EP3552360A1 - Method for device-dependent provision of download resources - Google Patents

Method for device-dependent provision of download resources

Info

Publication number
EP3552360A1
EP3552360A1 EP17808367.1A EP17808367A EP3552360A1 EP 3552360 A1 EP3552360 A1 EP 3552360A1 EP 17808367 A EP17808367 A EP 17808367A EP 3552360 A1 EP3552360 A1 EP 3552360A1
Authority
EP
European Patent Office
Prior art keywords
download
request
server
resource
identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP17808367.1A
Other languages
German (de)
French (fr)
Inventor
Sebastian Bode
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of EP3552360A1 publication Critical patent/EP3552360A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/303Terminal profiles

Definitions

  • the invention relates to a method for the device-dependent provision of download resources.
  • Download resources will be used for software or software updates, which ware updates both complete and modular additions or extensions of the software as well as software, including firmware updates or updates an operation ⁇ software of the device.
  • the present invention has the object to provide a method for providing download resources, which supports a device-dependent - so individually tailored to the device properties or its software installations - resource composition.
  • a device-dependent provision of download resources is provided with the following steps:
  • the device sends a request to you through a
  • Network connection severed computer preferably a server, wherein the request comprises an identification ⁇ detection of the device;
  • the request answered Ant ⁇ word message is sent to the device which contains the least Minim ⁇ a resource address to the reference of the at least ei ⁇ NEN download resource.
  • the inventive method does not provide for public provision of Download ⁇ resources.
  • the inventive method requires a request by the device stating a proof of identification, wherein after checking the identification ⁇ proof and related permissions individual resource addresses for receiving the download resources are communicated server side. This measure advantageously allows a server-side sovereignty on an access of the download resources, through which, for example, access permissions to the download resources can be withdrawn without involvement of the device.
  • an identification document is required.
  • the proof of identification is an identification number or serial number known on the side of the server and on the side of the device.
  • the security measure according to the invention that an identification proof of the device in the course of the request is required for access to download resources can be expanded by security measures according to advantageous developments of the invention.
  • a further advantage of the method according to the invention is that a uniform configuration for obtaining download resources is made possible on the device side.
  • further configuration parameters for example a server address for receiving the request, etc.-of different devices are identical.
  • the object is further achieved by a computer system for device-dependent provision of download resources and by a computer program product for executing the method according to the invention.
  • the computer program is processed in a processor which executes the method with the processing.
  • the request associated with an identification certificate of the device is signed, that is, the URL used for the request (Uni ⁇ form resource locator) is signed by the device.
  • the request URL signature is an encrypted image of the URL itself and is transmitted to the server as part of the URL.
  • the URL is given a feature whose absence or modification enables the recipient of the URL, ie the server, to clearly recognize that the URL can not be assigned to any known device or no longer corresponds to the original.
  • the URL of such a signed request game contains this at ⁇ a cryptographic hash value.
  • the cryptographic hash value is also referred to as message authentication code, which is also known in the art as Messa ⁇ ge Authentication Code or MAC.
  • the message authentication code is formed using a symmetric secret key or an asymmetric key pair.
  • the device used which is also stored on the server side - in accordance with an embodiment of the invention is used as a symmetric key ID Case ⁇ onsnachmaschine - for example in the form of an identification ⁇ number.
  • the server can decrypt this signature and compare it with the transmitted URL. Only if the transmitted URL matches the signature does the server execute the request. If an unauthorized device were to change plaintext parts of the URL, the signature will no longer match the URL. The server would reject such a request using the changed URL.
  • the URL of the request optionally or additionally contains a digital certificate. cat. In this case, the request is valid only if it contains a valid certificate or a reference to a valid certificate.
  • this embodiment is less secure than the embodiment explained above, it requires less computing power for carrying out cryptographic operations on the server side and, above all, on the side of the device, which in any case is often limited in resources.
  • a receipt of a download request sent on the device side is provided on the side of a second server designated by the resource address, wherein the download request comprises the identification proof. After checking the identification proof, the at least one download resource assigned to the at least one resource address is transmitted to the device.
  • the part of the first server to be performed together Stel ⁇ lung at least one resource based on the download Adjusti ⁇ properties and at least one means Fernadres- For downloading the at least one download resource suc ⁇ gen in this embodiment of the invention with inclusion of the second server.
  • the second server designated by the resource address does not necessarily coincide with the first server which has received the request.
  • FIG shows a chronological sequence diagram with egg ⁇ ner schematic representation of an exchange of control ⁇ messages between a device CL, a first server Sl and a second server S2.
  • the device CL and the server Sl, S2 share a common at least temporarily configured wireless or wired - not shown - network connection over the the following explained tax information
  • the method begins with the receipt of a request 101 of the device CL at the first server S1.
  • the request 101 contains an identification of the device.
