Verfahren zur gerätabhängigen Bereitstellung von Downloadressourcen

Die Erfindung betrifft ein Verfahren zur gerätabhängigen Bereitstellung von Downloadressourcen.

Im Stand der Technik sind Verfahren bekannt, Software oder Softwareaktualisierungen über eine bestehende Netzwerkverbindung an Geräte aller Art zu übertragen. Im Folgenden wird für Software oder Softwareaktualisierungen der Begriff Downloadressourcen verwendet, welcher sowohl komplette oder modulare Ergänzungen oder Erweiterungen der Software als auch Soft- wareupdates, Firmware Updates oder Updates einer Betriebs ^¬ software des Geräts einschließt.

Angesichts mannigfaltiger technischer Ausprägungen der Geräte selbst oder deren Softwareinstallationen hat es sich als vor- teilhaft erwiesen, Downloadressourcen in Form von Softwarepa ^¬ keten zur Verfügung zu stellen, welche je nach Bedarf zum Download von Softwarepaketquellen oder auch Packet

Repositories zur Verfügung stehen. Allerdings unterliegt auch dieser paketweise Ansatz Einschränkungen, wenn zahlreiche in- dividuelle Varianten von Softwareinstallationen über einen einheitlichen Mechanismus gepflegt werden sollen.

Auch eine oftmals notwendige Einrichtung von Zugriffsrechten auf Packet Repositories erschwert die Pflege der Softwarein- stallation. Eine Bildung von Gruppen von Geräten, welche gleiche Zugriffsrechte Packet Repositories haben, wird mit zunehmender Komplexität der Software erschwert.

Diese Probleme werden weiterhin durch die Tatsache verstärkt, dass die Netzwerkanbindung der Geräte oftmals nicht in der Hoheit desjenigen liegt, der Softwareaktualisierungen einspielen will. Die vorliegende Erfindung ist vor die Aufgabe gestellt, ein Verfahren zur Bereitstellung von Downloadressourcen bereitzustellen, welches eine gerätabhängige - also individuell auf die Geräteigenschaften oder dessen Softwareinstallationen abgestimmte - Ressourcenzusammenstellung unterstützt.

Die Aufgabe wird durch ein Verfahren mit den Merkmalen des Patentanspruchs 1 gelöst.

Gemäß dem erfindungsgemäßen Verfahren ist eine gerätabhängige Bereitstellung von Downloadressourcen mit folgenden Schritten vorgesehen :

a) Das Gerät sendet eine Anforderung an einen durch eine

Netzwerkverbindung abgetrennten Rechner, vorzugsweise einen Server, wobei die Anforderung einen Identifikations ^¬ nachweis des Geräts umfasst;

b) Im Server erfolgt eine Zuordnung von Geräteigenschaften anhand des Identifikationsnachweises. Anschließend er ^¬ folgt eine Zusammenstellung mindestens einer, vorzugswei ^¬ se einer Mehrzahl von Downloadressourcen anhand der Geräteigenschaften. Diese Zusammenstellung erfolgt vorzugs ^¬ weise nach Eingang der Anforderung, also »on demand«, um die Auswahl der Downloadressourcen individuell auf die Geräteigenschaften oder dessen Softwareinstallationen abzustimmen. Anschließend erfolgt serverseitig eine Ein ^¬ richtung mindestens einer, vorzugsweise einer Mehrzahl von Ressourcenadressen bzw. URL (Uniform Ressource Loca- tor) , an der die Auswahl der Downloadressourcen zum Download bereitgestellt werden;

c) Schließlich wird eine die Anforderung beantwortende Ant ^¬ wortnachricht an das Gerät gesendet, welche die mindes ^¬ tens eine Ressourcenadresse zum Bezug der mindestens ei ^¬ nen Downloadressource enthält.

