[go: up one dir, main page]

WO2018145798A1 - Network system and method for checking the functional capability of a cloud-based control function - Google Patents

Network system and method for checking the functional capability of a cloud-based control function Download PDF

Info

Publication number
WO2018145798A1
WO2018145798A1 PCT/EP2017/082613 EP2017082613W WO2018145798A1 WO 2018145798 A1 WO2018145798 A1 WO 2018145798A1 EP 2017082613 W EP2017082613 W EP 2017082613W WO 2018145798 A1 WO2018145798 A1 WO 2018145798A1
Authority
WO
WIPO (PCT)
Prior art keywords
function
control function
information
release
functionality
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/EP2017/082613
Other languages
German (de)
French (fr)
Inventor
Rainer Falk
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Publication of WO2018145798A1 publication Critical patent/WO2018145798A1/en
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/108Source integrity

Definitions

  • the present invention relates to a network system and method for checking the functionality of a cloud-based control function and an associated computer program (product).
  • Cryptographic protections goals can tegrity, confidentiality and authenticity of data transmission ⁇ objects are achieved as home. This avoids intentional, targeted attacks on data transmission.
  • safety refers mainly to the security, confidentiality and / or integrity of data so ⁇ as their transfer and security, confidentiality and / or integrity in accessing relevant data.
  • the authentication in data transfers or data access belongs For example, the term "security.”
  • Cryptographic functionality generally refers, for example, to a function for encryption, protection of confidentiality, integrity protection and / or authentication of data (eg user data, control data, configuration data or administrative data) and / or authentication of users .
  • the cryptographic protection functionality since ⁇ include, for example at one or more of the functionalities positioned below ⁇ resulted:
  • Generating random numbers e.g., seed generation
  • GSM mobile radio interface
  • UMTS Universal Mobile Telecommunication Standard
  • 5G Fifth Generation
  • WLAN Wireless Local Area Network
  • Bluetooth especially used in building services
  • NFC NFC
  • the data interface can be designed and set up as a serial or parallel data interface.
  • Communication between the devices and servers is not limited to point-to-point (peer) communication. There are also group communication, broadcast news or
  • control com- munication On a vehicle bus e.g. CAN bus, the control com- munication is cryptographically protected against manipulation on a vehicle bus. However, this protection relates to individual data packets, not to a control functionality.
  • TPM Trusted Platform Module
  • Edge computing in the area of 5G mobile telephony is also expected to implement control functions in autonomous systems in the future
  • Assistance functions of a vehicle are realized by control units. Whether certain functionality is available, may be determined by the built-specific control unit, or it can be installed an appropriate functionality in Soft ⁇ ware on a controller or unlocked (eg at end-of-line programming at the factory accordingly ordered Equipment variant).
  • the invention claims a system, preferably a network system comprising: a network infrastructure having at least one control function which can be coupled thereto and which can exchange control information with at least one device,
  • the verification function has at least one release function, which is designed to provide in the case of recognized by the verification function lack of functionality and / or faulty functionality, a revocation information, which leads to a revocation of a release activation and / or execution of the control function.
  • the network infrastructure may be a wired or wireless transmission network within which said functions may be organized, for example, in servers.
  • Server or cloud providers can use storage space and
  • the verification ⁇ function may include monitoring and / or detection and / or analysis functions, which network side or
  • the tasks and (partial) functions of the check function can be imple ⁇ mented or be fully implemented in a single device also comparable shares in one or more clouds and in one device.
  • a faulty functionality also includes an impairment or restriction of the functionality.
  • the checking of the functionality can be carried out continuously or permanently and / or once. It can then provide the revocation information, which can directly cause a revocation or initiate a revocation.
  • the revocation information can lead to a one-time withdrawal of a possibly ongoing execution of Steuerungsfunkti ⁇ on or temporary or permanent.
  • the reversal information can also be a
  • Non-revocation information ie a kind of positive confirmation that the control function is not revoked.
  • Devices can be, for example vehicles, driverless transport systems ⁇ , robots, test equipment or other components of an industrial plant.
  • the control function may include safety-related measures, such as stopping a vehicle or robot before a collision occurs. It can be delivered to the devices and nodes / server network infrastructure through the Steue ⁇ approximate function and control of information regarding software or hardware versions to ensure compatibility and full functionality of the versions.
  • the safety or protective measures for a control function are ensured.
  • the invention also serves as a kind of safety watchdog for a network infrastructure, which will be understood as a distributed cloud robotics system (see the following embodiment).
  • This safety-critical "malfunction" can be secured and prevented tamper-resistant in one embodiment.
  • the invention is also characterized in that the Akti ⁇ vation of a non-released version of a prior Steue ⁇ approximation function is reliable and possibly tamper protected prevented. In particular, the compatibility of the device-side and network-side functionality versions is ensured.
  • a development of the invention provides a with a network infrastructure in communication and controllable with the control function test device from which is to be ⁇ sets to monitor the functioning of at least one product and to certify them to the network infrastructure for the control function ,
  • the test device can be provide speaking monitoring information regarding the functionality of one or more devices.
  • the Testge ⁇ advises, the received control information actually execute (physical) or simulated (virtual).
  • a development of the invention provides that the
  • Revocation information can then be provided if a cryptographically protectable blocking information is present or an expected cryptographically protectable release information fails.
  • a development of the invention provides that the release and / or blocking information can be predetermined or determined by the checking function.
  • a development of the invention provides that the checking of the functionality of the control function comprises a cryptographically protectable integrity check.
  • a development of the invention provides that a
  • Cloud processing center is arranged within the network infrastructure and is adapted to process the task of the at least one device instructed by the control ⁇ function and / or stop and / or to end, the cloud processing center provided by the release ⁇ function and the control function forwarded revocation information receives.
  • a further aspect of the invention provides a device for checking the functionality of a control function having at least one checking function for checking the functionality, wherein this is coupled with a network infrastructure bar, to which at least one control function for controlling at least one device is coupling bar, and at least one release function, which is designed, in the case of a detected by the verification ⁇ function lack of functionality and / or faulty functionality, a revocation information to provide, which leads to a revocation of a release ei ⁇ ner activation and / or execution of the control function.
  • a further aspect of the invention provides a method for operating the system of the type described above, wel ⁇ ches method for operating the system according to one of the preceding system claims, which
  • a network infrastructure with at least one control function which can exchange control information with at least one device
  • a revocation information is ⁇ provides, which leads to a revocation of a free ⁇ task of activation and / or execution of the control function ,
  • the above functions may be implemented in software, firmware and / or hardware. They can be understood as ei ⁇ ne kind of functional units into a single unit (component or server or device) integrated into your function in any combination be Kings ⁇ nen.
  • Another aspect of the invention may be a computer program or a computer program product with at least one Compu ⁇ terprogramm with means for carrying out the method and its referred embodiments when the computer program (product) and the at least one computer program ver ⁇ divides within the communication apparatus according to above described type is carried out for execution.
  • Methods, and optionally the Compu ⁇ terprogramm (product) may be substantially analogous off accordingly or be formed as the system or the arrangement and its embodiments or further developments.
  • FIG. 1 schematically shows a network infrastructure to which the procedure according to the invention can be applied
  • FIG. 2 is a flowchart.
  • FIG. 1 shows a possible embodiment of the invention.
  • a network infrastructure such as a 5G 5G network has a control function CRS, the network side as a cloud service or as a function of a cloud server out ⁇ makes its can.
  • the cloud server is a "cloud robotics server" for controlling critical control functions on a robot, and other devices V to be controlled in the form of autonomous vehicles are also conceivable
  • a verification function in the form of a server is provided to continuously verify the correct functionality of the Cloud Robotics server, through another second network infrastructure such as a public network PN
  • the verification function is directly or indirectly via the network PN with the first network infrastructure coupled.
  • a Cloud Robotics security Operati ⁇ on Center CRO is provided to detect security incidents and analyze them. It can be used as check function besides another Cloud Robotics test server CRT provided be, for example, includes a release function, the activation of unreleased version versions of said control function by providing a
  • a test device TD is provided which, like the devices V and R, is controlled by the Cloud Robotics server and which monitors the correct functionality (e.g.
  • the Cloud Robotics server can be arranged, not shown in the figure cloud processing location in the network infrastructure of the 5G network, the quasi represents the "intelligence" of the device V and R. You can handle operations of Robo ⁇ ters and is in communication with the control function
  • the control function can also be integrated into the device eg V instead of as a Cloud Robotics Server CRS, which is more likely to be the case with an autonomously driving vehicle which, even in the absence of a network connection to the 5G network must continue to function "autonomously”.
  • Both the verification function and the control function can be flexibly implemented in different forms within the network infrastructures.
  • the verification function may also be integrated into the above-mentioned cloud processing site.
  • the provided revocation information can be cryptographically encrypted.
  • the revocation information is provided when there is cryptographically protectable blocking information or when there is no expected cryptographically releasable release information.
  • a cryptographic key and a digital certificate that includes a cryptographic key be revoked wi ⁇ . It is possible to perform or a certificate in a certificate revocation list to use an OCSP Response to confirm the current revocation status of a digita ⁇ len certificate. Such a kind of revocation can use the invention if the encrypted or certified fected release information should be revoked in this way.
  • a control function can only be activated if there is a cryptographically protected release information (release attestation) that can be assigned to the control function. This can be specified or administratively or automatically issued by a self-test or by the verification function. Several approvals require sary (eg no administrative revocation and positi ve ⁇ confirm the self-test).
  • the several releases may relate in particular to different components of a cloud solution (eg backend self-test, released vehicle control function for current backend version status). This makes it possible to reliably prevent an outdated version level the equipment side is activated, which is not quige ⁇ give for the current version of the cloud side. Furthermore, it can reliably be prevented that a control function, in particular a device-side control function, is activated if the cloud side has a malfunction.
  • For the revocation can be a whitelisting or a
  • Blacklisting strategy can be used individually or in combination:
  • the release or blocking information can refer to an abstract functionality, to a special software version of a firmware or to a combination of software versions of several control functions or control devices. Furthermore, the information can specify the hardware version of the control unit. Furthermore, a geographic area are specified, to which the release information or the lock information refers.
  • the release or blocking information is preferably protected by a cryptographic checksum (digital signature, message authentication code).
  • the release of information in particular a Rooskriti ⁇ rule control function according to the invention is variable, ie it can be restricted on the fly. This may in particular when a safety-relevant Steue ⁇ insurance function for autonomous or assisted driving has proven to be unreliable, flawed, manipulated or tampered already in practice, be disabled and no more threat emanating from it. The activation of a corresponding driving function in a vehicle can hereby be reliably prevented.
  • Cloud Robotics Security Operation Server CRO issues a release information (evaluated by Cloud Robotics
  • Test device TD issues attestation (evaluated by
  • a shutdown occurs (eg transfer to driver) or an activation of an autonomous emergency program (eg stop at the edge of the lane).
  • the check can be done locally on a vehicle or in a backend system (cloud robotics).
  • Integrity check is preferably cryptographically protected (attestation of the release confirmation). This is described as above, as a cryptographically protected release formation used for the activation of a control function. This means that the release information (or blocking information) can both be administered administratively (eg in the case of recognized weak points) or can be determined by checking the functionality (attested self-test) itself.
  • FIG. 2 shows a flow chart for the procedure according to the invention, which indicates the starting point in step S0.
  • a control function is activated.
  • step S2 a check is performed by the checking function of this control function. It is checked whether there is a release information (release attestation) for the control function. This is the case if there is neither faulty functionality of the control function nor a lack of functionality. Is the result of the examination in order ⁇ (see step S3), then in step S4, the control function is activated. Is not the result of the check in order, then in step 6, a revocation information is provided which leads already acti ⁇ fourth and operating control function to revoke the activation released. Ultimately, it comes to tempo ⁇ Raeren or one-time or permanent blocking or deactivating control function. Step S6 marks the end of the procedure explained above.
  • the implementation of the processes and procedures described above may be based on instructions SUC ⁇ gen, which (collectively referred to as computer readable storage) on computer readable storage media or in volatile computer memories.
  • computer readable Memory is, for example, volatile memory such as caches, buffers or RAM and non-volatile memory such as Kirda ⁇ tenities, hard disks, etc.
  • the functions or steps described above may be in the form of at least one instruction set in / on a computer-readable memory. The functions or steps are not specific to a particular instruction ⁇ set or to a particular form of instruction sets, or to a particular storage medium or to a
  • Processor or bound to specific execution schemes can be performed by software, firmware, microcode, hardware, Prozes ⁇ sensors, integrated circuits, etc. in stand-alone mode or in any combination.
  • Various processing strategies can be used, for example serial processing by a single processor or multiprocessing or multitasking or parallel processing, etc.
  • the instructions can be stored in local memories, but it is also possible to store the instructions on a remote system and then via Network access.
  • processor central signal processing
  • Control unit or “data evaluation means” as here USAGE ⁇ det, processing means includes in the broad sense, that is, for example, servers, general purpose processors, Gardnerluxo ⁇ ren, digital signal processors, application specific inte ⁇ grated circuits (ASICs), programmable logic circuits, such as FPGAs, discrete analog or digital circuits and be ⁇ undesirables combinations thereof, and any other processing means known in the art or developed in the future.
  • Processors can consist of one or more devices or devices or units. If a processor consists of several devices, these can be designed or configured for the parallel or sequential processing or execution of instructions.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Debugging And Monitoring (AREA)

