-
Die Erfindung betrifft einen Adapter und ein Verfahren zum Beeinflussen oder Diagnostizieren eines Gerätes.
-
Stand der Technik
-
Vorrichtungen, bzw. Verfahren zum Beeinflussen von Geräten, inklusive Rechteüberwachung und Abrechnung sind beispielsweise aus der Schrift
EP 1078524 B1 bekannt. Diese lehrt die Kontrolle einer Datenübertragung eines Videosignals einer Anwendung des Bezahlfernsehens. Dabei prüft ein Modul die Berechtigung zur Entschlüsselung durch das Gerät oder respektive ein Entschlüsselungsmodul.
-
Eine Konfiguration des Moduls oder Geräts hat jedoch vor Ort oder vorab zu erfolgen. Eine Fernbeeinflussung oder Umkonfiguration ist nicht ohne weiteres möglich.
-
Offenbarung der Erfindung
-
Der vorliegenden Erfindung liegt das Problem zugrunde, aus der Ferne Geräte abzusichern, deren korrekten Betrieb zu überwachen und Einfluss zu nehmen.
-
Erfindungsgemäß wird die voranstehende Aufgabe mit den Merkmalen der unabhängigen Ansprüche gelöst. Vorteilhafte Ausführungen sind in den Unteransprüchen beschrieben.
-
Es wird ein Adapter zum Beeinflussen und/oder Diagnostizieren eines elektrischen Geräts vorgeschlagen, der ausgebildet ist, mit dem Gerät mindestens eine physikalische Verbindung einzugehen, die aus der Auswahl von Stromverbindung, analoger I/O-Verbindung über eine I/O-Schnittstelle oder digitaler Datenverbindung über eine Datenübertragungsschnittstelle besteht. Weiterhin über eine Netzwerkverbindung mit einem von dem Gerät unabhängigen Server (z. B. Cloudservice) zu kommunizieren, mittels einem dem Adapter eigenen Trusted-Platform-Module den Adapter mit Sicherheitsfunktionen auszustatten und über von der Netzwerkverbindung empfangenen Kommandos das Gerät zu beeinflussen und/oder Diagnosen über das Gerät über die Netzwerkverbindung zu übermitteln.
-
Ebenso wird ein Verfahren zum Beeinflussen und/oder Diagnostizieren eines elektrischen Geräts mit einem Schritt A, des physikalischen Verbindens des Geräts und einem beschriebenen Adapter vorgeschlagen. Hierbei besteht die Verbindung aus wenigstens einem der Auswahl von Stromverbindung, analoger I/O-Verbindung über eine 1/0-Schnittstelle und/oder digitaler Datenverbindung über eine Datenübertragungsschnittstelle. Es folgt ein Schritt B, des Aufbauens einer sicheren Netzwerkverbindung zwischen Adapter mit einem von dem Gerät unabhängigen Server (z. B. Cloudservice) und Authentifizierung des Adapters mittels des Trusted-Platform-Modules. Es folgt ein Schritt C, des Empfangens von Kommandos zum Beeinflussen des Geräts über die Netzwerkverbindung und/oder des Übermittelns von Diagnosen über das Gerät über die Netzwerkverbindung.
-
Nachfolgend werden unter Bezugnahme auf die beigefügten Figuren weitere Ausführungsbeispiele näher beschrieben und erläutert.
-
Es zeigen:
- 1 eine Zusammenschaltung eines Adapters mit einem Gerät,
- 2a eine Variante eines Adapters,
- 2b Schnittstellen einer Variante eines Adapters,
- 3 eine Infrastruktur mit einem Adapter,
- 4 ein Ablaufdiagramm für eine Verbindung zwischen Gerät und Adapter.
-
In 1 ist ein Adapter C gezeigt, auch Smart Monitor genannt, der zur Funktionsüberwachung und Kontrolle eines an ihm angeschlossenen Geräts A dient. Dabei kann ein Agent B, der ein Softwaremodul ist und auf der Hardware des Geräts A läuft, eingesetzt werden. Eine Vielzahl von Verbindungen können zwischen Adapter C und Gerät A durch verschiedene mögliche Anschlüsse zustande kommen.
-
Für eine funktionierende Zusammenschaltung von Adapter C und Gerät A muss mindestens eine Schnittstelle/ein Anschluss zwischen beiden physikalisch (d. h. nicht drahtlos) angeschlossen sein.
-
Aus folgender (nicht abschließender) Auflistung können Verbindungen oder Anschlüsse, bzw. Arten von Anschlüssen zur Verfügung stehen:
- Stromzufuhr 11 und Strombuchse 12 (siehe auch 2a) stellen eine erste Art von Anschlüssen dar, zum Zwecke einer Stromverbindung 1, mit der das Gerät A mit Strom versorgt werden kann. Der Adapter C weist dabei einen steuerbaren Schalter im Strompfad der Stromverbindung 1 auf, z. B. ein Relais, mit dem die Stromversorgung unterbrochen oder freigegeben werden kann.