Im Gegensatz zu bekannten Verfahren sieht das erfindungsgemäße Verfahren keine öffentliche Bereitstellung der Download ^¬ ressourcen vor. Das erfindungsgemäße Verfahren erfordert eine Anforderung durch das Gerät unter Angabe eines Identifikationsnachweises, wobei nach Prüfung des Identifikations ^¬ nachweises und damit zusammenhängenden Berechtigungen individuelle Ressourcenadressen zum Bezug der Downloadressourcen serverseitig mitgeteilt werden. Diese Maßnahme ermöglicht in vorteilhafter Weise eine serverseitige Hoheit auf einen Zugriff der Downloadressourcen, durch welche beispielsweise Zugriffsberechtigungen auf die Downloadressourcen ohne Beteiligung des Geräts entzogen werden können.

Um unberechtigte Anforderungen auszuschließen, ist erfindungsgemäß ein Identifikationsnachweis erforderlich. Der Identifikationsnachweis ist im einfachsten Fall eine auf Seiten des Servers und auf Seiten des Geräts bekannte Identifi- kationsnummer oder Seriennummer. Die erfindungsgemäße Sicherungsmaßnahme, dass für einen Zugriff auf Downloadressourcen ein Identifikationsnachweis des Geräts im Zuge der Anfrage erforderlich ist, kann durch Sicherungsmaßnahmen gemäß vorteilhafter Weiterbildungen der Erfindung ausgebaut werden.

Ein weiterer Vorteil des erfindungsgemäßen Verfahrens besteht darin, dass gerätseitig eine einheitliche Konfiguration zum Bezug von Downloadressourcen ermöglicht wird. Mit Ausnahme eines gerätindividuellen Identifikationsnachweises oder weni- ger kryptographischer Parameter gemäß vorteilhafter Weiterbildungen der Erfindung sind weitere Konfigurationsparameter - beispielsweise eine Serveradresse zur Entgegennahme der Anforderung usw. - verschiedener Geräte identisch. Die Aufgabe wird weiterhin durch ein Rechnersystem zur gerätabhängigen Bereitstellung von Downloadressourcen sowie durch ein Computerprogrammprodukt zur Abarbeitung des erfindungsgemäßen Verfahrens gelöst. Das Computerprogramm wird in einem Prozessor abgearbeitet, welcher mit der Abarbeitung das Ver- fahren ausführt.

Weitere Ausgestaltungen und Weiterbildungen der Erfindung sind Gegenstand abhängiger Patentansprüche. Um unberechtigte Anforderungen auszuschließen ist gemäß einer Ausgestaltung der Erfindung vorgesehen, dass die mit einem Identifikationsnachweis einhergehende Anforderung des Geräts signiert erfolgt, also die zur Anfrage verwendete URL (Uni ^¬ form Ressource Locator) seitens des Geräts signiert wird. Die Signatur der Anfrage-URL ist ein verschlüsseltes Abbild der URL selbst und wird als Bestandteil der URL an den Server mit übertragen .

Hierzu wird der URL ein Merkmal mitgegeben, an dessen Fehlen oder Veränderung der Empfänger der URL, also der Server, eindeutig erkennen kann, dass die URL keinem bekannten Gerät zugordnet werden kann oder aber nicht mehr dem Original ent- spricht.

Die URL einer solchen signierten Anfrage enthält hierzu bei ^¬ spielsweise einen kryptographischen Hash-Wert. Der kryptogra- phische Hash-Wert wird auch als Nachrichtenauthentifizie- rungscode bezeichnet, welcher in der Fachwelt auch als Messa ^¬ ge Authentication Code bzw. MAC bekannt ist.

Der Nachrichtenauthentifizierungscode wird unter Verwendung eines symmetrischen geheimen Schlüssels oder eines asymmetri- sehen Schlüsselpaars gebildet. Gemäß einer Ausgestaltung der Erfindung wird als symmetrischer Schlüssel ein Identifikati ^¬ onsnachweis - beispielsweise in Form einer Identifikations ^¬ nummer - des Geräts verwendet, welcher auch auf Seiten des Servers hinterlegt ist.

