用于控制访问的钥匙委派制造技术

提供了用于控制对访问对象的访问的方法。该方法在电子钥匙设备中执行，并包括以下步骤：与访问控制设备通信以获得访问控制设备的身份；向服务器发送访问请求，访问请求包括电子钥匙设备的身份和访问控制设备的身份；接收来自服务器的响应，响应包括对电子钥匙设备的钥匙委派；以及向访问控制设备发送准许访问请求，以允许访问控制设备基于包括委派序列的多个委派来评估是否准许对访问对象的访问，准许访问请求包括钥匙委派。

Key Delegation for Access Control

Provides methods for controlling access to access objects. The method is implemented in an electronic key device and includes the following steps: communicating with the access control device to obtain the identity of the access control device; sending access requests to the server, including the identity of the electronic key device and the identity of the access control device; receiving responses from the server, including key assignment to the electronic key device; and providing access control to the server. The device sends a permission access request to allow the access control device to evaluate whether to grant access to the access object based on multiple delegations including the delegation sequence, and the permission access request includes key delegation.

【技术实现步骤摘要】
【国外来华专利技术】用于控制访问的钥匙委派
本专利技术涉及关于使用钥匙委派来控制对访问对象的访问的方法、电子钥匙设备、计算机程序以及计算机程序产品。
技术介绍
存在期望针对其控制访问的许多类型的对象，本文中表示访问对象。例如，访问对象可以是用于访问物理空间的锁。可替选地，访问对象可以是电动交通工具的充电点。可替选地，访问对象可以是办公设备(例如影印机、打印机、咖啡机、电插座、网络连接等)。可以通过要求使用适当的电子钥匙设备来控制对这样的访问对象的访问。电子钥匙设备可以通过无线接口或者有线接口与访问控制设备通信。与机械访问控制相比，这样的电子接口改进了可用性，同时电子钥匙管理在访问权限的管理方面明显更灵活，特别是在本地访问控制设备与访问控制服务器通信以验证对特定电子钥匙设备的访问权限的情况下。以这种方式，可以通过管理存储在访问控制服务器中的访问权限来集中管理对特定电子钥匙设备的访问。但是，这种中央访问权限管理的方法存在许多问题。特别地，因为访问被集中管理，所以访问控制设备没有完全控制访问。此外，如果攻击者获得对中央服务器的访问，则这样的系统易受攻击，此时攻击者可以修改系统，使得任何钥匙设备都可以获得对所有连接的访问对象的访问。还存在可用的离线系统，其中访问权限存储在访问控制设备或者钥匙中。但是，离线系统非常简单并且不灵活或者通过间歇性访问服务器来管理，这会产生与在线系统相同的易受攻击问题，虽然程度较低。
技术实现思路
本文提出的实施方式的目的是提供控制对访问对象的访问的改进方式。根据第一方面，提供了用于控制对访问对象的访问的方法。该方法在电子钥匙设备中执行，并且包括以下步骤：与访问控制设备通信以获得访问控制设备的身份；向服务器发送访问请求，访问请求包括电子钥匙设备的身份和访问控制设备的身份；接收来自服务器的响应，响应包括对电子钥匙设备的钥匙委派；以及向访问控制设备发送准许访问请求——该准许访问请求包括钥匙委派——以允许访问控制设备基于多个委派来评估是否准许对访问对象的访问，所述多个委派包括覆盖从访问控制设备至电子钥匙设备的委派路径的委派序列，使得在委派序列中，第一委派的委派者是访问控制设备并且最后的委派是钥匙委派，其中，每个委派是从委派者到接收者的对访问对象的访问权限的委派，并且每个委派包括委派者标识符和接收者标识符。每个委派可以具有相同的数据结构。钥匙委派可以由委派的委派者进行数字签名。钥匙委派可以包括时间约束。钥匙委派可以包括操作约束。在接收响应的步骤中，响应可以基于服务器验证与电子钥匙设备的身份相关联的用户帐户的存在。根据第二方面，提供了用于控制对访问对象的访问的电子钥匙设备。电子钥匙设备包括：处理器；以及存储器，存储器存储指令，所述指令在由处理器执行时，使电子钥匙设备：与访问控制设备通信以获得访问控制设备的身份；向服务器发送访问请求，访问请求包括电子钥匙设备的身份和访问控制设备的身份；接收来自服务器的响应，响应包括对电子钥匙设备的钥匙委派；以及向访问控制设备发送准许访问请求——该准许访问请求包括钥匙委派——以允许访问控制设备基于多个委派来评估是否准许对访问对象的访问，所述多个委派包括覆盖从访问控制设备至电子钥匙设备的委派路径的委派序列，使得在委派序列中，第一委派的委派者是访问控制设备并且最后的委派是钥匙委派，其中，每个委派是从委派者到接收者的对访问对象的访问权限的委派，并且每个委派包括委派者标识符和接收者标识符。每个委派可以具有相同的数据结构。钥匙委派可由委派的委派者进行数字签名。钥匙委派可以包括时间约束。钥匙委派可以包括操作约束。在接收响应的步骤中，响应可以基于服务器验证与电子钥匙设备的身份相关联的用户帐户的存在。根据第三方面，提供了用于控制对访问对象的访问的计算机程序。该计算机程序包括计算机程序代码，该计算机程序代码在电子钥匙设备上运行时使电子钥匙设备：与访问控制设备通信以获得访问控制设备的身份；向服务器发送访问请求，访问请求包括电子钥匙设备的身份和访问控制设备的身份；接收来自服务器的响应，响应包括对电子钥匙设备的钥匙委派；以及向访问控制设备发送准许访问请求——该准许访问请求包括钥匙委派——以允许访问控制设备基于多个委派来评估是否准许对访问对象的访问，所述多个委派包括覆盖从访问控制设备至电子钥匙设备的委派路径的委派序列，使得在委派序列中，第一委派的委派者是访问控制设备并且最后的委派是钥匙委派，其中，每个委派是从委派者到接收者的对访问对象的访问权限的委派，并且每个委派包括委派者标识符和接收者标识符。根据第四方面，提供了包括根据第三方面的计算机程序和在其上存储计算机程序的计算机可读装置的计算机程序产品。一般地，权利要求中使用的所有术语将根据其在
中的普通含义来解释，除非在本文中另外明确定义。所有对“一(a)/一个(an)/元件、设备、部件、装置、步骤等”的引用将被公开地解释为指代元件、设备、部件、装置、步骤等的至少一个实例，除非另外明确说明。除非明确说明，否则本文公开的任何方法的步骤不必以所公开的确切顺序执行。附图说明现在参考附图通过示例的方式来描述本专利技术，在附图中：图1是示出可以应用本文提出的实施方式的环境的示意图；图2是示出在图1的访问控制设备中执行的用于控制对访问对象的访问的方法的流程图；图3是更详细地描述根据一个实施方式如何执行访问控制的序列图；图4是示出根据图1的电子钥匙设备的一些部件的示意图；以及图5示出了包括计算机可读装置的计算机程序产品的一个示例。具体实施方式现在将在下文中参考附图更全面地描述本专利技术，附图中示出了本专利技术的某些实施方式。然而，本专利技术可以以许多不同的形式实施，并且不应该被解释为限于本文所阐述的实施方式；相反，通过示例的方式提供这些实施方式，使得本公开内容将是透彻的和完整的，并且将向本领域技术人员充分传达本专利技术的范围。在整个说明书中，相似的附图标记指代相似的元件。图1是示出可以应用本文提出的实施方式的环境的示意图。对访问对象12的访问由访问控制设备1控制。访问对象可以是选择性地控制对其的访问的任何类型的对象。访问对象12可以是用于访问物理空间的锁。可替选地，访问对象12可以是电动交通工具的充电点。可替选地，访问对象12可以是办公设备(例如影印机、打印机、咖啡机、电插座、网络连接等)。可选地，访问对象12和访问控制设备1被组合在单个设备中。访问控制设备1能够通过通信信道3从电子钥匙设备2接收信号和向电子钥匙设备2发送信号，通信信道3可以是短程无线接口或者传导(即电流/电气)连接。电子钥匙设备2是能够由用户便携的任何合适的设备，并且可以用于通过通信信道3进行认证。电子钥匙设备2通常由用户携带或穿戴，并且可以实现为智能电话、物理钥匙、钥匙卡(keyfob)、可穿戴设备等。短程无线接口是射频无线接口，并且可以例如使用蓝牙、蓝牙低功耗(BLE)、ZigBee、射频识别(RFID)、任何IEEE802.11标准、任何IEEE802.15标准、无线通用串行总线(USB)等。电子钥匙设备也可以被认为是凭证。使用通信信道3，可以获得电子钥匙设备2的身份。此外，可以例如使用挑战和响应方案或者通过验证数字签名来检查电子钥匙设备2的身份的真实性。在任何情况下，获得电子钥匙设备2的身份，电子钥匙设备2的本文档来自技高网...

【技术保护点】
1.一种用于控制对访问对象(12)的访问的方法，所述方法在电子钥匙设备(2)中执行，并且包括以下步骤：与访问控制设备(1)通信(40)，以获得所述访问控制设备(1)的身份；向服务器(13)发送(42)访问请求，所述访问请求包括所述电子钥匙设备(2)的身份和所述访问控制设备(1)的身份；接收(44)来自所述服务器的响应，所述响应包括对所述电子钥匙设备(2)的钥匙委派；以及向所述访问控制设备(1)发送(46)准许访问请求，以允许所述访问控制设备基于多个委派来评估是否准许对所述访问对象(12)的访问，所述准许访问请求包括所述钥匙委派，所述多个委派包括覆盖从所述访问控制设备(1)至所述电子钥匙设备的委派路径的委派序列，使得在所述委派序列中，第一委派的委派者是所述访问控制设备，并且最后的委派是所述钥匙委派，其中，每个委派是从委派者到接收者的对所述访问对象(12)的访问权限的委派，并且每个委派包括委派者标识符和接收者标识符。

【技术特征摘要】
【国外来华专利技术】2016.09.02 SE 1651182-61.一种用于控制对访问对象(12)的访问的方法，所述方法在电子钥匙设备(2)中执行，并且包括以下步骤：与访问控制设备(1)通信(40)，以获得所述访问控制设备(1)的身份；向服务器(13)发送(42)访问请求，所述访问请求包括所述电子钥匙设备(2)的身份和所述访问控制设备(1)的身份；接收(44)来自所述服务器的响应，所述响应包括对所述电子钥匙设备(2)的钥匙委派；以及向所述访问控制设备(1)发送(46)准许访问请求，以允许所述访问控制设备基于多个委派来评估是否准许对所述访问对象(12)的访问，所述准许访问请求包括所述钥匙委派，所述多个委派包括覆盖从所述访问控制设备(1)至所述电子钥匙设备的委派路径的委派序列，使得在所述委派序列中，第一委派的委派者是所述访问控制设备，并且最后的委派是所述钥匙委派，其中，每个委派是从委派者到接收者的对所述访问对象(12)的访问权限的委派，并且每个委派包括委派者标识符和接收者标识符。2.根据权利要求1所述的方法，其中，每个委派具有相同的数据结构。3.根据权利要求1或2所述的方法，其中，所述钥匙委派由委派的委派者进行数字签名。4.根据前述权利要求中任一项所述的方法，其中，所述钥匙委派包括时间约束。5.根据前述权利要求中任一项所述的方法，其中，所述钥匙委派包括操作约束。6.根据前述权利要求中任一项所述的方法，其中，在接收(44)响应的步骤中，所述响应基于所述服务器验证与所述电子钥匙设备(2)的身份相关联的用户帐户的存在。7.一种用于控制对访问对象(12)的访问的电子钥匙设备(2)，所述电子钥匙设备(2)包括：处理器(60)；以及存储器(64)，其存储指令(66)，所述指令(66)在由所述处理器执行时使所述电子钥匙设备(2)：与访问控制设备(1)通信，以获得所述访问控制设备(1)的身份；向服务器(13)发送访问请求，所述访问请求包括所述电子钥匙设备(2)的身份和所述访问控制设备(1)的身份；接收来自所述服务器的响应，所述响应包括对所述电子钥匙设备(2)的钥匙委派；以及向所述访问控制设备(1)发送准许访问请求，以允许所述访问控制设备基于多...

【专利技术属性】
技术研发人员：弗兰斯·伦德贝里，彼得·斯滕隆德，
申请(专利权)人：亚萨合莱有限公司，
类型：发明
国别省市：瑞典,SE