-
In einer einfachen (Teil)anwendung wird nur die Stromversorgung des Geräts A über den Adapter C via die Stromverbindung 1 geleitet. So kann der Adapter C steuern, ob das Gerät A ein- oder ausgeschaltet ist oder mittels Aus- und Einschalten einen Reset ausführen. Somit wäre die Fernwartbarkeit bzgl. Zurücksetzen des Geräts A ermöglicht, wenn z. B. eine Funktionsstörung des Geräts A gemeldet wird.
-
Optional kann zusätzlich oder alternativ eine Strommesseinheit vorhanden sein, die Diagnosen des Geräts A anhand des Stromverbrauchs oder dessen Verlaufs ermöglicht, z. B. um festzustellen, ob das Gerät A einwandfrei funktioniert bzw. überhaupt Leistung abruft. Unter Berücksichtigung von Toleranzen innerhalb einer Geräteserie kann damit eine ordnungsgemäße Funktion nachgewiesen werden und ggf. eine Sicherheitsabschaltung ermöglicht werden.
-
Zum Beispiel ist ein Fehlerbild bei defekten Elektromotoren ein ungewöhnlich hoher Strombedarf, z. B. bei einem Kurzschluss. Dieses Prinzip der Überwachung des Stromverbrauchs in Korrelation mit dem Betriebszustand kann auch bei anderen Geräten analog angewendet werden.
-
In einer weiteren einfachen Anwendung kann das Nichtfunktionieren des Geräts A festgestellt werden, wenn der Strom seitens des Adapters C eingeschaltet ist, das Gerät A dahinter aber keinen Strom abruft. Für jede Strombuchse 12 (siehe 2b) kann eine eigene Strommesseinheit vorhanden sein.
-
Eine zweite Art von Anschlüssen stellen analoge Anschlüsse als I/O-Schnittstellen (Input/Output) 21 dar, welche 1/0-Verbindungen 2 ermöglichen die eine Vielzahl von Anwendungen erlaubt. So können potentialfreie schaltbare Ausgänge zum Beispiel dazu dienen den Powerknopf oder den Resetknopf des angeschlossenen Gerätes zu betätigen, indem die I/0-Schnittstellen 21 mit diesen elektrisch verbunden werden und das Betätigen des jeweiligen Knopfes simulieren können.
-
Weitere Beispiele für I/Os ist der Anschluss von Sensoren, die Aussagen über den Zustand des Geräts A liefern. In diesem Fall dient eine I/O-Schnittstelle 21 als Ausgangsschnittstelle und nicht wie bei der Aktivierung von Knöpfen als Eingangsschnittstelle. Die Sensoren können im Gerät A eingebaut sein oder aber auch externe Sensoren sein, die nicht Teil des Geräts A sind. Als Beispiele für Sensoren seien Temperatursensor, Feuchtesensor oder Türöffnungssensor genannt.
-
In einem Sonderfall können die I/Os auch digitale Signale übertragen, beispielsweise von Sensoren, die Messergebnisse in digitaler Form liefern. Diese Art von Anschluss charakterisiert sich dadurch, dass geräteseitig keine Kommunikationssoftware aktiv ist, um diese I/Os zu bedienen.
-
In einer weiteren Anwendung, die auf physikalischen Zuständen des Geräts A beruht, können Parameter wie Temperatur (z. B. via I/O-Schnittstelle 21) oder Stromverbrauch (wie beschrieben) überwacht werden und über den Adapter C ausgelesen oder gemeldet werden. Auf diesen Parametern basierende Maßnahmen, wie Stromabschaltung oder Aktivierung von Schaltern (z. B. via eine weitere I/O-Schnittstelle 21) des Geräts A, können seitens des Adapters C oder über Kommandos, die der Adapter C empfängt, durchgeführt werden. Solche Kommandos können manuell oder mittels einer Auswertelogik generiert werden. Diese Auswertelogik kann im Adapter C ausgeführt werden oder außerhalb, wie später noch beschrieben wird.
-
Eine dritte Art von Anschlüssen sind digitale Schnittstellen 31, welche digitale Datenverbindungen 3 ermöglichen. Eine solche digitale Datenverbindung kann zur Kommunikation von Adapter C und einem Agent B auf dem zu überwachenden Gerät A genutzt werden. Prominent ist hier eine USB-Schnittstelle 32, alternativ kann auch eine Netzwerkbuchse (Ethernet) verwendet werden, um die Kommunikation über eine Netzwerkverbindung durchzuführen. Eine weitere Option (nicht abschließend) ist eine RS 232 Schnittstelle.
-
In nochmals einer weiteren Anwendung findet eine Kommunikation mit dem Austausch von digitalen Daten über die digitale Kommunikationsverbindung 3 statt, in der Standardausführung geschieht dies über eine USB-Schnittstelle 32. Dazu muss eine Kommunikationsgegenstelle für den Adapter C in dem Gerät A installiert sein, in Form einer entsprechenden Software, welche Agent B genannt wird, und diese Kommunikation bedient. Dieser Agent B kann auch weitere Funktionalitäten bereitstellen.
