EP3899766A1 - Aufbauen einer geschützten datenkommunikationsverbindung zwischen einer steuerung einer personentransportanlage und einem mobilgerät - Google Patents

Aufbauen einer geschützten datenkommunikationsverbindung zwischen einer steuerung einer personentransportanlage und einem mobilgerät

Info

Publication number
EP3899766A1
EP3899766A1 EP19818179.4A EP19818179A EP3899766A1 EP 3899766 A1 EP3899766 A1 EP 3899766A1 EP 19818179 A EP19818179 A EP 19818179A EP 3899766 A1 EP3899766 A1 EP 3899766A1
Authority
EP
European Patent Office
Prior art keywords
data communication
mobile device
communication connection
controller
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP19818179.4A
Other languages
English (en)
French (fr)
Inventor
Claudio COLOMBANO
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inventio AG
Original Assignee
Inventio AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inventio AG filed Critical Inventio AG
Publication of EP3899766A1 publication Critical patent/EP3899766A1/de
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Definitions

  • the present invention relates to a method by means of which a protected data communication connection can be established between a control system for a passenger transport system and a mobile device.
  • the invention further relates to devices and computer program products which are configured to execute or control the method, and to computer-readable media with such computer program products stored thereon.
  • Passenger transport systems such as elevators, moving walks or escalators are used to transport people inside buildings or structures and are permanently installed for this purpose.
  • a passenger transport system has various stationary components and relocatable components, the operation of which is usually controlled and / or coordinated by a controller.
  • the control of an elevator controls the manner in which a drive machine must be operated in order to move an elevator car to certain floors in response to call requests.
  • a controller can, among other things, control the operation of a drive machine in order, for example, to meet operating requirements that vary over time.
  • the control system must meet high safety requirements. For example, it must be ensured that the controller always controls the operation of the passenger transport system in such a way that no passengers and / or the integrity of the passenger transport system are endangered. It must also be ensured that the control itself cannot be manipulated without authorization.
  • Control systems for passenger transport systems traditionally have their own human-machine interfaces, such as one display and several
  • Entry keys via which data can be entered and read out manually by a technician.
  • this can be very complex and / or complex, so that both the time required for this can be considerable and the risk of errors occurring can be high.
  • the mobile device can be a portable device such as a smartphone, laptop, tablet or the like, which has its own processor, its own data storage and its own human-machine interfaces.
  • the mobile device can control with a line-based or wireless
  • Data transmission via the data communication connection takes place securely and no data can be manipulated or intercepted.
  • Passenger transport system and a mobile device can be set up relatively easily, safely and / or with little logistical effort. Furthermore, there may be a need for a device arrangement with which a passenger transport system can be serviced, and for a controller for a passenger transport system that are set up to carry out or control such a method. There may also be a need for a corresponding computer program product and a computer-readable medium storing such a computer program product.
  • Both the controller and the mobile device are configured to establish an initially unprotected data communication connection with one another and to establish protected data communication connections with a common external computer.
  • the method comprises at least the following method steps, preferably, but not necessarily, in the order given:
  • a device arrangement for maintaining a passenger transportation system comprises a control of the passenger transport system, a mobile device and a common external computer.
  • the device arrangement is configured to execute or control a method according to an embodiment of the first aspect of the invention.
  • a control of a passenger transport system is proposed, which is configured to execute or control a method according to an embodiment of the first aspect of the invention in cooperation with a mobile device and a common external computer.
  • a computer program product with computer-readable instructions which, when executed on one or more processors in a device arrangement according to an embodiment of the second aspect of the invention, guide the method according to a
  • a computer program product with computer-readable instructions which, when executed on one or more processors in a controller according to an embodiment of the third aspect of the invention, instruct in cooperation with a mobile device and a common external computer to execute or control the method according to an embodiment of the first aspect of the invention.
  • a computer-readable medium with a computer program product stored thereon according to an embodiment of the fourth or fifth aspect of the invention is proposed.
  • a control of a passenger transport system can be entered or read out, for example, as part of maintenance measures or during an initial picking process, by establishing a data communication connection between the control and an external mobile device.
  • the mobile device can then serve as an external human-machine interface, for example to have data entered by a technician and then forward it to the controller via the data communication connection or to display data read out from the controller to the technician.
  • the mobile device can also obtain data from other sources, for example from an external database, from the Internet or from a data cloud provided for this purpose, and then transmit the data to the controller via the data communication connection.
  • data can also be forwarded from the control via the mobile device to other devices, in particular to a database or a data cloud. In this way, for example, targeted configuration and / or updating of stored parameters or data and / or updating of software in the controller can be simplified.
  • the data is only from an authorized party, i.e. can be entered and / or read out by a technician authorized for this purpose and / or devices authorized for this purpose. After the technician or the device has previously checked, for example, by entering or transmitting a
  • Authenticated authentication codes data can be transmitted between the controller and the mobile device via the data communication link. If no special measures are taken, such measures are taken
  • the data communication connection can be protected by data to be transmitted over it before the transmission using, for example, symmetrical cryptographic keys or asymmetrical
  • Cryptographic keys are encrypted before they are transmitted to a target device via the data communication connection, and the encrypted data are then decrypted again in the target device.
  • a problem with the aforementioned method can be that it does not offer flexible security. For example, as soon as a new password or key is introduced into a new version of the control software, the corresponding passwords and keys must be changed in all mobile devices that are used to maintain this control. This is logistically problematic. It actually requires backward compatibility in key management, which goes against a primary purpose of backup, and possibly duplication of the same key on all installations, which is one
  • each application for encrypting data to be transmitted and thus for creating a protected data communication connection should have a different key pair.
  • This key pair should preferably be able to be generated without complex logistical efforts and / or be valid for a limited period of time and / or be independent of different software versions.
  • a data communication connection between the control of the passenger transport system and an external mobile device should be designed in such a protected manner that data transmitted via it is always transferred in encrypted form, so that attacking third parties can neither manipulate nor listen to it without being recognized.
  • This common external computer can be a server or a data cloud (cloud), which is located outside the passenger transportation system and preferably also outside of a building that houses the passenger transportation system.
  • the common external computer can be operated by a manufacturer of the passenger transport system or by a service provider.
  • the controller as well as that
  • Mobile devices can communicate with this external computer in a wired or wireless manner, for example via a network such as the Internet
  • Communication content between two communication partners should always be transmitted in encrypted form, for example with end-to-end encryption.
  • Suitable secure communication protocols can be used for data communication.
  • control of the passenger transport system and the mobile device can establish an unprotected data communication connection with one another. Both components can exchange data via this unprotected data communication connection, but this is transmitted unencrypted.
  • controller and the mobile device can communicate with one another via a data cable or a wireless connection.
  • the controller and the mobile device first set up the unprotected data communication connection between the two components. Both components can then exchange a so-called token via this unprotected data communication connection.
  • the token can be a data content, that is to say a type of code, for example, which is provided by one of the components and can then be transmitted to the other component.
  • the mobile device can provide the token and transmit it to the controller, for example after the mobile device has been requested to do so by a technician.
  • the controller can also provide a token and transmit it to the mobile device as soon as it is ready to receive this token.
  • the token can be generated spontaneously in one of the components or previously stored in it.
  • the token should be unique, or at least with a very high degree of probability, that is, each controller or mobile device should provide a unique token, which is provided neither by chance nor intentionally by another controller or another mobile device.
  • the token can be generated randomly.
  • both the control device and the mobile device each build protected data
  • Both the control device and the mobile device can then forward the provided or received token to the external computer via its respective protected data communication connection.
  • the external computer can then generate two so-called key pairs, which are designed in such a way that the data to be transmitted are common in one
  • Encryption methods can first be encrypted and then decrypted again.
  • Each pair of keys includes a public key with which the data can be encrypted and a private key with which the data can then be decrypted again.
  • the external computer then transmits back to the controller via the first protected data communication connection.
  • the external transmits Computer also the public key of the second key pair to the controller.
  • the external computer also transmits the second of these key pairs, or at least the private key of this key pair, back to the mobile device via the second protected data communication connection, and additionally also transmits the public key of the first
  • Both the control of the passenger transport system and the mobile device then each have their own private key as well as the public key of the other communication partner.
  • the controller and the mobile device can then establish the desired protected data communication connection between them, by encrypting all the data to be transmitted with the public key of the communication partner, transmitting it via the data communication connection and then decrypting it by the communication partner using his private key become.
  • Key pairs for example, a symmetric key for one
  • the controller and the mobile device can communicate with one another in a protected manner by using the temporary key for the communication process.
  • the external shared computer can generate the two key pairs in response to the transmission of the token.
  • receiving the token can cause the external common computer to trigger the two key pairs.
  • the external computer can only generate the key pairs when it has received the same token from both the control device and the mobile device.
  • the generated key pairs can then preferably are immediately transmitted to the controller or to the mobile device via the first or second secure data communication connection.
  • key pairs do not need to be continuously generated in the external common computer, which are then transmitted to a communication partner pair, that is to say a controller and a mobile device that want to communicate and announce this by transmitting the token, as required, for which purpose in the external computer a high computing power would be necessary.
  • a communication partner pair that is to say a controller and a mobile device that want to communicate and announce this by transmitting the token, as required, for which purpose in the external computer a high computing power would be necessary.
  • key pairs need not be generated in advance and then stored in the external shared computer until they are needed, which could increase the risk that such key pairs would be spied out in advance. Instead, a key pair can be generated exactly when it is required by a communication partner pair and requested by transmitting the token.
  • the external common computer can generate the two key pairs randomly.
  • the external shared computer can be configured to generate it randomly each time a key pair is required, independently of the key pairs generated before or after. Assuming that there is a very high number of possible key pairs, this can virtually ensure that the same key pair is not generated twice.
  • the key pairs can have a defined expiry time, after which they are no longer for the protected data communication connection are usable.
  • the key pairs can be designed in such a way that they lose their functionality after a predefined expiry time, so that protected data transmission using a key pair whose expiry time has been reached is no longer possible.
  • a mobile device typically has to be able to communicate with the control of a passenger transport system for a certain period of time, for example during a maintenance process.
  • This time period can be, for example, a few minutes, a few hours or a few days.
  • the expiry time of key pairs used for protected data communication with this mobile device can therefore be dimensioned such that after the mobile device no longer has to communicate with the control of the passenger transport system, the key pairs used here automatically lose their validity or functionality. This prevents misuse of key pairs after they are no longer needed for their actual purpose.
  • the common external computer can be part of a data cloud that is hosted by a company that manages the passenger transportation system.
  • a manufacturer of the passenger transport system or a service provider who looks after the passenger transport system can operate a data cloud.
  • This data cloud can comprise one or more computers or servers, among which is the shared external computer mentioned herein.
  • the control system of the supervised passenger transport system can, for example, establish a protected data communication connection with this data cloud via a data line.
  • the mobile device can set up a protected data communication connection with the data cloud, for example, via a suitable encrypted Internet connection.
  • the data cloud can be part of an IT infrastructure of the company in charge of the passenger transport system and thus be under its influence and be protected by the IT protection mechanisms that are implemented there.
  • the common external computer can be used, among other things, to specify rules according to which the first and second protected data communication connections are to be established.
  • This can be used, for example, to also be able to specify how a mobile device must set up the second protected data communication connection in order to then be able to transmit the token over it.
  • it can thus be ensured that certain rules must be observed by this mobile device. For example, it can be specified that the mobile device or a technician using the mobile device must authenticate itself before the second protected data communication connection can be established.
  • Passenger transport system and a mobile device can address the following problems or difficulties, among others:
  • a key pair can optionally be assigned a defined expiry time, potential damage such as that caused by hacking a
  • the security of the overall system depends primarily on the IT security of the company that, among other things, controls the
  • Manufactures passenger transport system operates the external common computer and / or provides software for the mobile device and is therefore responsible for establishing the protected first and second data communication connections between the controller or the mobile device on the one hand and the external common computer on the other.
  • Such company-wide IT security can be better organized, updated and monitored.
  • Subunit of this requires the gap to be patched at only one point.
  • the device arrangement according to the second aspect of the invention which can be used to maintain a passenger transport system, is intended to control the
  • Passenger transport system a separate mobile device and the common external computer include.
  • Each of the communication partners mentioned can be configured to share portions of the method steps of the previously described method Establish the protected data communication connection, so that all communication partners together then execute or control the entire process.
  • control of the passenger transport system according to the third aspect of the invention can be configured to be able to execute or control the entire method together with the mobile device and the common external computer.
  • the controller can have, inter alia, an interface via which the first data communication connection to the common external computer can be established. Furthermore, the controller can have a further interface via which the initially unprotected data communication connection can be established with the mobile device.
  • the interfaces can be line-based or wireless.
  • the controller can have one or more processors and suitable data memories in order to be able to temporarily store data to be transmitted and / or to encrypt them before transmission, or to decrypt transmitted data and, if appropriate, to temporarily store them.
  • the mobile device can have, inter alia, an interface via which the second data communication connection to the common external computer can be established, and also via a further interface via which the initially unprotected data communication connection to the controller can be established.
  • the control system the
  • Interfaces can be line-based or wireless, and one or more processors and data memories can be provided for implementing corresponding functions.
  • the common external computer can have at least one or two interfaces via which the first and the second protected data communication connection can be established. Furthermore, the external computer can have one or more processors and data memories, with the aid of which it can, among other things, recognize and / or analyze received tokens and can generate key pairs. The computer can also have a random generator so that the key pairs can be generated randomly. Individual or each of the communication partners, ie the controller, the mobile device and / or the common external computer, can be programmable. A
  • Computer program product can consist of several parts, each part being able to run on one of the communication partners and there by corresponding ones
  • Computer program product with the various communication partners, the method described herein can be implemented.
  • the computer program product can be formulated in any computer language.
  • the computer program product can be stored on any computer-readable medium.
  • a portable computer-readable medium such as a flash memory, a CD, a DVD or the like can be used.
  • a stationary computer-readable medium such as a computer, server or a data cloud, can be provided to store the computer program product so that it can be downloaded from it, for example, via a network such as the Internet.
  • Embodiments of the invention to arrive.
  • FIG. 1 shows a device arrangement with the aid of which a method according to a
  • Embodiment of the present invention can be implemented.
  • the figure is only schematic and not to scale.
  • 1 shows a device arrangement 1 according to an embodiment of the present invention.
  • the device arrangement 1 comprises a controller 3 of a passenger transport system, a mobile device 5 and an external common computer 7, which can be part of a data cloud 17.
  • the controller 3 has the option of communicating with the external common computer 7 via a first protected data communication connection 9.
  • the mobile device 5 can establish a second protected data communication connection 11 with the external computer 7, via which data can then be exchanged.
  • the mobile device 5 can communicate with the external computer 7 via a protected Internet connection.
  • a wire-bound or wireless data communication connection 13 can be established without problems between the mobile device 5 and the controller 3. However, this is initially unprotected, i.e. Data is unencrypted and therefore transmitted without guaranteeing authentication.
  • Communication link 13 can be modified into a protected data communication link 15 between the mobile device 5 and the controller 3.
  • a technician wishes to connect his mobile device 5 to be used for maintenance purposes to the controller 3.
  • he connects his mobile device 5 via a line or wirelessly to the controller 3 or the local network of the passenger transport system 1, in which this controller 3 is integrated.
  • the technician can begin to activate the protected data communication link 15 by: for example, selects a button on his mobile device 5 or makes an entry in some other way.
  • the mobile device 5 On the basis of this selection or this command, the mobile device 5 outputs a type of telegram which contains a randomly generated token 19 and which is transmitted to the controller 3. This initial data exchange in the form of a negotiation does not need to be protected yet.
  • the controller 5 then confirms receipt of the token 19 to the mobile device 5, for example by means of another special telegram. Furthermore, the controller 5 requests from the external computer 7 to which it is connected via the protected data communication connection 9 information relating to pairing information (“pairing information”), adding the generated token 19 to the request.
  • pairing information relating to pairing information
  • the mobile device 5 Upon receiving the confirmation from the controller 3, the mobile device 5 also requests a pairing key from the data cloud 17 with the external computer 7 and uses the same generated token 19. The request is transmitted via the protected data communication connection 11.
  • the common external computer 7 When the common external computer 7 receives the two requests, it generates two asymmetrical key pairs 29, 31, each containing a public key 25, 27 and a private key 21, 23, for the controller 3 on the one hand and for the mobile device 5 on the other hand.
  • the external computer 7 then transmits the private key 21 of a first one
  • the controller 3 and the mobile device 5 can use encrypted and preferably digitally signed messages to negotiate a symmetrical key (“session symmetry key”) that is valid for the following transmission process.
  • session symmetry key a symmetrical key
  • An elevator control system generally consists of a set of
  • Control units that communicate with each other in a local network.
  • one or more external devices can also communicate with the control system as so-called clients.
  • external devices are distribution units, visualization computers, diagnostic units, etc.
  • the controls are permanently installed, typically in a machine room.
  • Authenticating controllers or other clients must all be from each other be different in order to avoid global consequences if one of these keys or credentials is no longer kept secret (ie is "leaked").
  • Each member of the network is clearly identified, for example by a string that is standardized within a product line and is defined in the installation instructions for field use.
  • the string of the requesting entity is stored in the volatile memory of the controller that was attempted to reach.
  • the list of all requesting units can be output, for example, on an embedded operator-human-machine interface (service MMI) or on an already authenticated local computer-based service tool become.
  • service MMI embedded operator-human-machine interface
  • already authenticated local computer-based service tool become.
  • a technician can go through the list of requesting units
  • technicians use appropriately edited field instructions to verify that names are compatible with the documentation.
  • all inquiring units can be approved, for example by pressing a "select all" button.
  • the requesting unit After approval, the requesting unit is automatically added to the list of trusted members and data communication with this controller can take place in a secure manner.
  • the approach described above has the following advantages: a) The creation of the trustworthy network between the members of the network is carried out manually under the supervision of an authorized technician. b) It is carried out locally at the time of picking. Therefore, no additional logistical effort (for example during production) is required. c) It only needs to be carried out once during the installation, as long as no new members are added or used as a replacement for, for example, defective old members. d) There is no manual handling of keys or logistics of

