在人员运送设备的控制装置与移动设备之间建立受保护的数据通信连接

技术领域

本发明涉及一种方法，借助于该方法可以在人员运送设备的控制装置和移动设备之间建立受保护的数据通信连接。本发明还涉及被配置为执行或控制该方法的装置和计算机程序产品，以及具有在其上存储的这种计算机程序产品的计算机可读介质。

背景技术

诸如电梯、自动人行道或自动扶梯的人员运送设备用于在建筑物或建筑内输送人员并且为了该目的而被牢固地安装。在此，人员运送设备具有各种静止部件和可移位部件，它们的运行大多由控制装置来控制和/或协调。例如，电梯的控制装置控制驱动机必须以何种方式工作以响应于呼梯请求将电梯轿厢移动到特定楼层。在自动人行道或自动扶梯中，控制装置尤其能够控制驱动机的运行，以便例如满足随时间变化的运行要求。

在此，控制装置必须满足较高的安全性要求。例如，必须确保控制装置总是控制人员运送设备的运行，使得不会危害到任何乘客和/或人员运送设备的完整性。在此，也必须确保，控制装置本身不允许未经授权地操纵。

例如，在已经存在且运行的人员运送设备的维护措施或修理措施的范围内，或者在投入运行之前为了委托人员运送设备可能需要将数据输入到人员运送设备的控制装置中和/或从控制装置中读取数据。例如，可能需要将更新的运行参数和/或控制参数输入到控制装置中和/或读取存储在控制装置中的参数。还可能需要更新控制装置的软件，特别是更新固件。然而，在此特别地必须确保，仅允许从授权侧改变控制装置中的数据。从控制装置读取数据也应当仅能够根据先前的授权来进行。

传统上，人员运送设备的控制装置具有其自身的人机接口，例如显示器和多个输入键，通过显示器和多个输入键能够由技术人员手动输入和读取数据。然而，这可能是非常费力和/或复杂的，使得为此所需的时间耗费可能是显著的，并且在此出现错误的风险可能较高。

替代地，已经开发了可以借助移动设备将数据传输到人员运送设备上的控制装置或从控制装置中读取数据的方法。在此，移动设备可以是便携设备，例如智能电话、笔记本电脑、平板电脑或具有自身的处理器、自身的数据存储器和自身的人机接口的类似物。移动设备可以经由有线的或无线的数据通信连接与控制装置通信。

为了在此确保仅能够从授权侧输入或读取数据，例如可以要求操作移动设备的技术人员必须事先授权，方式为，例如技术人员输入密码或PIN。此外必须保证，数据传输也通过数据通信连接安全地进行并且不能操纵或窃听数据。

然而，已经认识到，在人员运送设备的控制装置与移动设备之间建立受保护的数据通信连接所必须投入的耗费可能是显著的。

发明内容

首要地会存在对某种方法的需求，借助于该方法可以相对简单、安全和/或以较少的逻辑耗费来建立人员运送设备的控制装置与移动设备之间的受保护的数据通信连接。此外，可能存在对可用于维护人员运送设备的设备结构或布置方式以及对人员运送设备的配置成执行或控制这种方法的控制装置的需求。此外，可能存在对相应的计算机程序产品以及存储这样的计算机程序产品的计算机可读介质的需求。

这种需求可以通过根据独立权利要求之一的技术方案来满足。有利的实施方式在从属权利要求以及以下描述中限定。

根据本发明的第一方面，提出一种用于在人员运送设备的控制装置与移动设备之间建立受保护的数据通信连接的方法。在此，控制装置和移动设备均被配置为，在彼此之间建立首先未受保护的数据通信连接以及分别与通用的外部计算机建立受保护的数据通信连接。该方法至少包括以下方法步骤，优选地但不必以给出的顺序：

在控制装置和移动设备之间建立未受保护的数据通信连接；

在控制装置和通用的外部计算机之间建立受保护的第一数据通信连接，以及在移动设备和通用的外部计算机之间建立受保护的第二数据通信连接；

经由未受保护的数据通信连接在控制装置与移动设备之间传输令牌；

由控制装置经由受保护的第一数据通信连接向通用的外部计算机传输令牌，并且由移动设备经由受保护的第二数据通信连接向通用的外部计算机传输令牌；

在通用的外部计算机中生成各自包括公钥和私钥的第一密钥对和第二密钥对；

由通用的外部计算机至少将第一密钥对的私钥和第二密钥对的公钥传输到控制装置上，并且由通用的外部计算机至少将第二密钥对的私钥和第一密钥对的公钥传输到移动设备上；和

通过在使用密钥对的情况下加密待传输的数据，将控制装置和移动设备之间的未受保护的数据通信连接转换为受保护的数据通信连接。

根据本发明的第二方面，提出一种用于维护人员运送设备的设备结构。该设备结构包括人员运送设备的控制装置、移动设备以及通用的外部计算机。在此，设备结构被配置为实施或控制根据本发明的第一方面的实施方式的方法。

根据本发明的第三方面，提出一种人员运送设备的控制装置，该控制装置被配置为，在与移动设备和通用外部计算机协作下，执行或控制根据本发明的第一方面的实施方式的方法。

根据本发明的第四方面，提出一种具有计算机可读指令的计算机程序产品，该计算机可读指令在根据本发明的第二方面的实施方式的设备结构中的一个或多个处理器上执行时，被引导实施或控制根据本发明的第一方面的实施方式的方法。

根据本发明的第五方面，提出一种具有计算机可读指令的计算机程序产品，计算机可读指令在根据本发明的第三方面的实施方式的控制装置中的一个或多个处理器上执行时，被引导用以：在与移动设备和通用的外部计算机协作下，执行或控制根据本发明的第一方面的实施方式的方法。

根据本发明的第六方面，提出一种计算机可读介质，该计算机可读介质具有根据本发明的第四方面或第五方面的实施方式的存储在其上的计算机程序产品。

本发明的实施方式的可行的特征和优点可以认为基于以下描述的想法和认识，包括但不限于本发明。

如前文已经指出的，例如，可以在维护措施的范围内或者在初始委托时向人员运送设备的控制装置输入数据，或者从该控制装置中读取数据，方式为，在控制装置与外部的移动设备之间建立数据通信连接。移动设备于是可以用作外部人机接口，以便例如通过技术人员输入数据并且然后将数据经由数据通信连接转发到控制装置上或者将从控制装置读取的数据显示给技术人员。补充地或替代地，移动设备也可以从其他来源获得数据，例如从外部数据库、从因特网或从专门为此提供的数据云获得数据，并且然后将数据通过数据通信连接传输到控制装置上。反过来，来自控制装置的数据也可以通过移动设备转发到其他设备上，尤其是转发到数据库或数据云。由此，例如可以在控制装置中简化对所存储的参数或数据的有针对性的配置和/或更新和/或对软件的更新。

然而，在此必须确保，数据仅能够从授权侧、即由对此授权的技术人员和/或对此授权的设备输入和/或读取。在技术人员或设备例如通过输入或传输认证代码已经验证身份之后，可以通过数据通信连接在控制装置和移动设备之间进行数据传输。

但是如果不采取专门措施，则这样的数据传输进行得不安全。也就是说，侵入者可能潜在地自己将数据通过数据通信连接发送到控制装置上，并且由此未经授权地操纵该控制装置。反过来，侵入者也可能窃听从控制装置读取的数据。

为了能够避免这种情况，可以保护数据通信连接，方式为，在将数据通过数据通信连接传输到目标设备之前，先于传输将待由此传输的数据例如借助于对称加密密钥或非对称加密密钥进行加密，并且随后在目标设备中再次对加密的数据进行解密。

上述方法的问题可能在于，该方法不能提供灵活的安全性。例如，一旦将新的密码或密钥引入到控制软件的新版本中，则必须在所有用于维护该控制装置的移动设备中改变对应的密码和密钥。这在逻辑上是有问题的。事实上，该方法需要在密码管理中的向后兼容性，这与安全的主要目的背道而驰，并且可能在所有装置上拷贝相同的密钥，这也增加折衷的概率，潜在地影响整个产品组合。

因此可以看出，尽可能用于加密待传输的数据并由此用于建立受保护的数据通信连接的每个应用都应具有不同的密钥对。优选地，该密钥对应当能够在没有昂贵的逻辑耗费的情况下生成和/或具有时间上受限的有效持续时间和/或不依赖于各种软件版本。

通过这里提出的用于在人员运送设备的控制装置与移动设备之间建立受保护的数据通信连接的方法的实施方式，解决了常规方法中的上述问题或缺陷。

在此，应当受保护地设计在人员运送设备的控制装置和外部移动设备之间的数据通信连接，使得借此传输的数据总是以加密的形式被传输，数据既不能被侵入的第三方以未知的方式操纵也不能被窃听。

在此，假定人员运送设备的控制装置和移动设备均可以分别通过事先建立的受保护的数据通信连接与通用的外部计算机通信。该通用的外部计算机可以是位于人员运送设备外部并且优选也位于容纳人员运送设备的建筑物外部的服务器或数据云(Cloud)。例如，通用的外部计算机可以由人员运送设备的制造商或服务提供商来运行。控制装置以及移动设备可以与该外部计算机有线连接或者例如通过网络、如因特网无线地通信，其中，在两个通信成员之间的通信内容应当始终加密地传输，例如通过端对端加密。可以使用合适的安全通信协议来进行数据通信。

此外，假定人员运送设备的控制装置和移动设备可以彼此之间建立未受保护的数据通信连接。通过这种未受保护的数据通信连接，两个部件可以交换数据，但是该数据以未加密的方式被传输。例如可以规定，控制装置和移动设备可以通过数据线缆或无线连接彼此通信。

在这里所介绍的方法中，控制装置和移动设备首先建立两个部件之间的未受保护的数据通信连接。

通过该未受保护的数据通信连接，两个部件于是可以交换所谓的令牌。令牌可以是数据内容、即例如是一种代码，该代码可以由部件中的一个部件提供并且然后可以被传输到另一部件。在此，例如在由技术人员为此请求移动设备之后，移动设备例如可以提供令牌并且将其传输到控制装置上。反过来，一旦移动设备准备好接收该令牌，控制装置也可以提供令牌并且将其传输到移动设备上。例如，令牌可以在部件中的一个部件中自发地生成或者事先存储在部件中的一个部件中。令牌应当是唯一的或至少以较高的可能性是唯一的，即每个控制装置或每个移动设备应当提供唯一的令牌，令牌可能既不是随机地也不是有意地由另一控制装置或另一移动设备提供。例如，可以随机地生成令牌。

与在控制设备和移动设备之间建立未受保护的数据通信连接的同时或者替代地也在建立这种未受保护的数据通信连接之前或之后不久，不仅控制设备而且移动设备还分别与通用的外部计算机建立起受保护的数据通信连接。然后，通过其相应的受保护的数据通信连接，不仅控制设备而且移动设备可以将所提供的或接收的令牌转发给外部计算机。

外部计算机于是可以生成两个所谓的密钥对，密钥对被设计成，使得由此待传输的数据可以以常见的加密方法首先被加密并且随后又被解密。每个密钥对在此包括公钥和私钥，通过公钥能够对数据加密，通过私钥能够随后再次对数据解密。

然后，外部计算机通过受保护的第一数据通信连接将这些密钥对中的第一密钥对或者至少该密钥对的私钥传回到控制装置上。在此，外部计算机附加地也将第二密钥对的公钥传输到控制装置上。以类似的方式，外部计算机还通过受保护的第二数据通信连接将这些密钥对的第二密钥或者至少该密钥对的私钥传回到移动设备上，并且在此还补充地将第一密钥对的公钥传输到移动设备上。

无论是人员运送设备的控制装置还是移动设备，都分别具有自身的私钥以及各个其他通信成员的公钥。通过使用密钥对，控制装置和移动设备于是可以在它们之间建立期望的受保护的数据通信连接，方式是，所有待传输的数据分别通过通信成员的公钥加密、经由数据通信连接传输并且然后由通信成员借助其私钥解密。

相应地，通信成员可以在分配密钥对之后例如协商用于通信过程(即所谓的“session key(会话密钥)”)的对称密钥并且因此交换加密的并且优选数字签名的数据包或消息。由此，控制装置和移动设备可以通过使用用于通信过程的临时密钥以受保护的方式彼此通信。

在一种实施方式中，通用的外部计算机可以响应于传输令牌而生成两个密钥对。

换句话说，令牌的接收可以启动、即触发通用的外部计算机生成两个密钥对。特别地，外部计算机仅当其不仅从控制设备而且从移动设备分别接收到相同的令牌时才可以生成密钥对。所生成的密钥对于是可以优选立即通过安全的第一数据通信连接或第二数据通信连接传输到控制装置上或移动设备上。

因此，需要在通用的外部计算机中生成非永久的密钥对，然后在需要时将该密钥对传输到通信成员对上，即传输到希望通过传递令牌来进行通信的控制装置和移动设备上，为此，外部计算机中需要较高的计算能力。另一方面，也不需要预先生成密钥对，然后将其存储在通用的外部计算机中直至需要密钥对，这可能增加这种密钥对被预先窥探的风险。取而代之，可以在通信成员对需要并且通过传输令牌来请求密钥对时，才准确地生成密钥对。

根据一种实施方式，外部的通用计算机可以随机地生成这两个密钥对。

换句话说，外部的通用计算机可配置成每当需要密钥对时，单独地且独立于先前或随后生成的密钥对随机地生成密钥对。假设存在非常大量的可能的密钥对，这可以在一定程度上确保不会两次产生相同的密钥对。

由此可以实现，不同的通信成员对也在使用不同的钥匙对的情况下彼此通信。因此，即使对于一个密钥对可能被公开的情况，因为例如被窥探到，也不会导致对于其他通信成员对的负面后果，即在另一控制装置和另一移动设备之间的安全的数据通信由此不会受到危害。

根据一种实施方式，密钥对可以具有限定的到期时间，在该限定的到期时间之后密钥对不再能用于受保护的数据通信连接。

换句话说，密钥对可以设计成，使得密钥对在预定的到期时间之后失去其功能性，从而在使用密钥对的到期时间已达到的密钥对的情况下不能再实现受保护的数据传输。

通常，移动设备仅需要能够与人员运送设备的控制装置通信特定的持续时间，例如在维护过程期间。该持续时间可以是例如几分钟、几小时或几天。因此，用于与该移动设备进行受保护的数据通信的密钥对的运行时间可以被测定为，使得在移动设备不再必须与人员运送设备的控制装置通信之后，在此使用的密钥对自动失去其有效性或功能性。由此，可避免钥匙对在对于其原本的目的不再需要之后的滥用。

在一种实施方式中，通用的外部计算机可以是由维护人员运送设备的企业托管的数据云的一部分。

换句话说，例如，人员运送设备的制造商或维护人员运送设备的服务提供者可以运行数据云(Cloud)。该数据云可以包括一个或多个计算机或服务器，其中也存在在此提及的通用的外部计算机。所维护的人员运送设备的控制装置可以例如通过数据线路与该数据云建立受保护的数据通信连接。同样，移动设备例如可以通过合适加密的因特网连接与数据云建立受保护的数据通信连接。数据云可以是维护人员运送设备的企业的IT基础架构的一部分，并且因此受到影响并且由在那里相应的IT保护机制来保护。

由此，通用的外部计算机例如尤其可以用于预先给定规则，根据该规则建立受保护的第一数据通信连接和第二数据通信连接。这例如可以用于进行规定，移动设备必须如何建立受保护的第二数据通信连接，以便然后可以由此传输令牌。即使对于可能经常出现的情况，即移动设备本身未受维护人员运送设备的企业的影响，也可以确保，必须由该移动设备遵守一定的规则。例如可以规定，在允许建立受保护的第二数据通信连接之前，移动设备或使用移动设备的技术人员必须验证身份。

通过在此提出的用于在人员运送设备的控制装置与移动设备之间建立受保护的数据通信连接的方法的实施方式，尤其可以解决以下问题或困难：

在制造控制装置或移动设备的时间点不需要生成并且然后存储在加密时要用于数据传输的密钥。由此，尤其可以避免逻辑问题，逻辑问题可能伴随于在这样的较早的时间点密钥的这种生成和存储；

例如可以避免在还不知道哪个移动设备实际上要与哪个控制装置进行一次通信的时间点就必须生成和存储密钥。因此，可以省去密钥的拷贝。此外，可以避免可能出现问题，即，一次性生成的和存储的密钥几乎也不能事后被撤回或者其有效性几乎也不能事后被撤销；

优选地，由于每次控制装置和移动设备希望彼此建立受保护的数据通信连接并且为此将令牌发送到通用的外部计算机上时，生成新的密钥对，所以通常不应出现两个不同的通信成员对具有相同的密钥对的情况。即使一个钥匙对由此可能是已知的，例如因为一个通信成员对被窥探或窃听(被黑客攻击)，这通常不危害其他的通信成员对；

通过可选地向一个钥匙对分配一个限定的到期时间，可以进一步减少例如可能由通信成员对的黑客引起的潜在损害；

一般没有兼容性问题；安全性通过安全密钥的通用的且不在不同的位置上执行的分配来保证。换句话说，例如，接纳外部的通用计算机的制造商数据云不会感知到控制装置或移动设备的版本；

整个系统的安全性主要取决于这种企业的IT安全性，该企业尤其制造人员运送设备的控制装置、运行外部的通用的计算机和/或为移动设备提供软件并且因此负责在一方面的控制装置或移动设备与另一方面的外部的通用计算机之间建立受保护的第一数据通信连接和第二数据通信连接。这种公司范围的IT安全性可以被更好地组织、更新和监视。在此，子单元中的漏洞需要在仅一个位置上封闭该漏洞(修补)。

根据本发明的第二方面的可用于维护人员运送设备的设备结构应包括人员运送设备的控制装置、单独的移动设备以及通用的外部计算机。所述通信成员中的每个通信成员在此可以被配置用于执行前面描述的用于建立受保护的数据通信连接的方法步骤的部分，使得所有通信成员然后一起执行或控制整个方法。

特别地，根据本发明的第三方面的人员运送设备的控制装置可以被配置成与移动设备和通用的外部计算机一起执行或控制整个方法。

为此，控制装置还可以具有接口，通过该接口可以建立连接到通用的外部计算机的第一数据通信连接。此外，控制装置可以具有另一接口，通过该接口可以首先与移动设备建立未受保护的数据通信连接。接口可以是有线的或无线的。控制装置可以具有一个或多个处理器以及合适的数据存储器，以便能够临时存储待传输的数据和/或能够在传输之前进行加密或对所传输的数据进行解密并且必要时临时存储所传输的数据。

以类似的方式，移动设备尤其可以具有接口以及另一接口，通过该接口可以建立连接到通用的外部计算机的第二数据通信连接，通过该另一接口可以首先与控制装置建立未受保护的数据通信连接。以与控制装置类似的方式，在此接口也可以是有线的或无线的，以及设置有一个或多个处理器和数据存储器以用于实现相应的功能。

通用的外部计算机可以具有至少一个或两个接口，通过该接口可以建立受保护的第一数据通信连接和第二数据通信连接。此外，外部计算机可以具有一个或多个处理器以及数据存储器，通过该处理器和数据存储器，外部计算机可以识别和/或分析接收到的令牌以及生成密钥对。此外，计算机可以具有随机生成器，从而可以随机地生成密钥对。

通信成员中的单个通信成员或者每个通信成员，即控制装置、移动设备和/或通用的外部计算机可以是可编程的。计算机程序产品可以由多个部分组成，其中，每个部分可以在通信成员中的一个通信成员上运行并且在那里通过相应的指令促使相应的通信成员执行其在此描述的方法中的部分。总之，由此可以借助于计算机程序产品通过不同的通信成员来实施这里所描述的方法。在此，计算机程序产品可以以任意的计算机语言来编辑。

计算机程序产品可以存储在任何计算机可读介质上。例如，可以采用诸如闪存、CD、DVD等的便携式计算机可读介质。替代地，可以提供诸如计算机、服务器或数据云之类的静态计算机可读介质来存储计算机程序产品，使得可以例如通过诸如因特网之类的网络从该静态计算机可读介质中下载该计算机程序产品。

应当指出的是，本发明的一些可行的特征和优点在此一方面参考用于建立受保护的数据通信连接的方法的不同实施方式并且另一方面参考可为此使用的具有相应的通信成员的设备结构来描述。本领域技术人员会认识到，所述特征能够以合适的方式组合、调整或者替换，以便实现本发明的其他实施方式。

附图说明

下面参照附图描述本发明的实施方式，其中，附图和说明书都不应视为对本发明的限制。

图1示出一种设备结构，借助于该设备结构可以实现根据本发明的一种实施方式的方法。

附图仅仅是示意性的并且不是按比例绘制的。

具体实施方式

图1示出根据本发明的一种实施方式的设备结构1。设备结构1包括人员运送设备的控制装置3、移动设备5和通用的外部计算机7，通用的外部计算机可以是数据云17的一部分。控制装置3具有通过受保护的第一数据通信连接9与通用的外部计算机7通信的能力。以类似的方式，可以由移动设备5与外部计算机7建立受保护的第二数据通信连接11，于是可以通过该第二数据通信连接来交换数据。例如，移动设备5可以经由受保护的互联网连接与外部计算机7通信。

在移动设备5和控制装置3之间虽然可以无问题地建立有线或无线的数据通信连接13。然而，该数据通信连接首先是未受保护的，也就是说数据不被加密并且因此也在不保证认证的情况下被传输。

借助于本文所提出的方法，可以将移动设备5与控制装置3之间的这种未受保护的数据通信连接13修改为受保护的数据通信连接15。

下面，示例性地描述建立受保护的数据通信连接15的过程。

技术人员期望将其为了维护目的而使用的移动设备5与控制装置3连接。

为此，技术人员将其移动设备5通过线路或无线地连接到控制装置3或连接到其中集成有该控制装置3的人员运送设备1的局域网。

在该连接已经建立并且例如通过移动设备5的显示器上的合适的消息来签名之后，技术人员可以开始激活受保护的数据通信连接15，方式为，技术人员例如在其移动设备5上选择按钮或者以其他方式进行输入。

基于该选择或该命令，移动设备5输出一种电报，该电报包含随机生成的令牌19，并且电报被传输到控制装置3上。这种以协商方式的初始数据交换也不需要被保护。

控制装置5由此例如通过另一专门的电报来确认令牌19接收到移动设备5上。此外，在经由受保护的通信连接9与控制装置连接的外部计算机7中，控制装置5请求关于配对知识(配对信息)的信息，其中，该配对知识附属于对所生成的令牌19的请求。

在从控制装置3获得确认时，移动设备5也在数据云17中请求与外部计算机7的配对密钥并且在此使用生成的相同令牌19。在此，该请求通过受保护的数据通信连接11来传输。

当通用的外部计算机7接收到这两个请求时，通用的外部计算机生成两个不对称密钥对29、31，这两个不对称密钥对各自包括一方面用于控制装置3和另一方面用于移动设备5的公钥25、27和私钥21、23。

然后，外部计算机7将第一密钥对29的私钥21和第二密钥对31的公钥27传输到控制装置3上。类似地，外部计算机7将第二密钥对31的私钥23和第一密钥对29的公钥25传输到控制装置3上。

一旦已经交付密钥对29、31，则控制装置3和移动设备5可以在使用加密的并且优选数字签名的消息的情况下防商对于随后的传输过程有效的对称密钥(“会话对称密钥”)。

一旦完成此步骤，就在控制装置3和移动设备5之间建立受保护的数据通信连接15，并且两个设备在使用允许的加密的情况下可以以受保护的方式通信。

最后，仅出于比较目的并且在本发明之外描述一种方法，借助于该方法可以建立人员运送设备(下面以电梯为例描述)中的设备之间的数据通信并且在此尤其可以确保安全的数据连接。

电梯控制系统一般由在局域网中彼此通信的一组控制单元组成。附属于该电梯网络，一个或多个外部设备可以作为所谓的客户端附加地与控制系统通信。这种外部设备的示例是分配单元、可视化计算机、诊断单元等

在嵌入式单元的通信中，随着互联网协议的传播，保证足够的通信安全已经变得越来越重要。特别地，重要的是保证仅认证的单元能够连接到网络中的控制装置。

在电梯控制系统的网络的情况下，存在以下影响因素：

1)控制装置通常固定地安装在机器室中。

2)控制装置必须能够彼此通信，但是不能保证控制装置连接到网络外的其他设备。

3)控制装置是电梯系统的核心。因此，必须保证保护免于与控制装置的未经授权的连接。

4)用于认证控制装置或其他客户端的密钥和凭证都必须彼此不同，以便在这些密钥或凭证中的一个密钥或凭证不再保持保密(即，″被泄密″)的情况下，能够避免全局后果。

5)鉴于上述第(2)点，凭证(证书)不应到期，因为在这样的到期之前获取新的凭证可能被证明是不可能的或者可能引起显著的逻辑耗费。

可以设想一种手动配对机制，该手动配对机制尝试解决所有上述问题点和限制并且基于以下过程：

1.)所有控制装置(和附加客户端)都被提供有还没有与网络的其他成员共享的一组附加凭证(credentials(凭据))。这些凭证随机地在内部生成，例如在控制装置或客户端的首次启动(boot-up)之后生成。

2.)基于第(1.)点的原因，由于未知证书而拒绝网络的成员之间的初始连接。

3.)网络的每个成员被唯一地标识，例如通过在产品线内被标准化并且在用于现场集合的安装指令中限定的字符串(String)来唯一地标识。

4.)由于初始(失败的)试图结合特定的控制装置，因此，将请求单元的字符串存储在试图实现的控制装置的易失性存储器中。

5.)所有请求单元的列表例如可以在嵌入式操作人机接口(Service MMI)上或者在已经认证的基于计算机的本地服务工具上输出。

6.)技术人员可以通过请求单元的列表来浏览(browsen)，并且同意(approve)通过各自的字符串标识的手动请求的客户端。为此，技术人员例如可以使用适当编辑的现场指示来检查名称与文档兼容。

7.)在该过程中，技术人员可以决定手动选择每个识别的成员并手动同意与控制装置的通信。替代地，例如，通过操作“选择全部”按钮，可以同意所有的请求单元。

8.)在同意后，请求单元被自动地提交到可信任成员的列表中，并且可以与该控制装置安全地发生数据通信。

9.)必须对于浏览列表中的所有请求单元和网络中的每个控制装置重复前述过程。

10.)在该过程结束时，所有凭证对于网络的所有成员是彼此已知的，并且可以安全地进行通信。

11.)拒绝来自于其凭证尚未被同意的设备的连接请求。

上述方法具有以下优点：

a)在网络的成员之间的可信任网络的创建在授权的技术人员的监督下手动地进行。

b)在委托的时间点在本地执行该方法。因此，不需要额外的逻辑耗费(例如，在制造期间)。

c)只要没有添加新的成员或者将其作为例如有缺陷的旧成员的替代来使用，则其在安装的时间点仅仅需要执行一次该方法。

d)无需密钥的手动处理或凭证的逻辑操作。基于对单元或单元的例如在MMI上的名称的简单手动同意，唯一的凭证自动地在网络的成员之间传输。现场技术人员可能完全不知道该类型和形式的这种凭证或密钥。

e)该方法是简单的。该方法仅需要例如在MMI上选择和同意。

f)该方法允许在例如MMI上实现专门的通知，以用于不完整的或错误的配对的情况。

最后要指出，诸如“具有”、“包括”等等的术语不排除其他的元件或者步骤，并且诸如“一个”或者“一”的术语不排除多个。此外，应当指出，参照上述实施例之一描述的特征或步骤也可以与上述其他实施例的其他特征或步骤组合使用。权利要求中的附图标记不应视为限制。