EP2100428A2 - Method and system for read out of data from a memory on a mobile remote device - Google Patents

Method and system for read out of data from a memory on a mobile remote device

Info

Publication number
EP2100428A2
EP2100428A2 EP07846762A EP07846762A EP2100428A2 EP 2100428 A2 EP2100428 A2 EP 2100428A2 EP 07846762 A EP07846762 A EP 07846762A EP 07846762 A EP07846762 A EP 07846762A EP 2100428 A2 EP2100428 A2 EP 2100428A2
Authority
EP
European Patent Office
Prior art keywords
server
data
wireless communication
mobile
modem
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP07846762A
Other languages
German (de)
French (fr)
Inventor
Matthias Lydike
Bernd Hoeppener
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Efkon GmbH
Original Assignee
Efkon Germany GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Efkon Germany GmbH filed Critical Efkon Germany GmbH
Publication of EP2100428A2 publication Critical patent/EP2100428A2/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C23/00Non-electrical signal transmission systems, e.g. optical systems
    • G08C23/04Non-electrical signal transmission systems, e.g. optical systems using light waves, e.g. infrared
    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/20Monitoring the location of vehicles belonging to a group, e.g. fleet of vehicles, countable or determined number of vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys

Definitions

  • the invention relates to a method for reading out data from a memory of a mobile remote device, e.g. dvseckats, by a server, wherein between the server and the device a wireless communication connection is established.
  • the invention relates to a system for reading data from a memory of a mobile remote device, e.g.ffygerats, by a server, as well as the device is assigned a modem for wireless communication.
  • WO 2006/004231 A1 deals with the remote reading of an energy meter, wherein if data is not received, a line connection to a read modem is to be established, an authentication code being provided for this special case. Specifically, however, it is about the use of services of an existing network, especially in a stationary equipment, as opposed to access to individual remote, mobile, passive devices by a central station.
  • EP 1 655 921 A1 it is known from EP 1 655 921 A1, for example. It has become known to subject users of a communication system for network access to authentication so that only authorized subscriber terminals are granted access to the network. Also known per se are VPN connections, see, for example, US 2006/0155822 A1, which generally discloses a VPN connection between a mobile device and an Internet device, which concerns a service network, in which a rights assignment and the use of services stand in the foreground. The problem of reading data, in particular data that can be assigned to different owners, in objects or devices that are mobile and completely passive, is not addressed here.
  • it is intended to allow downloading of authentic data if the object or device containing the data is too far away to reach it directly, or if it is constantly changing its location due to the mobile training. It should also be possible to request and download certain data from different devices, especially on behalf of authorized companies.
  • the invention provides a method and a system for reading out data as stated in the independent claims.
  • Advantageous embodiments and further developments are specified in the dependent claims.
  • data from a mobile remote (vehicle) device can be requested and downloaded from a data station, a server, which can also be mobile, for example, in addition to being stationary.
  • a conventional radio connection in particular via GPRS or GSM, but also an infrared (IR) connection, a wireless LAN connection or the like.
  • IR infrared
  • VPN Virtual Private Network
  • the server After establishing such a communication connection from the server, a VPN (Virtual Private Network) connection between the server and the device is realized, and the corresponding applications are integrated into the connection on the server and on the remote device.
  • the required data can only be downloaded with the appropriate authorization, whereby this data transmission is preferably also carried out under encryption for security reasons.
  • data requested by different companies from a wide range of devices can be requested and downloaded to the server, and the server (or one of several servers operating in the network) can also be made available to various customers for such download services.
  • the authentication using an authentication card is made in a m card reader - after handover, for example, by a customer of the server - is read, so access to certain mobile devices, such as devices in certain Vehicles, in the field, to obtain.
  • the authentication unit it is also possible to connect the authentication unit to a management unit for virtual card images (electronic "authorization cards") and no additional measures are required.
  • virtual card images electronic "authorization cards”
  • the numbers of the devices in the case of mobile phone connections can be public and the access to the data According to the invention, as mentioned, via the authentication, in particular via an authentication card.
  • Dxe invention thus enables the secure reading of data from a memory of a mobile remote device, which is a passive device, with all the necessary steps for reading the data from the side of the server or computer, ie the "terminal", are made
  • Server-side authentication ensures that only permissible access to data in the mobile, passive devices can take place, whereby in the case of data from different owners, authentication also ensures access to only one's own data
  • Service connection and no network connection there are no compulsory ones Service connection and no network connection, and access to signed, protected data in a passive, mobile object in a secure manner, starting from the central data terminal, is made possible.
  • the - known per se - VPN- Connection of meaning.
  • FIG. 1 is a block diagram of a system according to the invention for remote reading of data with a server and a mobile device;
  • FIG. 1 is a block diagram of a system according to the invention for remote reading of data with a server and a mobile device;
  • FIG. 1A schematically shows in a comparable block diagram a system according to the invention modified for the remote reading of data compared with FIG. 1;
  • FIG. 2 schematically shows the connection setup between server and device with establishment of a VPN connection and provision of an authentication and encryption procedure;
  • FIG. 1A schematically shows in a comparable block diagram a system according to the invention modified for the remote reading of data compared with FIG. 1;
  • FIG. 2 schematically shows the connection setup between server and device with establishment of a VPN connection and provision of an authentication and encryption procedure;
  • FIG. 1A schematically shows in a comparable block diagram a system according to the invention modified for the remote reading of data compared with FIG. 1;
  • FIG. 2 schematically shows the connection setup between server and device with establishment of a VPN connection and provision of an authentication and encryption procedure;
  • FIG. 1A schematically shows in a comparable block diagram a system according to the invention modified for the remote reading of data compared with FIG. 1;
  • FIG. 2 schematically shows the connection setup between server and device with establishment of
  • FIG. 3 shows a flow chart for illustrating the basic procedure in the method according to the invention for remote reading of data
  • 4 and 5 are detailed flowcharts to portions in the flowchart of FIG. 3, illustrating the authentication procedure and the data transmission.
  • a server 4 is to be understood only as an example, and that also several servers in the network, possibly in conjunction with a common database 5, as memory where the downloaded data is stored, may be present, and In particular, a plurality of devices 2, for example, several thousand devices 2, may be present.
  • the memory 3 in the respective device 2 can be present in various known embodiments, and the data are written into this memory 3 or read out of the memory 3 with the aid of a processor 6 or the like.
  • the processor 6 (hereinafter referred to simply as ⁇ P 6) is assigned an encryption / decryption unit 7, which may be designed as a separate component and connected to the ⁇ P 6, but which is also formed as a software module in a program memory of the ⁇ P 6 can be.
  • the ⁇ P 6 contains further Also, a corresponding communication module (not illustrated in detail) to the server 4 via an interface 8 and an associated modem 9 for wireless communication, such as a GPRS modem or a wireless LAN modem (W-LAN modem) to communicate.
  • the respective connection establishment over these wireless communication paths takes place from the server 4, which has a corresponding communication modem 10, e.g. a GPRS modem or a wireless LAN modem, with which it is connected via an interface 11.
  • the server 4 contains computer means 12, which may be formed by one or more processors or microcomputers ( ⁇ C), a part of which forms a separate control unit 13, which has an encryption / decryption unit 14 assigned and via a VPN device 15 and the Interface 11 is connected to the modem 10.
  • ⁇ C microcomputers
  • an authentication unit 16 is provided in the computer means 12, which is connected via an interface 17 to a card reader 18 for reading authorization cards 19 which contain a code and which are inserted into the card reader 18.
  • a unit 18 there may also be a management unit for virtual authorization cards (virtual card images).
  • an input unit 20 is provided, in which case also a corresponding authentication procedure is conceivable in order to prove an access authorization for the request of data from the respective device 2.
  • the control unit 13 of the computer means 12 is further connected via an interface 21 to the memory 5.
  • FIG. 1A illustrates a system 1 modified from the system according to FIG. 1 for reading out data from a remote, mobile device 2, for example once again an OBU vehicle device.
  • the system 1 here also has a server 4 for retrieving data from the remote device 2, specifically from its memory 3.
  • the server 4 is preferably designed as a mobile read-out device, and he or she is in principle similar to the server 4 of FIG. 1 formed so that, as far as agreement is given, a re-detailed description may be unnecessary, similar to the case of Device 2.
  • corresponding components of the server 4 as well as the remote device 2 have been given the same reference numbers.
  • the server 4 again has computer means 12 with a control unit 13, a
  • the card reader 18 is integrated in the server 4 in order to be able to insert authorization cards 19 directly into the server 4 and to be able to read from it.
  • a VPN device 15 is also connected to the computer means 13 using a mobile telephone modem, e.g. a GSM modem or a W-LAN modem, generally a modem 10, is connected via an interface 11 to the VPN device 15.
  • a mobile telephone modem e.g. a GSM modem or a W-LAN modem, generally a modem 10.
  • a modem 10 'known per se for infrared communication is also connected to the VPN device 15.
  • the remote device 2 also has an IR modem 9 'with IR transmitting means 22' and IR receiving means 23 ', this IR modem 9' being connected to the processor 6 of the device 2 via the encryption / descrambling unit 7 ,
  • This IR modem 9 ' instead of the wireless modem, wireless modem or mobile modem 9 shown in FIG. 1 or preferably, as shown in Fig. IA, be provided in addition to the latter modem 9 so as to Readout of data on request from the server 4 hm depending on the choice or for more favorable communication conditions either via the W-LAN or mobile phone connection (modems 9, 10) or via the infrared communication connection (modems 9 ', 10') provided.
  • a mobile server 4 it is also expedient to connect this server 4 to the database 5 via a wireless network Network (radio network) to produce, unless the database 5 is integrated into the server 4.
  • a wireless network Network radio network
  • an arrangement of transmitting and receiving radio modems 24 and 25 for the communication between the mobile server 4 and the database 5 is illustrated by dashed lines as an example in Fig. IA.
  • FIG. 3 It is generally shown in FIG. 3 that according to a field 40, if there is a desire for data transmission, a wireless connection to the device 2 is established from the server 4. In accordance with an interrogation field 41, it is then checked whether this wireless connection is established, for example via GSM or GPRS, or else via IR, and if not, return to the initial field 40. However, as soon as the wireless connection is established, it is queried in accordance with a further query field 42 whether there is a legitimate query, ie whether an authentication has been or has been made.
  • the process continues immediately to the end 43 of the process. If, however, in the check according to query field 42, the result is an authorization of the query, then according to a field 44, the VPN connection is established from the server. Following this, in accordance with a field 45, the data is transmitted from the device 2 to the server 4, wherein continuously according to an interrogation field 46 queries whether the data has already been completely transferred. If this is not the case, the data transmission is continued according to box 45. However, when the data has been completely transferred, the end 43 of the process is reached.
  • FIG. 4 illustrates in more detail the process during the authentication, it being assumed that the security modules (crypto-control) of the server 4 and of the terminal 2 each have special keys; the corporate key, along with the terminal (frontend) key, must be a valid pair.
  • the server 4 sends the corporate identifier for authentication purposes, i. an identification of the company for which the data transmission is to be initiated and which is authorized to transmit the data from the respective terminal 2.
  • this corporate identifier is then checked in the device 2, and if the device 2 rejects it, i. the enterprise identifier is not known to the device 2, the transition to the end 43 as described.
  • the device 2 sends back a confirmation message to the server 4, s. Box 52 in Fig. 4.
  • the server 4 provides a VPN key for establishing a VPN connection, s. Field 53, after which the establishment of the VPN connection according to box 54 takes place.
  • the server 4 asks for a list of accessible data; It should be taken into account here that several authorized subscribers are conceivable, to whom data is assigned in each case, but which also have to be protected against each other.
  • the device 2 sends the list of accessible data to the server 4, then the server 4 queries the data for the transmitted list, s. Box 57 in Fig. 5, and according to box 58, the device 2 sends the data and the associated signature, if, as is preferred, the data is already stored in the memory 3 of the device 2 stored.
  • the server 4 is further queried continuously in accordance with query box 59, whether the list end is reached, ie whether all data transfer according to the list were; if not, returns to box 57 to request further data. If, however, a complete transmission of the data according to the list is given, the data transfer is terminated according to field 60, the VPN connection is closed according to field 61 and, finally, according to field 62, the wireless communication connection (GSM, GPRS) is ended, the end step 43 then reached.
  • GSM Global System for Mobile communications

