all.

In diesem Zusammenhang beschreibt die DE 10 2012 024 010 A1 ein Verfahren für ein Fahrzeug, bei welchem eine Kommunikationsverbindung zwischen dem Fahrzeug und einem Server außerhalb des Fahrzeugs bereitgestellt wird. Weiterhin wird eine Benutzerauthentifikationsinformation von einem Benutzer des Fahrzeugs zu dem Server übertragen und auf dem Server in Abhängigkeit von der Benutzerauthentifikationsinformation eine Applikation ausgeführt. Eine Ausgabeinformation, welche von dem Server erzeugt wird, wird dann von der Applikation zu dem Fahrzeug übertragen. Auch hierbei ist es erforderlich, dass ein Benutzer des Fahrzeugs sich gegenüber dem Server authentifiziert, indem der Benutzer beispielsweise ein Geheimnis, wie zum Beispiel eine Benutzerkennung und ein Kennwort über eine Headunit des Fahrzeugs eingibt. Somit ist auch hier zunächst ein manuelles Anmelden des Benutzers über das Kraftfahrzeug erforderlich. Benutzt der Benutzer das Fahrzeug zusammen mit einem mobilen Endgerät, so kann dieses mobile Endgerät in die Kommunikationsverbindung zwischen dem Fahrzeug und dem Server geschaltet sein. Hierbei kann nun die Benutzerauthentifikationsinformation des Benutzers auf dem mobilen Endgerät gespeichert sein. Weiterhin kann automatisch eine Nahbereichskommunikation zwischen dem Fahrzeug und dem mobilen Endgerät aufgebaut werden, woraufhin das mobile Endgerät die Benutzerauthentifikationsinformation zu dem Server überträgt. Nachteilig dabei ist jedoch, dass in diesem Fall keine Benutzerauthentifikationsdaten auf dem Kraftfahrzeug selbst bereitgestellt werden können, sodass jegliche Art der Kommunikation mit Online-Diensten permanent die Funktionsfähigkeit und das Vorhandensein des mobilen Endgeräts voraussetzt.In this context, the describes DE 10 2012 024 010 A1 a method for a vehicle in which a communication link between the vehicle and a server outside the vehicle is provided. Furthermore, user authentication information is transmitted from a user of the vehicle to the server, and an application is executed on the server depending on the user authentication information. Output information generated by the server is then transmitted from the application to the vehicle. Here, too, it is necessary for a user of the vehicle to authenticate himself to the server, for example by the user entering a secret, such as a user ID and a password via a head unit of the vehicle. Thus, a manual login of the user via the motor vehicle is also required here. If the user uses the vehicle together with a mobile terminal, this mobile terminal can be connected in the communication connection between the vehicle and the server. In this case, the user authentication information of the user can now be stored on the mobile terminal. Furthermore, short-range communication between the vehicle and the mobile terminal can be established automatically, whereupon the mobile terminal transmits the user authentication information to the server. The disadvantage here is that in this case no user authentication data can be provided on the motor vehicle itself, so that any type of communication with online services permanently requires the functionality and the presence of the mobile device.

Aufgabe der vorliegenden Erfindung ist es daher, ein Verfahren zum Bereitstellen bzw. Übertragen von ersten Benutzerdaten eines Benutzers auf einen erstes Kommunikationsgerät, insbesondere ein Kraftfahrzeug, sowie auch eine zentrale Datenverarbeitungseinrichtung und ein Kommunikationssystem bereitzustellen, welche ein für einen Benutzer möglichst einfaches und komfortables und zugleich auch möglichst sicheres Bereitstellen bzw. Übertragen von Benutzerdaten auf ein erstes Kommunikationsgerät, insbesondere einen Kraftfahrzeug, ermöglichen.The object of the present invention is therefore to provide a method for providing or transmitting first user data of a user to a first communication device, in particular a motor vehicle, as well as a central data processing device and a communication system which is as simple and comfortable as possible for a user and at the same time also possible safe provision or transfer of user data to a first communication device, in particular a motor vehicle allow.

Diese Aufgabe wird gelöst durch ein Verfahren, eine zentrale Datenverarbeitungseinrichtung und ein Kommunikationssystem mit den Merkmalen gemäß den jeweiligen unabhängigen Patentansprüchen. Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand der abhängigen Patentansprüche, der Beschreibung und der Figuren.This object is achieved by a method, a central data processing device and a communication system with the features according to the respective independent patent claims. Advantageous embodiments of the invention are subject of the dependent claims, the description and the figures.

Bei einem erfindungsgemäßen Verfahren zum Bereitstellen bzw. Übertragen von ersten Benutzerdaten eines Benutzers auf ein erstes Kommunikationsgerät, wie beispielsweise einen Kraftfahrzeug, wird zunächst ein zweites Kommunikationsgerät, zum Beispiel ein mobiles Endgerät, auf welchem zweite Benutzerdaten des Benutzers gespeichert sind, bereitgestellt und eine direkte kommunikative Verbindung zwischen dem ersten und dem zweiten Kommunikationsgerät hergestellt. Weiterhin werden Geräte-Identifikationsdaten zur Identifikation des ersten Kommunikationsgeräts vom ersten Kommunikationsgerät zum zweiten Kommunikationsgerät übertragen. Des Weiteren werden eine Anfrage zum Bereitstellen der ersten Benutzerdaten auf dem ersten Kommunikationsgerät, die zweiten Benutzerdaten und die Geräte-Identifikationsdaten vom zweiten Kommunikationsgerät an ein gerätexternes zentrales Datenverarbeitungssystem übermittelt. Mit anderen Worten werden also zunächst die Geräte-Identifikationsdate, zum Beispiel eine VIN (Vehicle Identification Number) des Kraftfahrzeugs, von ersten Kommunikationsgerät, also zum Beispiel dem Kraftfahrzeug, and das zweite Kommunikationsgerät, zum Beispiel einem Smartphone, und dann vom zweiten Kommunikationsgerät an das zentrale Datenverarbeitungssystem übermittelt. Des Weiteren werden die ersten Benutzerdaten vom zentralen Datenverarbeitungssystem an das erste Kommunikationsgerät in Abhängigkeit von den an das zentrale Datenverarbeitungssystem übermittelten zweiten Benutzerdaten und der Geräte-Identifikationsdaten übermittelt.In a method according to the invention for providing or transferring first user data of a user to a first communication device, such as a motor vehicle, a second communication device, for example a mobile terminal, on which second user data of the user are stored, is provided and a direct communicative one Connection made between the first and the second communication device. Furthermore, device identification data for identifying the first communication device are transmitted from the first communication device to the second communication device. Furthermore, a request for providing the first user data on the first communication device, the second user data and the device identification data are transmitted from the second communication device to a device-external central data processing system. In other words, therefore, first the device identification data, for example a VIN (Vehicle Identification Number) of the motor vehicle, from the first communication device, so for example the motor vehicle, and the second communication device, for example a smartphone, and then transmitted from the second communication device to the central data processing system. Furthermore, the first Transfers user data from the central data processing system to the first communication device in response to the transmitted to the central data processing system second user data and the device identification data.