Abstract

Es werden ein Verfahren zum Aufbauen einer geschützten Datenkommunikations- verbindung (15) zwischen einer Steuerung S (3) einer Personentransportanlage und einem Mobilgerät M (5) sowie eine Geräteanordnung (1) zum Ausführen des Verfahrens vorgeschlagen. Das Verfahren umfasstdie Schritte: -Aufbauen einer ungeschützten Datenkommunikationsverbindung (13) zwischen S und M; -Aufbauen einer ersten geschützten Datenkommunikationsverbindung (9) zwischen S und einem gemeinsamen externen Computer C (7) sowie Aufbauen einer zweiten geschützten Datenkommunikationsverbindung (11) zwischen M und C; -Übermitteln eines Tokens (19) zwischen S und M über die ungeschützte Datenkommunikationsverbindung (13); -Übermitteln des Tokens (19) durch S über die erste geschützte Datenkommunikations- verbindung (9) an C sowie Übermitteln des Tokens (19) durch M über die zweite geschützte Datenkommunikationsverbindung (11) an C; -Generieren eines zweier Schlüsselpaare (29, 31) jeweils umfassend einen öffentlichen Schlüssel (25, 27) und einen privaten Schlüssel (21, 23) in dem Computer C (7); -Übermitteln des privaten Schlüssels (21) des ersten Schlüsselpaares (29) und des öffentlichen Schlüssels (27) des zweiten Schlüsselpaares (31) durch C an S und Übermitteln des privaten Schlüssels (23) des zweiten Schlüsselpaares (31) und des öffentlichen Schlüssels (25) des ersten Schlüsselpaares (29) durch C an M; -Umwandeln der ungeschützten Datenkommunikationsverbindung (13) in eine geschützte Datenkommunikationsverbindung (15) durch Verschlüsseln zu übermittelnder Daten unter Verwendung der Schlüsselpaare (29, 31).

