用于访问控制的系统和方法技术方案

在用户使用移动进入设备访问物理设备时执行对用户的身份检验，其中，用户相对于移动进入设备鉴别。在身份检验成功后构建移动进入设备与物理设备的访问控制单元之间的无线通信连接，并且由移动进入设备向访问控制单元传送身份信息和特有的进入数据。访问控制单元借助接收的信息并且借助中央控制平台的另外的信息获知对物理设备的访问权限。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及用于控制由个人访问物理单元的系统和方法。本专利技术尤其是涉及如下系统和方法，其中，个人的访问权限可以分配给个人并且得到管理。
技术介绍
管理访问权限或使用权限存在于许多
中。例如，在管理电脑系统中的访问权限时存在复杂的权限等级和权限机制。在那里针对个人给予访问服务或计算机系统的文件，个人本身相对于电脑系统通过例如机密标识码或生物测定数据鉴别。然而，如果分配的权利或权限不足以执行所要求的行动，那么该行动通过技术措施阻止。此外，锁闭系统是公知的，其中，为了访问控制而对锁闭器件进行鉴别，以便检验访问功能，例如进入一个区域。在这种系统中经常以如下为出发点，即，锁闭器件的载体也是用于要求相应的功能的授权装置。相应的概念也存在于车辆锁闭系统的领域中，尤其是在无钥匙进入和无钥匙启动系统中。在那里，用户携带被称为ID传感器的车辆钥匙。ID传感器包含被编码的信息，其相对于车辆使ID传感器(不一定是ID传感器的载体)的权利合法化，用以实施功能。也就是说，如果将ID传感器给到另外的用户，那么该另外的用户同样能够利用该ID传感器调用和操作车辆功能。在用于车辆的进入系统的领域中，大量的不同的管理系统是公知的，以便允许访问车辆。例如，US2013/0259232A1描述了一种用于将移动电话与车辆联接或配对(pairing)的系统，以便可以利用移动电话操控车辆功能。DE102011078018A1描述了另一种用于实施车辆功能的系统，其中，通讯中央实施一部分与车辆的通信。US2012/0164989涉及另一种用于车辆的无线锁闭功能的方法和系统。EP1910134B1描述了一种带有中央管理的系统，中央管理将数据包作为密匙分配到移动访问设备上。然而，能够实现访问技术设备的公知的系统和方法具有缺点。在一些系统中可能的是，利用技术设备，例如移动电脑、智能手机或类似装置产生或检索出用于以如下方式和方法访问技术设备或实施功能的权利，即，攻击者可以获得对设备(例如车辆)或其功能的未授权的进入。
技术实现思路
本专利技术的任务是提供一种安全的和灵活的系统和方法，以便能够实现用于访问物理单元的广泛的权限管理。根据本专利技术提出一种系统和方法，其中，作为第一部件的中央控制平台(SecureAccessPlatform(安全进入平台))承担主要的控制功能。中央控制平台装备配备有已鉴别的用户的权限(权利)的信息。这种中央控制平台例如可以通过与数据网络连接的数据库实现。通过数据网络(因特网、移动无线网络等)可以构建从遥远的地方到中央控制平台的通信连接。在物理单元一侧(在物理单元方面访问或权限授予应该收到规管)设置有形式为技术访问控制单元(智能身份设备)的第二部件，其可以限制或释放访问物理单元的功能。在车辆的情况下，访问控制单元例如与车辆系统联接，从而访问控制单元可以有针对性地释放或阻止锁闭功能或发动机启动或其它的功能。该设备与通信器件联接，以便与中央控制平台连接并且交换数据。这种通信器件包括如下设备，即，其通过所创建的通信网络，尤其是通过移动无线网络实现无线连接。此外，作为第三部件的移动电子进入单元设置为系统的一部分，移动电子进入单元本身可以与中央控制平台以及受控制的物理设备上的访问控制平台处于通信连接，以便交换信息。移动电子进入设备例如可以在移动电脑或移动通信装置，例如智能手机中实现。为此，智能手机或电脑可以设有附属的应用软件，其进行与中央控制平台的通信，并且允许用户交互。在移动访问设备与在访问方面被监控的物理单元或其访问控制单元之间又同样可以例如通过根据无线网络标准的无线连接，借助蓝牙接口或通过近场通信，例如NFC接口创建通信连接。根据本专利技术，在构造通信关系和数据传输方面构建四角关系，其中，一方面，控制平台可以与移动进入设备以及受控制的物理单元的访问控制单元处于通信连接。另一方面用户本身与移动进入设备交互作用。用户必要时也与中央平台通过使用单独的通信路径(例如带有因特网连接的计算机)交互作用。用户身份是使得另外的组成部分能够共同作用的关键组成部分，其中，身份在不同的步骤中检验。不同组成部分的这些通信不一定同时到期，然而重要的是，得到在三个组成部分相互间的原则上的通信可能性。该概念确保了验证来自其中一个以独立的机构转移的所得到的信息。像下面描述的那样，这种相互关系结合移动进入设备的特殊性确保了以特别安全和可靠的方式访问。根据本专利技术的系统和方法的用户访问移动进入设备，也就是说例如访问带有安装在上面的应用的智能手机。当用户可以将该装置与车辆侧的访问控制单元通信时，车辆侧的访问控制单元不一定允许访问车辆，这是因为缺少必要的合法性。也就是说，车辆并不是仅凭移动访问设备的身份就承认合法性，而是只有结合用户的已验证的身份才承认合法性。身份证明只有在以下情况下才会成功，即，移动访问设备得到中央平台的信息，其将移动访问设备和利用其鉴别的人员标记为物理单元的合法的操作者。本专利技术将对权限和受控的物理单元的管理划分到中央控制平台中。因此，取消了在未授权的情况下操纵管理，这是因为仅允许可靠的机构执行对中央控制平台的改变。操纵移动装置的数据是不够的，这是因为访问控制设备通过与中央平台的连接验证权利数据。中央控制平台可以包含关于相对于控制平台以可靠的方式鉴别的人员的信息。然而，中央控制平台也可以针对配属的访问控制单元管理配属于匿名的标识的权限，从而在中央控制平台中不存在与实际的个人的关联，而是仅存在匿名的标识。在常规的进入系统或访问管理中，鉴别借助相应的器具、标签、钥匙、钥匙卡或类似装置实现，而根据本专利技术，关于个人或特有的标识的权限被分配和管理。与人员利用哪个器件来相对于中央控制平台或访问装置进行合法化无关地，权限授予不是与这种器件(电话、钥匙等)绑定，而是与识别的个人或识别的身份绑定。对于本专利技术来说重要的是，在中央控制平台中配属于人员身份或匿名的标识的权限得到存储。这些权限分别涉及访问控制单元的由中央平台管理的部分。例如可以针对标识安排适用于访问控制单元组或适用于所有配属的访问控制单元的权限。另外的权限可以针对各个访问控制单元进行配属。在停车场控制的示例中，这意味着的是，给管理人员的职员例如针对停车场的所有车辆分配用于打开车辆的权限，然而，仅针对一些车辆分配启动车辆的权限。相应需要的是，首先在中央控制平台中引入关于允许的用户的身份或匿名的标识的登记。这些登记可以以常见的方式借助提供用于查询的接口的数据库管理。通过与另外的系统的接口，例如与租车供应商、安全公司或汽车共享供应商的系统的接口也可以实现标识的接受。在另外的供应商的联接的系统识别出其客户的身份时，系统向中央平台例如仅传送匿名的标识和附属的权限。个人数据保留在合同当事人中，然而，中央平台借助标识管理权限。移动访问设备可以与中央控制平台处于数据通信中。由中央控制平台给移动访问设备提供信息，其能够实现相对于物理单元的访问控制单元的合法性。这可以例如是由中央控制平台分派的证书。移动访问设备此外用于相对于访问控制单元确保载体的身份。移动访问设备为此以如下方式装备，即，对用户的可靠的鉴别是可行的。鉴别用户例如可以通过仅对于用户来说已知的标识实现，或者通过查询生物测定数据，譬如面部识别、声音分析或指纹实现。只有在相对于本文档来自技高网...

【技术保护点】
用于控制访问物理设备的方法，其中，每个物理设备装备有访问控制单元，其能够阻止和释放访问物理单元的功能，其中，构造有中央控制平台，其中，在所述中央控制平台与访问控制单元之间能够创建无线通信连接，其中，存在移动进入设备，其能够由用户携带，并且能够与访问控制单元和中央控制平台构建无线通信连接，其特征在于，在用户使用移动进入设备访问物理设备的情况下执行对用户的身份检验，其中，用户相对于所述移动进入设备鉴别，其中，在身份检验成功后构建移动进入设备与所述物理设备的访问控制单元之间的无线通信连接，其中，由所述移动进入设备向所述访问控制单元至少传送用户的身份和特有的进入数据，其中，所述访问控制单元借助接收的信息并且借助所述访问控制单元从中央控制平台接收到的另外的信息获知并且给予用户对物理设备的访问权限。

【技术特征摘要】
【国外来华专利技术】2014.05.22 DE 102014107242.11.用于控制访问物理设备的方法，其中，每个物理设备装备有访问控制单元，其能够阻止和释放访问物理单元的功能，其中，构造有中央控制平台，其中，在所述中央控制平台与访问控制单元之间能够创建无线通信连接，其中，存在移动进入设备，其能够由用户携带，并且能够与访问控制单元和中央控制平台构建无线通信连接，其特征在于，在用户使用移动进入设备访问物理设备的情况下执行对用户的身份检验，其中，用户相对于所述移动进入设备鉴别，其中，在身份检验成功后构建移动进入设备与所述物理设备的访问控制单元之间的无线通信连接，其中，由所述移动进入设备向所述访问控制单元至少传送用户的身份和特有的进入数据，其中，所述访问控制单元借助接收的信息并且借助所述访问控制单元从中央控制平台接收到的另外的信息获知并且给予用户对物理设备的访问权限。2.根据权利要求1所述的方法，其中，在得到来自所述移动进入设备的信息后，所述访问控制单元将关于用户身份的信息和所述访问控制单元本身的特有的标识通过无线通信连接发送至所述中央控制平台上，所述中央控制平台随之获知已鉴别的用户对配属有访问控制单元的物理单元的访问权限，所述中央控制平台将访问权利通过无线通信连接传送至访问控制单元，并且所述访问控制单元借助这些信息给予访问权限。3.根据权利要求2所述的方法，其中，也由所述访问控制单元向所述中央控制平台传送关于所述移动进入设备的特有的标识的信息。4.根据权利要求1所述的方法，其中，所述访问控制单元此外不依赖于用户访问地呈时间间隔地得到和存储来自所述中央控制平台的信息，其中，所述访问控制单元借助所存储的信息和在访问尝试时由移动进入设备得到的信息获知和给予访问权限。5.根据前述权利要求中任一项所述的方法，其中，用户相对于移动进入设备的鉴别借助生物测定数据，尤其是在执行面部识别和/或执行声音识别和/或指纹识别的情况下实现。6...

【专利技术属性】
技术研发人员：斯文·根纳曼，丹尼尔·班贝克，
申请(专利权)人：胡夫·许尔斯贝克和福斯特有限及两合公司，
类型：发明
国别省市：德国;DE