In Bearbeitung

Bitte warten ...

Einstellungen

Einstellungen

Gehe zu Anmeldung

1. WO2020127433 - AUFBAUEN EINER GESCHÜTZTEN DATENKOMMUNIKATIONSVERBINDUNG ZWISCHEN EINER STEUERUNG EINER PERSONENTRANSPORTANLAGE UND EINEM MOBILGERÄT

Anmerkung: Text basiert auf automatischer optischer Zeichenerkennung (OCR). Verwenden Sie bitte aus rechtlichen Gründen die PDF-Version.

[ DE ]

Aufbauen einer geschützten Datenkommunikationsverbindung zwischen einer Steuerung einer Personentransportanlage und einem Mobilgerät

Beschreibung

Die vorliegende Erfindung betrifft ein Verfahren, mithilfe dessen eine geschützte Datenkommunikationsverbindung zwischen einer Steuerung einer Personentransport anlage und einem Mobilgerät aufgebaut werden kann. Ferner betrifft die Erfindung Vorrichtungen und Computerprogrammprodukte, welche dazu konfiguriert sind, das Verfahren auszuführen oder zu steuern sowie computerlesbare Medien mit darauf gespeicherten solchen Computerprogrammprodukten.

Personentransportanlagen wie Aufzüge, Fahrsteige oder Fahrtreppen dienen dazu, Personen innerhalb von Gebäuden oder Bauwerken zu transportieren und sind für diesen Zweck fest installiert. Eine Personentransportanlage verfügt dabei über verschiedene stationäre Komponenten und verlagerbare Komponenten, deren Betrieb meist von einer Steuerung gesteuert und/oder koordiniert wird. Beispielsweise steuert die Steuerung eines Aufzugs, in welcher Weise eine Antriebsmaschine betrieben werden muss, um eine Aufzugkabine in Reaktion auf Rufanforderungen hin zu bestimmten Stockwerken zu verfahren. Bei einem Fahrsteig oder einer Fahrtreppe kann eine Steuerung unter anderem den Betrieb einer Antriebsmaschine steuern, um beispielsweise zeitlich variierenden Betriebsanforderungen zu genügen.

Dabei muss die Steuerung hohen Sicherheitsanforderungen genügen. Beispielsweise muss gewährleistet sein, dass die Steuerung den Betrieb der Personentransportanlage immer derart steuert, dass keine Passagiere und/oder die Integrität der Personentransportanlage gefährdet werden. Dabei muss auch gewährleistet sein, dass die Steuerung selbst nicht unautorisiert manipuliert werden darf.

Beispielsweise im Rahmen von Wartungsmaßnahmen oder Reparaturmaßnahmen bereits bestehender und betriebener Personentransportanlagen oder auch zum Kommissionieren einer Personentransportanlage vor deren Inbetriebnahme kann es notwendig sein, Daten in die Steuerung der Personentransportanlage einzugeben und/oder aus dieser auszulesen.

Zum Beispiel kann es erforderlich sein, aktualisierte Betriebsparameter und/oder Steuerungsparameter in die Steuerung einzugeben und/oder in der Steuerung gespeicherte Parameter auszulesen. Es kann auch erforderlich sein, eine Software, insbesondere eine Firmware, der Steuerung zu aktualisieren. Dabei muss jedoch insbesondere gewährleistet sein, dass nur von autorisierter Seite her Daten in der Steuerung verändert werden dürfen. Auch ein Auslesen von Daten aus der Steuerung sollte nur nach vorausgehende

Autorisierung erfolgen können.

Herkömmlich verfügen Steuerungen von Personentransportanlagen über eine eigene Mensch-Maschine-Schnittsteile wie beispielsweise eine Anzeige und mehrere

Eingabetasten, über die Daten von einem Techniker manuell eingegeben und ausgelesen werden können. Dies kann jedoch sehr aufwendig und/oder komplex sein, sodass sowohl ein hierfür erforderlicher Zeitaufwand erheblich sein kann als auch ein Risiko von dabei auftretenden Fehlem hoch sein kann.

Alternativ wurden Ansätze entwickelt, bei denen mithilfe eines Mobilgeräts Daten an die Steuerung einer Personentransportanlage übertragen bzw. aus dieser ausgelesen werden können. Das Mobilgerät kann dabei ein portables Gerät sein wie beispielsweise ein Smartphone, Laptop, Tablet oder Ähnliches, welches über einen eigenen Prozessor, eigenen Datenspeicher und eine eigene Mensch-Maschine-Schnittsteile verfügt. Das Mobilgerät kann mit der Steuerung über eine leitungsbasierte oder drahtlose

Datenkommunikationsverbindung Daten austauschen.

Um dabei zu gewährleisten, dass Daten nur von autorisierter Seite her eingegeben oder ausgelesen werden können, kann gefordert sein, dass beispielsweise ein das Mobilgerät bedienender Techniker sich vorab autorisieren muss, beispielsweise indem er ein Passwort oder eine PIN eingibt. Ferner muss gewährleistet sein, dass auch die

Datenübertragung über die Datenkommunikationsverbindung sicher stattfindet und keine Daten manipuliert oder abgehört werden können.

Es wurde jedoch erkannt, dass ein Aufwand, der betrieben werden muss, um eine geschützte Datenkommunikationsverbindung zwischen der Steuerung einer

Personentransportanlage und einem Mobilgerät aufzubauen, erheblich sein kann.

Es kann unter anderem ein Bedarf an einem Verfahren bestehen, mithilfe dessen eine geschützte Datenkommunikationsverbindung zwischen einer Steuerung einer

Personentransportanlage und einem Mobilgerät verhältnismäßig einfach, sicher und/oder mit wenig logistischem Aufwand aufgebaut werden kann. Ferner kann ein Bedarf an einer Geräteanordnung, mit der eine Personentransportanlage gewartet werden kann, sowie an einer Steuerung einer Personentransportanlage bestehen, die dazu eingerichtet sind, ein solches Verfahren auszuführen oder zu steuern. Außerdem kann ein Bedarf an einem entsprechenden Computerprogrammprodukt sowie einem ein solches Computer programmprodukt speichernden computerlesbaren Medium bestehen.

Einem solchen Bedarf kann durch einen Gegenstand gemäß einem der unabhängigen Ansprüche entsprochen werden. Vorteilhafte Ausführungsformen sind in den abhängigen Ansprüchen sowie der nachfolgenden Beschreibung definiert.

Gemäß einem ersten Aspekt der Erfindung wird ein Verfahren zum Aufbauen einer geschützten Datenkommunikationsverbindung zwischen einer Steuerung einer

Personentransportanlage und einem Mobilgerät vorgeschlagen. Dabei sind sowohl die Steuerung als auch das Mobilgerät dazu konfiguriert, eine zunächst ungeschützte Datenkommunikationsverbindung untereinander aufzubauen sowie jeweils geschützte Datenkommunikationsverbindungen mit einem gemeinsamen externen Computer aufzubauen. Das Verfahren umfasst zumindest die folgenden Verfahrensschritte, vorzugsweise, aber nicht zwingend, in der angegebenen Reihenfolge:

- Aufbauen einer ungeschützten Datenkommunikationsverbindung zwischen der

Steuerung und dem Mobilgerät;

- Aufbauen einer ersten geschützten Datenkommunikationsverbindung zwischen der Steuerung und dem gemeinsamen externen Computer sowie Aufbauen einer zweiten geschützten Datenkommunikationsverbindung zwischen dem Mobilgerät und dem gemeinsamen externen Computer;

- Übermitteln eines Tokens zwischen der Steuerung und dem Mobilgerät über die ungeschützte Datenkommunikationsverbindung;

- Übermitteln des Tokens durch die Steuerung über die erste geschützte

Datenkommunikationsverbindung an den gemeinsamen externen Computer sowie Übermitteln des Tokens durch das Mobilgerät über die zweite geschützte

Datenkommunikationsverbindung an den gemeinsamen externen Computer;

- Generieren eines ersten und eines zweiten Schlüsselpaares jeweils umfassend einen öffentlichen Schlüssel und einen privaten Schlüssel in dem gemeinsamen externen Computer;

- Übermitteln zumindest des privaten Schlüssels des ersten Schlüsselpaares und des öffentlichen Schlüssels des zweiten Schlüsselpaares durch den gemeinsamen externen Computer an die Steuerung und Übermitteln zumindest des privaten Schlüssels des zweiten Schlüsselpaares und des öffentlichen Schlüssels des ersten Schlüsselpaares durch den gemeinsamen externen Computer an das Mobilgerät; und

- Umwandeln der ungeschützten Datenkommunikationsverbindung zwischen der Steuerung und dem Mobilgerät in eine geschützte Datenkommunikationsverbindung durch Verschlüsseln zu übermittelnder Daten unter Verwendung der Schlüsselpaare.

Gemäß einem zweiten Aspekt der Erfindung wird eine Geräteanordnung zum Warten einer Personentransportanlage vorgeschlagen. Die Geräteanordnung umfasst eine Steuerung der Personentransportanlage, ein Mobilgerät sowie einen gemeinsamen externen Computer. Dabei ist die Geräteanordnung dazu konfiguriert, ein Verfahren gemäß einer Ausführungsform des ersten Aspekts der Erfindung auszuführen oder zu steuern.

Gemäß einem dritten Aspekt der Erfindung wird eine Steuerung einer Personen transportanlage vorgeschlagen, welche dazu konfiguriert ist, in Kooperation mit einem Mobilgerät und einem gemeinsamen externen Computer ein Verfahren gemäß einer Ausführungsform des ersten Aspekts der Erfindung auszuführen oder zu steuern.

Gemäß einem vierten Aspekt der Erfindung wird ein Computerprogrammprodukt mit computerlesbaren Anweisungen vorgeschlagen, welche bei Ausführung auf einem oder mehreren Prozessoren in einer Geräteanordnung gemäß einer Ausführungsform des zweiten Aspekts der Erfindung dazu anleiten, das Verfahren gemäß einer

Ausführungsform des ersten Aspekts der Erfindung auszuführen oder zu steuern.

Gemäß einem fünften Aspekt der Erfindung wird ein Computerprogrammprodukt mit computerlesbaren Anweisungen vorgeschlagen, welche bei Ausführung auf einem oder mehreren Prozessoren in einer Steuerung gemäß einer Ausführungsform des dritten Aspekts der Erfindung dazu anleiten, in Kooperation mit einem Mobilgerät und einem gemeinsamen externen Computer das Verfahren gemäß einer Ausführungsform des ersten Aspekts der Erfindung auszuführen oder zu steuern.

Gemäß einem sechsten Aspekt der Erfindung wird ein computerlesbares Medium mit einem darauf gespeicherten Computerprogrammprodukt gemäß einer Ausführungsform des vierten oder fünften Aspekts der Erfindung vorgeschlagen.

Mögliche Merkmale und Vorteile von Ausführungsformen der Erfindung können unter anderem und ohne die Erfindung einzuschränken als auf nachfolgend beschriebenen Ideen und Erkenntnissen beruhend angesehen werden.

Wie einleitend bereits angedeutet, können einer Steuerung einer Personentransportanlage beispielsweise im Rahmen von Wartungsmaßnahmen oder bei einer anfänglichen Kommissionierung Daten eingegeben werden bzw. aus dieser ausgelesen werden, indem zwischen der Steuerung und einem externen Mobilgerät eine Datenkommunikations verbindung etabliert wird. Das Mobilgerät kann dann als externe Mensch-Maschine-Schnittsteile dazu dienen, um beispielsweise durch einen Techniker Daten eingeben zu lassen und diese dann über die Datenkommunikationsverbindung an die Steuerung weiterzuleiten bzw. aus der Steuerung ausgelesene Daten dem Techniker anzuzeigen. Ergänzend oder alternativ kann das Mobilgerät Daten auch aus anderen Quellen beziehen, beispielsweise aus einer externen Datenbank, aus dem Internet oder aus einer speziell hierfür bereitgestellten Datenwolke, und die Daten dann über die Datenkommunikations verbindung an die Steuerung übermitteln. Auch umgekehrt können Daten aus der Steuerung über das Mobilgerät an andere Geräte, insbesondere an eine Datenbank oder eine Datenwolke, weitergeleitet werden. Hierdurch kann beispielsweise ein gezieltes Konfigurieren und/oder Aktualisieren von gespeicherten Parametern oder Daten und/oder ein Aktualisieren von Software in der Steuerung vereinfacht werden.

Hierbei muss jedoch sichergestellt sein, dass die Daten ausschließlich von autorisierter Seite, d.h. von einem hierzu autorisierten Techniker und/oder hierzu autorisierten Geräten, eingegeben und/oder ausgelesen werden können. Nachdem der Techniker bzw. das Gerät sich vorher beispielsweise durch Eingeben bzw. Übermitteln eines

Authentifizierungscodes authentifiziert hat, kann eine Datenübermittlung zwischen der Steuerung und dem Mobilgerät über die Datenkommunikationsverbindung erfolgen.

Sofern keine speziellen Maßnahmen getroffen werden, erfolgt eine solche

Datenübermittlung jedoch ungesichert. D.h., ein Angreifer könnte potenziell selbst Daten über die Datenkommunikationsverbindung an die Steuerung schicken und diese damit unautorisiert manipulieren. Umgekehrt könnte der Angreifer auch aus der Steuerung ausgelesene Daten abhören.

Um dies vermeiden zu können, kann die Datenkommunikationsverbindung geschützt werden, indem darüber zu übermittelnde Daten vor der Übermittlung mithilfe beispielsweise symmetrischer Kryptographieschlüssel oder asymmetrischer

Kryptographieschlüssel verschlüsselt werden, bevor sie über die Datenkommunikations-verbindung an ein Zielgerät übermittelt werden, und die verschlüsselten Daten anschließend in dem Zielgerät wieder entschlüsselt werden.

Ein Problem bei der zuvor genannten Methode kann darin bestehen, dass sie keine flexible Sicherheit bietet. Sobald beispielsweise ein neues Passwort oder ein neuer Schlüssel in eine neue Version der Steuerungssoftware eingeführt wird, müssen die entsprechenden Passwörter und Schlüssel in allen Mobilgeräten, die zum Warten dieser Steuerung eingesetzt werden, geändert werden. Dies ist logistisch problematisch. Es erfordert tatsächlich eine rückwärts gerichtete Kompatibilität bei der Schlüssel verwaltung, was einem Hauptzweck der Sicherung zuwiderläuft, und ein möglicherweise Duplizieren des gleichen Schlüssels auf allen Installationen, was auch eine

Wahrscheinlichkeit, kompromittiert zu werden, steigern kann, potentiell mit Wirkungen auf das gesamte Portfolio.

Es wurde daher erkannt, dass möglichst jede Anwendung zur Verschlüsselung von zu übermittelnden Daten und damit zur Schaffung einer geschützten Datenkommunikations verbindung ein anderes Schlüsselpaar aufweisen sollte. Dieses Schlüsselpaar sollte vorzugsweise ohne aufwändige logistische Anstrengungen generiert werden können und/oder eine zeitlich begrenzte Geltungsdauer haben und/oder unabhängig von unterschiedlichen Softwareversionen sein.

Durch Ausführungsformen des hierin vorgestellten Verfahrens zum Aufbauen einer geschützten Datenkommunikationsverbindung zwischen einer Steuerung einer

Personentransportanlage und einem Mobilgerät werden die oben genannten Probleme beziehungsweise Defizite bei herkömmlichen Ansätzen adressiert.

Eine Datenkommunikationsverbindung zwischen der Steuerung der Personentransport anlage und einem externen Mobilgerät soll dabei derart geschützt ausgestaltet sein, dass darüber übermittelte Daten stets in verschlüsselter Form transferiert werden, sodass sie von angreifenden Dritten weder unerkannt manipuliert noch abgehört werden können.

Vorausgesetzt wird dabei, dass sowohl die Steuerung der Personentransportanlage als auch das Mobilgerät jeweils über eine zuvor etablierte geschützte Datenkommunikations-verbindung mit einem gemeinsamen externen Computer kommunizieren können. Dieser gemeinsame externe Computer kann ein Server oder eine Datenwolke (Cloud) sein, der sich außerhalb der Personentransportanlage und vorzugsweise auch außerhalb eines die Personentransportanlage beherbergenden Gebäudes befindet. Beispielsweise kann der gemeinsame externe Computer von einem Hersteller der Personentransportanlage oder von einem Dienstleistungsanbieter betrieben werden. Die Steuerung sowie das

Mobilgerät können mit diesem externen Computer drahtgebunden oder drahtlos beispielsweise über ein Netzwerk wie das Internet kommunizieren, wobei

Kommunikationsinhalte zwischen zwei Kommunikationspartnem stets verschlüsselt übermittelt werden sollen, beispielsweise mit einer Ende-zu-Ende-Verschlüsselung. Zur Datenkommunikation können geeignete sichere Kommunikationsprotokolle eingesetzt werden.

Ferner wird vorausgesetzt, dass die Steuerung der Personentransportanlage und das Mobilgerät eine ungeschützte Datenkommunikationsverbindung untereinander aufbauen können. Über diese ungeschützte Datenkommunikationsverbindung können beide Komponenten Daten austauschen, wobei diese jedoch unverschlüsselt übermittelt werden. Beispielsweise kann vorgesehen sein, dass die Steuerung und das Mobilgerät über ein Datenkabel oder eine drahtlose Verbindung miteinander kommunizieren können.

Bei dem hierin vorgestellten Verfahren bauen die Steuerung und das Mobilgerät zunächst die ungeschützte Datenkommunikationsverbindung zwischen beiden Komponenten auf.

Über diese ungeschützte Datenkommunikationsverbindung können beide Komponenten dann einen sogenannten Token austauschen. Bei dem Token kann es sich um einen Dateninhalt, d.h. beispielsweise eine Art Code, handeln, der von einer der Komponenten bereitgestellt wird und dann an die andere Komponente übermittelt werden kann. Dabei kann zum Beispiel das Mobilgerät den Token bereitstellen und an die Steuerung übermitteln, beispielsweise nachdem das Mobilgerät von einem Techniker dazu aufgefordert wurde. Umgekehrt kann auch die Steuerung einen Token bereitstellen und an das Mobilgerät übermitteln, sobald dieses bereit ist, diesen Token zu empfangen. Beispielsweise kann der Token in einer der Komponenten spontan erzeugt werden oder vorab in dieser abgespeichert worden sein. Dabei soll der Token einzigartig oder zumindest mit sehr hoher Wahrscheinlichkeit einzigartig sein, d.h., jede Steuerung bzw. jedes Mobilgerät soll einen einzigartigen Token bereitstellen, der möglichst weder zufällig noch absichtlich von einer anderen Steuerung oder einem anderen Mobilgerät bereitgestellt wird. Beispielsweise kann der Token zufallsbasiert erzeugt werden.

Gleichzeitig mit dem Aufbauen der ungeschützten Datenkommunikationsverbindung zwischen dem Steuergerät und dem Mobilgerät oder alternativ auch vor oder kurz nach dem Aufbauen dieser ungeschützten Datenkommunikationsverbindung bauen sowohl das Steuergerät als auch das Mobilgerät ferner jeweils eine geschützte Daten

kommunikationsverbindung mit dem gemeinsamen externen Computer auf. Über seine jeweilige geschützte Datenkommunikationsverbindung kann dann sowohl das Steuergerät als auch das Mobilgerät den bereitgestellten bzw. empfangenen Token an den externen Computer weiterleiten.

Der externe Computer kann dann zwei sogenannte Schlüsselpaare generieren, die derart ausgestaltet sind, dass damit zu übermittelnde Daten in einem gängigen

Verschlüsselungsverfahren zunächst verschlüsselt und anschließend wieder entschlüsselt werden können. Jedes Schlüsselpaar umfasst dabei einen öffentlichen Schlüssel, mit dem die Daten verschlüsselt werden können, und einen privaten Schlüssel, mit dem die Daten dann wieder entschlüsselt werden können.

Ein erstes dieser Schlüsselpaare, oder zumindest den privaten Schlüssel dieses

Schlüsselpaares, übermittelt der externe Computer dann über die erste geschützte Datenkommunikationsverbindung zurück an die Steuerung. Dabei übermittelt der externe Computer zusätzlich auch den öffentlichen Schlüssel des zweiten Schlüsselpaares an die Steuerung. In ähnlicher Weise übermittelt der externe Computer außerdem über die zweite geschützte Datenkommunikationsverbindung das zweite dieser Schlüsselpaare, oder zumindest den privaten Schlüssel dieses Schlüsselpaares, zurück an das Mobilgerät und übermittelt dabei ergänzend auch den öffentlichen Schlüssel des ersten

Schlüsselpaares an das Mobilgerät.

Sowohl die Steuerung der Personentransportanlage als auch das Mobilgerät verfügen daraufhin jeweils sowohl über ihren eigenen privaten Schlüssel als auch über den öffentlichen Schlüssel des jeweils anderen Kommunikationspartners. Unter Verwendung der Schlüsselpaare können die Steuerung und das Mobilgerät dann zwischen sich die gewünschte geschützte Datenkommunikationsverbindung aufbauen, indem alle zu übermittelnden Daten jeweils mit dem öffentlichen Schlüssel des Kommunikations partners verschlüsselt werden, über die Datenkommunikationsverbindung übermittelt werden und dann von dem Kommunikationspartner mithilfe seines privaten Schlüssels entschlüsselt werden.

Dementsprechend können die Kommunikationspartner nach dem Verteilen der

Schlüsselpaare beispielsweise einen symmetrischen Schlüssel für einen

Kommunikationsvorgang (d.h. einen sogenannten„session key“) aushandeln und damit verschlüsselte und vorzugsweise digital signierte Datenpakete oder Mitteilungen austauschen. Hierdurch können die die Steuerung und das Mobilgerät durch Verwendung des temporären Schlüssels für den Kommunikationsvorgang auf geschützte Weise miteinander kommunizieren.

Gemäß einer Ausführungsform kann der externe gemeinsame Computer die beiden Schlüsselpaare in Reaktion auf das Übermitteln des Tokens generieren.

Mit anderen Worten kann ein Empfangen des Tokens den externen gemeinsamen Computer dazu veranlassen, d.h. triggern, die beiden Schlüsselpaare zu generieren. Insbesondere kann der externe Computer ausschließlich dann, wenn er sowohl von dem Steuergerät als auch von dem Mobilgerät jeweils den gleichen Token empfangen hat, die Schlüsselpaare generieren. Die generierten Schlüsselpaare können dann vorzugsweise sofort über die erste bzw. zweite sichere Datenkommunikationsverbindung an die Steuerung bzw. an das Mobilgerät übermittelt werden.

Dementsprechend brauchen in dem externen gemeinsamen Computer nicht ständig Schlüsselpaare generiert werden, die dann bei Bedarf an ein Kommunikationspartner-Paar, das heißt eine Steuerung und ein Mobilgerät, die kommunizieren wollen und dies durch Übermitteln des Tokens kundtun, übermittelt werden, wozu in dem externen Computer eine hohe Rechenleistung nötig wäre. Andererseits brauchen auch nicht vorab Schlüsselpaare generiert werden und dann in dem externen gemeinsamen Computer gespeichert werden, bis sie benötigt werden, wodurch ein Risiko gesteigert werden könnte, dass solche Schlüsselpaare vorab ausgespäht würden. Stattdessen kann ein Schlüsselpaar genau dann erzeugt werden, wenn es von einem Kommunikationspartner-Paar benötigt und durch Übermitteln des Tokens angefordert wird.

Gemäß einer Ausführungsform kann der externe gemeinsame Computer die beiden Schlüsselpaare zufallsbasiert generieren.

Mit anderen Worten kann der externe gemeinsame Computer dazu konfiguriert sein, jedes Mal, wenn ein Schlüsselpaar benötigt wird, dieses individuell und unabhängig von vorangehend oder nachfolgend generierten Schlüsselpaaren, zufallsbasiert zu erzeugen. Unter der Annahme, dass es eine sehr hohe Anzahl möglicher Schlüsselpaare gibt, kann hierdurch quasi sichergestellt werden, dass nicht zweimal das gleiche Schlüsselpaar erzeugt wird.

Hierdurch kann erreicht werden, dass verschiedene Kommunikationspartner-Paare auch unter Einsatz verschiedener Schlüsselpaare miteinander kommunizieren. Somit kommt es selbst für den Fall, dass ein Schlüsselpaar publik werden sollte, da es beispielsweise ausgespäht wurde, nicht zu negativen Folgen für andere Kommunikationspartner-Paare, d.h. die gesicherte Datenkommunikation zwischen einer anderen Steuerung und einem anderen Mobilgerät würde hierdurch nicht gefährdet.

Gemäß einer Ausführungsform können die Schlüsselpaare eine definierte Ablaufzeit aufweisen, nach der sie nicht mehr für die geschützte Datenkommunikationsverbindung verwendbar sind.

Anders ausgedrückt können die Schlüsselpaare derart ausgestaltet sein, dass sie nach einer vordefinierten Ablaufzeit ihre Funktionsfähigkeit verlieren, sodass eine geschützte Datenübermittlung unter Verwendung eines Schlüsselpaares, dessen Ablaufzeit erreicht ist, nicht mehr möglich ist.

Typischerweise muss ein Mobilgerät nur für eine bestimmte Zeitdauer mit der Steuerung einer Personentransportanlage kommunizieren können, beispielsweise während eines Wartungsvorgangs. Diese Zeitdauer kann beispielsweise einige Minuten, einige Stunden oder wenige Tage betragen. Die Ablaufzeit von zur geschützten Datenkommunikation mit diesem Mobilgerät eingesetzten Schlüsselpaaren kann daher so bemessen sein, dass, nachdem das Mobilgerät nicht mehr mit der Steuerung der Personentransportanlage kommunizieren muss, die hierbei eingesetzten Schlüsselpaare automatisch ihre Gültigkeit bzw. Funktionsfähigkeit verlieren. Hierdurch kann ein Missbrauch von Schlüsselpaaren, nachdem diese für ihren eigentlichen Zweck nicht mehr benötigt werden, vermieden werden.

Gemäß einer Ausführungsform kann der gemeinsame externe Computer Teil einer Datenwolke sein, die von einem die Personentransportanlage betreuenden Unternehmen gehostet wird.

Anders ausgedrückt kann beispielsweise ein Hersteller der Personentransportanlage oder ein Dienstleister, der die Personentransportanlage betreut, eine Datenwolke (Cloud) betreiben. Diese Datenwolke kann einen oder mehrere Computer bzw. Server umfassen, unter denen auch der hierin genannte gemeinsame externe Computer ist. Die Steuerung der betreuten Personentransportanlage kann beispielsweise über eine Datenleitung eine geschützte Datenkommunikationsverbindung mit dieser Datenwolke aufbauen. Ebenso kann das Mobilgerät beispielsweise über eine geeignete verschlüsselte Intemetverbindung eine geschützte Datenkommunikationsverbindung mit der Datenwolke aufbauen. Die Datenwolke kann dabei Teil einer IT-Infrastruktur des die Personentransportanlage betreuenden Unternehmens sein und somit unter dessen Einfluss stehen und von dort getroffenen IT-Schutzmechanismen geschützt sein.

Dadurch kann der gemeinsame externe Computer unter anderem beispielsweise dazu genutzt werden, Regeln vorzugeben, gemäß denen die erste und zweite geschützte Datenkommunikationsverbindung aufzubauen sind. Dies kann beispielsweise dazu genutzt werden, um auch Vorgaben machen zu können, wie ein Mobilgerät die zweite geschützte Datenkommunikationsverbindung aufbauen muss, um darüber dann den Token übermitteln zu können. Selbst für den wahrscheinlich häufig auftretenden Fall, dass das Mobilgerät selbst nicht dem Einfluss des die Personentransportanlage betreuenden Unternehmens unterliegt, kann somit sichergestellt werden, dass von diesem Mobilgerät gewisse Regeln eingehalten werden müssen. Beispielsweise kann vorgegeben werden, dass das Mobilgerät bzw. ein das Mobilgerät nutzender Techniker sich authentifizieren muss, bevor die zweite geschützte Datenkommunikationsverbindung aufgebaut werden darf.

Durch Ausführungsformen des hierin vorgestellten Verfahrens zum Aufbauen einer geschützten Datenkommunikationsverbindung zwischen einer Steuerung einer

Personentransportanlage und einem Mobilgerät können unter anderem folgende Probleme bzw. Schwierigkeiten adressiert werden:

- Schlüssel, die bei einer Verschlüsselung für eine Datenübermittlung eingesetzt werden sollen, brauchen nicht bereits zum Zeitpunkt einer Herstellung einer Steuerung oder eines Mobilgeräts generiert und dann abgespeichert werden. Hierdurch können unter anderem logistische Probleme vermieden werden, die mit einem solchen Generieren und Abspeichem eines Schlüssels zu einem derart frühen Zeitpunkt einhergehen können.

Beispielsweise kann vermieden werden, dass ein Schlüssel bereits zu einem Zeitpunkt generiert und abgespeichert werden muss, zu dem noch nicht bekannt ist, welches Mobilgerät mit welcher Steuerung tatsächlich einmal kommunizieren können soll. Dementsprechend kann ein Duplizieren von Schlüsseln entfallen. Außerdem können Probleme vermieden werden, die dadurch auftreten können, dass einmal generierte und abgespeicherte Schüssel kaum noch nachträglich zurückgerufen werden können oder ihre Gültigkeit kaum noch nachträglich aufgehoben werden kann.

Da vorzugweise jedes Mal, wenn eine Steuerung und ein Mobilgerät miteinander eine geschützte Datenkommunikationsverbindung aufbauen wollen und hierzu den Token

an den gemeinsamen externen Computer schicken, neue Schlüsselpaare erzeugt werden, sollte es generell nicht dazu kommen, dass zwei verschiedene

Kommunikationspartner-Paare über die gleichen Schlüsselpaare verfügen. Selbst wenn ein Schlüsselpaar somit bekannt werden sollte, beispielsweise weil ein

Kommunikationspartner-Paar ausgespäht oder abgehört (gehackt) wurde, kompromittiert dies in der Regel andere Kommunikationspartner-Paare nicht.

- Dadurch, dass einem Schlüsselpaar optional eine definierte Ablaufzeit zugewiesen sein kann, kann ein potentieller Schaden, wie er durch ein Hacken eines

Kommunikationspartner-Paares bewirkt werden könnte, weiter verringert werden.

- Es gibt im Allgemeinen keine Kompatibilitätsprobleme; Sicherheit wird garantiert durch eine gemeinsame und nicht an verschiedenen Stellen durchgeführte Verteilung von Sicherheitsschlüsseln. Mit anderen Worten nimmt beispielsweise die Hersteller- Datenwolke, in der der externe gemeinsame Computer aufgenommen ist, nicht die Versionen der Steuerung bzw. des Mobilgeräts wahr.

- Eine Sicherheit des Gesamtsystems hängt hauptsächlich von einer IT-Sicherheit desjenigen Unternehmens ab, das unter anderem die Steuerung der

Personentransportanlage herstellt, den externen gemeinsamen Computer betreibt und/oder Software für das Mobilgerät liefert und somit für die Etablierung der geschützten ersten und zweiten Datenkommunikationsverbindungen zwischen der Steuerung bzw. dem Mobilgerät einerseits und dem externen gemeinsamen Computer andererseits verantwortlich ist. Eine solche untemehmensweite IT-Sicherheit kann besser organisiert, aktualisiert und überwacht werden. Eine Lücke in einer

Untereinheit davon erfordert dabei ein Schließen der Lücke (patching) an nur einer Stelle.

Die Geräteanordnung gemäß dem zweiten Aspekt der Erfindung, welche zum Warten einer Personentransportanlage eingesetzt werden kann, soll die Steuerung der

Personentransportanlage, ein separates Mobilgerät sowie den gemeinsamen externen Computer umfassen. Jeder der genannten Kommunikationspartner kann dabei dazu konfiguriert sein, Anteile der Verfahrensschritte des zuvor beschriebenen Verfahrens zum Aufbauen der geschützten Datenkommunikationsverbindung auszuführen, sodass alle Kommunikationspartner zusammen dann das gesamte Verfahren ausführen bzw. steuern.

Insbesondere kann die Steuerung der Personentransportanlage gemäß dem dritten Aspekt der Erfindung dazu konfiguriert sein, zusammen mit dem Mobilgerät und dem gemeinsamen externen Computer das gesamte Verfahren ausführen bzw. steuern zu können.

Hierzu kann die Steuerung unter anderem über eine Schnittstelle verfügen, über die die erste Datenkommunikationsverbindung hin zu dem gemeinsamen externen Computer aufgebaut werden kann. Ferner kann die Steuerung über eine weitere Schnittstelle verfügen, über die die zunächst ungeschützte Datenkommunikationsverbindung mit dem Mobilgerät aufgebaut werden kann. Die Schnittstellen können leitungsbasiert oder drahtlos sein. Die Steuerung kann einen oder mehrere Prozessoren sowie geeigneten Datenspeicher aufweisen, um zu übermittelnde Daten Zwischenspeichern und/oder vor dem Übermitteln verschlüsseln zu können bzw. übermittelte Daten entschlüsseln und gegebenenfalls Zwischenspeichern zu können.

In ähnlicher Weise kann das Mobilgerät unter anderem über eine Schnittstelle verfügen, über die die zweite Datenkommunikationsverbindung hin zu dem gemeinsamen externen Computer aufgebaut werden kann, sowie über eine weitere Schnittstelle, über die die zunächst ungeschützte Datenkommunikationsverbindung mit der Steuerung aufgebaut werden kann. In analoger Weise wie bei der Steuerung können auch hier die

Schnittstellen leitungsbasiert oder drahtlos sein sowie ein oder mehrere Prozessoren und Datenspeicher zum Implementieren entsprechender Funktionen vorgesehen sein.

Der gemeinsame externe Computer kann zumindest eine oder auch zwei Schnittstellen aufweisen, über die die erste und die zweite geschützte Datenkommunikationsverbindung aufgebaut werden können. Ferner kann der externe Computer über einen oder mehrere Prozessoren sowie Datenspeicher verfügen, mithilfe derer er unter anderem empfangene Token erkennen und/oder analysieren kann sowie Schlüsselpaare erzeugen kann. Ferner kann der Computer über einen Zufallsgenerator verfügen, sodass die Schlüsselpaare zufallsbasiert erzeugt werden können.

Einzelne oder jeder der Kommunikationspartner, d.h. die Steuerung, das Mobilgerät und/oder der gemeinsame externe Computer, können programmierbar sein. Ein

Computerprogrammprodukt kann aus mehreren Teilen bestehen, wobei jeder Teil auf einem der Kommunikationspartner laufen kann und dort durch entsprechende

Anweisungen bewirken kann, dass der jeweilige Kommunikationspartner seinen Teil des hierin beschriebenen Verfahrens ausführt. Insgesamt kann somit mithilfe des

Computerprogrammprodukts mit den verschiedenen Kommunikationspartnem das hierin beschriebene Verfahren implementiert werden. Das Computerprogrammprodukt kann dabei in einer beliebigen Computersprache formuliert sein.

Das Computerprogrammprodukt kann auf einem beliebigen computerlesbaren Medium gespeichert sein. Beispielsweise kann ein portables computerlesbares Medium wie ein Flashspeicher, eine CD, eine DVD oder Ähnliches eingesetzt werden. Alternativ kann ein stationäres computerlesbares Medium wie beispielsweise ein Computer, Server oder eine Datenwolke dazu vorgesehen sein, das Computerprogrammprodukt zu speichern, sodass es von diesem beispielsweise über ein Netzwerk wie das Internet heruntergeladen werden kann.

Es wird daraufhingewiesen, dass einige der möglichen Merkmale und Vorteile der Erfindung hierin mit Bezug auf unterschiedliche Ausführungsformen des Verfahrens zum Aufbauen einer geschützten Datenkommunikationsverbindung einerseits und der hierzu einsetzbaren Geräteanordnung mit entsprechenden Kommunikationspartnem andererseits beschrieben sind. Ein Fachmann erkennt, dass die Merkmale in geeigneter Weise kombiniert, angepasst oder ausgetauscht werden können, um zu weiteren

Ausführungsformen der Erfindung zu gelangen.

Nachfolgend werden Ausführungsformen der Erfindung unter Bezugnahme auf die beigefügte Zeichnung beschrieben, wobei weder die Zeichnung noch die Beschreibung als die Erfindung einschränkend auszulegen sind.

Fig. 1 zeigt eine Geräteanordnung, mithilfe derer ein Verfahren gemäß einer

Ausführungsform der vorliegenden Erfindung implementiert werden kann.

Die Figur ist lediglich schematisch und nicht maßstabsgetreu.

Fig. 1 zeigt eine Geräteanordnung 1 gemäß einer Ausführungsform der vorliegenden Erfindung. Die Geräteanordnung 1 umfasst eine Steuerung 3 einer Personentransport anlage, ein Mobilgerät 5 sowie einen externen gemeinsamen Computer 7, der Teil einer Datenwolke 17 sein kann. Die Steuerung 3 verfügt über die Möglichkeit, mit dem externen gemeinsamen Computer 7 über eine erste geschützte Datenkommunikations verbindung 9 zu kommunizieren. In ähnlicherWeise kann von dem Mobilgerät 5 eine zweite geschützte Datenkommunikationsverbindung 11 mit dem externen Computer 7 aufgebaut werden, über welche dann Daten ausgetauscht werden können. Beispielsweise kann das Mobilgerät 5 mit dem externen Computer 7 über eine geschützte Intemet-verbindung kommunizieren.

Zwischen dem Mobilgerät 5 und der Steuerung 3 kann zwar problemlos eine draht gebundene oder drahtlose Datenkommunikationsverbindung 13 etabliert werden. Diese ist jedoch zunächst ungeschützt, d.h. Daten werden unverschlüsselt und somit auch ohne eine Gewährleistung einer Authentifizierung übermittelt.

Mithilfe des hierin vorgestellten Verfahrens kann diese ungeschützte Daten

kommunikationsverbindung 13 in eine geschützte Datenkommunikationsverbindung 15 zwischen dem Mobilgerät 5 und der Steuerung 3 modifiziert werden.

Nachfolgend wird beispielhaft ein Vorgang beschrieben, bei dem die geschützte Datenkommunikationsverbindung 15 aufgebaut wird.

Ein Techniker wünscht, sein zu Wartungszwecken einzusetzendes Mobilgerät 5 mit der Steuerung 3 zu verbinden.

Zu diesem Zweck verbindet er sein Mobilgerät 5 über eine Leitung oder drahtlos mit der Steuerung 3 bzw. dem lokalen Netzwerk der Personentransportanlage 1, in die diese Steuerung 3 integriert ist.

Nachdem diese Verbindung eingerichtet wurde und beispielsweise durch eine geeignete Mitteilung auf einem Display des Mobilgeräts 5 signalisiert wurde, kann der Techniker beginnen, die geschützte Datenkommunikationsverbindung 15 zu aktivieren, indem er beispielsweise auf seinem Mobilgerät 5 einen Knopf wählt oder in anderer Weise eine Eingabe tätigt.

Aufgrund dieser Auswahl bzw. dieses Befehls gibt das Mobilgerät 5 eine Art Telegramm aus, welches einen zufällig generierten Token 19 enthält, und welches an die Steuerung 3 übermittelt wird. Dieser anfängliche Datenaustausch in Art einer Verhandlung braucht noch nichts geschützt zu sein.

Die Steuerung 5 bestätigt darauf den Erhalt des Tokens 19 an das Mobilgerät 5, beispielsweise durch ein weiteres spezielles Telegramm. Ferner fordert die Steuerung 5 bei dem externen Computer 7, mit dem sie über die geschützte Datenkommunikations verbindung 9 verbunden ist, Informationen bezüglich einer Paarbildung („pairing Information“) an, wobei sie der Anforderung den generierten Token 19 beigefügt.

Bei Erhalt der Bestätigung von der Steuerung 3 fordert auch das Mobilgerät 5 einen Paarbildungsschlüssel bei der Datenwolke 17 mit dem externen Computer 7 an und verwendet dabei den gleichen generierten Token 19. Die Anforderung wird dabei über die geschützte Datenkommunikationsverbindung 11 übermittelt.

Wenn der gemeinsame externe Computer 7 die beiden Anforderungen erhält, erzeugt er zwei asymmetrische Schlüsselpaare 29, 31, welche jeweils einen öffentlichen Schlüssel 25, 27 und einen privaten Schlüssel 21, 23 enthalten, für die Steuerung 3 einerseits und für das Mobilgerät 5 andererseits.

Der externe Computer 7 übermittelt dann den privaten Schlüssel 21 eines ersten

Schlüsselpaares 29 und den öffentlichen Schlüssel 27 eines zweiten Schlüsselpaares 31 an die Steuerung 3. Analog übermittelt der externe Computer 7 den privaten Schlüssel 23 des zweiten Schlüsselpaares 31 und den öffentlichen Schlüssel 25 des ersten

Schlüsselpaares 29 an die Steuerung 3.

Sobald die Schlüsselpaare 29, 31 ausgeliefert wurden, können die Steuerung 3 und das Mobilgerät 5 unter Verwendung verschlüsselter und vorzugsweise digital signierter Nachrichten einen für den folgenden Übertragungsvorgang gültigen symmetrischen Schlüssel („session Symmetrie key“) aushandeln.

Sobald dieser Schritt abgeschlossen ist, ist die geschützte Datenkommunikations verbindung 15 zwischen der Steuerung 3 und dem Mobilgerät 5 aufgebaut und beide Geräte können in geschützterWeise unter Verwendung der der ermöglichten

Verschlüsselung kommunizieren.

Abschließend wird lediglich zu Vergleichszwecken und nicht unter die Erfindung fallend ein Verfahren beschrieben, mithilfe dessen eine Datenkommunikation zwischen Geräten in einer Personentransportanlage (nachfolgend beschrieben am Beispiel eines Aufzuges) etabliert werden kann und dabei insbesondere eine sichere Datenverbindung gewährleistet werden kann.

Ein Aufzugsteuerungssystem besteht im Allgemeinen aus einem Satz von

Steuerungseinheiten, die miteinander in einem lokalen Netzwerk kommunizieren.

Hinzugefügt zu diesem Aufzugnetzwerk können ein oder mehrere externe Geräte als sogenannte Clients zusätzlich mit dem Steuerungssystem kommunizieren. Beispiele für solche externen Geräte sind Verteilereinheiten, Visualisierungscomputer, Diagnose einheiten, etc.

Bei der Kommunikation von eingebetteten Einheiten (embedded units) wurde es mit der Verbreitung des Intemetprotokolls zunehmend wichtig, ausreichende Kommunikations-sicherheit zu garantieren. Insbesondere ist es wichtig, zu garantieren, dass ausschließlich authentifizierte Einheiten sich mit einer Steuerung in dem Netzwerk verbinden können.

Im Falle eines Netzwerks von Aufzugsteuerungen kommen folgende Einflussfaktoren ins Spiel:

1) Die Steuerungen sind fest installiert, typischerweise in einem Maschinenraum.

2) Sie müssen miteinander kommunizieren können, aber es gibt keine Garantie dafür, dass sie mit anderen Geräten außerhalb des Netzwerks verbunden sind.

3) Sie sind der Kem eines Aufzugssystems. Daher muss ein Schutz gegen

unautorisierte Verbindungen zu den Steuerungen garantiert sein.

4) Die Schlüssel und Berechtigungsnachweise, die verwendet werden, um

Steuerungen oder andere Clients zu authentifizieren, müssen alle voneinander

verschieden sein, um globale Konsequenzen für den Fall vermeiden zu können, dass einer dieser Schlüssel oder Berechtigungsnachweise nicht mehr geheim bleibt (d.h.„geleaked“ wird).

5) Die Berechtigungsnachweise (Zertifikate) sollten angesichts des obigen Punktes (2) nicht ablaufen, da ein Akquirieren neuer Berechtigungsnachweise vor einem solchen Ablauf sich als unmöglich erweisen könnte oder einen erheblichen logistischen Aufwand mit sich bringen könnte.

Es ist ein manueller Paarbildungsmechanismus vorstellbar, der versucht, all die oben erwähnten Punkte und Beschränkungen zu adressieren und der auf der folgenden Prozedur basiert ist:

1.) Alle Steuerungen (und zusätzlichen Clients) werden ausgeliefert mit einem

zusätzlichen Satz von Berechtigungsnachweisen (credentials), der noch nicht mit den anderen Mitgliedern des Netzwerks geteilt wird. Diese Berechtigungs nachweise sind zufällig intern generiert, beispielsweise nach einem ersten Starten (boot-up) der Steuerung oder des Clients.

2.) Aufgrund von Punkt (1.) wird eine anfängliche Verbindung zwischen den

Mitgliedern des Netzwerks wegen der unbekannten Berechtigungsnachweise abgelehnt.

3.) Jedes Mitglied des Netzwerks wird eindeutig identifiziert, beispielsweise durch eine Zeichenfolge (String), die innerhalb einer Produktlinie normiert ist und in den Installationsanweisungen für den Feldeinsatz definiert ist.

4.) Aufgrund des anfänglichen (fehlgeschlagenen) Versuchs, eine bestimmte

Steuerung einzubinden, wird die Zeichenfolge der ersuchenden Einheit in dem volatilen Speicher der Steuerung, welche zu erreichen versucht wurde, gespeichert.

5.) Die Liste aller anfragenden Einheiten kann beispielsweise auf einer eingebetteten Bedien-Mensch-Maschine-Schnittstelle (Service MMI) oder auf einem bereits authentifizierten lokalen Computer-basierten Service-Werkzeug ausgegeben

werden.

6.) Ein Techniker kann durch die Liste der anfragenden Einheiten durchgehen

(browsen) und manuell anfragende Clients, welche durch ihre jeweilige

Zeichenfolge identifiziert sind, genehmigen (approve). Hierzu kann der

Techniker beispielsweise geeignet editierte Feldinstruktionen verwenden, um zu überprüfen, dass Namen kompatibel mit der Dokumentation sind.

7.) Während dieses Durchgehens kann der Techniker entscheiden, jedes erkannte

Mitglied manuell zu selektieren und eine Kommunikation mit der Steuerung manuell zu genehmigen. Alternativ können alle anfragenden Einheiten genehmigt werden, indem beispielsweise ein„alle auswählen“-Knopf betätigt wird.

8.) Nach dem Genehmigen wird die anfragende Einheit automatisch in die Liste vertrauenswürdiger Mitglieder übernommen und eine Datenkommunikation mit dieser Steuerung kann in sichererWeise stattfinden.

9.) Die vorangehende Prozedur muss für alle anfragenden Einheiten in der

durchzugehenden Liste und für jede Steuerung in dem Netzwerk wiederholt werden.

10.) Am Ende der Prozedur sind alle Berechtigungsnachweise allen Mitgliedern des

Netzwerks untereinander bekannt und die Kommunikation kann sicher durchgeführt werden.

11.) Verbindungsanfragen von einer Einheit, deren Berechtigungsnachweise nicht genehmigt wurden, werden zurückgewiesen.

Der vorangehend beschriebene Ansatz hat folgende Vorteile:

a) Die Erzeugung des vertrauenswürdigen Netzwerks zwischen den Mitgliedern des Netzwerks wird manuell unter der Überwachung eines autorisierten Technikers durchgeführt.

b) Sie wird lokal zum Zeitpunkt eines Kommissionierens durchgeführt. Daher ist kein zusätzlicher logistischer Aufwand (beispielsweise während der Herstellung) erforderlich.

c) Sie braucht nur einmalig während des Zeitpunkts der Installation durchgeführt werden, solange keine neuen Mitglieder hinzugefügt werden oder als Ersatz für beispielsweise defekte alte Mitglieder eingesetzt werden.

d) Es gibt keine manuelle Handhabung von Schlüsseln oder Logistik von

Berechtigungsnachweisen. Einzigartige Berechtigungsnachweise werden automatisch zwischen den Mitgliedern des Netzwerks transferiert aufgrund einer einfachen manuellen Genehmigung einer Einheit bzw. eines Einheitennamens beispielsweise an einem MMI. Der Feldtechniker kann vollkommen unwissend über die Art und Form solcher Berechtigungsnachweise oder Schlüssel bleiben.

e) Das Verfahren ist einfach. Es erfordert lediglich ein Auswählen und Genehmigen beispielsweise an einem MMI.

f) Das Verfahren ermöglicht die Implementierung spezieller Benachrichtigungen beispielsweise an dem MMI für den Fall unvollständiger oder fehlender

Paarbildung.

Abschließend ist daraufhinzuweisen, dass Begriffe wie„aufweisend“,„umfassend“, etc. keine anderen Elemente oder Schritte ausschließen und Begriffe wie„eine“ oder„ein“ keine Vielzahl ausschließen. Ferner sei daraufhingewiesen, dass Merkmale oder Schritte, die mit Verweis auf eines der obigen Ausführungsbeispiele beschrieben worden sind, auch in Kombination mit anderen Merkmalen oder Schritten anderer oben beschriebener Ausführungsbeispiele verwendet werden können. Bezugszeichen in den Ansprüchen sind nicht als Einschränkung anzusehen.