EP4252405A1 - Method for communication between a third-party component on a user device and a service component in the cloud, and network arrangement for implementing the method - Google Patents

Method for communication between a third-party component on a user device and a service component in the cloud, and network arrangement for implementing the method

Info

Publication number
EP4252405A1
EP4252405A1 EP21799023.3A EP21799023A EP4252405A1 EP 4252405 A1 EP4252405 A1 EP 4252405A1 EP 21799023 A EP21799023 A EP 21799023A EP 4252405 A1 EP4252405 A1 EP 4252405A1
Authority
EP
European Patent Office
Prior art keywords
component
data
cloud
party
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP21799023.3A
Other languages
German (de)
French (fr)
Inventor
Christoph BURGER-SCHEIDLIN
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of EP4252405A1 publication Critical patent/EP4252405A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/53Network services using third party service providers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services

Definitions

  • the invention relates to a method having the features of claim 1 and a network arrangement having the features of claim 11, a computer program having the features of claim 12 and a machine-readable storage medium.
  • cloud solutions are often preferred, with the apps being distributed via a provider in the cloud, such as Google Play Store. After distribution, the apps are largely independent of the provider and use the communication partners provided by the app.
  • the publication DE 10 2018 219 067 A1 which is probably the closest prior art, describes a system and a method for the local composition of a data page with personal user data for a number of services that the user accesses and which is on a number of servers to be provided.
  • the invention relates to a method for communication between a third-party component on a user device and a service component in the cloud.
  • a user device is understood to mean, in particular, a UE—user equipment.
  • the user device can be designed in particular as a mobile phone, tablet, computer, but also as a vehicle, production machine, work machine, robot, etc.
  • the user device is thus understood to mean in particular all end devices that enable the third-party component to run.
  • the third-party component is understood to be application software, an application program, software, a computer program and/or an app that can run on the user device.
  • Cloud means in particular an IT infrastructure that is made available, for example, via the Internet.
  • the cloud is designed as a computer network.
  • the cloud can provide various service models, in particular Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS) and/or Function as a Service (FaaS).
  • IaaS Infrastructure as a Service
  • PaaS Platform as a Service
  • SaaS Software as a Service
  • FaaS Function as a Service
  • At least one service is offered in the cloud by a service component.
  • the service may constitute processing.
  • the simplest example of processing is a forwarding of data.
  • different types of cloud processing components are provided as service components that implement the at least one service. This includes, for example, cloud processing services for visualization, cloud processing services for forwarding or cloud processing services for aggregating data.
  • Under the service component is an application software, an application program, a software, a Computer program and/or an app understood, which can run in the cloud.
  • the method enables communication, in particular data exchange, between the third-party component on the user device and the service component in the cloud.
  • the communication can only be unidirectional, in particular from the third-party component to the service component, or bidirectional, so that data is sent from the third-party component to the service component and data from the service component to the third-party component.
  • the data can have any form and in particular also include images, videos, acoustic information, messages, in particular control messages.
  • the service component is provided with a data ID, which is signed together with the service component.
  • the signing takes place via a certificate.
  • the certificate is designed in particular as a cryptographic and/or digital certificate which has a public part and a private part, in particular a public key and a private key.
  • Signing with the certificate takes place in particular via the private part of the certificate and can be checked via the public part of the certificate.
  • the public part is deposited with a certification authority.
  • the third party component provides component data.
  • the third-party component can record input signals and/or input data via the user device, process them and provide them as component data. It is envisaged that the component data will be tagged with the data ID to create tagged component data.
  • the component data is linked to the data ID in terms of data technology.
  • the identified component data, including the component data and the data ID, are transmitted to the cloud, in particular via an endpoint.
  • the identified component data will be associated with the service component with the data ID in the cloud.
  • the identified component data is forwarded to the service component with the data ID residing in the identified component data in the cloud.
  • the network arrangement is able to process any data without having to pay attention to compatible or standardized data types.
  • a particular advantage of the invention is that the data can be processed independently of the compatibility with other components or standards.
  • the relationship between user device and cloud processing can be designed differently. These can be a simple redirect. But there are also z. B. compression / decompression or analysis and visualization conceivable.
  • the service component in the cloud as a service can also be, for example, a visualization of specific app data and/or component data as part of a data dashboard that can display data from multiple third-party components from the same user device or from multiple user devices.
  • the third-party component is signed with a component ID.
  • the signing takes place via the or another certificate.
  • the certificate is designed in particular as a cryptographic and/or digital certificate which has a public part and a private part, in particular a public key and a private key.
  • the user device has a device management component.
  • the device management component can also be referred to as a device manager or as a device manager. It is envisaged that the device management component will communicate with a device management server in the cloud.
  • the device management server can also be referred to as a device server. Provision is preferably made for the identified component data to be routed to the service component in the cloud via the device management component and the device management server.
  • the data transmission of the marked component data takes place via the
  • the device management server provides an endpoint, with the device management component in particular communicating exclusively with the endpoint.
  • This connection is particularly preferably designed as a secured connection.
  • this connection is designed as a VPN connection.
  • This refinement means that only a single, particularly secure connection to the device management server in the cloud must be maintained, via which the component data can be transmitted.
  • This connection allows to control the flow of component data and other data, especially in terms of throughput, overhead and latency. This is particularly beneficial in a corporate environment where many uncontrolled connections could lead to IT security concerns.
  • the third-party component now does not transfer the component data directly to the cloud, but via the device management component.
  • the device management component is able to control the component data, especially with regard to data volume and latency.
  • the device management component can handle multiple files at the expense of latency bundle to reduce overhead.
  • this check can also take place as a function of the license purchased for the user device, so that a decision is made in favor of the reduced overhead if a basic license is present, while a decision is made in favor of a lower latency if an extended license is present.
  • the service component sends control messages to the third-party component via the device management server and the device management component.
  • the same, preferably secure, connection is used as for the transmission of the marked component data.
  • the third-party component is transferred to the user device via the device management server and the device management component for the purpose of installation and/or update.
  • the third-party component is particularly preferably transmitted together with the data ID.
  • the identified component data, control messages and the third-party component for installation and/or updating are thus transmitted via the same, in particular secure, connection.
  • This architecture ensures that the transmission of data can be protected in a simple manner with regard to IT security.
  • the use of the data ID ensures that the component data is assigned to the respective service component, so that IT security is also increased to the effect that the component data and other data are routed to the correct recipient.
  • the service component and the third-party component are signed with the same certificate and/or with a certificate from the same developer.
  • the data ID preferably includes the component ID as information, so that there is a strict and therefore secure association between the third-party component, the service component and the component data.
  • the service component is signed using a first certificate and the third-party component is signed using a second certificate. It is particularly preferred that the signed service component is signed together with the signed third-party component using a bundle certificate. In this embodiment, the assignment of
  • Data ID for the service component can only be done by signing the bundle certificate.
  • This architecture of the signatures makes it possible for the third-party component and the service component to be signed by different certificates and for the merging to take place using the bundle certificate. It is also possible that service components that already exist and are possibly signed by a third-party certificate can be included in the method with the bundle certificate.
  • the third-party certificate is from another developer.
  • Figure 1 shows a first embodiment of the invention of a network arrangement for executing a method for communication in a schematic
  • FIG. 2 shows a second exemplary embodiment of the invention of a network arrangement for carrying out a method for communication in a schematic block diagram
  • FIG. 3 shows a third exemplary embodiment of the invention of a network arrangement for carrying out a method for communication in a schematic block diagram
  • FIG. 4 shows a fourth exemplary embodiment of the invention of a network arrangement for carrying out a method for communication in a schematic block diagram
  • FIG. 5 shows a fifth exemplary embodiment of the invention of a network arrangement for carrying out a method for communication in a schematic block diagram
  • FIG. 6 shows a sixth exemplary embodiment of the invention of a network arrangement for carrying out a method for communication in a schematic block diagram
  • FIG. 7 shows a seventh exemplary embodiment of the invention of a network arrangement for carrying out a method for communication in a schematic block diagram.
  • FIG. 1 shows a network arrangement 1 as an exemplary embodiment of the invention in a schematic block diagram.
  • the network arrangement 1 has a user device 2 and modules in a cloud 3 .
  • the user device 2 is in the form of a terminal device, such as a cell phone, or any other terminal device. It can record input signals 19, such as images, video sequences, sound sequences, sensor readings or also input data via appropriate interfaces.
  • the user device 2 has a third-party component 4, the third-party component 4 being designed as a computer program, in particular as an app.
  • the third-party component 4 can come from the manufacturer of the operating system of the user device 2 or from another provider.
  • the third-party component 4 receives the input signals 19, preferably in digitized form, and converts them into component data 20 as output data from the third-party component 4.
  • the user device 2 has a device management component 5, wherein the device management component 5 can also be referred to as a device manager or as a device manager.
  • the component data 20 are transferred to the cloud 3 via the device management component 5 via a connection 6 .
  • the connection 6 can be designed as a secure connection, in particular as a VPN channel.
  • a device management server 7 and a service module 8 as well as a component distribution module 9 are provided as modules in the cloud 3 .
  • the modules can be centralized or decentralized in the cloud 3 as software modules and/or hardware modules.
  • the service module 8 has a service component 10, the service component 10 being designed as a computer program, in particular as an app.
  • the component distribution module 9 is used to distribute the third-party component 4 to the user device 2 and from the service component 10 to the service module 8.
  • the third-party component 4 is first delivered to the device management server 7, and the third-party component 4 or an update thereof is sent via the device management server 7 via the connection 6 delivered to the user device 2.
  • the user device 2 identifies the component data 20 of the third-party component 4 with the data ID, so that identified component data 21 is generated.
  • the identification with the data ID can be performed by the third-party component 4 or, as shown in FIG. 1, by the device management component 5.
  • the identified component data 21 is routed via the connection 6 from the device management component 5 to the cloud 3 to the device management server 7 and then to the service module 8 with the service component 10, which has the data ID of the identified component data. What is achieved with this architecture is that the third-party component 4 is distributed and the marked component data is transferred via the same connection 6 .
  • identifying the component data with the data ID ensures that the identified component data 21 or the component data 20 in the Cloud 3 is forwarded to the service module 8 with the corresponding service component 10 with the same data ID, so that the assignment of the component data 20 to the service component 10 is deterministically ensured.
  • app bundles are known from Android, which are signed bundles of software components from which only a subset has to be installed on a device, this subset resulting from the characteristics of the device on which the software is installed.
  • concept of multi-APK is also known from Android, in which several apps are basically available, but only the version of the app that has been optimized by the developer for the corresponding device is installed.
  • the third-party components are written by a software developer and then signed using a certificate.
  • the secret key is known only to the software developer himself.
  • the public part of the certificate is deposited with a service for distributing / selling apps, which can be used to confirm the origin of the software.
  • a device now communicates with this distribution service via an endpoint in the cloud, via which the apps are installed on the device (e.g. Google Play Store). Data sent by the app is usually sent via a separate server (e.g. WhatsApp).
  • FIG. 1 shows a system that is only partially known from the prior art.
  • the device management component 5 on the user device 2 connects it to the device management server 7 in the cloud 3.
  • the device management server 7 is connected to a system for distributing and managing third-party components 4, the component distribution module 8.
  • a developer can now develop the third-party component 4 for the user device 2 and this Device management component (component distribution module 8) passed in the cloud 3.
  • the particularly cryptographic certificate 11 is used, from which the public part of the administration component (component distribution module 8) has been made known in the course of a first-time registration process.
  • the owner of the user device 2 can now obtain the third-party component 4 via the cloud 3 and have it installed on the user device 2 .
  • the installation is orchestrated via the device management server 7.
  • one of a large number of possible variants of the third-party component 4 can be used here.
  • each of the third-party components 4 is usually responsible for the communication itself and communicates with its own servers, as can be seen from the large number of available messengers.
  • the exemplary embodiments in the figures deal with the user device 2, with third-party components 4 being able to be installed later and which may be used in a secure environment.
  • the user device 2 detects and processes input data and/or signals 19 and sends them as component data 20 or 21 to the cloud 3.
  • the preferred single connection 6 to the cloud 3 should be used. This enables the communication of the user device 2 to be checked more precisely and simplifies the effort involved in setting up firewall rules.
  • One idea is to identify service components 10 in the cloud 3 by the developer, identify the component data 20 generated by the third-party component 4 on the user device 2, and bundle both components using cryptographic signatures S. By identifying the component data with the data -ID for implementation in the marked component data 21, an assignment of the component data 20 in the cloud 3 and an adapted processing by the service component 4 with the same data ID is possible.
  • This procedure enables the network arrangement 1 to process any data, without having to rely on compatible or standardized data types must be respected.
  • only at least or precisely one single (secured) connection 6 to the cloud 3 (to the device management server 7) must be maintained, via which the transmission of component data is now also possible.
  • This connection allows to control the flow of data, especially in terms of throughput, overhead and latency. This is particularly beneficial in a corporate environment where many, uncontrolled connections could lead to concerns about IT security.
  • a particular advantage is that the component data 20 can be processed independently of the compatibility with other components or standards, since the component data 20 is assigned to the corresponding, compatible service component 10 .
  • the relationship between user device and cloud processing can be designed differently. These can be a simple redirect. But there are also z. B. compression / decompression or analysis and visualization conceivable.
  • the service component 10 in the cloud 3 can, for example, also be a visualization of specific component data as part of a data dashboard which can display the data from a number of third-party components 4 .
  • the network arrangement 1 is described, in which the user device 2 is to be operated via as few as possible, preferably via a single, connection 6 to the outside world. This enables the communication of user device 2 to be checked more precisely and simplifies the effort involved in setting up firewall rules.
  • One or more apps are located on the user device 2 as third-party components 4, which process an input signal and/or signal 19, for example a video signal or a user input. The apps generate output signals in the form of digital data as component data 20.
  • the apps now do not give the data 20 directly, but via a device manager as a device management component 5 in the cloud 3.
  • the device manager is able to control the data here, specifically with regard to data volume and latency.
  • the device manager can bundle multiple data at the cost of latency to reduce overhead.
  • this check can also take place depending on the license purchased for the user device, so that if a basic license is available, a decision is made in favor of the reduced overhead, while if there is a basic license an extended license is decided in favor of a lower latency.
  • the apps i.e. the third-party component 4 or the device management component 5, mark the component data 20 with the data ID, which is evaluated in the cloud 3 by the receiving body.
  • the or another developer now creates a processing component as a service component 10 for the cloud 3, signs it with his certificate 11 and makes it available to the cloud 3.
  • This processing component is intended and marked for the processing of a data ID.
  • the cloud 3 can now carry out the specific processing for the component data 20 via this data ID, in that the component data 20 is processed using the processing component.
  • forwarding by the device management server 7 to the correct processing unit as a service module 8 with the service component 10 in the cloud 3 is made possible by means of the data ID.
  • the component data are transferred to a processing instance, which uses the data ID to decide which service component 10 is to be executed for the component data 20.
  • These service components 10 are programmed by developers like the apps and are accordingly provided with a cryptographic signature with the data ID. It should be noted that an app on the user device 2 can also generate different component data 20 each with a unique data ID.
  • the simplest example of processing by the service component 10 is a simple forwarding of the component data 20, as shown in FIG.
  • the component data are forwarded by the service module 8 with the service component 10 with the corresponding data ID to a predeterminable server 14, for example.
  • service components 10 and/or service modules 8 are supported, for example cloud processing modules for visualization, cloud processing modules for forwarding or cloud processing modules for aggregation. It is also possible that the cloud processing modules in turn use the device management server 7 to control messages 22 to the Deliver third-party components, as shown in FIG. 3 by way of example.
  • the connection 6 is used for the control messages 22, so that only a single connection 6 is still used.
  • the control messages are sent by the service component 10 and are marked with the component ID 12 .
  • the control messages are sent to the user device 2 via the device management server 7 .
  • the component ID 12 can ensure delivery to the desired user device, in particular to the desired third-party component with the same component ID.
  • the component ID 12 can mark the control message and thus secure it.
  • the data ID is a key element as it links the processing on the user device 2 to the processing in the cloud 3 . It is also possible for the component data 20 to first be stored in a database before processing. This is particularly useful when the cloud processing is a visualization.
  • the data ID is preferably a hierarchical structure made up of a basic data type, component ID, specialization and/or version number.
  • the base data type allows to choose an appropriate storage in a database.
  • the component ID allows assignment to a third-party component 4, the specialization allows the third-party component 4 to distinguish specific data, and the version number finally allows later processing, which is particularly useful when the data is stored in a database.
  • the device management component 5 preferably checks the component ID in the data ID (or adds it) to prevent a third-party component 4 from setting a data ID in such a way that unwanted processing is carried out by another cloud processing component, in particular service component 10 , which can lead to security problems.
  • the cloud 3 preferably verifies that the service component 10 has been signed by the same developer as the component ID identified by the data ID, which prevents other third-party components 4 component data from being signed by a non competent service component 10 can be processed. (This check can be done once).
  • the third-party component 4 and the service component 10 are signed with different certificates 11 S.
  • the third-party component 4 can be signed by a first developer and the service component 10 can be signed by a second developer, each with different certificates 11 .
  • the signed components 4, 10 are jointly signed using a bundle certificate 15 with the signature S.
  • the network arrangement 2 described in the preceding figures uses the same certificate 11 for all components 4 and 10 that belong together.
  • the components that belong together are identified via this common certificate 11 .
  • a variant is shown in FIG. 4, this implicit association being solved by a further signature as a bundle certificate 15, so that in principle three certificates 11, 11, 15 are used, one each for the individual components 4, 10 and one for the collection of components 4, 10.
  • This allows existing certificates and methods to be used for signing the individual components, although typically at least two signatures are identical. In particular, this solves the problem of backwards compatibility.
  • the third-party component 4 distributed to the user device 2 behaves identically to the case where there is no cloud processing. This property applies accordingly to cloud processing. It is thus also possible to outsource the cloud processing to third-party components 4 which require certain signatures which the component administration cannot check. For example, if the processing takes place on a "foreign" cloud.
  • a local processing node 16 with a processing component 17 can be installed, or intermediate processing, such as compression of the data in the processing component 17, can take place.
  • the processing node 16 can be designed in different ways. It can be a physical computing unit, a virtual machine, or just time on a Cloud 3 or Edge Cloud. This device can be installed together with the devices on a site ("on-premise") or made available by a third party, for example in a nearby data center ("off-premise", not shown). It can also be dedicated resources or parts of third-party systems, such as systems for managing the devices.
  • a processing ID 18 of the processing component 17 behaves analogously to the data ID in the cloud 3.
  • the processing ID 18 is signed by means of the bundle certificate 15.
  • the processing component 17 checks analogously for the mechanisms described, the data ID and, if necessary, requests missing processing components from the cloud 3.
  • This enables the identification of already (pre-)processed data, so that a hybrid use of the components is possible.
  • the developer signs two cloud processing components, the local processing component 17 and the third-party component 4.
  • the data IDs of the cloud processing components as service components 10, 10' are designed in such a way that one receives the component data of the third-party component 4 directly (data ID 13A) and one the Component data of the local processing component 16 receives (data ID 13B).
  • the processing ID of the local processing component corresponds to the data ID A.
  • a particular advantage of using component bundles with a bundle certificate 15 is that systems can be used that require specific certificates, e.g. because the component comes from a third-party manufacturer. Allocation in Cloud 3 is still possible. However, the checks on the IDs of the components are most likely not implemented in the existing system. Therefore, the device management server 7 in the cloud must, if necessary, explicitly link which data is to be processed in which component.
  • FIG. 1 shows the basic mechanism.
  • a developer creates several different components for different purposes (processing on the device and processing in the cloud) and digitally signs them.
  • a data ID which annotates the data sent to the cloud, triggers processing by the corresponding component in the cloud responsible for the data ID.
  • FIG. 2 shows the implementation of the application as an example.
  • Figure 3 shows the form with bidirectional communication, which enables the cloud processing components Deliver control messages to the device.
  • FIG. 4 shows the embodiment with a component bundle. Existing certificates can be used to sign individual components. The collection of components is then signed with another certificate.
  • FIG. 5 shows the use of existing cloud processing modules, for example to visualize standard data types.
  • Figure 6 shows the use of component bundles for processing on multiple devices.
  • FIG. 7 shows the use of component bundles in hybrid use, in which both separate processing on a separate device and collective processing in the cloud is possible.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

The invention relates to a method for communication between a third-party component (4) on a user device (2) and a service component (10) in the cloud (3), wherein: the service component (10) is signed by a data ID (13); the third-party component (4) provides component data (20); the component data (20) are marked by the data ID (13) in order to generate marked component data (21); the marked component data (21) are transferred into the cloud (3); and the marked component data (21) are assigned to the service component (10) having the data ID (13).

Description

Beschreibung description
Titel title
Verfahren zur Kommunikation zwischen einer Dritkomponente auf einemMethod for communication between a third-party component on a
Nutzergerät und einer Dienstkomponente in der Cloud sowie Netzwerkanordnung zur Umsetzung des Verfahrens User device and a service component in the cloud and network arrangement for implementing the method
Stand der Technik State of the art
Die Erfindung betrifft ein Verfahren mit den Merkmalen des Anspruchs 1 sowie eine Netzwerkanordnung mit den Merkmalen des Anspruchs 11, ein Computerprogramm mit den Merkmalen des Anspruchs 12 und ein Maschinenlesbares Speichermedium. The invention relates to a method having the features of claim 1 and a network arrangement having the features of claim 11, a computer program having the features of claim 12 and a machine-readable storage medium.
Bei der Verteilung von Apps werden oftmals Cloud-Lösungen favorisiert, wobei die Apps über einen Anbieter in der Cloud, wie zum Beispiel Google Play Store, verteilt werden. Nach der Verteilung sind die Apps weitgehend unabhängig von dem Anbieter und nutzen die von der App vorgesehenen Kommunikationspartner. When distributing apps, cloud solutions are often preferred, with the apps being distributed via a provider in the cloud, such as Google Play Store. After distribution, the apps are largely independent of the provider and use the communication partners provided by the app.
Die Druckschrift DE 10 2018 219 067 Al, die wohl den nächstkommenden Stand der Technik bildet, beschreibt ein System und ein Verfahren zur lokalen Komposition einer Datenseite mit personenbezogenen Nutzerdaten für eine Menge von Diensten, auf die der Nutzer zugreift und die auf eine Menge von Servern bereitgestellt werden. The publication DE 10 2018 219 067 A1, which is probably the closest prior art, describes a system and a method for the local composition of a data page with personal user data for a number of services that the user accesses and which is on a number of servers to be provided.
Offenbarung der Erfindung Disclosure of Invention
Im Rahmen der Erfindung wird ein Verfahren mit den Merkmalen des Anspruchs 1, eine Netzwerkanordnung mit den Merkmalen des Anspruchs 11, ein Computerprogramm mit den Merkmalen des Anspruchs 12 sowie ein maschinenlesbares Speichermedium mit den Merkmalen des Anspruchs 13 vorgeschlagen. Bevorzugte oder vorteilhafte Ausführungsformen der Erfindung ergeben sich aus den Unteransprüchen, der nachfolgenden Beschreibung sowie den beigefügten Figuren. In the context of the invention, a method with the features of claim 1, a network arrangement with the features of claim 11, a computer program with the features of claim 12 and a machine-readable storage medium with the features of claim 13 proposed. Preferred or advantageous embodiments of the invention result from the dependent claims, the following description and the attached figures.
Gegenstand der Erfindung ist ein Verfahren zur Kommunikation zwischen einer Drittkomponente auf einem Nutzergerät und einer Dienstkomponente in der Cloud. The invention relates to a method for communication between a third-party component on a user device and a service component in the cloud.
Unter einem Nutzergerät wird insbesondere ein UE - User Equipment verstanden. Das Nutzergerät kann insbesondere als Mobiltelefon, Tablet, Computer, aber auch als Fahrzeug, Fertigungsmaschine, Arbeitsmaschine, Roboter etc. ausgebildet sein. Unter Nutzergerät werden somit insbesondere alle Endgeräte verstanden, welche das Ablaufen der Drittkomponente ermöglichen. A user device is understood to mean, in particular, a UE—user equipment. The user device can be designed in particular as a mobile phone, tablet, computer, but also as a vehicle, production machine, work machine, robot, etc. The user device is thus understood to mean in particular all end devices that enable the third-party component to run.
Unter der Drittkomponente wird eine Anwendungssoftware, ein Anwendungsprogramm, eine Software, ein Computerprogramm und/oder eine App verstanden, welche auf dem Nutzergerät ablaufen kann. The third-party component is understood to be application software, an application program, software, a computer program and/or an app that can run on the user device.
Unter Cloud wird insbesondere eine IT- Infrastruktur verstanden, die beispielsweise über das Internet verfügbar gemacht wird. Insbesondere ist die Cloud als ein Rechnernetz ausgebildet. Insbesondere kann die Cloud verschiedene Servicemodelle, im Speziellen Infrastructure as a Service (laaS), Platform as a Service (PaaS), Software as a Service (SaaS) und/oder Function as a Service (FaaS) zur Verfügung stellen. Cloud means in particular an IT infrastructure that is made available, for example, via the Internet. In particular, the cloud is designed as a computer network. In particular, the cloud can provide various service models, in particular Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS) and/or Function as a Service (FaaS).
In der Cloud wird mindestens ein Dienst durch eine Dienstkomponente angeboten. Der Dienst kann eine Verarbeitung darstellen. Das einfachste Beispiel der Verarbeitung ist eine Weiterleitung von Daten. Alternativ oder ergänzend sind unterschiedliche Typen von Cloudverarbeitungskomponenten als Dienstkomponenten vorgesehen, die den mindestens einen Dienst umsetzen. Dies umfasst beispielsweise Cloudverarbeitungsdienste zur Visualisierung, Cloudverarbeitungsdienste zur Weiterleitung oder Cloudverarbeitungsdienste zur Aggregation von Daten. Unter der Dienstkomponente wird eine Anwendungssoftware, ein Anwendungsprogramm, eine Software, ein Computerprogramm und/oder eine App verstanden, welche in der Cloud ablaufen kann. At least one service is offered in the cloud by a service component. The service may constitute processing. The simplest example of processing is a forwarding of data. Alternatively or additionally, different types of cloud processing components are provided as service components that implement the at least one service. This includes, for example, cloud processing services for visualization, cloud processing services for forwarding or cloud processing services for aggregating data. Under the service component is an application software, an application program, a software, a Computer program and/or an app understood, which can run in the cloud.
Das Verfahren ermöglicht eine Kommunikation, insbesondere einen Datenaustausch, zwischen der Drittkomponente auf dem Nutzergerät und der Dienstkomponente in der Cloud. Dabei kann die Kommunikation nur unidirektional, insbesondere von der Drittkomponente zu der Dienstkomponente, oder bidirektional erfolgen, so dass Daten von der Drittkomponente zu der Dienstkomponente und Daten von der Dienstkomponente zu der Drittkomponente gesendet werden. Die Daten können beliebig ausgebildet sein und insbesondere auch Bilder, Videos, akustische Informationen, Nachrichten, insbesondere Kontrollnachrichten umfassen. The method enables communication, in particular data exchange, between the third-party component on the user device and the service component in the cloud. The communication can only be unidirectional, in particular from the third-party component to the service component, or bidirectional, so that data is sent from the third-party component to the service component and data from the service component to the third-party component. The data can have any form and in particular also include images, videos, acoustic information, messages, in particular control messages.
Die Dienstkomponente ist mit einer Daten-ID ausgestattet, welche zusammen mit der Dienstkomponente signiert wird. Insbesondere erfolgt die Signierung über ein Zertifikat. Das Zertifikat ist insbesondere als ein kryptographisches und/oder digitales Zertifikat ausgebildet, welches einen öffentlichen Teil und einen privaten Teil, insbesondere einen öffentlichen Schlüssel und einen privaten Schlüssel, aufweist. The service component is provided with a data ID, which is signed together with the service component. In particular, the signing takes place via a certificate. The certificate is designed in particular as a cryptographic and/or digital certificate which has a public part and a private part, in particular a public key and a private key.
Die Signierung mit dem Zertifikat erfolgt insbesondere über den privaten Teil des Zertifikats und kann über den öffentlichen Teil des Zertifikats geprüft werden. Beispielsweise ist der öffentliche Teil bei einer Zertifizierungsstelle hinterlegt. Signing with the certificate takes place in particular via the private part of the certificate and can be checked via the public part of the certificate. For example, the public part is deposited with a certification authority.
Die Drittkomponente stellt Komponentendaten bereit. Beispielsweise kann die Drittkomponente über das Nutzergerät Eingangssignale und/oder Eingangsdaten aufnehmen, diese verarbeiten und als Komponentendaten bereitstellen. Es ist vorgesehen, dass die Komponentendaten mit der Daten-ID gekennzeichnet werden, um gekennzeichnete Komponentendaten zu erzeugen. Insbesondere werden die Komponentendaten mit der Daten-ID datentechnisch verbunden. Die gekennzeichneten Komponentendaten, umfassend die Komponentendaten und die Daten-ID, werden, insbesondere über einen Endpunkt, in die Cloud übertragen. The third party component provides component data. For example, the third-party component can record input signals and/or input data via the user device, process them and provide them as component data. It is envisaged that the component data will be tagged with the data ID to create tagged component data. In particular, the component data is linked to the data ID in terms of data technology. The identified component data, including the component data and the data ID, are transmitted to the cloud, in particular via an endpoint.
Es ist vorgesehen, dass die gekennzeichneten Komponentendaten der Dienstkomponente mit der Daten-ID in der Cloud zugeordnet werden. Insbesondere werden die gekennzeichneten Komponentendaten zu der Dienstkomponente mit der Daten-ID, die sich in den gekennzeichneten Komponentendaten befindet, in der Cloud weitergeleitet. It is intended that the identified component data will be associated with the service component with the data ID in the cloud. In particular, the identified component data is forwarded to the service component with the data ID residing in the identified component data in the cloud.
Es ist dabei eine Überlegung der Erfindung, dass durch die Kennzeichnung der Daten mit der Daten-ID eine Zuordnung in der Cloud und eine angepasste Verarbeitung mit der Dienstkomponente, die mit der Daten-ID signiert ist, möglich ist. Es ist somit eine eindeutige Zuordnung der Daten, insbesondere der Komponentendaten, zu der Dienstkomponente möglich. It is a consideration of the invention that by labeling the data with the data ID, an assignment in the cloud and an adapted processing with the service component that is signed with the data ID is possible. It is thus possible to unambiguously assign the data, in particular the component data, to the service component.
Durch diese Vorgehensweise ist die Netzwerkanordnung in der Lage, beliebige Daten zu verarbeiten, ohne dass auf kompatible oder standardisierte Datentypen geachtet werden muss. Ein besonderer Vorteil der Erfindung ist, dass die Verarbeitung der Daten unabhängig von der Kompatibilität zu anderen Komponenten oder Standards erfolgen kann. Dabei kann die Relation zwischen der Nutzgeräte- und Cloudverarbeitung unterschiedlich gestaltet sein. Diese können eine einfache Weiterleitung sein. Es sind aber auch z. B. Kompression / Dekompression oder Analyse und Visualisierung denkbar. Die Dienstkomponente in der Cloud als Dienst kann z.B. auch eine Visualisierung spezieller App-Daten und/oder Komponentendaten als Teil eines Datendashboards sein, welches die Daten von mehreren Drittkomponenten von dem gleichen Nutzergerät oder von mehreren Nutzergeräten anzeigen kann. As a result of this procedure, the network arrangement is able to process any data without having to pay attention to compatible or standardized data types. A particular advantage of the invention is that the data can be processed independently of the compatibility with other components or standards. The relationship between user device and cloud processing can be designed differently. These can be a simple redirect. But there are also z. B. compression / decompression or analysis and visualization conceivable. The service component in the cloud as a service can also be, for example, a visualization of specific app data and/or component data as part of a data dashboard that can display data from multiple third-party components from the same user device or from multiple user devices.
Bei einer bevorzugten Weiterbildung der Erfindung ist die Drittkomponente mit einer Komponenten-ID signiert. Insbesondere erfolgt die Signierung über das oder ein weiteres Zertifikat. Das Zertifikat ist insbesondere als ein kryptographisches und/oder digitales Zertifikat ausgebildet, welches einen öffentlichen Teil und einen privaten Teil, insbesondere einen öffentlichen Schlüssel und einen privaten Schlüssel aufweist. In a preferred development of the invention, the third-party component is signed with a component ID. In particular, the signing takes place via the or another certificate. The certificate is designed in particular as a cryptographic and/or digital certificate which has a public part and a private part, in particular a public key and a private key.
Die Signierung mit der Komponenten-ID erfolgt insbesondere über den privaten Teil des Zertifikats und kann über den öffentlichen Teil des Zertifikats geprüft werden. Beispielsweise ist der öffentliche Teil bei einer Zertifizierungsstelle hinterlegt. Die Komponenten-ID kann unterschiedliche Signierdaten aufweisen. Bei einer bevorzugten Realisierung der Erfindung weist das Nutzergerät eine Geräteverwaltungskomponente auf. Die Geräteverwaltungskomponente kann auch als Device Manager oder als Gerätemanager bezeichnet werden. Es ist vorgesehen, dass die Geräteverwaltungskomponente mit einem Geräteverwaltungsserver in der Cloud kommuniziert. Der Geräteverwaltungsserver kann auch als Device Server bezeichnet werden. Es ist bevorzugt vorgesehen, dass die gekennzeichneten Komponentendaten über die Geräteverwaltungskomponente und den Geräteverwaltungsserver zu der Dienstkomponente in der Cloud geleitet werden. Signing with the component ID takes place in particular via the private part of the certificate and can be checked via the public part of the certificate. For example, the public part is deposited with a certification authority. The component ID can have different signing data. In a preferred implementation of the invention, the user device has a device management component. The device management component can also be referred to as a device manager or as a device manager. It is envisaged that the device management component will communicate with a device management server in the cloud. The device management server can also be referred to as a device server. Provision is preferably made for the identified component data to be routed to the service component in the cloud via the device management component and the device management server.
Bei einer bevorzugten Ausgestaltung der Erfindung erfolgt die Datenübertragung der gekennzeichneten Komponentendaten über dieIn a preferred embodiment of the invention, the data transmission of the marked component data takes place via the
Geräteverwaltungskomponente und den Geräteverwaltungsserver über eine einzige Verbindung. Insbesondere stellt der Geräteverwaltungsserver einen Endpunkt bereit, wobei die Geräteverwaltungskomponente insbesondere ausschließlich mit dem Endpunkt kommuniziert. Besonders bevorzugt ist diese Verbindung als eine gesicherte Verbindung ausgebildet. Beispielsweise ist diese Verbindung als ein VPN-Verbindung ausgebildet. Durch diese Ausgestaltung wird erreicht, dass nur eine einzelne, insbesondere gesicherte Verbindung in die Cloud zu dem Geräteverwaltungsserver gehalten werden muss, über die die Übertragung der Komponentendaten möglich ist. Damit wird eine Netzwerkanordnung beschrieben, in dem das Nutzergerät über wenige, vorzugsweise über eine einzige Verbindung zu der Cloud und/oder der Außenwelt betrieben werden kann. Dies ermöglicht die genaue Überprüfung der Kommunikation des Nutzergeräts und vereinfacht den Aufwand, um Firewall regeln einzu richten. Device management component and the device management server over a single connection. In particular, the device management server provides an endpoint, with the device management component in particular communicating exclusively with the endpoint. This connection is particularly preferably designed as a secured connection. For example, this connection is designed as a VPN connection. This refinement means that only a single, particularly secure connection to the device management server in the cloud must be maintained, via which the component data can be transmitted. This describes a network arrangement in which the user device can be operated via a few, preferably via a single, connection to the cloud and/or the outside world. This enables the communication of the user device to be checked precisely and simplifies the effort to set up firewall rules.
Diese Verbindung erlaubt es, den Fluss der Komponentendaten und weiteren Daten zu kontrollieren, besonders mit Bezug auf Durchsatz, Overhead und Latenz. Dies ist insbesondere im Unternehmensumfeld von Vorteil, wenn viele unkontrollierte Verbindungen zu Bedenken bezüglich der IT-Sicherheit führen könnten. Insbesondere gibt die Drittkomponente die Komponentendaten nun nicht direkt, sondern über die Geräteverwaltungskomponente in die Cloud. Die Geräteverwaltungskomponente ist hierbei in der Lage, die Komponentendaten zu kontrollieren, speziell im Hinblick auf Datenmenge und Latenz. Beispielsweise kann die Geräteverwaltungskomponente auf Kosten der Latenz mehrere Dateien bündeln, um den Overhead zu reduzieren. Speziell kann diese Kontrolle auch in Abhängigkeit der für das Nutzergerät erworbene Lizenz passieren, so dass bei Vorliegen einer Basislizenz zugunsten des reduzierten Overheads entschieden wird, während bei Vorliegen einer erweiterten Lizenz zugunsten einer geringeren Latenz entschieden wird. This connection allows to control the flow of component data and other data, especially in terms of throughput, overhead and latency. This is particularly beneficial in a corporate environment where many uncontrolled connections could lead to IT security concerns. In particular, the third-party component now does not transfer the component data directly to the cloud, but via the device management component. The device management component is able to control the component data, especially with regard to data volume and latency. For example, the device management component can handle multiple files at the expense of latency bundle to reduce overhead. In particular, this check can also take place as a function of the license purchased for the user device, so that a decision is made in favor of the reduced overhead if a basic license is present, while a decision is made in favor of a lower latency if an extended license is present.
Bei einer möglichen Weiterbildung der Erfindung sendet die Dienstkomponente Kontrollnachrichten über den Geräteverwaltungsserver und die Geräteverwaltungskomponente zu der Drittkomponente. Insbesondere wird die gleiche, vorzugsweise gesicherte Verbindung wie bei der Übertragung der gekennzeichneten Komponentendaten verwendet. In one possible development of the invention, the service component sends control messages to the third-party component via the device management server and the device management component. In particular, the same, preferably secure, connection is used as for the transmission of the marked component data.
Es ist ferner besonders bevorzugt, dass die Drittkomponente über den Geräteverwaltungsserver und die Geräteverwaltungskomponente zwecks Installation und/oder Update auf das Nutzergerät übertragen wird. Besonders bevorzugt wird die Drittkomponente zusammen mit der Daten-ID übertragen. It is also particularly preferred that the third-party component is transferred to the user device via the device management server and the device management component for the purpose of installation and/or update. The third-party component is particularly preferably transmitted together with the data ID.
In einer besonders bevorzugten Konstellation werden somit die gekennzeichneten Komponentendaten, Kontrollnachrichten und die Drittkomponente zur Installation und/oder zum Update über die gleiche, insbesondere gesicherte Verbindung übertragen. Mit dieser Architektur ist sichergestellt, dass die Übertragung der Daten hinsichtlich der IT-Sicherheit in einfacher Weise abzusichern ist. Ferner wird durch die Nutzung der Daten-ID die Zuordnung der Komponentendaten zu der jeweiligen Dienstkomponente sichergestellt, so dass die IT-Sicherheit auch dahingehend erhöht wird, dass die Komponentendaten und weiteren Daten zu dem richtigen Empfänger geleitet werden. In a particularly preferred constellation, the identified component data, control messages and the third-party component for installation and/or updating are thus transmitted via the same, in particular secure, connection. This architecture ensures that the transmission of data can be protected in a simple manner with regard to IT security. Furthermore, the use of the data ID ensures that the component data is assigned to the respective service component, so that IT security is also increased to the effect that the component data and other data are routed to the correct recipient.
Bei einer möglichen Ausgestaltung der Erfindung ist die Dienstkomponente und die Drittkomponente mit dem gleichen Zertifikat und/oder mit einem Zertifikat von dem gleichen Entwickler signiert. Vorzugsweise umfasst die Daten-ID als Information die Komponenten-ID, so dass eine strenge und damit sichere Zuordnung zwischen der Drittkomponente, der Dienstkomponente und den Komponentendaten gegeben ist. Bei einer alternativen Ausgestaltung der Erfindung wird die Dienstkomponente über ein erstes Zertifikat signiert und die Drittkomponente über ein zweites Zertifikat signiert. Es ist besonders bevorzugt, dass die signierte Dienstkomponente gemeinsam mit der signierten Drittkomponente durch ein Bündelzertifikat signiert ist. In dieser Ausgestaltung kann die Zuordnung vonIn one possible embodiment of the invention, the service component and the third-party component are signed with the same certificate and/or with a certificate from the same developer. The data ID preferably includes the component ID as information, so that there is a strict and therefore secure association between the third-party component, the service component and the component data. In an alternative embodiment of the invention, the service component is signed using a first certificate and the third-party component is signed using a second certificate. It is particularly preferred that the signed service component is signed together with the signed third-party component using a bundle certificate. In this embodiment, the assignment of
Daten-ID zu Dienstkomponente ausschließlich durch die Signatur des Bündelzertifikats erfolgen. Durch diese Architektur der Signaturen wird es ermöglicht, dass die Drittkomponente und die Dienstkomponente durch unterschiedliche Zertifikate signiert werden und die Zusammenführung durch das Bündelzertifikat erfolgt. Es ist ferner möglich, dass bereits existierende und ggfs. durch ein Fremdzertifikat signierte Dienstkomponenten mit dem Bündelzertifikat in das Verfahren einbezogen werden können. Das Fremdzertifikat stammt von einem anderen Entwickler. Weitere Merkmale. Vorteile und Wirkungen der Erfindung ergeben sich aus der nachfolgenden Beschreibung bevorzugter Ausführungsbeispiels sowie der beigefügten Figuren. Diese zeigen: Data ID for the service component can only be done by signing the bundle certificate. This architecture of the signatures makes it possible for the third-party component and the service component to be signed by different certificates and for the merging to take place using the bundle certificate. It is also possible that service components that already exist and are possibly signed by a third-party certificate can be included in the method with the bundle certificate. The third-party certificate is from another developer. Other features. Advantages and effects of the invention result from the following description of preferred exemplary embodiments and the attached figures. These show:
Figur 1 ein erstes Ausführungsbeispiel der Erfindung einer Netzwerkanordnung zur Ausführung eines Verfahrens zur Kommunikation in einer schematischenFigure 1 shows a first embodiment of the invention of a network arrangement for executing a method for communication in a schematic
Blockdarstellung; block representation;
Figur 2 ein zweites Ausführungsbeispiel der Erfindung einer Netzwerkanordnung zur Ausführung eines Verfahrens zur Kommunikation in einer schematischen Blockdarstellung; FIG. 2 shows a second exemplary embodiment of the invention of a network arrangement for carrying out a method for communication in a schematic block diagram;
Figur 3 ein drittes Ausführungsbeispiel der Erfindung einer Netzwerkanordnung zur Ausführung eines Verfahrens zur Kommunikation in einer schematischen Blockdarstellung; FIG. 3 shows a third exemplary embodiment of the invention of a network arrangement for carrying out a method for communication in a schematic block diagram;
Figur 4 ein viertes Ausführungsbeispiel der Erfindung einer Netzwerkanordnung zur Ausführung eines Verfahrens zur Kommunikation in einer schematischen Blockdarstellung; Figur 5 ein fünftes Ausführungsbeispiel der Erfindung einer Netzwerkanordnung zur Ausführung eines Verfahrens zur Kommunikation in einer schematischen Blockdarstellung; FIG. 4 shows a fourth exemplary embodiment of the invention of a network arrangement for carrying out a method for communication in a schematic block diagram; FIG. 5 shows a fifth exemplary embodiment of the invention of a network arrangement for carrying out a method for communication in a schematic block diagram;
Figur 6 ein sechstes Ausführungsbeispiel der Erfindung einer Netzwerkanordnung zur Ausführung eines Verfahrens zur Kommunikation in einer schematischen Blockdarstellung; FIG. 6 shows a sixth exemplary embodiment of the invention of a network arrangement for carrying out a method for communication in a schematic block diagram;
Figur 7 ein siebtes Ausführungsbeispiel der Erfindung einer Netzwerkanordnung zur Ausführung eines Verfahrens zur Kommunikation in einer schematischen Blockdarstellung. FIG. 7 shows a seventh exemplary embodiment of the invention of a network arrangement for carrying out a method for communication in a schematic block diagram.
Gleiche oder einander entsprechende Komponenten sind in den Figuren mit den gleichen Bezugszeichen gezeigt und beschrieben. The same or corresponding components are shown and described in the figures with the same reference numbers.
Die Figur 1 zeigt in einer schematischen Blockdarstellung eine Netzwerkanordnung 1 als ein Ausführungsbeispiel der Erfindung. Die Netzwerkanordnung 1 weist einen Nutzergerät 2 sowie Module in einer Cloud 3 auf. FIG. 1 shows a network arrangement 1 as an exemplary embodiment of the invention in a schematic block diagram. The network arrangement 1 has a user device 2 and modules in a cloud 3 .
Das Nutzergerät 2 ist als ein Endgerät, wie zum Beispiel ein Handy oder aber als ein beliebiges anderes Endgerät ausgebildet. Es kann Eingangssignale 19, wie zum Beispiel Bilder, Videosequenzen, Tonsequenzen, Sensormesswerte oder auch Eingangsdaten über entsprechende Schnittstellen aufnehmen. The user device 2 is in the form of a terminal device, such as a cell phone, or any other terminal device. It can record input signals 19, such as images, video sequences, sound sequences, sensor readings or also input data via appropriate interfaces.
Das Nutzergerät 2 weist eine Drittkomponente 4 auf, wobei die Drittkomponente 4 als ein Computerprogramm, insbesondere als eine App ausgebildet ist. Die Drittkomponente 4 kann von dem Hersteller des Betriebssystems des Nutzergeräts 2 stammen oder auch von einem anderen Anbieter. Die Drittkomponente 4 nimmt die Eingangssignale 19 vorzugsweise digitalisiert auf und wandelt diese in Komponentendaten 20 als Ausgangsdaten von der Drittkomponente 4. The user device 2 has a third-party component 4, the third-party component 4 being designed as a computer program, in particular as an app. The third-party component 4 can come from the manufacturer of the operating system of the user device 2 or from another provider. The third-party component 4 receives the input signals 19, preferably in digitized form, and converts them into component data 20 as output data from the third-party component 4.
Das Nutzergerät 2 weist eine Geräteverwaltungskomponente 5 auf, wobei die Geräteverwaltungskomponente 5 auch als Device Manager oder als Gerätemanager bezeichnet werden kann. Die Komponentendaten 20 werden über die Geräteverwaltungskomponente 5 über eine Verbindung 6 in die Cloud 3 übertragen. Die Verbindung 6 kann als eine gesicherte Verbindung, insbesondere als ein VPN-Kanal ausgebildet sein. The user device 2 has a device management component 5, wherein the device management component 5 can also be referred to as a device manager or as a device manager. The component data 20 are transferred to the cloud 3 via the device management component 5 via a connection 6 . The connection 6 can be designed as a secure connection, in particular as a VPN channel.
In der Cloud 3 sind als Module ein Geräteverwaltungsserver 7 und ein Dienstmodul 8 sowie ein Komponentenverteilungsmodul 9 vorgesehen. Die Module können als Softwaremodule und/oder als Hardwaremodule zentralisiert oder dezentralisiert in der Cloud 3 angeordnet sein. Das Dienstmodul 8 weist eine Dienstkomponente 10 auf, wobei die Dienstkomponente 10 als ein Computerprogramm, insbesondere als eine App ausgebildet ist. A device management server 7 and a service module 8 as well as a component distribution module 9 are provided as modules in the cloud 3 . The modules can be centralized or decentralized in the cloud 3 as software modules and/or hardware modules. The service module 8 has a service component 10, the service component 10 being designed as a computer program, in particular as an app.
Das Komponentenverteilungsmodul 9 dient zur Verteilung der Drittkomponente 4 an das Nutzergerät 2 und von der Dienstkomponente 10 an das Dienstmodul 8. Die Drittkomponente 4 wird zunächst an den Geräteverwaltungsserver 7 geliefert, über den Geräteverwaltungsserver 7 wird die Drittkomponente 4 oder ein Update davon über die Verbindung 6 an das Nutzergerät 2 geliefert. The component distribution module 9 is used to distribute the third-party component 4 to the user device 2 and from the service component 10 to the service module 8. The third-party component 4 is first delivered to the device management server 7, and the third-party component 4 or an update thereof is sent via the device management server 7 via the connection 6 delivered to the user device 2.
Die Drittkomponente 4 oder mehrere Varianten davon, welche beispielsweise unterschiedlichen technischen Ausstattungen des Nutzergeräts 2 zugeordnet sind, sind über ein Zertifikat 11 mit einer Komponenten-ID 12 signiert S. Die Dienstkomponente 10 ist bei dem Ausführungsbeispiel in der Figur 1 über das gleiche Zertifikat 11 mit einer Daten-ID 13 signiert S. The third-party component 4 or several variants thereof, which are assigned to different technical equipment of the user device 2, for example, are signed via a certificate 11 with a component ID 12. In the exemplary embodiment in FIG a data ID 13 signed S.
Das Nutzergerät 2 kennzeichnet die Komponentendaten 20 der Drittkomponente 4 mit der Daten-ID, so dass gekennzeichnete Komponentendaten 21 erzeugt werden. Die Kennzeichnung mit der Daten-ID kann durch die Drittkomponente 4 oder wie in der Figur 1 gezeigt durch die Geräteverwaltungskomponente 5 erfolgen. Über die Verbindung 6 werden die gekennzeichneten Komponentendaten 21 von der Geräteverwaltungskomponente 5 in die Cloud 3 zu dem Geräteverwaltungsserver 7 und nachfolgend zu dem Dienstmodul 8 mit der Dienstkomponente 10 geleitet, welche die Daten-ID der gekennzeichneten Komponentendaten aufweist. Mit dieser Architektur wird erreicht, dass die Verteilung der Drittkomponente 4 und die Übergabe der gekennzeichneten Komponentendaten über die gleiche Verbindung 6 erfolgt. Durch die Kennzeichnung der Komponentendaten mit der Daten-ID wird erreicht, dass die gekennzeichneten Komponentendaten 21 oder die Komponentendaten 20 in der Cloud 3 an das Dienstmodul 8 mit der entsprechenden Dienstkomponente 10 mit der gleichen Daten-ID weitergeleitet wird, so dass die Zuordnung der Komponentendaten 20 zu der Dienstkomponente 10 deterministisch sichergestellt ist. The user device 2 identifies the component data 20 of the third-party component 4 with the data ID, so that identified component data 21 is generated. The identification with the data ID can be performed by the third-party component 4 or, as shown in FIG. 1, by the device management component 5. The identified component data 21 is routed via the connection 6 from the device management component 5 to the cloud 3 to the device management server 7 and then to the service module 8 with the service component 10, which has the data ID of the identified component data. What is achieved with this architecture is that the third-party component 4 is distributed and the marked component data is transferred via the same connection 6 . By identifying the component data with the data ID ensures that the identified component data 21 or the component data 20 in the Cloud 3 is forwarded to the service module 8 with the corresponding service component 10 with the same data ID, so that the assignment of the component data 20 to the service component 10 is deterministically ensured.
Aus dem Stand der Technik sind Drittkomponenten für Geräte (Apps) und grundsätzlich Softwaremodule und Verteilungsmechanismen bekannt (z.B. Docker images, OSGI bundles). Weiterhin sind aus Android "App Bundles" bekannt, welche signierte Bündel von Softwarekomponenten sind, aus welchen nur eine Teilmenge auf ein Gerät installiert werden muss, wobei sich diese Teilmenge aus den Merkmalen des Gerätes ergibt, auf welches die Software installiert wird. Schließlich ist aus Android auch das Konzept von Multi-APK bekannt, bei dem mehrere Apps grundsätzlich verfügbar sind, aber nur jene Version der App installiert wird, welche von dem Entwickler für das entsprechende Gerät optimiert wurde. Third-party components for devices (apps) and fundamentally software modules and distribution mechanisms are known from the prior art (e.g. Docker images, OSGI bundles). Furthermore, "app bundles" are known from Android, which are signed bundles of software components from which only a subset has to be installed on a device, this subset resulting from the characteristics of the device on which the software is installed. Finally, the concept of multi-APK is also known from Android, in which several apps are basically available, but only the version of the app that has been optimized by the developer for the corresponding device is installed.
Die Drittkomponenten werden von einem Softwareentwickler geschrieben und dann mittels eines Zertifikats signiert. Hierbei ist selbstverständlich der geheime Schlüssel nur dem Softwareentwickler selbst bekannt. Der öffentliche Teil des Zertifikats ist bei einem Dienst zur Verteilung / zum Vertrieb von Apps hinterlegt, wodurch die Herkunft der Software bestätigt werden kann. Über einen Endpunkt in der Cloud kommuniziert ein Gerät nun mit diesem Verteildienst, über welchen die Apps auf dem Gerät installiert werden (z.B. Google Play Store). Daten, welche die App sendet, werden in der Regel über einen separaten Server versendet (z.B. WhatsApp). The third-party components are written by a software developer and then signed using a certificate. In this case, of course, the secret key is known only to the software developer himself. The public part of the certificate is deposited with a service for distributing / selling apps, which can be used to confirm the origin of the software. A device now communicates with this distribution service via an endpoint in the cloud, via which the apps are installed on the device (e.g. Google Play Store). Data sent by the app is usually sent via a separate server (e.g. WhatsApp).
Eine Kommunikation mit beliebigen Endpunkten stellt manche Systeme jedoch vor größere Schwierigkeiten, da eine Kommunikation mit beliebigen Endpunkten aus Sicherheitsgründen nicht erwünscht ist. However, communication with any endpoints poses greater difficulties for some systems, since communication with any endpoints is undesirable for security reasons.
Figur 1 zeigt ein nur teilweise aus dem Stand der Technik bekanntes System. Die Geräteverwaltungskomponente 5 auf dem Nutzergerät 2 verbindet dieses mit dem Geräteverwaltungsserver 7 in der Cloud 3. Der Geräteverwaltungsserver 7 ist mit einem System zur Verteilung und Verwaltung von Drittkomponenten 4, dem Komponentenverteilungsmodul 8 verbunden. Ein Entwickler kann nun die Drittkomponente 4 für das Nutzergerät 2 entwickeln und diese Geräteverwaltungskomponente (Komponentenverteilungsmodul 8) in der Cloud 3 übergeben. Zur Identifizierung des Entwicklers wird auf das insbesondere kryptografische Zertifikat 11 zurückgegriffen, von welchem der öffentliche Teil der Verwaltungskomponente (Komponentenverteilungsmodul 8) im Zuge eines erstmaligen Anmeldevorgangs bekannt gemacht worden ist. Der Besitzer des Nutzergeräts 2 kann nun über die Cloud 3 die Drittkomponente 4 beziehen und auf dem Nutzergerät 2 installieren lassen. Die Installation wird über den Geräteverwaltungsserver 7 orchestriert. Je nach Gerätetyp oder zur Verfügung stehender Funktionalität auf dem Nutzergerät 2 kann hierbei eine von einer Vielzahl von möglichen Varianten der Drittkomponente 4 zum Einsatz kommen. FIG. 1 shows a system that is only partially known from the prior art. The device management component 5 on the user device 2 connects it to the device management server 7 in the cloud 3. The device management server 7 is connected to a system for distributing and managing third-party components 4, the component distribution module 8. A developer can now develop the third-party component 4 for the user device 2 and this Device management component (component distribution module 8) passed in the cloud 3. In order to identify the developer, the particularly cryptographic certificate 11 is used, from which the public part of the administration component (component distribution module 8) has been made known in the course of a first-time registration process. The owner of the user device 2 can now obtain the third-party component 4 via the cloud 3 and have it installed on the user device 2 . The installation is orchestrated via the device management server 7. Depending on the device type or the functionality available on the user device 2, one of a large number of possible variants of the third-party component 4 can be used here.
Bekannte Umsetzungen dieses Prinzips sind die Ökosysteme von Apple und Google, mit dem AppStore für iOS, bzw. dem PlayStore für Android. In diesen Systemen ist jede der Drittkomponenten 4 in der Regel für die Kommunikation selbst verantwortlich und kommuniziert mit eigenen Servern, wie aus der Vielzahl an verfügbaren Messengern ersichtlich ist. Well-known implementations of this principle are the ecosystems of Apple and Google, with the AppStore for iOS and the PlayStore for Android. In these systems, each of the third-party components 4 is usually responsible for the communication itself and communicates with its own servers, as can be seen from the large number of available messengers.
Die Ausführungsbeispiele in den Figuren befasst sich mit dem Nutzergerät 2, wobei Drittkomponenten 4 nachträglich installiert werden können und welches möglicherweise in einer gesicherten Umgebung zum Einsatz kommt. Das Nutzergerät 2 erfasst und verarbeitet Eingangsdaten und/oder -Signale 19 und schickt diese als Komponentendaten 20 bzw. 21 an die Cloud 3. Dabei soll die bevorzugt einzige Verbindung 6 in die Cloud 3 verwendet werden. Dies ermöglicht die genauere Überprüfung der Kommunikation des Nutzergeräts 2 und vereinfacht den Aufwand, um Firewallregeln einzurichten. Ein Gedanke ist eine Kennzeichnung von Dienstkomponenten 10 in der Cloud 3 durch den Entwickler, die Kennzeichnung der durch die Drittkomponente 4 auf dem Nutzergerät 2 erzeugten Komponentendaten 20, sowie eine Bündelung beider Komponenten mit Hilfe kryptographischer Signaturen S. Durch die Kennzeichnung der Komponentendaten mit der Daten-ID zur Umsetzung in die gekennzeichneten Komponentendaten 21 ist eine Zuordnung der Komponentendaten 20 in der Cloud 3 und eine angepasste Verarbeitung durch die Dienstkomponente 4 mit der gleichen Daten-ID möglich. The exemplary embodiments in the figures deal with the user device 2, with third-party components 4 being able to be installed later and which may be used in a secure environment. The user device 2 detects and processes input data and/or signals 19 and sends them as component data 20 or 21 to the cloud 3. The preferred single connection 6 to the cloud 3 should be used. This enables the communication of the user device 2 to be checked more precisely and simplifies the effort involved in setting up firewall rules. One idea is to identify service components 10 in the cloud 3 by the developer, identify the component data 20 generated by the third-party component 4 on the user device 2, and bundle both components using cryptographic signatures S. By identifying the component data with the data -ID for implementation in the marked component data 21, an assignment of the component data 20 in the cloud 3 and an adapted processing by the service component 4 with the same data ID is possible.
Durch diese Vorgehensweise ist die Netzwerkanordnung 1 in der Lage, beliebige Daten zu verarbeiten, ohne dass auf kompatible oder standardisierte Datentypen geachtet werden muss. Dabei muss nur mindestens oder genau eine einzelne (gesicherte) Verbindung 6 in die Cloud 3 (zum Geräteverwaltungsserver 7) gehalten werden, über die nun auch die Übertragung von Komponentendaten möglich ist. Diese Verbindung erlaubt es, den Fluss der Daten zu kontrollieren, besonders mit Bezug auf Durchsatz, Overhead und Latenz. Dies ist besonders im Unternehmensumfeld von Vorteil, wenn viele, unkontrollierte Verbindungen zu Bedenken bezüglich der IT Sicherheit führen könnten. This procedure enables the network arrangement 1 to process any data, without having to rely on compatible or standardized data types must be respected. In this case, only at least or precisely one single (secured) connection 6 to the cloud 3 (to the device management server 7) must be maintained, via which the transmission of component data is now also possible. This connection allows to control the flow of data, especially in terms of throughput, overhead and latency. This is particularly beneficial in a corporate environment where many, uncontrolled connections could lead to concerns about IT security.
Ein besonderer Vorteil ist, dass die Verarbeitung der Komponentendaten 20 unabhängig von der Kompatibilität zu anderen Komponenten oder Standards erfolgen kann, da die Komponentendaten 20 der entsprechenden, kompatiblen Dienstkomponente 10 zugeordnet werden. Dabei kann die Relation zwischen der Nutzgeräte- und Cloudverarbeitung unterschiedlich gestaltet sein. Diese können eine einfache Weiterleitung sein. Es sind aber auch z. B. Kompression / Dekompression oder Analyse und Visualisierung denkbar. Die Dienstkomponente 10 in der Cloud 3 kann z.B. auch eine Visualisierung spezieller Komponentendaten als Teil eines Datendashboards sein, welches die Daten von mehreren Drittkomponenten 4 anzeigen kann. A particular advantage is that the component data 20 can be processed independently of the compatibility with other components or standards, since the component data 20 is assigned to the corresponding, compatible service component 10 . The relationship between user device and cloud processing can be designed differently. These can be a simple redirect. But there are also z. B. compression / decompression or analysis and visualization conceivable. The service component 10 in the cloud 3 can, for example, also be a visualization of specific component data as part of a data dashboard which can display the data from a number of third-party components 4 .
Es wird die Netzwerkanordnung 1 beschrieben, in der das Nutzergerät 2 über möglichst wenige, vorzugsweise über eine einzige, Verbindung 6 in die Außenwelt betrieben werden soll. Dies ermöglicht die genauere Überprüfung der Kommunikation des Nutzgerätes 2 und vereinfacht den Aufwand, um Firewallregeln einzurichten. Auf dem Nutzgerät 2 befinden sich ein oder mehrere Apps als Drittkomponente 4, die ein Eingangssignal und/oder -Signal 19, beispielsweise ein Videosignal oder eine Benutzereingabe verarbeiten. Die Apps erzeugen Ausgangssignale in Form digitaler Daten als Komponentendaten 20. The network arrangement 1 is described, in which the user device 2 is to be operated via as few as possible, preferably via a single, connection 6 to the outside world. This enables the communication of user device 2 to be checked more precisely and simplifies the effort involved in setting up firewall rules. One or more apps are located on the user device 2 as third-party components 4, which process an input signal and/or signal 19, for example a video signal or a user input. The apps generate output signals in the form of digital data as component data 20.
Die Apps geben die Daten 20 nun nicht direkt, sondern über einen Gerätemanager als Geräteverwaltungskomponente 5 in die Cloud 3. Der Gerätemanager ist hierbei in der Lage, die Daten zu kontrollieren, speziell in Hinblick auf Datenmenge und Latenz. Beispielsweise kann der Gerätemanager auf Kosten der Latenz mehrere Daten bündeln, um den Overhead zu reduzieren. Speziell kann diese Kontrolle auch in Abhängigkeit der für das Nutzgerät erworbenen Lizenz passieren, so dass bei Vorliegen einer Basislizenz eher zu Gunsten des reduzierten Overheads entschieden wird, während bei Vorliegen einer erweiterten Lizenz zu Gunsten einer geringeren Latenz entschieden wird. Um die Komponentendaten 20 in der Cloud 3 zuzuordnen und weiter zu verarbeiten, markieren die Apps, also die Drittkomponente 4 oder die Geräteverwaltungskomponente 5 die Komponentendaten 20 mit der Daten-ID, welche in der Cloud 3 durch die empfangende Stelle ausgewertet wird. The apps now do not give the data 20 directly, but via a device manager as a device management component 5 in the cloud 3. The device manager is able to control the data here, specifically with regard to data volume and latency. For example, the device manager can bundle multiple data at the cost of latency to reduce overhead. In particular, this check can also take place depending on the license purchased for the user device, so that if a basic license is available, a decision is made in favor of the reduced overhead, while if there is a basic license an extended license is decided in favor of a lower latency. In order to assign the component data 20 in the cloud 3 and process it further, the apps, i.e. the third-party component 4 or the device management component 5, mark the component data 20 with the data ID, which is evaluated in the cloud 3 by the receiving body.
Der oder ein weiterer Entwickler erstellt nun eine Verarbeitungskomponente als Dienstkomponente 10 für die Cloud 3, signiert diese mit seinem Zertifikat 11 und stellt sie der Cloud 3 zur Verfügung. Diese Verarbeitungskomponente ist für die Verarbeitung einer Daten-ID bestimmt und gekennzeichnet. Über diese Daten-ID kann die Cloud 3 nun die spezifische Verarbeitung für die Komponentendaten 20 vornehmen, indem mittels der Verarbeitungskomponente die Komponentendaten 20 verarbeitet werden. Somit wird mittels der Data-ID eine Weiterleitung durch den Geräteverwaltungsserver 7 an die richtige Verarbeitungseinheit als Dienstmodul 8 mit der Dienstkomponente 10 in der Cloud 3 ermöglicht. The or another developer now creates a processing component as a service component 10 for the cloud 3, signs it with his certificate 11 and makes it available to the cloud 3. This processing component is intended and marked for the processing of a data ID. The cloud 3 can now carry out the specific processing for the component data 20 via this data ID, in that the component data 20 is processed using the processing component. Thus, forwarding by the device management server 7 to the correct processing unit as a service module 8 with the service component 10 in the cloud 3 is made possible by means of the data ID.
In der Cloud 3 angelangt werden die Komponentendaten an eine verarbeitende Instanz übergeben, welches anhand von der Daten-ID entscheidet, welche Dienstkomponente 10 für die Komponentendaten 20 auszuführen ist. Diese Dienstkomponenten 10 werden so wie die Apps von Entwicklern programmiert und entsprechend mit einer kryptografischen Signatur mit der Daten-ID versehen. Es sei anzumerken, dass eine App auf dem Nutzergerät 2 auch unterschiedliche Komponentendaten 20 mit jeweils eindeutiger Daten-ID erzeugen kann. Arrived in the cloud 3, the component data are transferred to a processing instance, which uses the data ID to decide which service component 10 is to be executed for the component data 20. These service components 10 are programmed by developers like the apps and are accordingly provided with a cryptographic signature with the data ID. It should be noted that an app on the user device 2 can also generate different component data 20 each with a unique data ID.
Das einfachste Beispiel der Verarbeitung durch die Dienstkomponente 10 ist eine simple Weiterleitung der Komponentendaten 20, wie dies in der Figur 2 gezeigt ist. Hierbei werden die Komponentendaten von dem Dienstmodul 8 mit der Dienstkomponente 10 mit der entsprechenden Daten-ID beispielsweise an einen vorgebbaren Server 14 weitergeleitet. The simplest example of processing by the service component 10 is a simple forwarding of the component data 20, as shown in FIG. In this case, the component data are forwarded by the service module 8 with the service component 10 with the corresponding data ID to a predeterminable server 14, for example.
Es ist möglich, dass unterschiedliche Typen von Dienstkomponenten 10 und/oder Dienstmodulen 8 unterstützt werden, beispielsweise Cloudverarbeitungsmodule zur Visualisierung, Cloudverarbeitungsmodulen zur Weiterleitung oder Cloudverarbeitungsmodulen zur Aggregierung. Auch ist es möglich, dass die Cloudverarbeitungsmodule wiederrum den Geräteverwaltungsserver 7 verwenden, um Kontrollnachrichten 22 an die Drittkomponente zuzustellen, wie dies beispielhaft in der Figur 3 gezeigt ist. Insbesondere wird für die Kontrollnachrichten 22 die Verbindung 6 genutzt, so dass weiterhin nur eine einzige Verbindung 6 zum Einsatz kommt. Die Kontrollnachrichten werden von der Dienstkomponente 10 versandt und sind mit der Komponenten-ID 12 gekennzeichnet. Über den Geräteverwaltungsserver 7 werden die Kontrollnachrichten an das Nutzergerät 2 gesandt. Dabei kann die Komponenten-ID 12 zum einen die Zustellung zu dem gewünschten Nutzergerät, insbesondere zu der gewünschten Drittkomponente mit der gleichen Komponenten-ID sicherstellen. Zum andern kann die Komponenten-ID 12 die Kontrollnachricht kennzeichnen und damit absichern. It is possible that different types of service components 10 and/or service modules 8 are supported, for example cloud processing modules for visualization, cloud processing modules for forwarding or cloud processing modules for aggregation. It is also possible that the cloud processing modules in turn use the device management server 7 to control messages 22 to the Deliver third-party components, as shown in FIG. 3 by way of example. In particular, the connection 6 is used for the control messages 22, so that only a single connection 6 is still used. The control messages are sent by the service component 10 and are marked with the component ID 12 . The control messages are sent to the user device 2 via the device management server 7 . On the one hand, the component ID 12 can ensure delivery to the desired user device, in particular to the desired third-party component with the same component ID. On the other hand, the component ID 12 can mark the control message and thus secure it.
Die Daten-ID ist ein zentrales Element, da es die Verarbeitung auf dem Nutzergerät 2 an die Verarbeitung in der Cloud 3 koppelt. Es ist ebenfalls möglich, dass die Komponentendaten 20 vor der Verarbeitung zunächst in einer Datenbank gespeichert werden. Dies ist besonders dann nützlich, wenn es sich bei der Cloudverarbeitung um eine Visualisierung handelt. The data ID is a key element as it links the processing on the user device 2 to the processing in the cloud 3 . It is also possible for the component data 20 to first be stored in a database before processing. This is particularly useful when the cloud processing is a visualization.
Die Daten-ID ist vorzugsweise eine hierarchische Struktur aus Basisdatentyp, Komponenten-ID, Spezialisierung und/oder Versionsnummer. Der Basisdatentyp erlaubt es, eine geeignete Aufbewahrung in einer Datenbank auszuwählen. Die Komponenten-ID erlaubt die Zuordnung zu einer Drittkomponente 4, die Spezialisierung erlaubt der Drittkomponente 4 eine Unterscheidung spezifischer Daten und die Versionsnummer schließlich erlaubt eine spätere Verarbeitung, welche besonders dann nützlich ist, wenn die Daten in einer Datenbank abgespeichert werden. The data ID is preferably a hierarchical structure made up of a basic data type, component ID, specialization and/or version number. The base data type allows to choose an appropriate storage in a database. The component ID allows assignment to a third-party component 4, the specialization allows the third-party component 4 to distinguish specific data, and the version number finally allows later processing, which is particularly useful when the data is stored in a database.
Die Geräteverwaltungskomponente 5 prüft vorzugsweise die Komponenten-ID in der Daten-ID (oder fügt diese hinzu), um zu verhindern, dass eine Drittkomponente 4 eine Daten-ID derart setzt, dass eine ungewollte Verarbeitung durch eine andere Cloudverarbeitungskomponente, insbesondere Dienstkomponente 10 vorgenommen wird, was unter Umständen zu Sicherheitsproblemen führen kann. Gleichermaßen prüft die Cloud 3 vorzugsweise, dass die Dienstkomponente 10 durch denselben Entwickler signiert wurde, wie die durch die Daten-ID identifizierte Komponenten-ID, was verhindert, dass andere Drittkomponenten 4 Komponentendaten durch eine nicht zuständige Dienstkomponente 10 verarbeiten lassen. (Diese Prüfung kann einmalig erfolgen). The device management component 5 preferably checks the component ID in the data ID (or adds it) to prevent a third-party component 4 from setting a data ID in such a way that unwanted processing is carried out by another cloud processing component, in particular service component 10 , which can lead to security problems. Likewise, the cloud 3 preferably verifies that the service component 10 has been signed by the same developer as the component ID identified by the data ID, which prevents other third-party components 4 component data from being signed by a non competent service component 10 can be processed. (This check can be done once).
In der Figur 4 ist der gleiche Aufbau wie in der Figur 1 dargestellt. Die Ergänzungen aus den Figuren 2 und 3 können in gleicher Weise auch bei dem Aufbau in der Figur 4 eingesetzt werden. In Abgrenzung zu den vorhergehenden Figuren werden die Drittkomponente 4 und die Dienstkomponente 10 mit unterschiedlichen Zertifikaten 11 signiert S. Somit kann die Drittkomponente 4 von einem ersten Entwickler und die Dienstkomponente 10 von einem zweiten Entwickler mit jeweils unterschiedlichen Zertifikaten 11 signiert S werden. Die signierten Komponenten 4, 10 werden gemeinsam über ein Bündelzertifikat 15 gemeinsam signiert mit der Signatur S. The same structure as in FIG. 1 is shown in FIG. The supplements from FIGS. 2 and 3 can also be used in the same way in the structure in FIG. In contrast to the previous figures, the third-party component 4 and the service component 10 are signed with different certificates 11 S. Thus, the third-party component 4 can be signed by a first developer and the service component 10 can be signed by a second developer, each with different certificates 11 . The signed components 4, 10 are jointly signed using a bundle certificate 15 with the signature S.
Die in den vorhergehenden Figuren beschriebene Netzwerkanordnung 2 nutzt dasselbe Zertifikat 11 für alle zusammengehörigen Komponenten 4 und 10. Über dieses gemeinsame Zertifikat 11 werden die zusammengehörigen Komponenten identifiziert. The network arrangement 2 described in the preceding figures uses the same certificate 11 for all components 4 and 10 that belong together. The components that belong together are identified via this common certificate 11 .
Signatur von Komponentenbündeln: Signature of component bundles:
Eine Variante ist in Figur 4 gezeigt, wobei diese implizite Zusammengehörigkeit durch eine weitere Signatur als Bündelzertifikat 15 gelöst ist, so dass prinzipiell drei Zertifikate 11, 11, 15 zum Einsatz kommen, je eins für die einzelnen Komponenten 4, 10 und eins über die Sammlung der Komponenten 4, 10. Dies erlaubt es, existierende Zertifikate und Methoden zur Signierung der einzelnen Komponenten zu verwenden, obwohl typischerweise mindestens zwei Signaturen identisch sind. Dies löst insbesondere das Problem der Rückwärtskompatibilität. Die an das Nutzergerät 2 verteilte Drittkomponente 4 verhält sich identisch zu dem Fall, in dem es keine Cloudverarbeitung gibt. Diese Eigenschaft gilt entsprechend für die Cloudverarbeitung. Somit ist es auch möglich, die Cloudverarbeitung an Drittkomponenten 4 auszulagern, welche bestimmte Signaturen erfordern, deren Prüfung der Komponentenverwaltung nicht möglich ist. Beispielsweise falls die Verarbeitung auf einer "fremden" Cloud stattfindet. Zusätzlich ist es möglich, bestehende Komponenten zur Datenverarbeitung in der Cloud unverändert dem Bündel hinzuzufügen, beispielsweise um eine Rückwärtskompatibilität sicherzustellen, oder um die Komponenten anderer Entwickler lizenziert nutzen zu können. Dadurch kann beispielsweise eine Lösung für ein komplexes Szenario, welches mehrere Drittkomponenten 4 und Cloudkomponenten 10 erfordert, zertifiziert werden, beispielsweise, um bestimmte Verarbeitungsgarantien zuzusichern. A variant is shown in FIG. 4, this implicit association being solved by a further signature as a bundle certificate 15, so that in principle three certificates 11, 11, 15 are used, one each for the individual components 4, 10 and one for the collection of components 4, 10. This allows existing certificates and methods to be used for signing the individual components, although typically at least two signatures are identical. In particular, this solves the problem of backwards compatibility. The third-party component 4 distributed to the user device 2 behaves identically to the case where there is no cloud processing. This property applies accordingly to cloud processing. It is thus also possible to outsource the cloud processing to third-party components 4 which require certain signatures which the component administration cannot check. For example, if the processing takes place on a "foreign" cloud. In addition, it is possible to add existing components for data processing in the cloud to the bundle without any changes, for example to ensure backwards compatibility or to be able to use components from other developers under license. This can For example, a solution for a complex scenario that requires multiple third-party components 4 and cloud components 10 are certified, for example, to ensure certain processing guarantees.
Schließlich ist es auch möglich, als Teil des Bündels mit dem Bündelzertifikat 15 die Verarbeitung durch andere Komponenten zuzulassen, ohne diese direkt mitzuliefern. Dies ist besonders dann von Vorteil, wenn z.B. bestehende Visualisierungen freigeschaltet werden sollen, wie dies in der Figur 5 gezeigt ist. Hier wird die Daten-ID 13 der Dienstkomponente 10 durch einen anderen Entwickler als existierende Daten-ID 13‘ bereitgestellt und über das Bündelzertifikat 15 eingebunden. Die Dienstkomponente 10 selbst wird nicht signiert, stattdessen wird nur ein Verweis auf die Dienstkomponente 10 gegeben. Finally, it is also possible to allow processing by other components as part of the bundle with the bundle certificate 15 without supplying them directly. This is particularly advantageous if, for example, existing visualizations are to be activated, as shown in Figure 5. Here the data ID 13 of the service component 10 is provided by a different developer than the existing data ID 13' and integrated via the bundle certificate 15. The service component 10 itself is not signed, instead only a reference to the service component 10 is given.
Durch die nun festere Kopplung der Komponenten über das Bündelzertifikat 15 ist es zudem möglich, die Komponenten-ID der Drittkomponente 4 zu entnehmen und automatisiert in die Daten-ID einfließen zu lassen, ohne dass der Entwickler dies explizit tun muss. Due to the now tighter coupling of the components via the bundle certificate 15, it is also possible to extract the component ID from the third-party component 4 and automatically incorporate it into the data ID without the developer having to do this explicitly.
Ausgegliederte Verarbeitung: Outsourced Processing:
Die in Figur 5 gezeigte Variante ist um mehrere Komponentenklassen erweiterbar, wie dies in der Figur 6 dargestellt ist. Beispielsweise kann zur Reduktion des Datenverkehrs ein lokaler Verarbeitungsknoten 16 mit einer Verarbeitungskomponente 17 installiert werden, oder eine Zwischenverarbeitung, etwa eine Kompression der Daten in der Verarbeitungskomponente 17, stattfinden. Der Verarbeitungsknoten 16 kann unterschiedlich ausgestaltet sein. Es kann sich um eine physikalische Recheneinheit, eine virtuelle Maschine, oder auch nur um Zeit auf einer Cloud 3 oder Edge Cloud handeln. Dieses Gerät kann zusammen mit den Geräten auf einem Gelände verbaut sein ("on-premise") oder von einem Dritten beispielsweise in einem nahen Rechenzentrum zur Verfügung gestellt werden ("off-premise", nicht gezeigt). Auch kann es sich um dedizierte Ressourcen, oder um Teile von Drittsystemen, beispielsweise Systemen zur Verwaltung der Geräte, handeln. The variant shown in FIG. 5 can be extended by several component classes, as is shown in FIG. For example, to reduce the data traffic, a local processing node 16 with a processing component 17 can be installed, or intermediate processing, such as compression of the data in the processing component 17, can take place. The processing node 16 can be designed in different ways. It can be a physical computing unit, a virtual machine, or just time on a Cloud 3 or Edge Cloud. This device can be installed together with the devices on a site ("on-premise") or made available by a third party, for example in a nearby data center ("off-premise", not shown). It can also be dedicated resources or parts of third-party systems, such as systems for managing the devices.
Eine Verarbeitung-ID 18 der Verarbeitungskomponente 17 verhält sich analog zur Daten-ID in der Cloud 3. Insbesondere wird die Verarbeitung-ID 18 mittels des Bündelzertifikats 15 signiert. Die Verarbeitungskomponente 17 prüft analog zu den beschriebenen Mechanismen die Daten-ID und fordert fehlende Verarbeitungskomponenten ggfs, aus der Cloud 3 an. A processing ID 18 of the processing component 17 behaves analogously to the data ID in the cloud 3. In particular, the processing ID 18 is signed by means of the bundle certificate 15. The processing component 17 checks analogously for the mechanisms described, the data ID and, if necessary, requests missing processing components from the cloud 3.
Wie in der Figur 7 gezeigt ist, kann die Verarbeitungskomponente 17, welche die Komponentendaten der Drittkomponente 4 entgegennimmt und lokal weiterverarbeitet, die Daten-ID ändern. Dies ermöglicht die Kennzeichnung bereits (vor-)verarbeiteter Daten, so dass ein hybrider Einsatz der Komponenten möglich ist. Der Entwickler signiert hierzu zwei Cloudverarbeitungskomponenten, die lokale Verarbeitungskomponente 17 und die Drittkomponente 4. Die Daten- IDs der Cloudverarbeitungskomponenten als Dienstkomponente 10, 10‘ sind derart gestaltet, dass eine die Komponentendaten der Drittkomponente 4 direkt empfängt (Daten-ID 13A) und eine die Komponentendaten der lokalen Verarbeitungskomponente 16 empfängt (Daten-ID 13B). Die Verarbeitung-ID der lokalen Verarbeitungskomponente entspricht hierbei der Daten-ID A. As shown in FIG. 7, the processing component 17, which receives the component data from the third-party component 4 and processes it further locally, can change the data ID. This enables the identification of already (pre-)processed data, so that a hybrid use of the components is possible. For this purpose, the developer signs two cloud processing components, the local processing component 17 and the third-party component 4. The data IDs of the cloud processing components as service components 10, 10' are designed in such a way that one receives the component data of the third-party component 4 directly (data ID 13A) and one the Component data of the local processing component 16 receives (data ID 13B). The processing ID of the local processing component corresponds to the data ID A.
Alternativ ist es auch möglich, das Dienstmodul in der Figur 6 direkt in der Cloud 3 laufen zu lassen, sofern die benutzte Technik dies erlaubt. Alternatively, it is also possible to run the service module in FIG. 6 directly in the cloud 3, provided the technology used allows this.
Bestehende Systeme Existing Systems
Ein besonderer Vorteil der Nutzung von Komponentenbündeln mit einem Bündelzertifikat 15 ist, dass Systeme verwendet werden können, die bestimmte Zertifikate benötigen, z.B. weil die Komponente von einem Fremdhersteller kommt. Die Zuordnung in der Cloud 3 ist nach wie vor möglich. Jedoch sind die Prüfungen der IDs der Komponenten mit hoher Wahrscheinlichkeit nicht in dem existierenden System implementiert. Daher muss der Geräteverwaltungsserver 7 in der Cloud die Verknüpfung, welche Daten in welcher Komponente zu verarbeiten sind, ggfs, explizit vornehmen. A particular advantage of using component bundles with a bundle certificate 15 is that systems can be used that require specific certificates, e.g. because the component comes from a third-party manufacturer. Allocation in Cloud 3 is still possible. However, the checks on the IDs of the components are most likely not implemented in the existing system. Therefore, the device management server 7 in the cloud must, if necessary, explicitly link which data is to be processed in which component.
Figur 1 zeigt den Grundmechanismus. Ein Entwickler fertigt mehrere, unterschiedliche Komponenten für unterschiedliche Zwecke an (Verarbeitung auf dem Gerät und Verarbeitung in der Cloud) und signiert diese digital. Über eine Daten-ID, welche die an die Cloud verschickten Daten annotieren, wird eine Verarbeitung durch die entsprechende, für die Daten-ID zuständige Komponente in der Cloud ausgelöst. Figur 2 zeigt exemplarisch die Umsetzung des Anwendungsfalls. Figur 3 zeigt die Ausprägung mit bidirektionaler Kommunikation, welche den Cloudverarbeitungskomponenten ermöglicht, Kontrollnachrichten an das Gerät zuzustellen. Figur 4 zeigt die Ausprägung mit einem Komponentenbündel. Es können bestehende Zertifikate für die Signatur der Einzelkomponenten zum Einsatz kommen. Die Sammlung der Komponenten ist dann mit einem weiteren Zertifikat unterschrieben. Figur 5 zeigt die Nutzung existierender Cloudverarbeitungsmodule, etwa um Standarddatentypen zu visualisieren. Figur 6 zeigt die Nutzung von Komponentenbündeln für die Verarbeitung auf mehreren Geräten. Figur 7 zeigt die Nutzung von Komponentenbündeln in hybrider Nutzung, bei der sowohl eine separate Verarbeitung auf einem separaten Gerät, als auch die gesammelte Verarbeitung in der Cloud möglich ist. Figure 1 shows the basic mechanism. A developer creates several different components for different purposes (processing on the device and processing in the cloud) and digitally signs them. A data ID, which annotates the data sent to the cloud, triggers processing by the corresponding component in the cloud responsible for the data ID. FIG. 2 shows the implementation of the application as an example. Figure 3 shows the form with bidirectional communication, which enables the cloud processing components Deliver control messages to the device. FIG. 4 shows the embodiment with a component bundle. Existing certificates can be used to sign individual components. The collection of components is then signed with another certificate. FIG. 5 shows the use of existing cloud processing modules, for example to visualize standard data types. Figure 6 shows the use of component bundles for processing on multiple devices. FIG. 7 shows the use of component bundles in hybrid use, in which both separate processing on a separate device and collective processing in the cloud is possible.

Claims

Ansprüche: Expectations:
1. Verfahren zur Kommunikation zwischen einer Drittkomponente (4) auf einem Nutzergerät (2) und einer Dienstkomponente (10) in der Cloud (3), wobei die Dienstkomponente (10) mit einer Daten-ID (13) ausgestattet ist und/oder eine Daten-ID (13) der Dienstkomponente (10) zugeordnet ist, wobei die Drittkomponente (4) Komponentendaten (20) bereitstellt, wobei die Komponentendaten (20) mit der Daten-ID (13) gekennzeichnet werden, um gekennzeichnete Komponentendaten (21) zu erzeugen, wobei die gekennzeichneten Komponentendaten (21) in die Cloud (3) übertragen werden, wobei die gekennzeichneten Komponentendaten (21) der Dienstkomponente1. A method for communication between a third-party component (4) on a user device (2) and a service component (10) in the cloud (3), wherein the service component (10) is equipped with a data ID (13) and / or a Data ID (13) is assigned to the service component (10), the third-party component (4) providing component data (20), the component data (20) being identified with the data ID (13) in order to identify component data (21). generate, wherein the identified component data (21) are transferred to the cloud (3), wherein the identified component data (21) of the service component
(10) mit der Daten-ID (13) zugeordnet werden. (10) are assigned with the data ID (13).
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Drittkomponente (4) mit einer Komponenten-ID (12) signiert ist. 2. The method according to claim 1, characterized in that the third-party component (4) is signed with a component ID (12).
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Dienstkomponente (10) und die Drittkomponente (4) mit einem gleichen Zertifikat3. The method according to claim 1 or 2, characterized in that the service component (10) and the third-party component (4) with the same certificate
(11) und/oder mit einem Zertifikat (11) von dem gleichen Entwickler signiert sind. (11) and/or signed with a certificate (11) from the same developer.
4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Nutzergerät (2) eine Geräteverwaltungskomponente (5) aufweist, wobei die Geräteverwaltungskomponente (5) mit einem Geräteverwaltungsserver (7) in der Cloud (3) kommuniziert, wobei die gekennzeichneten Komponentendaten (21) über die Geräteverwaltungskomponente (5) und den Geräteverwaltungsserver (7) zu der Dienstkomponente (10) geleitet werden. 4. The method according to any one of the preceding claims, characterized in that the user device (2) has a device management component (5), the device management component (5) communicating with a device management server (7) in the cloud (3), the identified component data ( 21) about the Device management component (5) and the device management server (7) to the service component (10) are routed.
5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass die Dienstkomponente (10) Kontrollnachrichten (22) über den Geräteverwaltungsserver (7) und die Geräteverwaltungskomponente (5) zu der Drittkomponente (4) sendet. 5. The method according to claim 4, characterized in that the service component (10) sends control messages (22) via the device management server (7) and the device management component (5) to the third-party component (4).
6. Verfahren nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass die Drittkomponente (4) vorzugsweise mit der Daten-ID (13) über den Geräteverwaltungsserver (7) und die Geräteverwaltungskomponente (5) zwecks Installation und/oder Update auf das Nutzergerät (2) übertragen wird. 6. The method according to claim 4 or 5, characterized in that the third-party component (4) preferably with the data ID (13) via the device management server (7) and the device management component (5) for the purpose of installation and / or update on the user device (2 ) is transmitted.
7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die signierte Dienstkomponente (10) und die signierte Drittkomponente (4) durch ein Bündelzertifikat (15) signiert sind. 7. The method according to any one of the preceding claims, characterized in that the signed service component (10) and the signed third-party component (4) are signed by a bundle certificate (15).
8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass die Dienstkomponente (10) durch ein Fremdzertifikat signiert ist. 8. The method according to claim 7, characterized in that the service component (10) is signed by an external certificate.
9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Auslieferung und/oder Update der Drittkomponente (4), die Übertragung der gekennzeichneten Komponentendaten (21) und optional ergänzend der Kontrollnachricht (22) über eine gemeinsame Verbindung (6) erfolgt. 9. The method according to any one of the preceding claims, characterized in that the delivery and / or update of the third-party component (4), the transmission of the identified component data (21) and optionally additionally the control message (22) via a common connection (6).
10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass die gemeinsame Verbindung (6) als eine gesicherte Verbindung ausgebildet ist. 10. The method according to claim 9, characterized in that the common connection (6) is designed as a secured connection.
11. Netzwerkanordnung zur Durchführung des Verfahrens nach einem der vorhergehenden Ansprüche, mit einem Nutzergerät (2), wobei auf dem Nutzergerät (2) eine Drittkomponente (4) ausführbar angeordnet ist und zur Bereitstellung von Komponentendaten (20) ausgebildet ist, mit einer Dienstkomponente (10), wobei die Dienstkomponente (10) in der Cloud (3) ausführbar angeordnet ist, wobei die Dienstkomponente (10) mit einer Daten- ID signiert ist, wobei das Nutzergerät (2) zur Kennzeichnung der Komponentendaten (20) mit der Daten-ID (13) ausgebildet ist, um gekennzeichnete Komponentendaten (21) zu erzeugen, wobei die gekennzeichneten Komponentendaten (21) in die Cloud (3) übertragbar sind, wobei die gekennzeichneten Komponentendaten der Dienstkomponente (10) mit der Daten-ID (13) zugeordnet werden. 11. Network arrangement for carrying out the method according to one of the preceding claims, with a user device (2), wherein a third-party component (4) is executably arranged on the user device (2) and is designed to provide component data (20), with a service component (10), the service component (10) being arranged to be executable in the cloud (3), the service component (10) being signed with a data ID, the user device (2) for identifying the component data (20) is designed with the data ID (13) to generate identified component data (21), the identified component data (21) being transferrable to the cloud (3), the identified component data of the service component (10) having the data ID (13) are assigned.
12. Computerprogramm vor zur Durchführung aller Verfahrensschritte eines12. Computer program to carry out all the procedural steps of a
Verfahrens gemäß einem der vorangehenden Patentansprüche, wenn das Computerprogramm auf einem Computer oder auf einer Netzwerkanordnung (1) ausgeführt wird. Method according to one of the preceding claims, when the computer program is executed on a computer or on a network arrangement (1).
13. Maschinenlesbares Speichermedium, auf dem das Computerprogramm gespeichert ist. 13. Machine-readable storage medium on which the computer program is stored.
EP21799023.3A 2020-11-26 2021-10-25 Method for communication between a third-party component on a user device and a service component in the cloud, and network arrangement for implementing the method Withdrawn EP4252405A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020214845.7A DE102020214845A1 (en) 2020-11-26 2020-11-26 Method for communication between a third-party component on a user device and a service component in the cloud and network arrangement for implementing the method
PCT/EP2021/079477 WO2022111923A1 (en) 2020-11-26 2021-10-25 Method for communication between a third-party component on a user device and a service component in the cloud, and network arrangement for implementing the method

Publications (1)

Publication Number Publication Date
EP4252405A1 true EP4252405A1 (en) 2023-10-04

Family

ID=78414027

Family Applications (1)

Application Number Title Priority Date Filing Date
EP21799023.3A Withdrawn EP4252405A1 (en) 2020-11-26 2021-10-25 Method for communication between a third-party component on a user device and a service component in the cloud, and network arrangement for implementing the method

Country Status (5)

Country Link
US (1) US20240022576A1 (en)
EP (1) EP4252405A1 (en)
CN (1) CN116746134A (en)
DE (1) DE102020214845A1 (en)
WO (1) WO2022111923A1 (en)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9613052B2 (en) 2012-06-05 2017-04-04 International Business Machines Corporation Establishing trust within a cloud computing system
US10924554B2 (en) * 2014-05-05 2021-02-16 Citrix Systems, Inc. Application customization
US9935955B2 (en) 2016-03-28 2018-04-03 Zscaler, Inc. Systems and methods for cloud based unified service discovery and secure availability
DE102018219067A1 (en) 2018-11-08 2020-05-14 Robert Bosch Gmbh Transparency mechanism for the local composition of personal, distributed stored user data

Also Published As

Publication number Publication date
CN116746134A (en) 2023-09-12
WO2022111923A1 (en) 2022-06-02
DE102020214845A1 (en) 2022-06-02
US20240022576A1 (en) 2024-01-18

Similar Documents

Publication Publication Date Title
DE102011081804B4 (en) Method and system for providing device-specific operator data, which are bound to an authentication credential, for an automation device of an automation system
WO2010026152A1 (en) Method for granting authorization to access a computer-based object in an automation system, computer program, and automation system
DE102014219472A1 (en) Method for transmitting data, network nodes and network
DE102018202996A1 (en) Method for performing a diagnosis
DE60313231T2 (en) Network management system with policy verification
DE112010003638T5 (en) Public BOT management in private networks
EP3058701B1 (en) Method, management apparatus and device for certificate-based authentication of communication partners in a device
DE102014009495B4 (en) Method for establishing a communication connection suitable for the transmission of media streams from a first RTC client to a second RTC client
WO2023274678A1 (en) Managing keys for secure communication between communication subscribers via a separate communication channel
EP1494401A2 (en) Router and method of activating a deactivated computer
EP3080950A1 (en) Method and system for deterministic auto-configuration of a device
EP4252405A1 (en) Method for communication between a third-party component on a user device and a service component in the cloud, and network arrangement for implementing the method
EP3376419B1 (en) System and method for electronically signing a document
DE102005060049A1 (en) System and method for remote analysis, remote maintenance and / or troubleshooting of a technical device
EP4193567B1 (en) Method for securely equipping a vehicle with an individual certificate
DE102010052054A1 (en) Remote maintenance system for devices
EP3607437B1 (en) Method for configuring at least one device of a railway vehicle in a network, computer program and computer-readable storage medium
EP1158747A2 (en) Method for data transmission
DE102022001115B3 (en) System for secure data transmission between a motor vehicle and a cloud service
EP3627788A1 (en) Method and device for configuring an access control system
EP3881486B1 (en) Method for providing proof of origin for a digital key pair
EP3873052B1 (en) Onboarding of a device in a client-capable virtual network of an industrial network
DE102022001848B3 (en) Method for user-related setup of a terminal device
DE102016125345A1 (en) Method for operating a collaboration and communication platform and collaboration and communication platform
WO2024012918A1 (en) Method for connecting a vehicle to the internet

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20230626

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20240116