  • the ID Case ⁇ onsnachweis is the simplest case, a well-known on the part of the f ⁇ th server Sl and sides of the unit CL identity fikations## or serial number. If necessary, the first server S1 also transmits this identification number to the second server S2, in order to enable authorization of the device CL by the second server S2 in the further course of the method.
  • the simple security measure according to which an identification proof of the device in the course of the request is required for accessing download resources, which can be compared with an identification proof held in the first server S1, is expanded by advantageous security measures.
  • the signature of the request URL is an encrypted one Image of the URL itself and is transmitted as part of the URL to the server Sl with.
  • the URL of the signed request 101 contains a cryptographic hash value in the present exemplary embodiment.
  • the cryptographic hash value or message authentication code or MAC is preferably formed according to one of the following methods: CBC-MAC using a known block cipher
  • DES e.g., DES, 3DES, AES, IDEA
  • DES e.g., DES, 3DES, AES, IDEA
  • HMAC-MDS e.g., MD5, SHA-1, RIPEMD, RIPEMD160
  • HMAC-MDS HMAC-SHAI
  • HMAC-RI PEMD HMAC-RI PEMD
  • HMAC-RIPEMD160 HMAC-RIPEMD160
  • HMAC using a known hash function with truncated output e.g., HMAC-MD5-80, HMAC-SHAl-80, HMAC-RI PEMD-80, HMACRI PEMD 160-80 with 80-bit truncated output;
  • the message authentication code is formed using a symmetric secret key or an asymmetric key pair.
  • a symmetrical key for example, the proof of identification - for example, in the form of a serial number or identification number - of the device CL is used, which is also stored on the server side Sl.
  • the server can decrypt this signature Sl and verifi ⁇ grace and compare the transmitted URL. Only if the transmitted URL of the request 101 matches the signature does the first server S1 execute the request.
  • URL of the request contains optional or additionally, digita ⁇ les certificate.
  • the request is only valid if it contains a valid certificate or a reference to a valid certificate.
  • the compilation of download resources done by the first server Sl in coordination with the second server S2 in the form of one or more of the first server Sl to the second server S2 sent request messages 105 and one or more request messages 105 responding ⁇ answering messages 107 which are sent from the second server S2 to the first server Sl.
  • these request messages 105 and request messages 107 are drawn after the request 101 as well as a reply message 103 responding to the request to the device CL. This time-is to understand al ⁇ lerdings only exemplary. Instead, the exchange of the request messages 105 and the confirmation messages 107 can also take place in the immediate vicinity of the reception of the request 101 and before or also overlapping in time after or during the transmission of the response message 103.
  • a device of at least one resource address on the second server S2 for downloading the at least one download resource is also carried out in coordination with the second server S2 in the form of one or more transmitted from the first server Sl to the second server S2 request messages 105 as well as the one or more request messages 105 answered acknowledgment messages 107th
  • the server S now uses a - to database, a compilation least ei ⁇ ner, preferably a plurality of download resources together based on the device characteristics - th dargestell-.
  • This compilation is preferably carried out after receipt of the request and tailored specifically to the device properties based on the credentials to tailor the selection of download resources individually to the characteristics of the device CL or its individual software installation.
  • at least one device preferably a plurality of resource addresses or URLs, at which the selection of the download resources is made available for download, takes place.
  • these resource addresses are set up on the second server S2 in coordination with the first server with the participation of the above-explained request messages 105 and the confirmation messages 107.
  • the first server S 1 sends a response message 103 answering the request 101 to the device CL, wherein the response message 103 contains the at least one resource address for obtaining the at least one download resource.
  • the device CL sends a download request 109 to one of the previously notified resource addresses of the second server S2.
  • the download request 109 received at the second server S2 also contains an identification proof of the device CL.
  • a transmission 111 of the download resource assigned to this resource address is sent to the device CL.
  • the download request 109 and transmission III are performed sequentially or in parallel several times according to the number of download resources or resource addresses.
  • an exchange of request messages 105 and request messages 107 between the servers S1, S2 can be dispensed with.
  • This embodiment is characterized in that the establishment of the resource addresses on the second server S2 by the first server S1 via a modified response message 103 takes place, which receives the device CL and ver ⁇ works.
  • a modified CL ⁇ down load request is sent to the second server S2 109 thereof, WEL che authorize the download request 109 passes.
  • the message sent from the first server Sl modified Ant ⁇ word object 103 includes this in a so-called Query part of the URL used for the transmission of the response message 103 information about the authorization of the device CL, WEL che from the device CL to the second server S2 in the form of the modified Download request 109 is passed.
  • the second server S2 checks the authorization of the device CL on the basis of the URL transmitted for the modified download request 109.
  • a temporal validity of the authorization, a type of authorization, etc. is also transmitted.
  • This aforementioned information is preferably transmitted together with the signature in the query part of the URL of the modified response message 103 and the modified download request 109.
  • Disruption of the first server Sl and the second Ser- vers S2 can also be replaced by an alternative - not dar ⁇ tes - embodiment in which the device CL communicates with the omission of the second server S2 only with the first server Sl, the request messages 105 and the confirmation messages 107 than in ⁇ terne control messages within the first server Sl to understand.
  • the first server Sl then assumes all on ⁇ gave the embodiment shown in the drawing, two servers Sl, S2, namely, the allocation of device properties, compilation of downloading resources, setting the resource address and acts as a file server.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