Abstract

According to the invention, read out of data from a memory of a mobile remote device (2), for example a vehicular device, by a server (4) can be achieved by means of establishing a wireless connection between the server (4) and the device (2) by the server, subsequently carrying out an authentication check on the server side and establishing a VPN (virtual private network) from the server (4), whereupon the data is read out from the memory (3) of the device (2) to the server (4) by means of the VPN network and stored.

Description

Verfahren und System zum Auslesen von Daten aus einem Speicher eines mobilen fernen Geräts Method and system for reading data from a memory of a mobile remote device
Die Erfindung betrifft ein Verfahren zum Auslesen von Daten aus einem Speicher eines mobilen fernen Geräts, z.B. Fahrzeuggerats, durch einen Server, wobei zwischen dem Server und dem Gerat eine drahtlose Kommunikationsverbindung aufgebaut wird.The invention relates to a method for reading out data from a memory of a mobile remote device, e.g. Fahrzeuggerats, by a server, wherein between the server and the device a wireless communication connection is established.
In entsprechender Weise bezieht sich die Erfindung auf ein System zum Auslesen von Daten aus einem Speicher eines mobilen fernen Geräts, z.B. Fahrzeuggerats, durch einen Server, dem ebenso wie dem Gerat ein Modem zur drahtlosen Kommunikation zugeordnet ist.Likewise, the invention relates to a system for reading data from a memory of a mobile remote device, e.g. Fahrzeuggerats, by a server, as well as the device is assigned a modem for wireless communication.
Hinsichtlich der Kommunikation zwischen einem mobilen Gerat und einem Server ist es bei elektronischen Mautsystemen oder dergl. Systemen zum Einheben von Gebuhren vielfach bekannt, im Zuge einer Kommunikation zwischen einem Fahrzeuggerat und einem zentralen Server Daten, nämlich zur Identifizierung des Fahrzeugs und zur Abbuchung bzw. Bezahlung von Gebuhren, vom Fahrzeuggerat zum Server zu senden. Darüber hinaus ist es auch bekannt geworden, andere Arten von Daten aus einem mobilen Gerat zu einem zentralen Rechner zu übermitteln, vgl. beispielsweise die EP 996 105 A, gemäß der ein ortsfestes Schreib/Lesegerat Daten betreffend Temperatur usw. aus einem mobilen Gerat übermittelt bekommt. Aus der US 7 034 683 B ist weiters ein System zur Überwachung von Fahrzeugen, Produkten und Personen bekannt, wobei RFID-Tags verwendet werden, und wobei entsprechende Daten betreffend Ort, Art der Ladung usw. über GSM zu einem Server übertragen werden. Ferner befasst sich die WO 2006/004231 Al mit der Fernauslesung eines Energiemessgerats, wobei dann, wenn Daten nicht erhalten werden, eine Leitungsverbindung zu einem Lese-Modem hergestellt werden soll, wobei für diesen Sonderfall ein Authentifizierungs- code vorgesehen wird. Im Einzelnen geht es hier jedoch um die Nutzung von Diensten eines vorhandenen Netzwerks, insbesondere bei einem stationären Equipment, im Gegensatz zum Zugriff auf individuelle ferne, mobile, passive Gerate durch eine zentrale Station .With regard to the communication between a mobile device and a server, electronic tolling systems or the like of fee collection systems are well-known in the course of communication between a vehicle device and a central server, namely for the identification of the vehicle and the debit or payment of fees, to send from the vehicle to the server. In addition, it has also become known to transmit other types of data from a mobile device to a central computer, cf. for example EP 996 105 A, according to which a stationary read / write device receives data relating to temperature etc. from a mobile device. US Pat. No. 7,034,683 B further discloses a system for monitoring vehicles, products and persons using RFID tags and corresponding data concerning location, type of charge, etc. being transmitted via GSM to a server. Furthermore, WO 2006/004231 A1 deals with the remote reading of an energy meter, wherein if data is not received, a line connection to a read modem is to be established, an authentication code being provided for this special case. Specifically, however, it is about the use of services of an existing network, especially in a stationary equipment, as opposed to access to individual remote, mobile, passive devices by a central station.
Andererseits ist es beispielsweise aus der EP 1 655 921 Al be- kannt geworden, Benutzer eines Kommunikationssystems für einen Netzwerkzugriff einer Authentifizierung zu unterwerfen, so dass nur authorisierte Teilnehmerendgeräte einen Zugang zum Netz erhalten. Auch sind an sich VPN-Verbindungen bekannt, s. z.B. US 2006/0155822 Al, die ganz allgemein eine VPN-Verbindung zwischen einem mobilen Gerät und einer Internet-Einrichtung offenbart, wobei es um ein Service-Netzwerk geht, bei dem eine Rechtevergabe und die Servicenutzung im Vordergrund stehen. Das Problem des Auslesens von Daten, insbesondere von Daten, die unterschiedlichen Eignern zuzuordnen sind, in Objekten oder Geräten, die mobil und völlig passiv sind, ist hier nicht angesprochen.On the other hand, it is known from EP 1 655 921 A1, for example. It has become known to subject users of a communication system for network access to authentication so that only authorized subscriber terminals are granted access to the network. Also known per se are VPN connections, see, for example, US 2006/0155822 A1, which generally discloses a VPN connection between a mobile device and an Internet device, which concerns a service network, in which a rights assignment and the use of services stand in the foreground. The problem of reading data, in particular data that can be assigned to different owners, in objects or devices that are mobile and completely passive, is not addressed here.
In der Praxis ergibt sich vielfach die Situation, Daten von einem mobilen, fernen, passiven Endgerät zu einem Rechner, nämlich einer Datenstation, auf dessen Anforderung hin zu übertragen, wobei diese Datenübertragung ohne besonderen Aufwand auf Seiten des mobilen fernen Geräts durchführbar sein soll, und wobei andererseits Aspekte des Datenschutzes zu berücksichtigen sind.In practice, there is often the situation of transferring data from a mobile, remote, passive terminal to a computer, namely a terminal, at the request of the latter, whereby this data transmission should be feasible on the mobile remote device side without any special effort, and On the other hand, aspects of data protection must be taken into account.
Es ist daher eine Aufgabe der Erfindung, ein Verfahren bzw. ein System zum Auslesen von Daten aus einem Speicher eines mobilen fernen Geräts durch einen Server wie eingangs angegeben vorzusehen, um auf einfache und sichere Weise auch unter Verwendung eines öffentlichen Netzes sowie unter Einhaltung datenschutzrechtlicher Bestimmungen Daten zum Server, auf dessen Anforderung hin, zu übertragen. Insbesondere soll damit ein Herunterladen von authentischen Daten dann, wenn das die Daten enthaltende Objekt oder Gerät zu weit entfernt ist, als dass man es direkt erreichen könnte, oder aber aufgrund der mobilen Ausbildung seinen Standort laufend ändert, ermöglicht werden. Dabei soll es weiters auch möglich sein, bestimmte Daten aus unterschiedlichen Geräten, insbesondere auch im Auftrag von berechtigten Unternehmen, anzufordern und herunterzuladen.It is therefore an object of the invention to provide a method and a system for reading out data from a memory of a mobile remote device by a server as mentioned above, in a simple and secure manner also using a public network and in compliance with data protection provisions Send data to the server at its request. In particular, it is intended to allow downloading of authentic data if the object or device containing the data is too far away to reach it directly, or if it is constantly changing its location due to the mobile training. It should also be possible to request and download certain data from different devices, especially on behalf of authorized companies.