Description

Aufbauen einer geschützten Datenkommunikationsverbindung zwischen einer Steuerung einer Personentransportanlage und einem Mobilgerät
Beschreibung
Die vorliegende Erfindung betrifft ein Verfahren, mithilfe dessen eine geschützte Datenkommunikationsverbindung zwischen einer Steuerung einer Personentransport anlage und einem Mobilgerät aufgebaut werden kann. Ferner betrifft die Erfindung Vorrichtungen und Computerprogrammprodukte, welche dazu konfiguriert sind, das Verfahren auszuführen oder zu steuern sowie computerlesbare Medien mit darauf gespeicherten solchen Computerprogrammprodukten.
Personentransportanlagen wie Aufzüge, Fahrsteige oder Fahrtreppen dienen dazu, Personen innerhalb von Gebäuden oder Bauwerken zu transportieren und sind für diesen Zweck fest installiert. Eine Personentransportanlage verfügt dabei über verschiedene stationäre Komponenten und verlagerbare Komponenten, deren Betrieb meist von einer Steuerung gesteuert und/oder koordiniert wird. Beispielsweise steuert die Steuerung eines Aufzugs, in welcher Weise eine Antriebsmaschine betrieben werden muss, um eine Aufzugkabine in Reaktion auf Rufanforderungen hin zu bestimmten Stockwerken zu verfahren. Bei einem Fahrsteig oder einer Fahrtreppe kann eine Steuerung unter anderem den Betrieb einer Antriebsmaschine steuern, um beispielsweise zeitlich variierenden Betriebsanforderungen zu genügen.
Dabei muss die Steuerung hohen Sicherheitsanforderungen genügen. Beispielsweise muss gewährleistet sein, dass die Steuerung den Betrieb der Personentransportanlage immer derart steuert, dass keine Passagiere und/oder die Integrität der Personentransportanlage gefährdet werden. Dabei muss auch gewährleistet sein, dass die Steuerung selbst nicht unautorisiert manipuliert werden darf.
Beispielsweise im Rahmen von Wartungsmaßnahmen oder Reparaturmaßnahmen bereits bestehender und betriebener Personentransportanlagen oder auch zum Kommissionieren einer Personentransportanlage vor deren Inbetriebnahme kann es notwendig sein, Daten in die Steuerung der Personentransportanlage einzugeben und/oder aus dieser auszulesen. Zum Beispiel kann es erforderlich sein, aktualisierte Betriebsparameter und/oder Steuerungsparameter in die Steuerung einzugeben und/oder in der Steuerung gespeicherte Parameter auszulesen. Es kann auch erforderlich sein, eine Software, insbesondere eine Firmware, der Steuerung zu aktualisieren. Dabei muss jedoch insbesondere gewährleistet sein, dass nur von autorisierter Seite her Daten in der Steuerung verändert werden dürfen. Auch ein Auslesen von Daten aus der Steuerung sollte nur nach vorausgehende
Autorisierung erfolgen können.
Herkömmlich verfügen Steuerungen von Personentransportanlagen über eine eigene Mensch-Maschine-Schnittsteile wie beispielsweise eine Anzeige und mehrere
Eingabetasten, über die Daten von einem Techniker manuell eingegeben und ausgelesen werden können. Dies kann jedoch sehr aufwendig und/oder komplex sein, sodass sowohl ein hierfür erforderlicher Zeitaufwand erheblich sein kann als auch ein Risiko von dabei auftretenden Fehlem hoch sein kann.
Alternativ wurden Ansätze entwickelt, bei denen mithilfe eines Mobilgeräts Daten an die Steuerung einer Personentransportanlage übertragen bzw. aus dieser ausgelesen werden können. Das Mobilgerät kann dabei ein portables Gerät sein wie beispielsweise ein Smartphone, Laptop, Tablet oder Ähnliches, welches über einen eigenen Prozessor, eigenen Datenspeicher und eine eigene Mensch-Maschine-Schnittsteile verfügt. Das Mobilgerät kann mit der Steuerung über eine leitungsbasierte oder drahtlose
Datenkommunikationsverbindung Daten austauschen.
Um dabei zu gewährleisten, dass Daten nur von autorisierter Seite her eingegeben oder ausgelesen werden können, kann gefordert sein, dass beispielsweise ein das Mobilgerät bedienender Techniker sich vorab autorisieren muss, beispielsweise indem er ein Passwort oder eine PIN eingibt. Ferner muss gewährleistet sein, dass auch die
Datenübertragung über die Datenkommunikationsverbindung sicher stattfindet und keine Daten manipuliert oder abgehört werden können.
Es wurde jedoch erkannt, dass ein Aufwand, der betrieben werden muss, um eine geschützte Datenkommunikationsverbindung zwischen der Steuerung einer
Personentransportanlage und einem Mobilgerät aufzubauen, erheblich sein kann. Es kann unter anderem ein Bedarf an einem Verfahren bestehen, mithilfe dessen eine geschützte Datenkommunikationsverbindung zwischen einer Steuerung einer
Personentransportanlage und einem Mobilgerät verhältnismäßig einfach, sicher und/oder mit wenig logistischem Aufwand aufgebaut werden kann. Ferner kann ein Bedarf an einer Geräteanordnung, mit der eine Personentransportanlage gewartet werden kann, sowie an einer Steuerung einer Personentransportanlage bestehen, die dazu eingerichtet sind, ein solches Verfahren auszuführen oder zu steuern. Außerdem kann ein Bedarf an einem entsprechenden Computerprogrammprodukt sowie einem ein solches Computer programmprodukt speichernden computerlesbaren Medium bestehen.
Einem solchen Bedarf kann durch einen Gegenstand gemäß einem der unabhängigen Ansprüche entsprochen werden. Vorteilhafte Ausführungsformen sind in den abhängigen Ansprüchen sowie der nachfolgenden Beschreibung definiert.
Gemäß einem ersten Aspekt der Erfindung wird ein Verfahren zum Aufbauen einer geschützten Datenkommunikationsverbindung zwischen einer Steuerung einer
Personentransportanlage und einem Mobilgerät vorgeschlagen. Dabei sind sowohl die Steuerung als auch das Mobilgerät dazu konfiguriert, eine zunächst ungeschützte Datenkommunikationsverbindung untereinander aufzubauen sowie jeweils geschützte Datenkommunikationsverbindungen mit einem gemeinsamen externen Computer aufzubauen. Das Verfahren umfasst zumindest die folgenden Verfahrensschritte, vorzugsweise, aber nicht zwingend, in der angegebenen Reihenfolge:
- Aufbauen einer ungeschützten Datenkommunikationsverbindung zwischen der
Steuerung und dem Mobilgerät;
- Aufbauen einer ersten geschützten Datenkommunikationsverbindung zwischen der Steuerung und dem gemeinsamen externen Computer sowie Aufbauen einer zweiten geschützten Datenkommunikationsverbindung zwischen dem Mobilgerät und dem gemeinsamen externen Computer;
- Übermitteln eines Tokens zwischen der Steuerung und dem Mobilgerät über die ungeschützte Datenkommunikationsverbindung;
- Übermitteln des Tokens durch die Steuerung über die erste geschützte
Datenkommunikationsverbindung an den gemeinsamen externen Computer sowie Übermitteln des Tokens durch das Mobilgerät über die zweite geschützte
Datenkommunikationsverbindung an den gemeinsamen externen Computer; - Generieren eines ersten und eines zweiten Schlüsselpaares jeweils umfassend einen öffentlichen Schlüssel und einen privaten Schlüssel in dem gemeinsamen externen Computer;
- Übermitteln zumindest des privaten Schlüssels des ersten Schlüsselpaares und des öffentlichen Schlüssels des zweiten Schlüsselpaares durch den gemeinsamen externen Computer an die Steuerung und Übermitteln zumindest des privaten Schlüssels des zweiten Schlüsselpaares und des öffentlichen Schlüssels des ersten Schlüsselpaares durch den gemeinsamen externen Computer an das Mobilgerät; und
- Umwandeln der ungeschützten Datenkommunikationsverbindung zwischen der Steuerung und dem Mobilgerät in eine geschützte Datenkommunikationsverbindung durch Verschlüsseln zu übermittelnder Daten unter Verwendung der Schlüsselpaare.
Gemäß einem zweiten Aspekt der Erfindung wird eine Geräteanordnung zum Warten einer Personentransportanlage vorgeschlagen. Die Geräteanordnung umfasst eine Steuerung der Personentransportanlage, ein Mobilgerät sowie einen gemeinsamen externen Computer. Dabei ist die Geräteanordnung dazu konfiguriert, ein Verfahren gemäß einer Ausführungsform des ersten Aspekts der Erfindung auszuführen oder zu steuern.
Gemäß einem dritten Aspekt der Erfindung wird eine Steuerung einer Personen transportanlage vorgeschlagen, welche dazu konfiguriert ist, in Kooperation mit einem Mobilgerät und einem gemeinsamen externen Computer ein Verfahren gemäß einer Ausführungsform des ersten Aspekts der Erfindung auszuführen oder zu steuern.
Gemäß einem vierten Aspekt der Erfindung wird ein Computerprogrammprodukt mit computerlesbaren Anweisungen vorgeschlagen, welche bei Ausführung auf einem oder mehreren Prozessoren in einer Geräteanordnung gemäß einer Ausführungsform des zweiten Aspekts der Erfindung dazu anleiten, das Verfahren gemäß einer
Ausführungsform des ersten Aspekts der Erfindung auszuführen oder zu steuern.
Gemäß einem fünften Aspekt der Erfindung wird ein Computerprogrammprodukt mit computerlesbaren Anweisungen vorgeschlagen, welche bei Ausführung auf einem oder mehreren Prozessoren in einer Steuerung gemäß einer Ausführungsform des dritten Aspekts der Erfindung dazu anleiten, in Kooperation mit einem Mobilgerät und einem gemeinsamen externen Computer das Verfahren gemäß einer Ausführungsform des ersten Aspekts der Erfindung auszuführen oder zu steuern.