The method according to the invention for the device-dependent provision of download resources provides a request of a device to a server with the transmission of identification. An allocation of device properties takes place in the server based on the identification. There then occurs a gathering of at least one, preferably a plurality of download resources based on the device properties. This gathering occurs preferably after the entry of the request, in order to adapt the selection of the download resources individually to the device properties or the software installations thereof. Subsequently, on the server side, there occurs a set-up of at least one, preferably a plurality of resource addresses to which the selection of download resources is provided for download. Finally, a response message responding to the request is sent to the device, which contains the at least one resource address relating to the at least one download resource.

Description

Beschreibung description
Verfahren zur gerätabhängigen Bereitstellung von Downloadressourcen Method for device-dependent provision of download resources
Die Erfindung betrifft ein Verfahren zur gerätabhängigen Bereitstellung von Downloadressourcen. The invention relates to a method for the device-dependent provision of download resources.
Im Stand der Technik sind Verfahren bekannt, Software oder Softwareaktualisierungen über eine bestehende Netzwerkverbindung an Geräte aller Art zu übertragen. Im Folgenden wird für Software oder Softwareaktualisierungen der Begriff Downloadressourcen verwendet, welcher sowohl komplette oder modulare Ergänzungen oder Erweiterungen der Software als auch Soft- wareupdates, Firmware Updates oder Updates einer Betriebs¬ software des Geräts einschließt. In the prior art methods are known to transfer software or software updates over an existing network connection to devices of all kinds. Hereinafter, the term Download resources will be used for software or software updates, which ware updates both complete and modular additions or extensions of the software as well as software, including firmware updates or updates an operation ¬ software of the device.
Angesichts mannigfaltiger technischer Ausprägungen der Geräte selbst oder deren Softwareinstallationen hat es sich als vor- teilhaft erwiesen, Downloadressourcen in Form von Softwarepa¬ keten zur Verfügung zu stellen, welche je nach Bedarf zum Download von Softwarepaketquellen oder auch Packet Given varied technical characteristics of the devices themselves or their software installations it has proven to be beneficial way to make downloading resources in the form of Softwarepa ¬ ketene available, which according to need to download software repositories or Packet
Repositories zur Verfügung stehen. Allerdings unterliegt auch dieser paketweise Ansatz Einschränkungen, wenn zahlreiche in- dividuelle Varianten von Softwareinstallationen über einen einheitlichen Mechanismus gepflegt werden sollen. Repositories are available. However, even this packet-wise approach is subject to restrictions if numerous individual variants of software installations are to be maintained using a uniform mechanism.
Auch eine oftmals notwendige Einrichtung von Zugriffsrechten auf Packet Repositories erschwert die Pflege der Softwarein- stallation. Eine Bildung von Gruppen von Geräten, welche gleiche Zugriffsrechte Packet Repositories haben, wird mit zunehmender Komplexität der Software erschwert. Even an often necessary setup of access rights to packet repositories makes it difficult to maintain the software installation. Forming groups of devices that have the same access rights to packet repositories becomes more difficult as the software becomes more complex.
Diese Probleme werden weiterhin durch die Tatsache verstärkt, dass die Netzwerkanbindung der Geräte oftmals nicht in der Hoheit desjenigen liegt, der Softwareaktualisierungen einspielen will. Die vorliegende Erfindung ist vor die Aufgabe gestellt, ein Verfahren zur Bereitstellung von Downloadressourcen bereitzustellen, welches eine gerätabhängige - also individuell auf die Geräteigenschaften oder dessen Softwareinstallationen abgestimmte - Ressourcenzusammenstellung unterstützt. These problems are further compounded by the fact that the network connectivity of the devices is often not within the sovereignty of those who want to bring in software updates. The present invention has the object to provide a method for providing download resources, which supports a device-dependent - so individually tailored to the device properties or its software installations - resource composition.
Die Aufgabe wird durch ein Verfahren mit den Merkmalen des Patentanspruchs 1 gelöst. The object is achieved by a method having the features of patent claim 1.
Gemäß dem erfindungsgemäßen Verfahren ist eine gerätabhängige Bereitstellung von Downloadressourcen mit folgenden Schritten vorgesehen : According to the inventive method, a device-dependent provision of download resources is provided with the following steps:
a) Das Gerät sendet eine Anforderung an einen durch eine a) The device sends a request to you through a
Netzwerkverbindung abgetrennten Rechner, vorzugsweise einen Server, wobei die Anforderung einen Identifikations¬ nachweis des Geräts umfasst; Network connection severed computer, preferably a server, wherein the request comprises an identification ¬ detection of the device;
b) Im Server erfolgt eine Zuordnung von Geräteigenschaften anhand des Identifikationsnachweises. Anschließend er¬ folgt eine Zusammenstellung mindestens einer, vorzugswei¬ se einer Mehrzahl von Downloadressourcen anhand der Geräteigenschaften. Diese Zusammenstellung erfolgt vorzugs¬ weise nach Eingang der Anforderung, also »on demand«, um die Auswahl der Downloadressourcen individuell auf die Geräteigenschaften oder dessen Softwareinstallationen abzustimmen. Anschließend erfolgt serverseitig eine Ein¬ richtung mindestens einer, vorzugsweise einer Mehrzahl von Ressourcenadressen bzw. URL (Uniform Ressource Loca- tor) , an der die Auswahl der Downloadressourcen zum Download bereitgestellt werden; b) In the server, an allocation of device properties based on the identification certificate. Subsequently, it follows ¬ a compilation of at least one, vorzugswei ¬ se a plurality of download resources based on the device characteristics. This compilation takes place preference ¬, after receipt of the request, ie "on demand" to confirm the selection of download resources individually to the device properties or its software installations. Subsequently, a ¬ A direction is performed on the server side at least one, preferably a plurality of resources, addresses or URL (Uniform Resource LOCA tor) at which the selection of the download resources are available for download;
c) Schließlich wird eine die Anforderung beantwortende Ant¬ wortnachricht an das Gerät gesendet, welche die mindes¬ tens eine Ressourcenadresse zum Bezug der mindestens ei¬ nen Downloadressource enthält. c) Finally, the request answered Ant ¬ word message is sent to the device which contains the least Minim ¬ a resource address to the reference of the at least ei ¬ NEN download resource.
Im Gegensatz zu bekannten Verfahren sieht das erfindungsgemäße Verfahren keine öffentliche Bereitstellung der Download¬ ressourcen vor. Das erfindungsgemäße Verfahren erfordert eine Anforderung durch das Gerät unter Angabe eines Identifikationsnachweises, wobei nach Prüfung des Identifikations¬ nachweises und damit zusammenhängenden Berechtigungen individuelle Ressourcenadressen zum Bezug der Downloadressourcen serverseitig mitgeteilt werden. Diese Maßnahme ermöglicht in vorteilhafter Weise eine serverseitige Hoheit auf einen Zugriff der Downloadressourcen, durch welche beispielsweise Zugriffsberechtigungen auf die Downloadressourcen ohne Beteiligung des Geräts entzogen werden können. In contrast to known methods, the inventive method does not provide for public provision of Download ¬ resources. The inventive method requires a request by the device stating a proof of identification, wherein after checking the identification ¬ proof and related permissions individual resource addresses for receiving the download resources are communicated server side. This measure advantageously allows a server-side sovereignty on an access of the download resources, through which, for example, access permissions to the download resources can be withdrawn without involvement of the device.