Zur Lösung dieser Aufgabe sieht die Erfindung ein Verfahren bzw. ein System zum Auslesen von Daten wie in den unabhängigen Ansprüchen angeführt vor. Vorteilhafte Ausführungsformen und Weiterbildungen sind in den abhängigen Ansprüchen angegeben. Mit der erfindungsgemäßen Technik können von einer Datenstation, einem Server, der beispielsweise außer stationär auch mobil sein kann, Daten aus einem mobilen fernen (Fahrzeug-) Gerät angefordert und heruntergeladen werden, wobei hierfür beispielsweise eine herkömmliche Funkverbindung, insbesondere über GPRS oder GSM, aber auch eine Infrarot (IR) -Verbindung, eine Wireless-LAN- Verbindung oder dgl. drahtlose Verbindung genützt werden kann. Im Einzelnen wird nach Aufbau einer derartigen Kommunikationsverbindung vom Server her eine VPN (Virtuelle Private Netzwerks) -Verbindung zwischen dem Server und dem Gerät realisiert, und es werden die entsprechenden Applikationen am Server und am fernen Gerät in die Verbindung eingebunden. Mit Hilfe des Authentifi- zierungs-Prozesses wird sichergestellt, dass nur mit entsprechender Berechtigung die gewünschten Daten heruntergeladen werden können, wobei diese Datenübertragung aus Sicherheitsgründen bevorzugt überdies unter Verschlüsselung erfolgt. Auf diese Weise können von unterschiedlichen Unternehmen gewünschte Daten aus den verschiedensten Geräten angefordert und zum Server heruntergeladen werden, und der Server (oder einer von mehreren im Netz arbeitenden Servern) kann für derartige Download-Dienstleistungen auch für diverse Kunden zur Verfügung gestellt werden. So ist es beispielsweise denkbar, aus Fahrzeugen fahrzeugspezifische Daten, wie etwa Tachograph-Daten, aber auch von Zählern, von Versorgungseinrichtungen usw. herunterzuladen, d.h. derartige Objekte „fern auszulesen". Bei den zu übertragenden Daten kann es sich somit um persönliche, beispielsweise fahrerbezogene Daten oder andere spezifische Daten handeln, die aus datenschutzrechtlicher Sicht zu schützen sind, und die jeweils nur einem berechtigten Unternehmen zugänglich gemacht werden dürfen; darüber hinaus ist für die Daten beim Transport über ein öffentliches Netz eine Sicherung gegen Manipulationen von Vorteil. Dies wird durch die erfindungsgemäßen Maßnahmen mit dem VPN-Kommunikationspfad im Rahmen eines öffentlichen Netzes und durch die Authentifizierung sowie gegebenenfalls durch die Verschlüsselung, mit Schlüsseltausch, für eine gesicherte Verbindung, erreicht. Bevorzugt wird die Authentifizierung mit Hilfe einer Authentifizierungskarte vorgenommen, die in einem Kartenleser - nach Übergabe beispielsweise von einem Kunden des Servers - ausgelesen wird, um so eine Zugriffsberechtigung auf bestimmte mobile Geräte, beispielsweise Geräte in bestimmten Fahrzeugen, im Feld, zu erhalten. Es ist aber auch möglich, die Authentifizierungseinheit mit einer Verwaltungseinheit für virtuelle Kartenimages (elektronische „Berechtigungskarten") zu verbinden. Darüber hinaus sind keine zusatzlichen Maßnahmen erforderlich. Die Rufnummern der Gerate im Fall von Mobiltelefonverbindungen können durchaus öffentlich sein, und die Zugriffsberechtigung zu den Daten erfolgt erfindungsgemaß wie erwähnt über die Authentifizierung, insbesondere über eine Authentifizierungskarte .To solve this object, the invention provides a method and a system for reading out data as stated in the independent claims. Advantageous embodiments and further developments are specified in the dependent claims. With the technique according to the invention, data from a mobile remote (vehicle) device can be requested and downloaded from a data station, a server, which can also be mobile, for example, in addition to being stationary. However, for example, a conventional radio connection, in particular via GPRS or GSM, but also an infrared (IR) connection, a wireless LAN connection or the like. Wireless connection can be used. In detail, after establishing such a communication connection from the server, a VPN (Virtual Private Network) connection between the server and the device is realized, and the corresponding applications are integrated into the connection on the server and on the remote device. With the help of the authentication process, it is ensured that the required data can only be downloaded with the appropriate authorization, whereby this data transmission is preferably also carried out under encryption for security reasons. In this way, data requested by different companies from a wide range of devices can be requested and downloaded to the server, and the server (or one of several servers operating in the network) can also be made available to various customers for such download services. For example, it is conceivable to download from vehicles vehicle-specific data, such as tachograph data, but also from meters, utilities, etc., ie "read out such objects" remotely Data or other specific data that is to be protected from a data protection point of view and that may only be made accessible to an authorized company, and that the data is protected against tampering when transported over a public network measures according to the invention with the VPN communication path in the context of a public network and by the authentication and optionally by the encryption, with key exchange, for a secure connection, achieved Preferably, the authentication using an authentication card is made in a m card reader - after handover, for example, by a customer of the server - is read, so access to certain mobile devices, such as devices in certain Vehicles, in the field, to obtain. However, it is also possible to connect the authentication unit to a management unit for virtual card images (electronic "authorization cards") and no additional measures are required.The numbers of the devices in the case of mobile phone connections can be public and the access to the data According to the invention, as mentioned, via the authentication, in particular via an authentication card.
Dxe Erfindung ermöglicht somit das sichere Auslesen von Daten aus einem Speicher eines mobilen fernen Geräts, das ein passives Gerat ist, wobei alle notwendigen Schritte zum Auslesen der Daten von der Seite des Servers oder Rechners, also der „Datenstation", vorgenommen werden. Dabei wird durch die serverseitige Authentifizierung sichergestellt, dass nur zulassige Zugriffe auf Daten in den mobilen, passiven Geraten erfolgen können, wobei im Fall von Daten von unterschiedlichen Eignern auch durch die Authentifizierung der Zugriff nur auf eigene Daten gewahrleistet wird. Anders als bei bekannten Datenauslesetechniken existiert keine zwingende Dienste-Anbindung und keine Netzwerk- Anbindung, und es wird ein Zugriff auf signierte, schutzenswerte Daten in einem passiven, mobilen Objekt in sicherer Weise, ausgehend von der zentralen Datenstation, ermöglicht. In diesem Zusammenhang ist auch die - an sich bekannte - VPN-Verbindung von Bedeutung.Dxe invention thus enables the secure reading of data from a memory of a mobile remote device, which is a passive device, with all the necessary steps for reading the data from the side of the server or computer, ie the "terminal", are made Server-side authentication ensures that only permissible access to data in the mobile, passive devices can take place, whereby in the case of data from different owners, authentication also ensures access to only one's own data Unlike competing data readout techniques, there are no compulsory ones Service connection and no network connection, and access to signed, protected data in a passive, mobile object in a secure manner, starting from the central data terminal, is made possible.In this context, the - known per se - VPN- Connection of meaning.
