[go: up one dir, main page]

DE102013202339A1 - Device and method for managing access codes - Google Patents

Device and method for managing access codes Download PDF

Info

Publication number
DE102013202339A1
DE102013202339A1 DE102013202339.1A DE102013202339A DE102013202339A1 DE 102013202339 A1 DE102013202339 A1 DE 102013202339A1 DE 102013202339 A DE102013202339 A DE 102013202339A DE 102013202339 A1 DE102013202339 A1 DE 102013202339A1
Authority
DE
Germany
Prior art keywords
access
memory
access codes
admissibility
codes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102013202339.1A
Other languages
German (de)
Inventor
Rainer Falk
Steffen Fries
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Priority to DE102013202339.1A priority Critical patent/DE102013202339A1/en
Priority to PCT/EP2014/050302 priority patent/WO2014124765A1/en
Publication of DE102013202339A1 publication Critical patent/DE102013202339A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/65Environment-dependent, e.g. using captured environmental data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Es wird eine Vorrichtung zum Verwalten einer Anzahl von Zugangscodes vorgeschlagen. Die Vorrichtung weist einen Speicher, eine Erfassungseinheit und eine Freigabeeinheit auf. Der Speicher ist zum Speichern der Anzahl der Zugangscodes eingerichtet. Die Erfassungseinheit ist zum Erfassen eines aktuellen Nutzungskontexts der Vorrichtung eingerichtet. Ferner ist Freigabeeinheit zum Freigeben eines Zugriffs auf die in dem Speicher gespeicherten Zugangscodes in Abhängigkeit von dem erfassten aktuellen Nutzungskontext eingerichtet. Somit wird die Missbrauchsgefahr der Zugangscodes verringert, da ein Zugangscode nur dann einem Nutzer zugänglich ist, wenn dafür ein Bedarf besteht, welcher durch den aktuellen Nutzungskontext geprüft wird. Ferner werden ein System mit einer solchen Vorrichtung und einem Server, ein Verfahren zum Betreiben einer solchen Vorrichtung und ein entsprechendes Computerprogrammprodukt vorgeschlagen.A device for managing a number of access codes is proposed. The device has a memory, a detection unit and a release unit. The memory is set up to store the number of access codes. The acquisition unit is set up to acquire a current context of use of the device. Furthermore, a release unit is set up for releasing access to the access codes stored in the memory as a function of the current context of use recorded. The risk of misuse of the access codes is thus reduced, since an access code is only accessible to a user if there is a need for it, which is checked by the current context of use. Furthermore, a system with such a device and a server, a method for operating such a device and a corresponding computer program product are proposed.

Description

Die vorliegende Erfindung betrifft eine Vorrichtung und ein Verfahren zum Verwalten einer Anzahl von Zugangscodes. The present invention relates to an apparatus and a method for managing a number of access codes.

Vor dem Zugriff auf kritische Funktionen eines Gerätes ist eine Authentisierung des Zugreifenden (Nutzers) hilfreich, um eine missbräuchliche Nutzung zu verhindern. Steuergeräte, insbesondere auf Feldebene oder in Kraftfahrzeugen, unterstützen üblicherweise jedoch kein Nutzerkonzept oder eine nutzerbezogene Authentisierung und Berechtigungsprüfung, sondern lediglich einfache Berechtigungslevel. Vor der Nutzung von Funktionen eines bestimmten Berechtigungslevels ist ein entsprechender Zugangscode (Passwort) einzugeben. Alternativ kann eine entsprechende Challenge-Response-Authentisierung durchgeführt werden. Dies verringert den Aufwand für die Implementierung, die Administration von Zugriffsrechten auf Feldgeräten ist allerdings erheblich. Dabei ist ein solcher gerätebezogener Zugangscode im Allgemeinen schwierig sicher zu nutzen, da der Zugangscode vielen Nutzern, zum Beispiel Wartungstechnikern, Bedienpersonal und dergleichen, zugänglich gemacht wird. Before accessing critical functions of a device, authentication of the accessing (user) is helpful to prevent misuse. However, control devices, in particular at the field level or in motor vehicles, usually do not support a user concept or a user-related authentication and authorization check, but merely simple authorization levels. Before using functions of a certain authorization level, an appropriate access code (password) must be entered. Alternatively, a corresponding challenge-response authentication can be performed. This reduces the implementation effort, but the administration of access rights to field devices is considerable. In this case, such a device-related access code is generally difficult to use safely, since the access code is made available to many users, for example maintenance technicians, operating personnel and the like.

Ferner ist ein Ändern des Zugangscodes, zum Beispiel wenn ein einziger Mitarbeiter die Firma verlässt, im Allgemeinen kaum praktikabel. Aus diesem Grund besteht ein Bedarf für eine besser geschützte Nutzung von gerätebezogenen Zugangscodes. Furthermore, changing the access code, for example when a single employee leaves the company, is generally impractical. For this reason, there is a need for better protected use of device-related access codes.

Die Prüfung von Zugangscodes (Passwörter) ist ein grundlegender Sicherheitsmechanismus. Passwörter werden dabei unterschiedlich verwendet. Beispiele hierfür sind Nutzerauthentisierung und Gerätezugangscodes. Bei der Nutzerauthentisierung authentisiert sich ein bestimmter Nutzer über ein Passwort. Das Passwort ist nur dem Nutzer und dem zuständigen Authentisierungsservice bekannt. Der Gerätezugangscode oder der Zugangscode ist zum Zugriff auf eine geschützte Funktion eines Gerätes geeignet. Ein Beispiel hierfür ist ein Administrator-Passwort. Der Zugangscode ist dem Gerät und allen jemals zugriffsberechtigten Nutzern bekannt. Das heißt, die Anzahl der zugriffsberechtigen Nutzer kann über die Zeit stark steigen. Ein Beispiel für den Zugangscode (Gerätepasswort) findet sich bei DSL-Routern. Allgemein kann ein Gerät mehrere unterschiedliche Zugangscodes unterstützen, denen unterschiedliche Berechtigungsstufen zugeordnet sind. The verification of access codes (passwords) is a fundamental security mechanism. Passwords are used differently. Examples include user authentication and device access codes. During user authentication, a specific user authenticates himself via a password. The password is known only to the user and the responsible authentication service. The device access code or access code is suitable for accessing a protected function of a device. An example of this is an administrator password. The access code is known to the device and all users who have access. This means that the number of users with access rights can increase significantly over time. An example of the access code (device password) can be found in DSL routers. In general, a device can support several different access codes, which are assigned different authorization levels.

Des Weiteren sind Software-Programme zur Passwortverwaltung bekannt (zum Beispiel Password Store). Diese unterstützen die Verwaltung von Unternehmenspasswörtern und Abteilungspasswörtern. Dabei ist bekannt, die Klartextanzeige eines Eintrags zu sperren, so dass das Passwort nur mit einer automatischen Passworteintragung nutzbar ist. Das Klartext-Passwort kann somit gegenüber einem Anwender verborgen bleiben. Dies funktioniert jedoch nur auf einem einzelnen System. Furthermore, software programs for password management are known (for example Password Store). These support the management of company passwords and departmental passwords. It is known to disable the plain text display of an entry, so that the password can only be used with an automatic password entry. The clear text password can thus remain hidden from a user. However, this only works on a single system.

Ferner sind Systeme zum Single-Sign-On (SSO) bekannt, zum Beispiel Kerberos. Dabei authentisiert sich ein Nutzer zuerst an einem Anmeldeserver und erhält ein Authentisierungstoken als Datenstruktur, mit welchem er auf weitere Dienste geschützt zugreifen kann. Ein Nutzer muss sich dadurch nur einmal am SSO-Server authentisieren, zum Beispiel mittels einer Passworteingabe, nicht aber separat für jeden Dienst. Es ist jedoch dabei erforderlich, dass der Dienst entsprechend das SSO-Verfahren unterstützt. Dadurch ist es für einfache Geräte, welche nur Gerätezugangscodes unterstützen, nicht geeignet. Furthermore, single-sign-on (SSO) systems are known, for example Kerberos. In this case, a user authenticates first to a logon server and receives an authentication token as a data structure, with which he can access protected access to other services. As a result, a user only has to authenticate themselves once to the SSO server, for example by means of a password input, but not separately for each service. However, it is necessary for the service to support the SSO procedure accordingly. This makes it unsuitable for simple devices that only support device access codes.

Aus IEC 62351-8 ist bekannt, für die Prüfung einer Zugangsberechtigung auf Feldgeräten ein X.509-Zertifikat mit einer Rollenerweiterung zu nutzen. Dabei prüft das Feldgerät nur den Besitz des privaten Schlüssels, zum Beispiel im Rahmen von Transport-Layer-Security (TLS) durch ein Challenge-Response-Verfahren, wertet dann aber nur die enthaltene Rolleninformation für die Erteilung der Zugangsberechtigung aus. Out IEC 62351-8 It is known to use an X.509 certificate with a role extension for checking access authorization on field devices. In this case, the field device checks only the possession of the private key, for example in the context of transport layer security (TLS) by a challenge-response method, but then evaluates only the role information contained for the issue of access authorization.

Weiter sind so genannte digitale Börsen für Mobilgeräte bekannt, welche mehrere, unterschiedliche Datenobjekte, wie Gutscheincodes, Fahrkarten, Boarding-Karten und dergleichen, verwalten. Furthermore, so-called digital exchanges for mobile devices are known, which manage several different data objects, such as coupon codes, tickets, boarding cards and the like.

Des Weiteren ist aus der DE 10 2007 046 079 A bekannt, eine mobile TAN für einen Fernwartungszugang im Automatisierungsumfeld zu nutzen. Hier wird eine SMS-Nachricht verwendet, um eine mobile TAN zu ermitteln, die wiederum in einem Anmeldevorgang verwendet werden kann. Furthermore, from the DE 10 2007 046 079 A known to use a mobile TAN for remote maintenance access in the automation environment. An SMS message is used here to identify a mobile TAN, which in turn can be used in a login process.

Aus US 2012 294445 A1 ist bekannt, ein Geheimnis (credential) mit einem Nutzerpasswort zu verschlüsseln, das vom Nutzer bereitgestellte Passwort mit einem von einem Server generierten Schlüssel zu verschlüsseln und beides in einer eigenen Struktur zu speichern. Dies erlaubt den Zugriff auf das eigentliche Geheimnis durch das Nutzerpasswort (wenn bekannt) oder durch den Server-generierten Schlüssel zum Entschlüsseln des Nutzerpassworts und danach des Geheimnisses. Out US 2012 294445 A1 It is known to encrypt a credential with a user password, to encrypt the password provided by the user with a key generated by a server, and to store both in a separate structure. This allows access to the actual secret through the user password (if known) or through the server-generated key to decrypt the user password and then the secret.