Um unberechtigte Anforderungen auszuschließen, ist erfindungsgemäß ein Identifikationsnachweis erforderlich. Der Identifikationsnachweis ist im einfachsten Fall eine auf Seiten des Servers und auf Seiten des Geräts bekannte Identifi- kationsnummer oder Seriennummer. Die erfindungsgemäße Sicherungsmaßnahme, dass für einen Zugriff auf Downloadressourcen ein Identifikationsnachweis des Geräts im Zuge der Anfrage erforderlich ist, kann durch Sicherungsmaßnahmen gemäß vorteilhafter Weiterbildungen der Erfindung ausgebaut werden. In order to exclude unauthorized requirements, according to the invention an identification document is required. In the simplest case, the proof of identification is an identification number or serial number known on the side of the server and on the side of the device. The security measure according to the invention that an identification proof of the device in the course of the request is required for access to download resources can be expanded by security measures according to advantageous developments of the invention.
Ein weiterer Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass gerätseitig eine einheitliche Konfiguration zum Bezug von Downloadressourcen ermöglicht wird. Mit Ausnahme eines gerätindividuellen Identifikationsnachweises oder weni- ger kryptographischer Parameter gemäß vorteilhafter Weiterbildungen der Erfindung sind weitere Konfigurationsparameter - beispielsweise eine Serveradresse zur Entgegennahme der Anforderung usw. - verschiedener Geräte identisch. Die Aufgabe wird weiterhin durch ein Rechnersystem zur gerätabhängigen Bereitstellung von Downloadressourcen sowie durch ein Computerprogrammprodukt zur Abarbeitung des erfindungsgemäßen Verfahrens gelöst. Das Computerprogramm wird in einem Prozessor abgearbeitet, welcher mit der Abarbeitung das Ver- fahren ausführt. A further advantage of the method according to the invention is that a uniform configuration for obtaining download resources is made possible on the device side. With the exception of a device-specific proof of identification or fewer cryptographic parameters according to advantageous developments of the invention, further configuration parameters-for example a server address for receiving the request, etc.-of different devices are identical. The object is further achieved by a computer system for device-dependent provision of download resources and by a computer program product for executing the method according to the invention. The computer program is processed in a processor which executes the method with the processing.
Weitere Ausgestaltungen und Weiterbildungen der Erfindung sind Gegenstand abhängiger Patentansprüche. Um unberechtigte Anforderungen auszuschließen ist gemäß einer Ausgestaltung der Erfindung vorgesehen, dass die mit einem Identifikationsnachweis einhergehende Anforderung des Geräts signiert erfolgt, also die zur Anfrage verwendete URL (Uni¬ form Ressource Locator) seitens des Geräts signiert wird. Die Signatur der Anfrage-URL ist ein verschlüsseltes Abbild der URL selbst und wird als Bestandteil der URL an den Server mit übertragen . Further refinements and developments of the invention are the subject of dependent claims. In order to exclude unauthorized requests, it is provided according to an embodiment of the invention that the request associated with an identification certificate of the device is signed, that is, the URL used for the request (Uni ¬ form resource locator) is signed by the device. The request URL signature is an encrypted image of the URL itself and is transmitted to the server as part of the URL.
Hierzu wird der URL ein Merkmal mitgegeben, an dessen Fehlen oder Veränderung der Empfänger der URL, also der Server, eindeutig erkennen kann, dass die URL keinem bekannten Gerät zugordnet werden kann oder aber nicht mehr dem Original ent- spricht. For this purpose, the URL is given a feature whose absence or modification enables the recipient of the URL, ie the server, to clearly recognize that the URL can not be assigned to any known device or no longer corresponds to the original.
Die URL einer solchen signierten Anfrage enthält hierzu bei¬ spielsweise einen kryptographischen Hash-Wert. Der kryptogra- phische Hash-Wert wird auch als Nachrichtenauthentifizie- rungscode bezeichnet, welcher in der Fachwelt auch als Messa¬ ge Authentication Code bzw. MAC bekannt ist. The URL of such a signed request game, contains this at ¬ a cryptographic hash value. The cryptographic hash value is also referred to as message authentication code, which is also known in the art as Messa ¬ ge Authentication Code or MAC.
Der Nachrichtenauthentifizierungscode wird unter Verwendung eines symmetrischen geheimen Schlüssels oder eines asymmetri- sehen Schlüsselpaars gebildet. Gemäß einer Ausgestaltung der Erfindung wird als symmetrischer Schlüssel ein Identifikati¬ onsnachweis - beispielsweise in Form einer Identifikations¬ nummer - des Geräts verwendet, welcher auch auf Seiten des Servers hinterlegt ist. The message authentication code is formed using a symmetric secret key or an asymmetric key pair. The device used which is also stored on the server side - in accordance with an embodiment of the invention is used as a symmetric key ID Case ¬ onsnachweis - for example in the form of an identification ¬ number.
Der Server kann diese Signatur entschlüsseln und mit der übertragenen URL vergleichen. Nur wenn die übertragene URL mit der Signatur übereinstimmt, führt der Server die Anforderung aus. Würde ein nicht autorisiertes Gerät Klartext- Bestandteile der URL ändern, stimmt die Signatur nicht mehr mit der URL überein. Der Server würde eine solche Anforderung unter Verwendung der geänderten URL abweisen. Die URL der Anfrage enthält optional oder zusätzlich ein digitales Zertifi- kat . In diesem Fall ist die Anfrage nur gültig, wenn diese ein gültiges Zertifikat oder ein Verweis auf ein gültiges Zertifikat enthält. Gemäß einer weiteren alternativen Ausgestaltung der Erfindung vorgesehen, dass die Anforderung durch Empfang einer nicht notwendigerweise signierten URL über eine für das Gerät vorbehaltenen URL erfolgt. Dies bedeutet, dass jedem Gerät eine individuelle URL zugeordnet wird, an die das jeweilige Gerät die Anforderung zu senden hat. Die Kenntnis dieser individuellen URL dient einem alternativen Identifikationsnachweis. Diese Ausgestaltung ist zwar weniger sicher als die oben erläuterte Ausgestaltung, benötigt aber weniger Rechenleistung zur Durchführung kryptographischer Operationen auf Seiten des Servers und vor allem auf Seiten des - ohnehin oftmals ressourcenbeschränkten - Geräts. The server can decrypt this signature and compare it with the transmitted URL. Only if the transmitted URL matches the signature does the server execute the request. If an unauthorized device were to change plaintext parts of the URL, the signature will no longer match the URL. The server would reject such a request using the changed URL. The URL of the request optionally or additionally contains a digital certificate. cat. In this case, the request is valid only if it contains a valid certificate or a reference to a valid certificate. According to a further alternative embodiment of the invention, provision is made for the request to be made by receiving a URL which is not necessarily signed via a URL reserved for the device. This means that each device is assigned an individual URL to which the device has to send the request. The knowledge of this individual URL serves as an alternative proof of identification. Although this embodiment is less secure than the embodiment explained above, it requires less computing power for carrying out cryptographic operations on the server side and, above all, on the side of the device, which in any case is often limited in resources.