Die Erfindung wird nachfolgend anhand von bevorzugten Ausfuhrungsbeispielen, auf die sie jedoch nicht beschrankt sein soll, und unter Bezugnahme auf die Zeichnung noch weiter erläutert. In der Zeichnung zeigen dabei im Einzelnen:The invention will be explained below with reference to preferred exemplary embodiments, to which, however, it should not be limited, and with reference to the drawings. In detail in the drawing:
Fig. 1 schematisch in einem Blockschaltbild ein erfmdungsgema- ßes System zum Fern- auslesen von Daten mit einem Server und einem mobilen Gerat;FIG. 1 is a block diagram of a system according to the invention for remote reading of data with a server and a mobile device; FIG.
Fig. IA schematisch in einem vergleichbaren Blockschaltbild ein gegenüber Fig. 1 modifiziertes erfindungsgemaßes System zum Fernauslesen von Daten; Fig. 2 schematisch den Verbindungsaufbau zwischen Server und Gerät unter Aufbau einer VPN-Verbindung und unter Vorsehen einer Authentifizierungs- und Verschlüsselungsprozedur;FIG. 1A schematically shows in a comparable block diagram a system according to the invention modified for the remote reading of data compared with FIG. 1; FIG. FIG. 2 schematically shows the connection setup between server and device with establishment of a VPN connection and provision of an authentication and encryption procedure; FIG.
Fig. 3 ein Ablaufdiagramm zur Veranschaulichung der grundsätzlichen Vorgangsweise- beim erfindungsgemäßen Verfahren zum Fernauslesen von Daten; und3 shows a flow chart for illustrating the basic procedure in the method according to the invention for remote reading of data; and
die Fig. 4 und 5 Detail-Ablaufdiagramme zu Abschnitten im Ablaufdiagramm gemäß Fig. 3, zur Veranschaulichung der Authentifi- zierungsprozedur und der Datenübertragung.4 and 5 are detailed flowcharts to portions in the flowchart of FIG. 3, illustrating the authentication procedure and the data transmission.
OO
In Fig. 1 ist schematisch ein System 1 zum Auslesen von Daten aus einem passiven fernen Gerät 2 veranschaulicht, bei dem es sich um ein mobiles Gerät, nämlich insbesondere ein Fahrzeuggerät, wie etwa eine so genannte OBU (On board Unit) , aber auch um ein anderes Gerät, wie etwa ein mit einem Tachographen verbundenes Gerät im Fall von Lastkraftwagen, handeln kann. Aus diesem Gerät 2, d.h. genauer aus einem Speicher 3 dieses Geräts 2, fordert eine Datenstation, nachstehend kurz Server 4, die jeweiligen Daten an, um sie unter Einhaltung vonFIG. 1 schematically illustrates a system 1 for reading out data from a passive remote device 2, which is a mobile device, specifically a vehicle device, such as a so-called OBU (On-Board Unit), but also another device, such as a device connected to a tachograph in the case of trucks. From this device 2, i. more precisely, from a memory 3 of this device 2, a terminal, hereafter server 4 for short, requests the respective data in order to keep them in compliance with
Sicherheitsvorkehrungen, wie nachstehend noch näher zu erläutern ist, übertragen zu bekommen. Dabei sollte selbstverständlich sein, dass der dargestellte eine Server 4 nur als Beispiel zu verstehen ist, und dass auch mehrere Server im Netz, gegebenenfalls in Verbindung mit einer gemeinsamen Datenbank 5, als Speicher, wo die heruntergeladenen Daten gespeichert werden, vorliegen können, und dass insbesondere auch eine Vielzahl von Geräten 2, beispielsweise mehrere tausend Geräte 2, vorliegen können.Security arrangements, as will be explained in more detail below, to get transferred. It should be understood that the illustrated a server 4 is to be understood only as an example, and that also several servers in the network, possibly in conjunction with a common database 5, as memory where the downloaded data is stored, may be present, and In particular, a plurality of devices 2, for example, several thousand devices 2, may be present.
Der Speicher 3 im jeweiligen Gerät 2 kann in den verschiedensten bekannten Ausführungen vorliegen, und die Daten werden mit Hilfe eines Prozessors 6 oder dergl. Rechnermitteln in diesen Speicher 3 eingeschrieben bzw. aus dem Speicher 3 ausgelesen. Dem Prozessor 6 (nachfolgend der Einfachheit halber μP 6 genannt) ist eine Verschlüsselungs-/Entschlüsselungseinheit 7 zugeordnet, die als eine eigene Komponente ausgebildet und mit dem μP 6 verbunden sein kann, die aber auch als Software-Modul in einem Programmspeicher des μP 6 gebildet sein kann. Der μP 6 enthält weiters auch ein entsprechendes Kommunikationsmodul (nicht näher veranschaulicht) , um über eine Schnittstelle 8 sowie ein damit verbundenes Modem 9 zur drahtlosen Kommunikation, wie z.B. ein GPRS-Modem oder ein Wireless-LAN-Modem (W-LAN-Modem) , mit dem Server 4 zu kommunizieren.The memory 3 in the respective device 2 can be present in various known embodiments, and the data are written into this memory 3 or read out of the memory 3 with the aid of a processor 6 or the like. The processor 6 (hereinafter referred to simply as μP 6) is assigned an encryption / decryption unit 7, which may be designed as a separate component and connected to the μP 6, but which is also formed as a software module in a program memory of the μP 6 can be. The μP 6 contains further Also, a corresponding communication module (not illustrated in detail) to the server 4 via an interface 8 and an associated modem 9 for wireless communication, such as a GPRS modem or a wireless LAN modem (W-LAN modem) to communicate.
Der jeweilige Verbindungsaufbau über diese drahtlosen Kommunikationswege erfolgt vom Server 4 aus, der ein entsprechendes Kommunikationsmodem 10, z.B. ein GPRS-Modem oder ein Wireless-LAN- Modem, zugeordnet hat, mit dem er über eine Schnittstelle 11 verbunden ist. Der Server 4 enthält Rechnermittel 12, die durch einen oder mehrere Prozessoren oder Mikrocomputer (μC) gebildet sein können, wobei ein Teil davon eine eigene Steuereinheit 13 bildet, die eine Verschlüsselungs-/Entschlüsselungseinheit 14 zugeordnet hat und über eine VPN-Einrichtung 15 und die Schnittstelle 11 mit dem Modem 10 verbunden ist.The respective connection establishment over these wireless communication paths takes place from the server 4, which has a corresponding communication modem 10, e.g. a GPRS modem or a wireless LAN modem, with which it is connected via an interface 11. The server 4 contains computer means 12, which may be formed by one or more processors or microcomputers (μC), a part of which forms a separate control unit 13, which has an encryption / decryption unit 14 assigned and via a VPN device 15 and the Interface 11 is connected to the modem 10.
Weiters ist in den Rechnermitteln 12 eine Authentifizierungsein- heit 16 vorgesehen, welche über eine Schnittstelle 17 mit einem Kartenleser 18 zum Auslesen von Berechtigungskarten 19, die einen Code enthalten und die in den Kartenleser 18 eingeschoben werden, verbunden ist. Gegebenenfalls kann als Einheit 18 auch eine Verwaltungseinheit für virtuelle Berechtigungskarten (virtuelle Kartenimages) vorliegen. Zusätzlich ist eine Eingabeeinheit 20 vorgesehen, wobei hier ebenfalls eine entsprechende Authentifizierungs-Prozedur denkbar ist, um eine Zugriffsberechtigung für die Anforderung von Daten aus dem jeweiligen Gerät 2 nachzuweisen. Die Steuereinheit 13 der Rechnermittel 12 ist weiters über eine Schnittstelle 21 mit dem Speicher 5 verbunden.Furthermore, an authentication unit 16 is provided in the computer means 12, which is connected via an interface 17 to a card reader 18 for reading authorization cards 19 which contain a code and which are inserted into the card reader 18. Optionally, as a unit 18 there may also be a management unit for virtual authorization cards (virtual card images). In addition, an input unit 20 is provided, in which case also a corresponding authentication procedure is conceivable in order to prove an access authorization for the request of data from the respective device 2. The control unit 13 of the computer means 12 is further connected via an interface 21 to the memory 5.
