EP3692457A1 - Verfahren und system zum bereitstellen einer datentechnischen funktion mittels eines datenverarbeitungssystems eines spurgebundenen fahrzeugs - Google Patents

Verfahren und system zum bereitstellen einer datentechnischen funktion mittels eines datenverarbeitungssystems eines spurgebundenen fahrzeugs

Info

Publication number
EP3692457A1
EP3692457A1 EP18800531.8A EP18800531A EP3692457A1 EP 3692457 A1 EP3692457 A1 EP 3692457A1 EP 18800531 A EP18800531 A EP 18800531A EP 3692457 A1 EP3692457 A1 EP 3692457A1
Authority
EP
European Patent Office
Prior art keywords
authentication
data
unit
data processing
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP18800531.8A
Other languages
English (en)
French (fr)
Inventor
Thorsten Braun
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Publication of EP3692457A1 publication Critical patent/EP3692457A1/de
Pending legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan

Definitions

  • the invention relates to a method and a system for Be providing a data processing function by means of a data processing system of a track-bound vehicle.
  • a key switch is used to enable or disable data-related functions based on the position of the key switch. Only users who have a suitable (suitable) key can activate the data-technical function.
  • a method for providing a data processing function by means of a data processing system of a track-bound vehicle ge triggers comprises: generating an authentication token by means of an authentication unit based on an authentication process, wherein the authentication token is a session of a user of the data processing identification system, and providing the data technical function by means of a server unit of the data processing system based on the authentication token.
  • the invention is based on the recognition that data-technical functions, such as operator actions, the display of information, etc., are called in vehicles from different users. It is desirable that the data-technical functions different users or user groups user-related or user-specific to make available. Certain data-related functions should only be accessible by authorized users or user groups.
  • the data-related functions provided are coupled, for example, to a key switch position.
  • the schwtech function is provided only to the user who has the appropriate conclusions, and exclusively, while the key switch occupies a position provided for the activation of the function.
  • the known solutions are characterized by the fact that for each data-related function, such as access to diagnostic data, a separate authentication is required. Consequently, the known solutions are statically out of the management of user rights.
  • the solution according to the invention solves these problems by generating an authentication token by a central authentication service.
  • the token identifies a session of a user of the data processing system.
  • different data-technical functions can be provided.
  • the user rights can be changed in a particularly simple way by means of data-technical access to the authentication unit and adapted according to the wishes of the operator of the data processing system.
  • the access to the authentication unit is restricted to users belonging to the operator of the data processing system and / or the track bound vehicle.
  • the track-bound vehicle is preferably formed as a train driving tool.
  • the data processing system preferably comprises a communication system, which comprises at least one Ethernet network and different data telecommunication devices (systems) connected to the respective Ethernet network.
  • the participants can communicate via the respective Ethernet network (exchanging data, for example).
  • these can be logically separated, for example as virtual local area networks (VLANs), to allow data streams from one another separate.
  • the communication network preferably comprises a Bet reibetz, which is physically separated from a control network of the rail vehicle and may be technically connected to the control network data.
  • control network as a network which comprises one or more components for vehicle control (control technology)
  • control technology e.g drive and brake components
  • systems can also be used to output information to passengers and on-board personnel, the automated operation of a sanitary cell, the management of communication between the rail vehicle and the country side, etc., belong to the control network, the components being connected to one another via the control network in terms of control and communication technology.
  • Components that are connected to the operator network for data purposes can be, for example, a passenger information system (FIS) and / or a camera monitoring system for monitoring the interior and exterior of the railway vehicle (CCTV: Closed Circuit Television).
  • FIS passenger information system
  • CCTV Closed Circuit Television
  • the corre sponding components of the FIS or camera surveillance system are data technology via the operator network together a related party.
  • the user can be assigned to one or more user groups. Certain data-related functions are available to a particular user group (or the user group is blocked for certain technical functions). For example, user groups may be provided for maintenance, cleaning, vehicle accompaniment or vehicle guidance. Certain user actions may only be carried out by authorized user groups. For example, the retrieval of diagnostic sedates (as an example of a data-technical function) is intended exclusively for the user group "maintenance".
  • the expert understands by the term "data-technical function" all functions which are provided by the data processing system
  • the data-technical function can, for example, comprise the operation of a component connected to the communication network by means of a user interface retrieve data from the data processing system.
  • the authentication unit is preferably designed as an authentication server with an authentication service.
  • the authentication service includes a Remote Authentication Dial-in User Service (RADIUS).
  • RADIUS Remote Authentication Dial-in User Service
  • the authentication server is a central server within the data processing system of the tracked vehicle, which is available to various subscribers of the communication network via the Ethernet network.
  • the authentication server has a memory on which data about the user, data on an assignment of the user to a user group or multiple user groups and / or data on user rights associated with the user are stored.
  • the server unit can transmit the data-related function immediately upon receipt of the authentication function.
  • the server unit can use a received authentication token to determine independently or with the aid of another component of the data processing system, which data technology function is to be provided.
  • the authentication process comprises: providing authentication information by means of an authentication séesss Maschinen and generating the authentication token by means of the authentication unit based on the authentication information.
  • the authentication process comprises, in particular, those method steps which, in common usage, are referred to as "logging on of the user”.
  • the skilled person preferably understands that the authentication token is generated when the user has successfully authenticated himself.
  • authentication the checking of the authenticity of the user by means of the authentication unit
  • authentication the attestation of the authenticity by the authenticating unit.
  • the terms “authenticate” and “authenticate” are often combined under the term “authenticate”.
  • the authentication unit generates the authentication information based on an application
  • An identification medium which provides at least one user information, in particular a smart card, and / or
  • a biometric feature of the user which is detected by a reader.
  • the authentication unit comprises an authentication device, to which the user by means of a thentleitersmiesmedium, for example by means of the key, the smart card or the biometric feature, a Authentication is performed.
  • the authentication device can, for example
  • a smart card reader for receiving the smart card, a fingerprint reader for reading the user's fingerprint (as a biometric feature) and / or a camera unit for detecting the user's face (as a biometric feature)
  • smart card preferably as a plastic card, which has at least one inte grated circuit and preferably a memory cher, a microprocessor, etc. has.
  • the electronic key may preferably be formed by a soft ware key material, which is stored on a terminal device of the user.
  • the software key material may be stored as a user on a smartphone of a driver residing in the driver's car.
  • the software key material can be transmitted to the vehicle via Bluetooth or WLAN (WLAN: Wireless Local Area Network).
  • the authentication unit preferably comprises a control computer, which is connected to the data processing system, in particular to the Ethernet network.
  • the control computer reads out the information generated by the authentication device, generates the authentication information on the basis of this information and sends the authentication information via the Ethernet network to the authentication unit.
  • the transmission of the authentication information to the authenticating unit is preferably carried out in encrypted form.
  • the authentication token is invalidated and / or deleted at a termination of the session. This ensures that the authentication token is the session identified by the user.
  • the termination of the session is triggered by a user logoff.
  • the session may be terminated at the expiration of a predetermined period of time. This may result in the user having to log in again while using the data processing system.
  • the authentication token is transmitted to a user interface, which is designed to retrieve the function by the user.
  • the user interface can use the authentication token for different purposes. For example, the user interface is activated upon receipt of the authentication token. Alternatively or additionally, the user interface may use the authentication token to restrict provided functions. The presence and / or design of the authentication token for the user interface preferably serve as a decision criterion as to whether a data-technical function is to be made available. Alternatively or additionally, the data processing function can be requested by the user interface based on the authentication token at the server unit.
  • the user interface comprises an operator display.
  • the operator display is as
  • Touchscreen display formed on the technical data functions such as the display of information and / or operating functions are provided.
  • the authentication token is transmitted from the authentication unit to the user interface. Further preferably, the authentication token is stored by means of a memory unit of the user interface. In order for the user interface to provide the function provided by the server unit to a user.
  • the user interface is databank, in particular via the communication network, connected to the Sever unit.
  • the authentication token of the request is attached to a request for the data processing function, which is addressed by the user interface to the server unit.
  • the user interface requests the data processing function at the server unit.
  • the server unit provides the da fortune function centrally available. Based on the attached authentication token, the server unit can check the request. This prevents a data-technological attack on the data processing system from being made possible by manipulation of the user interface.
  • the server unit is located away from the user interface.
  • the person skilled in the art understands the term "removed” to mean that the user has no direct, mechanical access to the server unit, for which the server unit is preferably arranged in a protected area (not accessible to the user) of the rail vehicle ,
  • the request is triggered by an operator action of the user.
  • the Ser ver unit checks an authorization of the request with the help of the authentication unit. This achieves centralized control of user permissions based on tokens. The central role is played by the authentication unit.
  • Various components of the data processing system eg, the server unit
  • the Server unit provides the data-related function only if the verification of the authentication token by the authentication unit is successful.