Obgleich nach einem geräteseitigen Empfang der Antwortnachricht, welche erfindungsgemäß die mindestens eine Ressourcen- adresse zum Bezug der mindestens einen Downloadressource ent¬ hält, der weitere Download mit fachmännisch üblichen Mitteln unter Abruf der Downloadressourcen auf den nun bekannten Ressourcenadressen erfolgen könnte, kann auch der Download zusätzlich, gemäß der im Folgenden erläuterten Weiterbildungen der Erfindung, gesichert werden. Although after a device-side reception of the response message, which according to the invention ent ¬ holds the at least one resource address to obtain the at least one download resource, the further download with expertly customary means by retrieving the download resources on the now known resource addresses could also download the additional , are secured according to the developments of the invention explained below.
Gemäß einer vorteilhaften Weiterbildung ist ein Empfang einer gerätseitig gesendeten Download-Anforderung auf Seiten eines durch die Ressourcenadresse bezeichneten zweiten Servers vor- gesehen, wobei die Download-Anforderung den Identifikationsnachweis umfasst. Nach Prüfung des Identifikationsnachweises erfolgt eine Übertragung der der mindestens einen Ressourcenadresse zugeordneten mindestens einen Downloadressource an das Gerät. According to an advantageous development, a receipt of a download request sent on the device side is provided on the side of a second server designated by the resource address, wherein the download request comprises the identification proof. After checking the identification proof, the at least one download resource assigned to the at least one resource address is transmitted to the device.
Die seitens des ersten Servers durchzuführende Zusammenstel¬ lung mindestens einer Downloadressource anhand der Gerätei¬ genschaften und Einrichtung mindestens einer Ressourcenadres- se zum Download der mindestens einen Downloadressource erfol¬ gen in dieser Ausgestaltung der Erfindung mit Einbeziehung des zweiten Servers. Der durch die Ressourcenadresse bezeichnete zweite Server stimmt dabei nicht notwendigerweise mit dem ersten Server überein, welcher die Anforderung erhalten hat. Für Zwecke eines Lastausgleichs bietet sich in vorteilhafter Weise an, die Aufgabe des ersten Servers - nämlich die Zuordnung von Gerät- eigenschaften, Zusammenstellung von Downloadressourcen und Einrichtung der Ressourcenadresse - von denen des zweiten Servers, welcher aus Dateiserver agiert, zu trennen. Sollte dieser Bedarf eines Lastausgleichs in der Netzwerkauslegung eine geringere Rolle gegenüber einer erhöhten Komplexität in der Unterhaltung zweier Server spielen, können die Aufgaben des ersten und des zweiten Servers auch durch einen einzigen ersten Server übernommen werden. The part of the first server to be performed together Stel ¬ lung at least one resource based on the download Gerätei ¬ properties and at least one means Ressourcenadres- For downloading the at least one download resource suc ¬ gen in this embodiment of the invention with inclusion of the second server. The second server designated by the resource address does not necessarily coincide with the first server which has received the request. For purposes of load balancing, it is advantageous to separate the task of the first server-namely, the assignment of device properties, compilation of download resources, and establishment of the resource address-from those of the second server, which acts from file servers. Should this need for load balancing in the network design play a lesser role compared to increased complexity in the maintenance of two servers, the tasks of the first and the second server can also be assumed by a single first server.
Im Rahmen einer im Zuge des Lastausgleichs vorteilhaften Auf- gabenteilung auf mehrere Server ist es im Übrigen auch vorteilhaft, mehrere zweite Server vorzusehen, um einen Lastausgleich beim Download unterschiedlicher Downloadressourcen von mehreren zweiten Servern zu erzielen. Netzwerktechnisch ist dies mit den Mitteln der Erfindung sowie deren Ausgestaltun- gen ohne weiteres zu bewerkstelligen, da die Ressourcenadresse bzw. URL auch die Serveradresse umfasst und somit beliebige im Netzwerk angeordnete Server adressieren kann. Incidentally, in the context of load sharing, which is advantageous in the context of load balancing, it is also advantageous to provide a plurality of second servers in order to achieve load balancing when downloading different download resources from a plurality of second servers. In terms of network technology, this can easily be achieved with the means of the invention and its design, since the resource address or URL also includes the server address and can thus address any server arranged in the network.
Im Folgenden werden weitere Ausführungsbeispiele und Vorteile der Erfindung anhand der Zeichnung näher erläutert. Dabei zeigt die einzige FIG ein chronologisches Ablaufbild mit ei¬ ner schematischen Darstellung eines Austauschs von Steuer¬ nachrichten zwischen einem Gerät CL, einem ersten Server Sl und einem zweiten Server S2. In the following, further embodiments and advantages of the invention will be explained in more detail with reference to the drawing. The only FIG shows a chronological sequence diagram with egg ¬ ner schematic representation of an exchange of control ¬ messages between a device CL, a first server Sl and a second server S2.
Das Gerät CL sowie die Server Sl, S2 teilen eine gemeinsame zumindest vorübergehend eingerichtete drahtlose oder drahtgebundene - nicht dargestellte - Netzwerkverbindung, über die im Folgenden erläuterte Steuernachrichten The device CL and the server Sl, S2 share a common at least temporarily configured wireless or wired - not shown - network connection over the the following explained tax information
101,103,105,107,109,1H ausgetauscht werden. 101,103,105,107,109,1H are exchanged.
Vertikale Zeitstrahlen sind in dieser Reihenfolge dem Gerät CL, dem ersten Server Sl und dem zweiten Server S2 zugeordnet. Die mit einem Richtungspfeil t gerichteten Zeitstrahlen verlaufen von oben nach unten, so dass spätere Zeitpunkte weiter unten liegen als frühere Zeitpunkte. Das Verfahren beginnt mit dem Empfang einer Anforderung 101 des Gerät CL am ersten Server Sl. Die Anforderung 101 enthält einen Identifikationsnachweis des Geräts. Der Identifikati¬ onsnachweis ist im einfachsten Fall eine auf Seiten des ers¬ ten Servers Sl und auf Seiten des Geräts CL bekannte Identi- fikationsnummer oder Seriennummer. Der erste Server Sl übermittelt diesen Identifikationsnummer bei Bedarf auch an den zweiten Server S2, um im weiteren Verlauf des Verfahrens eine Autorisierung des Geräts CL durch den zweiten Server S2 zu ermöglichen . Vertical time beams are assigned in this order to the device CL, the first server S1 and the second server S2. The time rays directed by a directional arrow t run from top to bottom, so that later times are lower than earlier times. The method begins with the receipt of a request 101 of the device CL at the first server S1. The request 101 contains an identification of the device. The ID Case ¬ onsnachweis is the simplest case, a well-known on the part of the f ¬ th server Sl and sides of the unit CL identity fikationsnummer or serial number. If necessary, the first server S1 also transmits this identification number to the second server S2, in order to enable authorization of the device CL by the second server S2 in the further course of the method.
Seitens des ersten Servers Sl erfolgt eine Zuordnung von Ge¬ räteigenschaften anhand des Identifikationsnachweises. Hierunter ist zu verstehen, dass im ersten Server anhand des Identifikationsnachweises des Geräts Daten vorgehalten sind, welche einen Gerätetyp und einen aktuellen Installationszu¬ stand des Geräts CL abbilden und anhand der gespeicherten Daten ein Bedarf an Downloadressourcen abgeleitet wird. From said first server Sl an assignment of Ge ¬ räteigenschaften from the identification credential. By this is to be understood that in the first server on the basis of the identification of the device data is maintained, which represent a device type and a current Installationszu ¬ stand of the device CL and based on the stored data, a need for download resources is derived.