In Fig. IA ist ein gegenüber dem System gemäß Fig. 1 abgewandeltes System 1 zum Auslesen von Daten aus einem fernen, mobilen Gerät 2, beispielsweise wiederum einem OBU-Fahrzeuggerät , veranschaulicht. Das System 1 weist auch hier einen Server 4 zum Abfragen von Daten aus dem fernen Gerät 2, konkret aus dessen Speicher 3, auf. Der Server 4 ist dabei bevorzugt als mobile Auslesevorrichtung ausgeführt, und er bzw. sie ist im Prinzip ähnlich dem Server 4 gemäß Fig. 1 ausgebildet, so dass sich, soweit Übereinstimmung gegeben ist, eine neuerliche detaillierte Beschreibung erübrigen kann, ähnlich wie im Fall des Geräts 2. Es wurden jedenfalls einander entsprechende Komponenten des Servers 4 ebenso wie des fernen Geräts 2 mit gleichen Bezugszahlen versehen.FIG. 1A illustrates a system 1 modified from the system according to FIG. 1 for reading out data from a remote, mobile device 2, for example once again an OBU vehicle device. The system 1 here also has a server 4 for retrieving data from the remote device 2, specifically from its memory 3. The server 4 is preferably designed as a mobile read-out device, and he or she is in principle similar to the server 4 of FIG. 1 formed so that, as far as agreement is given, a re-detailed description may be unnecessary, similar to the case of Device 2. In any case, corresponding components of the server 4 as well as the remote device 2 have been given the same reference numbers.
Insbesondere weist der Server 4 gemäß Fig. IA wiederum Rechnermittel 12 mit einer Steuereinheit 13, einerIn particular, according to FIG. 1A, the server 4 again has computer means 12 with a control unit 13, a
Verschlusselungs-/Entschlüsselungseinheit 14 sowie einer Authen- tifizierungseinheit 16 auf. Anders als im Fall von Fig. 1 ist beim System 1 gemäß Fig. IA der Kartenleser 18 in den Server 4 integriert, um Berechtigungskarten 19 direkt in den Server 4 einschieben und von diesem auslesen zu können.Encryption / decryption unit 14 and an authentication unit 16 on. Unlike in the case of FIG. 1, in the system 1 according to FIG. 1A, the card reader 18 is integrated in the server 4 in order to be able to insert authorization cards 19 directly into the server 4 and to be able to read from it.
Ahnlich wie in Fig. 1 ist auch beim System 1 gemäß Fig. IA eine VPN-Enrichtung 15 mit den Rechnermitteln 13 verbunden, wobei ein Mobiltelefon-Modem, z.B. ein GSM-Modem oder ein W-LAN-Modem, allgemein ein Modem 10, über eine Schnittstelle 11 an die VPN- Einrichtung 15 angeschlossen ist.Similar to Fig. 1, in the system 1 of Fig. IA, a VPN device 15 is also connected to the computer means 13 using a mobile telephone modem, e.g. a GSM modem or a W-LAN modem, generally a modem 10, is connected via an interface 11 to the VPN device 15.
Zusatzlich ist nun gemäß Fig. IA auch ein an sich bekanntes Modem 10' für eine Infrarot-Kommunikation mit der VPN-Einrichtung 15 verbunden. Dieses IR-Modem 10' enthalt beispielsweise IR-Sen- demittel 22, z.B. in Form von entsprechenden LEDs, sowie auch IR-Empfangermittel 23, beispielsweise in Form von einer oder mehreren IR-empfindlichen Dioden.In addition, according to FIG. 1A, a modem 10 'known per se for infrared communication is also connected to the VPN device 15. This IR modem 10 'includes, for example, IR transmitter 22, e.g. in the form of corresponding LEDs, as well as IR receiving means 23, for example in the form of one or more IR-sensitive diodes.
Korrespondierend dazu hat auch das ferne Gerat 2 ein IR-Modem 9' mit IR-Sendemitteln 22' und IR-Empfangsmitteln 23', wobei dieses IR-Modem 9' über die Verschlusselungs-/Entschlusselungseinheit 7 mit dem Prozessor 6 des Geräts 2 verbunden ist. Dieses IR-Modem 9' kann anstatt des Funk-Modems, W-LAN-Modems bzw. Mobiltelefon- Modems 9 gemäß Fig. 1 oder aber bevorzugt, wie in Fig. IA gezeigt, zusatzlich zu letzterem Modem 9 vorgesehen sein, um so das Auslesen von Daten auf Anfrage seitens des Servers 4 hm je nach Wahl bzw. nach gunstigeren Kommunikationsbedingungen entweder über die W-LAN- oder Mobiltelefonverbindung (Modems 9, 10) oder über die Infrarot-Kommunikationsverbindung (Modems 9', 10') vorzusehen.Correspondingly, the remote device 2 also has an IR modem 9 'with IR transmitting means 22' and IR receiving means 23 ', this IR modem 9' being connected to the processor 6 of the device 2 via the encryption / descrambling unit 7 , This IR modem 9 ', instead of the wireless modem, wireless modem or mobile modem 9 shown in FIG. 1 or preferably, as shown in Fig. IA, be provided in addition to the latter modem 9 so as to Readout of data on request from the server 4 hm depending on the choice or for more favorable communication conditions either via the W-LAN or mobile phone connection (modems 9, 10) or via the infrared communication connection (modems 9 ', 10') provided.
Im Fall eines mobilen Servers 4 ist es auch zweckmäßig, die Verbindung dieses Servers 4 mit der Datenbank 5 über ein drahtloses Netz (Funknetz) herzustellen, sofern nicht die Datenbank 5 in den Server 4 integriert ist. Demgemäß ist in Fig. IA auch mit strichlierten Linien beispielhaft eine Anordnung von Sende- und Empfangs-Funkmodems 24 bzw. 25 für die Kommunikation zwischen dem mobilen Server 4 und der Datenbank 5 veranschaulicht.In the case of a mobile server 4, it is also expedient to connect this server 4 to the database 5 via a wireless network Network (radio network) to produce, unless the database 5 is integrated into the server 4. Accordingly, an arrangement of transmitting and receiving radio modems 24 and 25 for the communication between the mobile server 4 and the database 5 is illustrated by dashed lines as an example in Fig. IA.
In Fig. 2 ist schematisch die Verbindung zwischen Server 4 und Gerät 2 mit den vorgesehenen mehreren Sicherheits-Leveln ganz schematisch veranschaulicht. Dabei ist als erste Maßnahme (äußere Hülle) die Herstellung einer Kommunikationsverbindung 30 und als nächstinnere „Schale" die Herstellung einer VPN-Verbindung 31 veranschaulicht. Als zusätzliche Sicherheitsmaßnahmen auf der nächst höheren Ebene sind die beschriebene Authentifizierung 32 sowie die Verschlüsselung 33 bei der Übertragung der Daten zwischen den jeweiligen Applikationen 34, 35 des Servers 4 bzw. des Geräts 2 veranschaulicht. Dabei sind im Einzelnen bei 36 zusätzlich die Datenanforderung sowie der Authentifizierungs-Prozess und die Übergabe der Schlüssel und bei 37 die Übertragung der Daten angedeutet.In Fig. 2, the connection between the server 4 and device 2 is schematically illustrated schematically with the provided several security levels. In this case, the production of a communication connection 30 is illustrated as the first measure (outer shell) and the establishment of a VPN connection 31 as the next inner "shell." As an additional security measure at the next higher level, the described authentication 32 and the encryption 33 are in the transmission of the Data between the respective applications 34, 35 of the server 4 and the device 2 are respectively indicated in detail at 36 the data request and the authentication process and the transfer of keys and at 37 the transmission of the data.