-
Der Agent B stellt eine Vielzahl an Befehlen bzw. Funktionen zur Übermittlung von Kommandos oder Anfrage von Diagnosen bereit, welche vom Adapter C bzw. vom Webinterface E (wie später erläutert) aufgerufen werden können. Diese Befehle sind zum Beispiel (nicht abschließend):
- ❿ Pairing eines Adapters C mit einem bestimmten Gerät A
- ❿ Starten/Beenden einer Anwendung
- ❿ Herunterfahren/Neustarten/Starten des Geräts A oder dessen Betriebssystems
- ❿ Update des Betriebssystems
- ❿ Installation/Deinstallation von Anwendungen
- ❿ Bewegen der Maus, Maussteuerung durch das Webinterface
- ❿ Auslösen von Mausklicks
- ❿ Prüfen, ob eine Anwendung bzw. ein bestimmter Prozess läuft, z. B. notepad.exe
- ❿ Ausführen eines Pings
- ❿ Ermitteln der Netzwerkschnittstellen/des Netzwerkstatus, z. B. IP, Subnet, MAC, Verbindungsstatus, Verbindungstyp
- ❿ Ermitteln aller Betriebssystem-Services und deren Zustände
- ❿ Ermitteln aller laufenden Prozesse
- ❿ Übermittlung eines Screenshots
- ❿ Übermittlung von Tastatureingaben
-
Diese Funktionen sind beliebig erweiterbar und können optional über ein automatisches Updatesystem jederzeit erweitert werden. Dem Agent B und Gerät A liegt üblicherweise nur ein einziges/gemeinsames Betriebssystem/Taskmanager zugrunde. Der Agent B läuft als betriebssystemnaher Service auf dem Gerät A und hat die höchsten Systemrechte. Auf diese Art kann er das Gerät A vollständig kontrollieren und überwachen. Das Laufen mit höchsten Systemrechten kann bedeuten, dass der Agent B als „normaler“ Betriebssystem/Windows Dienst läuft, aber unter dem Betriebssystem/Windows mit System Rechten. Bei Bedarf kann der Service/Agent B die höchsten Rechte von Windows übernehmen, z. B. die des Trusted Installers, um Änderungen an der Softwareinstallation vorzunehmen.
-
Verbindet man einen Adapter C mit einem Gerät A ohne einen kompatiblen Agent B oder ist die digitale Kommunikationsverbindung gestört, stehen von den bisher beschriebenen Funktionen lediglich die Überwachung der Stromaufnahme und das Ein-/Ausschalten der Stromversorgung und Funktionen über die analogen Anschlüsse 21 wie zum Beispiel das Drücken des Power-Knopfs zur Verfügung. Auch mit dieser minimalen Überwachung lassen sich einige Zustände feststellen, z. B. ob das Gerät im Betrieb ist.
-
Weiterhin existiert eine Netzwerkverbindung 4 zur Kommunikation des Adapters C mit Diensten in einem Netzwerk, wie später näher ausgeführt wird.
-
In 2a ist eine Ausführungsform einer Bauform des Adapters C gezeigt. Diese weist eine Stromzufuhr 11 und eine Strombuchse 12, bzw. Steckdose, auf. Die Stromzufuhr 11 dient zur Stromversorgung des Adapters C und des Geräts A, letzteres optional geschaltet, wie bereits beschrieben. Üblicherweise dürfte es sich um die lokale Netzspannung von 230 V / 110 V handeln. Sie Strombuchse 12 kann eine handelsübliche Steckdose sein, um handelsübliche Geräte einfach anschließen zu können.
-
Weiterhin sind zwei I/O-Schnittstellen 21, als offene Kabel dargestellt, zur Realisierung von I/O-Verbindungen 2 vorhanden. Ein Kabel besteht im Schaubild aus zwei Drähten für den Anschluss je einer I-O-Verbindung 2.
-
Weiterhin ist ein USB-Stecker 32 einer digitalen Schnittstelle 31 für die Kommunikation mit dem angeschlossenen Gerät A über eine digitale Kommunikationsverbindung 3 ausgeführt.
-
In 2b ist eine weitere Ausführungsform des Adapters C gezeigt. Hier sind die Anschlüsse (Panel) dargestellt. Es stehen drei weitere mögliche Stromverbindungen 1 über drei Strombuchsen 12 zur Verfügung um an diese weitere Geräte, bzw. Teile eines Geräts A, anzuschließen und kontrolliert mit Strom zu versorgen. Die Strombuchsen 12 können separat voneinander geschaltet werden. Die Stromzufuhr 11 ist allen gemeinsam. Ggf. können hier weitere Bauformen mit einer abweichenden Anzahl vorgesehen werden. Als Beispiel könnte man einen PC und mehrere Monitore an die mehreren Strombuchsen 12 anschließen und deren Stromversorgung individuell überwachen bzw. schalten.
-
Weitere Schnittstellen im Bild sind die drei runden schwarzen Punkte, die potentialfreien I/O-Schnittstellen 21 und die (digitale) Datenübertragungsschnittstelle 31 (z. B. USB-Kabel). Die 5 rechteckigen Anschlüsse sind die erweiterbaren I/O-Schnittstellen (auch mit 21 bezeichnet). Hier können z. B. die Tür-, Temperatursensoren, etc. angeschlossen werden.