Die einfache Sicherungsmaßnahme, wonach für einen Zugriff auf Downloadressourcen ein Identifikationsnachweis des Geräts im Zuge der Anfrage erforderlich ist, welcher mit einem im ersten Server Sl vorgehaltenen Identifikationsnachweis verglichen werden kann, wird durch vorteilhafte Sicherungsmaßnahmen ausgebaut. Hierzu ist vorgesehen, dass die mit einem Identi- fikationsnachweis einhergehende Anforderung 101 des Geräts CL signiert erfolgt, also die zur Anfrage 101 verwendete URL (Uniform Ressource Locator) seitens des Geräts CL signiert wird. Die Signatur der Anfrage-URL ist ein verschlüsseltes Abbild der URL selbst und wird als Bestandteil der URL an den Server Sl mit übertragen. The simple security measure, according to which an identification proof of the device in the course of the request is required for accessing download resources, which can be compared with an identification proof held in the first server S1, is expanded by advantageous security measures. For this purpose, provision is made for the requirement 101 of the device CL associated with an identification statement to be signed, that is to say that the URL (Uniform Resource Locator) used for the request 101 is signed by the device CL. The signature of the request URL is an encrypted one Image of the URL itself and is transmitted as part of the URL to the server Sl with.
Die URL der signierten Anfrage 101 enthält im vorliegenden Ausführungsbeispiel einen kryptographischen Hash-Wert. Der kryptographische Hash-Wert oder Nachrichtenauthentifizie- rungscode bzw. Message Authentication Code bzw. MAC wird vorzugsweise gemäß einem der folgenden Verfahren gebildet: - CBC-MAC unter Verwendung einer bekannten BlockchiffreThe URL of the signed request 101 contains a cryptographic hash value in the present exemplary embodiment. The cryptographic hash value or message authentication code or MAC is preferably formed according to one of the following methods: CBC-MAC using a known block cipher
(z.B. DES, 3DES, AES, IDEA) ; (e.g., DES, 3DES, AES, IDEA);
- HMAC unter Verwendung einer bekannten Hash-Funktion  HMAC using a known hash function
(z.B. MD5 , SHA-1, RIPEMD, RIPEMD160 ) , die auch als HMAC- MDS, HMAC-SHAI , HMAC-RI PEMD, HMAC-RIPEMD160 bezeichnet werden;  (e.g., MD5, SHA-1, RIPEMD, RIPEMD160), also referred to as HMAC-MDS, HMAC-SHAI, HMAC-RI PEMD, HMAC-RIPEMD160;
- HMAC unter Verwendung einer bekannten Hash-Funktion mit gekürzter Ausgabe (z.B. HMAC-MD5- 80 , HMAC-SHAl-80, HMAC- RI PEMD- 80 , HMACRI PEMD 160-80 bei auf 80 Bit gekürzter Ausgabe) ;  HMAC using a known hash function with truncated output (e.g., HMAC-MD5-80, HMAC-SHAl-80, HMAC-RI PEMD-80, HMACRI PEMD 160-80 with 80-bit truncated output);
- MAA;  - MAA;
- RIPE-MAC; und/oder  - RIPE MAC; and or
- MD5-MAC.  - MD5 MAC.
Der Nachrichtenauthentifizierungscode wird unter Verwendung eines symmetrischen geheimen Schlüssels oder eines asymmetrischen Schlüsselpaars gebildet. Als symmetrischer Schlüssel wird beispielsweise der Identifikationsnachweis - beispiels¬ weise in Form einer Seriennummer oder Identifikationsnummer - des Geräts CL verwendet, welcher auch auf Seiten des Servers Sl hinterlegt ist. The message authentication code is formed using a symmetric secret key or an asymmetric key pair. As a symmetrical key, for example, the proof of identification - for example, in the form of a serial number or identification number - of the device CL is used, which is also stored on the server side Sl.
Der Server Sl kann diese Signatur entschlüsseln und verifi¬ zieren und mit der übertragenen URL vergleichen. Nur wenn die übertragene URL der Anfrage 101 mit der Signatur überein- stimmt, führt der erste Server Sl die Anforderung aus. DieThe server can decrypt this signature Sl and verifi ¬ grace and compare the transmitted URL. Only if the transmitted URL of the request 101 matches the signature does the first server S1 execute the request. The
URL der Anfrage enthält optional oder zusätzlich ein digita¬ les Zertifikat. In diesem Fall ist die Anfrage nur gültig, wenn diese ein gültiges Zertifikat oder ein Verweis auf ein gültiges Zertifikat enthält. URL of the request contains optional or additionally, digita ¬ les certificate. In this case, the request is only valid if it contains a valid certificate or a reference to a valid certificate.
Für das in der Zeichnung gezeigte Ausführungsbeispiel eines Auseinanderfallens des ersten Servers Sl und des zweiten Ser¬ vers S2 erfolgt die Zusammenstellung der Downloadressourcen durch den ersten Server Sl in Abstimmung mit dem zweiten Server S2 in Form einer oder mehrerer vom ersten Server Sl an den zweiten Server S2 gesendeter Anforderungsnachrichten 105 sowie die eine oder mehrere Anforderungsnachrichten 105 be¬ antwortende Bestätigungsnachrichten 107, welche vom zweiten Server S2 an den ersten Server Sl gesendet werden. In der Zeichnung sind diese Anforderungsnachrichten 105 sowie Anforderungsnachrichten 107 zeitlich nach der Anforderung 101 so- wie einer die Anforderung beantwortenden Antwortnachricht 103 an das Gerät CL gezeichnet. Diese zeitliche Vorgabe ist al¬ lerdings nur beispielhaft zu verstehen. Stattdessen kann der Austausch der Anforderungsnachrichten 105 und der Bestätigungsnachrichten 107 auch in unmittelbarer zeitlichen Nähe nach Empfang der Anforderung 101 sowie vor oder auch zeitlich überlappend nach oder während des Sendens der Antwortnachricht 103 erfolgen. For the embodiment of a falling apart of the first server Sl and the second Ser ¬ vers S2 shown in the drawing, the compilation of download resources done by the first server Sl in coordination with the second server S2 in the form of one or more of the first server Sl to the second server S2 sent request messages 105 and one or more request messages 105 responding ¬ answering messages 107 which are sent from the second server S2 to the first server Sl. In the drawing, these request messages 105 and request messages 107 are drawn after the request 101 as well as a reply message 103 responding to the request to the device CL. This time-is to understand al ¬ lerdings only exemplary. Instead, the exchange of the request messages 105 and the confirmation messages 107 can also take place in the immediate vicinity of the reception of the request 101 and before or also overlapping in time after or during the transmission of the response message 103.
Außerdem erfolgt durch den ersten Server Sl eine Einrichtung mindestens einer Ressourcenadresse am zweiten Server S2 zum Download der mindestens einen Downloadressource. Diese Ein¬ richtung der Ressourcenadresse durch den ersten Server Sl erfolgt ebenfalls in Abstimmung mit dem zweiten Server S2 in Form einer oder mehrerer vom ersten Server Sl an den zweiten Server S2 gesendeter Anforderungsnachrichten 105 sowie die eine oder mehrere Anforderungsnachrichten 105 beantwortende Bestätigungsnachrichten 107. In addition, by the first server Sl, a device of at least one resource address on the second server S2 for downloading the at least one download resource. This one ¬ direction of the resource address by the first server Sl is also carried out in coordination with the second server S2 in the form of one or more transmitted from the first server Sl to the second server S2 request messages 105 as well as the one or more request messages 105 answered acknowledgment messages 107th