Nachfolgend soll nun anhand der Figuren 3 bis 5, in denen Ablaufdiagramme zur Veranschaulichung der Vorgangsweise bei der Fernauslesung der Daten, wie vorstehend bereits beschrieben veranschaulicht sind, ein konkreter Vorgang bei der Datenübertragung näher erläutert werden. Dabei ist in Fig. 3 allgemein gezeigt, dass gemäß einem Feld 40 anfangs, wenn ein Wunsch nach Datenübertragung besteht, eine drahtlose Verbindung zum Gerät 2 vom Server 4 aus aufgebaut wird. Gemäß einem Abfragefeld 41 wird sodann geprüft, ob diese drahtlose Verbindung, beispielsweise über GSM oder GPRS, oder aber über IR, hergestellt ist, und wenn nicht, wird zum Anfangsfeld 40 zurückgekehrt. Sobald jedoch die drahtlose Verbindung besteht, wird gemäß einem weiteren Abfragefeld 42 abgefragt, ob eine berechtigte Abfrage vorliegt, d.h. ob eine Authentifizierung vorliegt bzw. erfolgt ist. Trifft dies nicht zu, wird sofort zum Ende 43 des Vorgangs weitergegangen. Wenn jedoch bei der Überprüfung gemäß Abfragefeld 42 das Ergebnis eine Berechtigung der Abfrage ist, wird sodann gemäß einem Feld 44 die VPN-Verbindung vom Server aus aufgebaut. Im An- schluss daran werden gemäß einem Feld 45 die Daten vom Gerät 2 zum Server 4 übertragen, wobei laufend gemäß einem Abfragefeld 46 abgefragt wird, ob die Daten bereits vollständig übertragen wurden. Trifft dies nicht zu, wird weiterhin gemäß Feld 45 die Datenübertragung vorgenommen. Wenn die Daten jedoch vollständig übertragen wurden, ist das Ende 43 des Vorgangs erreicht.Hereinafter will now be explained in more detail with reference to the figures 3 to 5, in which flowcharts to illustrate the procedure in the remote reading of the data, as already described above, a concrete process in the data transmission. It is generally shown in FIG. 3 that according to a field 40, if there is a desire for data transmission, a wireless connection to the device 2 is established from the server 4. In accordance with an interrogation field 41, it is then checked whether this wireless connection is established, for example via GSM or GPRS, or else via IR, and if not, return to the initial field 40. However, as soon as the wireless connection is established, it is queried in accordance with a further query field 42 whether there is a legitimate query, ie whether an authentication has been or has been made. If this is not true, the process continues immediately to the end 43 of the process. If, however, in the check according to query field 42, the result is an authorization of the query, then according to a field 44, the VPN connection is established from the server. Following this, in accordance with a field 45, the data is transmitted from the device 2 to the server 4, wherein continuously according to an interrogation field 46 queries whether the data has already been completely transferred. If this is not the case, the data transmission is continued according to box 45. However, when the data has been completely transferred, the end 43 of the process is reached.
In Fig. 4 ist mehr im Detail der Vorgang bei der Authentifizierung veranschaulicht, wobei davon ausgegangen wird, dass die Sicherheitsmodule (Crypto-Control) des Servers 4 und des Endgeräts 2 jeweils über spezielle Schlüssel verfügen; der Unternehmensschlüssel muss zusammen mit dem Endgerät (Frontend) -Schlüssel ein gültiges Paar ergeben.FIG. 4 illustrates in more detail the process during the authentication, it being assumed that the security modules (crypto-control) of the server 4 and of the terminal 2 each have special keys; the corporate key, along with the terminal (frontend) key, must be a valid pair.
Gemäß Fig. 4 wird entsprechend einem Feld 50 vom Server 4 zwecks Authentifizierung die Unternehmenskennung gesendet, d.h. eine Identifikation jenes Unternehmens, für das die Datenübertragung zu veranlassen ist, und das zur Übertragung der Daten aus dem jeweiligen Endgerät 2 berechtigt ist. Gemäß einem Abfragefeld 51 wird sodann diese Unternehmenskennung im Gerät 2 geprüft, und wenn das Gerät 2 eine Ablehnung ausspricht, d.h. die Unternehmenskennung dem Gerät 2 nicht bekannt ist, erfolgt der Übergang zum Ende 43 wie beschrieben. Im anderen Fall sendet das Gerät 2 eine Bestätigungsmeldung zum Server 4 zurück, s. Feld 52 in Fig. 4. Danach liefert der Server 4 einen VPN-Schlüssel für den Aufbau einer VPN-Verbindung, s. Feld 53, wonach der Aufbau der VPN- Verbindung gemäß Feld 54 erfolgt.Referring to Fig. 4, corresponding to a field 50, the server 4 sends the corporate identifier for authentication purposes, i. an identification of the company for which the data transmission is to be initiated and which is authorized to transmit the data from the respective terminal 2. According to an interrogation field 51, this corporate identifier is then checked in the device 2, and if the device 2 rejects it, i. the enterprise identifier is not known to the device 2, the transition to the end 43 as described. In the other case, the device 2 sends back a confirmation message to the server 4, s. Box 52 in Fig. 4. Thereafter, the server 4 provides a VPN key for establishing a VPN connection, s. Field 53, after which the establishment of the VPN connection according to box 54 takes place.
Im Anschluss daran folgt wie bereits ausgeführt die Datenübertragung, was mehr im Detail in Fig. 5 gezeigt ist. Einleitend fragt gemäß Feld 55 der Server 4 nach einer Liste von zugänglichen Daten; hierbei ist zu berücksichtigen, dass mehrere berechtigte Teilnehmer denkbar sind, denen jeweils Daten zugeordnet sind, die aber auch gegeneinander geschützt werden müssen. Gemäß Feld 56 sendet das Gerät 2 dann die Liste der zugänglichen Daten zum Server 4, danach erfolgt vom Server 4 aus eine Abfrage der Daten nach der übermittelten Liste, s. Feld 57 in Fig. 5, und gemäß Feld 58 sendet das Gerät 2 die Daten sowie die zugehörige Signatur, sofern, wie dies bevorzugt wird, die Daten bereits signiert im Speicher 3 des Geräts 2 abgelegt sind. Im Server 4 wird weiters laufend gemäß Abfragefeld 59 abgefragt, ob das Listen-Ende erreicht ist, d.h. ob alle Daten gemäß Liste übertragen wurden; wenn nein, wird zum Feld 57 zurückgekehrt, um weitere Daten anzufordern. Ist jedoch eine komplette Übertragung der Daten gemäß Liste gegeben, so wird gemäß Feld 60 der Datentransfer beendet, gemäß Feld 61 die VPN-Verbindung geschlossen und schließlich gemäß Feld 62 die drahtlose Kommunikationsverbindung (GSM, • GPRS) beendet, wobei der Ende-Schritt 43 dann erreicht ist. Following this, as already stated, the data transmission follows, which is shown in more detail in FIG. 5. Initially, in box 55, the server 4 asks for a list of accessible data; It should be taken into account here that several authorized subscribers are conceivable, to whom data is assigned in each case, but which also have to be protected against each other. According to field 56, the device 2 then sends the list of accessible data to the server 4, then the server 4 queries the data for the transmitted list, s. Box 57 in Fig. 5, and according to box 58, the device 2 sends the data and the associated signature, if, as is preferred, the data is already stored in the memory 3 of the device 2 stored. In the server 4 is further queried continuously in accordance with query box 59, whether the list end is reached, ie whether all data transfer according to the list were; if not, returns to box 57 to request further data. If, however, a complete transmission of the data according to the list is given, the data transfer is terminated according to field 60, the VPN connection is closed according to field 61 and, finally, according to field 62, the wireless communication connection (GSM, GPRS) is ended, the end step 43 then reached.