Gemäß einem sechsten Aspekt der Erfindung wird ein computerlesbares Medium mit einem darauf gespeicherten Computerprogrammprodukt gemäß einer Ausführungsform des vierten oder fünften Aspekts der Erfindung vorgeschlagen.
Mögliche Merkmale und Vorteile von Ausführungsformen der Erfindung können unter anderem und ohne die Erfindung einzuschränken als auf nachfolgend beschriebenen Ideen und Erkenntnissen beruhend angesehen werden.
Wie einleitend bereits angedeutet, können einer Steuerung einer Personentransportanlage beispielsweise im Rahmen von Wartungsmaßnahmen oder bei einer anfänglichen Kommissionierung Daten eingegeben werden bzw. aus dieser ausgelesen werden, indem zwischen der Steuerung und einem externen Mobilgerät eine Datenkommunikations verbindung etabliert wird. Das Mobilgerät kann dann als externe Mensch-Maschine- Schnittsteile dazu dienen, um beispielsweise durch einen Techniker Daten eingeben zu lassen und diese dann über die Datenkommunikationsverbindung an die Steuerung weiterzuleiten bzw. aus der Steuerung ausgelesene Daten dem Techniker anzuzeigen. Ergänzend oder alternativ kann das Mobilgerät Daten auch aus anderen Quellen beziehen, beispielsweise aus einer externen Datenbank, aus dem Internet oder aus einer speziell hierfür bereitgestellten Datenwolke, und die Daten dann über die Datenkommunikations verbindung an die Steuerung übermitteln. Auch umgekehrt können Daten aus der Steuerung über das Mobilgerät an andere Geräte, insbesondere an eine Datenbank oder eine Datenwolke, weitergeleitet werden. Hierdurch kann beispielsweise ein gezieltes Konfigurieren und/oder Aktualisieren von gespeicherten Parametern oder Daten und/oder ein Aktualisieren von Software in der Steuerung vereinfacht werden.
Hierbei muss jedoch sichergestellt sein, dass die Daten ausschließlich von autorisierter Seite, d.h. von einem hierzu autorisierten Techniker und/oder hierzu autorisierten Geräten, eingegeben und/oder ausgelesen werden können. Nachdem der Techniker bzw. das Gerät sich vorher beispielsweise durch Eingeben bzw. Übermitteln eines
Authentifizierungscodes authentifiziert hat, kann eine Datenübermittlung zwischen der Steuerung und dem Mobilgerät über die Datenkommunikationsverbindung erfolgen. Sofern keine speziellen Maßnahmen getroffen werden, erfolgt eine solche
Datenübermittlung jedoch ungesichert. D.h., ein Angreifer könnte potenziell selbst Daten über die Datenkommunikationsverbindung an die Steuerung schicken und diese damit unautorisiert manipulieren. Umgekehrt könnte der Angreifer auch aus der Steuerung ausgelesene Daten abhören.
Um dies vermeiden zu können, kann die Datenkommunikationsverbindung geschützt werden, indem darüber zu übermittelnde Daten vor der Übermittlung mithilfe beispielsweise symmetrischer Kryptographieschlüssel oder asymmetrischer
Kryptographieschlüssel verschlüsselt werden, bevor sie über die Datenkommunikations- verbindung an ein Zielgerät übermittelt werden, und die verschlüsselten Daten anschließend in dem Zielgerät wieder entschlüsselt werden.
Ein Problem bei der zuvor genannten Methode kann darin bestehen, dass sie keine flexible Sicherheit bietet. Sobald beispielsweise ein neues Passwort oder ein neuer Schlüssel in eine neue Version der Steuerungssoftware eingeführt wird, müssen die entsprechenden Passwörter und Schlüssel in allen Mobilgeräten, die zum Warten dieser Steuerung eingesetzt werden, geändert werden. Dies ist logistisch problematisch. Es erfordert tatsächlich eine rückwärts gerichtete Kompatibilität bei der Schlüssel verwaltung, was einem Hauptzweck der Sicherung zuwiderläuft, und ein möglicherweise Duplizieren des gleichen Schlüssels auf allen Installationen, was auch eine
Wahrscheinlichkeit, kompromittiert zu werden, steigern kann, potentiell mit Wirkungen auf das gesamte Portfolio.
Es wurde daher erkannt, dass möglichst jede Anwendung zur Verschlüsselung von zu übermittelnden Daten und damit zur Schaffung einer geschützten Datenkommunikations verbindung ein anderes Schlüsselpaar aufweisen sollte. Dieses Schlüsselpaar sollte vorzugsweise ohne aufwändige logistische Anstrengungen generiert werden können und/oder eine zeitlich begrenzte Geltungsdauer haben und/oder unabhängig von unterschiedlichen Softwareversionen sein.
Durch Ausführungsformen des hierin vorgestellten Verfahrens zum Aufbauen einer geschützten Datenkommunikationsverbindung zwischen einer Steuerung einer Personentransportanlage und einem Mobilgerät werden die oben genannten Probleme beziehungsweise Defizite bei herkömmlichen Ansätzen adressiert.
Eine Datenkommunikationsverbindung zwischen der Steuerung der Personentransport anlage und einem externen Mobilgerät soll dabei derart geschützt ausgestaltet sein, dass darüber übermittelte Daten stets in verschlüsselter Form transferiert werden, sodass sie von angreifenden Dritten weder unerkannt manipuliert noch abgehört werden können.
Vorausgesetzt wird dabei, dass sowohl die Steuerung der Personentransportanlage als auch das Mobilgerät jeweils über eine zuvor etablierte geschützte Datenkommunikations- verbindung mit einem gemeinsamen externen Computer kommunizieren können. Dieser gemeinsame externe Computer kann ein Server oder eine Datenwolke (Cloud) sein, der sich außerhalb der Personentransportanlage und vorzugsweise auch außerhalb eines die Personentransportanlage beherbergenden Gebäudes befindet. Beispielsweise kann der gemeinsame externe Computer von einem Hersteller der Personentransportanlage oder von einem Dienstleistungsanbieter betrieben werden. Die Steuerung sowie das
Mobilgerät können mit diesem externen Computer drahtgebunden oder drahtlos beispielsweise über ein Netzwerk wie das Internet kommunizieren, wobei
Kommunikationsinhalte zwischen zwei Kommunikationspartnem stets verschlüsselt übermittelt werden sollen, beispielsweise mit einer Ende-zu-Ende-Verschlüsselung. Zur Datenkommunikation können geeignete sichere Kommunikationsprotokolle eingesetzt werden.
Ferner wird vorausgesetzt, dass die Steuerung der Personentransportanlage und das Mobilgerät eine ungeschützte Datenkommunikationsverbindung untereinander aufbauen können. Über diese ungeschützte Datenkommunikationsverbindung können beide Komponenten Daten austauschen, wobei diese jedoch unverschlüsselt übermittelt werden. Beispielsweise kann vorgesehen sein, dass die Steuerung und das Mobilgerät über ein Datenkabel oder eine drahtlose Verbindung miteinander kommunizieren können.
Bei dem hierin vorgestellten Verfahren bauen die Steuerung und das Mobilgerät zunächst die ungeschützte Datenkommunikationsverbindung zwischen beiden Komponenten auf. Über diese ungeschützte Datenkommunikationsverbindung können beide Komponenten dann einen sogenannten Token austauschen. Bei dem Token kann es sich um einen Dateninhalt, d.h. beispielsweise eine Art Code, handeln, der von einer der Komponenten bereitgestellt wird und dann an die andere Komponente übermittelt werden kann. Dabei kann zum Beispiel das Mobilgerät den Token bereitstellen und an die Steuerung übermitteln, beispielsweise nachdem das Mobilgerät von einem Techniker dazu aufgefordert wurde. Umgekehrt kann auch die Steuerung einen Token bereitstellen und an das Mobilgerät übermitteln, sobald dieses bereit ist, diesen Token zu empfangen. Beispielsweise kann der Token in einer der Komponenten spontan erzeugt werden oder vorab in dieser abgespeichert worden sein. Dabei soll der Token einzigartig oder zumindest mit sehr hoher Wahrscheinlichkeit einzigartig sein, d.h., jede Steuerung bzw. jedes Mobilgerät soll einen einzigartigen Token bereitstellen, der möglichst weder zufällig noch absichtlich von einer anderen Steuerung oder einem anderen Mobilgerät bereitgestellt wird. Beispielsweise kann der Token zufallsbasiert erzeugt werden.
Gleichzeitig mit dem Aufbauen der ungeschützten Datenkommunikationsverbindung zwischen dem Steuergerät und dem Mobilgerät oder alternativ auch vor oder kurz nach dem Aufbauen dieser ungeschützten Datenkommunikationsverbindung bauen sowohl das Steuergerät als auch das Mobilgerät ferner jeweils eine geschützte Daten
kommunikationsverbindung mit dem gemeinsamen externen Computer auf. Über seine jeweilige geschützte Datenkommunikationsverbindung kann dann sowohl das Steuergerät als auch das Mobilgerät den bereitgestellten bzw. empfangenen Token an den externen Computer weiterleiten.
Der externe Computer kann dann zwei sogenannte Schlüsselpaare generieren, die derart ausgestaltet sind, dass damit zu übermittelnde Daten in einem gängigen
Verschlüsselungsverfahren zunächst verschlüsselt und anschließend wieder entschlüsselt werden können. Jedes Schlüsselpaar umfasst dabei einen öffentlichen Schlüssel, mit dem die Daten verschlüsselt werden können, und einen privaten Schlüssel, mit dem die Daten dann wieder entschlüsselt werden können.