  • the authorization of the request is preferably checked by means of the authentication unit during a first request within one session. For subsequent requests within the session, a check by the authentication unit is no longer required.
  • the authentication with the aid of the authentication unit is carried out in a preferred development by the authentication unit receiving the authentication token from the server unit, checking the associated authorization, and authorization information which checks the authorization of the user represents, provides.
  • a central control of entitlements of the user based on the token is enabled.
  • the validity of the token is checked by the authentication unit and, in addition, authorizations of the user as authorization information are provided by the authentication unit.
  • the authentication unit sends the authorization information to the server unit.
  • data-related functions are provided by the server unit. For this purpose, whoever transmits the data underlying the respective function to the user interface.
  • the data processing function is provided by the server unit depending on the authorization information.
  • the authentication token which sends the Sever unit to the authentication unit for checking forms the basis for providing the data-related function.
  • the server unit In addition, based on the authorization information determine which data-related functions to be provided.
  • the provision of the data-technical function comprises providing information with the server unit for display by means of a user interface.
  • the display of the information by means of the user interface is triggered by the user requesting the information by actuating a touch screen of the user interface.
  • the server unit Upon request (if a valid authentication token is present), the server unit provides the information for display by the user interface.
  • the information is transmitted to the user interface for the display and displayed by the user interface.
  • the provision of the data-technical function comprises providing data to a data interface of the data processing system.
  • the data is provided by the server unit and transmitted to the data interface.
  • a maintenance PC and / or a diagnostic device is connected to the data interface.
  • the data interface preferably comprises a USB-to-Ethernet bridge, which provides a connection between the Ethernet network and a USB port of the data interface (USB: Universal Serial Bus).
  • the data interface further preferably comprises a computing unit for processing data and a memory.
  • a preferred development of the embodiment comprises: data-technical connection of a memory unit to the data interface, querying the data by means of the data interface at the server unit and providing the data by means of the server unit.
  • the memory unit comprises a USB data memory which is carried by the user and connected to the USB port of the data interface.
  • the request is made by closing the server unit from the data interface sig nalformat that the memory unit is connected to the data interface. Further preferably, the data are prepared by the server unit in response to the request and transmitted to the data interface.
  • the data is provided to the data interface after completion of an authentication process, in particular an authentication process of the type previously described.
  • the authentication token generated during the authentication process is preferably transmitted to the data interface and more preferably from the memory of the data interface saved. Further preferably, the authentication token of the request, which is directed by the data interface to the server unit, attached.
  • authorization information which represents authorization of the user, is transmitted to the server unit after completion of the authentication process.
  • the computer unit of the data interface After connecting the memory unit, in particular the USB data memory, to the data interface, the computer unit of the data interface establishes a data connection to the server unit. For this a connection request is directed to the server unit.
  • the server unit receives the connection request and uses the authorization information to determine which data-related function is to provide. For example, the server unit uses the authorization information to determine which data is to be provided for the data interface.
  • the invention further relates to a system for providing a data processing function by means of a data processing system of a tracked vehicle.
  • the system comprises: an authentication unit configured to generate an authentication token based on an authentication process, wherein the authentication token identifies a session of a user of the data processing system, and a server unit that configures is to provide the data-related function based on the authentication token.
  • the invention further relates to a computer program product which can be at least partially loaded directly into a memory of a Ser ver unit, at least partially loaded directly into a memory of an authentication unit and software code sections, with which the method of the type described above are performed can if the product is running on a computer of the server unit and a computer of the authentication unit.
  • the invention further relates to a server unit for a data processing system of a lane-bound vehicle, which is designed to provide a data-related function based on an authentication token identifying a session of a user of the data processing system and to provide the authentication token from an authen tification unit, which is designed to generate the authentication token based on an authentication process.
  • FIG. 1 shows a schematic structure of a system according to egg nem embodiment of the invention
  • FIG. 2 shows a schematic flow diagram of an authentication process according to the invention
  • Figure 3 is a schematic flow diagram of a method according to a first embodiment of the inven tion and
  • Figure 4 is a schematic flow diagram of a method according to a second embodiment of the inven tion.
  • Figure 1 shows a vehicle 1, which is designed as a track-bound vehicle 2, in a schematic (an view.
  • the track-bound vehicle 2 has a communication system 4 which comprises at least Ethernet networks 5, 6 and 7. To the Ethernet networks 5, 6 and 7 different participants are connected in terms of data technology and connected via the Ethernet networks 5, 6 and 7.
  • the communication system 4 together with its data technically connected participants forms a data processing system. 8
  • a server unit 10 is technically connected to the Ethernet network 7.
  • the server unit 10 provides several different data processing functions.
  • the server unit 10 provides information for display via a user interface 12.
  • the user interface 12 is designed as an operator display 13 with a touch-sensitive display area (so-called touchscreen).
  • a Be user 14 functions of the data processing system 8 can be provided.
  • 14 information can be displayed to the user and / or the user 14 can operate a component of the data processing system 8 via the operator display 13.
  • the server unit 10 and the user interface 12 are data technically connected to each other via the Ethernet network 7.
  • the invention is based on the desire to provide the user 14 data technical functions based on user authorization.
  • an authentication process is carried out.
  • FIG. 2 shows a schematic flow diagram which represents the method steps carried out as part of the authentication process.
  • the user 14 logs on to the vehicle 1 using an authentication unit 16.
  • the login takes place by plugging in a user-14 personally ordered smart card 17 in a smart card reader 18 (Ver process step A).
  • authentication information is transmitted to a control unit 20 in a method step B.
  • the logon takes place by inserting a mechanical key 21 into a mechanical lock 22 and / or by reading out a biometric feature, for example a fingerprint by means of a fingerprint reader 19.
  • the control unit 20 is connected by data technology to the Ethernet network 5.
  • the authentication information is transmitted to an authentication unit 24.
  • the authentication unit 24 is formed as a server 25 with authentication service, in particular a Remote Authentication Dial-In User Service (RADIUS).
  • the server 25 is used within the vehicle 1 as a central server or service for authenticating Benut zern.
  • the server 25 If there are user data associated with the received authentication information on the server 25, the server 25 generates an authentication token in a method step D.
  • the authentication token identifies a session of the user 14. In other words, the authentication token loses its validity and / or is deleted when the session ends. The termination of the session is triggered, for example, by logging off the user 14.
  • FIG. 3 shows a schematic flow diagram which represents the method steps carried out in the context of a first exemplary embodiment.
  • a method step E the authentication token is transmitted to the user interface 12 via the Ethernet network 5, 6, 7.
  • the user interface 12 stores the authentication token by means of a storage unit.
  • the user 14 When operating the user interface 12, the user 14 calls a data processing function in a method step F. For example, by operating the user interface 12 as a data-related function, the user 14 requests display of information by means of the user interface 12. In response to this action of the user 14, in a method step G, a request for the function from the user interface 12 to the server unit 10 sent. The request will receive the authentication token for the Transmission to the server unit 10 in a step GG attached.
  • the server unit 10 checks an authorization of the request in that the server unit 10 sends the authentication token to the authentication unit 24 via the Ethernet network 6.
  • the authentication unit 24 receives the authentication token from the server unit 10 in a method step J.
  • the authentication unit 24 checks an associated authorization (which is assigned to the authentication token) and in a method step L provides authorization information, which the permission of the user 14 represents ready.
  • the authorization information which represents credentials of the user and authorizations of the user, are transmitted to the server unit 10 in a method step M.
  • the server unit 10 provides the information to be displayed on the basis of the received authorization information in a method step N and transmits it to the user interface 12.
  • the information is shown in a method step 0 by means of the user interface 12.
  • the method steps H to L are to be carried out in particular during a first-time request by means of the user interface 12 within a session.
  • the se can provide data-technical functions on the basis of the authorization information until the end of the session.
  • FIG. 4 shows a schematic flow diagram which represents the method steps carried out in the context of a second exemplary embodiment.
  • authentication tokens generated during the authentication process are transmitted to a data interface 32 (via the Ethernet network 5, 6, 7) and stored by a memory of the data interface.
  • authorization information of the user 14 is transmitted from the authentication unit 24 to the server unit 10 via the Ethernet network 6 (method step P).
  • a method step Q the user 14 connects a memory unit 30 in the form of a USB memory 31 to the data interface 32.
  • the connection is beispielswei se by inserting the USB memory 31 in the data intersection point 32.
  • a data connection to the server unit 10 ago is a computing unit of the data interface.
  • a connection request to the ser Ver unit 10 is directed.
  • the server unit 10 receives the connection request.
  • a method step R the data interface 32 queries the server unit 10 for data which are provided for storage on the memory unit 30.
  • the terrorismstel le 32 includes a USB-to-Ethernet bridge, which provides a Ver connection between the Ethernet network 7 and a USB port of the data interface available (USB: Universal Serial Bus).
  • Inquiries R are made by signaling from the data interface 32 to the server unit 10 that the USB memory 31 is connected during the connection.
  • the server unit 10 checks which data is provided for a memory on the USB memory 31. Depending on the authorization information, the server unit 10 provides the data in a method step S. For example, the server unit 10 uses the authorization information to determine which data is available for the data interface. be presented. In a method step T, the provided data are transmitted via the Ethernet network 7 to the data interface 32 in order to be stored on the memory unit 30.