Der Server Sl greift nun auf eine - nicht dargestell- ten - Datenbank zu, um eine Zusammenstellung mindestens ei¬ ner, vorzugsweise einer Mehrzahl von Downloadressourcen anhand der Geräteigenschaften zusammenzustellen. Diese Zusammenstellung erfolgt vorzugsweise nach Eingang der Anforderung und eigens auf die Geräteigenschaften anhand des Identifikationsnachweises zugeschnitten, um die Auswahl der Downloadressourcen individuell auf die Eigenschaften des Geräts CL oder dessen individuelle Softwareinstallation abzustimmen. Anschließend erfolgt serverseitig eine Einrichtung mindestens einer, vorzugsweise einer Mehrzahl von Ressourcenadressen bzw. URL, an der die Auswahl der Downloadressourcen zum Download bereitgestellt werden. Im vorliegenden Ausführungsbeispiel werden diese Ressourcenadressen am zweiten Server S2 in Abstimmung mit dem ersten Server unter Beteiligung der oben erläuterten der Anforderungsnachrichten 105 und der Bestätigungsnachrichten 107 eingerichtet. The server S now uses a - to database, a compilation least ei ¬ ner, preferably a plurality of download resources together based on the device characteristics - th dargestell-. This compilation is preferably carried out after receipt of the request and tailored specifically to the device properties based on the credentials to tailor the selection of download resources individually to the characteristics of the device CL or its individual software installation. Subsequently, on the server side, at least one device, preferably a plurality of resource addresses or URLs, at which the selection of the download resources is made available for download, takes place. In the present exemplary embodiment, these resource addresses are set up on the second server S2 in coordination with the first server with the participation of the above-explained request messages 105 and the confirmation messages 107.
Anschließend sendet der erste Server Sl eine die Anforderung 101 beantwortende Antwortnachricht 103 an das Gerät CL, wobei die Antwortnachricht 103 die mindestens eine Ressourcenadres¬ se zum Bezug der mindestens einen Downloadressource enthält. Subsequently, the first server S 1 sends a response message 103 answering the request 101 to the device CL, wherein the response message 103 contains the at least one resource address for obtaining the at least one download resource.
Schließlich wird vom Gerät CL eine Download-Anforderung 109 an eine der zuvor mitgeteilten Ressourcenadressen des zweiten Server S2 gesendet. Die am zweiten Server S2 empfange Download-Anforderung 109 enthält ebenfalls einen Identifikationsnachweis des Geräts CL . Anschließend erfolgt eine Übertragung 111 der dieser Ressourcenadresse zugeordneten Downloadres- source an das Gerät CL . Finally, the device CL sends a download request 109 to one of the previously notified resource addresses of the second server S2. The download request 109 received at the second server S2 also contains an identification proof of the device CL. Subsequently, a transmission 111 of the download resource assigned to this resource address is sent to the device CL.
Die Download-Anforderung 109 sowie Übertragung III werden sequentiell oder parallel mehrfach entsprechend der Anzahl an Downloadressourcen bzw. Ressourcenadressen durchgeführt. The download request 109 and transmission III are performed sequentially or in parallel several times according to the number of download resources or resource addresses.
Gemäß einer im Folgenden erläuterten alternativen Ausführungsform der Erfindung kann von einem Austausch von Anforderungsnachrichten 105 sowie Anforderungsnachrichten 107 zwischen den Servern Sl, S2 verzichtet werden. According to an alternative embodiment of the invention explained below, an exchange of request messages 105 and request messages 107 between the servers S1, S2 can be dispensed with.
Diese Ausführungsform ist dadurch gekennzeichnet, dass die Einrichtung der Ressourcenadressen am zweiten Server S2 seitens des ersten Servers Sl über eine modifizierte Antwort- nachricht 103 erfolgt, welche das Gerät CL empfängt und ver¬ arbeitet. Nach Verarbeitung der modifizierten Antwortnachricht 103 im Gerät CL wird von diesem eine modifizierte Down¬ load-Anforderung 109 an den zweiten Server S2 gesendet, wel- che eine Autorisierung für die Download-Anforderung 109 übergibt. Die vom ersten Server Sl gesendete modifizierte Ant¬ wortnachricht 103 enthält hierzu in einem sogenannten Query- Teil der für die Übertragung der Antwortnachricht 103 verwendeten URL Informationen zur Autorisierung des Geräts CL, wel- che vom Gerät CL an den zweiten Server S2 in Form der modifizierten Download-Anforderung 109 weitergegeben wird. Der zweite Server S2 prüft dann anhand der für die modifizierte Download-Anforderung 109 übergebenen URL die Autorisierung des Geräts CL . This embodiment is characterized in that the establishment of the resource addresses on the second server S2 by the first server S1 via a modified response message 103 takes place, which receives the device CL and ver ¬ works. After processing the modified response message 103 in the device a modified CL ¬ down load request is sent to the second server S2 109 thereof, WEL che authorize the download request 109 passes. The message sent from the first server Sl modified Ant ¬ word object 103 includes this in a so-called Query part of the URL used for the transmission of the response message 103 information about the authorization of the device CL, WEL che from the device CL to the second server S2 in the form of the modified Download request 109 is passed. The second server S2 then checks the authorization of the device CL on the basis of the URL transmitted for the modified download request 109.
In dieser Ausführungsform entfällt somit die direkte Abstimmung über Anforderungsnachrichten 105 und Bestätigungsnachrichten 107 zwischen dem ersten und dem zweiten Server S1,S2, was insbesondere dann eine Entlastung bedeutet, wenn der zweite Server S2 als Serverfarm oder so genanntes Content Delivery Network ausgelegt ist. In this embodiment, therefore, the direct vote on request messages 105 and confirmation messages 107 between the first and the second server S1, S2 deleted, which means in particular a discharge, if the second server S2 is designed as a server farm or so-called content delivery network.
Die für oben für die Anforderung 101 erläuterten Maßnahmen einer zusätzlichen Sicherung, nämlich Signierung der Nach- rieht oder Übertragung eines Zertifikats in der URL finden auch für die modifizierte Antwortnachricht 103 sowie für die modifizierte Download-Anforderung 109 Anwendung. The measures of an additional backup explained above for request 101, namely signing of the certificate or transmission of a certificate in the URL, also apply to the modified reply message 103 and to the modified download request 109.
Darüber hinaus ist gemäß einer weiteren Ausführungsform vor- gesehen, dass neben der Autorisierung auch eine zeitliche Gültigkeit der Autorisierung, eine Art der Autorisierung, etc. übermittelt wird. Diese vorgenannten Informationen werden vorzugsweise zusammen mit der Signatur im Query Teil der URL der modifizierten Antwortnachricht 103 sowie der modifi- zierten Download-Anforderung 109 übertragen. In addition, according to a further embodiment, it is provided that, in addition to the authorization, a temporal validity of the authorization, a type of authorization, etc. is also transmitted. This aforementioned information is preferably transmitted together with the signature in the query part of the URL of the modified response message 103 and the modified download request 109.
Das in der Zeichnung gezeigte Ausführungsbeispiel eines The embodiment of a shown in the drawing
Auseinanderfallens des ersten Servers Sl und des zweiten Ser- vers S2 kann auch durch ein alternatives - nicht dargestell¬ tes - Ausführungsbeispiel ersetzt werden, bei dem das Gerät CL unter Wegfall des zweiten Servers S2 lediglich mit dem ersten Server Sl kommuniziert, wobei die Anforderungsnach- richten 105 und die Bestätigungsnachrichten 107 dann als in¬ terne Steuernachrichten innerhalb des ersten Servers Sl zu verstehen sind. Der erste Server Sl übernimmt dann alle Auf¬ gaben der in der Zeichnung dargestellten beiden Server Sl, S2, nämlich die Zuordnung von Geräteigenschaften, Zusammen- Stellung von Downloadressourcen, Einrichtung der Ressourcenadressen und agiert als Dateiserver. Disruption of the first server Sl and the second Ser- vers S2 can also be replaced by an alternative - not dar ¬ tes - embodiment in which the device CL communicates with the omission of the second server S2 only with the first server Sl, the request messages 105 and the confirmation messages 107 than in ¬ terne control messages within the first server Sl to understand. The first server Sl then assumes all on ¬ gave the embodiment shown in the drawing, two servers Sl, S2, namely, the allocation of device properties, compilation of downloading resources, setting the resource address and acts as a file server.