Ein erstes dieser Schlüsselpaare, oder zumindest den privaten Schlüssel dieses
Schlüsselpaares, übermittelt der externe Computer dann über die erste geschützte Datenkommunikationsverbindung zurück an die Steuerung. Dabei übermittelt der externe Computer zusätzlich auch den öffentlichen Schlüssel des zweiten Schlüsselpaares an die Steuerung. In ähnlicher Weise übermittelt der externe Computer außerdem über die zweite geschützte Datenkommunikationsverbindung das zweite dieser Schlüsselpaare, oder zumindest den privaten Schlüssel dieses Schlüsselpaares, zurück an das Mobilgerät und übermittelt dabei ergänzend auch den öffentlichen Schlüssel des ersten
Schlüsselpaares an das Mobilgerät.
Sowohl die Steuerung der Personentransportanlage als auch das Mobilgerät verfügen daraufhin jeweils sowohl über ihren eigenen privaten Schlüssel als auch über den öffentlichen Schlüssel des jeweils anderen Kommunikationspartners. Unter Verwendung der Schlüsselpaare können die Steuerung und das Mobilgerät dann zwischen sich die gewünschte geschützte Datenkommunikationsverbindung aufbauen, indem alle zu übermittelnden Daten jeweils mit dem öffentlichen Schlüssel des Kommunikations partners verschlüsselt werden, über die Datenkommunikationsverbindung übermittelt werden und dann von dem Kommunikationspartner mithilfe seines privaten Schlüssels entschlüsselt werden.
Dementsprechend können die Kommunikationspartner nach dem Verteilen der
Schlüsselpaare beispielsweise einen symmetrischen Schlüssel für einen
Kommunikationsvorgang (d.h. einen sogenannten„session key“) aushandeln und damit verschlüsselte und vorzugsweise digital signierte Datenpakete oder Mitteilungen austauschen. Hierdurch können die die Steuerung und das Mobilgerät durch Verwendung des temporären Schlüssels für den Kommunikationsvorgang auf geschützte Weise miteinander kommunizieren.
Gemäß einer Ausführungsform kann der externe gemeinsame Computer die beiden Schlüsselpaare in Reaktion auf das Übermitteln des Tokens generieren.
Mit anderen Worten kann ein Empfangen des Tokens den externen gemeinsamen Computer dazu veranlassen, d.h. triggern, die beiden Schlüsselpaare zu generieren. Insbesondere kann der externe Computer ausschließlich dann, wenn er sowohl von dem Steuergerät als auch von dem Mobilgerät jeweils den gleichen Token empfangen hat, die Schlüsselpaare generieren. Die generierten Schlüsselpaare können dann vorzugsweise sofort über die erste bzw. zweite sichere Datenkommunikationsverbindung an die Steuerung bzw. an das Mobilgerät übermittelt werden.
Dementsprechend brauchen in dem externen gemeinsamen Computer nicht ständig Schlüsselpaare generiert werden, die dann bei Bedarf an ein Kommunikationspartner- Paar, das heißt eine Steuerung und ein Mobilgerät, die kommunizieren wollen und dies durch Übermitteln des Tokens kundtun, übermittelt werden, wozu in dem externen Computer eine hohe Rechenleistung nötig wäre. Andererseits brauchen auch nicht vorab Schlüsselpaare generiert werden und dann in dem externen gemeinsamen Computer gespeichert werden, bis sie benötigt werden, wodurch ein Risiko gesteigert werden könnte, dass solche Schlüsselpaare vorab ausgespäht würden. Stattdessen kann ein Schlüsselpaar genau dann erzeugt werden, wenn es von einem Kommunikationspartner- Paar benötigt und durch Übermitteln des Tokens angefordert wird.
Gemäß einer Ausführungsform kann der externe gemeinsame Computer die beiden Schlüsselpaare zufallsbasiert generieren.
Mit anderen Worten kann der externe gemeinsame Computer dazu konfiguriert sein, jedes Mal, wenn ein Schlüsselpaar benötigt wird, dieses individuell und unabhängig von vorangehend oder nachfolgend generierten Schlüsselpaaren, zufallsbasiert zu erzeugen. Unter der Annahme, dass es eine sehr hohe Anzahl möglicher Schlüsselpaare gibt, kann hierdurch quasi sichergestellt werden, dass nicht zweimal das gleiche Schlüsselpaar erzeugt wird.
Hierdurch kann erreicht werden, dass verschiedene Kommunikationspartner-Paare auch unter Einsatz verschiedener Schlüsselpaare miteinander kommunizieren. Somit kommt es selbst für den Fall, dass ein Schlüsselpaar publik werden sollte, da es beispielsweise ausgespäht wurde, nicht zu negativen Folgen für andere Kommunikationspartner-Paare, d.h. die gesicherte Datenkommunikation zwischen einer anderen Steuerung und einem anderen Mobilgerät würde hierdurch nicht gefährdet.
Gemäß einer Ausführungsform können die Schlüsselpaare eine definierte Ablaufzeit aufweisen, nach der sie nicht mehr für die geschützte Datenkommunikationsverbindung verwendbar sind.
Anders ausgedrückt können die Schlüsselpaare derart ausgestaltet sein, dass sie nach einer vordefinierten Ablaufzeit ihre Funktionsfähigkeit verlieren, sodass eine geschützte Datenübermittlung unter Verwendung eines Schlüsselpaares, dessen Ablaufzeit erreicht ist, nicht mehr möglich ist.
Typischerweise muss ein Mobilgerät nur für eine bestimmte Zeitdauer mit der Steuerung einer Personentransportanlage kommunizieren können, beispielsweise während eines Wartungsvorgangs. Diese Zeitdauer kann beispielsweise einige Minuten, einige Stunden oder wenige Tage betragen. Die Ablaufzeit von zur geschützten Datenkommunikation mit diesem Mobilgerät eingesetzten Schlüsselpaaren kann daher so bemessen sein, dass, nachdem das Mobilgerät nicht mehr mit der Steuerung der Personentransportanlage kommunizieren muss, die hierbei eingesetzten Schlüsselpaare automatisch ihre Gültigkeit bzw. Funktionsfähigkeit verlieren. Hierdurch kann ein Missbrauch von Schlüsselpaaren, nachdem diese für ihren eigentlichen Zweck nicht mehr benötigt werden, vermieden werden.
Gemäß einer Ausführungsform kann der gemeinsame externe Computer Teil einer Datenwolke sein, die von einem die Personentransportanlage betreuenden Unternehmen gehostet wird.
Anders ausgedrückt kann beispielsweise ein Hersteller der Personentransportanlage oder ein Dienstleister, der die Personentransportanlage betreut, eine Datenwolke (Cloud) betreiben. Diese Datenwolke kann einen oder mehrere Computer bzw. Server umfassen, unter denen auch der hierin genannte gemeinsame externe Computer ist. Die Steuerung der betreuten Personentransportanlage kann beispielsweise über eine Datenleitung eine geschützte Datenkommunikationsverbindung mit dieser Datenwolke aufbauen. Ebenso kann das Mobilgerät beispielsweise über eine geeignete verschlüsselte Intemetverbindung eine geschützte Datenkommunikationsverbindung mit der Datenwolke aufbauen. Die Datenwolke kann dabei Teil einer IT-Infrastruktur des die Personentransportanlage betreuenden Unternehmens sein und somit unter dessen Einfluss stehen und von dort getroffenen IT-Schutzmechanismen geschützt sein. Dadurch kann der gemeinsame externe Computer unter anderem beispielsweise dazu genutzt werden, Regeln vorzugeben, gemäß denen die erste und zweite geschützte Datenkommunikationsverbindung aufzubauen sind. Dies kann beispielsweise dazu genutzt werden, um auch Vorgaben machen zu können, wie ein Mobilgerät die zweite geschützte Datenkommunikationsverbindung aufbauen muss, um darüber dann den Token übermitteln zu können. Selbst für den wahrscheinlich häufig auftretenden Fall, dass das Mobilgerät selbst nicht dem Einfluss des die Personentransportanlage betreuenden Unternehmens unterliegt, kann somit sichergestellt werden, dass von diesem Mobilgerät gewisse Regeln eingehalten werden müssen. Beispielsweise kann vorgegeben werden, dass das Mobilgerät bzw. ein das Mobilgerät nutzender Techniker sich authentifizieren muss, bevor die zweite geschützte Datenkommunikationsverbindung aufgebaut werden darf.
Durch Ausführungsformen des hierin vorgestellten Verfahrens zum Aufbauen einer geschützten Datenkommunikationsverbindung zwischen einer Steuerung einer
Personentransportanlage und einem Mobilgerät können unter anderem folgende Probleme bzw. Schwierigkeiten adressiert werden:
- Schlüssel, die bei einer Verschlüsselung für eine Datenübermittlung eingesetzt werden sollen, brauchen nicht bereits zum Zeitpunkt einer Herstellung einer Steuerung oder eines Mobilgeräts generiert und dann abgespeichert werden. Hierdurch können unter anderem logistische Probleme vermieden werden, die mit einem solchen Generieren und Abspeichem eines Schlüssels zu einem derart frühen Zeitpunkt einhergehen können.
Beispielsweise kann vermieden werden, dass ein Schlüssel bereits zu einem Zeitpunkt generiert und abgespeichert werden muss, zu dem noch nicht bekannt ist, welches Mobilgerät mit welcher Steuerung tatsächlich einmal kommunizieren können soll. Dementsprechend kann ein Duplizieren von Schlüsseln entfallen. Außerdem können Probleme vermieden werden, die dadurch auftreten können, dass einmal generierte und abgespeicherte Schüssel kaum noch nachträglich zurückgerufen werden können oder ihre Gültigkeit kaum noch nachträglich aufgehoben werden kann.