Claims

Patentansprüche claims
1. Verfahren zum Auslesen von Daten aus einem Speicher (3) eines mobilen fernen Geräts (2), durch einen Server (4), wobei zwischen dem Server (4) und dem Gerat (2) eine drahtlose Kommunikationsverbindung aufgebaut wird, dadurch gekennzeichnet, dass nach dem Aufbau der drahtlosen Kommunikationsverbindung (30) vom Server (4) aus auf der Server-Seite eine Authentifizierungs- Uberprufung (31) durchgeführt und von der Seite des Servers her eine VPN- (virtuelle private Netzwerks-) Verbindung (32) aufgebaut wird, wonach die Daten aus dem Speicher (3) des Geräts (2) ausgelesen, zum Server (4) über die VPN-Verbindung übertragen und gespeichert werden.A method of reading data from a memory (3) of a mobile remote device (2) by a server (4), wherein a wireless communication link is established between the server (4) and the device (2), characterized that after establishing the wireless communication link (30) from the server (4) on the server side an authentication check (31) performed and built from the side of the server forth a VPN (virtual private network) connection (32) is, after which the data from the memory (3) of the device (2) read, transmitted to the server (4) via the VPN connection and stored.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die drahtlose Kommunikationsverbindung über ein Mobiltelefonnetz, z.B. GPRS, aufgebaut wird.A method according to claim 1, characterized in that the wireless communication connection is via a mobile telephone network, e.g. GPRS, is being set up.
3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die drahtlose Kommunikationsverbindung über Infrarot aufgebaut wird.3. The method according to claim 1, characterized in that the wireless communication connection is established via infrared.
4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die drahtlose Kommunikationsverbindung über ein Wireless LAN aufgebaut wird.4. The method according to claim 1, characterized in that the wireless communication connection is established via a wireless LAN.
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die Authentifizierung durch Auslesen eines Codes aus einer Berechtigungskarte (19) durchgeführt wird.5. The method according to any one of claims 1 to 4, characterized in that the authentication by reading a code from an authorization card (19) is performed.
6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass mit der Authentifizierung eine Zugriffsberechtigung auf die Daten wenigstens eines vorgegebenen mobilen fernen Geräts (2), nicht jedoch auf jene anderer mobiler ferner Gerate erteilt wird.6. The method according to any one of claims 1 to 5, characterized in that the authentication is granted access to the data of at least one predetermined mobile remote device (2), but not to those of other remote mobile devices.
7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die Daten verschlüsselt übertragen werden.7. The method according to any one of claims 1 to 6, characterized in that the data is transmitted in encrypted form.
8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass die Daten zum Fernauslesen von Zahlern oder Ta- chographen übertragen werden.8. The method according to any one of claims 1 to 7, characterized in that the data for remote reading of payers or Ta be transferred to chographers.
9. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass die Daten zum Fernauslesen von Versorgungseinrichtungen übertragen werden.9. The method according to any one of claims 1 to 7, characterized in that the data for remote reading of utilities are transmitted.
10. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass das mobile Gerät (2) ein Fahrzeuggerät ist.10. The method according to any one of claims 1 to 9, characterized in that the mobile device (2) is a vehicle device.
11. System (1) zum Auslesen von Daten aus einem Speicher (3) eines mobilen fernen Geräts (2), durch einen Server (4), dem ebenso wie dem Gerät (2) ein Modem (10, 9; 10', 9') zur drahtlosen Kommunikation zugeordnet ist, dadurch gekennzeichnet, dass der Server (4) eine VPN-Einrichtung (15) zum Aufbau einer VPN-Ver- bindung zum Gerät (2) nach Errichtung einer drahtlosen Kommunikationsverbindung durch den Server (4) aufweist, und dass dem Server (4) eine Authentifiziereinheit (16) zugeordnet ist.11. System (1) for reading data from a memory (3) of a mobile remote device (2), by a server (4), as well as the device (2) a modem (10, 9, 10 ', 9 ') is assigned to the wireless communication, characterized in that the server (4) has a VPN device (15) for establishing a VPN connection to the device (2) after establishing a wireless communication connection by the server (4), and that the server (4) is associated with an authentication unit (16).
12. System nach Anspruch 11, dadurch gekennzeichnet, dass die VPN- Einrichtung (15) eingerichtet ist, die VPN-Verbindung nur bei gegebener Authentifizierung aufzubauen.12. System according to claim 11, characterized in that the VPN device (15) is set up to establish the VPN connection only for a given authentication.
13. System nach Anspruch 11 oder 12, dadurch gekennzeichnet, dass die Modems (10; 9) zur drahtlosen Kommunikation Mobiltelefon-Modems sind.13. System according to claim 11 or 12, characterized in that the modems (10; 9) for wireless communication are mobile telephone modems.
14. System nach Anspruch 11 oder 12, dadurch gekennzeichnet, dass die Modems (101, 9') zur drahtlosen Kommunikation Infrarot- Modems sind.14. System according to claim 11 or 12, characterized in that the modems (10 1 , 9 ') for wireless communication are infrared modems.
15. System nach Anspruch 11 oder 12, dadurch gekennzeichnet, dass die Modems zur drahtlosen Kommunikation W-LAN-Modems sind.15. System according to claim 11 or 12, characterized in that the modems for wireless communication W-LAN modem.
16. System nach einem der Ansprüche 11 bis 15, dadurch gekennzeichnet, dass die Authentifiziereinheit (16) mit einem Kartenleser (18) zum Auslesen von Berechtigungskarten (19) oder mit einer Verwaltungseinheit für virtuelle Kartenimages verbunden ist.16. System according to any one of claims 11 to 15, characterized in that the authentication unit (16) is connected to a card reader (18) for reading authorization cards (19) or with a management unit for virtual card images.
17. System nach einem der Ansprüche 11 bis 16, dadurch gekenn- zeichnet, dass das Gerät (2) und der Server (4) eine Verschlüsselungseinheit bzw. Entschlüsselungseinheit (7; 14) für einen Datentransfer unter Verschlüsselung aufweisen.17. System according to one of claims 11 to 16, characterized records that the device (2) and the server (4) have an encryption unit or decoding unit (7; 14) for encrypted data transfer.
18. System nach einem der Ansprüche 11 bis 17, dadurch gekennzeichnet, dass der Server (4) ein mobiler Server ist.18. System according to any one of claims 11 to 17, characterized in that the server (4) is a mobile server.
19. System nach einem der Ansprüche 11 bis 18, dadurch gekennzeichnet, dass der Server (4) sowohl ein Mobiltelefon-Modem (10) und/oder ein W-LAN-Modem als auch ein IR-Modem (10') zur drahtlosen Kommunikation aufweist.19. System according to any one of claims 11 to 18, characterized in that the server (4) both a mobile phone modem (10) and / or a W-LAN modem and an IR modem (10 ') for wireless communication having.
20. System nach einem der Ansprüche 11 bis 19, dadurch gekennzeichnet, dass das Gerät (2) sowohl ein Mobiltelefon-Modem (9) und/oder ein W-LAN-Modem als auch ein IR-Modem (9') zur drahtlosen Kommunikation aufweist.20. System according to any one of claims 11 to 19, characterized in that the device (2) both a mobile phone modem (9) and / or a W-LAN modem and an IR modem (9 ') for wireless communication having.
21. System nach einem der Ansprüche 11 bis 20, dadurch gekennzeichnet, dass das mobile Gerät (2) ein Fahrzeuggerät ist. 21. System according to any one of claims 11 to 20, characterized in that the mobile device (2) is a vehicle device.
EP07846762A 2006-12-01 2007-11-23 Method and system for read out of data from a memory on a mobile remote device Withdrawn EP2100428A2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
AT0200106A AT504581B1 (en) 2006-12-01 2006-12-01 METHOD AND SYSTEM FOR READING DATA FROM A MEMORY OF A REMOTE DEVICE THROUGH A SERVER
AT0081807A AT505078B9 (en) 2006-12-01 2007-05-23 METHOD AND SYSTEM FOR READING DATA FROM A MEMORY OF A REMOTE DEVICE THROUGH A SERVER
PCT/EP2007/010161 WO2008064821A2 (en) 2006-12-01 2007-11-23 Method and system for read out of data from a memory on a mobile remote device