Abstract

Die Erfindung betrifft ein Verfahren sowie ein System zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbeitungssystems (8) eines spurgebundenen Fahrzeugs (2). Um die datentechnische Funktion benutzerbezogen und variabel bereitzustellen, umfasst das Verfahren: Erzeugen (D) eines Authentifizierungs-Tokens mittels einer Authentifizierungs-Einheit (24) auf Basis eines Authentifizierungsvorgangs, wobei das Authentifizierungs-Token eine Sitzung eines Benutzers (14) des Datenverarbeitungssystems (8) identifiziert, und Bereitstellen (N) der datentechnischen Funktion mittels einer Server-Einheit (10) des Datenverarbeitungssystems (8) auf Basis des Authentifizierungs-Tokens.

Description

Beschreibung
Verfahren und System zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbeitungssystems eines spur gebundenen Fahrzeugs
Die Erfindung betrifft ein Verfahren sowie ein System zum Be reitstellen einer datentechnischen Funktion mittels eines Da tenverarbeitungssystems eines spurgebundenen Fahrzeugs.
Grundsätzlich ist es bekannt, datentechnische Funktionen ei nes Datenverarbeitungssystems in einem spurgebundenen Fahr zeug ausschließlich bestimmten Benutzern oder Benutzergruppen zugänglich zu machen. Beispielsweise wird ein Schlüssel- Schalter verwendet, um anhand der Stellung des Schlüssel- Schalters datentechnische Funktionen zu aktivieren oder zu deaktivieren. Ausschließlich Benutzer, die über einen geeig neten (passenden) Schlüssel verfügen, können die datentechni sche Funktion aktivieren.
Es ist zudem bekannt, eine Schnittstelle des Datenverarbei tungssystems, beispielsweise eine Diagnoseschnittstelle, für einen Benutzer freizuschalten. Die Freischaltung erfolgt da bei auf Basis einer Authentifizierung des Benutzers, wobei die Authentifizierung ausschließlich für die Freischaltung dieser Schnittstelle vorgesehen ist.
Vor diesem Hintergrund ist es Aufgabe der Erfindung, daten technische Funktionen benutzerbezogen und variabel bereitzu stellen .
Diese Aufgabe wird erfindungsgemäß durch ein Verfahren zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbeitungssystems eines spurgebundenen Fahrzeugs ge löst. Das Verfahren umfasst: Erzeugen eines Authentifizie- rungs-Tokens mittels einer Authentifizierungs-Einheit auf Ba sis eines Authentifizierungsvorgangs, wobei das Authentifi- zierungs-Token eine Sitzung eines Benutzers des Datenverar- beitungssystems identifiziert, und Bereitstellen der daten technischen Funktion mittels einer Server-Einheit des Daten verarbeitungssystems auf Basis des Authentifizierungs-Tokens .
Die Erfindung beruht auf der Erkenntnis, dass datentechnische Funktionen, wie Bedienhandlungen, die Anzeige von Informatio nen, etc., in Fahrzeugen von unterschiedlichen Benutzern ab gerufen werden. Dabei ist es wünschenswert, die datentechni sche Funktionen unterschiedlichen Benutzern oder Benutzer gruppen benutzerbezogen bzw. benutzerspezifisch zur Verfügung zu stellen. Bestimmte datentechnische Funktionen sollen aus schließlich von berechtigten Benutzern oder Benutzergruppen abrufbar sein.
Bei den aus dem Stand der Technik bekannten Lösungen sind die bereitgestellten datentechnischen Funktionen beispielsweise an eine Schlüssel-Schalterstellung gekoppelt. Die datentech nische Funktion wird ausschließlich demjenigen Benutzer be reitgestellt, der über den passenden Schlüssen verfügt, und ausschließlich, während der Schlüssel-Schalter ein für das Freischalten der Funktion vorgesehene Stellung einnimmt.
Des Weiteren zeichnen sich die bekannten Lösungen dadurch aus, dass für jede datentechnische Funktion, beispielsweise ein Zugriff auf Diagnosedaten, eine eigene Authentifizierung erforderlich ist. Die bekannten Lösungen sind folglich hin sichtlich der Verwaltung von Benutzerrechten statisch ausge führt .
Die erfindungsgemäße Lösung behebt diese Probleme, indem ein zentraler Authentifizierungsdienst ein Authentifizierungs- Token erzeugt. Das Token identifiziert eine Sitzung eines Be nutzers des Datenverarbeitungssystems. Auf Basis des Tokens können unterschiedliche datentechnische Funktionen bereitge stellt werden.
Dies hat den Vorteil, dass datentechnische Funktionen benut zerbezogen bzw. benutzerspezifisch bereitgestellt werden kön- nen. Zudem können mehrere unterschiedliche Server-Einheiten des Datenverarbeitungssystems das Authentifizierungs-Token bei der Entscheidung, ob eine datentechnische Funktion be reitgestellt werden soll, nutzen. Auf diese Weise ist es mög lich, dem Benutzer mehrere unterschiedliche datentechnische Funktionen auf Basis eines einzigen Authentifizierungsvor- gangs zur Verfügung zu stellen. Demnach wird durch das erfin dungsgemäße Verfahren ein sogenanntes SSO-Verfahren (SSO: Single Sign-On) erzielt.
Ein weiterer Vorteil der erfindungsgemäßen Lösung liegt in der Variabilität bei der Verwaltung von Benutzerrechten. Die Benutzerrechte können besonders einfach durch einen daten technischen Zugriff auf die Authentifizierungs-Einheit geän dert und gemäß den Wünschen des Betreibers des Datenverarbei tungssystems angepasst werden. Vorzugsweise ist der Zugriff auf die Authentifizierungs-Einheit auf Benutzer beschränkt, die dem Betreiber des Datenverarbeitungssystem und/oder des spurgebundenen Fahrzeugs angehören.
Als weiterer Vorteil des erfindungsgemäßen Verfahrens ergibt sich aus der zentralen Authentifizierung eine Erhöhung der Sicherheit, insbesondere eine Erhöhung des Schutzes des Da tenverarbeitungssystems und/oder des spurgebundenen Fahrzeugs vor seiner Umwelt (fachmännisch als Security bezeichnet) .
Das spurgebundene Fahrzeug ist vorzugsweise als Schienenfahr zeug ausgebildet.
Das Datenverarbeitungssystem umfasst vorzugsweise ein Kommu nikationssystem, welches zumindest ein Ethernet-Netz und un terschiedliche datentechnisch an das jeweilige Ethernet-Netz angeschlossene Teilnehmer (Systeme) umfasst. Die Teilnehmer können über das jeweilige Ethernet-Netz kommunizieren (bei spielsweise Daten austauschen) . Bei einem Kommunikationsnetz mit mehreren Ethernet-Netzen können diese logisch voneinander getrennt werden, beispielsweise als virtuelle LANs (VLAN: Virtual Local Area Network) , um Datenströme voneinander zu trennen. Das Kommunikationsnetz umfasst vorzugsweise ein Bet reibernetz, welches physikalisch von einem Steuernetz des Schienenfahrzeugs getrennt ist und mit dem Steuernetz daten technisch verbunden sein kann. Der Fachmann versteht den Be griff „Steuernetz" als ein Netz, welches eine oder mehrere Komponenten zur Fahrzeugsteuerung (Leittechnik) umfasst. Ne ben den klassischen leittechnischen (z.B. antriebs- und bremstechnischen) Komponenten können auch Systeme zur Ausgabe von Informationen an Fahrgäste und Bordpersonal, der automa tisierte Betrieb einer Sanitärzelle, die Verwaltung einer Kommunikation zwischen dem Schienenfahrzeug und der Landsei te, etc. zum Steuernetz gehören. Die Komponenten sind steue- rungs- und kommunikationstechnisch über das Steuernetz mitei nander verbunden.
Komponenten, die datentechnisch an das Betreibernetz ange schlossen sind, können beispielsweise ein Fahrgastinformati- onssystem (FIS) und/oder ein Kameraüberwachungssystem zur Überwachung des Innen- und Außenbereichs des Schienenfahr zeugs (CCTV: Closed Circuit Television) sein. Die entspre chenden Komponenten des FISs bzw. Kameraüberwachungssystems sind datentechnisch über das Betreibernetz miteinander ver bunden .
Als Benutzer ist vorzugsweise eine Person zu verstehen, wel che sich zum Durchführen von Bedienhandlungen am Fahrzeug an meldet bzw. authentifiziert. Der Benutzer kann einer oder mehreren Benutzergruppen zugeordnet sein. Einer jeweiligen Benutzergruppe stehen bestimmte datentechnische Funktionen zur Verfügung (oder die Benutzergruppe ist für bestimmte da tentechnische Funktionen gesperrt) . So können beispielsweise Benutzergruppen für Wartung, Reinigung, Fahrzeugbegleitung oder Fahrzeugführung vorgesehen sein. Bestimmte Benutzerhand lungen dürfen lediglich von berechtigten Benutzergruppen durchgeführt werden. Beispielsweise ist der Abruf von Diagno sedaten (als Beispiel für eine datentechnische Funktion) aus schließlich für die Benutzergruppe „Wartung" vorgesehen. Der Fachmann versteht unter dem Begriff „datentechnische Funktion" sämtliche Funktionen, die von dem Datenverarbei tungssystem zur Verfügung gestellt werden. Die datentechni sche Funktion kann beispielsweise das Bedienen einer an das Kommunikationsnetz datentechnisch angeschlossenen Komponente mittels einer Benutzerschnittstelle umfassen. Weiter kann die datentechnische Funktion beispielsweise einen Abruf von Daten des Datenverarbeitungssystems umfassen.