Da vorzugweise jedes Mal, wenn eine Steuerung und ein Mobilgerät miteinander eine geschützte Datenkommunikationsverbindung aufbauen wollen und hierzu den Token an den gemeinsamen externen Computer schicken, neue Schlüsselpaare erzeugt werden, sollte es generell nicht dazu kommen, dass zwei verschiedene
Kommunikationspartner-Paare über die gleichen Schlüsselpaare verfügen. Selbst wenn ein Schlüsselpaar somit bekannt werden sollte, beispielsweise weil ein
Kommunikationspartner-Paar ausgespäht oder abgehört (gehackt) wurde, kompromittiert dies in der Regel andere Kommunikationspartner-Paare nicht.
- Dadurch, dass einem Schlüsselpaar optional eine definierte Ablaufzeit zugewiesen sein kann, kann ein potentieller Schaden, wie er durch ein Hacken eines
Kommunikationspartner-Paares bewirkt werden könnte, weiter verringert werden.
- Es gibt im Allgemeinen keine Kompatibilitätsprobleme; Sicherheit wird garantiert durch eine gemeinsame und nicht an verschiedenen Stellen durchgeführte Verteilung von Sicherheitsschlüsseln. Mit anderen Worten nimmt beispielsweise die Hersteller- Datenwolke, in der der externe gemeinsame Computer aufgenommen ist, nicht die Versionen der Steuerung bzw. des Mobilgeräts wahr.
- Eine Sicherheit des Gesamtsystems hängt hauptsächlich von einer IT-Sicherheit desjenigen Unternehmens ab, das unter anderem die Steuerung der
Personentransportanlage herstellt, den externen gemeinsamen Computer betreibt und/oder Software für das Mobilgerät liefert und somit für die Etablierung der geschützten ersten und zweiten Datenkommunikationsverbindungen zwischen der Steuerung bzw. dem Mobilgerät einerseits und dem externen gemeinsamen Computer andererseits verantwortlich ist. Eine solche untemehmensweite IT-Sicherheit kann besser organisiert, aktualisiert und überwacht werden. Eine Lücke in einer
Untereinheit davon erfordert dabei ein Schließen der Lücke (patching) an nur einer Stelle.
Die Geräteanordnung gemäß dem zweiten Aspekt der Erfindung, welche zum Warten einer Personentransportanlage eingesetzt werden kann, soll die Steuerung der
Personentransportanlage, ein separates Mobilgerät sowie den gemeinsamen externen Computer umfassen. Jeder der genannten Kommunikationspartner kann dabei dazu konfiguriert sein, Anteile der Verfahrensschritte des zuvor beschriebenen Verfahrens zum Aufbauen der geschützten Datenkommunikationsverbindung auszuführen, sodass alle Kommunikationspartner zusammen dann das gesamte Verfahren ausführen bzw. steuern.
Insbesondere kann die Steuerung der Personentransportanlage gemäß dem dritten Aspekt der Erfindung dazu konfiguriert sein, zusammen mit dem Mobilgerät und dem gemeinsamen externen Computer das gesamte Verfahren ausführen bzw. steuern zu können.
Hierzu kann die Steuerung unter anderem über eine Schnittstelle verfügen, über die die erste Datenkommunikationsverbindung hin zu dem gemeinsamen externen Computer aufgebaut werden kann. Ferner kann die Steuerung über eine weitere Schnittstelle verfügen, über die die zunächst ungeschützte Datenkommunikationsverbindung mit dem Mobilgerät aufgebaut werden kann. Die Schnittstellen können leitungsbasiert oder drahtlos sein. Die Steuerung kann einen oder mehrere Prozessoren sowie geeigneten Datenspeicher aufweisen, um zu übermittelnde Daten Zwischenspeichern und/oder vor dem Übermitteln verschlüsseln zu können bzw. übermittelte Daten entschlüsseln und gegebenenfalls Zwischenspeichern zu können.
In ähnlicher Weise kann das Mobilgerät unter anderem über eine Schnittstelle verfügen, über die die zweite Datenkommunikationsverbindung hin zu dem gemeinsamen externen Computer aufgebaut werden kann, sowie über eine weitere Schnittstelle, über die die zunächst ungeschützte Datenkommunikationsverbindung mit der Steuerung aufgebaut werden kann. In analoger Weise wie bei der Steuerung können auch hier die
Schnittstellen leitungsbasiert oder drahtlos sein sowie ein oder mehrere Prozessoren und Datenspeicher zum Implementieren entsprechender Funktionen vorgesehen sein.
Der gemeinsame externe Computer kann zumindest eine oder auch zwei Schnittstellen aufweisen, über die die erste und die zweite geschützte Datenkommunikationsverbindung aufgebaut werden können. Ferner kann der externe Computer über einen oder mehrere Prozessoren sowie Datenspeicher verfügen, mithilfe derer er unter anderem empfangene Token erkennen und/oder analysieren kann sowie Schlüsselpaare erzeugen kann. Ferner kann der Computer über einen Zufallsgenerator verfügen, sodass die Schlüsselpaare zufallsbasiert erzeugt werden können. Einzelne oder jeder der Kommunikationspartner, d.h. die Steuerung, das Mobilgerät und/oder der gemeinsame externe Computer, können programmierbar sein. Ein
Computerprogrammprodukt kann aus mehreren Teilen bestehen, wobei jeder Teil auf einem der Kommunikationspartner laufen kann und dort durch entsprechende
Anweisungen bewirken kann, dass der jeweilige Kommunikationspartner seinen Teil des hierin beschriebenen Verfahrens ausführt. Insgesamt kann somit mithilfe des
Computerprogrammprodukts mit den verschiedenen Kommunikationspartnem das hierin beschriebene Verfahren implementiert werden. Das Computerprogrammprodukt kann dabei in einer beliebigen Computersprache formuliert sein.
Das Computerprogrammprodukt kann auf einem beliebigen computerlesbaren Medium gespeichert sein. Beispielsweise kann ein portables computerlesbares Medium wie ein Flashspeicher, eine CD, eine DVD oder Ähnliches eingesetzt werden. Alternativ kann ein stationäres computerlesbares Medium wie beispielsweise ein Computer, Server oder eine Datenwolke dazu vorgesehen sein, das Computerprogrammprodukt zu speichern, sodass es von diesem beispielsweise über ein Netzwerk wie das Internet heruntergeladen werden kann.
Es wird daraufhingewiesen, dass einige der möglichen Merkmale und Vorteile der Erfindung hierin mit Bezug auf unterschiedliche Ausführungsformen des Verfahrens zum Aufbauen einer geschützten Datenkommunikationsverbindung einerseits und der hierzu einsetzbaren Geräteanordnung mit entsprechenden Kommunikationspartnem andererseits beschrieben sind. Ein Fachmann erkennt, dass die Merkmale in geeigneter Weise kombiniert, angepasst oder ausgetauscht werden können, um zu weiteren
Ausführungsformen der Erfindung zu gelangen.
Nachfolgend werden Ausführungsformen der Erfindung unter Bezugnahme auf die beigefügte Zeichnung beschrieben, wobei weder die Zeichnung noch die Beschreibung als die Erfindung einschränkend auszulegen sind.
Fig. 1 zeigt eine Geräteanordnung, mithilfe derer ein Verfahren gemäß einer
Ausführungsform der vorliegenden Erfindung implementiert werden kann.
Die Figur ist lediglich schematisch und nicht maßstabsgetreu. Fig. 1 zeigt eine Geräteanordnung 1 gemäß einer Ausführungsform der vorliegenden Erfindung. Die Geräteanordnung 1 umfasst eine Steuerung 3 einer Personentransport anlage, ein Mobilgerät 5 sowie einen externen gemeinsamen Computer 7, der Teil einer Datenwolke 17 sein kann. Die Steuerung 3 verfügt über die Möglichkeit, mit dem externen gemeinsamen Computer 7 über eine erste geschützte Datenkommunikations verbindung 9 zu kommunizieren. In ähnlicherWeise kann von dem Mobilgerät 5 eine zweite geschützte Datenkommunikationsverbindung 11 mit dem externen Computer 7 aufgebaut werden, über welche dann Daten ausgetauscht werden können. Beispielsweise kann das Mobilgerät 5 mit dem externen Computer 7 über eine geschützte Intemet- verbindung kommunizieren.
Zwischen dem Mobilgerät 5 und der Steuerung 3 kann zwar problemlos eine draht gebundene oder drahtlose Datenkommunikationsverbindung 13 etabliert werden. Diese ist jedoch zunächst ungeschützt, d.h. Daten werden unverschlüsselt und somit auch ohne eine Gewährleistung einer Authentifizierung übermittelt.
Mithilfe des hierin vorgestellten Verfahrens kann diese ungeschützte Daten
kommunikationsverbindung 13 in eine geschützte Datenkommunikationsverbindung 15 zwischen dem Mobilgerät 5 und der Steuerung 3 modifiziert werden.
Nachfolgend wird beispielhaft ein Vorgang beschrieben, bei dem die geschützte Datenkommunikationsverbindung 15 aufgebaut wird.
Ein Techniker wünscht, sein zu Wartungszwecken einzusetzendes Mobilgerät 5 mit der Steuerung 3 zu verbinden.
Zu diesem Zweck verbindet er sein Mobilgerät 5 über eine Leitung oder drahtlos mit der Steuerung 3 bzw. dem lokalen Netzwerk der Personentransportanlage 1, in die diese Steuerung 3 integriert ist.
Nachdem diese Verbindung eingerichtet wurde und beispielsweise durch eine geeignete Mitteilung auf einem Display des Mobilgeräts 5 signalisiert wurde, kann der Techniker beginnen, die geschützte Datenkommunikationsverbindung 15 zu aktivieren, indem er beispielsweise auf seinem Mobilgerät 5 einen Knopf wählt oder in anderer Weise eine Eingabe tätigt.
