WO2017144649A1 - Sicherung von zutrittsberechtigungen zu ortsfesten anlagen - Google Patents

Sicherung von zutrittsberechtigungen zu ortsfesten anlagen Download PDF

Info

Publication number
WO2017144649A1
WO2017144649A1 PCT/EP2017/054298 EP2017054298W WO2017144649A1 WO 2017144649 A1 WO2017144649 A1 WO 2017144649A1 EP 2017054298 W EP2017054298 W EP 2017054298W WO 2017144649 A1 WO2017144649 A1 WO 2017144649A1
Authority
WO
WIPO (PCT)
Prior art keywords
communication device
data
mobile communication
control unit
synchronization
Prior art date
Application number
PCT/EP2017/054298
Other languages
English (en)
French (fr)
Inventor
Sven Gennermann
Original Assignee
Huf Hülsbeck & Fürst Gmbh & Co. Kg
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huf Hülsbeck & Fürst Gmbh & Co. Kg filed Critical Huf Hülsbeck & Fürst Gmbh & Co. Kg
Publication of WO2017144649A1 publication Critical patent/WO2017144649A1/de

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00817Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/27Individual registration on entry or exit involving the use of a pass with central registration
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00817Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed
    • G07C2009/00825Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed remotely by lines or wireless communication
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00817Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed
    • G07C2009/00841Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed by a portable device

Definitions

  • the invention relates to a method for securing
  • the invention relates to the
  • a key component for example a radio key or so-called ID transmitter, e.g. a
  • the user carrying the key is authorized to gain access to a secure area, in particular a building or site.
  • a secure area in particular a building or site.
  • Registration process of access to fixed assets can be done with a key card or a registered mobile phone. Regarding the access possibilities too
  • a mobile communication device for example, a smartphone.
  • Terrain can give rights to a user, these rights are stored retrievable with a corresponding application and data on a mobile communication device associated with the user.
  • a basic concept then has a fixed installation on a control device that in
  • this control device has an interface in the access area of the user, eg at the entrance to a building or terrain. Upon entry, the stored legitimacy is checked and access is granted depending on it.
  • Platform for example, a service provider or a
  • Mediation position may have a higher security level
  • Communication device by means of an identifier (cognitively memorized data) or biometric data must identify before he gets access to the data stored in the mobile communication device and thus to a plant.
  • Hardware are used, on which a software system image of the cloned mobile device is loaded.
  • the identifiers stored in the hardware itself which are basically not
  • the object of the invention is to provide additional security during authorization processes for access to fixed installations.
  • the object is achieved by a method having the features of claim 1.
  • a mobile communication device in particular a smartphone with a running on it
  • Communication device contains in any case, data at
  • the mobile communication device is thus designed as a key for an access system of the stationary device.
  • Communication device and the application running thereon are designed so that the mobile communication device repeated contact with a remote location, e.g. the central platform or the plant control unit.
  • the intervals of these contact recordings may be in a certain range
  • Mobile device from the remote location with a small data packet transmitted randomly generated content.
  • it is checked according to the invention at each contact, whether the data of a previous contact, for example, the immediately preceding contact, are consistent on both sides.
  • the mobile device transmits the data packet transmitted in the preceding contact reception back to the remote location, which performs a comparison with the previously transmitted data packet at each contact.
  • An essential feature of the invention is thus, at predetermined intervals, a refreshment and
  • the mobile device can be operated by forcing a false identity.
  • the repeated synchronization process can easily be initiated by an application on the mobile device.
  • the synchronization interval can and should be varied randomly within certain limits in order to reduce the complexity and predictability of the contact recordings.
  • Synchronization process to the remote location, e.g. the central platform, so the data is not consistent, since with each contact a new synchronization information is deposited on both sides.
  • the first access of another device would find that the
  • Synchronization data of the previous contact not are consistent and blocking of access can be arranged.
  • the first attempt to synchronize the illegal clone would find that the synchronization information did not match and access would be blocked.
  • Synchronization process characteristic and unique data.
  • the data from a previous, preferably the immediately preceding synchronization process are adjusted and access is inhibited if the matched data is not consistent.
  • Synchronization process is acknowledged such that after transmission of the data takes place a check on the data just transmitted to a faulty transmission and
  • a time stamp is used as the characteristic information, it is also important that the time synchronization of the devices is ensured. It is easier to realize if the remote from the mobile device as the master of synchronization a data packet (for example, the time stamp) to the
  • Mobile device and this mobile device stores this data as characteristic data of the contact. In a subsequent communication, these data are returned, at the remote site and upon successful verification, a new data packet is sent back to the mobile device.
  • the invention is used in a system where a central rights management center coordinates the access rights between mobile devices and fixed assets.
  • a central rights management center coordinates the access rights between mobile devices and fixed assets.
  • the central office verifies the identity of a user. It is often envisaged in such systems that a trusted entity, for example, the manager of the asset, can register in the central office
  • the synchronization would preferably be between mobile
  • the type of data exchange is largely arbitrary, it may be, for example, data messages over a data network, such as calls to secure Internet sites or data exchange via proprietary protocols.
  • the central platform determines that transmitted synchronization information is inconsistent, it locks the appropriate privileges of the associated mobile
  • Communication device and communicates this with a plant control unit, which is also in contact with the central platform.
  • the blocking of such a system is communicated to the user in a suitable manner, for example by a call or by sending a corresponding message. There is then the possibility of blocking by evidence of appropriate legitimization or registration of another mobile communication device.
  • Plant control device transferable when the user couples the mobile communication device with the plant control unit.
  • the central control platform also transmits at least one data container to the mobile communication device, which is signed and
  • This data container is encrypted and is not changeable in the mobile communication device.
  • This data container is transmitted via the mobile communication device from the central platform to the plant control unit and contains the target data, which the plant control unit needs to verify the identity of the user and to compare with the actual data.
  • Data container through the central control platform is provided so that the plant control unit can verify the integrity and origin of the data in the data container.
  • Control platform and plant control unit is thus prevented.
  • the signature by the central control platform is based on stored certificates in the plant control unit.
  • the plant control unit has stored data for this purpose
  • An encryption of the data in the container can
  • Encryption with only the central control platform and the plant control unit at the electronically controllable device having the required keys. Encryption takes place, in particular, with an individual key of the affected system control device.
  • Control platform has made the encryption.
  • the mobile communication device will be for this
  • Data container access rights, booking information and sol data to the user as information to the plant control device are transportable, which otherwise the plant control device directly from the central
  • the mobile communications device would bring the required data in the protected container. It can be in the protected container
  • Configuration data but also program updates be included.
  • the container can be transferred to the plant control unit. There it is decrypted, verified and processed. In this process, for example, the stored usage rights are updated in the plant control unit and the target data of the user are read out. Thereafter, the authorization of the user who is coupled via the mobile communication device with the plant control unit, based on the read target data and the user
  • This process can be perfect for a user
  • Synchronization message also a data container for a plant control unit are transmitted to which the
  • Transport means for a plant control unit which is not accessible from the central control unit.
  • Data container can be stored in this context, the information that the associated device or another mobile device is locked because an unauthorized duplication was detected.
  • the central platform can also notify the system control units of the blockage that are temporarily or permanently not immediately accessible. Is the
  • Plant control unit for the central platform is not
  • Information about locked devices in a data container sent to the mobile communication devices under the regular Synchronization is transmitted. This may involve a plurality of mobile communication devices which are coupled to the same plant control units as the device to be blocked. In this way, the lock information is transmitted to the asset controllers via one or more mobile devices
  • the data container is also transmitted from the mobile communication device to the system control unit. This data container is in the plant control unit
  • Data issued by the central control platform is checked in the plant control unit using stored certificates. After successful verification of the certificate, the no time is given access to the contents of the data container or this content is at least not changeable without destroying the signature.
  • the container is used exclusively for data transport. This can be done without direct
  • Fig. 1 shows an exemplary sequence of the
  • step 10 a device of the system for
  • a trusted body checked by a trusted body and the User data is stored at step 20 in a central platform, particularly a database server.
  • a user's smartphone is coupled to a facility controller on a building, where a unique identifier of the smartphone is stored in the asset control unit and / or the central database server coupled to the asset control unit.
  • step 40 the database server makes a
  • Timestamp and a randomly generated data sequence are randomly generated.
  • Synchronization message is stored in the database server and transmitted to the smartphone via a communication network. Also in the smartphone is the synchronization message
  • Database server will do this with the stored there
  • a comparison at step 90 shows whether the
  • Synchronization messages are consistent. If so, a new synchronization message is generated and transmitted to the smartphone. If not, the smartphone is locked for access in the central database server.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Ein Verfahren zum Absichern von Zutriffssystemen für Gebäude. Ein mobiles Kommunikationsgerät ist als Zugangsschlüssel für 10 das Gebäude eingerichtet. Zum Schutz vor einer unerlaubten Vervielfältigung des Kommunikationsgeräts wird es wiederholt mit einer entfernten Steuereinrichtung verbunden. Dabei werden individuelle Synchronisierungsdaten erzeugt, die in dem mobilen Kommunikationsgerät und der entfernten Steuereinrichtung gespeichert werden. Bei jeder Verbindungen zwischen Kommunikationsgerät und Steuereinrichtung werden Alt-Synchronisierungsdaten aus einer vorangehenden Verbindung vom Kommunikationsgerät an die entfernte Steuereinrichtung übermittelt. Dort erfolgt eine Konsistenzprüfung zwischen den vom Kommunikationsgerät empfangenen Alt-Synchronisierungsdaten und den in der entfernten Steuereinrichtung gespeicherten Alt- Synchronisierungsdaten. Wenn die Daten werden neue Synchronisationsdaten erzeugt und gespeichert. Falls die Daten inkonsistent sind, wird das Kommunikationsgerät für den weiteren Zugang zum Gebäude gesperrt.

Description

Sicherung von Zutrittsberechtigungen zu ortsfesten Anlagen
Die Erfindung betrifft ein Verfahren zur Sicherung von
Zutrittsverfahren. Insbesondere betrifft die Erfindung den
Bereich der Zutritte zu ortfesten Anlagen, wie Gebäuden oder zugangsbeschränkten Geländen.
Eine Berechtigung für den Zutritt zu ortsfesten Anlagen wurde bislang oft über eine Schlüsselkomponente, beispielsweise einen Funkschlüssel oder sogenannten ID-Geber, z.B. eine
Chipkarte geprüft. Derjenige Benutzer, der den Schlüssel bei sich trägt, ist autorisiert, sich Zutritt zu einem gesicherten Bereich, insbesondere einem Gebäude oder Gelände zu verschaffen. Dabei sind auch Systeme bekannt, die drahtlos wirken und auch solche, die gar keinen aktiven Entsperr- oder
Autorisierungsvorgang erfordern, sogenannte Keyless-Entry- Systeme .
Es ist außerdem bekannt, dass nach einem
Registrierungsvorgang der Zutritt zu ortsfeste Anlagen mit einer Schlüsselkarte oder auch einem registrierten Mobiltelefon erfolgen kann. Hinsichtlich der Zutrittsmöglichkeiten zu
ortsfesten Anlagen über Mobilgeräte bestehen allerdings
Vorbehalte hinsichtlich der Sicherheit solcher Konzepte.
Es gibt dabei verschiedene Ansätze, die
Berechtigungsinformationen zum Zutritt zu einer Anlage in ein mobiles Kommunikationsgerät (beispielsweise ein Smartphone) zu verlagern. Der Eigentümer oder Manager eines Gebäudes oder
Geländes kann einem Benutzer Rechte einräumen, diese Rechte werden mit einer entsprechenden Applikation und Daten auf einem dem Benutzer zugeordneten mobilen Kommunikationsgerät abrufbar hinterlegt. In einem grundlegenden Konzept verfügt dann eine ortsfeste Anlage über eine Steuereinrichtung, die in
Kommunikation mit dem mobilen Kommunikationsgerät tritt
(beispielsweise über eine Bluetooth- oder NFC-Verbindung) . Diese Steuereinrichtung hat dazu eine Schnittstelle im Zugriffsbereich des Benutzers, z.B. am Eingang zu einem Gebäude oder Gelände. Bei Zutritt wird die gespeicherte Legitimation geprüft und in Abhängigkeit davon wird Zutritt gewährt.
In fortgeschrittenen Systemen kommunizieren sowohl eine Steuereinheit in der ortsfesten Anlage als auch das mobile
Kommunikationsgerät mit einer zentralen und gesicherten
Plattform, die beispielsweise ein Dienstprovider oder ein
Verwalter des Zutrittssystems vorhält. Durch diese
Vermittlungsposition kann eine höhere Sicherheitsstufe
gewährleistet werden.
Es kann außerdem vorgesehen sein, dass der Benutzer eines mobilen Kommunikationsgerät sich gegenüber diesem mobilen
Kommunikationsgerät mittels einer Kennung (kognitiv memorierten Daten) oder biometrischer Daten identifizieren muss, bevor er Zugriff auf die im mobilen Kommunikationsgerät gespeicherten Daten und damit zu einer Anlage erhält.
Die vorgenannten Konzepte bieten zwar bezüglich üblicher Angriffe eine robuste Sicherheit, es ist jedoch erstrebenswert, die Sicherheit weiter zu verbessern. So bieten beispielsweise Systeme noch keine umfassende Sicherheit im Falle des Klonens eines Mobilgerätes ( Smartphones ) durch einen böswilligen
Dritten. Es ist grundsätzlich (mit erheblichem Aufwand) möglich, eine exakte Kopie eines Mobilgerätes, insbesondere eines
Smartphones anzulegen. Dafür kann zum Beispiel identische
Hardware verwendet werden, auf welche ein Software-Systemabbild des geklonten Mobilgerätes aufgespielt wird. Die in der Hardware selbst gespeicherten Kennungen, die grundsätzlich nicht
manipulierbar sind da sie hardwareseitig gespeichert sind, können über einen Software-Layer, zum Beispiel unterhalb der Betriebssystemebene abgefangen und manipuliert werden, so dass auch eine identische Hardware sowohl dem Betriebssystem als auch verbundenen Dritten vorgespielt wird. Die Absicherung eines solchen Vorgangs ist in den bisherigen Konzepten noch nicht realisiert .
Aufgabe der Erfindung ist es, eine zusätzliche Sicherheit bei Autorisierungsvorgängen zum Zutritt zu ortsfesten Anlagen bereitzustellen. Die Aufgabe wird erfindungsgemäß gelöst durch ein Verfahren mit den Merkmalen des Patentanspruchs 1.
Gemäß der Erfindung wird ein mobiles Kommunikationsgerät, insbesondere ein Smartphone mit einer darauf laufenden
Applikation verwendet, um den Zutritt zu ortsfesten Anlagen zu managen. Ein derart ausgestattetes Smartphone ist dazu
vorbereitet, sowohl mit einer zentralen Plattform zu
kommunizieren als auch mit einer Sicherheitseinrichtung an einer Anlage, z.B. einem Gebäude. Es ist jedoch auch möglich, dass nur eine Anlagen-Steuereinheit und das mobile Kommunikationsgerät ohne zentrale Plattform eingesetzt werden. Das mobile
Kommunikationsgerät enthält in jedem Fall Daten, die bei
Übermittlung an eine gekoppelte Sicherheitseinrichtung (z.B. Türzugangssystem) eine Legitimation des Besitzers des mobilen Kommunikationsgerätes bewirken. Das mobile Kommunikationsgerät ist also als Schlüssel für ein Zutrittssystem der ortsfesten Einrichtung ausgebildet.
Wesentlich ist, dass gemäß der Erfindung das mobile
Kommunikationsgerät und die darauf laufende Applikation so ausgebildet sind, dass das mobile Kommunikationsgerät wiederholt Kontakt zu einer entfernten Stelle, z.B. der zentralen Plattform oder auch der Anlagen-Steuereinheit aufnimmt. Die Zeitabstände dieser Kontaktaufnahmen können in einem gewissen Bereich
zufällig variiert werden oder auch auf eine feste Periodendauer vorgegeben werden. Beispielsweise können Zeitabstände der
Kontaktaufnahmen von 10 Minuten oder 60 Minuten oder auch mehreren Stunden vorgesehen sein.
Diese Kontaktaufnahmen erfordern keine Benutzereinwirkung, die beteiligten Geräte erledigen die Kontaktaufnahmen und
Abwicklung autonom.
Bei jeder Kontaktaufnahme werden sowohl im mobilen
Kommunikationsgerät als auch bei entfernten Stellen
charakteristische und eindeutige Daten für die jeweilige
Kontaktaufnahme gespeichert. Beispielsweise können die
charakteristischen Daten in einem Zeitstempel bestehen, welcher die Kontaktaufnahme dokumentiert. Alternativ kann zu dem
Mobilgerät von der entfernten Stelle ein kleines Datenpaket mit zufällig generiertem Inhalt übermittelt werden. Außerdem wird erfindungsgemäß bei jeder Kontaktaufnahme überprüft, ob die Daten einer vorangehenden Kontaktaufnahme, beispielsweise der unmittelbar vorangehenden Kontaktaufnahme, beidseitig konsistent sind. Es wird also bei jeder Kontaktaufnahme beispielsweise festgestellt, ob auf beiden Seiten der identische Zeitstempel oder Datensatz der vorangehenden Kontaktaufnahme vorhanden ist. Dazu übermittelt das Mobilgerät bei jeder Kontaktaufnahme das in der vorangehenden Kontaktaufnahme übermittelte Datenpaket zurück an die entfernte Stelle, die dort einen Vergleich mit dem vorangehend übermittelten Datenpaket durchführt.
Wird bei dieser Kontrolle eine Inkonsistenz festgestellt, so kann darauf reagiert werden, indem der Zutritt für dieses mobile Kommunikationsgerät gesperrt wird. Dazu wird eine Sperrung in der entfernten Stelle veranlasst, also in der zentralen
Plattform und/oder unmittelbar in der Steuereinheit der
ortsfesten Anlage.
Ein wesentliches Merkmal der Erfindung besteht also darin, in vorgegebenen zeitlichen Abständen eine Auffrischung und
Synchronisation von Daten zwischen dem mobilem
Kommunikationsgerät und der Anlagen-Steuereinheit oder zwischen Mobilgerät und der zentralen Steuerplattform vorzusehen und automatisiert abzuwickeln. Dies schützt davor, dass ein
geklöntes Mobilgerät unter Vorspielen einer falschen Identität betrieben werden kann. Der wiederholte Synchronisationsvorgang kann problemlos durch eine Applikation auf dem Mobilgerät initiiert werden. Das Synchronisationsintervall kann und sollte in gewissen Grenzen zufällig variiert werden, um eine Systematik und Berechenbarkeit der Kontaktaufnahmen zu reduzieren.
Greifen beispielswiese zwei Geräte, ein legitimes und ein unberechtigter Geräteklon, gemäß diesem erfindungsgemäßen
Synchronisierungsvorgang auf die entfernte Stelle, z.B. die zentrale Plattform zu, so sind die Daten nicht konsistent, da bei jeder Kontaktaufnahme eine neue Synchronisierungsinformation auf beiden Seiten hinterlegt wird. Beim ersten Zugriff eines anderen Gerätes würde festgestellt, dass die
Synchronisierungsdaten des vorangehenden Kontaktes nicht konsistent sind und eine Sperrung des Zutrittes kann veranlasst werden .
Wird ein geklöntes Mobilgerät erst nach dem Kopiervorgang und mit erheblicher Zeitverzögerung, also einer Zeitverzögerung die größer als die Abstände der Synchronisation sind, in Betrieb genommen, dann hat inzwischen bereits das Originalgerät neue Synchronisierungsinformationen empfangen und an der entfernten Stelle sind ebenfalls die Synchronisierungsinformation
aktualisiert worden.
Beim ersten Synchronisierungsversuch des illegalen Klons würde festgestellt, dass die Synchronisierungsinformationen nicht übereinstimmen und der Zutritt würde gesperrt.
Erfindungsgemäß erfolgt ein Vorgang der wiederholten
Sicherheitssynchronisierung zwischen dem Mobilgerät und einer entfernten Stelle und Speicherung von für den jeweiligen
Synchronisationsvorgang charakteristischen und eindeutigen Daten. Bei jedem nachfolgenden Synchronisierungsvorgang werden die Daten aus einem vorangehenden, vorzugsweise dem unmittelbar vorangehenden Synchronisierungsvorgang abgeglichen und ein Zutritt wird unterbunden, wenn die abgeglichenen Daten nicht konsistent sind.
Es ist im Rahmen der Erfindung sinnvoll, wenn jeder
Synchronisierungsvorgang derart quittiert wird, dass nach einer Übermittlung der Daten eine Kontrolle der gerade übermittelten Daten stattfindet, um eine fehlerhafte Übermittlung und
Speicherung auszuschließen. Vorzugsweise wird daher bei jeder Synchronisierung und Übermittlung neuer Synchronisierungsdaten eine wechselseitige Überprüfung der übermittelten und
gespeicherten Daten stattfinden. Wird als charakteristische Information beispielsweise ein Zeitstempel verwendet ist es außerdem wichtig, dass die zeitliche Synchronisation der Geräte sichergestellt ist. Einfacher zu realisieren ist es, wenn die vom Mobilgerät entfernte Stelle als Master der Synchronisation ein Datenpaket (beispielsweise den Zeitstempel) an das
Mobilgerät übermittelt und dieses Mobilgerät diese Daten als charakteristische Daten der Kontaktaufnahme speichert. In einer nachfolgenden Kommunikation werden diese Daten zurückgeschickt, an der entfernten Stelle geprüft und bei erfolgreicher Prüfung wird ein neues Datenpaket an das Mobilgerät zurückgesendet.
Da die Daten regelmäßig erneuert werden und nicht nach einem Algorithmus auf dem Mobiltelefon erzeugt werden, entzieht sich eine solche Maßnahme dem illegalen Klon eines Mobilgerätes. Es würde erkannt, wenn mehrere Geräte mit vorgetäuschter Identität auf dieselbe entfernte Stelle zugreifen würden.
Vorzugsweise wird die Erfindung in einem System eingesetzt, wo eine zentrale Rechteverwaltungsstelle die Zutrittsrechte zwischen Mobilgeräten und ortsfesten Anlagen koordiniert. Bei solchen Systemen verifiziert beispielsweise die zentrale Stelle die Identität eines Benutzers. Es ist bei derartigen Systemen oft vorgesehen, dass eine vertrauenswürdige Stelle, zum Beispiel der Verwalter der Anlage, die Eintragung in der zentralen
Datenbank vornimmt und von diesen zentralen Eintragungen sowohl die Anlagen-Steuereinheit selbst als auch das mobile
Kommunikationsgerät abhängig sind. In einem solchen Fall würde die Synchronisierung vorzugsweise zwischen mobilem
Kommunikationsgerät und der zentralen Stelle stattfinden, wobei das mobile Kommunikationsgerät und die zentrale Stelle über eine drahtlose Datenleitung verbindbar sind. Da jedes
Synchronisierungsereignis nur sehr kleine Datenmengen
austauscht, ist ein solches System ohne wesentliche Belastung des Datenverkehrs oder des Betriebs des Mobilgerätes möglich. Die Art des Datenaustausches ist weitgehend beliebig, es kann sich beispielsweise um Datennachrichten über ein Datennetzwerk handeln, beispielsweise Aufrufe von gesicherten Internetseiten oder ein Datenaustausch über proprietäre Protokolle.
Sobald die zentrale Plattform feststellt, dass übermittelte Synchronisierungsinformationen nicht konsistent sind, sperrt sie die entsprechenden Privilegien des zugeordneten mobilen
Kommunikationsgeräts und teilt dies einer Anlagen-Steuereinheit mit, die ebenfalls in Kontakt der zentralen Plattform steht.
Die Sperrung eines solchen Systems wird dem Benutzer in geeigneter Weise mitgeteilt, beispielsweise durch einen Anruf oder Zusendung einer entsprechenden Mitteilung. Es besteht danach die Möglichkeit, die Sperrung durch Nachweis einer geeigneten Legitimation oder Anmeldung eines anderen mobilen Kommunikationsgerätes aufzuheben .
Auch wenn ein Benutzer veranlasst wird sein mobiles
Kommunikationsgerät zurückzusetzen oder eine ältere Sicherung des Mobilgerätes wieder aufzuspielen, kann ein solcher Vorgang erforderlich sein, da dann auch die gespeicherten
Synchronisierungsinformationen verloren sind.
Auch für den Fall, dass zum Zeitpunkt des Zugangs am Ort de Anlagen-Steuereinheit keine Verbindung zwischen der zentralen Plattform und der Anlagen-Steuereinheit besteht, ist das
Verfahren grundsätzlich einsetzbar. In dem Fall einer solchen Offline-Zugriffsberechtigungserteilung (wobei sich das „Offline" auf die Anlagen-Steuereinheit bezieht) , werden von der zentralen Plattform bei einem Kontakt mit dem mobilen Kommunikationsgerät nicht nur die für das mobile Kommunikationsgerät bestimmten Daten zu einer Zugriffsberechtigung gesendet.
Diese für das mobile Kommunikationsgerät bestimmten Daten sind in der mobilen Zugriffseinrichtung lesbar und an die
Anlagen-Steuereinrichtung übertragbar, wenn der Nutzer das mobilen Kommunikationsgerät mit der Anlagen-Steuereinheit koppelt. Die zentrale Steuerplattform überträgt für den Fall einer Unerreichbarkeit der Anlagen-Steuereinheit durch die zentrale Plattform aber außerdem wenigstens einen Datencontainer an das mobile Kommunikationsgerät, welcher signiert und
verschlüsselt ist und in dem mobilen Kommunikationsgerät nicht veränderbar ist. Dieser Datencontainer wird über das mobile Kommunikationsgerät von der zentralen Plattform an die Anlagen- Steuereinheit übermittelt und enthält die Soll-Daten, welche die Anlagen-Steuereinheit zur Prüfung der Identität des Nutzers und zum Vergleich mit den Ist-Daten benötigt.
Eine Signatur des Datencontainers oder der Daten im
Datencontainer durch die zentrale Steuerplattform ist dazu vorgesehen, dass die Anlagen-Steuereinheit die Integrität und Herkunft der Daten im Datencontainer verifizieren kann. Eine Manipulation der Daten auf dem Weg zwischen zentraler
Steuerplattform und Anlagen-Steuereinheit ist damit unterbunden. Die Signatur durch die zentrale Steuerplattform wird anhand von gespeicherten Zertifikaten in der Anlagen-Steuereinheit geprüft. Die Anlagen-Steuereinheit verfügt dazu über gespeicherte
Zertifikate. Diese wurden in einer sicheren Umgebung, z.B.
Herstellerseitig oder Verwalterseitig gespeichert. Dieses
Konzept ist z.B. aus Internet-Browsern bekannt, die bei
Installation Informationen zur Verifizierung der Zertifikate von zahlreichen Zertifizierungsstellen mitbringen. Eine Veränderung der Daten ist damit technisch kaum möglich, die Sicherheit sowohl der Integrität der Daten als auch deren Herkunft von der berechtigten zentralen Steuerplattform ist gesichert.
Eine Verschlüsselung der Daten im Container kann
insbesondere mit einer symmetrischen oder asymmetrischen
Verschlüsselung erfolgen, wobei nur die zentrale Steuerplattform und die Anlagen-Steuereinheit an der elektronisch steuerbaren Einrichtung über die erforderlichen Schlüssel verfügen. Eine Verschlüsselung erfolgt insbesondere mit einem individuellen Schlüssel der betroffenen Anlagen-Steuereinrichtung. Die
Entschlüsselung ist dann ausschließlich in der adressierten Anlagen-Steuereinrichtung möglich, zu welcher die zentrale
Steuerplattform die Verschlüsselung vorgenommen hat.
Das mobile Kommunikationsgerät wird für diesen
Datencontainer als Transportmedium verwendet, ohne dass dieses auf Inhalte des Containers Zugriff hätte. Der Sinn dieser
Maßnahme besteht darin, dass in dem unzugänglichen
Datencontainer Zugriffsrechte, Buchungsinformationen und Sol- Daten zum Benutzer als Informationen zur Anlagen- Steuereinrichtung transportierbar sind, welche die Anlagen- Steuereinrichtung ansonsten unmittelbar von der zentralen
Plattform erhalten würde. Wenn dieser unmittelbare Empfang jedoch nicht möglich ist, z.B., weil die Anlagen-Steuereinheit nicht mit einem Datenübertragungsnetz gekoppelt ist oder nur in größeren Zeitabständen aktualisiert wird, bringt das mobile Kommunikationsgerät die erforderlichen Daten in dem geschützten Container mit. Dabei können in dem geschützten Container
Konfigurationsdaten, jedoch auch Programmaktualisierungen enthalten sein. Sobald das mobile Kommunikationsgerät mit der Anlagen- Steuereinheit koppelt, kann der Container an die Anlagen- Steuereinheit übertragen werden. Dort wird er entschlüsselt, verifiziert und verarbeitet. In diesem Vorgang werden z.B. die gespeicherten Benutzungsrechte in der Anlagen-Steuereinheit aktualisiert und die Soll-Daten des Benutzers werden ausgelesen. Danach kann die Berechtigung des Benutzers, der über das mobile Kommunikationsgerät mit der Anlagen-Steuereinheit gekoppelt ist, anhand der ausgelesenen Soll-Daten und der vom Benutzer
eingegebenen Ist-Daten verifiziert werden.
Dieser Vorgang kann für einen Benutzer vollkommen
transparent ablaufen. Der Benutzer für das mobile
Kommunikationsgerät mit sich. Zur Verhinderung der unerlaubten Vervielfältigung wird in Zeitabständen, wie oben erläutert, Kontakt zwischen dem mobilen Kommunikationsgerät und der
zentralen Plattform hergestellt. Bei solchen Verbindungen kann dem mobilen Kommunikationsgerät neben einer
Synchronisierungsnachricht auch ein Datencontainer für eine Anlagen-Steuereinheit übermittelt werden, auf welche der
Benutzer demnächst zugreifen könnte. Dies geschieht durch
Kommunikation der Applikation auf dem mobilen
Kommunikationsgerät mit der zentralen Plattform. In einer
Kontaktaufnahme wird also das mobile Kommunikationsgerät auf eine unerlaubte Vervielfältigung geprüft und außerdem als
Transportmittel für eine Anlagen-Steuereinheit, die von der zentralen Steuereinheit nicht erreichbar ist. In dem
Datencontainer kann in diesem Zusammenhang auch die Information hinterlegt sein, dass das zugeordnete Gerät oder ein anderes mobiles Gerät gesperrt wird, da eine unerlaubte Vervielfältigung erkannt wurde.
Die bedeutet, dass die zentrale Plattform auch an Anlagen- Steuereinheiten die Sperrung mitteilen kann, welche zeitweise oder dauerhaft nicht unmittelbar erreichbar sind. Ist die
Anlagen-Steuereinheit für die zentrale Plattform nicht
erreichbar, so packt die zentrale Steuerplattform die
Informationen zu gesperrten Geräten in einen Datencontainer, der an die mobilen Kommunikationsgeräte im Rahmen der regelmäßigen Synchronisation übermittelt wird. Dies kann eine Mehrzahl an mobilen Kommunikationsgeräten betreffen, welche mit denselben Anlagen-Steuereinheiten gekoppelt werden, wie das zu sperrende Gerät. Auf diese Weise werden die Sperrinformationen über ein oder mehrere Mobilgeräte an die Anlagen-Steuereinheiten
verteilt .
Geht ein Benutzer nun mit seinem mobilen Kommunikationsgerät zur Anlagen-Steuereinheit initiiert einen Öffnungsdialog, wird neben den Legitimationsdaten auch der Datencontainer vom mobilen Kommunikationsgerät an die Anlagen-Steuereinheit übertragen. Dieser Datencontainer wird in der Anlagen-Steuereinheit
entschlüsselt, wo der private Schlüssel zur Decodierung
gespeichert ist.
Die Signatur des Containers oder der darin gespeicherten
Daten, ausgestellt durch die zentrale Steuerplattform, wird in der Anlagen-Steuereinheit anhand von gespeicherten Zertifikaten geprüft. Nach erfolgreicher Prüfung des Zertifikats werden die
Figure imgf000012_0001
keiner Zeit Zugriff auf den Inhalt des Datencontainers gegeben ist oder dieser Inhalt zumindest nicht veränderbar ist, ohne die Signatur zu zerstören. Der Container wird ausschließlich zum Datentransport verwendet. Dadurch kann auch ohne direkte
Verbindung zwischen zentraler Plattform und Anlagen- Steuereinrichtung eine Aktualisierung der Konfiguration und Programmierung der Anlagen-Steuereinrichtung erfolgen. So sind Aktualisierungen für Anlagen-Steuereinheiten möglich, welche für die zentrale Steuerplattform unerreichbar sind.
Der Ablauf einer Ausführungsform des Verfahrens ist
beispielhaft in der beiliegenden Zeichnung dargestellt.
Fig. 1 zeigt einen beispielhaften Ablauf des
Sicherungsverfahrens .
In Schritt 10 erfolgt eine Einrichtung des Systems zur
Ausführung des Verfahrens. Die Identität des Benutzers
durch eine vertrauenswürdige Stelle geprüft und die Benutzerdaten werden bei Schritt 20 in einer zentralen Plattform, insbesondere einem Datenbankserver gespeichert.
Bei Schritt 30 wird ein Smartphone des Benutzers mit einer Anlagen-Steuereinheit an einem Gebäude gekoppelt, wobei eine eindeutige Kennung des Smartphones in der Anlagen-Steuereinheit und/oder dem zentralen Datenbankserver gespeichert wird, welcher mit der Anlagen-Steuereinheit gekoppelt ist.
In Schritt 40 wird von dem Datenbankserver eine
Synchronisationsnachricht erstellt. Die enthält einen
Zeitstempel und eine zufällig generierte Datenfolge. Diese
Synchronisationsnachricht wird im Datenbankserver gespeichert und an das Smartphone über ein Kommunikationsnetz übermittelt. Auch im Smartphone wird die Synchronisationsnachricht
gespeichert .
Bei Schritt 50 wird eine Pause abgewartet bevor bei Schritt
60 erneut eine Kommunikationsverbindung zwischen Smartphone und Datenbankserver aufgebaut wird. Das Smartphone übermittelt die in der vorherigen Kommunikation erhaltene
Synchronisationsnachricht bei Schritt 70 und in dem
Datenbankserver wird diese mit der dort gespeicherten
Synchronisationsnachricht in Schritt 80 verglichen.
Ein Vergleich bei Schritt 90 zeigt, ob die
Synchronisationsnachrichten konsistent sind. Falls ja, wird eine neue Synchronisationsnachricht erzeugt und an das Smartphone übermittelt. Falls nein, wird das Smartphone für den Zugriff im zentralen Datenbankserver gesperrt.

Claims

Patentansprüche
1. Verfahren zum Sichern eines Zutrittsverfahrens für eine ortsfeste Anlage, wobei das Zutrittsverfahren wenigstens ein mobiles Kommunikationsgerät und eine entfernte
Steuereinrichtung zur Verwaltung der Zutrittsrechte aufweist und wobei das mobile Kommunikationsgerät als Schlüssel für die ortsfeste Anlage eingerichtet ist,
aufweisend die Schritte,
wiederholtes Verbinden des mobilen Kommunikationsgerätes mit der entfernten Steuereinrichtung,
Erzeugen von charakteristischen Neu-Synchronisierungsdaten für jede Verbindung,
Speichern wenigstens eines Teils der charakteristischen Neu-Synchronisierungsdaten in dem mobilen Kommunikationsgerät und der entfernten Steuereinrichtung,
Übermitteln von charakteristischen Alt- Synchronisierungsdaten einer vorangehenden Verbindung von dem mobilen Kommunikationsgerät an die entfernte
Steuereinrichtung,
Konsistenzprüfung in der entfernten Steuereinrichtung zwischen den vom mobilen Kommunikationsgerät empfangenen Alt- Synchronisierungsdaten und den in der entfernten
Steuereinrichtung gespeicherten Alt-Synchronisierungsdaten,
- falls die Daten konsistent sind, unterbrechen der
Verbindung und Abwarten eines
Synchronisierungsintervalls bevor die Verbindung für die nächste Synchronisation wiederhergestellt wird; - falls die Daten inkonsistent sind, sperren des
mobilen Kommunikationsgeräts für den weiteren Zutritt zu der ortsfesten Anlage.
2. Verfahren nach Anspruch 1, wobei die Neu- Synchronisierungsdaten in der entfernten Steuereinrichtung erzeugt werden. 2
3. Verfahren nach einem der vorangehenden Ansprüche, wobei in dem mobilen Kommunikationsgerät und der entfernten
Steuereinrichtung asymmetrische Daten gespeichert werden.
4. Verfahren nach einem der vorangehenden Ansprüche, wobei eine zentrale Plattform als entfernte Steuereinrichtung verwendet wird, welche die Zutrittsrechte für eine Vielzahl von Benutzern, ortsfesten Anlagen und zugeordneten mobilen Kommunikationsgeräten verwaltet und mit einer Vielzahl von Anlagenseitigen Anlagen-Steuereinheiten kommuniziert.
5. Verfahren nach Anspruch 4, wobei bei wenigstens einigen der Verbindungen zwischen dem mobilen Kommunikationsgerät und der zentralen Plattform zusätzlich ein von der zentralen
Plattform signierter Datencontainer an die mobile
Kommunikationseinrichtung übermittelt wird,
wobei der Datencontainer bei einer Verbindung der mobilen Kommunikationseinrichtung mit einer Anlagen-Steuereinheit an die Anlagen-Steuereinheit übertragen wird,
wobei in der Anlagen-Steuereinheit die Signatur
Figure imgf000015_0001
rd und nach erfolgreicher Verifikation die
Anlagen-Steuereinheit mit dem Inhalt des Datencontainers aktualisiert wird.
PCT/EP2017/054298 2016-02-25 2017-02-24 Sicherung von zutrittsberechtigungen zu ortsfesten anlagen WO2017144649A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102016103366.9A DE102016103366A1 (de) 2016-02-25 2016-02-25 Sicherung von Zutrittsberechtigungen zu ortsfesten Anlagen
DE102016103366.9 2016-02-25

Publications (1)

Publication Number Publication Date
WO2017144649A1 true WO2017144649A1 (de) 2017-08-31

Family

ID=58162584

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2017/054298 WO2017144649A1 (de) 2016-02-25 2017-02-24 Sicherung von zutrittsberechtigungen zu ortsfesten anlagen

Country Status (2)

Country Link
DE (1) DE102016103366A1 (de)
WO (1) WO2017144649A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018105171A1 (de) * 2018-03-07 2019-09-12 Schott Ag Linsenkappe, Fotodiode mit einer Linsenkappe sowie Verfahren zu deren Herstellung
US11776341B2 (en) 2019-09-11 2023-10-03 Carrier Corporation Intruder detection through lock reporting

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8380165B1 (en) * 2010-10-22 2013-02-19 Sprint Communications Company L.P. Identifying a cloned mobile device in a communications network
US20140049364A1 (en) * 2012-08-16 2014-02-20 Schlage Lock Company Llc Operation communication system
WO2016165864A1 (de) * 2015-04-13 2016-10-20 Huf Hülsbeck & Fürst Gmbh & Co. Kg Sicherung von zugriffen auf fahrzeuge

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8380165B1 (en) * 2010-10-22 2013-02-19 Sprint Communications Company L.P. Identifying a cloned mobile device in a communications network
US20140049364A1 (en) * 2012-08-16 2014-02-20 Schlage Lock Company Llc Operation communication system
WO2016165864A1 (de) * 2015-04-13 2016-10-20 Huf Hülsbeck & Fürst Gmbh & Co. Kg Sicherung von zugriffen auf fahrzeuge

Also Published As

Publication number Publication date
DE102016103366A1 (de) 2017-08-31

Similar Documents

Publication Publication Date Title
DE102006015212B4 (de) Verfahren zum Schutz eines beweglichen Gutes, insbesondere eines Fahrzeugs, gegen unberechtigte Nutzung
EP3284064B1 (de) Sicherung von zugriffen auf fahrzeuge
DE102015103020B4 (de) Verfahren zum bereitstellen einer benutzerinformation in einem fahrzeug unter verwendung eines kryptografischen schlüssels
DE102017209961B4 (de) Verfahren und Vorrichtung zum Authentisieren eines Nutzers an einem Fahrzeug
DE102013215303A1 (de) Mobiles elektronisches Gerät
WO2015104180A1 (de) Verfahren und vorrichtung zur freigabe von funktionen eines steuergerätes
EP2567501B1 (de) Verfahren zum kryptographischen schutz einer applikation
EP3649625B1 (de) Verfahren zur delegation von zugriffsrechten
DE102019127100A1 (de) Verfahren und system zum bereitstellen von sicherheit eines fahrzeuginternen netzwerkes
US20190087752A1 (en) Method for monitoring access to electronically controllable devices
DE102014219502A1 (de) System und Verfahren für einen beschränkten Zugang zu einem Fahrzeug
AT512419A1 (de) Verfahren und vorrichtung zur zutrittskontrolle
DE102011075257A1 (de) Beantwortung von Anfragen mittels des Kommunikationsendgeräts eines Nutzers
WO2017144649A1 (de) Sicherung von zutrittsberechtigungen zu ortsfesten anlagen
DE102017121648B3 (de) Verfahren zum anmelden eines benutzers an einem endgerät
CN103177203A (zh) 一种电脑登陆管理系统
DE102017006200A1 (de) Verfahren, Hardware und System zur dynamischen Datenübertragung an ein Blockchain Rechner Netzwerk zur Abspeicherung Persönlicher Daten um diese Teils wieder Blockweise als Grundlage zur End zu Endverschlüsselung verwendet werden um den Prozess der Datensammlung über das Datenübertragungsmodul weitere Daten in Echtzeit von Sensoreinheiten dynamisch aktualisiert werden. Die Blockmodule auf dem Blockchaindatenbanksystem sind unbegrenzt erweiterbar.
WO2016041843A1 (de) Verfahren und anordnung zur autorisierung einer aktion an einem selbstbedienungssystem
WO2016037749A1 (de) Verfahren zum aufbau einer authentifizierten verbindung zur absicherung von elektronischen gegenständen
DE102015211104A1 (de) Verfahren zur Bereitstellung von Authentifizierungsfaktoren
EP2952029A1 (de) Verfahren zum zugriff auf einen dienst eines servers über eine applikation eines endgeräts
DE102019109341B4 (de) Verfahren zum sicheren Austausch von verschlüsselten Nachrichten
EP3530023B1 (de) Gebäude- oder einfriedungsabschlussschliess- und/oder -öffnungsvorrichtung sowie verfahren zum betrieb eines gebäude- oder einfriedungsabschlusses
DE102017012249A1 (de) Mobiles Endgerät und Verfahren zum Authentifizieren eines Benutzers an einem Endgerät mittels mobilem Endgerät
EP3312753B1 (de) Physisches sicherheitselement zum zurücksetzen eines passworts

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17707275

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 17707275

Country of ref document: EP

Kind code of ref document: A1