-
In 3 ist die Zusammenschaltung von Adapter C und Gerät A eingebettet in einer Netzwerk-Infrastruktur gezeigt.
-
Die Netzwerkverbindung 4 dient zur Kommunikation des Adapters C mit Diensten in einem Netzwerk, insbesondere cloudbasierten Diensten, insbesondere einem Server D. Diese Dienste sind vom Adapter C unabhängig und können den Adapter C beeinflussen, kontrollieren, mit Kommandos beauftragen, Informationen entgegennehmen oder authentifizieren. Die Netzwerkverbindung 4 kann jeder Art, auch drahtlos (z. B. WLAN) sein.
-
Der Adapter C umfasst auch ein Trusted-Platform-Module (TPM), das Sicherheitsfunktionalitäten bereitstellt. Diese können umfassen:
- - eine Authentifizierung des Adapters C gegenüber dem Server D,
- - eine Sicherung und/oder Verschlüsselung der Netzwerkverbindung 4 zwischen Adapter C und Server D,
- - eine Prüfung der Unverändertheit der Hard- und Software, sowie der Konfiguration des Adapters C und (nicht abschließend)
- - eine Prüfung und/oder Vergabe von Lizenzen (z. B. für das Betriebssystem auf dem Adapter C oder später Gerät A) vom Server D an den Adapter C.
-
Die Netzwerkverbindung 4 wird als gesichert betrachtet, wenn Server D, der zentral verwaltet werden kann und der/die Adapter C (wegen TPM) als sicher gelten, so dass z. B. Man-inthe-middle Angriffe oder unbemerkte, unzulässige Veränderung von Hardware, Software oder Konfiguration des/der Adapters C als unmöglich gilt.
-
Da das Gerät A oftmals kein Trusted-Computing-System ist, da es sich z. B. um günstige Comsumer-Ware (z. B. Monitore) handelt oder nur einfache Funktionalität bietet, kann über die Kopplung/Verbindung/Pairing von Gerät A und Adapter C ein Trusted-Computing-System für die Kombination von Adapter C und Gerät A bereitgestellt werden. Die Authentizität und Integrität des Geräts A wird dabei i. d. R. durch die Notwendigkeit einer physikalischen Verbindung zwischen beiden sichergestellt. D. h. derjenige, der einen aufgrund des TPM vertrauenswürdigen Adapter C installiert, muss erstens physisch vor Ort sein und erkennt beim Installieren, bzw. Herstellen der physikalischen Verbindung auch die Vertrauenswürdigkeit des Geräts A. Auf diese Weise kann einem Gerät A quasi die Funktionalität eines Trusted-Computing-Systems nachträglich verliehen werden, in dem ein sicheres System durch die Kopplung mit dem sicheren Adapter C hergestellt wird.
-
Die für das Trusted-Computing-System notwendige TPM-Einheit, bzw. Trusted-Platform-Module (TPM) kann im Adapter C integriert, diskret, als Firmware (quasi Hardwarenah) oder Hardwaresicherheitsmodul (HSM) als Chip ausgeführt sein. Dies dient der sicheren, hardwarebasierten Speicherung von Gerätegeheimnissen, wie Verbindungsschlüsseln und der Sicherung der Integrität (Manipulationsschutz). Sowohl X.509-Zertifikate als auch SAS-Token können im HSM gespeichert werden.
-
Eine Hardwarelösung in Form eines TPM-Chips kann auch durch einen Baustein (z. B. System-on-a-chip (SOC)) mit integrierter TPM-Funktionalität realisiert werden. Ein Beispiel eines solchen Bausteins ist der Chip Azure Sphere von Microsoft, mit dem eine sichere Datenübertagung auf der Netzwerkverbindung 4 und eindeutige Identifizierung des Adapters C gewährleistet werden kann. Der Vorteil eines SOC oder eines solchen herstellerspezifischen Chips ist die einfache Verbindung/Konfiguration mit der herstellereigenen Cloud und herstellereigenen Services.
-
Zusätzlich wird ein Server D eingesetzt, der lokal oder als Cloudservice vorliegt. Dieser Server kann Informationen über beteiligte Geräte A und Adapter C speichern, wobei Geräte und Adapter üblicherweise in einer Vielzahl im Netzwerk vorkommen.
-
Zur Kommunikation mit einem Nutzer oder Administrator, der Befehle an das Gerät A senden oder Diagnosen von diesem empfangen möchte, kann ein Interface E, z. B. ein entferntes Webinterface z. B. über einen Browser dienen.
-
Üblicherweise kommuniziert der Adapter C ausschließlich über die Cloud (Server D) mit dem Webinterface E. Dies geschieht über einen IoT-Hub (Internet of Things) via Message Queuing Telemetry Transport (MQTT), einem offenen Netzwerkprotokoll für Machine-to-Machine-Kommunikation (M2M).