Aufgrund dieser Auswahl bzw. dieses Befehls gibt das Mobilgerät 5 eine Art Telegramm aus, welches einen zufällig generierten Token 19 enthält, und welches an die Steuerung 3 übermittelt wird. Dieser anfängliche Datenaustausch in Art einer Verhandlung braucht noch nichts geschützt zu sein.
Die Steuerung 5 bestätigt darauf den Erhalt des Tokens 19 an das Mobilgerät 5, beispielsweise durch ein weiteres spezielles Telegramm. Ferner fordert die Steuerung 5 bei dem externen Computer 7, mit dem sie über die geschützte Datenkommunikations verbindung 9 verbunden ist, Informationen bezüglich einer Paarbildung („pairing Information“) an, wobei sie der Anforderung den generierten Token 19 beigefügt.
Bei Erhalt der Bestätigung von der Steuerung 3 fordert auch das Mobilgerät 5 einen Paarbildungsschlüssel bei der Datenwolke 17 mit dem externen Computer 7 an und verwendet dabei den gleichen generierten Token 19. Die Anforderung wird dabei über die geschützte Datenkommunikationsverbindung 11 übermittelt.
Wenn der gemeinsame externe Computer 7 die beiden Anforderungen erhält, erzeugt er zwei asymmetrische Schlüsselpaare 29, 31, welche jeweils einen öffentlichen Schlüssel 25, 27 und einen privaten Schlüssel 21, 23 enthalten, für die Steuerung 3 einerseits und für das Mobilgerät 5 andererseits.
Der externe Computer 7 übermittelt dann den privaten Schlüssel 21 eines ersten
Schlüsselpaares 29 und den öffentlichen Schlüssel 27 eines zweiten Schlüsselpaares 31 an die Steuerung 3. Analog übermittelt der externe Computer 7 den privaten Schlüssel 23 des zweiten Schlüsselpaares 31 und den öffentlichen Schlüssel 25 des ersten
Schlüsselpaares 29 an die Steuerung 3.
Sobald die Schlüsselpaare 29, 31 ausgeliefert wurden, können die Steuerung 3 und das Mobilgerät 5 unter Verwendung verschlüsselter und vorzugsweise digital signierter Nachrichten einen für den folgenden Übertragungsvorgang gültigen symmetrischen Schlüssel („session Symmetrie key“) aushandeln. Sobald dieser Schritt abgeschlossen ist, ist die geschützte Datenkommunikations verbindung 15 zwischen der Steuerung 3 und dem Mobilgerät 5 aufgebaut und beide Geräte können in geschützterWeise unter Verwendung der der ermöglichten
Verschlüsselung kommunizieren.
Abschließend wird lediglich zu Vergleichszwecken und nicht unter die Erfindung fallend ein Verfahren beschrieben, mithilfe dessen eine Datenkommunikation zwischen Geräten in einer Personentransportanlage (nachfolgend beschrieben am Beispiel eines Aufzuges) etabliert werden kann und dabei insbesondere eine sichere Datenverbindung gewährleistet werden kann.
Ein Aufzugsteuerungssystem besteht im Allgemeinen aus einem Satz von
Steuerungseinheiten, die miteinander in einem lokalen Netzwerk kommunizieren.
Hinzugefügt zu diesem Aufzugnetzwerk können ein oder mehrere externe Geräte als sogenannte Clients zusätzlich mit dem Steuerungssystem kommunizieren. Beispiele für solche externen Geräte sind Verteilereinheiten, Visualisierungscomputer, Diagnose einheiten, etc.
Bei der Kommunikation von eingebetteten Einheiten (embedded units) wurde es mit der Verbreitung des Intemetprotokolls zunehmend wichtig, ausreichende Kommunikations- sicherheit zu garantieren. Insbesondere ist es wichtig, zu garantieren, dass ausschließlich authentifizierte Einheiten sich mit einer Steuerung in dem Netzwerk verbinden können.
Im Falle eines Netzwerks von Aufzugsteuerungen kommen folgende Einflussfaktoren ins Spiel:
1) Die Steuerungen sind fest installiert, typischerweise in einem Maschinenraum.
2) Sie müssen miteinander kommunizieren können, aber es gibt keine Garantie dafür, dass sie mit anderen Geräten außerhalb des Netzwerks verbunden sind.
3) Sie sind der Kem eines Aufzugssystems. Daher muss ein Schutz gegen
unautorisierte Verbindungen zu den Steuerungen garantiert sein.
4) Die Schlüssel und Berechtigungsnachweise, die verwendet werden, um
Steuerungen oder andere Clients zu authentifizieren, müssen alle voneinander verschieden sein, um globale Konsequenzen für den Fall vermeiden zu können, dass einer dieser Schlüssel oder Berechtigungsnachweise nicht mehr geheim bleibt (d.h.„geleaked“ wird).
5) Die Berechtigungsnachweise (Zertifikate) sollten angesichts des obigen Punktes (2) nicht ablaufen, da ein Akquirieren neuer Berechtigungsnachweise vor einem solchen Ablauf sich als unmöglich erweisen könnte oder einen erheblichen logistischen Aufwand mit sich bringen könnte.
Es ist ein manueller Paarbildungsmechanismus vorstellbar, der versucht, all die oben erwähnten Punkte und Beschränkungen zu adressieren und der auf der folgenden Prozedur basiert ist:
1.) Alle Steuerungen (und zusätzlichen Clients) werden ausgeliefert mit einem
zusätzlichen Satz von Berechtigungsnachweisen (credentials), der noch nicht mit den anderen Mitgliedern des Netzwerks geteilt wird. Diese Berechtigungs nachweise sind zufällig intern generiert, beispielsweise nach einem ersten Starten (boot-up) der Steuerung oder des Clients.
2.) Aufgrund von Punkt (1.) wird eine anfängliche Verbindung zwischen den
Mitgliedern des Netzwerks wegen der unbekannten Berechtigungsnachweise abgelehnt.
3.) Jedes Mitglied des Netzwerks wird eindeutig identifiziert, beispielsweise durch eine Zeichenfolge (String), die innerhalb einer Produktlinie normiert ist und in den Installationsanweisungen für den Feldeinsatz definiert ist.
4.) Aufgrund des anfänglichen (fehlgeschlagenen) Versuchs, eine bestimmte
Steuerung einzubinden, wird die Zeichenfolge der ersuchenden Einheit in dem volatilen Speicher der Steuerung, welche zu erreichen versucht wurde, gespeichert.
5.) Die Liste aller anfragenden Einheiten kann beispielsweise auf einer eingebetteten Bedien-Mensch-Maschine-Schnittstelle (Service MMI) oder auf einem bereits authentifizierten lokalen Computer-basierten Service-Werkzeug ausgegeben werden.
6.) Ein Techniker kann durch die Liste der anfragenden Einheiten durchgehen
(browsen) und manuell anfragende Clients, welche durch ihre jeweilige
Zeichenfolge identifiziert sind, genehmigen (approve). Hierzu kann der
Techniker beispielsweise geeignet editierte Feldinstruktionen verwenden, um zu überprüfen, dass Namen kompatibel mit der Dokumentation sind.
7.) Während dieses Durchgehens kann der Techniker entscheiden, jedes erkannte
Mitglied manuell zu selektieren und eine Kommunikation mit der Steuerung manuell zu genehmigen. Alternativ können alle anfragenden Einheiten genehmigt werden, indem beispielsweise ein„alle auswählen“-Knopf betätigt wird.
8.) Nach dem Genehmigen wird die anfragende Einheit automatisch in die Liste vertrauenswürdiger Mitglieder übernommen und eine Datenkommunikation mit dieser Steuerung kann in sichererWeise stattfinden.
9.) Die vorangehende Prozedur muss für alle anfragenden Einheiten in der
durchzugehenden Liste und für jede Steuerung in dem Netzwerk wiederholt werden.
10.) Am Ende der Prozedur sind alle Berechtigungsnachweise allen Mitgliedern des
Netzwerks untereinander bekannt und die Kommunikation kann sicher durchgeführt werden.
11.) Verbindungsanfragen von einer Einheit, deren Berechtigungsnachweise nicht genehmigt wurden, werden zurückgewiesen.
Der vorangehend beschriebene Ansatz hat folgende Vorteile: a) Die Erzeugung des vertrauenswürdigen Netzwerks zwischen den Mitgliedern des Netzwerks wird manuell unter der Überwachung eines autorisierten Technikers durchgeführt. b) Sie wird lokal zum Zeitpunkt eines Kommissionierens durchgeführt. Daher ist kein zusätzlicher logistischer Aufwand (beispielsweise während der Herstellung) erforderlich. c) Sie braucht nur einmalig während des Zeitpunkts der Installation durchgeführt werden, solange keine neuen Mitglieder hinzugefügt werden oder als Ersatz für beispielsweise defekte alte Mitglieder eingesetzt werden. d) Es gibt keine manuelle Handhabung von Schlüsseln oder Logistik von
Berechtigungsnachweisen. Einzigartige Berechtigungsnachweise werden automatisch zwischen den Mitgliedern des Netzwerks transferiert aufgrund einer einfachen manuellen Genehmigung einer Einheit bzw. eines Einheitennamens beispielsweise an einem MMI. Der Feldtechniker kann vollkommen unwissend über die Art und Form solcher Berechtigungsnachweise oder Schlüssel bleiben. e) Das Verfahren ist einfach. Es erfordert lediglich ein Auswählen und Genehmigen beispielsweise an einem MMI. f) Das Verfahren ermöglicht die Implementierung spezieller Benachrichtigungen beispielsweise an dem MMI für den Fall unvollständiger oder fehlender
Paarbildung.
Abschließend ist daraufhinzuweisen, dass Begriffe wie„aufweisend“,„umfassend“, etc. keine anderen Elemente oder Schritte ausschließen und Begriffe wie„eine“ oder„ein“ keine Vielzahl ausschließen. Ferner sei daraufhingewiesen, dass Merkmale oder Schritte, die mit Verweis auf eines der obigen Ausführungsbeispiele beschrieben worden sind, auch in Kombination mit anderen Merkmalen oder Schritten anderer oben beschriebener Ausführungsbeispiele verwendet werden können. Bezugszeichen in den Ansprüchen sind nicht als Einschränkung anzusehen.

Claims

Patentansprüche
1. Verfahren zum Aufbauen einer geschützten Datenkommunikationsverbindung (15) zwischen einer Steuerung (3) einer Personentransportanlage und einem Mobilgerät (5), wobei sowohl die Steuerung (3) als auch das Mobilgerät (5) dazu konfiguriert sind, eine zunächst ungeschützte Datenkommunikationsverbindung (13) untereinander aufzubauen sowie jeweils geschützte Datenkommunikationsverbindungen (9, 11) mit einem gemeinsamen externen Computer (7) aufzubauen,
wobei das Verfahren umfasst:
- Aufbauen einer ungeschützten Datenkommunikationsverbindung (13) zwischen der Steuerung (3) und dem Mobilgerät (5);
- Aufbauen einer ersten geschützten Datenkommunikationsverbindung (9) zwischen der Steuerung (3) und dem gemeinsamen externen Computer (7) sowie Aufbauen einer zweiten geschützten Datenkommunikationsverbindung (11) zwischen dem Mobilgerät (5) und dem gemeinsamen externen Computer (7);
- Übermitteln eines Tokens (19) zwischen der Steuerung (3) und dem Mobilgerät (5) über die ungeschützte Datenkommunikationsverbindung (13);
- Übermitteln des Tokens (19) durch die Steuerung (3) über die erste geschützte Datenkommunikationsverbindung (9) an den gemeinsamen externen Computer (7) sowie Übermitteln des Tokens (19) durch das Mobilgerät (5) über die zweite geschützte Datenkommunikationsverbindung (11) an den gemeinsamen externen Computer (7);
- Generieren eines ersten und eines zweiten Schlüsselpaares (29, 31) jeweils umfassend einen öffentlichen Schlüssel (25, 27) und einen privaten Schlüssel (21, 23) in dem gemeinsamen externen Computer (7);
- Übermitteln zumindest des privaten Schlüssels (21) des ersten Schlüsselpaares (29) und des öffentlichen Schlüssels (27) des zweiten Schlüsselpaares (31) durch den gemeinsamen externen Computer (7) an die Steuerung (3) und Übermitteln zumindest des privaten Schlüssels (23) des zweiten Schlüsselpaares (31) und des öffentlichen Schlüssels (25) des ersten Schlüsselpaares (29) durch den gemeinsamen externen Computer (7) an das Mobilgerät (5);
- Umwandeln der ungeschützten Datenkommunikationsverbindung (13) zwischen der Steuerung (3) und dem Mobilgerät (5) in eine geschützte Datenkommunikations verbindung (15) durch Verschlüsseln zu übermittelnder Daten unter Verwendung der Schlüsselpaare (29, 31).
2. Verfahren nach Anspruch 1, wobei der externe gemeinsame Computer (7) die beiden Schlüsselpaare (29, 31) in Reaktion auf das Übermitteln des Tokens (19) generiert.
3. Verfahren nach einem der vorangehenden Ansprüche, wobei der externe gemeinsame Computer (7) die beiden Schlüsselpaare (29, 31) zufallsbasiert generiert.
4. Verfahren nach einem der vorangehenden Ansprüche, wobei die Schlüsselpaare (29, 31) eine definierte Ablaufzeit aufweisen, nach der sie nicht mehr für die geschützte Datenkommunikationsverbindung (15) verwendbar sind.
5. Verfahren nach einem der vorangehenden Ansprüche, wobei der gemeinsame externe Computer (7) Teil einer Datenwolke (17) ist, die von einem die
Personentransportanlage betreuenden Unternehmen gehostet wird.
6. Geräteanordnung (1) zum Warten einer Personentransportanlage, wobei die Geräteanordnung (1) eine Steuerung (3) der Personentransportanlage, ein Mobilgerät (5) sowie einen gemeinsamen externen Computer (7) umfasst, wobei die Geräteanordnung (1) dazu konfiguriert ist, ein Verfahren gemäß einem der Ansprüche 1 bis 5 auszuführen oder zu steuern.
7. Steuerung (3) einer Personentransportanlage, welche dazu konfiguriert ist, in Kooperation mit einem Mobilgerät (5) und einem gemeinsamen externen Computer (7) ein Verfahren gemäß einem der Ansprüche 1 bis 5 auszuführen oder zu steuern.
8. Computerprogrammprodukt mit computerlesbaren Anweisungen, welche bei Ausführung auf einem oder mehreren Prozessoren in einer Geräteanordnung (1) gemäß Anspruch 6 dazu anleiten, das Verfahren gemäß einem der Ansprüche 1 bis 5 auszuführen oder zu steuern.
9. Computerprogrammprodukt mit computerlesbaren Anweisungen, welche bei Ausführung auf einem oder mehreren Prozessoren in einer Steuerung (3) gemäß Anspruch 7 dazu anleiten, in Kooperation mit einem Mobilgerät (5) und einem gemeinsamen externen Computer (7) das Verfahren gemäß einem der Ansprüche 1 bis 5 auszuführen oder zu steuern.
10. Computerlesbares Medium mit einem darauf gespeicherten Computerprogramm produkt gemäß einem der Ansprüche 8 und 9.
EP19818179.4A 2018-12-21 2019-12-18 Aufbauen einer geschützten datenkommunikationsverbindung zwischen einer steuerung einer personentransportanlage und einem mobilgerät Pending EP3899766A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP18215567 2018-12-21
PCT/EP2019/085864 WO2020127433A1 (de) 2018-12-21 2019-12-18 Aufbauen einer geschützten datenkommunikationsverbindung zwischen einer steuerung einer personentransportanlage und einem mobilgerät

Publications (1)

Publication Number Publication Date
EP3899766A1 true EP3899766A1 (de) 2021-10-27

Family

ID=65023657

Family Applications (1)

Application Number Title Priority Date Filing Date
EP19818179.4A Pending EP3899766A1 (de) 2018-12-21 2019-12-18 Aufbauen einer geschützten datenkommunikationsverbindung zwischen einer steuerung einer personentransportanlage und einem mobilgerät

Country Status (4)

Country Link
US (1) US20220086129A1 (de)
EP (1) EP3899766A1 (de)
CN (1) CN113228014A (de)
WO (1) WO2020127433A1 (de)

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5249230A (en) * 1991-11-21 1993-09-28 Motorola, Inc. Authentication system
US8880881B2 (en) * 2012-01-18 2014-11-04 Square, Inc. Secure communications between devices
EP2884690A4 (de) * 2012-08-08 2016-03-09 Toshiba Kk Vorrichtung zur erzeugung eines neuverschlüsselungsschlüssels, neuverschlüsselungsvorrichtung, verschlüsselungsvorrichtung, entschlüsselungsvorrichtung und programm
GB2516939A (en) * 2013-08-07 2015-02-11 Eus Associates Ltd Access authorisation system and secure data communications system
US10979219B2 (en) * 2014-03-12 2021-04-13 Nokia Technologies Oy Pairing of devices
US9225742B2 (en) * 2014-03-24 2015-12-29 Airwatch Llc Managed real-time communications between user devices
US11228569B2 (en) * 2016-03-01 2022-01-18 Ford Global Technologies, Llc Secure tunneling for connected application security
US10187791B2 (en) * 2016-04-06 2019-01-22 Hrb Innovations, Inc. Workstation and client device pairing
US20180176256A1 (en) * 2016-12-16 2018-06-21 Futurewei Technologies, Inc. Temporal Control and Access Control of Emails
US10594702B2 (en) * 2016-12-16 2020-03-17 ULedger, Inc. Electronic interaction authentication and verification, and related systems, devices, and methods

Also Published As

Publication number Publication date
WO2020127433A1 (de) 2020-06-25
CN113228014A (zh) 2021-08-06
US20220086129A1 (en) 2022-03-17

Similar Documents

Publication Publication Date Title
EP2499775B1 (de) Vorrichtung und verfahren zum absichern eines aushandelns von mindestens einem kryptographischen schlüssel zwischen geräten
DE102015113054A1 (de) Sichern von Vorrichtungen bei Prozesssteuerungssystemen
DE102016216115A1 (de) Computervorrichtung zum Übertragen eines Zertifikats auf ein Gerät in einer Anlage
WO2019034509A1 (de) Verfahren zum sicheren ersetzen eines bereits in ein gerät eingebrachten ersten herstellerzertifikats
DE102010044517A1 (de) Verfahren zur Zertifikats-basierten Authentisierung
EP3582033B1 (de) Verfahren zur gesicherten bedienung eines feldgeräts
EP3422628B1 (de) Verfahren, sicherheitseinrichtung und sicherheitssystem
WO2012010380A1 (de) Verfahren zum kryptographischen schutz einer applikation
DE102013203101A1 (de) Erweitern der Attribute einer Credentialanforderung
EP3556047A1 (de) Programmierbares hardware-sicherheitsmodul und verfahren auf einem programmierbaren hardware-sicherheitsmodul
EP3198826B1 (de) Authentisierungs-stick
WO2008022606A1 (de) Verfahren zur authentifizierung in einem automatisierungssystem
EP3785416B1 (de) Verfahren zur anbindung eines endgerätes in eine vernetzbare rechner-infrastruktur
EP3734478A1 (de) Verfahren zur vergabe von zertifikaten, leitsystem, verwendung eines solchen, technische anlage, anlagenkomponente und verwendung eines identitätsproviders
EP3899766A1 (de) Aufbauen einer geschützten datenkommunikationsverbindung zwischen einer steuerung einer personentransportanlage und einem mobilgerät
EP3244360A1 (de) Verfahren zur registrierung von geräten, insbesondere von zugangskontrollvorrichtungen oder bezahl- bzw. verkaufsautomaten bei einem server eines systems, welches mehrere derartige geräte umfasst
DE102018102608A1 (de) Verfahren zur Benutzerverwaltung eines Feldgeräts
WO2017144649A1 (de) Sicherung von zutrittsberechtigungen zu ortsfesten anlagen
EP3881486B1 (de) Verfahren zur bereitstellung eines herkunftsortnachweises für ein digitales schlüsselpaar
DE102021109253B4 (de) Verfahren zum login eines autorisierten nutzers auf ein gerät, insbesondere auf ein gerät für eine energieerzeugungsanlage, und energieerzeugungsanlage mit gerät
EP3627755A1 (de) Verfahren für eine sichere kommunikation in einem kommunikationsnetzwerk mit einer vielzahl von einheiten mit unterschiedlichen sicherheitsniveaus
EP3906653B1 (de) Verfahren zum ausstellen einer kryptographisch geschützten authentizitätsbescheinigung für einen benutzer
EP4138435A1 (de) Verfahren für die erteilung eines zugriffsrechts auf eine steuereinheit in einem gebäudesteuerungssystem
EP4320819A1 (de) Verfahren zur integration einer neuen komponente in ein netzwerk, registrarkomponente und anlage
WO2023217645A1 (de) Abgesichertes zugriffssystem

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20210504

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
RAP3 Party data changed (applicant data changed or rights of an application transferred)

Owner name: INVENTIO AG

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20221214