Die Erfindung beruht auf der Erkenntnis, dass üblicherweise Benutzerdaten eines Benutzers, die zur Identifikation eines Benutzers sowie zur Authentifikation geeignet sind, üblicherweise bereits auf einem mobilen Endgerät eines Benutzers gespeichert sind. Diese Benutzerdaten können nun vorteilhafterweise verwendet werden, um die Nutzeridentität, das heißt also im Allgemeinen die ersten Benutzerdaten auf das erste Kommunikationsgerät, wie beispielsweise ein Kraftfahrzeug, über einen gesicherten Pfad, nämlich über das zentrale Datenverarbeitungssystem, zu übertragen. Das vorliegende Verfahren kann aber nicht nur dazu verwendet werden, um eine solche Nutzeridentität in einem Kraftfahrzeug auf möglichst komfortable Weise bereitzustellen, sondern auch auf jedem beliebigen anderen Kommunikationsgerät, wie zum Beispiel auch auf einem weiteren mobilen Endgerät, z.B. ein Smartphone. Hierzu wird also zunächst zwischen den beiden Kommunikationsgeräten eine direkte kommunikative Verbindung hergestellt. Diese kann in beliebiger Weise ausgestaltet sein, zum Beispiel als Audioverbindung oder NFC (Near Field Communication)-Verbindung, zum Beispiel mittels Bluetooth. Vorzugsweise werden andere Kommunikationsmechanismen genutzt, zum Beispiel (ungesicherte) WiFi Direct Verbindungen oder zum Beispiel visuelle Datenübertragungen, zum Beispiel mittels QR-Code Scannen. Derartige Mechanismen haben gegenüber Bluetooth den Vorteil, dass sie keine manuell durchzuführende Kopplung zwischen den betreffenden Geräten, in diesem Fall dem ersten und dem zweiten Kommunikationsgerät, erfordern, wie dies in den üblichen Bluetooth-Betriebsmodi der Fall ist. Über diese Verbindung, die insbesondere eine ungesicherte Verbindung darstellen kann, können nun die Geräte-Identifikationsdaten vom ersten Kommunikationsgerät zum zweiten Kommunikationsgerät übertragen werden. Solche Geräte-Identifikationsdaten können dabei öffentliche Informationen darstellen, wie zum Beispiel eine Geräte-Seriennummer oder eine VIN (Vehicle Identification Number) im Falle, dass das erste Kommunikationsgerät als Kraftfahrzeug ausgebildet ist. Das zweite Kommunikationsgerät, also beispielsweise das mobile Endgerät des Benutzers, kann daraufhin eine entsprechende Anfrage zum Übermitteln der ersten Benutzerdaten an das erste Kommunikationsgerät an das zentrale Datenverarbeitungssystem senden. Neben dieser Anfrage sendet das zweite Kommunikationsgerät auch die zweiten Benutzerdaten, auf Basis von welchen die Autorisierung des Benutzers durch das zentrale Datenverarbeitungssystem vorteilhafterweise überprüft werden kann, sowie auch die Geräte-Identifikationsdaten, um dem zentralen Datenverarbeitungssystem mitzuteilen, auf welches Gerät nun die ersten Benutzerdaten übermittelt werden sollen.The invention is based on the recognition that usually user data of a user which are suitable for the identification of a user and for authentication are usually already stored on a mobile terminal of a user. These user data can now advantageously be used to transmit the user identity, that is, in general, the first user data to the first communication device, such as a motor vehicle, via a secure path, namely via the central data processing system. However, the present method can not only be used to provide such a user identity in a motor vehicle in the most convenient way, but also on any other communication device, such as on another mobile device, such as a smartphone. For this purpose, therefore, a direct communicative connection is first established between the two communication devices. This can be configured in any desired manner, for example as an audio connection or NFC (Near Field Communication) connection, for example by means of Bluetooth. Preferably, other communication mechanisms are used, for example (unsecured) WiFi Direct connections or, for example, visual data transmissions, for example by means of QR code scanning. Such mechanisms have the advantage over Bluetooth in that they do not require manual coupling between the respective devices, in this case the first and second communication devices, as is the case in the usual Bluetooth operating modes. About this connection, which may represent in particular an unsecured connection, the device identification data can now be transmitted from the first communication device to the second communication device. Such device identification data can represent public information, such as a device serial number or a VIN (Vehicle Identification Number) in the event that the first communication device is designed as a motor vehicle. The second communication device, for example the mobile terminal of the user, can then send a corresponding request for transmitting the first user data to the first communication device to the central data processing system. In addition to this request, the second communication device also sends the second user data, based on which the authorization of the user by the central data processing system can be advantageously checked, as well as the device identification data to tell the central data processing system, to which device now transmits the first user data should be.

Somit kann also beispielsweise eine ungesicherte Out-of-Band-Kommunikation zwischen den beiden Kommunikationsgeräten genutzt werden, um öffentliche Informationen, nämlich die Geräte-Identifikationsdaten, auszutauschen, und dann ein sicherer Kanal vom zweiten Kommunikationsgerät über das zentrale Datenverarbeitungssystem zum ersten Kommunikationsgerät genutzt werden, um auf sichere Weise die Benutzeridentität in Form der zweiten Benutzerdaten an das zentrale Datenverarbeitungssystem und dann in Form der ersten Benutzerdaten vom zentralen Datenverarbeitungssystem an das erste Kommunikationsgerät zu übertragen. Das gesamte Verfahren kommt dabei ohne jegliche Benutzerinteraktion aus, sodass hierbei eine besonders sichere und für einen Benutzer vor allem besonders komfortable Möglichkeit bereitgestellt ist, um die Benutzeridentität auf das erste Kommunikationsgerät, also zum Beispiel das Kraftfahrzeug, zu übertragen. Ein Benutzer kann sich also beispielsweise zusammen mit seinem mobilen Endgerät in das Kraftfahrzeug begeben und dann beispielsweise Online-Dienste für seine Benutzeridentität auf dem mobilen Endgerät über das Kraftfahrzeug nutzen, ohne irgendeinen manuellen Anmeldevorgang im Kraftfahrzeug. Da nach der Übermittlung der ersten Benutzerdaten auf das erste Kommunikationsgerät die Benutzerdaten auf diesem ersten Kommunikationsgerät gespeichert sind, ist ab diesem Zeitpunkt das zweite Kommunikationsgerät nicht mehr erforderlich. Alle Online-Dienste können somit direkt vom Kraftfahrzeug beziehungsweise im Allgemeinen vom ersten Kommunikationsgerät aus genutzt werden, ohne dass für eine solche Nutzung das zweite Kommunikationsgerät in irgendeiner Weise zwischengeschaltet sein muss. Ist also beispielsweise der Akku des zweiten Kommunikationsgeräts leer, so können diese Online-Dienste vom Benutzer über das Kraftfahrzeug weiterhin genutzt werden.Thus, for example, an unsecured out-of-band communication between the two communication devices can be used to exchange public information, namely the device identification data, and then a secure channel can be used by the second communication device via the central data processing system to the first communication device, to securely transmit the user identity in the form of the second user data to the central data processing system and then in the form of the first user data from the central data processing system to the first communication device. The entire process is carried out without any user interaction, so that in this case a particularly secure and especially user-friendly option is provided for transmitting the user identity to the first communication device, for example the motor vehicle. A user can therefore, for example, go together with his mobile device in the vehicle and then, for example, use online services for his user identity on the mobile device via the motor vehicle, without any manual logon process in the vehicle. Since, after the transmission of the first user data to the first communication device, the user data is stored on this first communication device, the second communication device is no longer required from this point in time. All online services can thus be used directly from the motor vehicle or in general from the first communication device without the second communication device having to be interposed in any way for such use. Thus, for example, if the battery of the second communication device is empty, these online services can continue to be used by the user via the motor vehicle.