-
Zur eindeutigen Zuordnung einer Kombination von einem konkreten Adapter C und einem oder mehreren konkreten Geräten A kann ein Pairing durchgeführt werden. Eine solche gültige Paarung kann vorab im Server D konfiguriert werden oder beim erstmaligen physikalischen Verbinden und Anschalten des Geräts A und/oder Adapters C durchgeführt werden und für die Zukunft im Server D festgeschrieben werden. Diese Prüfung kann auch der Adapter C in Kenntnis der Seriennummer des Geräts A durchführen. Ein konkretes Gerät A oder konkreter Adapter C kann z. B. über eine einmalige/eindeutige Seriennummer identifiziert werden.
-
In 4 ist ein Beispiel eines Ablaufs eines Verfahrens zum Beeinflussen und/oder Diagnostizieren eines elektrischen Geräts A dargestellt.
-
Zuerst wird in einem Schritt A (SA) der Adapter C über eine digitale Kommunikationsschnittstelle 31 mit dem zu überwachenden Gerät A verbunden. Dies kann über eine serielle Verbindung (RS232 oder USB 32) oder andere Schnittstellen wie LAN oder Bussysteme geschehen. Auf dem zu überwachenden Gerät A ist ein Agent B vorinstalliert, welcher auf der Kommunikationsschnittstelle auf die Verbindung des Adapters C wartet.
-
Sodann wird in einem Schritt B (SB) eine sichere Netzwerkverbindung 4 zwischen dem Adapter C und dem Server D aufgebaut, wobei der Server D die Verbindung und Authentizität des Adapters C überprüft. Diese gelingt sicher über das Trusted-Platform-Module TPM. Damit wird, wie bereits beschrieben, auch die Vertrauenswürdigkeit des Gerätes A angenommen, da hierauf physikalisch zugegriffen wurde.
-
Schlussendlich wird in einem Schritt C (SC), dem Dauerbetrieb, das Empfangen von Kommandos zum Beeinflussen des Geräts A über die Netzwerkverbindung (4) und/oder das Übermitteln von Diagnosen über das Gerät (A) über die Netzwerkverbindung (4) ermöglicht.
-
Optional kann gemäß einer Schlüsselübertragungs-Schrittfolge SV eine verschlüsselte Verbindung zwischen Gerät A und Adapter C über eine Schlüsselübertragung via den Server D eingerichtet werden. Dies ermöglicht eine Prüfung der Berechtigung des Adapters C mit dem speziellen Gerät A kommunizieren zu dürfen. Diese Schlüsselübertragungs-Schrittfolge SV geschieht in der Regel vor dem Schritt B (SB) und hat folgenden Ablauf:
- Im ersten Schritt SV1 sendet der Adapter C eine Authentifizierungsanfrage mit seiner eindeutigen Geräte ID an den Agent B. Dies kann, je nach Programmierung, unmittelbar nach dem physikalischen Verbinden selbständig geschehen oder durch eine Interaktion/Kommando.
-
Im zweiten Schritt SV2 generiert der Agent B einen Schlüssel und sendet diesen über eine gesicherte Verbindung 5 (z. B. per SSL/TSL) an den Server D. Der Schlüssel kann auf Basis der ID des Adapters C generiert werden, alternativ kann auch ein beliebiger Schlüssel erzeugt werden, der über den Server D genau beiden Geräten zugeordnet und an diese verschickt wird.
-
Im dritten Schritt SV3 überprüft der Server D die Berechtigung von Agent B (alias Gerät A) und Adapter C. Der Server D kann die Schlüssel und Zugriffsrechte aller möglichen Geräte im Netzwerk logisch verwalten (z. B. als Lizenzserver, z. B. zDM-Server).
-
In einer ersten Variante wird vorab, bevor der Adapter C mit einem Gerät A verbunden wird, eine entsprechende Berechtigung auf dem Server D konfiguriert, die besagt, dass einer oder mehrere bestimmte Adapter C mit auf dem Server hinterlegten Geräten A verbunden/gepairt werden dürfen. Daher erstellt auch der Server D den Schlüssel für die Kommunikation zwischen Adapter C und Gerät A oder hält einen solchen zumindest gespeichert vor.
-
In einer anderen Variante wird einem Adapter C bei der erstmaligen Verwendung oder einer Kombination aus Adapter C und Gerät A bei der erstmaligen Verwendung eine Verbindungsaufnahme mit Pairing generell gestattet und dieser Adapter C oder die Kombination mit Gerät A sodann im Server D gespeichert. Eine zukünftige Neu-Verbindung oder Verbindung in anderer Kombination würde dann jedoch vom Server D unterbunden.
Der Server D unterbindet eine Verbindung/Pairing dadurch, dass er die normalerweise folgenden Schritte nicht weiter ausführt.
-
Im vierten Schritt SV4 übermittelt der Server D den Schlüssel über eine gesicherte Netzwerkverbindung 4 an den Adapter C. Die gesicherte Netzwerkverbindung 4 wurde z. B. im Schritt B (SB) eingerichtet.