Es ist eine Aufgabe der vorliegenden Erfindung, Zugangscodes für verschiedene Geräte einfacher und sicher zu verwalten. It is an object of the present invention to more easily and securely manage access codes for various devices.

Diese Aufgabe wird durch die unabhängigen Ansprüche gelöst. Weiterbildungen der Erfindung sind den abhängigen Ansprüchen zu entnehmen. This object is solved by the independent claims. Further developments of the invention can be found in the dependent claims.

Demgemäß wird eine Vorrichtung zum Verwalten einer Anzahl von Zugangscodes, insbesondere von gerätebezogenen Zugangscodes, vorgeschlagen. Die Vorrichtung weist einen Speicher, eine Erfassungseinheit und eine Freigabeeinheit auf. Der Speicher ist zum Speichern der Anzahl der Zugangscodes eingerichtet. Die Erfassungseinheit ist zum Erfassen eines aktuellen Nutzungskontexts der Vorrichtung eingerichtet. Ferner ist die Freigabeeinheit zum Freigeben eines Zugriffs auf die in dem Speicher gespeicherten Zugangscodes in Abhängigkeit von dem erfassten aktuellen Nutzungskontext eingerichtet. Accordingly, an apparatus for managing a number of access codes, in particular device-related access codes, is proposed. The device has a memory, a detection unit and a release unit. The memory is set up to store the number of access codes. The detection unit is set up to detect a current usage context of the device. Furthermore, the release unit is arranged to release access to the access codes stored in the memory in dependence on the detected current usage context.

Die Freigabeeinheit gibt den Zugriff auf die in dem Speicher gespeicherten Zugangscodes demnach nur frei, wenn der aktuelle Nutzungskontext dies zulässt. Folglich definiert der Nutzungskontext der Vorrichtung Bedingungen für den Zugriff und die Ausgabe der Zugangscodes durch die Vorrichtung. Accordingly, the release unit only releases access to the access codes stored in the memory if the current usage context permits it. Thus, the usage context of the device defines conditions for access and output of the access codes by the device.

Dadurch wird die Missbrauchsgefahr der Zugangscodes verringert, da ein Zugangscode nur dann einem Nutzer zugänglich (einsehbar) ist, wenn dafür ein Bedarf besteht, welcher durch den aktuellen Nutzungskontext geprüft wird. This reduces the risk of misuse of the access codes, since an access code is only accessible (visible) to a user if there is a need for it, which is checked by the current usage context.

Der Zugangscode kann beispielsweise als Kennwort, als PIN (Personal Identification Number), als Passwort oder als Gerätepasswort ausgebildet sein. Der jeweilige Zugangscode ist einem Gerät, einer Einrichtung, einer Website im Internet oder dergleichen zugeordnet. Das Gerät kann beispielsweise ein Feldgerät einer industriellen Umgebung sein. The access code can be configured, for example, as a password, as a PIN (Personal Identification Number), as a password or as a device password. The respective access code is associated with a device, a device, a website on the Internet or the like. The device may be, for example, a field device of an industrial environment.

Die Vorrichtung kann beispielsweise auf einem Mobilgerät, wie einer Fernbedienung für Feldgeräte oder Industrieanlagen, auf einem Smartphone oder auch auf einer Serveranwendung integriert sein. The device may for example be integrated on a mobile device, such as a remote control for field devices or industrial equipment, on a smartphone or even on a server application.

Damit kann eine sichere und komfortable Nutzung einer für Feldgeräte und ähnlich eingeschränkte Geräte einfach realisierbaren Sicherheitsüberprüfung über Zugangscodes geschaffen werden. Dabei können auch insbesondere existierende Feldgeräte eingebunden werden, die nur eine solche einfache Zugangsauthentisierung unterstützen. Dabei wird der Zugangscode über den Speicher der Vorrichtung verwaltet. In this way, a secure and convenient use of a security check for access to access codes that is easy to implement for field devices and similarly limited devices can be created. In this case, it is also possible in particular to integrate existing field devices which only support such simple access authentication. In this case, the access code is managed via the memory of the device.

Durch die Möglichkeit, die Speichereinträge für die Zugangscodes zentral in der Vorrichtung zu verwalten, können die benötigten Speichereinträge automatisch verfügbar gemacht werden. The ability to centrally manage the memory entries for the access codes in the device allows the required memory entries to be made available automatically.

Bei einer Ausführungsform hat die Vorrichtung eine Kommunikationseinheit zum Empfangen einer Anfrage für einen bestimmten Zugangscode der Anzahl der in dem Speicher gespeicherten Zugangscodes. In one embodiment, the device has a communication unit for receiving a request for a particular access code of the number of access codes stored in the memory.

In Abhängigkeit der empfangenen Anfrage kann die Freigabeeinheit den angefragten Zugangscode aus der Mehrzahl der in dem Speicher gespeicherten Zugangscodes wählen und ausgeben. Damit ist die Auswahl des richtigen, geeigneten Zugangscodes hinsichtlich der Nutzung einer Vielzahl von Zugangscodes oder Passwörtern automatisiert und damit vereinfacht. In einer Variante kann der Speicher auch keine tatsächlichen Berechtigungen speichern, sondern nur Verweise auf Berechtigungen, die dann an die anfragende Einrichtung geliefert werden. Die Zugangscodes des Speichers bilden dann diese Verweise aus. Depending on the received request, the release unit may select and issue the requested access code from the plurality of access codes stored in the memory. Thus, the selection of the correct, suitable access code with regard to the use of a plurality of access codes or passwords is automated and thus simplified. In one variation, the store may not store actual permissions, but only references to permissions that are then provided to the requesting device. The access codes of the memory then form these references.

Bei einer weiteren Ausführungsform ist die Freigabeeinheit dazu eingerichtet, einen Zugriff auf den bestimmten Zugangscode freizugeben, falls der erfasste aktuelle Nutzungskontext und die empfangene Anfrage zulässig sind. In another embodiment, the enabling unit is configured to enable access to the particular access code if the detected current usage context and the received request are allowable.

Vorteilhafterweise werden hier zwei Zulässigkeitsbedingungen geprüft, bevor der Zugriff auf den angefragten Zugangscode freigegeben wird. Zum einen muss der aktuelle Nutzungskontext der Vorrichtung hinsichtlich der Freigabe zulässig sein. Des Weiteren muss die empfangene Anfrage zulässig sein. Hierbei ist es möglich, nur Anfragen einer bestimmten Gruppe von anfragenden Einrichtungen zuzulassen. Des Weiteren kann die Zulässigkeitsprüfung der Anfrage auch eine Authentisierung des Absenders, der anfragenden Einrichtung, umfassen. Advantageously, two admissibility conditions are checked here before the access to the requested access code is released. On the one hand, the current usage context of the device with regard to release must be permissible. Furthermore, the received request must be allowed. Here it is possible to allow only requests from a particular group of requesting entities. Furthermore, the admissibility check of the request may also include an authentication of the sender, the requesting device.

Wie oben bereits ausgeführt, kann durch die Anfrage eine automatische Auswahl des richtigen, im aktuellen Nutzerkontext geeigneten Zugangscodes erfolgen. Beispielsweise kann der aktuelle Nutzerkontext die Prüfung einer aktuellen Zeit, eines aktuellen Ortes oder einer aktuellen ID des Zielgerätes, beispielsweise erfasst über einen Barcode oder über ein RFID-Lesegerät, umfassen. Somit kann auch bei Feldgeräten, die eine Standard-URL oder eine Standard-IP-Adresse verwenden und daher nicht anhand der Netzwerkadresse unterscheidbar sind, automatisch der passende Speichereintrag hinsichtlich des Zugangscodes ausgewählt werden. As already explained above, the request can be used to automatically select the correct access code suitable in the current user context. For example, the current user context may include checking a current time, a current location or a current ID of the target device, for example, captured via a barcode or via an RFID reader. Thus, even with field devices that use a standard URL or a standard IP address and therefore can not be distinguished on the basis of the network address, the appropriate memory entry with regard to the access code can be automatically selected.

Bei einer weiteren Ausführungsform ist der Speicher dazu eingerichtet, für einen jeden Zugangscode einen Speichereintrag zu speichern, welcher neben dem Zugangscode eine Identifizierung des Zugangscodes und zumindest eine Zulässigkeitsbeschränkung umfasst. In a further embodiment, the memory is set up to store for each access code a memory entry which, in addition to the access code, comprises an identification of the access code and at least one admissibility restriction.

Die Zulässigkeitsbeschränkung beschränkt den zulässigen Zugriff auf die Zugangscodes oder einen ausgewählten Zugangscode, insbesondere örtlich, zeitlich und/oder situativ. The admissibility restriction limits the permissible access to the access codes or a selected access code, in particular locally, temporally and / or situationally.

Bei einer weiteren Ausführungsform ist die Identifizierung des Zugangscodes als ein Geräte-Bezeichner eines dem Zugangscode zugeordneten Gerätes ausgebildet. In a further embodiment, the identification of the access code as a device Designated identifier of the access code associated device.

Die Identifizierungen der Zugangscodes können vorzugsweise unabhängig von dem aktuellen Nutzungskontext der Vorrichtung angezeigt oder ausgegeben werden. So ist einem Nutzer der Vorrichtung stets, insbesondere unabhängig vom aktuellen Nutzungskontext, bekannt, welche Zugangscodes welcher Geräte der Speicher der Vorrichtung verwaltet. The identifications of the access codes may preferably be displayed or output independently of the current usage context of the device. Thus, a user of the device is always aware, in particular independently of the current context of use, which access codes of which devices the memory of the device manages.

Bei einer weiteren Ausführungsform ist die Freigabeeinheit dazu eingerichtet, einen Zugriff auf die in dem Speicher gespeicherten Zugangscodes freizugeben, falls zumindest eine vorbestimmte Anzahl von Zulässigkeitsprüfungen der folgenden positiv ist:

  • – Zulässigkeitsprüfung eines aktuellen Ortes der Vorrichtung im Hinblick auf eine örtliche Zulässigkeitsbeschränkung,
  • – Zulässigkeitsprüfung eines aktuellen Zeitpunktes im Hinblick auf eine zeitliche Zulässigkeitsbeschränkung, und
  • – Zulässigkeitsprüfung eines aktuellen Status der Vorrichtung im Hinblick auf eine statusbezogene Zulässigkeitsbeschränkung.
In a further embodiment, the enabling unit is adapted to enable access to the access codes stored in the memory if at least a predetermined number of validity checks of the following are positive:
  • - admissibility check of a current location of the device with regard to a local admissibility restriction,
  • - admissibility check of a current time with regard to a temporal limitation of admissibility, and
  • - Admissibility check of a current status of the device with regard to a status-related permissive restriction.