Die Authentifizierungs-Einheit ist vorzugsweise als Authenti- fizierungs-Server mit Authentifizierungsdienst ausgebildet. Weiter vorzugsweise umfasst der Authentifizierungsdienst ei nen Remote Authentication Dial-in User Service (RADIUS) . Wei ter vorzugsweise ist der Authentifizierungs-Server ein zent raler Server innerhalb des Datenverarbeitungssystems des spurgebundenen Fahrzeugs, welcher verschiedenen Teilnehmern des Kommunikationsnetzes über das Ethernet-Netz zur Verfügung steht. Der Authentifizierungs-Server weist einen Speicher auf, auf dem Daten zu dem Benutzer, Daten zu einer Zuordnung des Benutzers zu einer Benutzergruppe oder mehreren Benutzer gruppen und/oder Daten zu Benutzerrechten, die dem Benutzer zugeordnet sind, gespeichert sind.
Der Fachmann versteht die Formulierung „auf Basis des Authen tifizierungs-Tokens" vorzugsweise dahingehend, dass das Au thentifizierungs-Token eine Grundlage für das Bereitstellen der datentechnischen Funktion bildet. So kann die Server- Einheit die datentechnische Funktion beispielsweise unmittel bar bei Empfang des Authentifizierungs-Tokens bereitstellen . Alternativ kann die Server-Einheit ein empfangenes Authenti- fizierungs-Token nutzen, um eigenständig oder unter Zuhilfe nahme einer anderen Komponente des Datenverarbeitungssystems zu ermitteln, welche datentechnische Funktion bereitzustellen ist .
Gemäß einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens umfasst der Authentifizierungsvorgang : Bereitstel len einer Authentisierungsinformation mittels einer Authenti- sierungs-Einheit und Erzeugen des Authentifizierungs-Tokens mittels der Authentifizierungs-Einheit auf Basis der Authen- tisierungsinformation .
Der Authentifizierungsvorgang umfasst insbesondere diejenigen Verfahrensschritte, die nach dem allgemeinen Sprachgebrauch als „Anmelden des Benutzers" bezeichnet werden.
Unter „Erzeugen des Authentifizierungs-Tokens mittels der Au thentifizierungs-Einheit auf Basis der Authentisierungsinfor mation" versteht der Fachmann vorzugsweise dahingehend, dass das Authentifizierungs-Token erzeugt wird, wenn sich der Be nutzer erfolgreich authentisiert hat.
Der Fachmann versteht unter dem Begriff „Authentisieren" das Prüfen der Echtheit des Benutzers mittels der Authentisie- rungs-Einheit . Weiter versteht der Fachmann unter dem Begriff „Authentifizieren" die Bezeugung der Echtheit durch die Au thentifizierungs-Einheit . Im fachmännischen Sprachgebrauch werden die Begriffe „Authentifizieren" und „Authentisieren" häufig gemeinsam unter den Begriff „Authentifizieren" ge fasst .
Bei einer bevorzugten Weiterbildung dieser Ausführungsform erzeugt die Authentisierungs-Einheit die Authentisierungsin- formation auf Basis einer Anwendung
- eines mechanischen und/oder elektronischen Schlüssels,
- eines Identifikationsmediums, welches wenigstens eine Benutzerinformation bereitstellt, insbesondere einer Smartcard, und/oder
- eines biometrischen Merkmals des Benutzers, welches von einem Leser erfasst wird.
Vorzugsweise umfasst die Authentisierungs-Einheit ein Authen- tisierungsgerät , an welchem der Benutzer mittels eines Au- thentisierungsmediums , beispielsweise mittels des Schlüssels, der Smartcard oder des biometrischen Merkmals, eine Authentisierung durchführt. Das Authentisierungsgerät kann beispielsweise
ein Schloss zur Aufnahme des Schlüssels,
einen Smartcard-Leser zur Aufnahme der Smartcard, einen Fingerabdruck-Leser zum Lesen des Fingerabdrucks des Benutzers (als biometrisches Merkmal) und/oder eine Kameraeinheit zum Erfassen des Gesichts des Benut zers (als biometrisches Merkmal)
umfassen. Der Fachmann versteht den Begriff „Smartcard" vor zugsweise als Kunststoffkarte, welche zumindest einen inte grierten Schaltkreis aufweist und vorzugsweise einen Spei cher, einen Mikroprozessor, etc. aufweist.
Der elektronische Schlüssel kann vorzugsweise von einem Soft ware-Schlüsselmaterial gebildet sein, welches auf einem End gerät des Benutzers gespeichert ist. Beispielsweise kann das Software-Schlüsselmaterial auf einem Smartphone eines im Füh rerstand befindlichen Fahrzeugführers als Benutzer gespei chert sein. Das Software-Schlüsselmaterial kann mittels Blue- tooth oder WLAN (WLAN: Wireless Local Area Network) an das Fahrzeug übertragen werden.
Die Authentisierungs-Einheit umfasst vorzugsweise einen Steu er-Rechner, der datentechnisch an das Datenverarbeitungssys tem, insbesondere an das Ethernet-Netz, angeschlossen ist.
Der Steuerrechner liest die von dem Authentifizierungsgerät erzeugten Informationen aus, erzeugt auf Basis dieser Infor mationen die Authentisierungsinformation und sendet die Au- thentisierungsinformation über das Ethernet-Netz an die Au thentifizierungs-Einheit .
Die Übertragung der Authentisierungsinformation an die Au thentifizierungs-Einheit erfolgt vorzugsweise verschlüsselt.
Gemäß einer weiteren bevorzugten Ausführungsform des erfin dungsgemäßen Verfahrens wird das Authentifizierungs-Token bei einem Beenden der Sitzung ungültig und/oder gelöscht. Dadurch wird erreicht, dass das Authentifizierungs-Token die Sitzung des Benutzers identifiziert. Vorzugsweise wird die Beendigung der Sitzung durch ein Abmelden des Benutzers ausgelöst. Zu sätzlich und/oder alternativ kann die Sitzung bei Ablauf ei ner vorgegebenen Zeitdauer beendet werden. Dies kann zur Fol ge haben, dass sich der Benutzer während der Benutzung des Datenverarbeitungssystems erneut anmelden muss.
Bei einer weiteren bevorzugten Ausführungsform des erfin dungsgemäßen Verfahrens wird das Authentifizierungs-Token an eine Benutzerschnittstelle übertragen, welche zum Abrufen der Funktion durch den Benutzer ausgebildet ist.
Die Benutzerschnittstelle kann das Authentifizierungs-Token für unterschiedliche Zwecke nutzen. Beispielsweise wird die Benutzerschnittstelle auf den Empfang des Authentifizierungs- Tokens hin aktiviert. Alternativ oder zusätzlich kann die Be nutzerschnittstelle das Authentifizierungs-Token dazu nutzen, bereitgestellte Funktionen zu beschränken. Dabei dienen das Vorhandensein und/oder die Ausgestaltung des Authentifizie- rungs-Tokens für die Benutzerschnittstelle vorzugsweise als Entscheidungskriterium, ob eine datentechnische Funktion zur Verfügung gestellt werden soll. Alternativ oder zusätzlich kann die datentechnische Funktion mittels der Benutzer schnittstelle auf Basis des Authentifizierungs-Tokens bei der Server-Einheit angefragt werden.
Vorzugsweise umfasst die Benutzerschnittstelle eine Bedien- Anzeige. Weiter vorzugsweise ist die Bedien-Anzeige als
Touchscreen-Anzeige ausgebildet, auf der datentechnische Funktionen wie die Anzeige von Informationen und/oder Bedien funktionen bereitgestellt werden.
Vorzugsweise wird das Authentifizierungs-Token ausgehend von der Authentifizierungs-Einheit an die Benutzerschnittstelle übertragen. Weiter vorzugsweise wird das Authentifizierungs- Token mittels einer Speichereinheit der Benutzerschnittstelle gespeichert. Damit die Benutzerschnittstelle die von der Ser ver-Einheit bereitgestellte Funktion einem Benutzer zur Ver- fügung stellen kann, ist die Benutzerschnittstelle datentech nisch, insbesondere über das Kommunikationsnetz, mit der Se- ver-Einheit verbunden.
Gemäß einer bevorzugten Weiterbildung der Ausführungsform wird bei einer Anfrage nach der datentechnischen Funktion, welche von der Benutzerschnittstelle an die Server-Einheit gerichtet ist, das Authentifizierungs-Token der Anfrage bei gefügt .
Die Benutzerschnittstelle fragt die datentechnische Funktion bei der Server-Einheit an. Die Server-Einheit stellt die da tentechnische Funktion zentral zur Verfügung. Anhand des bei gefügten Authentifizierungs-Tokens kann die Server-Einheit die Anfrage prüfen. Dies verhindert, dass ein datentechni scher Angriff auf das Datenverarbeitungssystem durch Manipu lation der Benutzerschnittstelle ermöglicht wird.
Vorzugsweise ist die Server-Einheit entfernt von der Benut zerschnittstelle angeordnet. Der Fachmann versteht den Be griff „entfernt" dahingehend, dass der Benutzer keinen unmit telbaren, mechanischen Zugriff auf die Server-Einheit hat. Dafür ist die Server-Einheit vorzugsweise in einem geschütz ten (für den Benutzer nicht zugänglichen) Bereich des Schie nenfahrzeugs angeordnet.
Vorzugsweise wird die Anfrage durch eine Bedienhandlung des Benutzers ausgelöst.