-
Die Bestimmung des genauen Adapters C bei einer Mehrzahl von angeschlossenen Adaptern im System geschieht über die ID, die der Adapter C im ersten Schritt dem Agent B mitgeteilt hat und von diesem wiederum an den Server D übermittelt hat. Der Server D hat die Pairings gespeichert, womit genau ein Adapter C immer mit genau einem Gerät A verbunden ist. D.h. fragt der Adapter C am Server D nach dem Schlüssel, bekommt er diesen nur für die Kommunikation mit dem ihm zugewiesenen Gerät A.
-
Im fünften Schritt SV5 empfängt der Adapter C den Schlüssel vom Server D und speichert diesen.
-
Alternativ zum beschriebenen Verfahren des Schlüsseltausches kann die Konfiguration für den Adapter C auf das Gerät A geladen werden, z. B. falls der Adapter C offline ist bzw. keine Verbindung mit dem Server D haben (kann). In diesem Fall würde der Schlüssel bereits auf Client vorinstalliert und mit der Konfiguration auf den Adapter C übertragen werden. Anders als im vorigen Prozess beschrieben müsste der Schlüssel nicht vom Client/Gerät A generiert, sondern vom Server D und von dort auf den Client übertragen werden. Daher bekommt der Adapter C diesen auf indirektem Wege vom Server D übertragen.
-
Eine ergänzte Alternative für den Fall einer fehlenden Netzwerkverbindung 4 zwischen Adapter C und Server D, insbesondere, falls das vorab bekannt ist, lautet wie folgt. Sobald der Agent B mit dem Server D eine Verbindung 5 eingeht, wird überprüft, ob für dieses Gerät eine Adapter-Konfiguration verfügbar ist. Falls ja, wird diese an das Gerät A übermittelt. Dies kann bei der Erstinstallation des Geräts A passieren.
Wird nun der Adapter C mit dem Gerät A verbunden, so wird diese zwischengespeicherte Konfiguration an den Adapter C gesendet und verwendet.
-
Diese Konfiguration kann auch die optionalen Schlüsseldaten beinhalten, das Vertrauen ist durch das physische Verbinden und die Vorkonfiguration gegeben.
-
Die Konfiguration kann auch Daten, wie zum Beispiel die LAN (Local Area Network) oder WLAN Konfiguration beinhalten, um an dem Aufstellort des Adapters C (vollautomatisch) in ein lokales Netzwerk eingebunden zu werden, damit online zu gehen und anschließend die Netzwerkverbindung 4 zum Server D herstellen. Normalerweise ist dafür der Aufstellort des Adapters C bzw. Geräts A vorab bekannt, so dass die passenden Netzwerkzugangsdaten konfiguriert werden können.
-
Die Konfiguration erhält der Adapter C hierfür, wie bereits beschrieben, vom Agent B des jeweiligen Gerätes A, bevor eine Verschlüsselung bzw. Kopplung aufgebaut wird.
-
Mit diesen Varianten kann somit sowohl das Gerät A, als auch der Adapter C ohne manuelle Konfiguration vor Ort aufgestellt bzw. verbunden werden. Entsprechendes Fachpersonal kann vorteilhafterweise somit entfallen.
-
Nicht verzichtet werden kann auf den (ggf. vollautomatischen) Aufbau der Netzwerkverbindung 4, der den Adapter C (z. B. mittels Azure) gegenüber dem Server D authentifiziert und somit die vorab beschriebene Sicherheit/Vertrauen/Trust liefert. Den Schlüssel für die Kommunikation zwischen Gerät A und Adapter C erhält der Adapter C dann vom Server D über die gesicherte Netzwerkverbindung 4.
-
In der späteren, d. h. im Schritt C (SC), direkten Kommunikation zwischen Adapter C und Agent B über die digitale Kommunikationsverbindung 3 wird dann dieser Schlüssel genutzt.
-
Wird diese optionale Schlüsselübertragung nicht durchgeführt, so kann alternativ auch eine direkte Kommunikation zwischen Adapter C und Agent B eingerichtet werden. Diese kann unverschlüsselt sein, was insbesondere bei Kabelverbindungen als weniger sicherheitskritisch eingestuft werden kann, oder durch klassische Punkt-zu-Punkt Verschlüsselung (z. B. SSL/TSL) realisiert werden kann.
-
Eine Schlüsselübertragung via den Server D hat, wie bereits beschrieben, den Vorteil, dass das Übertragen eines vorher nicht bekannten Schlüssels auf den Adapter C bedingt, dass später nur mittels dieses speziellen Adapters C auf das Gerät A Einfluss genommen werden kann. Ungerechtfertigte Verbindungen z. B. mit einem unzulässigen Adapter C können so verhindert werden.
-
Bei der alternativen Variante entfällt der technisch erhöhte Aufwand der Schlüsselgenerierung und des -austausches und es wird keine Prüfung durch den Server D benötigt. Jedoch muss die Geräte-ID des Geräts A im späteren Pairing-Prozess von jedem Adapter C auslesbar sein, da keine Prüfung (durch den Server D) stattfindet, eben auch, wenn die Berechtigung seitens des Adapters C dazu gar nicht vorliegt. So kann jeder beliebige Adapter C in diesem Fall mit dem Agent B kommunizieren und diesem ggf. auch eine Verbindung zum Server D vorgaukeln.
-
Ein Pairing mit dem zu überwachenden Gerät A kann in einer Pairing-Schrittfolge SP wie folgt geschehen:
- Im ersten Schritt SP1 sendet der Adapter C eine Anfrage an den Agent B, um die eindeutige ID des zu überwachenden Gerätes A zu ermitteln.
-
Im zweiten Schritt SP2 ermittelt der Agent B die eindeutige ID des Gerätes A und sendet diese an den Adapter C.
-
Im dritten Schritt SP3 speichert der Adapter C die eindeutige ID und übermittelt diese an den Server D.
-
Im vierten Schritt SP4 führt der Server D anhand dieser ID eine Prüfung durch.
-
Der Server D kann als Lizenzserver und/oder Geräteverwalter (z. B. zDM-Server von Elbacom) fungieren und überprüft, ob dieses spezielle Gerät A einen Adapter C angeschlossen haben darf. Dies kann beispielsweise über die Seriennummer (bzw. ID des Geräts A) oder einen im Adapter C vorkonfigurierten Schlüssel abgeglichen werden.
-
Verhindert wird so, dass ein Angreifer den Adapter C nutzen kann, wenn er diesen an ein anderes Gerät anschließt, da aufgrund des Pairings kein Schlüssel für dieses andere Gerät zur Verfügung steht. Man müsste den Adapter C auf dem Lizenzserver (Server D) wieder freigeben bzw. den Adapter einem neuen Gerät A zuordnen.
-
Optional, insbesondere wenn keine vorhergehende Schlüsselübertragung stattgefunden hat, kann bei dieser ersten Verbindung zwischen Adapter C und dem Gerät A ein Schlüsselaustausch durchgeführt werden. Anders als z. B. bei Bluetooth wird über den zDM-Server überprüft, ob dieses spezielle Gerät A einen Adapter C angeschlossen haben darf. Der Server erstellt dann den eindeutigen Schlüssel für die weitere Kommunikation.
-
In einer Variante speichert der Server D die eindeutige ID des Geräts A, um später keine anderen Pairings mit anderen Adaptern zu erlauben, die dieselbe ID eines Gerätes A übermitteln.
-
Nachdem der Adapter C erstmalig mit einem Gerät A verbunden ist, kann er dann nicht mehr zusammen mit einem anderen Gerät verwendet werden, außer man trennt auch die logische Verknüpfung zwischen Gerät A und Adapter C auf dem Server D, bzw. gibt den Adapter C wieder frei und setzt so ein bestehendes Pairing zurück.
-
In einer anderen Variante prüft er die eindeutige ID des Geräts A, ob diese in einer vorkonfigurierten Liste zulässiger Geräte ist.
-
In einer weiteren Variante wird die ID des Adapters C serverseitig mit der ID des Gerätes A logisch verknüpft. Dadurch weiß der Server D, welcher Adapter C mit welchem Gerät A gepairt ist.
-
Der Adapter C ist nach dieser Pairing-Schrittfolge SP automatisch einem Gerät A zugeordnet (d. h. gepairt), ohne das eine manuelle Einrichtung für die Inbetriebnahme notwendig war. Ggf. war eine Konfiguration des Servers D notwendig. Um diese automatische Einrichtung zu nutzen, muss der Adapter C nur initial an das zu überwachende Gerät A angeschlossen werden (siehe Schritt A (SA)).
-
Im Folgenden werden diverse beispielhafte Anwendungsszenarien beschrieben. Als initiierende Instanzen für Kommandos oder Abfragen können hier das Webinterface E mit Einflussnahme durch einen Nutzer/Administrator, der Server D durch seine Serversoftware und/oder der Adapter C, durch seine interne Software, die dann ggf. autark vom Server agieren kann, in Frage kommen, um das zu überwachende Gerät A über den Agent B fernzusteuern.
-
Übertragung der grafischen Anzeige: Ein aktueller Bildschirminhalt (Snapshot oder Stream) des zu überwachenden Geräts A kann über den Agent B via Adapter C an die Weboberfläche E gesendet werden. Z.b. ermöglicht dies einem Servicetechniker oder Administrator aus der Ferne zu beurteilen, ob das Gerät den korrekten Bildschirminhalt anzeigt.
-
Steuerung der Eingabegeräte: Eine Maus bzw. Tastatur kann über den Adapter C auf dem zu überwachenden Gerät A mit dem Agent B gesteuert werden. Die Eingabekommandos werden hierfür von der Weboberfläche E aus an den Adapter C übertragen.
-
Ausführen, Beenden und Prüfen von Anwendungen: Der Adapter C kann über den Agent B prüfen, ob auf dem zu überwachenden Gerät A bestimmte Anwendungen laufen. Weiterhin ist es möglich Anwendungen so auch zu starten bzw. zu beenden. Dies kann serverseitig automatisiert passieren. Dazu können Konfigurationssets auf dem Server D (zDM-Server) vorgehalten werden, welche an den Adapter C übertragen werden. Diese geben beispielsweise vor, wenn eine bestimmte Anwendung nicht (mehr) funktioniert/antwortet/korrekte Ergebnisse liefert, diese zu beenden und neu zu starten. Alternativ kann ein solches Vorgehen aber auch über die Weboberfläche E angestoßen werden.
-
Steuern der Stromzufuhr und weiterer Elemente: Der Adapter C kann physisch die Stromzufuhr 12 des zur überwachenden Gerätes A trennen bzw. ermöglichen. Weiterhin ermöglichen weitere I/0-Schnittstellen 21 andere Elemente des zu überwachenden Gerätes A zu steuern. Diese können an verschiedenen Elementen angebracht werden. Zum Beispiel, um den Ein/Ausschalter des Gerätes zu drücken, oder den Reset Button des Gerätes auszulösen.
-
Messen der Stromzufuhr: Der Adapter C kann die Stromaufnahme des zu überwachenden Gerätes A messen, bzw. auslesen. Diese Daten werden in der Cloud, respektive auf einem Server analysiert, um eine mögliche Fehlfunktion festzustellen.
-
Anwendungsfall des Digital Signage/Digitale Beschilderung: Es soll sichergestellt werden, dass Geräte A einwandfrei funktionieren und die gebuchte Werbung bzw. Inhalte angezeigt werden. Um mögliche Ausfallzeiten zu minimieren wird je ein Adapter C an je ein bestehendes Digital Signage Gerät A angeschlossen.
-
Das beschriebene automatische Pairing mit einem Digital Signage Gerät A ermöglicht eine einfache Installation durch einen Servicetechniker am Aufstellort, welcher die Stromversorgung des Geräts A über einen Adapter C schaltet und die beiden Einheiten z. B. per USB 32 verbindet. Optional können die potentialfreien I/O-Schnittstellen 21 an den Powerknopf und Resetknopf angebracht werden.
-
Für die Überwachung des Digital Signage Geräts A können nun mehrere Funktionen herangezogen werden:
- 1. Überwachung der Stromzufuhr: Anhand der Stommessung kann überprüft werden, ob das Gerät korrekt läuft, d. h. Strom in einem Sollbereich abruft.
- 2. Überwachung der Kommunikation mit dem Agent B: Wenn der Agent B erreichbar ist, läuft das Betriebssystem korrekt.
- 3. Überwachung der laufenden Anwendungen: Es kann geprüft werden, ob bestimmte Prozesse auf dem Gerät A ausgeführt werden, z. B. die Werbeplayerapplikation.
- 4. Überwachung der Internet- bzw. Netzwerkverbindung 4, 5: Es kann geprüft werden, ob das Gerät eine Verbindung mit dem Internet bzw. dem internen Netzwerk zum Laden neuer Werbung herstellen kann.
- 5. Screenshots: Bei Bedarf kann ein Screenshot vom Gerät A bereitgestellt und an einen entfernten Anzeigeplatz E übertragen werden, um manuell zu prüfen, ob die Anzeige korrekt ist.
-
Liefert einer dieser Prüfpunkte ein negatives Ergebnis, kann eine automatische Aktion ausgeführt werden. Dies kann beispielsweise ein Neustart der Applikation sein oder aber auch ein kompletter hardwareseitiger Neustart des Geräts. Funktioniert nach diesen automatischen Funktionen das Gerät weiterhin nicht, kann eine Nachricht an einen Servicetechniker ausgelöst werden zusammen mit einer Auflistung der Symptome wie auch möglichen Ursachen.
-
Über die Diagnosefunktionen kann die Dauer des Betriebs des Digital Signage Gerätes festgestellt werden, sowie die Zeitdauer des Anzeigens bestimmter Inhalte. So kann ein Nachweis über die gezeigten Inhalte (z. B. Werbung) und eine automatische Berechnung anhand der Darstellungsdauer ermöglicht werden.
-
Anwendungsfall eines Kassensystems bzw. Point-of-Sale (POS): Ein Adapter C wird an eine elektronische Kasse (Gerät A) angeschlossen, so dass diese überwacht oder ferngewartet werden kann.
-
Für die Überwachung eines Kassensystems (Gerät A) können nun mehrere Funktionen herangezogen werden:
- 1. Überwachung der Stromzufuhr: Anhand der Stommessung kann überprüft werden, ob das Gerät korrekt läuft, d. h. Strom in einem Sollbereich abruft.
- 2. Überwachung der Kommunikation mit dem Agent B: Wenn der Agent B erreichbar ist, läuft das Betriebssystem korrekt.
- 3. Überwachung der laufenden Anwendungen: Es kann geprüft werden, ob bestimmte Prozesse auf dem Gerät A ausgeführt werden, z. B. die Kassenapplikation.
- 4. Überwachung der Netzwerkverbindung 4, 5: Es kann geprüft werden, ob das Gerät A eine Verbindung dem internen Netzwerk (z. B. im Laden oder Firmenverbund) zur Kommunikation mit dem Kassensoftwareserver herstellen kann.
- 5. Screenshots: Bei Bedarf kann ein Screenshot vom Gerät A bereitgestellt und an einen entfernten Anzeigeplatz E übertragen werden, um manuell zu prüfen, ob die Anzeige korrekt ist.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-