Der Server kann diese Signatur entschlüsseln und mit der übertragenen URL vergleichen. Nur wenn die übertragene URL mit der Signatur übereinstimmt, führt der Server die Anforderung aus. Würde ein nicht autorisiertes Gerät Klartext- Bestandteile der URL ändern, stimmt die Signatur nicht mehr mit der URL überein. Der Server würde eine solche Anforderung unter Verwendung der geänderten URL abweisen. Die URL der Anfrage enthält optional oder zusätzlich ein digitales Zertifi- kat . In diesem Fall ist die Anfrage nur gültig, wenn diese ein gültiges Zertifikat oder ein Verweis auf ein gültiges Zertifikat enthält. Gemäß einer weiteren alternativen Ausgestaltung der Erfindung vorgesehen, dass die Anforderung durch Empfang einer nicht notwendigerweise signierten URL über eine für das Gerät vorbehaltenen URL erfolgt. Dies bedeutet, dass jedem Gerät eine individuelle URL zugeordnet wird, an die das jeweilige Gerät die Anforderung zu senden hat. Die Kenntnis dieser individuellen URL dient einem alternativen Identifikationsnachweis. Diese Ausgestaltung ist zwar weniger sicher als die oben erläuterte Ausgestaltung, benötigt aber weniger Rechenleistung zur Durchführung kryptographischer Operationen auf Seiten des Servers und vor allem auf Seiten des - ohnehin oftmals ressourcenbeschränkten - Geräts.

Obgleich nach einem geräteseitigen Empfang der Antwortnachricht, welche erfindungsgemäß die mindestens eine Ressourcen- adresse zum Bezug der mindestens einen Downloadressource ent ^¬ hält, der weitere Download mit fachmännisch üblichen Mitteln unter Abruf der Downloadressourcen auf den nun bekannten Ressourcenadressen erfolgen könnte, kann auch der Download zusätzlich, gemäß der im Folgenden erläuterten Weiterbildungen der Erfindung, gesichert werden.

Gemäß einer vorteilhaften Weiterbildung ist ein Empfang einer gerätseitig gesendeten Download-Anforderung auf Seiten eines durch die Ressourcenadresse bezeichneten zweiten Servers vor- gesehen, wobei die Download-Anforderung den Identifikationsnachweis umfasst. Nach Prüfung des Identifikationsnachweises erfolgt eine Übertragung der der mindestens einen Ressourcenadresse zugeordneten mindestens einen Downloadressource an das Gerät.

Die seitens des ersten Servers durchzuführende Zusammenstel ^¬ lung mindestens einer Downloadressource anhand der Gerätei ^¬ genschaften und Einrichtung mindestens einer Ressourcenadres- se zum Download der mindestens einen Downloadressource erfol ^¬ gen in dieser Ausgestaltung der Erfindung mit Einbeziehung des zweiten Servers. Der durch die Ressourcenadresse bezeichnete zweite Server stimmt dabei nicht notwendigerweise mit dem ersten Server überein, welcher die Anforderung erhalten hat. Für Zwecke eines Lastausgleichs bietet sich in vorteilhafter Weise an, die Aufgabe des ersten Servers - nämlich die Zuordnung von Gerät- eigenschaften, Zusammenstellung von Downloadressourcen und Einrichtung der Ressourcenadresse - von denen des zweiten Servers, welcher aus Dateiserver agiert, zu trennen. Sollte dieser Bedarf eines Lastausgleichs in der Netzwerkauslegung eine geringere Rolle gegenüber einer erhöhten Komplexität in der Unterhaltung zweier Server spielen, können die Aufgaben des ersten und des zweiten Servers auch durch einen einzigen ersten Server übernommen werden.

Im Rahmen einer im Zuge des Lastausgleichs vorteilhaften Auf- gabenteilung auf mehrere Server ist es im Übrigen auch vorteilhaft, mehrere zweite Server vorzusehen, um einen Lastausgleich beim Download unterschiedlicher Downloadressourcen von mehreren zweiten Servern zu erzielen. Netzwerktechnisch ist dies mit den Mitteln der Erfindung sowie deren Ausgestaltun- gen ohne weiteres zu bewerkstelligen, da die Ressourcenadresse bzw. URL auch die Serveradresse umfasst und somit beliebige im Netzwerk angeordnete Server adressieren kann.

Im Folgenden werden weitere Ausführungsbeispiele und Vorteile der Erfindung anhand der Zeichnung näher erläutert. Dabei zeigt die einzige FIG ein chronologisches Ablaufbild mit ei ^¬ ner schematischen Darstellung eines Austauschs von Steuer ^¬ nachrichten zwischen einem Gerät CL, einem ersten Server Sl und einem zweiten Server S2.