Dieser sichere Kanal vom zweiten Kommunikationsgerät zum ersten Kommunikationsgerät kann beispielsweise über ein gemeinsames Backend inklusive einem zugehörigen Autorisierungsserver als Teil des zentralen Datenverarbeitungssystems bereitgestellt werden. Darüber hinaus ist es bevorzugt, dass die ersten Benutzerdaten erste Benutzerauthentifikationsdaten umfassen, die eine Berechtigung des Benutzers zur Nutzung zumindest eines vorbestimmten Dienstes, insbesondere eines Online-Dienstes, mittels des ersten Kommunikationsgerätes nachweisen, wenn diese auf dem ersten Kommunikationsgerät gespeichert sind. Auch die zweiten Benutzerdaten umfassen vorzugsweise zweite Benutzerauthentifikationsdaten, die eine Berechtigung des Benutzers zur Nutzung des zumindest einen vorbestimmten Dienstes oder eines anderen Dienstes, der vom ersten Dienst verschieden ist, mittels des zweiten Kommunikationsgerätes nachweisen. Dabei muss es nicht notwendigerweise der Fall sein, dass der gleiche Benutzer am zweiten Kommunikationsgerät, zum Beispiel einem mobilen Endgerät, die gleichen Berechtigungen hat wie auf dem ersten Kommunikationsgerät, zum Beispiel im Kraftfahrzeug. Zusätzlich zu diesen Benutzerauthentifikationsdaten können, müssen aber nicht notwendigerweise, die jeweiligen Benutzerdaten auch Benutzeridentifikationsdaten umfassen, wie zum Beispiel den Namen des Benutzers, eine Heimatadresse, eine Emailadresse, eine Telefonnummer, oder ähnliches. Solche Identifikationsdaten werden jedoch bei Bedarf erst im Nachhinein durch das Kraftfahrzeug von der zentralen Datenverarbeitungssystem abgerufen, nämlich nachdem die Benutzeridentität an das Kraftfahrzeug, oder im Allgemeinen an das erste Kommunikationsgerät, übermittelt wurde, zum Beispiel in Form eines Tokens. Über einen solchen Token können dann weitere Benutzerdaten, wie die oben genannten, vom Backend abgerufen werden. Die Benutzerdaten dienen also jeweils als Berechtigungsnachweis für den Benutzer, wenn dieser bestimmte Online-Dienste nutzen möchte. Solche Benutzerauthentifikationsdaten können im Kontext von Online-Diensten beispielsweise durch Token, wie zum Beispiel JSON Web Token, bereitgestellt werden. Ein solcher Token stellt also einen von einer vertrauenswürdigen Stelle, wie zum Beispiel dem oben genannten Autorisierungsserver, signierten eindeutigen Identifier für den Nutzer dar, der in der Regel für das anfragende Gerät ausgestellt wird und gültig ist.This secure channel from the second communication device to the first communication device can be provided, for example, via a common backend including an associated authorization server as part of the central data processing system. In addition, it is preferred that the first user data comprise first user authentication data, which prove authorization of the user to use at least one predetermined service, in particular an online service, by means of the first communication device, if these are stored on the first communication device. The second user data preferably also includes second user authentication data which entitles the user to use the at least one user predetermined service or another service that is different from the first service, by means of the second communication device prove. It does not necessarily have to be the case that the same user has the same authorizations on the second communication device, for example a mobile terminal, as on the first communication device, for example in the motor vehicle. In addition to these user authentication data, but not necessarily, the particular user data may include user identification data, such as the name of the user, a home address, an email address, a telephone number, or the like. However, such identification data are retrieved, if required, only later by the motor vehicle from the central data processing system, namely after the user identity has been transmitted to the motor vehicle, or in general to the first communication device, for example in the form of a token. Such a token then allows further user data, such as those mentioned above, to be retrieved from the backend. The user data thus serves in each case as a credential for the user, if he wants to use certain online services. Such user authentication data may be provided in the context of online services by, for example, tokens, such as JSON Web Tokens. Thus, such a token represents a unique identifier for the user signed by a trusted authority, such as the above-mentioned authorization server, which is typically issued to the requesting device and is valid.

Daher ist es weiterhin gemäß einer vorteilhaften Ausgestaltung der Erfindung vorgesehen, dass die ersten und zweiten Benutzerdaten in Form von jeweiligen Token übermittelt werden. Diese sind als Berechtigungsnachweis besonders geeignet, einfach und sicher. Genauer gesagt, wird dabei also nicht ein Token vom zweiten zum ersten Kommunikationsgerät übermittelt, sondern es wird für das erste Kommunikationsgerät, also das Kraftfahrzeug, ein eigener Token ausgestellt und an dieses übermittelt. Zum Beispiel ruft das Kraftfahrzeug am Autorisierungsserver seinen eigenen Token für den Nutzer ab, der nicht notwendigerweise denselben Token darstellt, wie auf dem mobilen Endgerät. Ein solcher Token stellt einen von einer vertrauenswürdigen Stelle, wie zum Beispiel dem oben genannten Autorisierungsserver, signierten eindeutigen Identifier für den Nutzer dar, der in der Regel für das anfragende Gerät ausgestellt wird und speziell für dieses Gerät gültig ist.Therefore, it is further provided according to an advantageous embodiment of the invention that the first and second user data are transmitted in the form of respective tokens. These are particularly suitable as a proof of eligibility, simple and secure. More precisely, a token is not transmitted from the second to the first communication device, but rather a separate token is issued for the first communication device, ie the motor vehicle, and transmitted to the latter. For example, the motor vehicle at the authorization server retrieves its own token for the user, which does not necessarily represent the same token as on the mobile terminal. Such a token represents a unique identifier for the user signed by a trusted authority, such as the above-mentioned authorization server, which is typically issued to the requesting device and is specifically valid for that device.

Bei einer weiteren vorteilhaften Ausgestaltung der Erfindung wird vor dem Übermitteln der ersten Benutzerdaten an das erste Kommunikationsgerät eine Berechtigung des Benutzers auf Basis der übermittelten zweiten Benutzerdaten durch das zentrale Datenverarbeitungssystem überprüft, und die ersten Benutzerdaten nur dann an das erste Kommunikationsgerät übermittelt, falls die Berechtigung des Benutzers auf Basis der zweiten Benutzerdaten durch das zentrale Datenverarbeitungssystem verifiziert wird. Das zweite Kommunikationsgerät kann also im Namen der dort eingerichteten Nutzeridentität, also mithilfe von dessen Token, eine Anfrage an das Backend senden, den Nutzer auf das erste Kommunikationsgerät zu übertragen. Das Backend kann diese Anfrage mittels des Tokens des zweiten Kommunikationsgeräts prüfen und autorisieren. Erst wenn diese Autorisierung verifiziert wurde kann eine entsprechende Übermittlung der Nutzeridentität, das heißt also der ersten Benutzerdaten, zum Beispiel ebenfalls entsprechende Token, auf das erste Kommunikationsgerät initiiert werden. Hierdurch kann die Sicherheit weiter erhöht werden.In a further advantageous refinement of the invention, before the first user data is transmitted to the first communication device, the authorization of the user is checked by the central data processing system on the basis of the transmitted second user data, and the first user data is transmitted to the first communication device only if the authorization of the user is User is verified based on the second user data by the central data processing system. The second communication device can therefore send a request to the backend in the name of the user identity set up there, that is to say with the aid of its token, to transfer the user to the first communication device. The backend can check and authorize this request by means of the token of the second communication device. Only when this authorization has been verified can a corresponding transmission of the user identity, that is to say of the first user data, for example also corresponding tokens, be initiated on the first communication device. As a result, the security can be further increased.