Publications (1)

Publication Number Publication Date
EP2100428A2 true EP2100428A2 (en) 2009-09-16

Family

ID=39494749

Family Applications (1)

Application Number Title Priority Date Filing Date
EP07846762A Withdrawn EP2100428A2 (en) 2006-12-01 2007-11-23 Method and system for read out of data from a memory on a mobile remote device

Country Status (6)

Country Link
US (1) US20100075633A1 (en)
EP (1) EP2100428A2 (en)
AT (2) AT504581B1 (en)
BR (1) BRPI0718934A2 (en)
RU (1) RU2454819C2 (en)
WO (1) WO2008064821A2 (en)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006048029B4 (en) * 2006-10-09 2008-10-02 Continental Automotive Gmbh Method and device for transmitting data between a tachograph and a data processing device
DE102008006840A1 (en) * 2008-01-30 2009-08-13 Continental Automotive Gmbh Data transmission method and tachograph system
EP2157551A3 (en) * 2008-08-21 2013-02-27 NORDSYS GmbH Tachograph readout device
DE102008047433A1 (en) * 2008-09-15 2010-03-25 Continental Automotive Gmbh Method for activating functions of a tachograph
EP2189921B1 (en) * 2008-11-21 2012-05-23 ads-tec GmbH Diagnosis device for connection to a motor vehicle
CA2836194C (en) 2011-06-03 2017-07-18 Blackberry Limited System and method for accessing private networks
DE102014209191A1 (en) * 2014-05-15 2015-12-03 Continental Automotive Gmbh System and method for downloading data stored on a tachograph
DE102022205652B4 (en) 2022-06-02 2024-04-25 Siemens Aktiengesellschaft Wireless delivery of information from switch function tests

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI102499B1 (en) * 1997-03-10 1998-12-15 Nokia Telecommunications Oy Search for copied SIM cards
DE19844631A1 (en) 1998-09-29 2000-04-06 Gantner Electronic Gmbh Schrun System for monitoring, controlling, tracking and handling objects
ATE360238T1 (en) * 1998-11-10 2007-05-15 Aladdin Knowledge Systems Ltd USER-COMPUTER INTERACTION METHOD TO BE USED BY FLEXIBLY CONNECTABLE COMPUTER SYSTEMS
AUPP776498A0 (en) * 1998-12-17 1999-01-21 Portus Pty Ltd Local and remote monitoring using a standard web browser
JP4877696B2 (en) * 2000-04-25 2012-02-15 ガネット サテライト インフォメーション ネットワーク インコーポレイテッド Information portal
US6735324B1 (en) * 2000-07-31 2004-05-11 Digimarc Corporation Digital watermarks and trading cards
US7034683B2 (en) 2000-11-06 2006-04-25 Loran Technologies, Inc. Electronic vehicle product and personnel monitoring
CA2492004C (en) * 2002-07-09 2009-02-03 Bnc Ip Switzerland Gmbh System and method for providing secure identification solutions
US20050174236A1 (en) * 2004-01-29 2005-08-11 Brookner George M. RFID device tracking and information gathering
EP1585257A3 (en) * 2004-03-19 2007-08-01 Iskraemeco, Merjenje in Upravljanje Energije, D.D. Method of remote supervision, reading and control of intelligent consumption meters
US7902995B2 (en) * 2004-06-30 2011-03-08 Nuri Telecom Co., Ltd. Remote meter-reading system and method using duplicated data transmission of packet data transmission and circuit data transmission
KR100645512B1 (en) 2004-09-30 2006-11-15 삼성전자주식회사 Apparatus and method for authenticating user for network access in communication
TWI293844B (en) * 2005-01-11 2008-02-21 Ind Tech Res Inst A system and method for performing application layer service authentication and providing secure access to an application server
WO2006124938A2 (en) * 2005-05-17 2006-11-23 Rajant Corporation System and method for communication in a wireless mobile ad-hoc network

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2008064821A2 *

Also Published As

Publication number Publication date
AT504581A1 (en) 2008-06-15
US20100075633A1 (en) 2010-03-25
AT504581B1 (en) 2009-03-15
AT505078A1 (en) 2008-10-15
RU2009125000A (en) 2011-01-10
AT505078B9 (en) 2009-08-15
WO2008064821A2 (en) 2008-06-05
RU2454819C2 (en) 2012-06-27
AT505078B1 (en) 2009-06-15
BRPI0718934A2 (en) 2014-02-04
WO2008064821A3 (en) 2008-10-16

Similar Documents

Publication Publication Date Title
AT505078B9 (en) METHOD AND SYSTEM FOR READING DATA FROM A MEMORY OF A REMOTE DEVICE THROUGH A SERVER
EP3615371B1 (en) Method for a two-stage authorization of a charging process on a charging post
EP2338255B1 (en) Method, computer program product and system for authenticating a user of a telecommunications network
DE102008042262B4 (en) Method for storing data, computer program product, ID token and computer system
EP2415228B1 (en) Method for reading attributes of a token via a wireless connection
EP1379935B1 (en) Method for authentication of a user on access to a software-based system by means of an access medium
EP1784791A1 (en) Electronic ticket
WO2010145979A1 (en) Method for registering a mobile radio in a mobile radio network
DE102009027686A1 (en) Method for reading attributes from an ID token
EP2567345A2 (en) Method for reading an rfid token, rfid card and electronic device
WO2008046575A1 (en) Method for executing an application with the aid of a portable data storage medium
EP2526441A1 (en) Method for carrying out a transaction between a portable data carrier and a terminal
EP2548358B1 (en) Method for dynamically authorizing a mobile communication device
EP1075161B1 (en) Method and devices for controlling access of a user from a user's computer to an access computer
DE10300515A1 (en) Single sign-on method and apparatus for paying in networks
DE102008042582A1 (en) Method for storing data for managing digital identity of user, involves writing data from provider computer system to token via connection to store data in token, and providing connections with connection-oriented protocol
EP2199944A2 (en) Method for authenticating a person for an electronic data processing assembly with an electronic key
EP1519603A1 (en) User authenticaten method for a service offered by a communication system
DE60021654T2 (en) System and method for providing services with trusted location indicator, and mobile device for displaying them
DE202004016344U1 (en) Electronic ticket transaction system, e.g. for traffic services, has central station, mobile terminal, arrangement in central station for generating ticket/sending to mobile terminal with arrangement for receiving/displaying encoded part
DE102015209073B4 (en) Method for reading attributes from an ID token
EP4072180A1 (en) Method for authorizing a charging process at a charging point
DE60310872T2 (en) A method of managing a gateway setting by a user of the gateway
DE102014209191A1 (en) System and method for downloading data stored on a tachograph
DE102022001848B3 (en) Method for user-related setup of a terminal device

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20090625

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC MT NL PL PT RO SE SI SK TR

DAX Request for extension of the european patent (deleted)
RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: EFKON AG

17Q First examination report despatched

Effective date: 20120615

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20131203