Das Gerät CL sowie die Server Sl, S2 teilen eine gemeinsame zumindest vorübergehend eingerichtete drahtlose oder drahtgebundene - nicht dargestellte - Netzwerkverbindung, über die im Folgenden erläuterte Steuernachrichten

101,103,105,107,109,1H ausgetauscht werden.

Vertikale Zeitstrahlen sind in dieser Reihenfolge dem Gerät CL, dem ersten Server Sl und dem zweiten Server S2 zugeordnet. Die mit einem Richtungspfeil t gerichteten Zeitstrahlen verlaufen von oben nach unten, so dass spätere Zeitpunkte weiter unten liegen als frühere Zeitpunkte. Das Verfahren beginnt mit dem Empfang einer Anforderung 101 des Gerät CL am ersten Server Sl. Die Anforderung 101 enthält einen Identifikationsnachweis des Geräts. Der Identifikati ^¬ onsnachweis ist im einfachsten Fall eine auf Seiten des ers ^¬ ten Servers Sl und auf Seiten des Geräts CL bekannte Identi- fikationsnummer oder Seriennummer. Der erste Server Sl übermittelt diesen Identifikationsnummer bei Bedarf auch an den zweiten Server S2, um im weiteren Verlauf des Verfahrens eine Autorisierung des Geräts CL durch den zweiten Server S2 zu ermöglichen .

Seitens des ersten Servers Sl erfolgt eine Zuordnung von Ge ^¬ räteigenschaften anhand des Identifikationsnachweises. Hierunter ist zu verstehen, dass im ersten Server anhand des Identifikationsnachweises des Geräts Daten vorgehalten sind, welche einen Gerätetyp und einen aktuellen Installationszu ^¬ stand des Geräts CL abbilden und anhand der gespeicherten Daten ein Bedarf an Downloadressourcen abgeleitet wird.

Die einfache Sicherungsmaßnahme, wonach für einen Zugriff auf Downloadressourcen ein Identifikationsnachweis des Geräts im Zuge der Anfrage erforderlich ist, welcher mit einem im ersten Server Sl vorgehaltenen Identifikationsnachweis verglichen werden kann, wird durch vorteilhafte Sicherungsmaßnahmen ausgebaut. Hierzu ist vorgesehen, dass die mit einem Identi- fikationsnachweis einhergehende Anforderung 101 des Geräts CL signiert erfolgt, also die zur Anfrage 101 verwendete URL (Uniform Ressource Locator) seitens des Geräts CL signiert wird. Die Signatur der Anfrage-URL ist ein verschlüsseltes Abbild der URL selbst und wird als Bestandteil der URL an den Server Sl mit übertragen.

Die URL der signierten Anfrage 101 enthält im vorliegenden Ausführungsbeispiel einen kryptographischen Hash-Wert. Der kryptographische Hash-Wert oder Nachrichtenauthentifizie- rungscode bzw. Message Authentication Code bzw. MAC wird vorzugsweise gemäß einem der folgenden Verfahren gebildet: - CBC-MAC unter Verwendung einer bekannten Blockchiffre

(z.B. DES, 3DES, AES, IDEA) ;

- HMAC unter Verwendung einer bekannten Hash-Funktion

(z.B. MD5 , SHA-1, RIPEMD, RIPEMD160 ) , die auch als HMAC- MDS, HMAC-SHAI , HMAC-RI PEMD, HMAC-RIPEMD160 bezeichnet werden;

- HMAC unter Verwendung einer bekannten Hash-Funktion mit gekürzter Ausgabe (z.B. HMAC-MD5- 80 , HMAC-SHAl-80, HMAC- RI PEMD- 80 , HMACRI PEMD 160-80 bei auf 80 Bit gekürzter Ausgabe) ;

- MAA;

- RIPE-MAC; und/oder

- MD5-MAC.

Der Nachrichtenauthentifizierungscode wird unter Verwendung eines symmetrischen geheimen Schlüssels oder eines asymmetrischen Schlüsselpaars gebildet. Als symmetrischer Schlüssel wird beispielsweise der Identifikationsnachweis - beispiels ^¬ weise in Form einer Seriennummer oder Identifikationsnummer - des Geräts CL verwendet, welcher auch auf Seiten des Servers Sl hinterlegt ist.

Der Server Sl kann diese Signatur entschlüsseln und verifi ^¬ zieren und mit der übertragenen URL vergleichen. Nur wenn die übertragene URL der Anfrage 101 mit der Signatur überein- stimmt, führt der erste Server Sl die Anforderung aus. Die

URL der Anfrage enthält optional oder zusätzlich ein digita ^¬ les Zertifikat. In diesem Fall ist die Anfrage nur gültig, wenn diese ein gültiges Zertifikat oder ein Verweis auf ein gültiges Zertifikat enthält.

Für das in der Zeichnung gezeigte Ausführungsbeispiel eines Auseinanderfallens des ersten Servers Sl und des zweiten Ser ^¬ vers S2 erfolgt die Zusammenstellung der Downloadressourcen durch den ersten Server Sl in Abstimmung mit dem zweiten Server S2 in Form einer oder mehrerer vom ersten Server Sl an den zweiten Server S2 gesendeter Anforderungsnachrichten 105 sowie die eine oder mehrere Anforderungsnachrichten 105 be ^¬ antwortende Bestätigungsnachrichten 107, welche vom zweiten Server S2 an den ersten Server Sl gesendet werden. In der Zeichnung sind diese Anforderungsnachrichten 105 sowie Anforderungsnachrichten 107 zeitlich nach der Anforderung 101 so- wie einer die Anforderung beantwortenden Antwortnachricht 103 an das Gerät CL gezeichnet. Diese zeitliche Vorgabe ist al ^¬ lerdings nur beispielhaft zu verstehen. Stattdessen kann der Austausch der Anforderungsnachrichten 105 und der Bestätigungsnachrichten 107 auch in unmittelbarer zeitlichen Nähe nach Empfang der Anforderung 101 sowie vor oder auch zeitlich überlappend nach oder während des Sendens der Antwortnachricht 103 erfolgen.

Außerdem erfolgt durch den ersten Server Sl eine Einrichtung mindestens einer Ressourcenadresse am zweiten Server S2 zum Download der mindestens einen Downloadressource. Diese Ein ^¬ richtung der Ressourcenadresse durch den ersten Server Sl erfolgt ebenfalls in Abstimmung mit dem zweiten Server S2 in Form einer oder mehrerer vom ersten Server Sl an den zweiten Server S2 gesendeter Anforderungsnachrichten 105 sowie die eine oder mehrere Anforderungsnachrichten 105 beantwortende Bestätigungsnachrichten 107.

Der Server Sl greift nun auf eine - nicht dargestell- ten - Datenbank zu, um eine Zusammenstellung mindestens ei ^¬ ner, vorzugsweise einer Mehrzahl von Downloadressourcen anhand der Geräteigenschaften zusammenzustellen. Diese Zusammenstellung erfolgt vorzugsweise nach Eingang der Anforderung und eigens auf die Geräteigenschaften anhand des Identifikationsnachweises zugeschnitten, um die Auswahl der Downloadressourcen individuell auf die Eigenschaften des Geräts CL oder dessen individuelle Softwareinstallation abzustimmen. Anschließend erfolgt serverseitig eine Einrichtung mindestens einer, vorzugsweise einer Mehrzahl von Ressourcenadressen bzw. URL, an der die Auswahl der Downloadressourcen zum Download bereitgestellt werden. Im vorliegenden Ausführungsbeispiel werden diese Ressourcenadressen am zweiten Server S2 in Abstimmung mit dem ersten Server unter Beteiligung der oben erläuterten der Anforderungsnachrichten 105 und der Bestätigungsnachrichten 107 eingerichtet.

Anschließend sendet der erste Server Sl eine die Anforderung 101 beantwortende Antwortnachricht 103 an das Gerät CL, wobei die Antwortnachricht 103 die mindestens eine Ressourcenadres ^¬ se zum Bezug der mindestens einen Downloadressource enthält.