Bei einer weiteren besonders vorteilhaften Ausgestaltung der Erfindung wird vor dem Übermitteln der ersten Benutzerdaten an das erste Kommunikationsgerät durch das zentrale Datenverarbeitungssystem ein zeitlich begrenztes Einmalticket erstellt, welches das erste Kommunikationsgerät dazu berechtigt, innerhalb eines definierten Zeitraums die ersten Benutzerdaten vom zentralen Datenverarbeitungssystem abzurufen, wobei das Einmalticket an das erste Kommunikationsgerät übermittelt wird, und wobei für den Fall, dass das erste Kommunikationsgerät innerhalb des definierten Zeitraums die ersten Benutzerdaten am zentralen Datenverarbeitungssystem anfragt, das zentrale Datenverarbeitungssystem die ersten Benutzerdaten an das erste Kommunikationsgerät übermittelt. Ein solches Einmalticket kann wiederum vom Autorisierungsserver erzeugt werden. Dieser Autorisierungsserver kann optional zuvor ebenfalls den Token des anfragenden zweiten Kommunikationsgeräts prüfen oder dem Teil des Backends, von dem der Autorisierungsserver die Anfrage erhält, vertrauen. Die Inhalte eines solchen Einmaltickets sind typischerweise das Zielgerät, in diesem Fall das erste Kommunikationsgerät beziehungsweise das Kraftfahrzeug, öffentliche Daten des Nutzers, das Ablaufdatum, das heißt also die Angabe über den vorbestimmten Zeitraum, und gegebenenfalls Informationen zum zweiten Kommunikationsgerät. All diese Informationen stellen wiederum öffentliche Informationen dar, das heißt sie beinhalten keine Geheimnisse, und können somit vorteilhafterweise wiederum optional über einen ungesicherten Kanal vom zentralen Datenverarbeitungssystem an das erste Kommunikationsgerät übermittelt werden. Nur wenn dann das erste Kommunikationsgerät innerhalb des gemäß diesem Einmaltickets spezifizierten Zeitraums die ersten Benutzerdaten am zentralen Datenverarbeitungssystem anfragt, werden sie an das erste Kommunikationsgerät übermittelt, zum Beispiel wiederum in Form von entsprechenden Token. Durch die Verwendung eines solchen Einmaltickets kann also vorteilhafterweise sogar ein ungesicherter Kanal zwischen dem zentralen Datenverarbeitungssystem und dem ersten Kommunikationsgerät verwendet werden, und dennoch auf sichere Weise am ersten Kommunikationsgerät die Benutzerdaten bereitgestellt werden.In a further particularly advantageous embodiment of the invention, a time-limited Einmalticket is created by the central data processing system before transmitting the first user data to the first communication device to retrieve the first user data from the central data processing system within a defined period of time, the One-time ticket is transmitted to the first communication device, and wherein in the event that the first communication device requests the first user data to the central data processing system within the defined period, the central data processing system transmits the first user data to the first communication device. Such a one-time ticket can in turn be generated by the authorization server. This authorization server may optionally also previously check the token of the requesting second communication device or trust that part of the backend from which the authorization server receives the request. The contents of such a one-time ticket are typically the target device, in this case the first communication device or the motor vehicle, public data of the user, the expiration date, that is to say the information about the predetermined period, and optionally information about the second communication device. All this information in turn represents public information, that is, they do not contain any secrets, and thus can advantageously be transmitted, in turn, optionally via an unsecured channel from the central data processing system to the first communication device. Only then, when the first communication device requests the first user data at the central data processing system within the period of time specified according to this one-time ticket, they are transmitted to the first communication device, again in the form of corresponding tokens. By using such a one-time ticket can Thus, advantageously even an unsecured channel between the central data processing system and the first communication device can be used, and yet provided in a secure manner on the first communication device, the user data.

Im Allgemeinen kann ein solches Einmalticket zur Erteilung einer Berechtigung zur Abholung der Tokens vom zentralen Datenverarbeitungssystem, insbesondere von dem Autorisierungsserver des zentralen Datenverarbeitungssystems, unterschiedlichste Formen haben, solange es nur durch das spezielle erste Kommunikationsgerät, insbesondere durch das spezielle Fahrzeug und für den speziellen Nutzer verwendbar ist.In general, such a one-time ticket for issuing an authorization to pick up the tokens from the central data processing system, in particular from the authorization server of the central data processing system, have a variety of forms, as long as it can be used only by the specific first communication device, in particular by the specific vehicle and for the particular user is.

Um die Sicherheit noch weiter zu erhöhen, kann es gemäß einer weiteren vorteilhaften Ausgestaltung der Erfindung vorgesehen sein, dass das erste Kommunikationsgerät zusammen mit der Anfrage zum Übermitteln der ersten Benutzerdaten nach Erhalt des Einmaltickets eine Signatur des ersten Kommunikationsgeräts an das zentrale Datenverarbeitungssystem übermittelt, wobei das zentrale Datenverarbeitungssystem eine Autorisierung der Anfrage auf Basis der übermittelten Signatur prüft und nur bei Verifikation der Autorisierung die ersten Benutzerdaten an das erste Kommunikationsgerät übermittelt. Eine solche Signatur der Anfrage kann zum Beispiel mittels eines Private Keys erfolgen. Dadurch kann das zentrale Datenverarbeitungssystem sicherstellen, dass die Anfrage nach den Benutzerdaten auch sicher von dem ersten Kommunikationsgerät stammt und nicht von irgendeinem anderen Gerät.In order to increase the security even further, it can be provided according to a further advantageous embodiment of the invention that the first communication device transmits a signature of the first communication device to the central data processing system together with the request for transmitting the first user data after receiving the one-time ticket to the central data processing system central data processing system checks an authorization of the request based on the transmitted signature and transmits the first user data to the first communication device only upon verification of the authorization. Such a signature of the request can be made, for example, by means of a private key. As a result, the central data processing system can ensure that the request for the user data also originates securely from the first communication device and not from any other device.

Die Verwendung eines solchen Einmaltickets ist jedoch lediglich optional. Alternativ kann das Token beziehungsweise die ersten Benutzerdaten, durch den Autorisierungsserver oder im Allgemeinen durch das zentrale Datenverarbeitungssystem auch aktiv an das Zielfahrzeug, beziehungsweise im Allgemeinen das erste Kommunikationsgerät, „gepusht“ werden, ganz ohne Einmalticket. Vorzugsweise erfolgt die Übertragung hierbei jedoch über einen sicheren Kanal zum Fahrzeug beziehungsweise dem ersten Kommunikationsgerät. Dies ist jedoch, wenn es sich beim ersten Kommunikationsgerät um ein Fahrzeug handelt und das zentrale Datenverarbeitungssystem das Kraftfahrzeug-Backend umfasst, ohnehin der Fall ist. Die Implementierung des Verfahrens mittels eines Einmaltickets lässt sich jedoch auf beliebig andere Systeme in äquivalenter Weise unter Verwendung von Standardtechnologien einfach übertragen und damit für jedes beliebige erste und zweite Kommunikationsgerät verwenden. So lässt sich nämlich insgesamt ein sicherer Ablauf mittels Standardtechnologien, und damit auf besonders effiziente und kostengünstige Weise, zur Übertragung der Nutzeridentität in Form von Tokens zwischen mehreren Geräten trotz Verwendung unsicherer Kanäle bereitstellen.However, the use of such a one-time ticket is merely optional. Alternatively, the token or the first user data, by the authorization server or generally by the central data processing system also actively "pushed" to the target vehicle, or in general the first communication device, without Einmalticket. Preferably, however, the transmission takes place via a secure channel to the vehicle or the first communication device. However, if the first communication device is a vehicle and the central data processing system comprises the motor vehicle back end, this is the case anyway. However, the implementation of the method by means of a one-time ticket can be easily transferred to any other systems in an equivalent manner using standard technologies and thus used for any first and second communication device. Thus, in general, a secure process using standard technologies, and thus in a particularly efficient and cost-effective manner, can be provided for the transmission of user identity in the form of tokens between multiple devices despite the use of insecure channels.

Besonders komfortabel für einen Benutzer ist es dabei weiterhin, wenn das Herstellen der direkten Kommunikationsverbindung zwischen dem ersten und dem zweiten Kommunikationsgerät, das heißt zur Übertragung der Geräte-Identifikationsdaten vom ersten Kommunikationsgerät zum zweiten Kommunikationsgerät, automatisch erfolgt, sobald das zweite Kommunikationsgerät sich in einem vorbestimmten räumlich begrenzten Positionsbereich relativ zum ersten Kommunikationsgerät befindet. Beispielsweise kann eine solche kommunikative Verbindung hergestellt werden, sobald sich die beiden Geräte in Empfangsreichweite, zum Beispiel des Bluetooth-Empfangs, befinden. Es kann aber auch vorgesehen sein, dass sich das zweite Kommunikationsgerät relativ zum ersten Kommunikationsgerät innerhalb dessen Empfangsbereich an einer bestimmten Position beziehungsweise einem bestimmten Positionsbereich befinden muss, um die Übertragung der Geräte-Identifikationsdaten vom ersten Kommunikationsgerät an das zweite Kommunikationsgerät zu initiieren. Ein solcher Positionsbereich kann zum Beispiel durch eine entsprechende Ablageschale oder Ablagefläche innerhalb des als Kraftfahrzeug ausgebildeten ersten Kommunikationsgeräts bereitgestellt sein, auf welchem das erste Kommunikationsgerät ablegbar ist. Dies hat beispielsweise den großen Vorteil, dass für den Fall, dass mehrere Benutzer mit mehreren jeweils zugeordneten Kommunikationsgeräten sich im Kraftfahrzeug befinden, durch Ablegen eines der betreffenden Kommunikationsgeräte eines Benutzers auf der Ablageschale bestimmt werden kann, wessen Nutzerdaten nun ins Kraftfahrzeug geladen werden sollen. Eine weitere Möglichkeit neben einer solchen Ablageschale wäre auch eine Lokalisierung der jeweiligen mobilen Endgeräte innerhalb des Kraftfahrzeugs, zum Beispiel mittels Richtantennen, um zum Beispiel das mobile Endgerät des Fahrers zu identifizieren, zum Beispiel dasjenige, welches dem Fahrerbereich am nächsten ist, und dann dessen Benutzeridentität ins Kraftfahrzeug zu laden.It is furthermore particularly convenient for a user if the direct communication connection between the first and the second communication device, that is to say the transmission of the device identification data from the first communication device to the second communication device, takes place automatically as soon as the second communication device is in a predetermined state spatially limited position range relative to the first communication device is located. For example, such a communicative connection can be established as soon as the two devices are in reception range, for example the Bluetooth reception. However, it can also be provided that the second communication device relative to the first communication device must be located within its reception range at a specific position or a certain position range in order to initiate the transmission of the device identification data from the first communication device to the second communication device. Such a position range can be provided, for example, by a corresponding storage tray or storage surface within the first communication device embodied as a motor vehicle, on which the first communication device can be stored. This has, for example, the great advantage that, in the event that several users with several respectively associated communication devices are in the motor vehicle, it can be determined by depositing one of the relevant communication devices of a user on the tray, whose user data should now be loaded into the motor vehicle. Another possibility besides such a storage tray would also be a localization of the respective mobile terminals within the motor vehicle, for example by means of directional antennas, for example to identify the driver's mobile terminal, for example the one closest to the driver area and then its user identity to load in the vehicle.

Auch können die in das Kraftfahrzeug oder im Allgemeinen auf das erste Kommunikationsgerät geladenen ersten Benutzerdaten durch einen beliebig gewählten Mechanismus wieder gelöscht werden, zum Beispiel manuell durch den Benutzer oder automatisch bei Verlassen des Kraftfahrzeugs, Abschließen des Kraftfahrzeugs, nach einer vorbestimmter Zeitdauer oder ähnliches.Also, the first user data loaded into the motor vehicle or generally to the first communication device may be erased by an arbitrarily selected mechanism, for example manually by the user or automatically upon leaving the motor vehicle, locking the motor vehicle, after a predetermined period of time or the like.

Aufgrund der vollkommenen Automatisierung dieser Benutzeranmeldung im Kraftfahrzeug stellt dieses Verfahren einen besonders hohen Komfort speziell auch für technisch weniger versierte Personen bereit. Somit können erweiterte Fahrzeugfunktionen, die sich auf Online-Dienste stützen, von jedermann auf besonders einfache und komfortable Weise verwendet werden.Due to the perfect automation of this user registration in the motor vehicle, this method provides a particularly high level of comfort especially for less experienced people. Thus, advanced vehicle functions based on on-line services can benefit from everyone can be used in a particularly easy and comfortable way.

Des Weiteren betrifft die Erfindung eine zentrale Datenverarbeitungseinrichtung für ein Datenverarbeitungssystem zum Bereitstellen von ersten Benutzerdaten eines Benutzers auf einem ersten Kommunikationsgerät, wobei die zentrale Datenverarbeitungseinrichtung dazu ausgelegt ist, eine kommunikative Verbindung zu einem zweiten Kommunikationsgerät, auf welchem zweite Benutzerdaten gespeichert sind, herzustellen. Darüber hinaus ist die Datenverarbeitungseinrichtung dazu ausgelegt, über die kommunikative Verbindung zum zweiten Kommunikationsgerät eine Anfrage zum Bereitstellen der ersten Benutzerdaten auf dem ersten Kommunikationsgerät, die zweiten Benutzerdaten und Geräte-Identifikationsdaten zur Identifikation des ersten Kommunikationsgeräts vom zweiten Kommunikationsgerät zu empfangen und die ersten Benutzerdaten an das erste Kommunikationsgerät in Abhängigkeit von den zweiten Benutzerdaten und der Geräte-Identifikationsdaten zu übermitteln.Furthermore, the invention relates to a central data processing device for a data processing system for providing first user data of a user on a first communication device, wherein the central data processing device is adapted to establish a communicative connection to a second communication device on which second user data are stored. In addition, the data processing device is adapted to receive via the communicative connection to the second communication device a request for providing the first user data on the first communication device, the second user data and device identification data for identifying the first communication device from the second communication device and the first user data to the transmit first communication device in response to the second user data and the device identification data.

Die für das erfindungsgemäße Verfahren und seine Ausgestaltungen genannten Vorteile gelten in gleicher Weise für die zentrale Datenverarbeitungseinrichtung. Darüber hinaus ermöglichen die im Zusammenhang mit dem erfindungsgemäßen Verfahren und seinen Ausgestaltungen genannten Verfahrensschritte die Weiterbildung der zentralen Datenverarbeitungseinrichtung oder des erfindungsgemäßen Kommunikationssystems durch weitere gegenständliche Merkmale.The advantages mentioned for the method according to the invention and its embodiments apply in the same way to the central data processing device. In addition, the method steps mentioned in connection with the method according to the invention and its embodiments make it possible to further develop the central data processing device or the communication system according to the invention by further physical features.

Des Weiteren betrifft die Erfindung ein Kommunikationssystem mit einem zentralen Datenverarbeitungssystem umfassend eine erfindungsgemäße zentrale Datenverarbeitungseinrichtung oder eine ihrer Ausgestaltungen, sowie das erste und das zweite Kommunikationsgerät. Vorzugsweise ist das erste Kommunikationsgerät als Kraftfahrzeug ausgebildet. Das zweite Kommunikationsgerät kann als mobiles Endgerät des Benutzers, zum Beispiel als Smartphone, Tablet-PC, oder ähnliches ausgebildet sein.Furthermore, the invention relates to a communication system with a central data processing system comprising a central data processing device according to the invention or one of its embodiments, as well as the first and the second communication device. Preferably, the first communication device is designed as a motor vehicle. The second communication device can be designed as a mobile terminal of the user, for example as a smartphone, tablet PC, or the like.

Bei dem im Folgenden erläuterten Ausführungsbeispiel handelt es sich um eine bevorzugte Ausführungsform der Erfindung. Bei dem Ausführungsbeispiel stellen die beschriebenen Komponenten der Ausführungsform jeweils einzelne, unabhängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden und damit auch einzeln oder in einer anderen als der gezeigten Kombination als Bestandteil der Erfindung anzusehen sind. Des Weiteren ist die beschriebene Ausführungsform auch durch weitere der bereits beschriebenen Merkmale der Erfindung ergänzbar.The exemplary embodiment explained below is a preferred embodiment of the invention. In the exemplary embodiment, the described components of the embodiment each represent individual features of the invention that are to be considered independently of one another, which also each independently further develop the invention and thus also individually or in a different combination than the one shown as part of the invention. Furthermore, the described embodiment can also be supplemented by further features of the invention already described.

In den Figuren sind funktionsgleiche Elemente jeweils mit denselben Bezugszeichen versehen.In the figures, functionally identical elements are each provided with the same reference numerals.

Im Folgenden ist ein Ausführungsbeispiel der Erfindung beschrieben. Hierzu zeigt die einzige Fig. eine schematische Darstellung eines Kommunikationssystems 10 zum Bereitstellen von ersten Benutzerdaten ID1 eines Benutzers 12 auf einem ersten Kommunikationsgerät, welches hier als Kraftfahrzeug 14 ausgebildet ist, gemäß einem Ausführungsbeispiel der Erfindung. Neben dem Kraftfahrzeug 14 umfasst das Kommunikationssystem 10 ein zweites Kommunikationsgerät, welches in diesem Beispiel als mobiles Endgerät 16, welches dem Benutzer 12 zugeordnet ist, ausgebildet ist. Zudem umfasst das Kommunikationssystem 10 ein zentrales Datenverarbeitungssystem 18, welches ein Backend 20 sowie einen mit dem Backend 20 kommunikativ verbundenen Autorisierungsserver 22 umfasst. Auf dem mobilen Endgerät 16 des Benutzers 12 sind zweite Benutzerdaten ID2 gespeichert. Diese umfassen Benutzerauthentifikationsdaten in Form eines Tokens, wie beispielsweise einen JSON Web Token. Ein solcher Token stellt einen von einer vertrauenswürdigen Stelle, wie dem Autorisierungsserver 22, signierten eindeutigen Identifier für den Benutzer 12 dar.In the following an embodiment of the invention is described. For this purpose, the only Fig. Shows a schematic representation of a communication system 10 for providing first user data ID1 a user 12 on a first communication device, which is here as a motor vehicle 14 is formed, according to an embodiment of the invention. In addition to the motor vehicle 14 includes the communication system 10 a second communication device, which in this example as a mobile terminal 16 which the user 12 is assigned, is formed. In addition, the communication system includes 10 a central data processing system 18 which is a backend 20 as well as one with the backend 20 communicatively linked authorization server 22 includes. On the mobile device 16 the user 12 are second user data ID2 saved. These include user authentication information in the form of a token, such as a JSON Web Token. Such a token places one from a trusted location, such as the authorization server 22 , signed unique identifier for the user 12 represents.

Um nun solche Token auch auf möglichst bequeme Weise im Kraftfahrzeug 14 bereitzustellen, sodass der Benutzer 12 durch das Backend 20 bereitgestellte Online-Dienste auch über das Kraftfahrzeug 14 unabhängig von seinem mobilen Endgerät 16 nutzen kann, wird zuerst eine direkte kommunikative Verbindung 24 zwischen dem Kraftfahrzeug 14 und dem mobilen Endgerät 16 aufgebaut. Diese kommunikative Verbindung 24 kann ungesichert sein und zum Beispiel via NFC zum Beispiel durch Auflegen des mobilen Endgeräts 16 in eine Ablageschale im Kraftfahrzeug 14 hergestellt werden. Über diese kommunikative Verbindung 24 kann nun das mobile Endgerät 16 öffentliche Informationen vom Fahrzeug 14 abfragen, die eine Identifikation des Kraftfahrzeugs 14 erlauben, wie zum Beispiel eine Geräte-Seriennummer oder eine Kraftfahrzeugidentifikationsnummer VIN. Im Anschluss daran kann das mobile Endgerät 16 im Namen der dort eingerichteten Nutzeridentität, also mithilfe von dessen Token, oder im Allgemeinen unter Verwendung der zweiten Benutzerdaten ID2, eine Anfrage an das Backend 20 senden, dem Benutzer 12 auf das Kraftfahrzeug 14 zu übertragen. Das Kraftfahrzeug 14 wird in dieser Anfrage 26 über dessen öffentliche Information, in diesem Beispiel die Kraftfahrzeugidentifikationsnummer VIN adressiert. Das Backend 20 kann daraufhin die Anfrage 26 mittels des Tokens, das heißt der ebenfalls übermittelten zweiten Benutzerdaten ID2, prüfen und autorisieren. Das Backend 20 informiert daraufhin den Autorisierungsserver 22 des Kraftfahrzeugs 14, dass der entsprechend anfragende Nutzer 12 übertragen werden soll. Der Autorisierungsserver 22 kann dabei dem Teil des anfragenden Backends 20 vertrauen oder selbst den Token bzw. die Benutzerdaten ID2 des Benutzers 12 prüfen.To now such tokens in the most convenient way in the vehicle 14 to provide the user 12 through the backend 20 provided online services also via the motor vehicle 14 regardless of his mobile device 16 first use a direct communication link 24 between the motor vehicle 14 and the mobile terminal 16 built up. This communicative connection 24 can be unsecured and for example via NFC, for example, by hanging up the mobile device 16 in a storage tray in the vehicle 14 getting produced. About this communicative connection 24 can now the mobile device 16 public information from the vehicle 14 query that an identification of the motor vehicle 14 allow, such as a device serial number or a vehicle identification number VIN , Following this, the mobile terminal 16 in the name of the user identity established there, that is, by means of its token, or generally using the second user data ID2 , a request to the backend 20 send to the user 12 on the motor vehicle 14 transferred to. The car 14 will in this request 26 via its public information, in this example the motor vehicle identification number VIN addressed. The backend 20 can then request 26 by means of the token, that is to say the likewise transmitted second user data ID2 , check and authorize. The backend 20 then informs the authorization server 22 of the motor vehicle 14 that the corresponding requesting user 12 to be transferred. The authorization server 22 can be the part of the requesting backend 20 trust or even the token or user data ID2 the user 12 check.

Weiterhin erzeugt der Autorisierungsserver 22 nun für die Anfrage des Benutzers 12 ein Einmalticket T oder ähnliches und sendet dieses an das Kraftfahrzeug 14. Auch hier kann der verwendete Kanal wiederum ungesichert sein. Die Inhalte eines solchen Tickets T sind typischerweise das Zielgerät, hier das Kraftfahrzeug 14, der Nutzer 12, ein Ablaufdatum, und gegebenenfalls Informationen zum mobilen Endgerät 16. Das Kraftfahrzeug 14 kann nun mithilfe dieses Tickets T am Autorisierungsserver 22 die entsprechenden Tokens, oder im Allgemeinen die ersten Benutzerdaten ID1, für den Nutzer 12 abrufen. Das Kraftfahrzeug 14 kann sich dabei gegebenenfalls noch selbst ausweisen, zum Beispiel durch eine Signatur S der Anfrage mittels eines Private Keys. Hierdurch lässt sich die Sicherheit noch weiter erhöhen.Furthermore, the authorization server generates 22 now for the request of the user 12 a one-time ticket T or the like and sends this to the motor vehicle 14 , Again, the channel used can be unsecured again. The contents of such a ticket T are typically the target device, here the motor vehicle 14 , the user 12 , an expiration date, and possibly information about the mobile terminal 16 , The car 14 can now use this ticket T on the authorization server 22 the corresponding tokens, or generally the first user data ID1 , for the user 12 recall. The car 14 If necessary, you can identify yourself, for example by a signature S the request by means of a private key. This can increase safety even further.

Erhält der Autorisierungsserver 22 nun innerhalb des im Ticket T spezifizierten Gültigkeitszeitraums eine solche entsprechende Anfrage 28, gegebenenfalls zusammen mit seiner Signatur S, die vom Autorisierungsserver 22 verifiziert wird, so erteilt der Autorisierungsserver 22 die anfragten Tokens beziehungsweise im Allgemeinen die ersten Benutzerdaten ID1, die dann an das Kraftfahrzeug 14 übermittelt werden. Durch den Erhalt dieser Tokens kann nun das Kraftfahrzeug 14 als der Nutzer mit dem Backend 20 kommunizieren.Receives the authorization server 22 now within the ticket T specified validity period such a corresponding request 28 , optionally together with its signature S that came from the authorization server 22 is verified by the authorization server 22 the requested tokens or, in general, the first user data ID1 , then to the motor vehicle 14 be transmitted. By obtaining these tokens can now the motor vehicle 14 as the user with the backend 20 communicate.

Das Token oder im Allgemeinen die ersten Benutzerdaten ID1 können durch den Autorisierungsserver 22 auch aktiv an das Zielfahrzeug 14 gepusht werden, was jedoch dann unter Verwendung eines sicheren Kanals zum Fahrzeug 14 erfolgt. Die Verwendung eines Einmaltickets T ermöglicht dagegen auch die Verwendung eines ungesicherten Kanals und damit eine Übertragung der Nutzeridentität auf das Kraftfahrzeug mittels Standardtechnologien, die trotz Verwendung unsicherer Kanäle letztendlich eine sichere Bereitstellung dieser Nutzeridentität zwischen verschiedenen Geräten ermöglichen.The token or generally the first user data ID1 can through the authorization server 22 also active to the target vehicle 14 be pushed, but then using a secure channel to the vehicle 14 he follows. The use of a one-time ticket T On the other hand, it also allows the use of an unsecured channel and thus a transmission of user identity to the motor vehicle by means of standard technologies, which ultimately enable a secure provision of this user identity between different devices despite the use of unsafe channels.

Insgesamt zeigt das Beispiel, wie durch die Erfindung ein sicherer Ablauf mittels Standardtechnologien zur Übertragung der Nutzeridentität in Form von Tokens zwischen mehreren Geräten trotz Verwendung unsicherer Kanäle ermöglicht wird.Overall, the example shows how the invention enables a secure flow using standard technologies for the transmission of user identity in the form of tokens between multiple devices despite the use of insecure channels.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

1010
Kommunikationssystemcommunication system
1212
Benutzeruser
1414
Kraftfahrzeugmotor vehicle
1616
mobiles Endgerätmobile terminal
1818
zentrales Datenverarbeitungssystemcentral data processing system
2020
Backendbackend
2222
Autorisierungsserverauthorization server
2424
direkte kommunikative Verbindungdirect communication connection
2626
Anfrageinquiry
2828
Anfrageinquiry
ID1ID1
erste Benutzerdatenfirst user data
ID2ID2
zweite Benutzerdatensecond user data
SS
Signatursignature
TT
Einmalticketonce ticket
VINVIN
FahrzeugidentifikationsnummerVehicle identification number

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • DE 102012024010 A1 [0003]DE 102012024010 A1 [0003]

Claims (10)

Verfahren zum Bereitstellen von ersten Benutzerdaten (ID1) eines Benutzers (12) auf einem ersten Kommunikationsgerät (14), mit den Schritten - Bereitstellen eines zweiten Kommunikationsgeräts (16), auf welchem zweite Benutzerdaten (ID2) des Benutzers (12) gespeichert sind; und - Herstellen einer direkten kommunikativen Verbindung (24) zwischen dem ersten und dem zweiten Kommunikationsgerät (14, 16); gekennzeichnet durch die Schritte - Übertragen von Geräte-Identifikationsdaten (VIN) zur Identifikation des ersten Kommunikationsgeräts (14) vom ersten Kommunikationsgerät (14) zum zweiten Kommunikationsgerät (16); - Übermitteln einer Anfrage (26) zum Bereitstellen der ersten Benutzerdaten (ID1) auf dem ersten Kommunikationsgerät (14), der zweiten Benutzerdaten (ID2) und der Geräte-Identifikationsdaten (VIN) des ersten Kommunikationsgeräts (14) vom zweiten Kommunikationsgerät (16) an ein geräteexternes zentrales Datenverarbeitungssystem (18); und - Übermitteln der ersten Benutzerdaten (ID1) vom zentralen Datenverarbeitungssystem (18) an das erste Kommunikationsgerät (14) in Abhängigkeit von den an das zentrale Datenverarbeitungssystem (18) übermittelten zweiten Benutzerdaten (ID2) und der Geräte-Identifikationsdaten (VIN) des ersten Kommunikationsgeräts (14).A method for providing first user data (ID1) of a user (12) on a first communication device (14), comprising the steps of - providing a second communication device (16) on which second user data (ID2) of the user (12) are stored; and - establishing a direct communicative connection (24) between the first and the second communication device (14, 16); characterized by the steps of - transmitting device identification data (VIN) for identifying the first communication device (14) from the first communication device (14) to the second communication device (16); - Transmission of a request (26) for providing the first user data (ID1) on the first communication device (14), the second user data (ID2) and the device identification data (VIN) of the first communication device (14) from the second communication device (16) an external device central data processing system (18); and - transmitting the first user data (ID1) from the central data processing system (18) to the first communication device (14) as a function of the second user data (ID2) and the device identification data (VIN) of the first communication device transmitted to the central data processing system (18) (14). Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die ersten Benutzerdaten (ID1) erste Benutzerauthentifikationsdaten umfassen, die eine Berechtigung des Benutzers (12) zur Nutzung zumindest eines vorbestimmten Dienstes, insbesondere eines Online-Dienstes, mittels des ersten Kommunikationsgerätes (14) nachweisen, wenn diese auf dem ersten Kommunikationsgerät (14) gespeichert sind, und wobei die zweiten Benutzerdaten (ID2) zweite Benutzerauthentifikationsdaten umfassen, die eine Berechtigung des Benutzers (12) zur Nutzung des zumindest einen vorbestimmten Dienstes oder eines anderen Dienstes, der vom ersten Dienst verschieden ist, mittels des zweiten Kommunikationsgerätes (16) nachweisen.Method according to Claim 1 , characterized in that the first user data (ID1) comprise first user authentication data, which prove an authorization of the user (12) to use at least one predetermined service, in particular an online service, by means of the first communication device (14), if this is on the first Communication device (14) are stored, and wherein the second user data (ID2) include second user authentication data, the authorization of the user (12) to use the at least one predetermined service or another service, which is different from the first service, by means of the second communication device (16). Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass vor dem Übermitteln der ersten Benutzerdaten (ID1) an das erste Kommunikationsgerät (14), das zentrale Datenverarbeitungssystem (18) eine Berechtigung des Benutzers (12) auf Basis der übermittelten zweiten Benutzerdaten (ID2) überprüft, und die ersten Benutzerdaten (ID1) nur dann an das erste Kommunikationsgerät (14) übermittelt werden, falls die Berechtigung des Benutzers (12) auf Basis der zweiten Benutzerdaten (ID2) durch das zentrale Datenverarbeitungssystem (18) verifiziert wird.Method according to one of the preceding claims, characterized in that prior to the transmission of the first user data (ID1) to the first communication device (14), the central data processing system (18) an authorization of the user (12) based on the transmitted second user data (ID2) checked, and the first user data (ID1) are transmitted to the first communication device (14) only if the authorization of the user (12) on the basis of the second user data (ID2) by the central data processing system (18) is verified. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass vor dem Übermitteln der ersten Benutzerdaten (ID1) an das erste Kommunikationsgerät (14), durch das zentrale Datenverarbeitungssystem (18) ein zeitlich begrenztes Einmalticket (T) erstellt wird, welches das erste Kommunikationsgerät (14) dazu berechtigt, innerhalb eines definierten Zeitraums die ersten Benutzerdaten (ID1) vom zentralen Datenverarbeitungssystem (18) abzurufen, und wobei das Einmalticket (T) an das erste Kommunikationsgerät (14) übermittelt wird, wobei für den Fall, dass das erste Kommunikationsgerät (14) innerhalb des definierten Zeitraums die ersten Benutzerdaten (ID1) am zentralen Datenverarbeitungssystem (18) anfragt, das zentrale Datenverarbeitungssystem (18) die zweiten Benutzerdaten (ID2) an das erste Kommunikationsgerät (14) übermittelt.Method according to one of the preceding claims, characterized in that prior to the transmission of the first user data (ID1) to the first communication device (14), by the central data processing system (18) a time-limited Einmalticket (T) is created, which the first communication device ( 14) is entitled to retrieve the first user data (ID1) from the central data processing system (18) within a defined period of time, and wherein the one-time ticket (T) is transmitted to the first communication device (14), wherein in the event that the first communication device ( 14) requests the first user data (ID1) at the central data processing system (18) within the defined period of time, the central data processing system (18) transmits the second user data (ID2) to the first communication device (14). Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass das erste Kommunikationsgerät (14) zusammen mit der Anfrage zum Übermitteln der ersten Benutzerdaten (ID1) eine Signatur (S) des ersten Kommunikationsgeräts (14) übermittelt, wobei das zentrale Datenverarbeitungssystem (18) eine Autorisierung der Anfrage auf Basis der übermittelten Signatur (S) prüft und nur bei Verifikation der Autorisierung die ersten Benutzerdaten (ID1) an das erste Kommunikationsgerät (14) übermittelt.Method according to Claim 4 characterized in that the first communication device (14) transmits a signature (S) of the first communication device (14) together with the request to transmit the first user data (ID1), the central data processing system (18) authorizing the request on the basis of transmitted signature (S) checks and transmits the first user data (ID1) to the first communication device (14) only upon verification of the authorization. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Herstellen der direkten kommunikativen Verbindung (24) zwischen dem ersten und zweiten Kommunikationsgerät (14, 16) automatisch erfolgt, sobald das zweite Kommunikationsgerät (16) sich in einem vorbestimmten räumlich begrenzten Positionsbereich relativ zum ersten Kommunikationsgerät (14) befindet.Method according to one of the preceding claims, characterized in that the establishment of the direct communicative connection (24) between the first and second communication device (14, 16) takes place automatically as soon as the second communication device (16) moves in a predetermined spatially limited position range relative to first communication device (14) is located. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die ersten und zweiten Benutzerdaten (ID1, ID2) in Form von jeweiligen Token übermittelt werden.Method according to one of the preceding claims, characterized in that the first and second user data (ID1, ID2) are transmitted in the form of respective tokens. Zentrale Datenverarbeitungseinrichtung (20) für ein Datenverarbeitungssystem (18) zum Bereitstellen von ersten Benutzerdaten (ID1) eines Benutzers (12) auf einem ersten Kommunikationsgerät (14), wobei die zentrale Datenverarbeitungseinrichtung (20) dazu ausgelegt ist, eine kommunikative Verbindung zu einem zweiten Kommunikationsgerät (16), auf welchem zweite Benutzerdaten (ID2) gespeichert sind, herzustellen, dadurch gekennzeichnet, dass die Datenverarbeitungseinrichtung (20) dazu ausgelegt ist, - über die kommunikative Verbindung zum zweiten Kommunikationsgerät (16) eine Anfrage zum Bereitstellen der ersten Benutzerdaten (ID1) auf dem ersten Kommunikationsgerät (14), die zweiten Benutzerdaten (ID2) und Geräte-Identifikationsdaten (VIN) zur Identifikation des ersten Kommunikationsgeräts (14) vom zweiten Kommunikationsgerät (16) zu empfangen; und - die ersten Benutzerdaten (ID1) an das erste Kommunikationsgerät (14) in Abhängigkeit von den zweiten Benutzerdaten (ID2) und der Geräte-Identifikationsdaten (VIN) zu übermitteln.Central data processing device (20) for a data processing system (18) for providing first user data (ID1) of a user (12) on a first communication device (14), wherein the central data processing device (20) is adapted to communicate with a second communication device (16) on which second user data (ID2) are stored, characterized in that the data processing device (20) is designed to - via the communicative connection to the second communication device (16) make a request to provide the first user data (ID1) on the first communication device (14), the second user data (ID2) and device identification data (VIN) for identifying the first communication device (14) from the second communication device (16) to receive; and - transmitting the first user data (ID1) to the first communication device (14) in response to the second user data (ID2) and the device identification data (VIN). Kommunikationssystem (10) mit einem zentralen Datenverarbeitungssystem (18) umfassend eine zentrale Datenverarbeitungseinrichtung (20) nach Anspruch 8, das erste und das zweite Kommunikationsgerät (14, 16).Communication system (10) with a central data processing system (18) comprising a central data processing device (20) according to Claim 8 , the first and the second communication device (14, 16). Kommunikationssystem (10) nach Anspruch 9, dadurch gekennzeichnet, dass das erste Kommunikationsgerät (14) als Kraftfahrzeug (14) ausgebildet ist.Communication system (10) after Claim 9 , characterized in that the first communication device (14) is designed as a motor vehicle (14).
DE102018207445.3A 2018-05-15 2018-05-15 Method for providing user data on a communication device, central data processing device and communication system Pending DE102018207445A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102018207445.3A DE102018207445A1 (en) 2018-05-15 2018-05-15 Method for providing user data on a communication device, central data processing device and communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018207445.3A DE102018207445A1 (en) 2018-05-15 2018-05-15 Method for providing user data on a communication device, central data processing device and communication system

Publications (1)

Publication Number Publication Date
DE102018207445A1 true DE102018207445A1 (en) 2019-12-05

Family

ID=68576175

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018207445.3A Pending DE102018207445A1 (en) 2018-05-15 2018-05-15 Method for providing user data on a communication device, central data processing device and communication system

Country Status (1)

Country Link
DE (1) DE102018207445A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070124046A1 (en) * 2005-11-29 2007-05-31 Ayoub Ramy P System and method for providing content to vehicles in exchange for vehicle information
US20130297456A1 (en) * 2012-05-03 2013-11-07 Sprint Communications Company L.P. Methods and Systems of Digital Rights Management for Vehicles
DE102012024010A1 (en) 2012-12-06 2014-06-12 Volkswagen Aktiengesellschaft Procedure for a vehicle
US9032547B1 (en) * 2012-10-26 2015-05-12 Sprint Communication Company L.P. Provisioning vehicle based digital rights management for media delivered via phone

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070124046A1 (en) * 2005-11-29 2007-05-31 Ayoub Ramy P System and method for providing content to vehicles in exchange for vehicle information
US20130297456A1 (en) * 2012-05-03 2013-11-07 Sprint Communications Company L.P. Methods and Systems of Digital Rights Management for Vehicles
US9032547B1 (en) * 2012-10-26 2015-05-12 Sprint Communication Company L.P. Provisioning vehicle based digital rights management for media delivered via phone
DE102012024010A1 (en) 2012-12-06 2014-06-12 Volkswagen Aktiengesellschaft Procedure for a vehicle

Similar Documents

Publication Publication Date Title
EP2606621B1 (en) Method for providing wireless vehicle access
EP3262859B1 (en) System for using mobile terminals as keys for vehicles
DE102017209961B4 (en) Method and device for authenticating a user on a vehicle
DE102012224421A1 (en) VEHICLE-LINKED SYSTEM AND COMMUNICATION PROCESS
EP2777309A1 (en) Method and system for enabling a technical apparatus
EP2332313A2 (en) Method for storing data, computer programme product, id token and computer system
DE102012013450A1 (en) Method for controlling access authorization or driving authority for motor car, involves receiving access or driving authority data at vehicle from communication apparatus to obtain access authorization or driving authority for vehicle
DE102015005232B4 (en) Controlling a clearance authorization of a motor vehicle
EP2631836A1 (en) Computer-implemented method for usage control, computer program product, data processing system and transport system
DE102015010203A1 (en) Method for operating a motor vehicle and system for operating a motor vehicle
DE102010055375A1 (en) Method for automatically logging into virtual representation of car on car's website for accessing vehicle homepage, involves allowing access to virtual representation of car on car website by mobile communication terminal
DE102016206571A1 (en) Electronic vehicle key and communication system
DE102014219502A1 (en) System and method for limited access to a vehicle
DE102014202713A1 (en) Device for checking the authorization of a user against a means of transportation
DE102016103128A1 (en) A method for access control on motor vehicles
WO2017157629A1 (en) Method for controlling access to vehicles
DE102010021256A1 (en) Method for the dynamic authorization of a mobile communication device
DE102017202024B4 (en) A method for coupling a portable user device with a mobile device installed in a motor vehicle and server device
DE102019121578A1 (en) Control the use of a facility
DE102010052812A1 (en) Method for remote triggering function of motor vehicle, involves storing data by storing device that is assigned to motor vehicle
DE102018207445A1 (en) Method for providing user data on a communication device, central data processing device and communication system
WO2019149579A2 (en) Method and system for verifying a charging contract of a user in order to release a charging operation for charging an electric vehicle at a charging infrastructure
EP3443764A1 (en) Method and device for indirectly transferring information from a first mobile transmitting component to a stationary server device via a second mobile transmitting component
EP3277010B1 (en) Method for providing an authenticated connection between at least two communication partners
DE102016215628A1 (en) Communication system for managing rights of use on a vehicle

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication