AT412314B - Verfahren und vorrichtung zum verbinden eines nach dem bluetooth standard arbeitenden gerätes mit einem datennetz - Google Patents

Verfahren und vorrichtung zum verbinden eines nach dem bluetooth standard arbeitenden gerätes mit einem datennetz Download PDF

Info

Publication number
AT412314B
AT412314B AT0045501A AT4552001A AT412314B AT 412314 B AT412314 B AT 412314B AT 0045501 A AT0045501 A AT 0045501A AT 4552001 A AT4552001 A AT 4552001A AT 412314 B AT412314 B AT 412314B
Authority
AT
Austria
Prior art keywords
access
data network
dev2
dev1
dev3
Prior art date
Application number
AT0045501A
Other languages
English (en)
Other versions
ATA4552001A (de
Inventor
Peter Grubmair
Martin Rohrer
Original Assignee
Siemens Ag Oesterreich
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Ag Oesterreich filed Critical Siemens Ag Oesterreich
Priority to AT0045501A priority Critical patent/AT412314B/de
Publication of ATA4552001A publication Critical patent/ATA4552001A/de
Application granted granted Critical
Publication of AT412314B publication Critical patent/AT412314B/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Description


   <Desc/Clms Page number 1> 
 



   Die Erfindung betrifft ein Verfahren zum Aufbau einer Verbindung zwischen einem ersten Gerät und einem Datennetz, wobei - diese Verbindung über ein zweites Gerät im Datennetz hergestellt wird und - die Kommunikation zwischen erstem und zweitem Gerät nach dem Bluetooth Standard abgewickelt wird. 



   Weiterhin betrifft die Erfindung eine Anordnung zur Durchführung des erfindungsgemässen Ver- fahrens. 



   In der jüngeren Vergangenheit wurden vermehrt Anstrengungen unternommen, die Kommuni- kation zwischen Geräten mittels Funkwellen über vergleichsweise kurze Distanzen zu standardisie- ren. Ein Resultat dieser Bemühungen ist der unter dem Begriff   "Bluetooth"   bekannte Standard, welcher die Nutzung des 2.4 GHz Industrial Scientific Medicine" Bandes, kurz 2. 4 GHz ISM-Band, vorsieht und auf den gültigen Funkvorschriften für Europa, Japan und Nordamerika basiert. Die für den Standard relevanten Dokumente sind die "Specification of the Bluetooth System - Core v1.OB" vom 1 Dezember 1999 und die "Specification of the Bluetooth System - Profiles v1.0B" vom 1 Dezember 1999. Beide können unter der Internetadresse http://www.bluetooth.com" erhalten werden. 



   Ein wesentliches Merkmal des erwähnten Standards ist die Art und Weise der Datenübertra- gung zwischen den Geräten. Einerseits besteht die Möglichkeit einen synchronen verbindungsori- entierten Datenkanal, kurz SCO-Link, aufzubauen, andererseits kann auch ein asynchroner nicht verbindungsorientierter Datenkanal, kurz ACL-Link, geschaltet werden. Ein Gerät fungiert dabei als Master, die weiteren als Slaves, wobei die Geräte in einem Netzwerk zusammengefasst werden. 



   Der SCO-Link ist eine symmetrische Punkt-zu-Punkt Verbindung zwischen einem Master und einem einzigen Slave in einem Netzwerk. Der Master hält dabei den SCO-Link aufrecht indem regelmässig reservierte Schlitze des Kanals verwendet werden. Typischerweise werden auf einem SCO-Link Sprachdaten übertragen. Vorraussetzung für den Aufbau einer solchen Datenverbindung ist ein bereits existierender ACL-Link. 



   Der ACL-Link ist eine Punkt zu Mehrpunkt Verbindung zwischen einem Master und allen Sla- ves des Netzwerkes und ermöglicht den paketvermittelten Datenverkehr zwischen den einzelnen Geräten. Zumeist wird dabei zwecks Datensicherung eine Rückmeldung an das sendende Gerät übermittelt. 



   Ein weiteres wesentliches Merkmal des Standards ist, dass zwischen den Geräten eines Netz- werkes stets eine bidirektionale Datenverbindung aufgebaut wird. Jedes Gerät umfasst daher immer eine Sende- und eine Empfangseinheit. 



   Ein Anwendungsfall für die Funkverbindung gemäss dem Bluetooth Standard ist in die Anbin- dung eines Gerätes, welches für die Kommunikation gemäss dem Bluetooth Standard geeignet ist, an ein Datennetz. Dieses Gerät kann beispielsweise ein Personal-Computers, ein Laptop, ein Personal Digital Assistant, kurz PDA, oder auch ein Mobiltelefon sein. Für das Datennetz kann zum Beispiel ein lokales Netzwerk, kurz LAN, wie es innerhalb von Betrieben häufig zu finden ist, oder aber auch das Internet vorgesehen sein. 



   Der Zugang zum Datennetz wird dabei in der Regel mit Hilfe eines speziellen Gerätes bewerk- stelligt, das einerseits für die Kommunikation gemäss dem Bluetooth Standard geeignet ist, ande- rerseits aber auch die Einbindung in eine Datennetz ermöglicht. 



   Nach dem Bluetooth-Standard wird der Aufbau einer Verbindung eines Gerätes in ein LAN fol- gendermassen realisiert: 
Zu Beginn wird vom Benutzer des Bluetooth-fähigen Gerätes ein sogenannter LAN Access Point, kurz LAP, ausgewählt, der sich innerhalb seines Empfangsbereichs befindet. Dieser LAP muss für die Kommunikation gemäss dem Point to Point Protocol, kurz PPP, dem Logical Link Control and Adaption Protocol, kurz L2CAP, und dem Serial Cable Emulation Protocol, kurz RFCOMM, geeignet sein. 



   Danach wird eine Verbindung zwischen dem Bluetooth-fähigen Gerät und dem LAP aufgebaut und in Folge eine   PPPIRFCOMM/L2CAP-Verbindung   hergestellt. Für die Authentifizierung kann auch die Abfrage eines Benutzernamens und eines Passworts vorgesehen sein. Erst wenn diese korrekt übermittelt wurden, bleibt die Verbindung dauerhaft bestehen. 



   Eine Authentifizierung nach dem PPP-Protocol ist dabei unabhängig von der Authentifizierung nach dem Bluetooth-Standard. Denkbar ist daher auch die Kombination dieser beiden Mechanis- 

 <Desc/Clms Page number 2> 

 men. 



   Zwischen dem LAP und dem Gerät wird dann eine Adresse gemäss dem Internet Protocol, kurz IP-Adresse, vereinbart. Der Benutzer des Bluetooth-fähigen Geräts kann nun die Dienste des Datennetzes nutzen. 



   Da es in der Regel nicht erwünscht sein wird, dass jeder Dienst für jedermann zugänglich ist, müssen entsprechende Zugriffsberechtigungen verteilt werden. Versucht ein Benutzer einen Dienst in Anspruch zu nehmen, für den er kein Zugriffsrecht erhalten hat, so wird diese Anforderung abgewiesen. 



   Aus dem Stand der Technik sind hierzu einige Möglichkeiten bekannt: 
Aus der EP 0 579 338 A1, Verfahren und Einrichtung zur Zugriffsüberwachung und zum Zugriffsschutz in Kommunikationsnetzwerken", vom 18. November 1993 ist beispielsweise bekannt, dass der gesamte Datenverkehr in einem Netzwerk durch eine zentrale Überwachungs- einrichtung abgehört wird und Telegramme einer bestimmten Art unwirksam gemacht werden. Die Datensicherung erfolgt dabei auf der "Grundlage des Vertrauens", das heisst der Datenverkehr wird prinzipiell zugelassen und lediglich im Einzelfall nachträglich unterbunden. Nachteilig an diesem Verfahren ist, dass dies zu unnötigem Datenverkehr führt und dass eine zentrale Überwachung insbesondere bei grossen, verteilten Netzwerken schwierig durchzuführen ist. 



   Die Schrift JP 9 293 052 A, "Method and system for authorization management between plural networks", vom 11. November 1997 offenbart weiters eine Sicherungseinrichtung zwischen zwei Netzwerken. Auch hier wird eine Dienstanforderung prinzipiell zugelassen und allenfalls an einer Netzwerkgrenze abgewiesen, was auch hier zu erhöhtem Datenverkehr führt. 



   Weiters wird in der EP 0 952 698 A2, System and method for restricting database access to managed object information using a permissons table", vom 27. Oktober 1999 eine Zugriffssiche- rung zu Objekten einer Datenbank mit Hilfe einer Berechtigungstabelle bekannt. Dabei erteilt ein Zutrittskontrollsystem den Nutzern eine Zutrittsberechtigung anhand von den in einer Zutrittskon- trolldatenbank spezifizierten Rechten. Diese Rechte definieren die Berechtigung bestimmter Benutzer oder Benutzergruppen, auf einen bestimmten Satz von verwalteten Objekten zuzugreifen. 



  Da eine etwaige Berechtigung hier erst beim Zugriff auf ein Objekt selbst erteilt wird, kommt es auch bei diesem Verfahren zu unnötigem Datenverkehr. 



   Schliesslich wird in der Druckschrift US 6 131 120 A, "Enterprise network management directory containing network addresses of users and devices providing access lists to routers and servers", vom 10. Oktober 2000 ein Netzwerkverwaltungsverzeichnis offengelegt, welches Netzwerkadres- sen von Benutzern und Geräten enthält und Zutrittslisten für Router und Server verfügbar macht. 



   Nach dem Stand der Technik ist es für den Benutzer also im Normalfall erst dann erkennbar ob er einen Dienst benutzen kann oder nicht, nachdem er diesen Dienst angefordert hat. 



   Diese Art der Erteilung eines Zugangs zu einem Dienst eines Datennetzes ist unkomfortabel und ineffizient, da in das Datennetz eine Vielzahl von Anfragen über den Zugang übermittelt wer- den müssen. 



   Aufgabe der Erfindung ist es daher den Zugang zu Diensten eines Datennetzes mittels Gerä- ten, welche zur Kommunikation nach dem Bluetooth Standard geeignet sind, auf vergleichsweise einfache Weise zu ermöglichen. 



   Dies geschieht erfindungsgemäss mit einem Verfahren der eingangs genannten Art, - bei dem das zweite Gerät vor dem Aufbau der Verbindung zwischen erstem Gerät und dem Datennetz eine Anforderung zur Vergabe von Zugriffsrechten zu einem dritten Gerät im Datennetz sendet, - bei dem mittels drittem Gerät Zugriffsrechte für das erste Gerät, sowie eine Liste jener 
Dienste, die auf einer Anzeigeeinheit des ersten Gerätes angezeigt werden sollen, ermittelt und an das zweite Gerät zurückgesendet werden, - bei dem mit Hilfe dieser Zugriffsrechte der Zugang zu zumindest einem Teil der Dienste des Datennetzes für das erste Gerät geregelt wird und - bei dem die Liste anzuzeigender Dienste zum ersten Gerät weitergeleitet wird und dort auf einer Anzeigeeinheit angezeigt wird. 



   Unter Diensten eines Datennetzes können sämtliche Dienste des Internets und innerbetriebli- cher Netze, auch bekannt unter dem Begriff   "Intranet",   verstanden werden. Darüber hinaus sind noch weitere Dienste denkbar, bei denen Geräte, weiche einen Dienst zur Verfügung stellen, in ein 

 <Desc/Clms Page number 3> 

 Datennetz eingebunden sind. 



   Dazu gehören unter anderem Systeme in der Haustechnik, beispielsweise zur Steuerung von Rollladen, Jalousien, Fensteröffnern, Alarmanlagen und Garagentoren, sowie Systeme in der Unterhaltungselektronik, zum Beispiel zur Steuerung von Fernsehern, Audiogeräten, Spielzeugen und dergleichen. Des weiteren finden sich auch in der industriellen Umgebung zahlreiche Beispie- le, wie etwa Systeme zur Steuerung von Kränen, Beleuchtung, Maschinen und Fahrzeugen. In der Büro-Umgebung können Geräte, wie zum Beispiel Drucker, Scanner und dergleichen angesteuert werden. 



   Die erwähnten Beispiele sind keinesfalls als vollständige Aufzählung der möglichen Anwen- dungsfälle zu verstehen und sollen nur dazu dienen, den grossen Anwendungsbereich dieser Systeme aufzuzeigen. 



   Für die Anforderung zur Vergabe von Zugriffsrechten wird beispielsweise die entsprechende Adresse des ersten Geräts an das dritte Gerät übermittelt. Dort können die entsprechenden Zugriffsrechte, zum Beispiel unter Verwendung einer Tabelle, in der jeder Geräteadresse ein bestimmter Umfang von Diensten zugeordnet wird, leicht ermittelt werden. Ist für die entsprechen- de Geräteadresse kein Eintrag vorhanden, weil das zugehörige erste Gerät noch nicht registriert wurde, so können auch standardmässige Zugriffsrechte für verschiedene Dienste erteilt werden. Für diesen Zweck kann in der Tabelle ein sogenannter   &num;Dummy-Eintrag"   vorgesehen sein, der immer dann ausgewählt wird, wenn sich für die übermittelte Adresse kein spezifischer Eintrag ermitteln lässt. 



   Den einzelnen Diensten können wiederum weitere Parameter zugeordnet werden, beispiels- weise welches Protokoll für die Nutzung eines Dienstes verwendet werden soll, zeitliche Beschrän- kungen für die Nutzung eines Dienstes und dergleichen. 



   Die entsprechenden Tabellen im dritten Gerät können durch die Einbindung des dritten Gerä- tes in ein Datennetz auf vergleichsweise einfache Weise verwaltet werden. Denkbar ist dabei eine für das Internet gebräuchliche Schnittstelle über einen sogenannten   "Webbrowser".   Der Verwen- dung von Tabellen zur Erteilung von Zugriffsrechten ist aber nicht zwingend, sondern stellt nur eine von vielen möglichen Ausgestaltungen dar. 



   Vorteilhaft an der Erfindung ist auch, dass der Benutzer des ersten Gerätes überhaupt nur aus jenen Diensten auswählen kann, für die er auch das Zugangsrecht erhalten hat. Für den Benutzer wird die Nutzung der Dienste eines Datennetzes daher wesentlich vereinfacht. Es wird in der Regel daher nicht vorkommen, dass der Zugang zu einem Dienst erst nach dessen Anforderung abge- wiesen wird, es sei denn, dass der Dienst noch über eine zusätzliche Absicherung verfügt. Diese Sicherung kann bei besonders kritischen Diensten im Bezug auf die Sicherheit, aber auch bei- spielsweise bei der Nutzung von kostenpflichtigen Diensten vorgesehen sein. In letzterem Fall ist die Angabe einer Kreditkartennummer, einer Bankverbindung oder eines auf einer Wertkarte enthaltenen Codes denkbar. 



   Günstig ist es, wenn die Verbindung zwischen erstem Gerät und dem Datennetz nur dann her- gestellt wird, wenn das Zugriffsrecht dafür erteilt wurde. Somit werden Ressourcen geschont, da nur jene Geräte in das Datennetz eingebunden werden, mit denen die Nutzung zumindest eines Dienstes des Datennetzes potentiell möglich ist. Darüber hinaus ist es unter Berücksichtigung sicherheitsrelevanter Aspekte günstiger, Geräte, für die aus bestimmten Gründen ein Zugang zu den Diensten eines Datennetzes nicht vorgesehen ist, überhaupt nicht mit dem Datennetz zu verbinden. 



   Vorteilhaft ist es auch, - wenn mittels drittem Gerät ein dem ersten Gerät zugeordneter Zugangscode ermittelt und an das zweite Gerät zurückgesendet wird und - wenn der Zugriff auf bestimmte Dienste des Datennetzes nur gewährt wird, wenn der 
Zugangscode mittels erstem Gerät an das zweite Gerät übermittelt wird. 



   Für diese Variante kann im dritten Gerät eine Tabelle verwaltet werden, in der jeder Adresse eines ersten Geräts ein Zugangscode, beispielsweise eine Personal Identification Number, kurz PIN, zugeordnet ist. Mittels dieser Tabelle kann der Zugangscode im dritten Gerät vergleichsweise einfach ermittelt und an das zweite Gerät zurückgeschickt werden. Neben der Geräteadresse stellt dieser Zugangscode eine weitere Möglichkeit zur Absicherung von Diensten eines Datennetzes dar. Dabei kann die Verbindung zwischen erstem Gerät und Datennetz an sich von der Übermitt- 

 <Desc/Clms Page number 4> 

 lung eines korrekten Zugangscodes abhängig gemacht werden. Denkbar ist auch, dass der Zugang verwehrt wird, wenn der Zugangscode mehrmals falsch eingegeben wurde. 



   Besonders vorteilhaft ist es weiterhin, wenn die vom dritten Gerät aufgrund einer Anforderung ermittelten Daten zumindest teilweise im zweiten Gerät zwischengespeichert werden. Dies ist eine sehr effiziente Ausgestaltung der Erfindung, da die Anfragen an das dritte Gerät auf diese Weise minimiert werden und darüber hinaus die für die Kommunikation zwischen erstem und zweitem Gerät relevanten Daten nach der ersten Abfrage wesentlich schneller verfügbar sind, als dies bei einer neuerlichen Abfrage beim dritten Gerät möglich wäre. 



   Eine besonders vorteilhafte Ausgestaltung der Erfindung ist auch gegeben, wenn die zwi- schengespeicherten Daten nach einer vorgebbaren Zeit verworfen werden. Da die Verbindung des ersten Gerätes in das Datennetz in der Regel nur über eine vergleichsweise kurze Zeitspanne genützt wird, also vom Wesen her eine temporäre Verbindung darstellt, werden die zwischenge- speicherten Daten nach einer vorgebbaren Zeit verworfen. Diese Zeitspanne kann dabei vom Beginn der Verbindung an gerechnet werden, zum Beispiel eine Stunde ab Beginn der Verbindung,    bis zu einem bestimmten Zeitpunkt, beispielsweise bis 24 :00, von einem bestimmten Ereignis   weg, zum Beispiel 5 Minuten seit der letzten Eingabe.

   Bei der Bemessung der Zeitspanne können auch sicherheitsrelevante Aspekte berücksichtigt werden, damit der Zugang zu einem Datennetz nicht auf unbestimmte Zeit möglich ist. Weiterhin wird so auch auf vergleichsweise einfache Weise vermieden, dass auf dem zweiten und dritten Gerät unterschiedliche Daten verwaltet werden. 



  Andernfalls können die Daten auf dem zweiten und dritten Gerät auch durch regelmässiges Abglei- chen konsistent gehalten werden. 



   Die erfindungsgemässe Aufgabe wird auch gelöst durch eine Anordnung zur Durchführung des erfindungsgemässen Verfahrens, - bei der ein Datennetz ein zweites Gerät und ein drittes Gerät umfasst, - bei der das zweite Gerät als Zugangspunkt für ein erstes Gerät zu diesem Datennetz vor- gesehen ist, - bei der das erste und das zweite Gerät und für die Kommunikation nach dem Bluetooth- 
Standard ausgerüstet sind, - bei der das dritte Gerät für die Vergabe von Zugriffsrechten für den Zugang zu zumindest einem Teil der Dienste des Datennetzes für das erste Gerät, sowie für die Ermittlung einer 
Liste jener Dienste, die auf einer Anzeigeeinheit des ersten Gerätes angezeigt werden sol- len, geeignet ist und - bei der das dritte Gerät für das Senden und das zweite Gerät für das Empfangen dieser 
Zugriffsrechte und dieser Liste geeignet ist. 



   Vorteilhaft wird so die Möglichkeit geschaffen, dass ein drittes Gerät in einem Datennetz für die Vergabe von Zugriffsrechten an mehrere zweite Geräte vorgesehen ist. Die zweiten Geräte können so vergleichsweise einfach aufgebaut werden, da die Vergabe zentral erfolgt. 



   Mit der erfindungsgemässen Anordnung werden auch die Voraussetzungen für eine komfortable Nutzung der Dienste eines Datennetzes durch den Benutzer des ersten Gerätes geschaffen. Die Anforderung eines Dienstes kann bei mangelndem Zugriffsrecht so nämlich schon im vorhinein abgewiesen werden. 



   Günstig ist es, - wenn das dritte Gerät für die Ermittlung eines dem ersten Gerät zugeordneten Zugangsco- des geeignet ist und - wenn das dritte Gerät für das Senden und das zweite Gerät für das Empfangen dieses 
Zugangscodes geeignet ist. 



   Diese Variante der Erfindung kann vorteilhaft eingesetzt werden, wenn eine bessere Absiche- rung der Dienste eines Datennetzes erwünscht ist. Dabei ist beispielsweise in einer Tabelle im dritten Gerät jeder registrierten Geräteadresse ein Zugangscode zugeordnet. 



   Eine besonders vorteilhafte Ausgestaltung der Erfindung ist bei einer Anordnung gegeben, bei der das zweite Gerät Mittel zur Speicherung der vom dritten Gerät aufgrund einer Anforderung ermittelten Daten umfasst. Auf diese Weise können die Anfragen an das dritte Gerät wesentlich reduziert werden, da das zweite Gerät gegebenenfalls auf die intern gespeicherten Daten zurück- greifen kann. 



   Günstig ist dabei auch, wenn das zweite Gerät Mittel für das Verwerfen dieser Daten nach 

 <Desc/Clms Page number 5> 

 einer vorgebbaren Zeit umfasst. 



   Dies ist eine ressourcenschonende Variante der Erfindung, da die zwischengespeicherten Daten nicht auf unbestimmte Zeit im zweiten Gerät verwaltet werden müssen. Darüber hinaus wird so auch vermieden, dass im zweiten und dritten Gerät unterschiedliche Daten gespeichert sind. 



   Es wird darauf hingewiesen das die für das erfindungsgemässe Verfahren angeführten Vorteile auch sinngemäss für die erfindungsgemässe Anordnung gelten. 



   Die Erfindung wird anhand einer Figur näher erläutert, welche eine beispielhafte Anordnung zur Durchführung des erfindungsgemässen Verfahrens zeigt. 



   Die Figur umfasst ein erstes Gerät DEV1, ein zweites Gerät DEV2 und ein drittes Gerät DEV3, wobei das erste Gerät DEV1 mit dem zweiten Gerät DEV2 über eine Funkverbindung gemäss dem Bluetooth-Standard und das zweite Gerät DEV2 mit dem dritten Gerät DEV3 über eine bidirektio- nale Datenleitung, verbunden ist. Optional kann das dritte Gerät DEV3 mit einem zweiten zweiten Gerät DEV22 und einem dritten zweiten Gerät DEV23 verbunden sein. Das zweite Gerät DEV2, das dritte Gerät DEV3, das zweite zweite Gerät DEV22 und das dritte zweite Gerät DEV23 sind Bestandteil eines Datennetzes NET. Zusätzlich kann das dritte Gerät DEV3 mit einem zweiten Datennetz NET2 verbunden sein. Unter Datenleitungen sind in diesem Zusammenhang auch Funkverbindungen zu verstehen, beispielsweise Richtfunkstrecken. 



   Das dritte Gerät DEV3 umfasst in diesem Beispiel eine erste Tabelle TAB13, wobei in der ers- ten Spalte die Geräteadresse ADDR in der zweiten Spalte der Zugangscode PIN, in der dritten Spalte das Zugriffrecht zum Datennetz GRANT, in der vierten, fünften und sechsten Spalte das Zugriffsrecht zu einem ersten Dienst S1, einem zweiten Dienst S2 und einem dritten Dienst S3 eingetragen ist. Der leichteren Verständlichkeit halber werden in der Figur nicht mehr als drei Dienste dargestellt. 



   Jedes erste Gerät DEV1, das registriert wurde, wird durch eine Zeile repräsentiert. Im gezeig- ten Beispiel ist in der ersten Zeile die Geräteadresse A1, der Zugangscode P1, für das Zugriffs- recht zum Datennetz YES, für das Zugriffsrecht zum ersten Dienst V & U, für das Zugriffsrecht zum zweiten Dienst V und für das Zugriffsrecht auf den dritten Dienst NO eingetragen. Der leichteren Verständlichkeit halber wird in der Figur nur eine Zeile dargestellt, alle weiteren durch Punkte symbolisiert. Eine Zeile kann dabei auch einer Gruppe von ersten Geräten DEV1 zugeordnet werden. Ein Spezialfall ist die Zuordnung zu allen ersten Geräten DEV1, die nicht durch eine eingetragene Geräteadresse ADDR repräsentiert werden. Für diesen Spezialfall ist auch der Begriff "Dummy" gebräuchlich. 



   Weiterhin umfasst das dritte Gerät DEV3 eine zweite Tabelle TAB23, wobei in die erste Spalte der Name eines Dienstes SERV, in die zweite Spalte die Authentifizierung AUTH und die dritte Spalte die Verschlüsselung KRYPT eingetragen wird. 



   Jeder Dienst des Datennetzes NET wird durch eine Zeile repräsentiert. Im gezeigten Beispiel ist in der ersten Zeile der Name des Dienstes S1, für die Authentifizierung NO und für die Ver- schlüsselung YES eingetragen. Der leichteren Verständlichkeit halber wird auch in dieser Tabelle nur eine Zeile dargestellt, alle weiteren durch Punkte symbolisiert. Eine Zeile kann dabei auch einer Gruppe von Diensten zugeordnet werden. Ein Spezialfall ist auch hier die Zuordnung zu allen Diensten, die nicht durch einen eingetragenen Namen SERV repräsentiert werden. 



   Das zweite Gerät DEV2 ist im Beispiel hinsichtlich der ersten Tabelle TAB12 und der zweiten Tabelle TAB22 identisch mit dem dritten Gerät DEV3 aufgebaut. Diese Vereinfachung wurde vorgenommen um das Beispiel übersichtlich zu gestalten. Keinesfalls ist dieser Umstand zwingend erforderlich. Gegebenenfalls kann eine Tabelle im zweiten Gerät DEV2 überhaupt fehlen. 



   An dieser Stelle wird auch darauf hingewiesen, dass der Aufbau des zweiten Gerätes DEV2 und des dritten Gerätes DEV3 lediglich beispielhaft zu sehen ist. Auch der Aufbau und Inhalt der ersten Tabelle TAB1 und der zweiten Tabelle TAB2 ist nicht zwingend und dient lediglich der Veranschaulichung der Erfindung. 



   Die Funktion der in der Figur gezeigten Anordnung ist wie folgt: 
Während eines Initialisierungsvorgangs werden die erforderlichen Daten, beispielsweise von einem Netzwerkadministrator, im dritten Gerät DEV3 gespeichert. 



   Der Eintrag in der ersten Zeile in der ersten Tabelle TAB13 ist dabei einem Gerät mit Geräte- adresse A1 und dem Zugriffscode P1 zugeordnet. Für dieses Gerät wird das Zugriffsrecht auf das Datennetz NET durch den Eintrag YES in die Spalte GRANT erteilt, andernfalls wäre NO einzutra- 

 <Desc/Clms Page number 6> 

 gen. Der erste Dienst S1 soll auf dem ersten Gerät DEV1 angezeigt werden. Zusätzlich wird der Zugriff auf diesen Dienst gewährt. In die Spalte S2 wird daher V für sichtbar oder "visible" und U für nutzbar oder   "usable",   also V & U eingetragen. Der zweite Dienst S2 soll nur beim ersten Gerät DEV1 angezeigt werden aber nicht unmittelbar nutzbar sein, weil vorher beispielsweise noch die Eingabe eines zusätzlichen Codes oder einer Kreditkartennummer erforderlich ist. Der Eintrag in die Spalte S2 lautet daher lediglich V.

   Das Zugriffsrecht für den dritten Dienst S3 soll nicht gewährt werden, weswegen in die Spalte S3 der Wert NO eingetragen wird. 



   In die zweite Tabelle TAB23 werden ebenfalls während eines Initialisierungsvorganges die ein- zelnen Dienste eingetragen. Beispielhaft wird in die erste Spalte SERV für den ersten Dienst S1 eingetragen. 



   Eine Authentifizierung bei der Nutzung dieses Dienstes soll nicht erforderlich sein, weswegen in die Spalte AUTH der Wert NO eingetragen wird. Andernfalls müsste der Wert YES eingetragen werden. Für die Verschlüsselung wird in die Spalte KRYPT der Wert YES eingetragen. Der Initiali- sierungsvorgang ist damit im gezeigten Beispiel abgeschlossen. 



   Vereinfachend wird angenommen, dass die erste Tabelle TAB12 im zweiten Gerät DEV2 zu diesem Zeitpunkt noch leer ist und die zweite Tabelle TAB22 des zweiten Geräts DEV2 identisch mit der zweiten Tabelle TAB23 des dritten Geräts DEV3 ist. Der Abgleich der beiden zweiten Tabellen TAB22 und TAB33 kann dabei beispielsweise in regelmässigen Abständen erfolgen. 



   Soll nun zwischen erstem Gerät DEV1 und dem Datennetz NET eine Verbindung aufgebaut werden, wird mittels zweitem Gerät DEV2 vor dem Aufbau der endgültigen Verbindung eine Anfor- derung zur Vergabe von Zugriffsrechten zum dritten Gerät DEV3 gesendet. Zusätzlich wird dabei die Geräteadresse des ersten Gerätes DEV1 übermittelt. Im gezeigten Beispiel soll diese Adresse A1 lauten. 



   Der Aufbau der Verbindung zwischen erstem Gerät DEV1 und dem Datennetz NET ist unab- hängig von einer bestehende Verbindung zwischen erstem und zweiten Gerät DEV1 und DEV2 nach dem Bluetooth-Standard. Letztere ist selbstverständlich nötig um überhaupt eine Anfrage vom ersten Gerät DEV1 an das zweite Gerät DEV2 zu richten und bildet die Grundlage für eine Verbindung in das Datennetz (NET), ist aber nicht mit der eigentlichen Verbindung in das Daten- netz (NET) gleichzusetzen. 



   Mittels drittem Gerät DEV3 und erster Tabelle TAB13 werden nun die Zugriffsrechte für die Dienste ermittelt. Dabei wird die erste Zeile in der ersten Tabelle TAB13 als massgebend erkannt und an das zweite Gerät DEV2 zurückgesendet. Im der ersten Tabelle TAB12 des zweiten Geräts DEV2 wird eine Kopie dieser Zeile zwischengespeichert und der Zugriff auf das Datennetz NET erteilt, da in der Spalte GRANT für die Geräteadresse A1 der Wert YES eingetragen ist. Andem- falls würde die Zeile verworfen und die Verbindung zum ersten Gerät DEV1 nicht gestattet werden. 



   In der Folge wird, in der Regel automatisch, eine Anfrage vom ersten Gerät DEV1 an das zwei- te Gerät DEV2 gesendet, welche Dienste nun zur Verfügung stehen. Mittels zweitem Gerät DEV2 und der ersten Tabelle TAB12 wird nun ermittelt, für welche Dienste das Zugriffsrecht erteilt wurde. 



  Im gezeigten Beispiel wird also eine Liste an das erste Gerät DEV1 gesendet, die den ersten Dienst S1 und den zweiten Dienst S2 beinhaltet. Da in der ersten Tabelle TAB12 für beide Dienste der Wert V eingetragen wurde, werden diese auch beim ersten Gerät DEV1 angezeigt. 



   Der Benutzer des ersten Gerätes DEV1 kann nun aus dieser Liste auswählen und eine Anfor- derung zum Start eines Dienstes an das zweite Gerät DEV2 stellen. Der Zugriff auf den ersten Dienst S1 wird mittels zweitem Gerät DEV2 unmittelbar gewährt, da in der ersten Tabelle TAB12 für diesen Dienst neben dem Wert V auch der Wert U, also V & U eingetragen wurde. 



   Für die Nutzung des zweiten Dienstes S2 ist dagegen im gezeigten Beispiel noch die Angabe einer weiteren Zugangsberechtigung erforderlich, da in der ersten Tabelle TAB12 für diesen Dienst lediglich der Wert V eingetragen wurde. 



   Es wird darauf hingewiesen, dass unabhängig von der Erteilung eines Zugriffsrechts auf einen bestimmten Dienst durch das zweite Gerät DEV2 noch weitere Beschränkungen im Zugang zu diesem Dienst bestehen können. Ein Beispiel wäre, wenn etwa der prinzipielle Zugang zum Inter- net mittels zweitem Gerät DEV2 gewährt wird, ein bestimmter Dienst im Internet aber nur mit Hilfe eines Zugangscodes ausgeführt werden kann. 



   Mittels zweiter Tabelle TAB22 und zweitem Gerät DEV2 wird weiterhin bestimmt, wie die Nut- zung eines Dienstes erfolgen soll. Im gezeigten Beispiel wird für die Nutzung des ersten Dienstes 

 <Desc/Clms Page number 7> 

 S1 keine Authentifizierung verlangt, da in der zweiten Tabelle TAB22 des zweiten Geräts DEV2 in der Spalte AUTH der Wert NO eingetragen wurde. Weiterhin erfolgt die Datenübertragung unver- schlüsselt, da in der zweiten Tabelle TAB22 des zweiten Geräts DEV2 in der Spalte KRYPT der Wert YES eingetragen wurde. 



   Der Eintrag für die Geräteadresse A1 in der ersten Tabelle TAB12 des zweiten Gerätes DEV2 wird in der Regel nach einer bestimmten Zeit verworfen, um nicht unnötig Ressourcen zu belegen und die nötige Sicherheit beim Zugriff auf das Datennetz NET zu gewähren. Möchte der Benutzer des ersten Gerätes DEV1 nochmals eine Verbindung zum Datennetz NET herstellen, muss das angeführte Verfahren nochmals ausgeführt werden. 



   PATENTANSPRÜCHE: 
1. Verfahren zum Aufbau einer Verbindung zwischen einem ersten Gerät und einem Daten- netz, wobei - diese Verbindung über ein zweites Gerät im Datennetz hergestellt wird und - die Kommunikation zwischen erstem und zweitem Gerät nach dem Bluetooth Standard abgewickelt wird, dadurch gekennzeichnet, - dass das zweite Gerät (DEV2) vor dem Aufbau der Verbindung zwischen erstem Gerät (DEV1) und dem Datennetz (NET) eine Anforderung zur Vergabe von Zugriffsrechten zu einem dritten Gerät (DEV3) im Datennetz (NET) sendet, - dass mittels drittem Gerät (DEV3) Zugriffsrechte für das erste Gerät   (DEV1),   sowie eine 
Liste jener Dienste (SERV), die auf einer Anzeigeeinheit des ersten Gerätes   (DEV1 )   angezeigt werden sollen, ermittelt und an das zweite Gerät (DEV2) zurückgesendet werden,

   - dass mit Hilfe dieser Zugriffsrechte der Zugang zu zumindest einem Teil der Dienste (SERV) des Datennetzes (NET) für das erste Gerät   (DEV1)   geregelt wird und - dass die Liste anzuzeigender Dienste zum ersten Gerät   (DEV1)   weitergeleitet wird und dort auf einer Anzeigeeinheit angezeigt wird.

Claims (1)

  1. 2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Verbindung zwischen erstem Gerät (DEV1) und dem Datennetz (NET) nur dann hergestellt wird, wenn das Zugriffsrecht dafür erteilt wurde.
    3. Verfahren nach einem der Ansprüche 1 bis 2, dadurch gekennzeichnet, - dass mittels drittem Gerät (DEV3) ein dem ersten Gerät (DEV1) zugeordneter Zugangscode (PIN) ermittelt und an das zweite Gerät (DEV2) zurückgesendet wird und - dass der Zugriff auf bestimmte Dienste (SERV) des Datennetzes (NET) nur gewährt wird, wenn der Zugangscode (PIN) mittels erstem Gerät (DEV1) an das zweite Gerät (DEV2) übermittelt wird.
    4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die vom dritten Gerät (DEV3) aufgrund einer Anforderung ermittelten Daten zumindest teilweise im zweiten Gerät (DEV2) zwischengespeichert werden.
    5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass die zwischengespeicherten Daten nach einer vorgebbaren Zeit verworfen werden.
    6. Anordnung zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, - dass Datennetz (NET) ein zweites Gerät (DEV2) und ein drittes Gerät (DEV3) umfasst, - dass das zweite Gerät (DEV2) als Zugangspunkt für erstes Gerät (DEV1) zu diesem Datennetz (NET) vorgesehen ist, - dass das erste und das zweite Gerät (DEV1) und (DEV2) für die Kommunikation nach dem Bluetooth-Standard ausgerüstet sind, - dass das dritte Gerät (DEV3) für die Vergabe von Zugriffsrechten für den Zugang zu zumindest einem Teil der Dienste (SERV) des Datennetzes (NET) für das erste Gerät (DEV1), sowie für die Ermittlung einer Liste jener Dienste (SERV), die auf einer Anzei- geeinheit des ersten Gerätes (DEV1) angezeigt werden sollen, geeignet ist und <Desc/Clms Page number 8> - dass das dritte Gerät (DEV3)
    für das Senden und das zweite Gerät (DEV2) für das Empfangen dieser Zugriffsrechte und dieser Liste geeignet ist.
    7. Anordnung nach Anspruch 6, dadurch gekennzeichnet, - dass das dritte Gerät (DEV3) für die Ermittlung eines dem ersten Gerät (DEV1) zuge- ordneten Zugangscodes (PIN) geeignet ist und - dass das dritte Gerät (DEV3) für das Senden und das zweite Gerät (DEV2) für das Empfangen dieses Zugangscodes (PIN) geeignet ist.
    8. Anordnung nach einem der Ansprüche 6 bis 7, dadurch gekennzeichnet, dass das zwei- te Gerät (DEV2) Mittel zur Speicherung der vom dritten Gerät (DEV3) aufgrund einer Anforderung ermittelten Daten umfasst.
    HIEZU 1 BLATT ZEICHNUNGEN
AT0045501A 2001-03-21 2001-03-21 Verfahren und vorrichtung zum verbinden eines nach dem bluetooth standard arbeitenden gerätes mit einem datennetz AT412314B (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
AT0045501A AT412314B (de) 2001-03-21 2001-03-21 Verfahren und vorrichtung zum verbinden eines nach dem bluetooth standard arbeitenden gerätes mit einem datennetz

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
AT0045501A AT412314B (de) 2001-03-21 2001-03-21 Verfahren und vorrichtung zum verbinden eines nach dem bluetooth standard arbeitenden gerätes mit einem datennetz

Publications (2)

Publication Number Publication Date
ATA4552001A ATA4552001A (de) 2004-05-15
AT412314B true AT412314B (de) 2004-12-27

Family

ID=32234882

Family Applications (1)

Application Number Title Priority Date Filing Date
AT0045501A AT412314B (de) 2001-03-21 2001-03-21 Verfahren und vorrichtung zum verbinden eines nach dem bluetooth standard arbeitenden gerätes mit einem datennetz

Country Status (1)

Country Link
AT (1) AT412314B (de)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0579338A1 (de) * 1990-01-25 1994-01-19 Canon Kabushiki Kaisha Tintenstrahlaufzeichnungskopf, Substrat dafür und Tintenstrahlaufzeichnungsgerät
JPH09293052A (ja) * 1996-04-26 1997-11-11 Nec Corp 複数ネットワーク間の権限管理方法およびシステム
EP0952698A2 (de) * 1998-03-25 1999-10-27 Sun Microsystems, Inc. Vorrichtung und Verfahren zur Beschränkung des Datenbankzugriffs auf Informationen von verwalteten Objekten unter Verwendung einer Erlaubnistabelle
US6131120A (en) * 1997-10-24 2000-10-10 Directory Logic, Inc. Enterprise network management directory containing network addresses of users and devices providing access lists to routers and servers

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0579338A1 (de) * 1990-01-25 1994-01-19 Canon Kabushiki Kaisha Tintenstrahlaufzeichnungskopf, Substrat dafür und Tintenstrahlaufzeichnungsgerät
JPH09293052A (ja) * 1996-04-26 1997-11-11 Nec Corp 複数ネットワーク間の権限管理方法およびシステム
US6131120A (en) * 1997-10-24 2000-10-10 Directory Logic, Inc. Enterprise network management directory containing network addresses of users and devices providing access lists to routers and servers
EP0952698A2 (de) * 1998-03-25 1999-10-27 Sun Microsystems, Inc. Vorrichtung und Verfahren zur Beschränkung des Datenbankzugriffs auf Informationen von verwalteten Objekten unter Verwendung einer Erlaubnistabelle

Also Published As

Publication number Publication date
ATA4552001A (de) 2004-05-15

Similar Documents

Publication Publication Date Title
DE602004012870T2 (de) Verfahren und system zur benutzerauthentifizierung in einer benutzer-anbieterumgebung
DE602004005461T2 (de) Mobile Authentifizierung für den Netzwerkzugang
DE69731965T2 (de) Zugriff auf rechnerbetriebsmittel von aussen durch eine firewall
DE60319722T2 (de) Heim-endgerätevorrichtung und kommunikationssystem
DE102016226323A1 (de) Widerruf des Gerätezugriffs
DE112017002794B4 (de) Verfahren und vorrichtung zum ausstellen eines berechtigungsnachweises für ein incident area network
DE112017007393T5 (de) System und verfahren für netzwerkvorrichtungssicherheits- und vertrauenswertbestimmung
DE112011102224B4 (de) Identitätsvermittlung zwischen Client- und Server-Anwendungen
EP1494401B1 (de) Router and Verfahren zur Aktivierung eines deaktivierten Computers
EP2557733A1 (de) Konfiguration eines Kommunikationsnetzwerks
AT412314B (de) Verfahren und vorrichtung zum verbinden eines nach dem bluetooth standard arbeitenden gerätes mit einem datennetz
EP3669501B1 (de) Verfahren zum bereitstellen von datenpaketen aus einem can-bus; steuergerät sowie system mit einem can-bus
DE60310872T2 (de) Verfahren zur Verwaltung einer Einstellung eines Gateways von einem Benutzer des Gateways
DE19645006B4 (de) Verfahren zur Kommunikation zwischen Prozessen
EP3537654B1 (de) Verfahren und system zum ermitteln einer konfiguration einer schnittstelle
WO2000019297A1 (de) Verfahren und anordnung zur aktualisierung eines passwortes
DE10107883A1 (de) Verfahren zur Übertragung von Daten, Proxy-Server und Datenübertragungssystem
EP1845689B1 (de) Verfahren und kommunikationssystem zum bereitstellen eines personalisierbaren zugangs zu einer gruppe von einrichtungen
DE102004034363B4 (de) Verfahren zur Steuerung des Zugriffs von mobilen Terminals auf Rechnernetzwerke
DE102020129228B4 (de) Datenverarbeitungsvorrichtung zum Aufbauen einer sicheren Kommunikationsverbindung
WO1997023982A2 (de) Verfahren zur kryptographischen sicherung der rechnergestützten digitalen kommunikation zwischen einem programm und mindestens einer benutzereinheit
DE10358021B3 (de) Verfahren zum Aufbau von zwei Kommunikationsverbindungen zwischen zwei Benutzern
EP1183847A2 (de) Verfahren zur gesicherten übermittlung von geschützten daten
EP2720169A1 (de) System und Verfahren zum Freigeben einer Datenverbindung zwischen einem Endgerät und einem Gateway eines E-Mail-Servers
EP1981240A1 (de) Verfahren und System zum Zugreifen auf Ressourcen in einem externen Kommunikationsnetz

Legal Events

Date Code Title Description
MM01 Lapse because of not paying annual fees

Effective date: 20180515