Bei einer weiteren bevorzugten Weiterbildung prüft die Ser ver-Einheit eine Berechtigung der Anfrage unter Zuhilfenahme der Authentifizierungs-Einheit . Dadurch wird eine zentrale Steuerung von Berechtigungen des Benutzers auf Basis des To kens erzielt. Die zentrale Rolle nimmt dabei die Authentifi- zierungs-Einheit ein. Verschiedene Komponenten des Datenve rarbeitungssystems (z.B. die Server-Einheit) können Berechti gungsinformationen und gegebenenfalls weitere Benutzerinfor mationen von der Authentifizierungs-Einheit erlangen. Die Server-Einheit stellt die datentechnische Funktion nur dann bereit, wenn die Prüfung des Authentifizierungs-Tokens durch die Authentifizierungs-Einheit erfolgreich ist.
Vorzugsweise wird die Berechtigung der Anfrage mittels der Authentifizierungs-Einheit bei einem erstmaligen Anfragen in nerhalb einer Session geprüft. Bei folgenden Anfragen inner halb der Session ist eine Prüfung durch die Authentifizie rungs-Einheit nicht mehr erforderlich.
Das Prüfen der Berechtigung unter Zuhilfenahme der Authenti- fizierungs-Einheit erfolgt bei einer bevorzugten Weiterbil dung, indem die Authentifizierungs-Einheit das Authentifizie- rungs-Token von der Server-Einheit empfängt, die zugehörige Berechtigung prüft und eine Berechtigungsinformation, welche die Berechtigung des Benutzers repräsentiert, bereitstellt .
Auf diese Weise wird eine zentrale Steuerung von Berechtigun gen des Benutzers auf Basis des Tokens ermöglicht. Es wird die Gültigkeit des Token durch die Authentifizierungs-Einheit geprüft und zusätzlich Berechtigungen des Benutzers als Be rechtigungsinformation von der Authentifizierungs-Einheit be- reitgestellt . Vorzugsweise sendet die Authentifizierungs- Einheit die Berechtigungsinformation an die Server-Einheit. Auf Basis der Berechtigungsinformation werden datentechnische Funktionen von der Server-Einheit bereitgestellt. Dafür wer den der jeweiligen Funktion zugrundeliegende Daten an die Be nutzerschnittstelle übertragen.
Bei einer weiteren bevorzugten Ausführungsform des erfin dungsgemäßen Verfahrens wird die datentechnische Funktion mittels der Server-Einheit in Abhängigkeit der Berechtigungs information bereitgestellt.
Zwar bildet das Authentifizierungs-Token, welches die Sever- Einheit an die Authentifizierungs-Einheit zur Prüfung sendet, die Grundlage für das Bereitstellen der datentechnischen Funktion. Gemäß der Ausführungsform kann die Server-Einheit zudem anhand der Berechtigungsinformation ermitteln, welche datentechnischen Funktionen bereitgestellt werden sollen.
Gemäß einer weiteren bevorzugten Ausführungsform des erfin dungsgemäßen Verfahrens umfasst das Bereitstellen der daten technischen Funktion ein Bereitstellen von Informationen mit tels der Server-Einheit für eine Anzeige mittels einer Benut zerschnittstelle .
Beispielsweise wird die Anzeige der Informationen mittels der Benutzerschnittstelle dadurch ausgelöst, dass der Benutzer die Informationen durch Betätigen eines Touchscreens der Be nutzerschnittstelle erfragt. Auf die Anfrage hin (sofern ein gültiges Authentifizierungs-Token vorliegt) , stellt die Ser ver-Einheit die Informationen für eine Anzeige durch die Be nutzerschnittstelle bereit. Die Informationen werden an die Benutzerschnittstelle für die Anzeige übertragen und von der Benutzerschnittstelle angezeigt.
Gemäß einer weiteren bevorzugten Ausführungsform des erfin dungsgemäßen Verfahrens umfasst das Bereitstellen der daten technischen Funktion ein Bereitstellen von Daten an einer Da tenschnittstelle des Datenverarbeitungssystems. Vorzugsweise werden die Daten von der Server-Einheit bereitgestellt und an die Datenschnittstelle übertragen.
An die Datenschnittstelle wird beispielsweise ein Wartungs-PC und/oder ein Diagnosegerät angeschlossen.
Die Datenschnittstelle umfasst vorzugsweise eine USB-to- Ethernet-Bridge, welche eine Verbindung zwischen dem Ether net-Netz und einem USB-Anschluss der Datenschnittstelle zur Verfügung stellt (USB: Universal Serial Bus) . Die Daten schnittstelle umfasst weiter vorzugsweise eine Recheneinheit zum Verarbeiten von Daten und einen Speicher.
Eine bevorzugte Weiterbildung der Ausführungsform umfasst: datentechnisches Anschließen einer Speichereinheit an die Da- tenschnittstelle, Anfragen der Daten mittels der Daten schnittstelle bei der Server-Einheit und Bereitstellen der Daten mittels der Server-Einheit.
Vorzugsweise umfasst die Speichereinheit einen USB- Datenspeicher, welcher von dem Benutzer mit sich geführt und an den USB-Anschluss der Datenschnittstelle angeschlossen wird .
Weiter vorzugsweise erfolgt das Anfragen, indem beim An schließen der Server-Einheit von der Datenschnittstelle sig nalisiert wird, dass die Speichereinheit an die Datenschnitt stelle angeschlossen ist. Weiter vorzugsweise werden die Da ten mittels der Server-Einheit auf die Anfrage hin bereitge stellt und an die Datenschnittstelle übertragen.
Vorzugsweise erfolgt das Bereitstellen der Daten an die Da tenschnittstelle nach Abschluss eines Authentifizierungsvor- gangs, insbesondere eines Authentifizierungsvorgangs der vor hergehend beschriebenen Art. Das bei dem Authentifizierungs- vorgang erzeugte Authentifizierungs-Token wird vorzugsweise an die Datenschnittstelle übertragen und weiter vorzugsweise von dem Speicher der Datenschnittstelle gespeichert. Weiter vorzugsweise wird das Authentifizierungs-Token der Anfrage, welche von der Datenschnittstelle an die Server-Einheit ge richtet ist, beigefügt.
Zudem wird eine Berechtigungsinformation, welche eine Berech tigung des Benutzers repräsentiert, nach Abschluss des Au thentifizierungsvorgangs an die Server-Einheit übertragen.
Nach dem Anschließen der Speichereinheit, insbesondere des USB-Datenspeichers , an die Datenschnittstelle stellt die Re cheneinheit der Datenschnittstelle eine datentechnische Ver bindung zur Server-Einheit her. Dazu wird eine Verbindungsan frage an die Server-Einheit gerichtet. Die Server-Einheit nimmt die Verbindungsanfrage entgegen und ermittelt anhand der Berechtigungsinformation, welche datentechnische Funktion bereitzustellen ist. Beispielsweise ermittelt die Server- Einheit anhand der Berechtigungsinformation, welche Daten für die Datenschnittstelle bereitgestellt werden sollen.
Die Erfindung betrifft ferner ein System zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbei tungssystems eines spurgebundenen Fahrzeugs. Das System um fasst: eine Authentifizierungs-Einheit, welche ausgebildet ist, ein Authentifizierungs-Token auf Basis eines Authentifi- zierungsvorgangs zu erzeugen, wobei das Authentifizierungs- Token eine Sitzung eines Benutzers des Datenverarbeitungssys tems identifiziert, und eine Server-Einheit, welche ausgebil det ist, die datentechnische Funktion auf Basis des Authenti- fizierungs-Tokens bereitzustellen.
Die Erfindung betrifft ferner ein Computerprogrammprodukt, das zumindest teilweise direkt in einen Speicher einer Ser ver-Einheit geladen werden kann, zumindest teilweise direkt in einen Speicher einer Authentifizierungs-Einheit geladen werden kann und Softwarecodeabschnitte umfasst, mit denen das Verfahren der vorstehend beschriebenen Art ausgeführt werden kann, wenn das Produkt auf einem Computer der Server-Einheit und einem Computer der Authentifizierungs-Einheit läuft.
Die Erfindung betrifft ferner eine Server-Einheit für ein Da tenverarbeitungssystem eines spurgebundenen Fahrzeugs, welche ausgebildet ist eine datentechnischen Funktion auf Basis ei nes Authentifizierungs-Tokens, welches eine Sitzung eines Be nutzers des Datenverarbeitungssystems identifiziert, bereit zustellen und das Authentifizierungs-Token von einer Authen tifizierungs-Einheit zu empfangen, welche ausgebildet ist, das Authentifizierungs-Token auf Basis eines Authentifizie- rungsvorgangs zu erzeugen.
Zu Vorteilen, Ausführungsformen und Ausgestaltungsdetails des erfindungsgemäßen Systems, Computerprogrammprodukts und der Server-Einheit kann auf die bevorstehende Beschreibung zu den entsprechenden Verfahrensmerkmalen verwiesen werden. Ausführungsbeispiele der Erfindung werden nun anhand der Zeichnungen erläutert. Es zeigen:
Figur 1 einen schematischen Aufbau eines Systems gemäß ei nem Ausführungsbeispiel der Erfindung,
Figur 2 ein schematisches Ablaufdiagramm eines erfindungs gemäßen AuthentifizierungsVorgangs ,
Figur 3 ein schematisches Ablaufdiagramm eines Verfahrens gemäß einem ersten Ausführungsbeispiel der Erfin dung und
Figur 4 ein schematisches Ablaufdiagramm eines Verfahrens gemäß einem zweiten Ausführungsbeispiel der Erfin dung .
Figur 1 zeigt ein Fahrzeug 1, welches als spurgebundenes Fahrzeug 2 ausgebildet ist, in einer schematischen Seitenan sicht .
Das spurgebundene Fahrzeug 2 weist ein Kommunikationssystem 4 auf, welches zumindest Ethernet-Netze 5, 6 und 7 umfasst. An die Ethernet-Netze 5, 6 und 7 sind unterschiedliche Teilneh mer datentechnisch angeschlossen und über die Ethernet-Netze 5, 6 und 7 verbunden. Das Kommunikationssystem 4 bildet ge meinsam mit seinen datentechnisch angeschlossenen Teilnehmern ein Datenverarbeitungssystem 8.
Eine Server-Einheit 10 ist datentechnisch an das Ethernet- Netz 7 angeschlossen. Die Server-Einheit 10 stellt mehrere unterschiedliche datentechnische Funktionen bereit. Bei spielsweise stellt die Server-Einheit 10 Informationen für eine Anzeige mittels einer Benutzerschnittstelle 12 zur Ver fügung . Die Benutzerschnittstelle 12 ist als Bedien-Anzeige 13 mit einer berührungssensitiven Anzeigefläche (sog. Touchscreen) ausgebildet. Mittels der Bedien-Anzeige 13 können einem Be nutzer 14 Funktionen des Datenverarbeitungssystems 8 bereit gestellt werden. Beispielsweise können dem Benutzer 14 Infor mationen angezeigt werden und/oder der Benutzer 14 kann eine Komponente des Datenverarbeitungssystems 8 über die Bedien- Anzeige 13 bedienen. Die Server-Einheit 10 und die Benutzer schnittstelle 12 sind datentechnisch über das Ethernet-Netz 7 miteinander verbunden.
Die Erfindung geht von dem Wunsch aus, dem Benutzer 14 daten technische Funktionen auf Basis einer Benutzerberechtigung bereitzustellen. Um die Berechtigung des Benutzers 14 für ei ne Sitzung des Benutzers zu ermitteln, wird ein Authentifi- zierungsvorgang durchgeführt.
Figur 2 zeigt ein schematisches Ablaufdiagramm, welches die im Rahmen des Authentifizierungsvorgangs durchgeführten Ver fahrensschritte repräsentiert.
Zunächst meldet sich der Benutzer 14 unter Anwendung einer Authentisierungs-Einheit 16 am Fahrzeug 1 an. Das Anmelden erfolgt durch Einstecken einer dem Benutzer 14 persönlich zu geordneten Smartcard 17 in ein Smartcard-Lesegerät 18 (Ver fahrensschritt A) . Auf das Einstecken hin werden in einem Verfahrensschritt B Authentisierungsinformationen an eine Steuereinheit 20 übertragen.
Alternativ erfolgt das Anmelden durch Einstecken eines mecha nischen Schlüssels 21 in ein mechanisches Schloss 22 und/oder durch Auslesen eines biometrischen Merkmals, beispielsweise eines Fingerabdrucks mittels einer Fingerabdrucklesers 19.
Die Steuereinheit 20 ist datentechnisch an das Ethernet-Netz 5 angeschlossen. In einem Verfahrensschritt C werden die Au thentisierungsinformationen an eine Authentifizierungs- Einheit 24 übertragen. Die Authentifizierungs-Einheit 24 ist als Server 25 mit Authentifizierungsdienst, insbesondere ei nem Remote Authentication Dial-In User Service (RADIUS) aus gebildet. Der Server 25 dient innerhalb des Fahrzeugs 1 als zentraler Server bzw. Dienst zum Authentifizieren von Benut zern. Auf dem Server 25 sind Daten zu Benutzern, Zuordnungen von Benutzern zu Benutzergruppen und deren Berechtigungen ge speichert. Insbesondere dient der Server 25, welcher über das Ethernet-Netz 6 mit unterschiedlichen Teilnehmern datentech nisch verbunden ist, als SSO-Server (SSO: Single-Sign-On) .
Liegen auf dem Server 25 zu den empfangenen Authentisierungs- informationen zugehörige Benutzerdaten vor, erzeugt der Ser ver 25 in einem Verfahrensschritt D ein Authentifizierungs- Token. Das Authentifizierungs-Token identifiziert eine Sit zung des Benutzers 14. Mit anderen Worten: Das Authentifizie- rungs-Token verliert bei Beendigung der Sitzung seine Gültig keit und/oder wird gelöscht. Die Beendigung der Sitzung wird beispielsweise durch Abmelden des Benutzers 14 ausgelöst.
Figur 3 zeigt ein schematisches Ablaufdiagramm, welches die im Rahmen eines ersten Ausführungsbeispiels durchgeführten Verfahrensschritte repräsentiert .
In einem Verfahrensschritt E wird das Authentifizierungs- Token an die Benutzerschnittstelle 12 über das Ethernet-Netz 5, 6, 7 übertragen. Die Benutzerschnittstelle 12 speichert das Authentifizierungs-Token mittels einer Speichereinheit.
Beim Bedienen der Benutzerschnittstelle 12 ruft der Benutzer 14 in einem Verfahrensschritt F eine datentechnische Funktion auf. Beispielsweise erfragt der Benutzer 14 durch Bedienen der Benutzerschnittstelle 12 als datentechnische Funktion ei ne Anzeige von Informationen mittels der Benutzerschnittstel le 12. Auf diese Aktion des Benutzers 14 hin wird in einem Verfahrensschritt G eine Anfrage nach der Funktion von der Benutzerschnittstelle 12 an die Server-Einheit 10 gesendet. Der Anfrage wird das Authentifizierungs-Token für die Über- Sendung an die Server-Einheit 10 in einem Verfahrensschritt GG beigefügt.
In einem weiteren Verfahrensschritt H prüft die Server- Einheit 10 eine Berechtigung der Anfrage, indem die Server- Einheit 10 das Authentifizierungs-Token an die Authentifizie- rungseinheit 24 über das Ethernet-Netz 6 sendet. Die Authen tifizierungseinheit 24 empfängt das Authentifizierungs-Token von der Server-Einheit 10 in einem Verfahrensschritt J. In einem Verfahrensschritt K prüft die Authentifizierungseinheit 24 eine zugehörige Berechtigung (die dem Authentifizierungs- Token zugeordnet ist) und stellt in einem Verfahrensschritt L eine Berechtigungsinformation, welche die Berechtigung des Benutzers 14 repräsentiert, bereit.
Die Berechtigungsinformation, welche Anmeldedaten des Benut zers und Berechtigungen des Benutzers repräsentieren, werden in einem Verfahrensschritt M an die Server-Einheit 10 über tragen. Die Server-Einheit 10 stellt die anzuzeigenden Infor mationen auf Basis der empfangenen Berechtigungsinformation in einem Verfahrensschritt N bereit und überträgt diese an die Benutzerschnittstelle 12. Die Information wird in einem Verfahrensschritt 0 mittels der Benutzerschnittstelle 12 an gezeigt .
Die Verfahrensschritte H bis L sind insbesondere bei einem erstmaligen Anfragen mittels der Benutzerschnittstelle 12 in nerhalb einer Sitzung durchzuführen. Sobald die Berechti gungsinformationen der Server-Einheit 10 vorliegen, kann die se datentechnische Funktionen anhand der Berechtigungsinfor mationen bis zur Beendigung der Sitzung bereitstellen .
Figur 4 zeigt ein schematisches Ablaufdiagramm, welches die im Rahmen eines zweiten Ausführungsbeispiels durchgeführten Verfahrensschritte repräsentiert .
Nach Durchführung des Authentifizierungsvorgangs gemäß den in Bezug auf Figur 2 beschriebenen Verfahrensschritten kann das bei dem Authentifizierungsvorgang erzeugte Authentifizie- rungs-Token an eine Datenschnittstelle 32 (über das Ethernet- Netz 5, 6, 7) übertragen und von einem Speicher der Daten schnittstelle gespeichert werden.
Insbesondere werden nach Durchführung des Authentifizierungs- vorgangs Berechtigungsinformationen des Benutzers 14 von der Authentifizierungseinheit 24 über das Ethernet-Netz 6 an die Server-Einheit 10 übertragen (Verfahrensschritt P) .
In einem Verfahrensschritt Q schließt der Benutzer 14 eine Speichereinheit 30 in Form eines USB-Speichers 31 an die Da tenschnittstelle 32 an. Das Anschließen erfolgt beispielswei se durch Einstecken des USB-Speichers 31 in die Datenschnitt stelle 32. Nach dem Anschließen der Speichereinheit 30 an die Datenschnittstelle 32 stellt eine Recheneinheit der Daten schnittstelle eine datentechnische Verbindung zur Server- Einheit 10 her. Dazu wird eine Verbindungsanfrage an die Ser ver-Einheit 10 gerichtet. Die Server-Einheit 10 nimmt die Verbindungsanfrage entgegen.
Die Datenschnittstelle 32 fragt in einem Verfahrensschritt R bei der Server-Einheit 10 Daten an, die zur Speicherung auf der Speichereinheit 30 vorgesehen sind. Die Datenschnittstel le 32 umfasst eine USB-to-Ethernet-Bridge, welche eine Ver bindung zwischen dem Ethernet-Netz 7 und einem USB-Anschluss der Datenschnittstelle zur Verfügung stellt (USB: Universal Serial Bus) . Das Anfragen R erfolgt, indem bei dem Anschlie ßen Q von der Datenschnittstelle 32 an die Server-Einheit 10 signalisiert wird, dass der USB-Speicher 31 angeschlossen ist .
Die Server-Einheit 10 prüft, welche Daten für eine Speiche rung auf dem USB-Speicher 31 vorgesehen sind. In Abhängigkeit der Berechtigungsinformation stellt die Server-Einheit 10 die Daten in einem Verfahrensschritt S bereit. Beispielsweise er mittelt die Server-Einheit 10 anhand der Berechtigungsinfor mation, welche Daten für die Datenschnittstelle bereitge- stellt werden. In einem Verfahrensschritt T werden die be- reitgestellten Daten über das Ethernet-Netz 7 an die Daten- Schnittstelle 32 übertragen, um auf der Spe chereinheit 30 gespeichert zu werden.