Claims

Patentansprüche claims
1. Verfahren zur gerätabhängigen Bereitstellung von Downloadressourcen, umfassend die Schritte: A method for device-dependent delivery of download resources, comprising the steps of:
a) Empfang einer einen Identifikationsnachweis umfassenden Anforderung (101) von einem Gerät (CL) / a) Receiving an identification (101) request from a device (CL) /
b) Zuordnung von Geräteigenschaften anhand des Identifikationsnachweises, Zusammenstellung mindestens einer Downloadressource anhand der Geräteigenschaften und Einrich- tung mindestens einer Ressourcenadresse zum Download der mindestens einen Downloadressource; und ; b) assignment of device properties on the basis of the proof of identification, compilation of at least one download resource on the basis of the device properties and provision of at least one resource address for downloading the at least one download resource; and ;
c) Senden einer die Anforderung beantwortenden Antwortnachricht an das Gerät (CL) , wobei die Antwortnachricht die mindestens eine Ressourcenadresse zum Bezug der mindes- tens einen Downloadressource enthält. c) sending a reply message answering the request to the device (CL), wherein the response message contains the at least one resource address for receiving the at least one download resource.
2. Verfahren nach Patentanspruch 1, dadurch gekennzeichnet, dass der Identifikationsnachweis durch eine signierte Anfor¬ derung des Geräts (CL) erfolgt. 2. The method according to claim 1, characterized in that the proof of identification by a signed request for ¬ tion of the device (CL) takes place.
3. Verfahren nach Patentanspruch 1, dadurch gekennzeichnet, dass der Identifikationsnachweis durch Empfang der Anforde¬ rung über eine für das Gerät (CL) vorbehaltenen URL erfolgt. 3. The method according to claim 1, characterized in that the proof of identification by receiving the request ¬ tion via a reserved for the device (CL) URL.
4. Verfahren nach einem der vorgenannten Patentansprüche, umfassend die zusätzlichen Schritte: 4. The method according to any one of the preceding claims, comprising the additional steps:
d) Empfang einer den Identifikationsnachweis umfassenden d) receiving a proof of identification comprehensive
Download-Anforderung (109) auf der mindestens einen Ressourcenadresse durch das Gerät; und;  Download request (109) on the at least one resource address by the device; and;
e) Übertragung (111) der der mindestens einen Ressourcenad¬ resse zugeordneten mindestens einen Downloadressource an das Gerät. e) transmission (111) of the at least one Ressourcenad ¬ ress associated at least one resource download to the device.
5. Verfahren nach Patentanspruch 4, dadurch gekennzeichnet, dass die Schritte a) bis c) an einem ersten Server (Sl) und die Schritte d) und e) an mindestens einem zweiten (S2) Ser¬ ver durchgeführt werden. 5. The method according to claim 4, characterized in that the steps a) to c) are performed on a first server (Sl) and the steps d) and e) on at least one second (S2) Ser ¬ ver.
6. Rechnersystem zur gerätabhängigen Bereitstellung von Downloadressourcen, mit: 6. Computer system for the device-dependent provision of download resources, with:
a) einer Schnittstelle zum Empfang einer einen Identifikati¬ onsnachweis umfassenden Anforderung (101) von einem Gerät (CL) ; a) an interface for receiving a request comprising an ID Case ¬ onsnachweis (101) from a device (CL);
b) Mittel zur Zuordnung von Geräteigenschaften anhand des Identifikationsnachweises, Zusammenstellung mindestens einer Downloadressource anhand der Geräteigenschaften und Einrichtung mindestens einer Ressourcenadresse zum Download der mindestens einen Downloadressource; und; b) means for assigning device properties on the basis of the identification proof, compiling at least one download resource on the basis of the device properties and setting up at least one resource address for downloading the at least one download resource; and;
c) einer Schnittstelle zum Senden einer die Anforderung be¬ antwortenden Antwortnachricht an das Gerät (CL) , wobei die Antwortnachricht die mindestens eine Ressourcenadres¬ se zum Bezug der mindestens einen Downloadressource ent¬ hält . c) an interface for sending a request response answer ¬ response to the device (CL), wherein the response message ent ¬ holds the at least one Ressourcenadres ¬ se for obtaining the at least one download resource ¬ .
7. Rechnersystem gemäß Patentanspruch 6 mit Mitteln zur 7. Computer system according to claim 6 with means for
Durchführung des Verfahrens gemäß einem der vorgenannten Pa tentansprüche 1 bis 5. Implementation of the method according to one of the aforementioned Pa tentansprüche 1 to 5.
8. Computerprogrammprodukt mit Mitteln zur Durchführung des Verfahrens nach einem der vorhergehenden Ansprüche 1 bis 5, wenn das Computerprogrammprodukt an mindestens einem Server (S1,S2) zur Ausführung gebracht wird. 8. Computer program product having means for carrying out the method according to one of the preceding claims 1 to 5, when the computer program product is executed on at least one server (S1, S2).
EP17808367.1A 2017-01-23 2017-11-14 Method for device-dependent provision of download resources Withdrawn EP3552360A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017201021.5A DE102017201021A1 (en) 2017-01-23 2017-01-23 Method for device-dependent provision of download resources
PCT/EP2017/079188 WO2018133973A1 (en) 2017-01-23 2017-11-14 Method for device-dependent provision of download resources

Publications (1)

Publication Number Publication Date
EP3552360A1 true EP3552360A1 (en) 2019-10-16

Family

ID=60569883

Family Applications (1)

Application Number Title Priority Date Filing Date
EP17808367.1A Withdrawn EP3552360A1 (en) 2017-01-23 2017-11-14 Method for device-dependent provision of download resources

Country Status (5)

Country Link
US (1) US20220094681A1 (en)
EP (1) EP3552360A1 (en)
CN (1) CN110178349A (en)
DE (1) DE102017201021A1 (en)
WO (1) WO2018133973A1 (en)

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2364484B (en) * 2000-06-30 2004-10-13 Nokia Mobile Phones Ltd Apparatus and methods for a client server system
US9332424B2 (en) * 2005-08-05 2016-05-03 Qualcomm Incorporated Centrally managed solution for all device management activities
CN100561972C (en) * 2007-05-24 2009-11-18 中兴通讯股份有限公司 Medium type adaptation method and system based on downloading business
CN101373504B (en) * 2008-08-04 2012-02-01 北京大学 Management method and system for downloading digital content
CN102238203A (en) * 2010-04-23 2011-11-09 中兴通讯股份有限公司 Internet of things service realization method and system
US8631239B2 (en) * 2012-01-12 2014-01-14 Facebook, Inc. Multiple system images for over-the-air updates
CN102629935A (en) * 2012-03-07 2012-08-08 中兴通讯股份有限公司 Method for installing application software based on cloud service, device thereof and system thereof
US20160337351A1 (en) 2012-03-16 2016-11-17 Acuity Systems, Inc. Authentication system
CN104580267A (en) * 2013-10-09 2015-04-29 北京奇虎科技有限公司 A resource downloading method, device, server and corresponding system
US9699124B2 (en) 2014-05-08 2017-07-04 Avaya Inc. On-demand robot acquisition of communication features
US20160065552A1 (en) * 2014-08-28 2016-03-03 Drfirst.Com, Inc. Method and system for interoperable identity and interoperable credentials
CN105915613A (en) * 2016-04-19 2016-08-31 乐视控股(北京)有限公司 Resource supply method and device based on cloud services

Also Published As

Publication number Publication date
WO2018133973A1 (en) 2018-07-26
US20220094681A1 (en) 2022-03-24
DE102017201021A1 (en) 2018-07-26
CN110178349A (en) 2019-08-27

Similar Documents

Publication Publication Date Title
DE602004005461T2 (en) Mobile authentication for network access
EP3287925B1 (en) Computer device for transferring a certificate to a device in a system
EP2250598B1 (en) Client/server system for communicating according to the standard protocol opc ua and having single sign-on mechanisms for authenticating, and method for performing single sign-on in such a system
EP2593897B1 (en) Method for certificate-based authentication
EP2826224B1 (en) Clients accessing a service provided by a server using opc-ua
EP0995288B1 (en) Method and device for the mutual authentication of components in a network using the challenge-response method
EP3432539B1 (en) Method for establishing a communication channel between a server device and a client device
EP3785459B1 (en) Setting up access authorisation to access a subnetwork of a mobile radio network
WO2018133973A1 (en) Method for device-dependent provision of download resources
DE60219915T2 (en) Method for securing communications in a computer system
EP3358802B1 (en) Method for securely providing a cryptographic key
DE102018220990A1 (en) Method and arrangement for addressing participants in a communication between at least one participant and a back-end server
EP3881486B1 (en) Method for providing proof of origin for a digital key pair
EP3585027B1 (en) Method for connecting a terminal to a crosslinkable computer infrastructure
EP4115584B1 (en) Secure and documented key access by an application
EP1845689B1 (en) Method and communication system for providing personalised access to a group of devices
DE102017215094A1 (en) A method for enabling and / or requesting access by a first network participant to a second network participant in a network
EP3937451B1 (en) Method for producing an encrypted connection
EP2723111B1 (en) Multiple factor authentification for mobile end devices
EP3482552B1 (en) Network entity for communicating with another network entity via a communication network
DE102016107673A1 (en) Method for using a proxy server for data exchange
DE102016207635A1 (en) Method and device for securing device access
EP4030321A1 (en) Authentication of at least one first device in at least one second device
EP3907958A1 (en) Method for establishing a secure transmission channel for data transmission within an industrial automation system
EP2273760B1 (en) Method for converting initial identification information to a second identification format, interface assembly for a communication network and communication network with a conversion instance

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20190709

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20210618

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20231121