Schließlich wird vom Gerät CL eine Download-Anforderung 109 an eine der zuvor mitgeteilten Ressourcenadressen des zweiten Server S2 gesendet. Die am zweiten Server S2 empfange Download-Anforderung 109 enthält ebenfalls einen Identifikationsnachweis des Geräts CL . Anschließend erfolgt eine Übertragung 111 der dieser Ressourcenadresse zugeordneten Downloadres- source an das Gerät CL .

Die Download-Anforderung 109 sowie Übertragung III werden sequentiell oder parallel mehrfach entsprechend der Anzahl an Downloadressourcen bzw. Ressourcenadressen durchgeführt.

Gemäß einer im Folgenden erläuterten alternativen Ausführungsform der Erfindung kann von einem Austausch von Anforderungsnachrichten 105 sowie Anforderungsnachrichten 107 zwischen den Servern Sl, S2 verzichtet werden.

Diese Ausführungsform ist dadurch gekennzeichnet, dass die Einrichtung der Ressourcenadressen am zweiten Server S2 seitens des ersten Servers Sl über eine modifizierte Antwort- nachricht 103 erfolgt, welche das Gerät CL empfängt und ver ^¬ arbeitet. Nach Verarbeitung der modifizierten Antwortnachricht 103 im Gerät CL wird von diesem eine modifizierte Down ^¬ load-Anforderung 109 an den zweiten Server S2 gesendet, wel- che eine Autorisierung für die Download-Anforderung 109 übergibt. Die vom ersten Server Sl gesendete modifizierte Ant ^¬ wortnachricht 103 enthält hierzu in einem sogenannten Query- Teil der für die Übertragung der Antwortnachricht 103 verwendeten URL Informationen zur Autorisierung des Geräts CL, wel- che vom Gerät CL an den zweiten Server S2 in Form der modifizierten Download-Anforderung 109 weitergegeben wird. Der zweite Server S2 prüft dann anhand der für die modifizierte Download-Anforderung 109 übergebenen URL die Autorisierung des Geräts CL .

In dieser Ausführungsform entfällt somit die direkte Abstimmung über Anforderungsnachrichten 105 und Bestätigungsnachrichten 107 zwischen dem ersten und dem zweiten Server S1,S2, was insbesondere dann eine Entlastung bedeutet, wenn der zweite Server S2 als Serverfarm oder so genanntes Content Delivery Network ausgelegt ist.

Die für oben für die Anforderung 101 erläuterten Maßnahmen einer zusätzlichen Sicherung, nämlich Signierung der Nach- rieht oder Übertragung eines Zertifikats in der URL finden auch für die modifizierte Antwortnachricht 103 sowie für die modifizierte Download-Anforderung 109 Anwendung.

Darüber hinaus ist gemäß einer weiteren Ausführungsform vor- gesehen, dass neben der Autorisierung auch eine zeitliche Gültigkeit der Autorisierung, eine Art der Autorisierung, etc. übermittelt wird. Diese vorgenannten Informationen werden vorzugsweise zusammen mit der Signatur im Query Teil der URL der modifizierten Antwortnachricht 103 sowie der modifi- zierten Download-Anforderung 109 übertragen.

Das in der Zeichnung gezeigte Ausführungsbeispiel eines

Auseinanderfallens des ersten Servers Sl und des zweiten Ser- vers S2 kann auch durch ein alternatives - nicht dargestell ^¬ tes - Ausführungsbeispiel ersetzt werden, bei dem das Gerät CL unter Wegfall des zweiten Servers S2 lediglich mit dem ersten Server Sl kommuniziert, wobei die Anforderungsnach- richten 105 und die Bestätigungsnachrichten 107 dann als in ^¬ terne Steuernachrichten innerhalb des ersten Servers Sl zu verstehen sind. Der erste Server Sl übernimmt dann alle Auf ^¬ gaben der in der Zeichnung dargestellten beiden Server Sl, S2, nämlich die Zuordnung von Geräteigenschaften, Zusammen- Stellung von Downloadressourcen, Einrichtung der Ressourcenadressen und agiert als Dateiserver.