Claims

Patentansprüche
1. Verfahren zum Bereitstellen einer datentechnischen Funkti on mittels eines Datenverarbeitungssystems (8) eines spurge bundenen Fahrzeugs (2) umfassend:
Erzeugen (D) eines Authentifizierungs-Tokens mittels ei ner Authentifizierungs-Einheit (24) auf Basis eines Au thentifizierungsvorgangs, wobei das Authentifizierungs- Token eine Sitzung eines Benutzers (14) des Datenverar beitungssystems (8) identifiziert, und
Bereitstellen (N) der datentechnischen Funktion mittels einer Server-Einheit (10) des Datenverarbeitungssystems (8) auf Basis des Authentifizierungs-Tokens .
2. Verfahren nach Anspruch 1, wobei der Authentifizierungs- vorgang umfasst:
Bereitstellen (C) einer Authentisierungsinformation mittels einer Authentisierungseinheit (16) und
Erzeugen (D) des Authentifizierungs-Tokens mittels der Au thentifizierungs-Einheit (24) auf Basis der Authentisierungs information .
3. Verfahren nach Anspruch 2,
wobei die Authentisierungseinheit (16) die Authentisierungs- information auf Basis einer Anwendung
eines mechanischen und/oder elektronischen Schlüssels (21) ,
eines Identifikationsmediums, welches wenigstens eine Benutzerinformation bereitstellt, insbesondere einer Smartcard (17), und/oder
eines biometrischen Merkmals des Benutzers (14), welches von einem Leser (19) erfasst wird,
erzeugt .
4. Verfahren nach wenigstens einem der vorhergehenden Ansprü che,
wobei das Authentifizierungs-Token bei einem Beenden der Sit zung ungültig wird und/oder gelöscht wird.
5. Verfahren nach wenigstens einem der vorhergehenden Ansprü che,
wobei das Authentifizierungs-Token an eine Benutzerschnitt stelle (12), welche zum Abrufen (F) der Funktion durch den Benutzer (14) ausgebildet ist, übertragen wird (E) .
6. Verfahren nach Anspruch 5,
wobei bei einer Anfrage (F, G) nach der datentechnischen Funktion, welche von der Benutzerschnittstelle (12) an die Server-Einheit (10) gerichtet ist, das Authentifizierungs- Token der Anfrage beigefügt wird (GG) .
7. Verfahren nach Anspruch 6,
wobei die Server-Einheit (10) eine Berechtigung der Anfrage unter Zuhilfenahme der Authentifizierungs-Einheit (24) prüft (H) .
8. Verfahren nach Anspruch 7,
wobei
die Authentifizierungs-Einheit (24) das Authentifizie rungs-Token von der Server-Einheit (10) empfängt (J) , die zugehörige Berechtigung prüft (K) und
eine Berechtigungsinformation, welche die Berechtigung des Benutzers (14) repräsentiert, bereitstellt (L) .
9. Verfahren nach Anspruch 8,
wobei die datentechnische Funktion mittels der Server-Einheit (10) in Abhängigkeit der Berechtigungsinformation bereitge stellt wird.
10. Verfahren nach wenigstens einem der Ansprüche 5 bis 9, wobei das Bereitstellen der datentechnischen Funktion ein Be reitstellen von Informationen mittels der Server-Einheit (10) für eine Anzeige (O) mittels der Benutzerschnittstelle (12) umfasst .
11. Verfahren nach wenigstens einem der vorhergehenden An sprüche,
wobei das Bereitstellen der datentechnischen Funktion ein Be reitstellen von Daten an einer Datenschnittstelle (32) des Datenverarbeitungssystems (8) umfasst.
12. Verfahren nach Anspruch 11 umfassend:
datentechnisches Anschließen (Q) einer Speichereinheit (30) an die Datenschnittstelle (32),
Anfragen (R) der Daten mittels der Datenschnittstelle (32) bei der Server-Einheit (10) und
Bereitstellen (S, T) der Daten mittels der Server-Einheit (10) auf Basis des Authentifizierungs-Tokens .
13. System zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbeitungssystems (8) eines spurgebun denen Fahrzeugs umfassend:
eine Authentifizierungs-Einheit (24), welche ausgebildet ist, ein Authentifizierungs-Token auf Basis eines Au thentifizierungsvorgangs zu erzeugen, wobei das Authen tifizierungs-Token eine Sitzung eines Benutzers (14) des Datenverarbeitungssystems (8) identifiziert, und
eine Server-Einheit (10), welche ausgebildet ist, die datentechnische Funktion auf Basis des Authentifizie rungs-Tokens bereitzustellen.
14. Computerprogrammprodukt, das
zumindest teilweise direkt in einen Speicher einer Ser ver-Einheit (10) geladen werden kann,
zumindest teilweise direkt in einen Speicher einer Au thentifizierungs-Einheit (24) geladen werden kann und Softwarecodeabschnitte umfasst, mit denen das Verfahren gemäß den Ansprüchen 1 bis 12 ausgeführt werden kann, wenn das Produkt auf einem Computer der Sever-Einheit (10) und einem Computer der Authentifizierungs-Einheit (24) läuft.
15. Server-Einheit (10) für ein Datenverarbeitungssystem (8) eines spurgebundenen Fahrzeugs (2), welche ausgebildet ist eine datentechnischen Funktion auf Basis eines Authenti- fizierungs-Tokens, welches eine Sitzung eines Benutzers (14) des Datenverarbeitungssystems (8) identifiziert, bereitzustellen und
das Authentifizierungs-Token von einer Authentifizie- rungs-Einheit (24) zu empfangen, welche ausgebildet ist, das Authentifizierungs-Token auf Basis eines Authentifi- zierungsvorgangs zu erzeugen.
EP18800531.8A 2017-11-28 2018-10-29 Verfahren und system zum bereitstellen einer datentechnischen funktion mittels eines datenverarbeitungssystems eines spurgebundenen fahrzeugs Pending EP3692457A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017221300.0A DE102017221300A1 (de) 2017-11-28 2017-11-28 Verfahren und System zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbeitungssystems eines spurgebundenen Fahrzeugs
PCT/EP2018/079528 WO2019105666A1 (de) 2017-11-28 2018-10-29 Verfahren und system zum bereitstellen einer datentechnischen funktion mittels eines datenverarbeitungssystems eines spurgebundenen fahrzeugs

Publications (1)

Publication Number Publication Date
EP3692457A1 true EP3692457A1 (de) 2020-08-12

Family

ID=64270826

Family Applications (1)

Application Number Title Priority Date Filing Date
EP18800531.8A Pending EP3692457A1 (de) 2017-11-28 2018-10-29 Verfahren und system zum bereitstellen einer datentechnischen funktion mittels eines datenverarbeitungssystems eines spurgebundenen fahrzeugs

Country Status (5)

Country Link
EP (1) EP3692457A1 (de)
CN (1) CN111406259A (de)
DE (1) DE102017221300A1 (de)
RU (1) RU2748111C1 (de)
WO (1) WO2019105666A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4060946A1 (de) * 2021-03-16 2022-09-21 Siemens Aktiengesellschaft Authentifizieren eines gerätes in einem kommunikationsnetz einer automatisierungsanlage

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005119608A1 (en) * 2004-06-03 2005-12-15 Tyfone, Inc. System and method for securing financial transactions
EP1811421A1 (de) * 2005-12-29 2007-07-25 AXSionics AG Sicherheitstoken und Verfahren zur Benutzerauthentifizierung mit dem Sicherheitstoken
AU2007203701A1 (en) * 2007-08-08 2009-02-26 Red Crater Global Ltd Security control over computer access in restricted area
US8689292B2 (en) * 2008-04-21 2014-04-01 Api Technologies Corp. Method and systems for dynamically providing communities of interest on an end user workstation
DE102008042262B4 (de) * 2008-09-22 2010-05-27 Bundesdruckerei Gmbh Verfahren zur Speicherung von Daten, Computerprogrammprodukt, ID-Token und Computersystem
US8984588B2 (en) * 2010-02-19 2015-03-17 Nokia Corporation Method and apparatus for identity federation gateway
US9734321B2 (en) * 2011-12-12 2017-08-15 Nokia Technologies Oy Method and apparatus for providing federated service accounts
US8966268B2 (en) * 2011-12-30 2015-02-24 Vasco Data Security, Inc. Strong authentication token with visual output of PKI signatures
DE102012218943A1 (de) * 2012-10-17 2014-04-17 Bundesdruckerei Gmbh Verfahren zur Initialisierung von Datenbankmitteln
US9742767B1 (en) * 2014-09-25 2017-08-22 Google Inc. Systems, methods, and media for authenticating multiple devices
DE102014119241B4 (de) * 2014-12-19 2021-04-01 Knorr-Bremse Systeme für Schienenfahrzeuge GmbH Verfahren zur Authentifizierunq an einer Steuereinheit eines im Schienenfahrzeug befindlichen Subsystems und Steuereinheit hierfür
US10893051B2 (en) * 2015-07-02 2021-01-12 Convida Wireless, Llc Resource-driven dynamic authorization framework
CN106375270B (zh) * 2015-07-24 2020-12-08 华为技术有限公司 令牌生成并认证的方法及认证服务器
US9619638B2 (en) * 2015-08-25 2017-04-11 International Business Machines Corporation Vehicle operations based on biometric fingerprint analysis
JP6682254B2 (ja) * 2015-12-08 2020-04-15 キヤノン株式会社 認証連携システム及び認証連携方法、認可サーバー及びプログラム

Also Published As

Publication number Publication date
DE102017221300A1 (de) 2019-05-29
RU2748111C1 (ru) 2021-05-19
WO2019105666A1 (de) 2019-06-06
CN111406259A (zh) 2020-07-10

Similar Documents

Publication Publication Date Title
EP2966605B1 (de) Verfahren und System zur Authentifizierung eines Benutzers
DE60131534T2 (de) Umfassender Authentifizierungsmechanismus
EP2338255B1 (de) Verfahren, computerprogrammprodukt und system zur authentifizierung eines benutzers eines telekommunikationsnetzwerkes
DE102014107242A1 (de) System und Verfahren zur Zugriffskontrolle
DE102015005232B4 (de) Steuern einer Freischaltberechtigung eines Kraftfahrzeugs
DE102016201601B4 (de) Verfahren und Vorrichtungen betreffend insbesondere ein Kraftfahrzeugzugangs- und/oder Start-System
DE102016215021B4 (de) Verfahren und Servervorrichtung zum Konfigurieren eines Weitergabevorgangs einer Zugangsberechtigung zu einem Kraftfahrzeug
DE102011078018A1 (de) System zum Ausführen von Fernfunktionen eines Kraftfahrzeugs
DE102004044454A1 (de) Tragbares Gerät zur Freischaltung eines Zugangs
DE10311327A1 (de) Nutzer-Objekte zur Authentifizierung der Nutzung medizinischer Daten
EP1697820B1 (de) Verfahren zur freischaltung eines zugangs zu einem computersystem oder zu einem programm
DE102010010760A1 (de) Verfahren zur Vergabe eines Schlüssels an ein einem drahtlosen Sensor-Aktor-Netz neu hinzuzufügendes Teilnehmergerät
WO2004034334A1 (de) Zutrittskontrollsystem für türen und verfahren zum betrieb eines solchen zutrittskontrollsystemes
WO2019105666A1 (de) Verfahren und system zum bereitstellen einer datentechnischen funktion mittels eines datenverarbeitungssystems eines spurgebundenen fahrzeugs
EP2199944A2 (de) Verfahren zur Authentifizierung einer Person gegenüber einer elektronischen Datenverarbeitungsanlage mittels eines elektronischen Schlüssels
DE102014108162A1 (de) Verfahren zur Bedienung eines Feldgerätes vermittels eines Bediengerätes
EP1525731B1 (de) Identifikation eines benutzers eines mobilterminals und generierung einer aktionsberechtigung
WO2016124506A1 (de) Verfahren zur berechtigungsverwaltung in einer anordnung mit mehreren rechensystemen
EP3657750B1 (de) Verfahren zur authentifizierung einer datenbrille in einem datennetz
DE102015213449B4 (de) Vorrichtung zum Betrieb eines Fahrzeugs für Car-Sharing und Fahrzeug für Car-Sharing umfassend die Vorrichtung
EP3032505B1 (de) Verfahren zum Betreiben von Bezahlautomaten eines ID-basierten Zugangskontrollsystems für ein Post-Payment-Szenario
DE102018215739A1 (de) Verwendung einer Benutzerschnittstelle eines Fahrgastinformationssystems und/oder Unterhaltungssystems
DE102010031932A1 (de) Verfahren zur Zugangskontrolle und entsprechende Vorrichtung
EP2169579A1 (de) Verfahren und Vorrichtung zum Zugriff auf ein maschinenlesbares Dokument
EP3352142A1 (de) Vorrichtungen, systeme und verfahren zum entriegeln eines schlosses eines schloss-systems

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20200508

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20220224