本发明专利技术涉及用于安全地释放客户端的功能的客户端设备和服务器设备。建议了一种用于安全地释放客户端的功能的客户端设备。该客户端设备具有:存储单元,用于存储多个释放密钥,其中每个释放密钥都限定了客户端的至少一个功能并且被分配给密码;接收单元,用于从服务器接收密码;和处理单元,用于将所述多个释放密钥与所接收到的密码相比较,用于选出给其分配有所接收到的密码的释放密钥,而且用于释放客户端的被包含在所选出的释放密钥中的至少一个功能。此外,还建议了一种服务器设备以及相对应的方法。由此可能的是:事先已经将服务密钥存放在客户端中,然而所述服务密钥只可以由服务器设备的密码来激活。以这种方式可以安全地准许客户端的功能。
【技术实现步骤摘要】
本专利技术涉及一种用于安全地(abgesichert)释放(Freischalten)客户端的功能的客户端设备。此外,本专利技术还涉及一种用于为客户端设备提供密码的服务器设备。除此之外,本专利技术还涉及一种带有具有客户端设备的客户端以及具有服务器设备的服务器的系统。此外,本专利技术还涉及一种用于安全地释放客户端的功能的方法。除此之外,本专利技术还涉及一种用于为客户端设备提供密码的方法。
技术介绍
如今的产品呈现复杂的服务和维护功能,利用所述服务和维护功能可以改变设备参数并且可以诊断或者消除故障。这种功能的使用可以假设维护技术人员的高的培训等级。这些产品常常是必须满足产品安全性要求的设备。恰好在本上下文中重要的是:可以保证维护工作或者服务执行只可以由具有相对应的培训或者相对应的知识的用户来完成。否则,执行维护和服务功能可能会导致巨大的安全或安全性问题。针对这种产品的例子是医疗产品。因而,在确定的设备或者产品上的服务功能必须被保护并且得到保障,使得制造商有如下安全性:所述服务功能只可以由被制造商授权的并且当前被训练的用户使用。此外,重要的商业模式也要使得为报酬而在设备上临时地执行服务和维护任务成为可能。因而,值得追求的是要保证所获得的维护成果(Wartungsleistung)只可以在特定的设备上而不是在其它的类型相同的设备上被执行和/或所获得的维护成果只可以在所约定的持续时间之内被执行,和/或所获得的维护成果的证书(Credential)只允许由制造商自己来签发。例如可以通过设备的制造商进行授权。如果设备的操作者满足相对应的准则,那么该操作者例如只可以由制造商授权。不同的授权要根据功能的质量被检查。在时间上被限制的授权会是值得追求的,以便可以假设维护技术人员的分别当前的培训水平。在这种情况下,授权可以被理解为限定了允许在该设备上做什么、做多久的数据。为了可以提供在时间上被限制的授权可能性,所述授权可能性必须由产品的制造商一而再地重新给予。然而,产品与制造商的持久的在线连接导致了被提高的成本和被提高的必要的计算容量。此外,不是所有的设备都满足相对应的条件,以便可以接受和处理被复杂化的授权信息。
技术实现思路
在该背景下,本专利技术的任务在于:提供准许(freigeben)产品的授权或功能的简单的并且可靠的可能性。因此,建议了一种用于安全地释放客户端的功能的客户端设备。该客户端设备具有:存储单元,用于存储多个释放密钥(Freischaltschluessel),其中每个释放密钥都限定了客户端的至少一个功能并且被分配给密码;接收单元,用于从服务器接收密码;和处理单元,用于将多个释放密钥与所接收到的密码相比较、用于选出给其分配有所接收到的密码的释放密钥,而且用于释放客户端的被包含在所选出的释放密钥中的至少一个功能。按照所建议的客户端设备,释放密钥(在本上下文中也被称作服务密钥(Service-Key))由(例如制造商的)服务器设备产生并且输出,其中释放密钥也可以被称作证书(Credential)。按照所建议的客户端设备,在客户端(例如产品或者设备)中事先存储有多个释放密钥。这例如可以在制造时或者在出售之前进行。这些释放密钥或者服务密钥分别限定了客户端的应该通过该释放密钥来准许的不同的功能。客户端的多个不同的功能也可以被理解为客户端的功能。所述释放密钥中的每个都被分配给密码,其中该密码不公开地被存储在客户端设备本身上。应要求,密码现在可以从服务器接收并且该密码被输入到客户端设备中。处理单元现在可以将多个被存储的释放密钥与所接收到的密码相比较。在此,该处理单元选出给其分配有所接收到的密码的那个释放密钥并且使用该释放密钥,以便释放客户端的被包含在该释放密钥中的至少一个功能。相应的单元(例如处理单元或者接收单元)可以以硬件技术和/或也可以以软件技术来实施。在以硬件技术实施的情况下,相应的单元可以被构造为设备或者被构造为设备的部分,例如被构造为计算机或者被构造为微处理器或者被构造为车辆的控制计算机。在以软件技术实施的情况下,相应的单元可以被构造为计算机程序产品,被构造为功能,被构造为例行程序,被构造为程序代码的部分或者被构造为可实施的对象。按照一实施形式,密码包括短的字符序列。因此,该密码可以有可接受的大小,以便技术人员可以直接在设备或客户端上键入(eintippen)该密码。以这种方式,所建议的客户端设备也可以被用于只允许通过键盘输入的设备或客户端。这里,用户可以通过输入短的密码实现释放。同时,这是很可靠的,也就是说没有黑客可以自己产生释放密钥或密码。与释放密钥相反或与通常以数字方式被签名的授权数据相反,密码按照该实施形式可以被编码为相对短的Base32字符序列(例如<20个字符),使得该密码可以由人直接在设备上键入。相对应地被编码的以数字方式被签名的授权数据从字符数目来说会太长并且借此不能被期望由人来手动地输入。按照一实施形式,每个释放密钥都用服务器的私钥来签名。按照该实施形式,被用于授权的数据(也就是说释放密钥)用数字的签名方法来签名。这种签名方法例如可以是ECDSA或者RSA。该释放密钥因此可以包括授权数据(也就是说说明了哪些功能要被释放的数据)和所属的签名。按照另一实施形式,处理单元被设立为借助于服务器的被存储的公钥来验证所选出的释放密钥的签名。制造商或服务器的私钥留在服务器处,而公开的签名密钥被存储在客户端中。在此,黑客不能由公钥推断出私钥。因而,也只有制造商可以产生释放密钥。利用该公钥,客户端设备现在可以验证:所接收到的密码是否与所述释放密钥中的一个相配。尤其是,在释放密钥之内,密码连同授权数据(也就是说说明了客户端的要释放的功能的数据)借助于服务器的私钥被签名。服务密钥或释放密钥因此包括授权数据和所产生的签名,但是不包括被包括在内的密码。只有服务器知道该密码并且该密码没有被传输给客户端设备或客户端。在验证所选出的释放密钥时,通过处理单元来检验所接收到的密码是否完全与预先存储的释放密钥之一匹配。这意味着:对于每个被存储的释放密钥,通过所属的授权数据和所输入的密码来检查签名。在此,授权数据或者其的部分可以事先由客户端设备被发送给服务器,以便请求密码。释放密钥因此包含如下信息:设备或客户端设备依据所述信息可以检验该释放密钥是否也已真正由制造商签发。按照另一实施形式,该释放密钥限定了释放所述至少一个功能的持续时间。在释放密钥或服务密钥中,已经可以存储服务持续时间、也就是说释放密钥的有效性的持续时间。客户端设备可以在请求密码时说明:该客户端设备在哪段持续时间内需要释放密钥。在此,所接收到的密码已经被分配给如下释放密钥:所述释放密钥限定了该持续时间或者最接近于所希望的持续时间来到的持续时间。按照另一实施形式,处理单元被设立为:在释放的持续时间期满之后停用所选出的释放密钥。按照该实施形式,被选出的并且被使用的释放密钥在释放的持续时间期满之后自动地被停用。以这种方式,所使用的释放密钥不可重新被使用。可替换地,释放密钥可以在针对重新的使用的初次激活时已经被停用。按照另一实施形式,客户端设备具有用于将释放密钥询问发送给服务器的发送单元,其中该释放密钥询问说明了客户端的用于释放的至少一个功能。为了从服务器得到密码,发送单元可以本文档来自技高网...
【技术保护点】
用于安全地释放客户端的功能的客户端设备(10),其具有:存储单元(11),用于存储多个释放密钥,其中每个释放密钥都限定了客户端的至少一个功能并且被分配给密码,接收单元(12),用于从服务器接收密码,和处理单元(13),用于将所述多个释放密钥与所接收到的密码相比较,用于选出给其分配有所接收到的密码的释放密钥,而且用于释放客户端的被包含在所选出的释放密钥中的至少一个功能。
【技术特征摘要】
2015.06.03 DE 102015210294.71.用于安全地释放客户端的功能的客户端设备(10),其具有:存储单元(11),用于存储多个释放密钥,其中每个释放密钥都限定了客户端的至少一个功能并且被分配给密码,接收单元(12),用于从服务器接收密码,和处理单元(13),用于将所述多个释放密钥与所接收到的密码相比较,用于选出给其分配有所接收到的密码的释放密钥,而且用于释放客户端的被包含在所选出的释放密钥中的至少一个功能。2.根据权利要求1所述的客户端设备,其特征在于,所述密码包括短的字符序列。3.根据权利要求1或2所述的客户端设备,其特征在于,每个释放密钥都利用服务器的私钥来签名。4.根据权利要求3所述的客户端设备,其特征在于,所述处理单元(13)被设立为:借助于服务器的被存储的公钥来验证所选出的释放密钥的签名。5.根据权利要求1至4之一所述的客户端设备,其特征在于,所述释放密钥限定了释放所述至少一个功能的持续时间。6.根据权利要求5所述的客户端设备,其特征在于,所述处理单元(13)被设立为:在释放的持续时间期满之后停用所选出的释放密钥。7.根据权利要求1至6之一所述的客户端设备,其特征在于用于将释放密钥询问发送给服务器的发送单元(14),其中所述释放密钥询问说明客户端的用于释放的至少一个功能。8.根据权利要求7所述的客户端设备,其特征在于,所述释放密钥询问说明了释放的持续时间和/或客户端的标识符。9.根据权利要求7或8所述的客户端设备,其特征在于,每个被存储的释放密钥都包含释放的持续时间和/或客户端的标识符。10.根据权利要求9所述的客户端设备,其特征在于,所述处理单元(13)被设立为:关于在释放密钥询问中被说明的...
【专利技术属性】
技术研发人员:U罗森鲍姆,M沙夫休特勒,
申请(专利权)人:西门子公司,
类型:发明
国别省市:德国;DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。