Abstract

The invention relates to a network system and to a method for checking the functional capability of a cloud-based control function, and to an associated computer program (product). The invention claims a system or assembly, preferably a network system or network assembly having: a network infrastructure having at least one control function that can be coupled to the network infrastructure, which control function can exchange control information with at least one device, characterized by at least one checking function for checking the functional capability of the control function, which checking function can be coupled to the network infrastructure, the checking function having at least one release function, which is designed to provide cancellation information if the checking function detects a lack of functional capability and/or flawed functional capability, which cancellation information leads to the cancellation of a release of an activation and/or of an execution of the control function.

Description

Beschreibung description

Netzwerksystem und Verfahren zur Überprüfung der Funktionsfähigkeit einer Cloud-basierten Steuerungsfunktion Network system and method for checking the functionality of a cloud-based control function

Die vorliegende Erfindung betrifft ein Netzwerksystem und Verfahren zur Überprüfung der Funktionsfähigkeit einer Cloud- basierten Steuerungsfunktion sowie ein zugehöriges Computerprogramm (Produkt) . The present invention relates to a network system and method for checking the functionality of a cloud-based control function and an associated computer program (product).

Hintergrund der Erfindung Background of the invention

Es besteht der Wunsch, dass die Netzinfrastrukturen deutlich schneller werden und die Kommunikation praktisch komplett oh- ne Verzögerungen ablaufen soll. In Zukunft werden nicht nur Menschen mit einem Handy in der Hand kommunizieren, sondern auch Gegenstände: selbstfahrende Autos, kluge Thermostate, Roboter, Herzschrittmacher, Komponenten bzw. Geräte sowie Werkstücke in Industriellen Anlagen. Mobilfunknetze der 5. Generation (5G) und höher sollen die Technologie für das Internet der Zukunft werden. Dies gilt auch für vernetzte, „mitdenkende" Industriehallen (Industrie 4.0, Industrial In¬ ternet of Things) . Die Sicherheit innerhalb solch einer Netzwerkinfrastruktur sowie das Verhindern von absichtlichen Angriffen spielt eine zunehmend wichtigere Rolle. Bei einer erfolgreichen Manipula¬ tion kann es zu einer Fehlfunktion in Steuerungsfunktionen der oben genannten Gegenstände kommen. Daher besteht ein Be- darf, die Integrität von Steuerungsfunktionen insbesondere für ein autonomes oder assistiertes Fahren und für Cloud- basierte Robotersteuerung (Cloud Robotics) zu schützen. There is a desire that the network infrastructures will be much faster and that communication will be practically complete without any delays. In the future, not only people with a mobile phone in hand will communicate, but also objects: self-driving cars, smart thermostats, robots, pacemakers, components or devices as well as workpieces in industrial plants. 5th generation (5G) and higher mobile networks will become the technology for the Internet of the future. This is also true for networked, "intelligent" industrial halls (industrial 4.0, Industrial In ¬ ternet of Things). The security within such a network infrastructure, and the prevention of deliberate attacks plays an increasingly important role. A successful Manipula ¬ tion there may be a Therefore, there is a need to protect the integrity of control functions particularly for autonomous or assisted driving and for cloud-based robot control (cloud robotics).

Durch kryptographische Schutzfunktionen können Ziele wie In- tegrität, Vertraulichkeit oder Authentizität der Datenüber¬ tragung von Gegenständen erreicht werden. Dadurch werden absichtliche, zielgerichtete Angriffe auf die Datenübertragung abgewehrt . Der Begriff „Sicherheit" bezieht sich im Wesentlichen auf die Sicherheit, Vertraulichkeit und/oder Integrität von Daten so¬ wie deren Übertragung und auch Sicherheit, Vertraulichkeit und/oder Integrität beim Zugriff auf entsprechende Daten. Auch die Authentifizierung bei Datenübertragungen beziehungsweise beim Datenzugriff gehört unter anderem zum Begriff „Sicherheit. Unter einer kryptografischen Funktionalität wird allgemein beispielsweise eine Funktion zur Verschlüsselung, zum Schutz der Vertraulichkeit, zum Integritätsschutz und/oder zur Authentifikation von Daten (z.B. Nutzerdaten, Steuerdaten, Konfigurationsdaten oder administrative Daten) und/oder der Authentifikation von Nutzern oder Gegenständen verstanden. Die kryptografische Schutzfunktionalität kann da¬ bei beispielsweise eine oder mehrere der nachfolgend aufge¬ führten Funktionalitäten umfassen: By cryptographic protections goals can tegrity, confidentiality and authenticity of data transmission ¬ objects are achieved as home. This avoids intentional, targeted attacks on data transmission. The term "safety" refers mainly to the security, confidentiality and / or integrity of data so ¬ as their transfer and security, confidentiality and / or integrity in accessing relevant data. The authentication in data transfers or data access belongs For example, the term "security." Cryptographic functionality generally refers, for example, to a function for encryption, protection of confidentiality, integrity protection and / or authentication of data (eg user data, control data, configuration data or administrative data) and / or authentication of users . understand or objects the cryptographic protection functionality since ¬ include, for example at one or more of the functionalities positioned below ¬ resulted:

Schlüsselspeicherung key storage

System- und/oder Nutzer-Authentisierung  System and / or user authentication

- Attestierung  - attestation

Verschlüsselung  encoding

Entschlüsselung  decryption

Berechnen einer kryptografischen Prüfsumme (z.B. Nach- richtenauthentifizierungscode oder digitale Signatur) - Prüfen einer kryptografischen Prüfsumme (z.B. Nachrich- tenauthentifizierungscode oder digitale Signatur)  Calculating a cryptographic checksum (e.g., message authentication code or digital signature) - checking a cryptographic checksum (e.g., message authentication code or digital signature)

SchlüsselVereinbarung  key agreement

Schlüsselerzeugung  key generation

Erzeugen von Zufallszahlen (z.B. Seed-Generierung)  Generating random numbers (e.g., seed generation)

- Lizenzierung  - Licensing

Unterstützung von systemischen Überwachungsfunktionen Support of systemic monitoring functions

(z.B. Tamper-Schutz , Systemintegrität, Security Incident and Event Management SIEM) (e.g., Tamper Protection, System Integrity, Security Incident and Event Management SIEM)

Überwachen oder Überwachung von Daten  Monitor or monitor data

- Validierung von Daten  - Validation of data

Filterung von Daten Die aufgezählten kryptografischen Funktionalitäten können dabei jeweils wieder mit anderen/weiteren Verfahren oder Kombinationen dieser Verfahren ausgeführt sein. Eine Datenschnittstelle zur Datenübertragung bzw. Kommunika¬ tion zwischen den genannten Gegenständen und ggf. Servern kann beispielsweise eine drahtgebundene oder drahtlose Filtering of data The enumerated cryptographic functionalities can in each case be carried out again with other / further methods or combinations of these methods. A data interface for data transmission or communica tion ¬ between the said objects and, if necessary servers for example, a wired or wireless

Schnittstelle (z.B. Mobilfunkschnittstelle (GSM, UMTS, LTE, 5G und höher) , eine WLAN-, eine Bluetooth-, ZigBee- (insbe- sondere eingesetzt in der Haustechnik) oder eine NFC-Interface (eg mobile radio interface (GSM, UMTS, LTE, 5G and higher), a WLAN, a Bluetooth, ZigBee (especially used in building services) or an NFC

Schnittstelle (NFC: Near Field Communication) ) sein. Dabei kann die Datenschnittstelle als eine serielle oder parallele Datenschnittstelle ausgebildet und eingerichtet sein. Die Kommunikation zwischen den Geräten und Servern ist nicht auf eine Punkt-zu-Punkt (Peer) -Kommunikation limitiert. Es sind auch Gruppenkommunikation, Broadcast-Nachrichten oder Interface (NFC: Near Field Communication)). In this case, the data interface can be designed and set up as a serial or parallel data interface. Communication between the devices and servers is not limited to point-to-point (peer) communication. There are also group communication, broadcast news or

Publish/Subscribe Kommunikationsmuster denkbar. Publish / Subscribe communication pattern conceivable.

Auf einem Fahrzeugbus z.B. CAN-Bus wird die Steuerungskommu- nikation auf einem Fahrzeugbus gegen Manipulation kryptogra- phisch geschützt. Dieser Schutz bezieht sich jedoch auf einzelne Datenpakete, nicht auf eine Steuerungsfunktionalität. On a vehicle bus e.g. CAN bus, the control com- munication is cryptographically protected against manipulation on a vehicle bus. However, this protection relates to individual data packets, not to a control functionality.

Aus der Publikation Stefan Berger, Kenneth Goldman, Dimitrios Pendarakis, David Safford, Enriquillo Valdez, Mimi Zohar: Scalable Attestation: A Step toward Secure and Trusted From the publication Stefan Berger, Kenneth Goldman, Dimitrios Pendarakis, David Safford, Enriquillo Valdez, Mimi Zohar: Scalable Attestation: A Step Towards Secure and Trusted

Clouds, IEEE Cloud Computing 2015 vol. 2 Issue No . 05 - Sept . -Oct . , Clouds, IEEE Cloud Computing 2015 vol. 2 Issue No. 05 - Sept. -Oct. .

https : //www . Computer . org/csdl/mags/cd/2015/05/mcd2015050010- abs.html ist eine Bestätigung der Integrität eines Cloud- Servers auf mehreren Ebenen bekannt (infrastructure, https: // www. Computer . org / csdl / mags / cd / 2015/05 / mcd2015050010- abs.html is a confirmation of the integrity of a cloud server at multiple levels (infrastructure,

integrity, guest Virtual machine integrity, application integrity) . Dabei kann jeweils ein Trusted Platform Modul (TPM) eine Attestierung zur Bestätigung des Softwarestands bereitstellen. Es ist auch möglich, das Open Attestationintegrity, guest Virtual machine integrity, application integrity). In each case, a Trusted Platform Module (TPM) can provide an attestation to confirm the software status. It's also possible the Open Attestation

Open-Source-Proj ekt einzusetzen, bei dem ein zentraler Server die TPM-Messungen mehrerer Clients auswertet. Angriffe gegen PKWs sind möglich, bei denen das Bremssystem bzw. die Lenkung manipuliert wird. Aus To use an open-source project, where a central server evaluates the TPM measurements of several clients. Attacks against cars are possible in which the brake system or the steering is manipulated. Out

https : //www . wired . com/2016/08/j eep-hackers-return-high-speed- steering-acceleration-hacks/ ist bekannt, dass Steuerungs- funktionen auf einem Fahrzeug lokal realisiert sein können (insbesondere in Steuergeräten ECUs) oder in einer Cloud. Hierzu gibt es beispielsweise mehrere Publikationen zu „Cloud Robotics and Automation", https: // www. wired. com / 2016/08 / j eep-hackers-return-high-speed-steering-acceleration-hacks / is known that control functions can be implemented locally on a vehicle (especially in ECUs) or in a cloud. For example, there are several publications on "Cloud Robotics and Automation",

http : //goldberg .berkeley . edu/cloud-robotics/ , http: // goldberg .berkeley. edu / cloud-robotics /,

https://en.wikipedia.org/wiki/Cloud_robotics , https://en.wikipedia.org/wiki/Cloud_robotics,

http : //goldberg .berkeley . edu/pubs/T-ASE-Cloud-RA-Survey- Paper-Final-2015.pdf ). http: // goldberg .berkeley. edu / pubs / T-ASE-Cloud-RA-Survey-Paper-Final-2015.pdf).

Auch ein Edge Computing im Umfeld von 5G-Mobilfunk soll künf- tig Steuerungsfunktionen in autonomen Systemen realisierenEdge computing in the area of 5G mobile telephony is also expected to implement control functions in autonomous systems in the future

(https : //www .ericsson. com/res/thecompany/docs/publications/er icsson_review/2016/etr-5g-cloud-robotics . pdf ) . (https://www.ericsson.com/res / thecompany / docs / publications / er icsson_review / 2016 / etr-5g-cloud-robotics .pdf).

Assistenzfunktionen eines Fahrzeugs werden durch Steuergeräte realisiert. Ob eine bestimmte Funktionalität verfügbar ist, kann durch das verbaute spezifische Steuergerät vorgegeben sein, oder es kann eine entsprechende Funktionalität in Soft¬ ware auf einem Steuergerät installiert oder freigeschaltet sein (z.B. bei End-Of-Line-Programmierung im Werk entspre- chend der bestellten Ausstattungsvariante) . Assistance functions of a vehicle are realized by control units. Whether certain functionality is available, may be determined by the built-specific control unit, or it can be installed an appropriate functionality in Soft ¬ ware on a controller or unlocked (eg at end-of-line programming at the factory accordingly ordered Equipment variant).

Es ist Aufgabe der Erfindung, die Sicherheits- bzw. Schutz¬ maßnahmen für eine Steuerungsfunktion zu verbessern. Darstellung der Erfindung It is an object of the invention to improve the safety or protection ¬ measures for a control function. Presentation of the invention

Diese Aufgabe wird durch die unabhängigen Patentansprüche ge¬ löst. Vorteilhafte Weiterbildungen sind Gegenstand der abhän¬ gigen Ansprüche. This object is achieved by the independent claims ge ¬ triggers. Advantageous further developments are subject of the depen ¬ Gigen claims.

Die Erfindung beansprucht ein System bzw. Anordnung, vorzugsweise ein Netzwerksystem bzw. Netzwerkanordnung aufweisend : - eine Netzwerkinfrastruktur mit wenigstens einer an diese koppelbaren Steuerungsfunktion, welche Steuerinformationen mit mindestens einem Gerät austauschen kann, The invention claims a system, preferably a network system comprising: a network infrastructure having at least one control function which can be coupled thereto and which can exchange control information with at least one device,

- gekennzeichnet durch wenigstens eine mit der Netzwerk- infrastruktur koppelbare Überprüfungsfunktion zur Überprüfung der Funktionsfähigkeit der Steuerungsfunktion, wobei  characterized by at least one check function which can be coupled to the network infrastructure for checking the functionality of the control function, wherein

- die Überprüfungsfunktion zumindest eine Freigabefunktion aufweist, die dazu ausgelegt ist, im Falle eines von der Überprüfungsfunktion erkannten Fehlens der Funktionsfähigkeit und/oder einer fehlerhaften Funktionsfähigkeit eine Widerrufsinformation bereitzustellen, welche zu einem Widerruf einer Freigabe einer Aktivierung und/oder einer Ausführung der Steuerungsfunktion führt.  - The verification function has at least one release function, which is designed to provide in the case of recognized by the verification function lack of functionality and / or faulty functionality, a revocation information, which leads to a revocation of a release activation and / or execution of the control function.

Die Netzwerkinfrastruktur kann ein kabelgebundenes oder Funk- Übertragungsnetzwerk sein, innerhalb der genannten Funktionen beispielsweise in Servern organisiert sein können. Von Server- bzw. Cloud-Anbietern können Speicherplatz und The network infrastructure may be a wired or wireless transmission network within which said functions may be organized, for example, in servers. Server or cloud providers can use storage space and

Clouddienste zur Verfügung gestellt werden. Die Überprüfungs¬ funktion kann Überwachungs- und/oder Detektions- und/oder Analysefunktionen umfassen, welche netzwerkseitig bzw. Cloud services are provided. The verification ¬ function may include monitoring and / or detection and / or analysis functions, which network side or

cloudseitig implementiert sein können. Die Aufgaben- und (Teil- ) funktionen der Überprüfungsfunktion können auch ver- teilt in einer oder mehrerer Clouds und in einem Gerät imple¬ mentiert sein oder auch vollständig in einem Gerät implementiert sein. can be implemented on the cloud side. The tasks and (partial) functions of the check function can be imple ¬ mented or be fully implemented in a single device also comparable shares in one or more clouds and in one device.

Eine fehlerhafte Funktionsfähigkeit umfasst auch eine Beein- trächtigung bzw. Einschränkung der Funktionsfähigkeit. A faulty functionality also includes an impairment or restriction of the functionality.

Die Überprüfung der Funktionsfähigkeit kann kontinuierlich bzw. dauerhaft und/oder einmalig ausgeführt werden. Sie kann dann die Widerrufsinformation bereitstellen, welche direkt einen Widerruf hervorrufen oder einen Widerruf einleiten kann. Dabei kann die Widerrufsinformation zu einem Widerruf einer ggf. bereits laufenden Ausführung der Steuerungsfunkti¬ on einmalig oder temporär oder dauerhaft führen. Die Widerufsinformation kann auch eine The checking of the functionality can be carried out continuously or permanently and / or once. It can then provide the revocation information, which can directly cause a revocation or initiate a revocation. The revocation information can lead to a one-time withdrawal of a possibly ongoing execution of Steuerungsfunkti ¬ on or temporary or permanent. The reversal information can also be a

Nichtwiderrufsinformation sein, d.h. eine Art Positivbestätigung, dass die Steuerungsfunktion nicht widerrufen ist. Geräte können beispielsweise Fahrzeuge, führerlose Transport¬ systeme, Roboter, Testgeräte oder andere Komponenten einer industriellen Anlage sein. Non-revocation information, ie a kind of positive confirmation that the control function is not revoked. Devices can be, for example vehicles, driverless transport systems ¬, robots, test equipment or other components of an industrial plant.

Die Steuerungsfunktion kann sicherheitsrelevante Maßnahmen umfassen, wie z.B. ein Anhalten eines Fahrzeugs oder Roboters bevor eine Kollision eintritt. Es können durch die Steue¬ rungsfunktion auch Steuerinformationen hinsichtlich von Software- bzw. Hardwareversionen auf den Geräten und in Knoten/Server der Netzwerkinfrastruktur geliefert werden, um die Kompatibilität und vollständige Funktionalität der Versionen zu gewährleisten. The control function may include safety-related measures, such as stopping a vehicle or robot before a collision occurs. It can be delivered to the devices and nodes / server network infrastructure through the Steue ¬ approximate function and control of information regarding software or hardware versions to ensure compatibility and full functionality of the versions.

Erfindungsgemäß werden die Sicherheits- bzw. Schutzmaßnahmen für eine Steuerungsfunktion sichergestellt. Die Erfindung auch als eine Art Safety Watchdog (Sicherheitsüberwachung) für eine Netzwerkinfrastruktur, die als ein verteiltes Cloud Robotics System (siehe nachstehendes Ausführungsbeispiel) verstanden werden. Damit können sicherheitskritische „Fehlfunktionen" gesichert und in einer Ausführungsform manipulationsgeschützt verhindert werden. According to the invention, the safety or protective measures for a control function are ensured. The invention also serves as a kind of safety watchdog for a network infrastructure, which will be understood as a distributed cloud robotics system (see the following embodiment). This safety-critical "malfunction" can be secured and prevented tamper-resistant in one embodiment.

Die Erfindung zeichnet sich zudem dadurch aus, dass die Akti¬ vierung eines nicht freigegebenen Versionsstands einer Steue¬ rungsfunktion zuverlässig und ggf. manipulationsgeschützt verhindert wird. Dabei wird insbesondere die Kompatibilität der Geräteseitige und netzwerkseitigen Funktionalitätsversi- onsstände sichergestellt. The invention is also characterized in that the Akti ¬ vation of a non-released version of a prior Steue ¬ approximation function is reliable and possibly tamper protected prevented. In particular, the compatibility of the device-side and network-side functionality versions is ensured.

Eine Weiterbildung der Erfindung sieht ein mit einer Netzwerk-Infrastruktur in Verbindung stehendes und mit der Steue- rungsfunktion steuerbares Testgerät vor, welches dazu ausge¬ legt ist, die Funktionsfähigkeit des mindestens einen Gerätes zu überwachen und diese der Netzwerk-Infrastruktur für die Steuerungsfunktion zu attestieren. Das Testgerät kann ent- sprechende Überwachungsinformation hinsichtlich der Funktionsfähigkeit eines oder mehrerer Geräte liefern. Das Testge¬ rät kann die empfangene Steuerinformation tatsächlich ausführen (physikalisch) oder simulieren (virtuell) . A development of the invention provides a with a network infrastructure in communication and controllable with the control function test device from which is to be ¬ sets to monitor the functioning of at least one product and to certify them to the network infrastructure for the control function , The test device can be provide speaking monitoring information regarding the functionality of one or more devices. The Testge ¬ advises, the received control information actually execute (physical) or simulated (virtual).

Eine Weiterbildung der Erfindung sieht vor, dass die A development of the invention provides that the

Widerrufsinformation dann bereitgestellt werden kann, wenn eine kryptographisch schützbare Sperrinformation vorliegt oder eine erwartete kryptographisch schützbare Freigabeinfor- mation ausbleibt. Revocation information can then be provided if a cryptographically protectable blocking information is present or an expected cryptographically protectable release information fails.

Eine Weiterbildung der Erfindung sieht vor, dass die Freigabe- und/oder Sperrinformation vorgebbar oder durch die Überprüfungsfunktion ermittelbar ist. A development of the invention provides that the release and / or blocking information can be predetermined or determined by the checking function.

Eine Weiterbildung der Erfindung sieht vor, dass die Überprüfung der Funktionsfähigkeit der Steuerungsfunktion eine kryptographisch schützbare Integritätsprüfung umfasst. Eine Weiterbildung der Erfindung sieht vor, dass eine A development of the invention provides that the checking of the functionality of the control function comprises a cryptographically protectable integrity check. A development of the invention provides that a

Cloudverarbeitungsstelle innerhalb der Netzwerkinfrastruktur angeordnet und dazu ausgebildet ist, die von der Steuerungs¬ funktion angewiesenen Arbeitsschritte des mindestens einen Gerätes zu verarbeiten und/oder anzuhalten und/oder zu been- den, wobei die Cloudverarbeitungsstelle die von der Freigabe¬ funktion bereitgestellte und von der Steuerungsfunktion weitergeleitete Widerrufsinformation erhält. Cloud processing center is arranged within the network infrastructure and is adapted to process the task of the at least one device instructed by the control ¬ function and / or stop and / or to end, the cloud processing center provided by the release ¬ function and the control function forwarded revocation information receives.

Ein weiterer Aspekt der Erfindung sieht eine Einrichtung Ein- richtung zur Überprüfung der Funktionsfähigkeit einer Steuerungsfunktion aufweisend wenigstens eine Überprüfungsfunktion zur Überprüfung der Funktionsfähigkeit, wobei diese mit einer Netzwerkinfrastruktur koppel bar ist, an welche wenigstens eine Steuerungsfunktion zur Steuerung von mindestens einem Gerät koppel bar ist, und zumindest eine Freigabefunktion, die dazu ausgelegt ist, im Falle eines von der Überprüfungs¬ funktion erkannten Fehlens der Funktionsfähigkeit und/oder fehlerhaften Funktionsfähigkeit, eine Widerrufsinformation bereitzustellen, welche zu einem Widerruf einer Freigabe ei¬ ner Aktivierung und/oder einer Ausführung der Steuerungsfunktion führt. A further aspect of the invention provides a device for checking the functionality of a control function having at least one checking function for checking the functionality, wherein this is coupled with a network infrastructure bar, to which at least one control function for controlling at least one device is coupling bar, and at least one release function, which is designed, in the case of a detected by the verification ¬ function lack of functionality and / or faulty functionality, a revocation information to provide, which leads to a revocation of a release ei ¬ ner activation and / or execution of the control function.

Ein weiterer Aspekt der Erfindung sieht ein Verfahren zum Betrieb des Systems der vorstehend beschriebenen Art vor, wel¬ ches Verfahren zum Betrieb des Systems nach einem der vorherstehenden Systemansprüche, welches A further aspect of the invention provides a method for operating the system of the type described above, wel ¬ ches method for operating the system according to one of the preceding system claims, which

- eine Netzwerkinfrastruktur mit wenigstens einer Steuerungsfunktion, welche Steuerinformationen mit mindestens einem Gerät austauschen kann,  a network infrastructure with at least one control function which can exchange control information with at least one device,

- und wenigstens eine mit der Netzwerkinfrastruktur kopp¬ elbare Überprüfungsfunktion aufweist, - and at least one with the network infrastructure Kopp ¬ elbare check function,

- die die Funktionsfähigkeit der Steuerungsfunktion überprüft,  - which checks the functionality of the control function,

wobei durch zumindest eine Freigabefunktion der Überprü¬ fungsfunkton im Falle einem von der Überprüfungsfunktion erkannten Fehlen der Funktionsfähigkeit und/oder fehlerhaften Funktionsfähigkeit, eine Widerrufsinformation be¬ reitgestellt wird, welche zu einem Widerruf einer Frei¬ gabe einer Aktivierung und/oder einer Ausführung der Steuerungsfunktion führt. wherein by at least one release function of the check ¬ fungsfunkton in the case of a detected by the verification function lack of functionality and / or faulty functionality, a revocation information is ¬ provides, which leads to a revocation of a free ¬ task of activation and / or execution of the control function ,

Die vorstehend genannten Funktionen können in Software, Firmware und/oder Hardware implementiert sein. Sie können als ei¬ ne Art Funktionseinheiten verstanden werden, die auch in Ihrer Funktion in beliebiger Kombination in eine einzige Einheit (Komponente bzw. Server bzw. Gerät) integriert sein kön¬ nen . The above functions may be implemented in software, firmware and / or hardware. They can be understood as ei ¬ ne kind of functional units into a single unit (component or server or device) integrated into your function in any combination be Kings ¬ nen.

Ein weiterer Aspekt der Erfindung kann ein Computerprogramm bzw. ein Computerprogrammprodukt mit mindestens einem Compu¬ terprogramm mit Mitteln zur Durchführung des Verfahrens und dessen genannte Ausgestaltungen sein, wenn das Computerprogramm (Produkt) bzw. das mindestens eine Computerprogramm ver¬ teilt innerhalb der Kommunikationsanordnung nach oben beschriebener Art zur Ausführung gebracht wird. Obige Einrichtungen, Verfahren und gegebenenfalls das Compu¬ terprogramm (Produkt) können im Wesentlichen analog wie das System bzw. die Anordnung und dessen Ausgestaltungen bzw. Weiterbildungen entsprechend aus- bzw. weitergebildet werden. Another aspect of the invention may be a computer program or a computer program product with at least one Compu ¬ terprogramm with means for carrying out the method and its referred embodiments when the computer program (product) and the at least one computer program ver ¬ divides within the communication apparatus according to above described type is carried out for execution. Above means, methods, and optionally the Compu ¬ terprogramm (product) may be substantially analogous off accordingly or be formed as the system or the arrangement and its embodiments or further developments.

Ausführungsbeispiel (e) : Embodiment (e):

Weitere Vorteile, Einzelheiten und Weiterbildungen der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Aus- führungsbeispielen in Verbindung mit den Zeichnungen. Further advantages, details and developments of the invention will become apparent from the following description of exemplary embodiments in conjunction with the drawings.

Dabei zeigt: Showing:

Figur 1 schematisch eine Netzwerkinfrastruktur, auf die das erfindungsgemäße Vorgehen angewendet werden kann, und FIG. 1 schematically shows a network infrastructure to which the procedure according to the invention can be applied, and

Figur 2 ein Ablaufdiagramm.  Figure 2 is a flowchart.

Die Figur 1 zeigt ein mögliches Ausführungsbeispiel für die Erfindung. Eine Netzwerkinfrastruktur z.B. ein 5G-Netzwerk 5G verfügt über eine Steuerungsfunktion CRS, die netzwerkseitig als Clouddienst bzw. als Funktion eines Cloud Servers ausge¬ bildet sein kann. Im Falle eines zu steuernden Gerätes R in Form eines Roboters ist der Cloud Server ein „Cloud Robotics Server", um kritische Steuerungsfunktionen auf einem Roboter zu steuern. Es sind auch andere zu steuernde Geräte V in Form von autonom fahrenden Fahrzeugen denkbar. Im dargestellten Beispiel ist eine Überprüfungsfunktion in Form eines Servers vorgesehen, um die korrekte Funktionalität des Cloud Robotics Servers kontinuierlich zu überprüfen. Dies kann über eine weitere zweite Netzwerkinfrastruktur z.B. eines öffentlichen Netzwerks PN erfolgen. Letztendlich ist die Überprüfungsfunktion direkt oder indirekt über das Netzwerk PN mit der ersten Netzwerkinfrastruktur gekoppelt. Als eine Ausführungsform der Überprüfungsfunktion ist ein Cloud Robotics Security Operati¬ on Center CRO vorgesehen, um Sicherheitsvorfälle zu erkennen und zu analysieren. Es kann als Überprüfungsfunktion desweiteren ein weiterer Cloud Robotics Test Server CRT vorgesehen sein, der beispielsweise eine Freigabefunktion umfasst, die die Aktivierung von nicht freigegebenen Versionsständen der genannten Steuerungsfunktion durch Bereitstellung einer FIG. 1 shows a possible embodiment of the invention. A network infrastructure such as a 5G 5G network has a control function CRS, the network side as a cloud service or as a function of a cloud server out ¬ makes its can. In the case of a robotic device R to be controlled, the cloud server is a "cloud robotics server" for controlling critical control functions on a robot, and other devices V to be controlled in the form of autonomous vehicles are also conceivable For example, a verification function in the form of a server is provided to continuously verify the correct functionality of the Cloud Robotics server, through another second network infrastructure such as a public network PN Finally, the verification function is directly or indirectly via the network PN with the first network infrastructure coupled. as an embodiment of the validation feature a Cloud Robotics security Operati ¬ on Center CRO is provided to detect security incidents and analyze them. It can be used as check function besides another Cloud Robotics test server CRT provided be, for example, includes a release function, the activation of unreleased version versions of said control function by providing a

Widerrufsinformation verhindert bzw. einen Widerruf einlei- tet. Weiterhin ist ein Test-Gerät TD vorgesehen, das - wie die Geräte V und R - von dem Cloud Robotics Server gesteuert wird und das die korrekte Funktionalität überwacht (z.B. Revocation information prevents or initiates revocation. Furthermore, a test device TD is provided which, like the devices V and R, is controlled by the Cloud Robotics server and which monitors the correct functionality (e.g.

durch Beaufschlagen des Cloud Robotics Servers mit Testda¬ ten) . Des Weiteren kann eine in der Figur nicht dargestellte Cloud-Verarbeitungsstelle in der Netzwerkinfrastruktur des 5G-Netzes angeordnet sein, die quasi die „Intelligenz" der Geräte V und R darstellt. Sie kann Arbeitsschritte des Robo¬ ters verarbeiten und steht mit der Steuerungsfunktion in Verbindung, um ( Steuerungs- ) funktionen auszutauschen. Die Steue- rungsfunktion kann auch statt als Cloud Robotics Server CRS auch in das Gerät z.B. V integriert sein. Dies wird eher bei einem autonom fahrenden Fahrzeug der Fall sein, das auch im Zweifel ohne eine Netzwerkverbindung zum 5G-Netzwerk weiterhin „autonom" funktionieren muss. by loading the Cloud Robotics server with Testda ¬ th). Furthermore, can be arranged, not shown in the figure cloud processing location in the network infrastructure of the 5G network, the quasi represents the "intelligence" of the device V and R. You can handle operations of Robo ¬ ters and is in communication with the control function The control function can also be integrated into the device eg V instead of as a Cloud Robotics Server CRS, which is more likely to be the case with an autonomously driving vehicle which, even in the absence of a network connection to the 5G network must continue to function "autonomously".

Sowohl die Überprüfungsfunktion als auch die Steuerungsfunktion sind flexibel in unterschiedlichen Formen innerhalb der Netzwerkinfrastrukturen implementierbar. Die Überprüfungsfunktion kann auch in die oben erwähnte Cloud- Verarbeitungsstelle integriert sein. Both the verification function and the control function can be flexibly implemented in different forms within the network infrastructures. The verification function may also be integrated into the above-mentioned cloud processing site.

Die bereitgestellte Widerrufsinformation kann kryptographisch verschlüsselt sein. Die Widerrufsinformation wird dann bereitgestellt, wenn eine kryptographisch schützbare Sperrin- formation vorliegt oder eine erwartete kryptographisch schützbare Freigabeinformation ausbleibt. In diesem Kontext kann ein kryptographischen Schlüssel bzw. ein digitales Zertifikat, das einen kryptographischen Schlüssel umfasst, wi¬ derrufen werden. Es ist möglich, dazu ein Zertifikat in einer Zertifikatswiderrufsliste aufzuführen oder eine OCSP-Response zu verwenden, um den aktuellen Widerrufsstatus eines digita¬ len Zertifikats zu bestätigen. Solch eine Art Widerruf kann die Erfindung verwenden, wenn die verschlüsselte bzw. zerti- fizierte Freigabeinformation auf diese Weise widerrufen werden soll. The provided revocation information can be cryptographically encrypted. The revocation information is provided when there is cryptographically protectable blocking information or when there is no expected cryptographically releasable release information. In this context, a cryptographic key and a digital certificate that includes a cryptographic key, be revoked wi ¬. It is possible to perform or a certificate in a certificate revocation list to use an OCSP Response to confirm the current revocation status of a digita ¬ len certificate. Such a kind of revocation can use the invention if the encrypted or certified fected release information should be revoked in this way.

Eine Steuerungsfunktion kann dabei nur aktiviert werden, wenn eine der Steuerungsfunktion zuordenbare kryptographisch geschützte Freigabeinformation (Freigabe-Attestierung) vorliegt. Diese kann vorgebbar bzw. administrativ oder automatisch durch einen Selbsttest bzw. durch die Überprüfungsfunktion ausgestellt werden. Es können mehrere Freigaben erfor- derlich sein (z.B. keine administrative Sperrung, und positi¬ ve Bestätigung des Selbsttests) . Die mehreren Freigaben können sich insbesondere auf unterschiedliche Komponenten einer Cloud-Lösung beziehen (z.B. Backend Selbsttest; freigegebene Fahrzeugsteuerungsfunktion für aktuellen Backend- Versionstand) . Damit kann zuverlässig verhindert werden, dass ein veralteter Versionsstand geräteseitig aktiviert wird, der nicht für den aktuellen Versionsstand der Cloud-Seite freige¬ geben ist. Weiterhin kann zuverlässig verhindert werden, dass eine Steuerungsfunktion, insbesondere eine geräteseitige Steuerungsfunktion, aktiviert wird, wenn die Cloud-Seite eine Fehlfunktion aufweist. A control function can only be activated if there is a cryptographically protected release information (release attestation) that can be assigned to the control function. This can be specified or administratively or automatically issued by a self-test or by the verification function. Several approvals require sary (eg no administrative revocation and positi ve ¬ confirm the self-test). The several releases may relate in particular to different components of a cloud solution (eg backend self-test, released vehicle control function for current backend version status). This makes it possible to reliably prevent an outdated version level the equipment side is activated, which is not freige ¬ give for the current version of the cloud side. Furthermore, it can reliably be prevented that a control function, in particular a device-side control function, is activated if the cloud side has a malfunction.

Für den Widerruf kann eine Whitelisting- oder eine For the revocation can be a whitelisting or a

Blacklisting-Strategie jeweils einzeln oder in Kombination angewandt werden: Blacklisting strategy can be used individually or in combination:

- Blacklisting: Widerrufene Steuerungsfunktionen (identifiziert z.B. durch Hash-Wert, Versionsnummer) - Blacklisting: Revoked control functions (identified by hash value, version number, for example)

- Ausbleiben einer Positiv-Bestätigung (es liegt keine po- sitive Bestätigung vor, dass die Funktionalität noch gültig ist).  - absence of a positive confirmation (there is no positive confirmation that the functionality is still valid).

Die Freigabe- bzw. Sperrinformation kann sich auf eine abstrakte Funktionalität, auf eine spezielle Softwareversion ei- ner Firmware oder auf eine Kombination von Softwareständen mehrerer Steuerungsfunktionen bzw. Steuergeräte beziehen. Weiterhin kann die Information die Hardware-Version des Steuergerätes angeben. Weiterhin kann ein geographisches Gebiet angegeben werden, auf das sich die Freigabeinformation bzw. die Sperrinformation bezieht. Die Freigabe- bzw. Sperrinformation ist vorzugsweise durch eine kryptographische Prüfsumme geschützt (digitale Signatur, Message Authentication Code) . Die Freigabeinformation insbesondere einer sicherheitskriti¬ schen Steuerungsfunktion ist erfindungsgemäß veränderlich, d.h. sie kann im laufenden Betrieb eingeschränkt werden. So kann insbesondere dann, wenn eine sicherheitsrelevante Steue¬ rungsfunktion zum autonomen oder assistiertem Fahren in der Praxis sich als unzuverlässig, fehlerhaft, manipulierbar oder bereits manipuliert herausgestellt hat, diese deaktiviert werden, sodass keine Gefährdung mehr von ihr ausgeht. Das Aktivieren einer entsprechenden Fahrfunktion bei einem Fahrzeug kann hiermit zuverlässig unterbunden werden. The release or blocking information can refer to an abstract functionality, to a special software version of a firmware or to a combination of software versions of several control functions or control devices. Furthermore, the information can specify the hardware version of the control unit. Furthermore, a geographic area are specified, to which the release information or the lock information refers. The release or blocking information is preferably protected by a cryptographic checksum (digital signature, message authentication code). The release of information in particular a sicherheitskriti ¬ rule control function according to the invention is variable, ie it can be restricted on the fly. This may in particular when a safety-relevant Steue ¬ insurance function for autonomous or assisted driving has proven to be unreliable, flawed, manipulated or tampered already in practice, be disabled and no more threat emanating from it. The activation of a corresponding driving function in a vehicle can hereby be reliably prevented.

Folgende Komponenten stellen Freigabe-Attestierungen aus: The following components issue release attestations:

Selbsttest des Gerätes V oder des Gerätes R (ausgewertet durch den Cloud Robotics Server)  Self-test of device V or device R (evaluated by the Cloud Robotics Server)

Cloud Robotics Security Operation Server CRO stellt eine Freigabeinformation aus (ausgewertet vom Cloud Robotics Cloud Robotics Security Operation Server CRO issues a release information (evaluated by Cloud Robotics

Server, Gerät V, Gerät R) Server, device V, device R)

Cloud Robotics Test Server CRT stellt Attestierung aus (ausgewertet durch Cloud Robotics Server, Gerät V, Gerät R)  Cloud Robotics Test Server CRT Issues Attestation (Reviewed by Cloud Robotics Server, Device V, Device R)

- Test-Gerät TD stellt Attestierung aus (ausgewertet durch - Test device TD issues attestation (evaluated by

Cloud Robotics Server) Cloud Robotics Server)

Weiterhin kann die Integrität im laufenden Betrieb bei akti¬ vierter Steuerungsfunktion weiterhin überprüft werden. Ggf. erfolgt ein Abschalten (z.B. Übergabe an Fahrzeugführer) oder eine Aktivierungen eines autonomen Notprogramms (z.B. Halt an Fahrbahnrand) . Furthermore, the integrity can be checked during operation with akti ¬ fourth control function continues. Possibly. a shutdown occurs (eg transfer to driver) or an activation of an autonomous emergency program (eg stop at the edge of the lane).

Die Überprüfung kann lokal auf einem Fahrzeug erfolgen, oder in einem Backend System (Cloud Robotics) . Das Ergebnis derThe check can be done locally on a vehicle or in a backend system (cloud robotics). The result of

Integritätsprüfung ist vorzugsweise kryptographisch geschützt (Attestierung der Freigabebestätigung) . Diese wird wie oben beschrieben, als eine kryptographisch geschützte Freigabein- formation für die Aktivierung einer Steuerungsfunktion genutzt. D.h., dass die Freigabeinformation (bzw. Sperrinformation) sowohl administrativ vergeben werden kann (z.B. bei erkannten Schwachstellen) oder durch die Überprüfung der Funk- tionalität (attestierter Selbsttest) selbst ermittelt werden kann . Integrity check is preferably cryptographically protected (attestation of the release confirmation). This is described as above, as a cryptographically protected release formation used for the activation of a control function. This means that the release information (or blocking information) can both be administered administratively (eg in the case of recognized weak points) or can be determined by checking the functionality (attested self-test) itself.

In Figur 2 ist ein Ablaufdiagramm zum erfindungsgemäßen Vorgehen gezeigt, das in Schritt SO den Startpunkt andeutet. In Schritt Sl wird eine Steuerungsfunktion aktiviert. In Schritt S2 wird eine Überprüfung durch die Überprüfungsfunktion dieser Steuerungsfunktion durchgeführt. Es wird überprüft, ob eine Freigabeinformation (Freigabe-Attestierung) für die Steuerungsfunktion vorliegt. Dies ist der Fall, wenn weder fehlhafte Funktionalität der Steuerungsfunktion noch ein Fehlen der Funktionalität vorliegt. Ist das Ergebnis der Über¬ prüfung in Ordnung (siehe Schritt S3) , dann wird in Schritt S4 die Steuerungsfunktion aktiviert. Ist das Ergebnis der Überprüfung nicht in Ordnung, dann wird in Schritt 6 eine Widerrufsinformation bereitgestellt, die bei bereits akti¬ vierter bzw. laufender Steuerungsfunktion zum Widerruf der Aktivierungsfreigabe führt. Letztendlich kommt es zur tempo¬ rären oder einmaligen oder dauerhaften Sperrung bzw. Deakti- vierung der Steuerungsfunktion. Schritt S6 kennzeichnet das Ende des oben erläuterten Vorgehens. FIG. 2 shows a flow chart for the procedure according to the invention, which indicates the starting point in step S0. In step S1, a control function is activated. In step S2, a check is performed by the checking function of this control function. It is checked whether there is a release information (release attestation) for the control function. This is the case if there is neither faulty functionality of the control function nor a lack of functionality. Is the result of the examination in order ¬ (see step S3), then in step S4, the control function is activated. Is not the result of the check in order, then in step 6, a revocation information is provided which leads already acti ¬ fourth and operating control function to revoke the activation released. Ultimately, it comes to tempo ¬ Raeren or one-time or permanent blocking or deactivating control function. Step S6 marks the end of the procedure explained above.

Obwohl die Erfindung im Detail durch das bevorzugte Ausführungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele einge- schränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen . Although the invention has been further illustrated and described in detail by the preferred embodiment, the invention is not limited by the disclosed examples, and other variations can be derived therefrom by those skilled in the art without departing from the scope of the invention.

Die Implementierung der vorstehend beschriebenen Prozesse oder Verfahrensabläufe kann anhand von Instruktionen erfol¬ gen, die auf computerlesbaren Speichermedien oder in flüchtigen Computerspeichern (im Folgenden zusammenfassend als computerlesbare Speicher bezeichnet) vorliegen. Computerlesbare Speicher sind beispielsweise flüchtige Speicher wie Caches, Puffer oder RAM sowie nichtflüchtige Speicher wie Wechselda¬ tenträger, Festplatten, usw. Die vorstehend beschriebenen Funktionen oder Schritte können dabei in Form zumindest eines Instruktionssatzes in/auf einem computerlesbaren Speicher vorliegen. Die Funktionen oder Schritte sind dabei nicht an einen bestimmten Instruktions¬ satz oder an eine bestimmte Form von Instruktionssätzen oder an ein bestimmtes Speichermedium oder an einen bestimmtenThe implementation of the processes and procedures described above may be based on instructions SUC ¬ gen, which (collectively referred to as computer readable storage) on computer readable storage media or in volatile computer memories. computer readable Memory is, for example, volatile memory such as caches, buffers or RAM and non-volatile memory such as Wechselda ¬ tenträger, hard disks, etc. The functions or steps described above may be in the form of at least one instruction set in / on a computer-readable memory. The functions or steps are not specific to a particular instruction ¬ set or to a particular form of instruction sets, or to a particular storage medium or to a

Prozessor oder an bestimmte Ausführungsschemata gebunden und können durch Software, Firmware, Microcode, Hardware, Prozes¬ soren, integrierte Schaltungen usw. im Alleinbetrieb oder in beliebiger Kombination ausgeführt werden. Dabei können ver- schiedenste Verarbeitungsstrategien zum Einsatz kommen, beispielsweise serielle Verarbeitung durch einen einzelnen Prozessor oder Multiprocessing oder Multitasking oder Parallelverarbeitung usw. Die Instruktionen können in lokalen Speichern abgelegt sein, es ist aber auch möglich, die Instruktionen auf einem entfernten System abzulegen und darauf via Netzwerk zuzugreifen. Processor or bound to specific execution schemes and can be performed by software, firmware, microcode, hardware, Prozes ¬ sensors, integrated circuits, etc. in stand-alone mode or in any combination. Various processing strategies can be used, for example serial processing by a single processor or multiprocessing or multitasking or parallel processing, etc. The instructions can be stored in local memories, but it is also possible to store the instructions on a remote system and then via Network access.

Der Begriff "Prozessor", "zentrale Signalverarbeitung", The term "processor", "central signal processing",

"Steuereinheit" oder "Datenauswertemittel " , wie hier verwen¬ det, umfasst Verarbeitungsmittel im weitesten Sinne, also beispielsweise Server, Universalprozessoren, Grafikprozesso¬ ren, digitale Signalprozessoren, anwendungsspezifische inte¬ grierte Schaltungen (ASICs) , programmierbare Logikschaltungen wie FPGAs, diskrete analoge oder digitale Schaltungen und be¬ liebige Kombinationen davon, einschließlich aller anderen dem Fachmann bekannten oder in Zukunft entwickelten Verarbeitungsmittel. Prozessoren können dabei aus einer oder mehreren Vorrichtungen bzw. Einrichtungen bzw. Einheiten bestehen. Be- steht ein Prozessor aus mehreren Vorrichtungen, können diese zur parallelen oder sequentiellen Verarbeitung bzw. Ausführung von Instruktionen ausgelegt bzw. konfiguriert sein. "Control unit" or "data evaluation means" as here USAGE ¬ det, processing means includes in the broad sense, that is, for example, servers, general purpose processors, Grafikprozesso ¬ ren, digital signal processors, application specific inte ¬ grated circuits (ASICs), programmable logic circuits, such as FPGAs, discrete analog or digital circuits and be ¬ undesirables combinations thereof, and any other processing means known in the art or developed in the future. Processors can consist of one or more devices or devices or units. If a processor consists of several devices, these can be designed or configured for the parallel or sequential processing or execution of instructions.

Claims

Patentansprüche claims 1. System aufweisend: 1. System comprising: - eine Netzwerkinfrastruktur (5G) mit wenigstens einer an diese koppelbaren Steuerungsfunktion (CRS) , welche a network infrastructure (5G) with at least one control function (CRS) which can be coupled to it Steuerinformationen mit mindestens einem Gerät (V, R, TD austauschen kann, Can exchange control information with at least one device (V, R, TD, - gekennzeichnet durch wenigstens eine mit der Netzwerk¬ infrastruktur koppelbare Überprüfungsfunktion (CRT, CRO) zur Überprüfung der Funktionsfähigkeit der Steue¬ rungsfunktion, wobei - characterized by at least one of be coupled to the network infrastructure ¬ check function (CRT, CRO) to check the operability of the Steue ¬ approximate function, wherein - die Überprüfungsfunktion zumindest eine Freigabefunktion aufweist, die dazu ausgelegt ist, im Falle eines von der Überprüfungsfunktion erkannten Fehlens der Funkti- onsfähigkeit und/oder einer fehlerhaften Funktionsfä¬ higkeit eine Widerrufsinformation bereitzustellen, welche zu einem Widerruf einer Freigabe einer Aktivierung und/oder einer Ausführung der Steuerungsfunktion führt. - the verification function comprises at least one release function, which is adapted onsfähigkeit in case of a detected from the check function absence of functional and / or provide a revocation information of a faulty Funktionsfä ¬ capability which a revocation of a release of an activation and / or an execution the control function leads. 2. System nach dem vorhergehenden Anspruch, gekennzeichnet durch ein mit der Netzwerk-Infrastruktur in Verbindung stehendes und mit der Steuerungsfunktion steuerbares Test¬ gerät (TD) , welches dazu ausgelegt ist, die Funktionsfä¬ higkeit des mindestens einen Gerätes zu überwachen und diese der Netzwerk-Infrastruktur für die Steuerungsfunktion zu attestieren. 2. System according to the preceding claim, characterized by an associated with the network infrastructure and controllable with the control function test ¬ device (TD), which is designed to monitor the Funktionsfä ¬ ability of at least one device and this network Infrastructure for the control function. 3. System nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Widerrufsinformation dann bereit- gestellt werden kann, wenn eine kryptographisch schützbare3. System according to any one of the preceding claims, characterized in that the revocation information can then be provided if a cryptographically protectable Sperrinformation vorliegt oder eine erwartete kryptogra¬ phisch schützbare Freigabeinformation ausbleibt. Block information is present or fails an expected crypto ¬ phically protectable release information. 4. System nach dem vorhergehenden Anspruch, dadurch gekenn- zeichnet, dass die Freigabe- und/oder Sperrinformation vorgebbar oder durch die Überprüfungsfunktion ermittelbar ist . 4. System according to the preceding claim, characterized in that the release and / or lock information can be predetermined or determined by the verification function. 5. System nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Überprüfung der Funktionsfähigkeit der Steuerungsfunktion eine kryptographisch 5. System according to any one of the preceding claims, characterized in that the checking of the functionality of the control function is a cryptographic schützbare Integritätsprüfung umfasst.  includes a protectable integrity check. 6. System nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eine Cloudverarbeitungsstelle inner¬ halb der Netzwerkinfrastruktur angeordnet und dazu ausge¬ bildet ist, die von der Steuerungsfunktion angewiesenen Arbeitsschritte des mindestens einen Gerätes zu verarbei¬ ten und/oder anzuhalten und/oder zu beenden, wobei die Cloudverarbeitungsstelle die von der Freigabefunktion be¬ reitgestellte und von der Steuerungsfunktion weitergelei¬ tete Widerrufsinformation erhält. 6. System according to any one of the preceding claims, characterized in that a cloud processing center is arranged within ¬ half of the network infrastructure and ¬ is designed to process the instructed by the control function steps of at least one device to ¬ and / or stop and / or quit taking the cloud data controller receives the be of the release function ¬ riding Asked and weitergelei ¬ ended by the control function revocation information. 7. Einrichtung zur Überprüfung der Funktionsfähigkeit einer Steuerungsfunktion aufweisend wenigstens eine Überprü¬ fungsfunktion (CRT, CRO) zur Überprüfung der Funktionsfähigkeit, wobei diese mit einer Netzwerkinfrastruktur (5G) koppel bar ist, an welche wenigstens eine Steuerungsfunk¬ tion (CRS) zur Steuerung von mindestens einem Gerät (V, R, TD) koppel bar ist, und zumindest eine Freigabefunktion, die dazu ausgelegt ist, im Falle eines von der Überprü¬ fungsfunktion erkannten Fehlens der Funktionsfähigkeit und/oder fehlerhaften Funktionsfähigkeit, eine 7. Device for checking the functionality of a control function having at least one check function ¬ (CRT, CRO) for checking the operability, which is coupled to a network infrastructure (5G) bar to which at least one control radio ¬ tion (CRS) for controlling at least one device (V, R, TD) is couplable bar, and at least one release function, which is designed, in the case of a recognized by the check ¬ tion function lack of functionality and / or faulty functionality, a Widerrufsinformation bereitzustellen, welche zu einem Widerruf einer Freigabe einer Aktivierung und/oder einer Ausführung der Steuerungsfunktion führt.  Provide revocation information which results in revoking a release of activation and / or execution of the control function. 8. Einrichtung nach dem vorhergehenden Anspruch, dadurch gekennzeichnet, dass die Widerrufsinformation dann bereitge¬ stellt werden kann, wenn eine kryptographisch schützbare Sperrinformation vorliegt oder eine erwartete kryptogra¬ phisch schützbare Freigabeinformation ausbleibt. 8. Device according to the preceding claim, characterized in that the revocation information can then bereitge ¬ provides, if a cryptographically protectable blocking information is present or an expected crypto ¬ phically protectable release information is missing. 9. Einrichtung nach einem der vorhergehenden Einrichtungsansprüche, dadurch gekennzeichnet, dass die Überprüfung der Funktionsfähigkeit der Steuerungsfunktion eine kryptogra- phisch schützbare Integritätsprüfung umfasst. 9. Device according to one of the preceding device claims, characterized in that the verification of the functionality of the control function comprises a cryptographically protectable integrity check. 10. Einrichtung nach einem der vorhergehenden Ansprüche, da durch gekennzeichnet, dass die Einrichtung über die Netz¬ werkinfrastruktur mit einer Cloudverarbeitungsstelle in Verbindung steht, die von der Steuerungsfunktion angewiesenen Arbeitsschritte des mindestens einen Gerätes verar¬ beiten und/oder anhalten und/oder beenden kann, wobei die Cloudverarbeitungsstelle die von der Freigabefunktion be¬ reitgestellte und von der Steuerungsfunktion weitergelei¬ tete Widerrufsinformation erhält. 10. Device according to one of the preceding claims, characterized in that the device is connected via the network ¬ werkinfrastruktur with a cloud processing center in the process of the control function instructed operations of the at least one device verar ¬ work and / or pause and / or terminate wherein the cloud processing site receives the BE of the enable function ¬ riding asked and weitergelei ¬ ended by the control function revocation information. 11. Verfahren zum Betrieb des Systems nach einem der vorher stehenden Systemansprüche, welches 11. A method of operating the system according to one of the preceding system claims, which eine Netzwerkinfrastruktur (5G) mit wenigstens einer Steuerungsfunktion (CR) , welche Steuerinformationen mit mindestens einem Gerät (V, R, TD) austauschen kann und wenigstens eine mit der Netzwerkinfrastruktur koppelb are Überprüfungsfunktion aufweist,  a network infrastructure (5G) with at least one control function (CR), which can exchange control information with at least one device (V, R, TD) and has at least one check function that is coupled to the network infrastructure, die die Funktionsfähigkeit der Steuerungsfunktion überprüft,  which checks the functionality of the control function, wobei durch zumindest eine Freigabefunktion der Überprü¬ fungsfunkton im Falle einem von der Überprüfungsfunktion erkannten Fehlen der Funktionsfähigkeit und/oder fehlerhaften Funktionsfähigkeit, eine Widerrufsinformation be¬ reitgestellt wird, welche zu einem Widerruf einer Freigab einer Aktivierung und/oder einer Ausführung der Steuerungsfunktion führt. wherein by at least one release function of the check ¬ fungsfunkton in the case of a recognized by the verification function lack of functionality and / or faulty functionality, a revocation information is provided ¬ , which leads to a revocation of a release of an activation and / or execution of the control function. 12. Verfahren nach dem vorhergehenden Anspruch, dadurch gekennzeichnet, dass ein mit der Netzwerk-Infrastruktur in Verbindung stehendes und mit der Steuerungsfunktion steuerbares Testgerät die Funktionsfähigkeit des mindestens einen Gerätes überwacht und diese der Netzwerk- Infrastruktur für die Steuerungsfunktion attestiert. 12. The method according to the preceding claim, characterized in that a related to the network infrastructure and controllable with the control function test device, the operability of the at least monitors a device and certifies this to the network infrastructure for the control function. 13. Verfahren nach einem der vorhergehenden Verfahrensansprüche, dadurch gekennzeichnet, dass die 13. The method according to any one of the preceding method claims, characterized in that the Widerrufsinformation dann bereitgestellt wird, wenn eine kryptographisch schützbare Sperrinformation vorliegt oder eine erwartete kryptographisch schützbare Freigabeinforma¬ tion ausbleibt. Revocation information is then provided when a cryptographically protectable blocking information is present or an expected cryptographically protectable Freigabeinforma ¬ tion fails. 14. Verfahren nach dem vorhergehenden Anspruch, dadurch gekennzeichnet, dass die Freigabe- und/oder Sperrinformation vorgegeben oder durch die Überprüfungsfunktion ermittelt wird . 14. The method according to the preceding claim, characterized in that the release and / or lock information is predetermined or determined by the verification function. 15. Verfahren nach einem der vorhergehenden Verfahrensansprüche, dadurch gekennzeichnet, dass die Überprüfung der Funktionsfähigkeit der Steuerungsfunktion eine kryptogra¬ phisch schützbare Integritätsprüfung durchführt. 15. The method according to any one of the preceding method claims, characterized in that the verification of the functionality of the control function performs a kryptogra ¬ phically protectable integrity check. 16. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eine Cloudverarbeitungsstelle innerhalb der Netzwerkinfrastruktur angeordnet, die von der Steuerungsfunktion angewiesene Arbeitsschritte des mindestens einen Gerätes verarbeiten und/oder anhalten und/oder beenden kann, wobei die Cloudverarbeitungsstelle die von der Freigabefunktion bereitgestellte und von der Steuerungsfunktion weitergeleitete Widerrufsinformation erhält . 16. The method according to any one of the preceding claims, characterized in that arranged a cloud processing station within the network infrastructure, process the instructed by the control function operations of the at least one device and / or stop and / or terminate, the cloud processing center provided by the release function and receives revocation information forwarded by the control function. 17. Computerprogrammprodukt mit mindestens einem Computer¬ programm, das Mittel zur Durchführung des Verfahrens nach einem der vorstehenden Verfahrensansprüche aufweist, wenn das mindestens ein Computerprogramm verteilt im System nach einem der vorstehenden Systemansprüche zur Ausführung gebracht wird. 17. Computer program product with at least one computer ¬ program having means for carrying out the method according to one of the preceding method claims, when the at least one computer program distributed in the system according to one of the preceding system claims is executed.
PCT/EP2017/082613 2017-02-07 2017-12-13 Network system and method for checking the functional capability of a cloud-based control function Ceased WO2018145798A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017201857.7 2017-02-07
DE102017201857.7A DE102017201857A1 (en) 2017-02-07 2017-02-07 Network system and method for checking the functionality of a cloud-based control function

Publications (1)

Publication Number Publication Date
WO2018145798A1 true WO2018145798A1 (en) 2018-08-16

Family

ID=61024713

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2017/082613 Ceased WO2018145798A1 (en) 2017-02-07 2017-12-13 Network system and method for checking the functional capability of a cloud-based control function

Country Status (2)

Country Link
DE (1) DE102017201857A1 (en)
WO (1) WO2018145798A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111273892A (en) * 2020-02-13 2020-06-12 济南浪潮高新科技投资发展有限公司 Method for realizing intelligent robot based on cloud technology and edge calculation
DE102021203940A1 (en) 2021-04-21 2022-10-27 Robert Bosch Gesellschaft mit beschränkter Haftung Method and apparatus for processing data associated with an electronic device for a vehicle

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010102222A2 (en) * 2009-03-05 2010-09-10 Interdigital Patent Holdings, Inc. METHOD AND APPARATUS FOR H(e)NB INTEGRITY VERIFICATION AND VALIDATION
US20120265976A1 (en) * 2011-04-18 2012-10-18 Bank Of America Corporation Secure Network Cloud Architecture

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010102222A2 (en) * 2009-03-05 2010-09-10 Interdigital Patent Holdings, Inc. METHOD AND APPARATUS FOR H(e)NB INTEGRITY VERIFICATION AND VALIDATION
US20120265976A1 (en) * 2011-04-18 2012-10-18 Bank Of America Corporation Secure Network Cloud Architecture

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
STEFAN BERGER; KENNETH GOLDMAN; DIMITRIOS PENDARAKIS; DAVID SAFFORD; ENRIQUILLO VALDEZ; MIMI ZOHAR; SCALABLE ATTESTATION: "A Step toward Secure and Trusted Clouds", IEEE CLOUD COMPUTING, vol. 2, no. 05, September 2015 (2015-09-01), Retrieved from the Internet <URL:https://www.computer.org/csdl/mags/cd/2015/05/mcd2015050010-abs.html>

Also Published As

Publication number Publication date
DE102017201857A1 (en) 2018-08-09

Similar Documents

Publication Publication Date Title
DE112014005412B4 (en) Program update system and program update method
EP3437012B1 (en) Method, processor and device for checking the integrity of user data
EP3451576B1 (en) System and method for cryptographically protected monitoring of at least one component of a device or assembly
WO2018010949A1 (en) Method for establishing secured communications connections to an industrial automation system and firewall system
EP3582521B1 (en) Device and method for setting up and/or providing a working environment, in particular used in a machine economy environment
DE102018103772A1 (en) Monitoring system for a protective device and protective device
DE102018101479A1 (en) CONTROL INTERFACE FOR AN AUTONOMOUS VEHICLE
DE102017203235A1 (en) Method and system for enabling user access to a server coupled to an embedded system
EP3582033A1 (en) Device and method for securely operating a field device
WO2018145798A1 (en) Network system and method for checking the functional capability of a cloud-based control function
EP2548358A1 (en) Method for dynamically authorizing a mobile communications device
EP3525390A1 (en) Device and method for providing at least one secure cryptographic key for cryptographically protecting data initiated by a control device
EP3526949A1 (en) Method and devices for providing at least one service, in particular in the automotive field
EP3791375A1 (en) Method and device for mutual monitoring and/or control of autonomous technical systems
WO2018007049A1 (en) Method for the secure authentication of control devices in a motor vehicle
EP3401831B1 (en) Device and method for detecting a physical manipulation in an electronic security module
EP3439229A1 (en) Method and devices for achieving a safety function, particularly in the vicinity of a device control and/or system control
DE112019005250T5 (en) Control device, industrial control system and method for extending the validity of encryption keys
DE102019125393A1 (en) Devices, methods and computer programs for a server, an administration system and a vehicle
DE102016120306A1 (en) Method and system for activating at least one operating / parameterizing function of a field device of automation technology
EP3758320A1 (en) Devices and method for testing devices
EP3541009A1 (en) Method and device for ensuring cryptographically secure data transmission between a first electronic device and a second device
WO2023217645A1 (en) Secured access system
WO2017089052A1 (en) Protection apparatus, safety system and protection method
WO2019175086A1 (en) Method and device for cryptographically protected data transmission between a first device and a second device

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17835462

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 17835462

Country of ref document: EP

Kind code of ref document: A1