Hierzu umfasst die Vorrichtung vorzugsweise ein erstes Erfassungsmittel zum Erfassen des aktuellen Ortes der Vorrichtung. Das erste Erfassungsmittel kann beispielsweise einen Satelliten-Navigationsempfänger umfassen. Zur Erfassung des aktuellen Zeitpunktes hat die Vorrichtung weiterhin ein zweites Erfassungsmittel, welches beispielsweise als eine integrierte Echtzeituhr ausgebildet ist. Zur Erfassung des aktuellen Status der Vorrichtung können einzelne inhärent in der Vorrichtung vorhandene Informationen genutzt werden. Beispielsweise werden dazu Statusmeldungen über Schnittstellen der Vorrichtung verwendet. Auch Lageinformationen der Vorrichtung können genutzt werden. Der aktuelle Status der Vorrichtung kann insbesondere in einer Steuervorrichtung der Vorrichtung, beispielsweise einem Mikrocontroller, verwaltet werden. For this purpose, the device preferably comprises a first detection means for detecting the current location of the device. The first detection means may comprise, for example, a satellite navigation receiver. For detecting the current time, the device further has a second detection means, which is designed for example as an integrated real-time clock. To detect the current status of the device, individual information inherent in the device can be used. For example, status messages via interfaces of the device are used for this purpose. Location information of the device can also be used. The current status of the device can in particular be managed in a control device of the device, for example a microcontroller.

Bei einer weiteren Ausführungsform ist die Freigabeeinheit dazu eingerichtet, einen Zugriff auf die in dem Speicher gespeicherten Zugangscodes freizugeben, falls eine Mehrzahl von Zulässigkeitsprüfungen der folgenden positiv ist:

  • – Zulässigkeitsprüfung eines aktuellen Ortes der Vorrichtung im Hinblick auf eine örtliche Zulässigkeitsbeschränkung,
  • – Zulässigkeitsprüfung eines aktuellen Zeitpunktes im Hinblick auf eine zeitliche Zulässigkeitsbeschränkung, und
  • – Zulässigkeitsprüfung eines aktuellen Status der Vorrichtung im Hinblick auf eine statusbezogene Zulässigkeitsbeschränkung.
In a further embodiment, the enabling unit is adapted to enable access to the access codes stored in the memory if a plurality of validity checks of the following are positive:
  • - admissibility check of a current location of the device with regard to a local admissibility restriction,
  • - admissibility check of a current time with regard to a temporal limitation of admissibility, and
  • - Admissibility check of a current status of the device with regard to a status-related permissive restriction.

Bei dieser Ausführungsform wird erst bei Vorliegen einer Mehrzahl von positiven Zulässigkeitsprüfungen der Zugriff auf die Zugangscodes des Speichers erlaubt. Hierbei kann ein Voting, auch ein gewichtetes Voting, eingesetzt werden. In this embodiment, the access to the access codes of the memory is allowed only in the presence of a plurality of positive admissibility checks. Here a voting, also a weighted voting, can be used.

Bei einer weiteren Ausführungsform ist die Freigabeeinheit dazu eingerichtet, einen Zugriff auf die in dem Speicher gespeicherten Zugangscode freizugeben, falls alle folgenden Zulässigkeitsprüfungen positiv sind:

  • – Zulässigkeitsprüfung eines aktuellen Ortes der Vorrichtung im Hinblick auf eine örtliche Zulässigkeitsbeschränkung,
  • – Zulässigkeitsprüfung eines aktuellen Zeitpunktes im Hinblick auf eine zeitliche Zulässigkeitsbeschränkung, und
  • – Zulässigkeitsprüfung eines aktuellen Status der Vorrichtung im Hinblick auf eine statusbezogene Zulässigkeitsbeschränkung.
In a further embodiment, the enabling unit is adapted to enable access to the access code stored in the memory if all the following admissibility checks are positive:
  • - admissibility check of a current location of the device with regard to a local admissibility restriction,
  • - admissibility check of a current time with regard to a temporal limitation of admissibility, and
  • - Admissibility check of a current status of the device with regard to a status-related permissive restriction.

Diese Ausführungsform ist eine besonders sichere Variante, da alle Zulässigkeitsprüfungen positiv sein müssen, damit der Zugriff auf die Zugangscodes des Speichers erlaubt wird. This embodiment is a particularly secure variant, since all admissibility checks must be positive in order to allow access to the access codes of the memory.

Bei einer weiteren Ausführungsform gibt die statusbezogene Zulässigkeitsbeschränkung zumindest einen Status der Vorrichtung für einen zulässigen Zugriff auf die in dem Speicher gespeicherten Zugangscodes an. Dabei umfasst der zumindest eine Status zumindest einen der folgenden:

  • – Verfügbarkeit eines bestimmten Kommunikationsnetzes,
  • – Verfügbarkeit einer bestimmten Kommunikationsverbindung,
  • – Verfügbarkeit eines bestimmten Kommunikationspartners,
  • – Authentifizierungsstatus eines Nutzers der Vorrichtung
  • – Bestimmte räumliche Lage der Vorrichtung,
  • – bestimmte Umgebung der Vorrichtung,
  • – bestimmter Zustand eines durch die Vorrichtung abarbeitbaren Workflows,
  • – bestimmter Zählerstand für einen Aufruf der Zugangscodes, und
  • – bestimmte Aktion des Nutzers der Vorrichtung.
In another embodiment, the status-based allowance restriction indicates at least one status of the device for allowable access to the access codes stored in the memory. The at least one status comprises at least one of the following:
  • - availability of a specific communication network,
  • - availability of a specific communication connection,
  • - availability of a specific communication partner,
  • Authentication status of a user of the device
  • Certain spatial position of the device,
  • Certain environment of the device,
  • Certain state of a workflow that can be processed by the device,
  • - specific count for a call of the access codes, and
  • Certain action of the user of the device.

Beispielsweise wird der Zugriff nur erlaubt, wenn ein bestimmtes Kommunikationsnetz verfügbar ist, über dem dann die Ausgabe des angefragten Zugangscodes erfolgen kann. Ein solches bestimmtes Kommunikationsnetz kann insbesondere ein gesichertes Kommunikationsnetz sein. Entsprechendes gilt für den Status der bestimmten Kommunikationsverbindung, des bestimmten Kommunikationspartners und den Authentifizierungsstatus des Nutzers der Vorrichtung. For example, the access is only allowed if a particular communication network is available, over which the output of the requested access code can then take place. Such a particular communication network may in particular be a secure communication network. The same applies to the status of the particular communication connection, the particular communication partner and the authentication status of the user of the device.

Auch ist es möglich, als Status die räumliche Lage der Vorrichtung zu nutzen. Ist die Vorrichtung beispielsweise in einem Smartphone integriert, kann somit geprüft werden, ob der Nutzer tatsächlich auf das Display des Smartphones blickt oder ob das Smartphone beispielsweise nahezu senkrecht in einer Jackett-Tasche getragen wird. Bei ersterem kann der Zugriff erlaubt werden, wohingegen bei letzterem der Zugriff negiert werden kann. Auch der Status der Umgebung der Vorrichtung kann zur statusbezogenen Zulässigkeitsbeschränkung beitragen. Beispielsweise kann die Vorrichtung, insbesondere mittels einer Kamera, prüfen, ob sie sich tatsächlich in der bestimmten Umgebung befindet. Ist die Vorrichtung beispielsweise für eine bestimmte Industrieanlage, beispielsweise für eine dedizierte Lagerhalle, freigeschaltet, so kann über die Kamera geprüft werden, ob die Vorrichtung tatsächlich in dieser Lagerhalle genutzt wird oder nicht. In letzterem Fall wird der Zugriff verweigert. It is also possible to use as a status the spatial position of the device. If the device is integrated, for example, in a smartphone, it can thus be checked whether the user is actually looking at the display of the smartphone or whether the smartphone is being carried, for example, almost vertically in a jacket pocket. In the case of the former access can be allowed, whereas in the latter case the access can be negated. The status of the environment of the device may also contribute to the status-related permissive restriction. For example, the device, in particular by means of a camera, to check whether it is actually in the specific environment. If the device, for example, for a particular industrial plant, for example, for a dedicated warehouse, unlocked, it can be checked via the camera, whether the device is actually used in this warehouse or not. In the latter case access is denied.

Auch der Zustand eines durch die Vorrichtung abarbeitbaren Workflows kann zur statusbezogenen Zulässigkeitsbeschränkung beitragen. Beispielsweise werden bestimmte Zugangscodes nur in Abhängigkeit eines Status des Workflows freigegeben. Allerdings werden andererseits, wenn bestimmte Workflows noch nicht abgearbeitet werden, bestimmte, für spätere Schritte des Workflows notwendige Zugangscodes nicht freigegeben. Ein Workflow kann dabei z.B. durch einen Wartungstechniker abzuarbeitende Teilaufgaben abbilden. The state of a workflow that can be processed by the device can also contribute to status-related admissibility restriction. For example, certain access codes are only released depending on a status of the workflow. However, on the other hand, if certain workflows are not yet processed, certain access codes necessary for later steps of the workflow will not be released. A workflow can be e.g. mapped by a maintenance technician to be processed subtasks.

Auch der Zählerstand für einen Aufruf eines bestimmten Zugangscodes oder aller Zugangscodes kann zur statusbezogenen Zulässigkeitsbeschränkung beitragen, insbesondere dahingehend kann der Zugriff verweigert werden, wenn eine bestimmte Anzahl von Aufrufen überschritten ist. Auch kann eine bestimmte Aktion des Nutzers der Vorrichtung in die statusbezogene Zulässigkeitsbeschränkung einfließen. Beispielsweise kann für die Freigabe eines bestimmten Zugangscodes eine bestimmte Abfolge vorhergehender Aktionen des Nutzers notwendig sein. Also, the count for a call of a particular access code or access codes may contribute to the status-related allowance restriction, in particular, access may be denied when a certain number of calls are exceeded. Also, a particular action of the user of the device may be included in the status-based allowance constraint. For example, the release of a particular access code may require a certain sequence of previous actions by the user.

Bei einer weiteren Ausführungsform hat die Vorrichtung eine Ausgabeeinheit zum Ausgeben der freigegebenen Zugangscodes. In a further embodiment, the device has an output unit for outputting the enabled access codes.

Bei einer weiteren Ausführungsform umfasst die Ausgabeeinheit visuelle Ausgabemittel zum visuellen Ausgeben der freigegebenen Zugangscodes. In a further embodiment, the output unit comprises visual output means for visually outputting the enabled access codes.

Das visuelle Ausgabemittel umfasst insbesondere einen Bildschirm (Display), über den die freigebenden Zugangscodes einem Nutzer visuell ausgegeben werden können. The visual output device comprises in particular a screen (display), via which the releasing access codes can be visually output to a user.

Bei einer weiteren Ausführungsform umfasst die Ausgabeeinheit akustische Ausgabemittel zum akustischen Ausgeben der freigegebenen Zugangscodes. In a further embodiment, the output unit comprises acoustic output means for acoustically outputting the enabled access codes.

Das akustische Ausgabemittel umfasst insbesondere einen Lautsprecher, um dem Nutzer die freigebenden Zugangscodes akustisch auszugeben. In particular, the acoustic output means comprises a loudspeaker for acoustically outputting to the user the enabling access codes.

Bei einer weiteren Ausführungsform umfasst die Ausgabeeinheit Übertragungsmittel zum Übertragen der freigegebenen Zugangscodes an eine die Zugangscodes anfragende Einrichtung. In a further embodiment, the output unit comprises transmission means for transmitting the released access codes to a device requesting the access codes.

Das Übertragungsmittel umfasst insbesondere eine Datenschnittstelle zu der anfragenden Einrichtung, um die Zugangscodes auf nachrichtentechnischem Weg zu der anfragenden Einrichtung zu übertragen. In particular, the transmission means comprises a data interface to the requesting device for transmitting the access codes to the requesting device by telecommunications.

Bei der visuellen Ausgabe der Zugangscodes können diese auch vorzugsweise nur in geblindeter Form dem Nutzer ausgegeben werden. Damit ist gemeint, dass durch die Art der Darstellungen Missbrauch erschwert wird. Die Darstellung kann als Graphik (kein kopierbarer Text) mit einem Hintergrundbild, welches Kopien beispielsweise durch Watermarking erschwert, erfolgen. Die Anzeige des vollständigen Zugangscodes kann in zeitlich versetzt dargestellten Teilzugangscodes erfolgen, zum Beispiel stellenweise oder abschnittsweise. Die geblindete Form der Darstellung des Zugangscodes kann beispielsweise ein QR-Code, ein Balkencode, ein Flicker-Code oder dergleichen sein, der durch die anfragende Einrichtung eingelesen werden muss. Das Übertragungsmittel kann beispielsweise als eine drahtgebundene Schnittstelle oder eine drahtlose Schnittstelle ausgebildet sein. In the case of the visual output of the access codes, these may also preferably be output in a blinded form to the user. This means that abuse is made more difficult by the nature of the representations. The representation can be done as a graphic (no copyable text) with a background image, which makes it difficult to copy, for example, by watermarking. The display of the complete access code can be done in partial access codes displayed at a staggered time, for example in places or in sections. The blinded form of representation of the access code can be, for example, a QR code, a bar code, a flicker code or the like, which has to be read in by the requesting device. The transmission means may be designed, for example, as a wired interface or a wireless interface.

Bei einer weiteren Ausführungsform ist die Ausgabeeinheit dazu eingerichtet, die in dem Speicher gespeicherten Identifizierungen der Zugangscodes unabhängig von dem erfassten aktuellen Nutzungskontext auszugeben. In a further embodiment, the output unit is configured to output the identifications of the access codes stored in the memory independently of the detected current usage context.

Dadurch, dass die Identifizierungen unabhängig von dem erfassten aktuellen Zugangscode ausgegeben werden können, kann der Nutzer der Vorrichtung stets darüber informiert werden, welche Zugangscodes von der Vorrichtung verwaltet werden, ohne dass diese tatsächlich ausgegeben werden müssen. By being able to issue the identifications independently of the detected current access code, the user of the device can always be informed as to which access codes are managed by the device without actually having to issue them.

Bei einer weiteren Ausführungsform hat die Vorrichtung eine Authentisierungseinheit zur Authentisierung einer zumindest einen Zugangscode anfragenden Einrichtung. Dabei ist die Freigabeeinheit dazu eingerichtet, einen Zugriff für die anfragende Einrichtung auf die in dem Speicher gespeicherten Zugangscode freizugeben, falls der erfasste aktuelle Nutzungskontext zulässig ist und die anfragende Einrichtung durch die Authentisierungseinheit authentisiert ist. In a further embodiment, the device has an authentication unit for authenticating a device requesting at least one access code. In this case, the release unit is set up to release an access for the requesting device to the access code stored in the memory, if the detected current usage context is permissible and the requesting one Device is authenticated by the authentication unit.

Hierdurch wird sichergestellt, dass nur gegenüber der Vorrichtung authentisierte Nutzer Zugangscodes abfragen können. Weiterhin kann der Zugriff auf den Speicher der Vorrichtung geloggt werden, das heißt, es wird eine Information erstellt, wer auf einen Zugangscode zugegriffen hat. Dabei kann auch der aktuelle Nutzungskontext mit erfasst und geloggt werden. Diese geloggten Informationen können für eine spätere Authentisierung (Authentifizierung) wiederverwendet werden. This ensures that only authenticated users of the device access codes can query. Furthermore, the access to the memory of the device can be logged, that is, an information is created who has accessed an access code. The current usage context can also be recorded and logged. This logged information can be reused for later authentication.

Bei einer weiteren Ausführungsform hat die Vorrichtung eine Kommunikationseinheit zur Kommunikation mit einem Server, welcher zur Steuerung der Verwaltung der in dem Speicher der Vorrichtung gespeicherten Zugangscodes eingerichtet ist. In a further embodiment, the device has a communication unit for communicating with a server, which is arranged to control the management of the access codes stored in the memory of the device.

Die Kommunikationseinheit kann für eine Mehrzahl unterschiedlicher Kommunikationsstandards eingerichtet sein und entsprechende Schnittstellen aufweisen. In einer weiteren Variante kann die Nutzung der Vorrichtung durch den Server explizit freigeschaltet werden. Dies entspricht einem eDRM-Schutz (eDRM, enterprise Digital Rights and Management) des eigentlichen Speichers der Vorrichtung auf dem dem Nutzer zugeordneten Gerät. The communication unit can be set up for a plurality of different communication standards and have corresponding interfaces. In a further variant, the use of the device by the server can be explicitly enabled. This corresponds to an enterprise digital rights and management (eDRM) protection of the actual memory of the device on the device assigned to the user.

Die jeweilige Einheit, zum Beispiel Erfassungseinheit, Freigabeeinheit und Kommunikationseinheit, kann hardwaretechnisch und/oder auch softwaretechnisch implementiert sein. Bei einer hardwaretechnischen Implementierung kann die jeweilige Einheit als Vorrichtung oder als Teil einer Vorrichtung, zum Beispiel als Computer oder als Mikroprozessor ausgebildet sein. Bei einer softwaretechnischen Implementierung kann die jeweilige Einheit als Computerprogrammprodukt, als eine Funktion, als eine Routine, als Teil eines Programmcodes oder als ausführbares Objekt ausgebildet sein. The respective unit, for example detection unit, release unit and communication unit, can be implemented in terms of hardware and / or software. In a hardware implementation, the respective unit may be embodied as a device or as part of a device, for example as a computer or as a microprocessor. In a software implementation, the respective unit may be designed as a computer program product, as a function, as a routine, as part of a program code or as an executable object.

Weiter wird ein System mit einer wie oben beschriebenen Vorrichtung zum Verwalten einer Anzahl von Zugangscodes und einem Server vorgeschlagen. Der Server ist zur Steuerung der Verwaltung der in dem Speicher der Vorrichtung gespeicherten Zugangscodes eingerichtet. Further proposed is a system having a device for managing a number of access codes and a server as described above. The server is arranged to control the management of the access codes stored in the memory of the device.

Der Server steuert, insbesondere managt, die Vorrichtung und damit den Speicher und die in dem Speicher gespeicherten Zugangscodes. Damit können von einer zentralen Stelle Zugangscodes eingespielt, aktualisiert und wieder gelöscht werden. In einer Variante kann auch ein automatischer Widerruf eines Zugangscodes durch den Server erfolgen, falls beispielsweise zu lange keine Synchronisation mit dem Server erfolgt ist. Dann können Zugangscodes automatisch gelöscht werden oder sind nicht mehr zugreifbar, wenn für einen bestimmten Zeitraum keine Prüfung durch den Server erfolgt ist. The server controls, in particular manages, the device and thus the memory and the access codes stored in the memory. This allows access codes to be imported, updated and deleted from a central location. In a variant, an automatic revocation of an access code by the server can take place, for example, if for a long time no synchronization with the server has taken place. Then, access codes can be automatically deleted or become inaccessible if the server has not been checked for a certain period of time.

Ferner wird ein Verfahren zum Betreiben einer Vorrichtung zum Verwalten einer Anzahl von Zugangscodes vorgeschlagen. Die Vorrichtung hat einen Speicher zum Speichern der Anzahl der Zugangscodes. In einem ersten Schritt wird ein aktueller Nutzungskontext der Vorrichtung erfasst. In einem zweiten Schritt wird der Zugriff auf den im Speicher gespeicherten Zugangscodes in Abhängigkeit von dem erfassten aktuellen Nutzungskontext freigegeben. Furthermore, a method for operating a device for managing a number of access codes is proposed. The device has a memory for storing the number of access codes. In a first step, a current usage context of the device is detected. In a second step, access to the access codes stored in the memory is released in dependence on the detected current usage context.

Weiterhin wird ein Computerprogrammprodukt vorgeschlagen, welches auf einer programmgesteuerten Einrichtung die Durchführung des wie oben erläuterten Verfahrens veranlasst. Furthermore, a computer program product is proposed, which causes the execution of the method as explained above on a program-controlled device.

Ein Computerprogrammprodukt wie ein Computerprogramm-Mittel kann beispielsweise als Speichermedium, wie Speicherkarte, USB-Stick, CD-ROM, DVD oder auch in Form einer herunterladbaren Datei von einem Server in einem Netzwerk bereitgestellt oder geliefert werden. Dies kann zum Beispiel in einem drahtlosen Kommunikationsnetzwerk durch die Übertragung einer entsprechenden Datei mit dem Computerprogrammprodukt oder dem Computerprogramm-Mittel erfolgen. A computer program product such as a computer program means can be provided or supplied, for example, as a storage medium, such as a memory card, USB stick, CD-ROM, DVD or in the form of a downloadable file from a server in a network. This can be done, for example, in a wireless communication network by transmitting a corresponding file with the computer program product or the computer program means.

Außerdem wird ein Datenträger mit einem gespeicherten Computerprogramm mit Befehlen vorgeschlagen, welche die Durchführung des wie oben erläuterten Verfahrens auf einer programmgesteuerten Einrichtung veranlassen. In addition, a data carrier with a stored computer program with instructions is suggested, which cause the execution of the method as explained above on a program-controlled device.

Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden Beschreibung der Ausführungsbeispiele, die im Zusammenhang mit den Zeichnungen näher erläutert werden. The above-described characteristics, features, and advantages of this invention, as well as the manner in which they will be achieved, will become clearer and more clearly understood in connection with the following description of the embodiments, which will be described in detail in conjunction with the drawings.

Dabei zeigen: Showing:

1 ein Blockschaltbild eines ersten Ausführungsbeispiels einer Vorrichtung zum Verwalten von Zugangscodes; 1 a block diagram of a first embodiment of an apparatus for managing access codes;

2 ein Blockschaltbild eines zweiten Ausführungsbeispiels einer Vorrichtung zum Verwalten von Zugangscodes; 2 a block diagram of a second embodiment of an apparatus for managing access codes;

3 eine schematische Ansicht eines Beispiel einer Zulässigkeitsbeschränkung eines Zugangscodes; 3 a schematic view of an example of a permission restriction of an access code;

4 ein Blockschaltbild eines dritten Ausführungsbeispiels einer Vorrichtung zum Verwalten von Zugangscodes; 4 a block diagram of a third embodiment of an apparatus for managing access codes;

5 ein Ablaufdiagramm eines Ausführungsbeispiels eines Verfahrens zum Betreiben einer Vorrichtung zum Verwalten von Zugangscodes; 5 a flowchart of an embodiment of a method for operating a device for managing access codes;

6 ein Beispiel einer Kommunikation zwischen einer Vorrichtung zum Verwalten von Zugangscodes von Feldgeräten, einem Feldgerät und einem Server zum Steuern der Vorrichtung; und 6 an example of communication between a device for managing access codes of field devices, a field device and a server for controlling the device; and

7 ein Ablaufdiagramm zu der Kommunikation der 6. In den Figuren sind gleiche oder funktionsgleiche Elemente mit denselben Bezugszeichen versehen worden, sofern nichts anderes angegeben ist. 7 a flow chart for the communication of 6 , In the figures, the same or functionally identical elements have been given the same reference numerals, unless stated otherwise.

In 1 ist ein Blockschaltbild eines ersten Ausführungsbeispiels einer Vorrichtung 10 zum Verwalten von Zugangscodes C1–C4 dargestellt. Der jeweilige Zugangscode C1–C4 ist dazu geeignet, dem Nutzer den Zugang zu einem bestimmten Gerät, einer bestimmten Einrichtung oder dergleichen, zum Beispiel einer Website oder einer Wartungsschnittstelle, zu gewähren. Ein Beispiel für ein solches Gerät ist ein Feldgerät in einer industriellen Umgebung. In 1 is a block diagram of a first embodiment of a device 10 for managing access codes C1-C4. The respective access code C1-C4 is suitable for granting the user access to a specific device, device or the like, for example a website or a maintenance interface. An example of such a device is a field device in an industrial environment.

Die Vorrichtung 10 der 1 weist einen Speicher 11 zum Speichern der Zugangscode C1–C4, eine Erfassungseinheit 12 und eine Freigabeeinheit 13 auf. Der Speicher 11 hat für einen jeden Zugangscode C1–C4 einen Speichereintrag S1–S4. The device 10 of the 1 has a memory 11 for storing the access code C1-C4, a detection unit 12 and a release unit 13 on. The memory 11 has a memory entry S1-S4 for each access code C1-C4.

Die Erfassungseinheit 12 ist dazu eingerichtet, einen aktuellen Nutzungskontext K der Vorrichtung 10 zu erfassen. Beispielsweise umfasst der Nutzungskontext K einen zeitlichen Aspekt, einen örtlichen Aspekt und/oder einen situativen Aspekt. The registration unit 12 is set up to have a current usage context K of the device 10 capture. For example, the use context K includes a temporal aspect, a local aspect and / or a situational aspect.

Die Freigabeeinheit 13 ist dazu eingerichtet, einen Zugriff Z auf den im Speicher 11 gespeicherten Zugangscode C1–C4 in Abhängigkeit von einem erfassten aktuellen Nutzungskontext K freizugeben. Mit anderen Worten, die Freigabeeinheit 12 gibt den Zugriff Z auf den Speicher 11 dann frei, wenn der aktuelle Nutzungskontext K einen Zugriff gewährt. Zur Steuerung des Zugriffs Z kann die Freigabeeinheit 13 beispielsweise ein Freigabesignal (nicht dargestellt) einsetzen. Ein Zugriff ist in 1 schematisch mittels eines Pfeils von der Freigabeeinheit 13 auf den Speicher 11 illustriert. Es ist möglich, bestimmte Zulässigkeitsbeschränkungen zu definieren, welche einen Zugriff Z auf den Speicher 11 ausschließen (siehe hierzu 2 und 3). The release unit 13 is set up to access Z in memory 11 stored access code C1-C4 in response to a detected current usage context K release. In other words, the release unit 12 gives the access Z to the memory 11 then free, if the current usage context K grants access. To control the access Z, the release unit 13 For example, use a release signal (not shown). An access is in 1 schematically by means of an arrow from the release unit 13 on the memory 11 illustrated. It is possible to define certain permission constraints which allow access Z to the memory 11 exclude (see 2 and 3 ).

2 zeigt ein Blockschaltbild eines zweiten Ausführungsbeispiels einer Vorrichtung 10 zum Verwalten von Zugangscodes C1–C4. Das zweite Ausführungsbeispiel der 2 basiert auf dem ersten Ausführungsbeispiel der 1, wobei die Vorrichtung 10 der 2 zusätzlich eine Kommunikationseinheit 14 zeigt, welche zumindest zur Kommunikation mit einem bestimmten Zugangscode C1–C4 anfragende Einrichtung 20 ausgebildet ist. 2 shows a block diagram of a second embodiment of a device 10 for managing access codes C1-C4. The second embodiment of the 2 is based on the first embodiment of 1 , wherein the device 10 of the 2 in addition a communication unit 14 shows which device requesting at least communication with a particular access code C1-C4 20 is trained.

Beispielsweise kann die Kommunikationseinheit 14 eine Anfrage A (Anfragenachricht) für einen bestimmten Zugangscode C1–C4 der Anzahl der in dem Speicher 11 gespeicherten Zugangscodes C1–C4 empfangen. Mit anderen Worten, die Einrichtung 20 fordert einen bestimmten Zugangscode C1–C4 von der Vorrichtung 10 an. Die Freigabeeinheit 13 gibt den Zugriff Z auf den bestimmten Zugangscode C1–C4 der anfragenden Einrichtung 20 dann frei, falls der erfasste aktuelle Nutzungskontext K der Vorrichtung 10 sowie die empfangene Anfrage A der Einrichtung 20 zulässig sind. Im positiven Falle kann die Vorrichtung 10 den angefragten Zugangscode C1–C4 ausgeben. Diese Ausgabe kann akustisch, visuell oder durch eine nachrichtentechnische Übertragung des angefragten Zugangscodes C1–C4 an die Einrichtung 20 erfolgen. For example, the communication unit 14 a request A (request message) for a particular access code C1-C4 of the number of times in the memory 11 stored access codes C1-C4 received. In other words, the device 20 requests a certain access code C1-C4 from the device 10 at. The release unit 13 gives the access Z to the particular access code C1-C4 of the requesting device 20 then free, if the detected current usage context K of the device 10 as well as the received request A of the device 20 are permissible. In a positive case, the device can 10 output the requested access code C1-C4. This output can be audible, visual or by a telecommunications transmission of the requested access code C1-C4 to the device 20 respectively.

Die Anfrage A der Einrichtung 20 umfasst beispielsweise eine Identifizierung ID1–ID4 des angefragten Zugangscodes C1–C4. Dabei ist der Speicher 11 vorzugsweise dazu eingerichtet, für einen jeden Zugangscode C1–C4 einen Speichereintrag S1–S4 derart zu verwalten, dass er neben dem Zugangscode C1–C4 auch die Identifizierung ID1–ID4 des Zugangscodes C1–C4 und zumindest eine Zulässigkeitsbeschränkung B1–B4 umfasst. Die Identifizierung ID1–ID4 des Zugangscodes C1–C4 ist beispielsweise als ein Gerätebezeichner eines dem Zugangscode C1–C4 zugeordneten Gerätes, insbesondere Feldgerätes, ausgebildet. Die Zulässigkeitsbeschränkung B1–B4 schränkt die Zulässigkeit eines Zugriffs auf den jeweiligen Zugangscode C1–C4 ein. Details hierzu ergeben sich aus der 3. Hierbei zeigt die 3 eine schematische Ansicht eines Beispiels einer Zulässigkeitsbeschränkung B1 eines Zugangscodes, wie er beispielhaft in 1 oder 2 dargestellt ist. Request A of the facility 20 For example, it includes an identification ID1-ID4 of the requested access code C1-C4. This is the memory 11 preferably configured to manage a memory entry S1-S4 for each access code C1-C4 in such a way that, in addition to the access code C1-C4, it also includes the identification ID1-ID4 of the access code C1-C4 and at least one permissibility restriction B1-B4. The identification ID1-ID4 of the access code C1-C4 is designed, for example, as a device identifier of a device associated with the access code C1-C4, in particular a field device. The admissibility restriction B1-B4 restricts the permissibility of access to the respective access code C1-C4. Details can be found in the 3 , This shows the 3 a schematic view of an example of a permission restriction B1 access code, as exemplified in 1 or 2 is shown.

Die Zulässigkeitsbeschränkung B1 der 3 umfasst eine örtliche Zulässigkeitsbeschränkung L, eine zeitliche Zulässigkeitsbeschränkung T und eine statusbezogene Zulässigkeitsbeschränkung S. Beispielsweise gibt die örtliche Zulässigkeitsbeschränkung L an, an welchem Ort, an welchen Orten oder in welchem Gebiet der Zugriff auf den Speicher 11 der Vorrichtung 10 möglich ist. Entsprechend gibt die zeitliche Zulässigkeitsbeschränkung T an, zu welchem Zeitpunkt, zu welchen Zeitpunkten, in welchem Zeitraum und/oder in welchen Zeiträumen ein Zugriff auf die Zugangscodes C1–C4 des Speichers 11 der Vorrichtung 10 möglich ist. The admissibility restriction B1 of the 3 includes a local allowance restriction L, a temporal allowance restriction T, and a status-related allowance restriction S. For example, the local allowance restriction L indicates at which location, locations, or area access to the store 11 the device 10 is possible. Accordingly, the temporal permissiveness restriction T indicates, at which time, at which times, in which period and / or in which time periods, access to the access codes C1-C4 of the memory 11 the device 10 is possible.

Die statusbezogene Zulässigkeitsbeschränkung S gibt zumindest einen Status der Vorrichtung 10 für einen zulässigen Zugriff Z auf die in dem Speicher 11 gespeicherten Zugangscodes C1–C4 an. Der zumindest eine Status umfasst zumindest einen der folgenden:

  • – Verfügbarkeit eines bestimmten Kommunikationsnetzes,
  • – Verfügbarkeit einer bestimmten Kommunikationsverbindung,
  • – Verfügbarkeit eines bestimmten Kommunikationspartners,
  • – Authentisierungsstatus eines Nutzers der Vorrichtung 10,
  • – bestimmte räumliche Lage der Vorrichtung 10,
  • – bestimmte Umgebung der Vorrichtung 10,
  • – bestimmter Zustand eines durch die Vorrichtung 10 abarbeitbaren Workflows,
  • – bestimmter Zählerstand für einen Aufruf der Zugangscodes C1–C4, und
  • – bestimmte Aktion des Nutzers der Vorrichtung 10.
The status-related permissive restriction S gives at least one status of the device 10 for an allowable access Z to those in the memory 11 stored access codes C1-C4. The at least one status includes at least one of the following:
  • - availability of a specific communication network,
  • - availability of a specific communication connection,
  • - availability of a specific communication partner,
  • Authentication status of a user of the device 10 .
  • - certain spatial position of the device 10 .
  • - Certain environment of the device 10 .
  • - Certain state of a through the device 10 executable workflows,
  • Certain counter reading for access codes C1-C4, and
  • Certain action of the user of the device 10 ,

Im Lichte des Beispiels der 3 kann die Freigabeeinheit 13 der 1 bzw. der 2 dazu eingerichtet werden, einen Zugriff Z auf die in dem Speicher 11 gespeicherten Zugangscodes C1–C4 freizugeben, falls zumindest eine vorbestimmte Anzahl von Zulässigkeitsprüfungen der folgenden positiv ist:

  • – Zulässigkeitsprüfung eines aktuellen Ortes der Vorrichtung 10 im Hinblick auf eine örtliche Zulässigkeitsbeschränkung L,
  • – Zulässigkeitsprüfung eines aktuellen Zeitpunktes im Hinblick auf eine zeitliche Zulässigkeitsbeschränkung T, und
  • – Zulässigkeitsprüfung eines aktuellen Status der Vorrichtung 10 im Hinblick auf eine statusbezogene Zulässigkeitsbeschränkung S.
In the light of the example of 3 can the release unit 13 of the 1 or the 2 be set up to access Z in the memory 11 stored access codes C1-C4, if at least a predetermined number of admissibility checks of the following is positive:
  • - Admissibility check of a current location of the device 10 with regard to a local permissibility restriction L,
  • - Admissibility check of a current point in time with regard to a temporal admissibility restriction T, and
  • - Admissibility check of a current status of the device 10 with regard to a status-related admissibility restriction S.

Beispielsweise wird die Freigabeeinrichtung 13 den Zugriff Z nur dann freigeben, falls eine Mehrzahl der Zulässigkeitsprüfungen, vorzugsweise alle Zulässigkeitsprüfungen, positivsind. For example, the sharing device becomes 13 Only release the access Z if a majority of the admissibility checks, preferably all admissibility checks, are positive.

In 4 ist ein Blockschaltbild eines dritten Ausführungsbeispiels einer Vorrichtung 10 zum Verwalten von Zugangscodes C1–C4 dargestellt. Neben der Vorrichtung 10 sind in der 4 auch eine Einrichtung 20, welche einen Zugangscode C1–C4 mittels einer Anfrage A anfragt, und ein Server 30, der zur Steuerung der Vorrichtung 10 eingerichtet ist, dargestellt. In 4 is a block diagram of a third embodiment of a device 10 for managing access codes C1-C4. Next to the device 10 are in the 4 also a facility 20 which requests an access code C1-C4 by means of a request A, and a server 30 , which controls the device 10 is set up.

Der Server 30 ist insbesondere dazu ausgestaltet, die Verwaltung der in dem Speicher 11 der Vorrichtung 10 gespeicherten Zugangscodes C1–C4 zu steuern. Die Steuerung der Verwaltung inkludiert dabei die Löschung von Zugangscodes C1–C4, die Hinzufügung von Zugangscodes C1–C4 und/oder die Änderung von Zugangscodes C1–C4. Hierzu werden Steuersignale X durch den Server 30 eingesetzt. Die Steuersignale X umfassen auch Antworten der Vorrichtung 10 an den Server 30. The server 30 is especially designed to manage the in the memory 11 the device 10 to control stored access codes C1-C4. The control of the administration includes the deletion of access codes C1-C4, the addition of access codes C1-C4 and / or the modification of access codes C1-C4. For this purpose, control signals X by the server 30 used. The control signals X also include responses of the device 10 to the server 30 ,

Die Erfassungseinheit 12 der 4 umfasst ein erstes Erfassungsmittel 21 zur Erfassung des aktuellen Ortes der Vorrichtung 10, ein zweites Erfassungsmittel 22 zur Erfassung eines aktuellen Zeitpunktes und ein drittes Erfassungsmittel 23 zur Erfassung zumindest eines aktuellen Status der Vorrichtung 10. Diese Informationen, aktueller Ort, aktueller Zeitpunkt, aktueller Status, bilden den Nutzungskontext 10 der Vorrichtung 10 und werden mit den Zulässigkeitsbeschränkungen B1–B4 verglichen (siehe hierzu beispielsweise 3). The registration unit 12 of the 4 includes a first detection means 21 for detecting the current location of the device 10 , a second detection means 22 for recording a current time and a third detection means 23 for detecting at least one current status of the device 10 , This information, current location, current time, current status, form the usage context 10 the device 10 and are compared with the admissibility restrictions B1-B4 (see for example 3 ).

Das erste Erfassungsmittel 21 umfasst beispielsweise einen Satelliten-Navigationsempfänger, das zweite Erfassungsmittel 22 ist beispielsweise als eine Echtzeituhr ausgebildet, und das dritte Erfassungsmittel 23 kann beispielsweise einen Barcode-Reader, einen NFC-Reader und weitere Mittel zur Erfassung des Status der Vorrichtung 10 umfassen. Diese weiteren Mittel können auch Teile des Mikrocontrollers der Vorrichtung 10 umfassen, um bestimmte Statusinformationen, die inhärent in diesem vorhanden sind, zu verwenden. The first means of detection 21 for example, includes a satellite navigation receiver, the second detection means 22 is designed, for example, as a real-time clock, and the third detection means 23 For example, it may include a bar code reader, an NFC reader, and other means for detecting the status of the device 10 include. These other means may also be parts of the microcontroller of the device 10 to use certain status information inherent in it.

Ferner hat die Vorrichtung 10 der 4 eine Authentisierungseinheit 19 zu Authentisierung der anfragenden Einrichtung 20. Die Authentisierungseinheit 19 ist beispielsweise in der Freigabeeinheit 13 integriert. Dabei ist die Freigabeeinheit 13 dann dazu eingerichtet, einen Zugriff Z für die anfragende Einrichtung 20 auf die in dem Speicher 11 gespeicherten Zugangscodes C1–C4 freizugeben, falls der erfasste aktuelle Nutzungskontext K zulässig ist und die Anfrageneinrichtung 20 durch die Authentisierungseinheit 19 authentisiert ist. Furthermore, the device has 10 of the 4 an authentication unit 19 for authentication of the requesting device 20 , The authentication unit 19 is for example in the release unit 13 integrated. Where is the release unit 13 then set up to access Z for the requesting device 20 on the in the store 11 to release stored access codes C1-C4 if the detected current usage context K is allowed and the requestor device 20 through the authentication unit 19 is authenticated.

Ferner hat die Vorrichtung 10 der 4 eine Ausgabeeinheit 15, welche dazu eingerichtet ist, freigegebene Zugangscodes C1–C4, insbesondere der anfragenden Einrichtung 20, auszugeben. Furthermore, the device has 10 of the 4 an output unit 15 , which is adapted to released access codes C1-C4, in particular the requesting device 20 to spend.

Beispielsweise umfasst die Ausgabeeinheit 15 visuelle Ausgabemittel 16, akustische Ausgabemittel 17 und/oder Übertragungsmittel 18. Die visuellen Ausgabemittel 16 sind dazu geeignet, die freigegebenen Zugangscodes C1–C4 visuell auszugeben. Dazu kann das visuelle Ausgabemittel 16 insbesondere einen Bildschirm oder ein Display umfassen und die freigegebenen Zugangscodes insbesondere in geblindeter Form ausgeben. Die akustischen Ausgabemittel 17 umfassen insbesondere einen Lautsprecher und sind zum akustischen Ausgeben der freigegebenen Zugangscodes C1–C4 geeignet. Das Übertragungsmittel 13 ist dazu eingerichtet, die freigegebenen Zugangscodes C1–C4 an die anfragende Einrichtung 20 nachrichtentechnisch zu übertragen. Dabei kann das Übertragungsmittel 18 beispielsweise eine Kabelverbindung, eine Infrarotverbindung oder eine Funkverbindung nutzen. For example, the output unit comprises 15 visual output means 16 , acoustic output means 17 and / or transmission means 18 , The visual output device 16 are adapted to visually output the enabled access codes C1-C4. This can be done by the visual output device 16 In particular, comprise a screen or a display and output the shared access codes in particular in a blinded form. The acoustic output means 17 In particular, they comprise a loudspeaker and are suitable for acoustically outputting the enabled access codes C1-C4. The transmission medium 13 is configured to request the shared access codes C1-C4 to the requesting Facility 20 telecommunications technology. In this case, the transmission means 18 For example, use a cable connection, an infrared connection or a wireless connection.

In 5 ist ein Ablaufdiagramm eines Ausführungsbeispiels eines Verfahrens zum Betreiben einer Vorrichtung 10 zum Verwalten einer Anzahl von Zugangscodes C1–C4 dargestellt. Die Vorrichtung 10 hat einen Speicher 11 zum Speichern der Anzahl der Zugangscodes C1–C4. In 5 FIG. 10 is a flow chart of one embodiment of a method for operating a device. FIG 10 for managing a number of access codes C1-C4. The device 10 has a memory 11 for storing the number of access codes C1-C4.

In Schritt 501 wird ein aktueller Nutzungskontext K der Vorrichtung 10 erfasst. In step 501 becomes a current usage context K of the device 10 detected.

In Schritt 502 wird der Zugriff auf den im Speicher 11 gespeicherten Zugangscodes C1–C4 in Abhängigkeit von dem erfassten aktuellen Nutzungskontext K freigegeben. In step 502 will be accessing the memory 11 stored access codes C1-C4 in response to the detected current usage context K released.

In 6 ist ein Beispiel einer Kommunikation zwischen einer Vorrichtung 10 zum Verwalten von Zugangscodes von Feldgeräten 20, einem Feldgerät 20 und einem Server 30 zum Steuern der Vorrichtung 10 dargestellt. Die Vorrichtung 10 in der 6 ist beispielsweise ein Smartphone mit einer Kamera, welches von einem Service-Techniker genutzt wird, um Zugriff auf ein Feldgerät 20 zu haben. Die Kommunikation der 6 wird mit Bezug zu dem Ablaufdiagramm der 7 erläutert. In 6 is an example of communication between a device 10 for managing access codes of field devices 20 , a field device 20 and a server 30 for controlling the device 10 shown. The device 10 in the 6 For example, a smartphone with a camera used by a service technician to access a field device 20 to have. The communication of 6 will be described with reference to the flowchart of 7 explained.

In Schritt 700 der 6 (nicht explizit gezeigt in 7) werden Service-Techniker-Informationen von dem Smartphone 10 an den Server 30 übertragen. In Schritt 701 wird eine Service-Aufgabe im Rahmen eines Workflows dem Techniker und damit seinem Smartphone 10 zugeordnet. In Schritt 702 wird in Abhängigkeit der zugeordneten Service-Aufgabe eine Anzahl von Zugangscodes durch den Server 30 bestimmt. Zur Durchführung einer Service-Aufgabe benötigte Zugangscodes können vorliegen, z.B. in einer Datenbank, oder sie können generiert werden. In Schritt 703 werden diese Zugangscodes an das Smartphone 10 des Service-Technikers übermittelt. In step 700 of the 6 (not explicitly shown in 7 ) will be service technician information from the smartphone 10 to the server 30 transfer. In step 701 becomes a service task in the context of a workflow to the technician and thus his smartphone 10 assigned. In step 702 Depending on the assigned service task, a number of access codes are sent by the server 30 certainly. Access codes required to perform a service task may be present, eg in a database, or they may be generated. In step 703 These access codes will be sent to the smartphone 10 transmitted by the service technician.

In Schritt 704 wird der Nutzungskontext des Smartphones 10 dadurch erfasst, dass automatisch oder getriggert durch eine bestimmte Nähe zwischen dem Smartphone 10 und dem Feldgerät 20 ein QR-Code des Feldgerätes 20 von der Kamera des Smartphones 10 eingelesen wird. Durch diesen erfassten aktuellen Nutzungskontext ist der Zugangscode für das Feldgerät 20 freigeschaltet. Der freigeschaltete Zugangscode wird in Schritt 705 von dem Smartphone 10 an das Feldgerät 20 übertragen. In Schritt 706 wird der übertragene Zugangscode von dem Feldgerät 20 überprüft, wobei in Schritt 707 (im negativen Falle) der Zugang verweigert wird, wohingegen in Schritt 708 (im positiven Falle) der Zugang gewährt wird. In step 704 becomes the usage context of the smartphone 10 captured by being automatically or triggered by a specific proximity between the smartphone 10 and the field device 20 a QR code of the field device 20 from the camera of the smartphone 10 is read. This captured current usage context is the access code for the field device 20 unlocked. The unlocked access code will be in step 705 from the smartphone 10 to the field device 20 transfer. In step 706 becomes the transmitted access code from the field device 20 checked, taking in step 707 (in the negative case) access is denied, whereas in step 708 (in a positive case) access is granted.

Obwohl die Erfindung im Detail durch das bevorzugte Ausführungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen. Although the invention has been further illustrated and described in detail by the preferred embodiment, the invention is not limited by the disclosed examples, and other variations can be derived therefrom by those skilled in the art without departing from the scope of the invention.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • DE 102007046079 A [0009] DE 102007046079 A [0009]
  • US 2012294445 A1 [0010] US 2012294445 A1 [0010]

Zitierte Nicht-PatentliteraturCited non-patent literature

  • IEC 62351-8 [0007] IEC 62351-8 [0007]

Claims (15)

Vorrichtung (10) zum Verwalten einer Anzahl von Zugangscodes (C1–C4), mit: einem Speicher (11) zum Speichern der Anzahl der Zugangscodes (C1–C4), einer Erfassungseinheit (12) zum Erfassen eines aktuellen Nutzungskontexts (K) der Vorrichtung (10), und einer Freigabeeinheit (13) zum Freigeben eines Zugriffs (Z) auf die in dem Speicher (11) gespeicherten Zugangscodes (C1–C4) in Abhängigkeit von dem erfassten aktuellen Nutzungskontext (K). Contraption ( 10 ) for managing a number of access codes (C1-C4), comprising: a memory ( 11 ) for storing the number of access codes (C1-C4), a registration unit ( 12 ) for detecting a current usage context (K) of the device ( 10 ), and a release unit ( 13 ) for enabling access (Z) to the memory in the memory (Z) 11 ) stored access codes (C1-C4) in dependence on the detected current usage context (K). Vorrichtung nach Anspruch 1, gekennzeichnet durch eine Kommunikationseinheit (14) zum Empfangen einer Anfrage (A) für einen bestimmten Zugangscode (C1–C4) der Anzahl der in dem Speicher (11) gespeicherten Zugangscodes (C1–C4). Device according to claim 1, characterized by a communication unit ( 14 ) for receiving a request (A) for a particular access code (C1-C4) the number of in the memory ( 11 ) stored access codes (C1-C4). Vorrichtung nach Anspruch 2, dadurch gekennzeichnet, dass die Freigabeeinheit (13) dazu eingerichtet ist, einen Zugriff (Z) auf den bestimmten Zugangscode (C1–C4) freizugeben, falls der erfasste aktuelle Nutzungskontext (K) und die empfangene Anfrage (A) zulässig sind. Apparatus according to claim 2, characterized in that the release unit ( 13 ) is adapted to enable access (Z) to the particular access code (C1-C4) if the detected current usage context (K) and the received request (A) are allowed. Vorrichtung nach einem der Ansprüche 1–3, dadurch gekennzeichnet, dass der Speicher (11) dazu eingerichtet ist, für einen jeden Zugangscode (C1–C4) einen Speichereintrag (S1–S4) zu speichern, welcher neben dem Zugangscode (C1–C4) eine Identifizierung (ID1–ID4) des Zugangscodes (C1–C4) und zumindest eine Zulässigkeitsbeschränkung (B1–B4) umfasst. Device according to one of claims 1-3, characterized in that the memory ( 11 ) is arranged to store for each access code (C1-C4) a memory entry (S1-S4) which, in addition to the access code (C1-C4), an identifier (ID1-ID4) of the access code (C1-C4) and at least one Permissibility restriction (B1-B4). Vorrichtung nach Anspruch 4, dadurch gekennzeichnet, dass die Identifizierung (ID1–ID4) des Zugangscodes (C1–C4) als ein Geräte-Bezeichner eines dem Zugangscode (C1–C4 zugeordneten Gerätes ausgebildet ist. Device according to claim 4, characterized in that the identification (ID1-ID4) of the access code (C1-C4) is formed as a device identifier of a device associated with the access code (C1-C4). Vorrichtung nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass die Freigabeeinheit (13) dazu eingerichtet ist, einen Zugriff (Z) auf die in dem Speicher (11) gespeicherten Zugangscodes (C1–C4) freizugeben, falls zumindest eine vorbestimmte Anzahl von Zulässigkeitsprüfungen der folgenden positiv ist: – Zulässigkeitsprüfung eines aktuellen Ortes der Vorrichtung (10) im Hinblick auf eine örtliche Zulässigkeitsbeschränkung (L), – Zulässigkeitsprüfung eines aktuellen Zeitpunktes im Hinblick auf eine zeitliche Zulässigkeitsbeschränkung (T), und – Zulässigkeitsprüfung eines aktuellen Status der Vorrichtung im Hinblick auf eine statusbezogene Zulässigkeitsbeschränkung (S). Apparatus according to claim 4 or 5, characterized in that the release unit ( 13 ) is adapted to access (Z) to the memory in the memory ( 11 ) if at least a predetermined number of admissibility checks are positive for the following: Admissibility check of a current location of the device (c) 10 ) with regard to a local admissibility restriction (L), - admissibility check of a current time point with regard to a temporal admissibility restriction (T), and - admissibility check of a current status of the device with regard to a status-related permissive restriction (S). Vorrichtung nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass die Freigabeeinheit (13) dazu eingerichtet ist, einen Zugriff (Z) auf die in dem Speicher (11) gespeicherten Zugangscodes (C1–C4) freizugeben, falls eine Mehrzahl von Zulässigkeitsprüfungen der folgenden positiv ist: – Zulässigkeitsprüfung eines aktuellen Ortes der Vorrichtung (10) im Hinblick auf eine örtliche Zulässigkeitsbeschränkung (L), – Zulässigkeitsprüfung eines aktuellen Zeitpunktes im Hinblick auf eine zeitliche Zulässigkeitsbeschränkung (T), und – Zulässigkeitsprüfung eines aktuellen Status der Vorrichtung im Hinblick auf eine statusbezogene Zulässigkeitsbeschränkung (S). Apparatus according to claim 4 or 5, characterized in that the release unit ( 13 ) is adapted to access (Z) to the memory in the memory ( 11 ) access codes (C1-C4) if a plurality of admissibility checks are positive for the following: - admissibility check of a current location of the device ( 10 ) with regard to a local admissibility restriction (L), - admissibility check of a current time point with regard to a temporal admissibility restriction (T), and - admissibility check of a current status of the device with regard to a status-related permissive restriction (S). Vorrichtung nach Anspruch 6 oder 7, dadurch gekennzeichnet, dass die statusbezogene Zulässigkeitsbeschränkung (S) zumindest einen Status der Vorrichtung (10) für einen zulässigen Zugriff (Z) auf die in dem Speicher (11) gespeicherten Zugangscodes (C1–C4) angibt, wobei der zumindest eine Status zumindest einen der folgenden umfasst: – Verfügbarkeit eines bestimmten Kommunikationsnetzes, – Verfügbarkeit einer bestimmten Kommunikationsverbindung, – Verfügbarkeit eines bestimmten Kommunikationspartners, – Authentisierungsstatus eines Nutzers der Vorrichtung (10), – bestimmte räumliche Lage der Vorrichtung (10), – bestimmte Umgebung der Vorrichtung (10), – bestimmter Zustand eines durch die Vorrichtung (10) abarbeitbaren Workflows, – bestimmter Zählerstand für einen Aufruf der Zugangscodes (C1–C4), und – bestimmte Aktion des Nutzers der Vorrichtung (10). Device according to claim 6 or 7, characterized in that the status-related permissive restriction (S) at least one status of the device ( 10 ) for allowable access (Z) to those in the memory ( 11 ) indicates at least one of the following: - availability of a particular communication network, - availability of a particular communication connection, - availability of a particular communication partner, - authentication status of a user of the device ( 10 ), - certain spatial position of the device ( 10 ), - certain environment of the device ( 10 ), - certain state of a through the device ( 10 ) executable workflows, - specific count for calling the access codes (C1-C4), and - certain action of the user of the device ( 10 ). Vorrichtung nach einem der Ansprüche 1–8, gekennzeichnet durch eine Ausgabeeinheit (15) zum Ausgeben der freigegebenen Zugangscodes (C1–C4). Device according to one of claims 1-8, characterized by an output unit ( 15 ) for issuing the released access codes (C1-C4). Vorrichtung nach Anspruch 9, dadurch gekennzeichnet, dass die Ausgabeeinheit (15) umfasst: – visuelle Ausgabemittel (16) zum visuellen Ausgeben der freigegebenen Zugangscodes (C1–C4), insbesondere zum visuellen Ausgeben der freigegebenen Zugangscodes (C1–C4) in geblindeter Form, – akustische Ausgabemittel (A) zum akustischen Ausgeben der freigegebenen Zugangscodes (C1–C4) und/oder – Übertragungsmittel (18) zum Übertragen der freigegebenen Zugangscodes (C1–C4) an eine die Zugangscodes anfragende Einrichtung (20). Apparatus according to claim 9, characterized in that the output unit ( 15 ) comprises: - visual output means ( 16 ) for visually issuing the released access codes (C1-C4), in particular for visually outputting the released access codes (C1-C4) in blinded form, - audible output means (A) for acoustically outputting the enabled access codes (C1-C4) and / or Transmission means ( 18 ) for transmitting the released access codes (C1-C4) to a device requesting the access codes ( 20 ). Vorrichtung nach einem der Ansprüche bis 4–10, dadurch gekennzeichnet, dass die Ausgabeeinheit (15) dazu eingerichtet ist, die in dem Speicher (11) gespeicherten Identifizierungen (ID1–ID4) der Zugangscodes (C1–C4) unabhängig von dem erfassten aktuellen Nutzungskontext (K) auszugeben. Device according to one of claims 4-10, characterized in that the output unit ( 15 ) is set up in the memory ( 11 ) stored identifications (ID1-ID4) of the access codes (C1-C4) independently of the detected current usage context (K). Vorrichtung nach einem der Ansprüche 1–11, gekennzeichnet durch eine Authentisierungseinheit (19) zur Authentisierung einer zumindest einen Zugangscode (C1–C4) anfragenden Einrichtung (20), wobei die Freigabeeinheit (13) dazu eingerichtet ist, einen Zugriff (Z) für die anfragende Einrichtung (20) auf die in dem Speicher (11) gespeicherten Zugangscodes (C1–C4) freizugeben, falls der erfasste aktuelle Nutzungskontext (K) zulässig ist und die anfragende Einrichtung (20) durch die Authentisierungseinheit (19) authentisiert ist. Device according to one of claims 1-11, characterized by an authentication unit ( 19 ) for authenticating a device requesting at least one access code (C1-C4) ( 20 ), whereby the release unit ( 13 ) is arranged to provide access (Z) to the requesting device ( 20 ) in the memory ( 11 ) access code (C1-C4) stored if the detected current usage context (K) is admissible and the requesting device ( 20 ) by the authentication unit ( 19 ) is authenticated. Vorrichtung nach einem der Ansprüche 1–12, gekennzeichnet durch eine Kommunikationseinheit (14) zur Kommunikation mit einem Server (30), welcher zur Steuerung der Verwaltung der in dem Speicher (11) der Vorrichtung (10) gespeicherten Zugangscodes (C1–C4) eingerichtet ist. Device according to one of claims 1-12, characterized by a communication unit ( 14 ) for communication with a server ( 30 ), which is used to control the management of 11 ) of the device ( 10 ) stored access codes (C1-C4) is established. System, mit: einer Vorrichtung (10) zum Verwalten einer Anzahl von Zugangscodes (C1–C4) nach einem der Ansprüche 1 bis 13, und einem Server (30) zur Steuerung der Verwaltung der in dem Speicher (11) der Vorrichtung (10) gespeicherten Zugangscodes (C1–C4). System comprising: a device ( 10 ) for managing a number of access codes (C1-C4) according to one of claims 1 to 13, and a server ( 30 ) for controlling the management of the memory in the memory ( 11 ) of the device ( 10 ) stored access codes (C1-C4). Verfahren zum Betreiben einer Vorrichtung (10) zum Verwalten einer Anzahl von Zugangscodes (C1–C4), welche einen Speicher (11) zum Speichern der Anzahl der Zugangscodes (C1–C4) aufweist, mit den Schritten: Erfassen (501) eines aktuellen Nutzungskontexts (K) der Vorrichtung (10), und Freigeben (502) eines Zugriffs (Z) auf den im Speicher (11) gespeicherten Zugangscodes (C1–C4) in Abhängigkeit von dem erfassten aktuellen Nutzungskontext (K). Method for operating a device ( 10 ) for managing a number of access codes (C1-C4) containing a memory ( 11 ) for storing the number of access codes (C1-C4), comprising the steps of: detecting ( 501 ) of a current usage context (K) of the device ( 10 ), and Share ( 502 ) of access (Z) to that in the memory ( 11 ) stored access codes (C1-C4) in dependence on the detected current usage context (K).
DE102013202339.1A 2013-02-13 2013-02-13 Device and method for managing access codes Withdrawn DE102013202339A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102013202339.1A DE102013202339A1 (en) 2013-02-13 2013-02-13 Device and method for managing access codes
PCT/EP2014/050302 WO2014124765A1 (en) 2013-02-13 2014-01-09 Device and method for the secure management of access codes

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102013202339.1A DE102013202339A1 (en) 2013-02-13 2013-02-13 Device and method for managing access codes

Publications (1)

Publication Number Publication Date
DE102013202339A1 true DE102013202339A1 (en) 2014-08-14

Family

ID=50023533

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102013202339.1A Withdrawn DE102013202339A1 (en) 2013-02-13 2013-02-13 Device and method for managing access codes

Country Status (2)

Country Link
DE (1) DE102013202339A1 (en)
WO (1) WO2014124765A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2942922B1 (en) 2014-05-09 2020-04-22 General Electric Company System and method for controlled device access
DE102019101082A1 (en) * 2019-01-16 2020-07-16 sonnen GmbH Computer program product for reading out status data of electrical power units, methods for providing control power and / or for self-consumption optimization and electrical energy storage

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007046079A1 (en) 2007-09-26 2009-04-02 Siemens Ag A method for establishing a secure connection from a service technician to an incident affected component of a remote diagnosable and / or remote controllable automation environment
US20120294445A1 (en) 2011-05-16 2012-11-22 Microsoft Corporation Credential storage structure with encrypted password

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9244455B2 (en) * 2007-09-10 2016-01-26 Fisher-Rosemount Systems, Inc. Location dependent control access in a process control system
WO2011027191A1 (en) * 2009-09-02 2011-03-10 Telenor Asa A method, system, and computer readable medium for controlling access to a memory in a memory device
DE102010017938A1 (en) * 2010-04-22 2011-10-27 Siemens Aktiengesellschaft System and method for providing sensor data
EP2389023A1 (en) * 2010-05-17 2011-11-23 Morpho Cards GmbH Telecommunications chip card and NFC-enabled mobile telephone device
GB201019858D0 (en) * 2010-11-23 2011-01-05 Yearwood Clebert O R Engineering diagnostic application (E.D.A)

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007046079A1 (en) 2007-09-26 2009-04-02 Siemens Ag A method for establishing a secure connection from a service technician to an incident affected component of a remote diagnosable and / or remote controllable automation environment
US20120294445A1 (en) 2011-05-16 2012-11-22 Microsoft Corporation Credential storage structure with encrypted password

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
IEC 62351-8

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2942922B1 (en) 2014-05-09 2020-04-22 General Electric Company System and method for controlled device access
DE102019101082A1 (en) * 2019-01-16 2020-07-16 sonnen GmbH Computer program product for reading out status data of electrical power units, methods for providing control power and / or for self-consumption optimization and electrical energy storage

Also Published As

Publication number Publication date
WO2014124765A1 (en) 2014-08-21

Similar Documents

Publication Publication Date Title
DE102012214018B3 (en) Authorization of a user by a portable communication device
DE102017209961B4 (en) Method and device for authenticating a user on a vehicle
EP2159653B1 (en) Method for assigning access authorisation to a computer-based object in an automation system, computer program and automation system
DE102011089580B3 (en) Method for reading e.g. attribute stored in passport, for electronic-commerce application, involves examining whether attribute of security assertion markup language response fulfills criterion as premiss for contribution of service
DE102014119363A1 (en) AUTHORIZATION MANAGEMENT SERVER AND AUTHORIZATION MANAGEMENT PROCESS
DE102012208834A1 (en) Authentication of a product to an authenticator
DE102013108925A1 (en) Support the use of a secret key
EP3198826B1 (en) Authentication stick
EP2732398B1 (en) Method for operating a network device
DE102017121648B3 (en) METHOD FOR REGISTERING A USER AT A TERMINAL DEVICE
DE102015103121B4 (en) METHOD AND SYSTEM FOR COMPUTER-BASED SAFE COMMUNICATION BETWEEN DATA PROCESSING UNITS
EP2996299B1 (en) Method and assembly for authorising an action on a self-service system
DE102013202339A1 (en) Device and method for managing access codes
DE102017006200A1 (en) Method, hardware and system for dynamic data transmission to a blockchain computer network for storing personal data around this part again block by block as the basis for end to end encryption used to dynamically update the data collection process via the data transmission module in real time from sensor units. The block modules on the blockchain database system are infinitely expandable.
EP3657750B1 (en) Method for the authentication of a pair of data glasses in a data network
EP3358488B1 (en) Method for detecting unauthorised copies of a digital security token
EP3723339B1 (en) Secure release of protected function
WO2011147693A1 (en) Method for providing edrm-protected (enterprise digital rights management) data objects
EP3312753B1 (en) Physical security element for resetting a password
DE102012106081A1 (en) Method for encrypted and anonymous storing and managing personal data and codes on separate systems, involves authorizing third parties by encrypted and transaction-referred transferred authorization request by user for transactions
WO2015114160A1 (en) Method for the secure transmission of characters
WO2023083527A1 (en) Method, computer program, equipment, and vehicle for synchronizing encryption data
EP4276045A1 (en) Method and authentication system for controlling access to an interface for maintenance of a passenger transport device
WO2023174799A1 (en) Service provider-customer communication system comprising central data storage and data management, integrated and synchronized time-tracking system, and local terminals
WO2021001334A1 (en) System and method for authentication on a device

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee