Verfahren, Terminal und System zur Freigabekontrolle einer Einrichtung
Die Erfindung betrifft ein Verfahren zur durch ein Terminal gesteuerten Freigabekontrolle einer Einrichtung, wie z.B. einer Zutrittskontrolleinrichtung oder einer Warenausgabeeinrichtung.
Die Erfindung betrifft weiters ein Terminal und ein System zur Freigabekontrolle einer Einrichtung, wie z.B. einer Zutrittskontrolleinrichtung oder einer Warenausgabeeinrichtung.
Es sind verschiedenste Systeme bekannt, die die Freigabe von Einrichtungen, wie z.B. Zutrittskontrolleinrichtungen oder Warenausgabeeinrichtungen steuern. Die bekannten Systeme sind dabei entweder als Stand-alone-Geräte ausgebildet, die direkt in die freizugebende Einrichtung integriert sind, wie z.B.
Eingangstüren oder Drehkreuze, die durch Tickets o. dergl. geöffnet werden können, oder sind als Server-Client-Systeme ausgebildet, bei denen der Client nur Daten eines Benutzers sammelt, diese an den Server weiterleitet, der eine Überprüfung der Daten vornimmt und gegebenenfalls den Client instruiert, eine Einrichtung freizugeben, eine Ware auszugeben, etc.
Der vorliegenden Erfindung liegt die Aufgabe zugrunde, ein Verfahren, ein Terminal und ein System zur Freigabekontrolle einer Einrichtung bereitzustellen, die nach dem ServerClient-Prinzip funktionieren, bei denen aber aus Sicherheitsgründen und um Kosten zu sparen keine direkte Datenleitung zwischen dem Client und dem Server vorhanden ist.
Das erfindungsgemässe Verfahren zur durch ein Terminal gesteuerten Freigabekontrolle einer Einrichtung, wie z.B.
einer Zutrittskontrolleinrichtung oder einer Warenausgabeeinrichtung, weist die folgenden Schritte auf:
- das Aktivieren des Terminals durch einen Benutzer,
- das Erzeugen eines ersten Codes mittels eines ersten Algorithmus in dem Terminal, das Übergeben des ersten Codes an ein dem Benutzer zugeordnetes Datenübertragungsgerät,
- das Übertragen des ersten Codes zusammen mit Benutzer-Identitätsdaten von dem Datenübertragungsgerät an einen entfernten Server,
- das Überprüfen des ersten Codes und der Benutzer-Identitätsdaten im Server, und falls der erste Code und der Benutzer zugelassen sind, das Erzeugen eines zweiten Codes mittels eines zweiten Algorithmus in dem Server,
- das Übertragen des zweiten Codes an das dem Benutzer zugeordnete Datenübertragungsgerät, - das Übergeben des zweiten Codes von dem Datenübertragungsgerät an das Terminal,
- das Überprüfen der Gültigkeit des zweiten Codes durch einen dritten Algorithmus durch das Terminal, und falls der zweite Code gültig ist,
- das Ausgeben eines Freigabesignals an die freizugebende Einrichtung.
Die erfindungsgemässe Aufgabe wird weiters durch Bereitstellen eines Terminals zur Freigabekontrolle einer Einrichtung mit den Merkmalen des Anspruches 9 und durch Bereitstellen eines Systems zur Freigabekontrolle einer Einrichtung mit den Merkmalen des Anspruches 14 gelöst.
Vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Ansprüchen dargelegt.
Die Erfindung bietet gegenüber dem Stand der Technik folgende Vorteile:
Das Terminal braucht nur eine Stromversorgung (Stromnetz, Batterien, Akku oder Solarenergie), jedoch keine Datenleitung, Telefonleitung oder Antenne.
Das Terminal benötigt keine Informationen über das Datum oder die Uhrzeit.
Es ist eine zentrale Verwaltung einer Vielzahl von Terminals mit nur einem Server möglich, da nur am Server die Regeln für die Freigabe von Einrichtungen hinterlegt werden.
Eine Änderung der Zugangsregeln für alle oder nur für bestimmte Terminals ist in wenigen Minuten möglich und ab dem Zeitpunkt der Eintragung am Server sofort gültig.
Die beim Stand der Technik notwendige Herstellung,
Verteilung und Verwaltung von Berechtigungskarten kann entfallen.
Jede denkbare Art von Zutrittskontrolleinrichtung kann damit angesteuert werden (Schranken, Drehkreuz, Tür, Schlüsseltresor...).
Geringe Anlagenkosten. Die Realisierung des Terminals kann mittels eines Personal Digital Assistant (PDA) und einer Tastatur in einem vandalismussicheren und gegebenenfalls wetterfesten Gehäuse erfolgen.
Eine solche Ausführung des Terminals hat sehr geringe Betriebskosten, Strom wird nur für den PDA benötigt.
Es kann eine perfekte Statistik über die Nutzung des Systems geführt werden (wer war wann dort etc.).
Das System vermeidet Bargeldtransfer, da entgeltliche Leistungen oder Waren über eine vom Server erstellte Rechnung abgerechnet werden.
In einer vorteilhaften Ausgestaltung der Erfindung wird in den ersten Code eine TerminalIdentifikation eincodiert, die vom Server bei der Überprüfung ausgewertet wird, wobei vorzugsweise der Server seinerseits Information über die Terminal-Identifikation in den von ihm erzeugten zweiten Code eincodiert.
Durch diese Ausgestaltung ist die individuelle Einstellung der Zugangsregeln für jedes einzelne Terminal möglich, da jedes Terminal eine andere Terminal-Identifikation hat.
Zur Ansteuerung von Warenausgabeautomaten o. dergl. kann vorgesehen werden, dass in den ersten Code eine Auswahlinformation eincodiert ist, die eine vom Benutzer am Terminal ausgewählte Ware etc. kennzeichnet. Die Auswahlinformation wird vom Server bei der Überprüfung ausgewertet, wobei der Server optional Information über die Auswahlinformation in den von ihm erzeugten zweiten Code eincodiert. Bei der Auswertung des zweiten Codes durch das Terminal kann das Terminal aus der in den zweiten Code eincodierten Information über die Auswahlinformation erkennen, ob der Benutzer überhaupt zur Auswahl einer bestimmten Ware berechtigt ist.
Auf diese Weise können Zugangsbeschränkungen an bestimmten Warenausgabeautomaten (Zigaretten, Alkohol) realisiert werden. Solche Zugangsbeschränkungen können beispielsweise auch die Kontrolle des Alters des Benutzers umfassen, sofern dieses bei einer vorherigen Anmeldung des Kunden abgefragt und diese Daten dann am Server gespeichert wurden.
Da es sein könnte, dass ein Benutzer den erhaltenen zweiten Code aus irgendwelchen Gründen doch nicht zum Warenkauf verwendet, indem er ihn einfach nicht an das Terminal übergibt, wird im Terminal jeder empfangene zweite Code in einem Speichermedium abgespeichert. Das Speichermedium wird beim Befüllen des Warenautomaten ausgetauscht und die gespeicherten zweiten Codes werden mit den am Server gespeicherten zweiten Codes verglichen.
Eine Belastung des Kundenkontos erfolgt nur, wenn ein vom Server ausgesendeter zweiter Code auch wirklich am Terminal verwendet wurde, d.h. sich auf dem Speichermedium befindet.
In einer bevorzugten Ausführungsform der Erfindung ist das dem Benutzer zugeordnete Datenübertragungsgerät als Mobiltelefon ausgebildet und erfolgt das Übertragen des ersten Codes vom Mobiltelefon an den Server bzw. das Übertragen des zweiten Codes vom Server an das Mobiltelefon per SMS oder MMS. Durch den flächendeckenden Ausbau der Mobilfunksysteme ist ein solches System überall anwendbar. Es bietet weiters den Vorteil, dass Bargeldtransfer vermieden wird, indem entgeltliche Leistungen oder Waren über die Telefonrechnung des Benutzers bei seinem Mobilfunkbetreiber abgerechnet werden können.
Dabei ist es zweckmässig, wenn bei dieser Ausgestaltung der Erfindung als die durch den Server zu überprüfenden Benutzer-Identitätsdaten eine eindeutige Mobiltelefonkennung, insbesondere die Mobiltelefonnummer, herangezogen wird. Für das Übergeben des ersten Codes vom Terminal an das Datenübertragungsgerät bzw. das Übergeben des zweiten Codes vom Datenübertragungsgerät an das Terminal sind verschiedene erfindungsgemässe Varianten vorgesehen:
In einer ersten Variante sind das Ausgangsinterface und/oder das Eingangsinterface des Terminals als Funkinterface ausgebildet, das beispielsweise nach Bluetooth- oder WLANStandard arbeitet oder als NFC (Near Field Communication) Device ausgebildet ist.
In einer zweiten Variante sind das Ausgangsinterface und/oder das Eingangsinterface des Terminals als optisches Datenübertragungsinterface ausgebildet, das z.B. als IrDA (Infrared Data Association) Device gestaltet ist.
In wiederum einer anderen Variante ist das Ausgangsinterface des Terminals als Display zur Klartextanzeige des ersten Codes oder zur Anzeige des durch die Recheneinheit des Terminals als visuelle Information, z.B. Strichcode, aufbereiteten ersten Codes ausgestaltet.
Im ersten Fall kann der Benutzer den angezeigten Klartext des ersten Codes vom Display ablesen und in sein Datenübertragungsgerät eintippen (insbesondere bei Benutzung eines Mobiltelefons) und als SMS an den Server versenden. Im zweiten Fall kann der Benutzer beispielsweise den visuell aufbereiteten Code durch eine in sein Mobiltelefon eingebaute Kamera aufnehmen und als MMS an den Server versenden.
Das Eingangsinterface des Terminals kann weiters optische Scannmittel zum Scannen visueller Information umfassen, wobei es sich bei der visuellen Information um den vom Server visuell, z.B.
als Strichcode, aufbereiteten zweiten Code handelt, der in einem solchen Fall zweckmässig vom Server per MMS an das als Mobiltelefon ausgebildete Datenübertragungsgerät des Benutzers gesendet wurde und von der Anzeige des Mobiltelefons scannbar ist.
Das Eingangsinterface des Terminals kann weiters eine Tastatur zur manuellen Eingabe des zweiten Codes aufweisen, wenn dieser beispielsweise per SMS an das als Mobiltelefon ausgebildete Datenübertragungsgerät des Benutzers gesendet wurde.
Zur Erhöhung der Sicherheit wird vorzugsweise beim Übertragen des ersten Codes vom Datenübertragungsgerät an den entfernten Server ein vom Benutzer zuvor in das Datenübertragungsgerät oder das Terminal einzugebendes Passwort mit übertragen, das vom Server ausgewertet wird.
Vorteilhaft werden aus Sicherheitsgründen und Abrechnungsgründen im Server einer oder mehrere Datensätze bestehend aus Benutzer-Identifikation, Terminal-Identifikation, Auswahlinformation, Datum, Zeit und Inhalt der eingehenden ersten Codes und ausgehenden zweiten Codes protokolliert und gegebenenfalls für die Durchführung einer Abrechnung verwendet.
Die Erfindung wird nun unter Bezugnahme auf die einzige Zeichnung, Fig. 1 , anhand eines Ausführungsbeispiels beschrieben, auf das die Erfindung aber nicht eingeschränkt ist.
Auf Fig. 1 Bezug nehmend ist darin schematisch in einem Blockschaltbild ein erfindungsgemässes System zur Freigabekontrolle einer Einrichtung 4, wie z.B. einer Zutrittskontrolleinrichtung oder einer Warenausgabeeinrichtung, dargestellt.
Das erfindungsgemässe System zur Freigabekontrolle umfasst einen Server 1 und eine Vielzahl an gleichartigen Terminals 2, von denen in Fig. 1 nur eines dargestellt ist.
Das Terminal 2 kann vorteilhaft als PDA ausgestaltet sein, der in einem vandalensicheren Gehäuse untergebracht ist. Dem Terminal ist eine eindeutige Terminal-Identifikation TI zugeordnet, die es von anderen Terminals unterscheidbar macht. Die TerminalIdentifikation TI ist vorzugsweise in einem nicht-flüchtigen Speicher im Terminal abgespeichert. Das Terminal 2 umfasst ein Eingangsinterface 21, das eine Tastatur 21a aufweist. Indem ein Benutzer eine Taste der Tastatur 21a drückt, wird das Terminal 2 aktiviert (START), worauf eine im Terminal 2 ausgebildete Recheneinheit 22 einen ersten Code Cl mittels eines ersten Algorithmus AI erzeugt.
Es sei erwähnt, dass die Tastatur 21a auch als berührungsempfindliche Oberfläche des Display 23 a ausgebildet sein könnte.
Der Algorithmus AI kann beispielsweise die folgenden Schritte aufweisen, wobei für dieses Beispiel der Terminal-Identifikation TI die Nummer 4578 zugeordnet ist. Zunächst wird eine Zufallszahl (0 bis 9), hier 5 erzeugt, - dann werden an die erzeugte Zufallszahl die ersten beiden Ziffern der Terminal-Identifikation TI angehängt, hier 545 - anschliessend wird eine weitere Zufallszahl (0 bis 9) erzeugt, hier 8 - diese weitere Zufallszahl wird an die vorhandene Zahl angehängt, hier 5458 - anschliessend werden die letzten beiden Ziffern der Terminal-Identifikation TI an die vorhandene Zahl angehängt, hier 545878 -die so ermittelte Zahl wird modulo 3 dividiert, hier 1 -das Ergebnis wird an die vorhandene Zahl angehängt,
hier 5458781 - und abschliessend die Zahl in eine Hexadezimalzahl umgewandelt, hier 534B5D, die den ersten Code Cl darstellt. Der erste Code Cl wird von der Recheneinheit 22 an ein Ausgangsinterface 23 des Terminals 2 weitergeleitet, was dem Ausgangsinterface 23 das Übergeben des ersten Codes Cl an ein dem Benutzer zugeordnetes Datenübertragungsgerät 3 ermöglicht. Für die Zwecke der Beschreibung dieses Ausführungsbeispieles der Erfindung sei angenommen, dass das Datenübertragungsgerät 3 als Mobiltelefon ausgebildet ist. Das Ausgangsinterface 23 des Terminals 2 kann verschiedene Module beinhalten, um mit dem Datenübertragungsgerät 3 kommunizieren zu können.
So ist im Ausgangsinterface 23 ein Funkinterface 23a ausgebildet, das beispielsweise nach Bluetooth- oder WLAN-Standard arbeitet oder als NFC (Near Field Communication) Device ausgebildet ist, um den ersten Code Cl an das Datenübertragungsgerät 3 zu übertragen. Weiters ist in dem Ausgangsinterface 23 des Terminals 2 ein optisches Datenübertragungsinterface 23 b ausgebildet, das z.B. als IrDA (Infrared Data Association) Device gestaltet ist. Weiters umfasst das Ausgangsinterface 23 des Terminals 2 ein Display 23c zur Klartextanzeige des ersten Codes C 1 oder zur Anzeige des durch die Recheneinheit 22 als visuelle Information, z.B. Strichcode, aufbereiteten ersten Codes Cl . Im Fall der Klartextanzeige kann der Benutzer den angezeigten Klartext des ersten Codes Cl vom Display 23c ablesen und in sein Datenübertragungsgerät 3 eintippen und als SMS an den Server 1 versenden.
Im Fall der visuellen Aufbereitung des ersten Codes Cl kann der Benutzer beispielsweise diesen visuell aufbereiteten ersten Code Cl durch eine in sein Datenübertragungsgerät 3 eingebaute Kamera aufnehmen und als MMS an den Server 1 versenden. Zusammen mit dem ersten Code werden an den Server Benutzer-Identitätsdaten ID gesandt, bei denen es sich um eine dem Benutzer bei der Anmeldung von einem Betreiber des Systems zugeteilte Benutzerkennnummer oder vorteilhaft auch um die Telefonnummer des als Mobiltelefon ausgebildeten Datenübertragungsgerätes 3 handelt.
Optional wird vom Datenübertragungsgerät 3 zusammen mit dem ersten Code Cl ein Passwort PW an den Server mitgesendet, das der Benutzer zuvor eingegeben hat.
Der Server 1 weist ein Eingangsinterface 11 zum Empfangen des ersten Codes Cl, der Benutzer-Identitätsdaten ID und optional des Passwortes PW auf, sowie eine Recheneinheit 12 zum Überprüfen des ersten Codes Cl und der Benutzer-Identitätsdaten ID. Falls der erste Code Cl und die Benutzer-Identitätsdaten ID sowie gegebenenfalls das Passwort PW zugelassen sind, erzeugt die Recheneinheit einen zweiten Code C2 gemäss einem zweiten Algorithmus A2 und leitet diesen zweiten Code C2 an ein Ausgangsinterface 13 des Servers 1 weiter, das für das Übertragen an das dem Benutzer zugeordnete Datenübertragungsgerät 3 sorgt.
Unter Bezugnahme auf das obige Beispiel für den Algorithmus AI kann der Algorithmus A2 beispielsweise die folgenden Schritte aufweisen: Einlesen des ersten Codes Cl (nach Überprüfung der Berechtigungen), hier 534B5D - Umwandeln der Zeichenfolge des Codes Cl in eine Dezimalzahl, hier 5458781 - Abschneiden der letzten Ziffer, hier 1 - Dividieren der verbleibenden Zahl modulo 3 und Vergleichen, ob das Ergebnis mit der abgeschnittenen Zahl übereinstimmt, hier o.k. - Abschneiden der ersten und der letzten Ziffer der verbliebenen Zahl, hier 5 und 8 - Verwenden der verbliebenen Zahl, hier 4587 Multiplizieren dieser Zahl mit 2, hier 9174 - erzeugen einer Zufallszahl (0 bis 9), hier 4 Anhängen der Zufallszahl an die vorhandene Zahl, hier 91744 - die den zweiten Code C2 darstellt. Dieser Code C2 wird an das Datenübertragungsgerät zurückgesendet, das den ersten Code C 1 gesendet hat.
In einer bevorzugten Ausgestaltung ist das Eingangsinterface 1 1 des Servers 1 zum Empfang von SMS und/oder MMS ausgebildet, und ist das Ausgangsinterface 13 des Servers 1 zum Senden des zweiten Codes C2 als SMS und/oder MMS ausgebildet
Die Recheneinheit 12 des Servers kann weitere Überprüfungen und Protokollierungen vornehmen, die nachfolgend näher erklärt werden, wobei insbesondere auf die Ausbildung des dem Benutzer zugeordneten Datenübertragungsgerätes 3 als Mobiltelefon Bezug genommen wird.
Überprüfung, ob der als SMS oder MMS angekommene erste Code Cl korrekt ist (zum System passt)
Überprüfung ob die Mobiltelefonnummer ausgelesen werden kann Ist diese Mobiltelefonnummer gesperrt ? Ist diese Mobiltelefonnummer für das System registriert ? Ist das Mobiltelefon mit dieser Nummer als gestohlen oder verloren gemeldet ? Ist das Passwort PW korrekt? (wenn Passwort verwendet wird) Ist die örtliche Berechtigung des Benutzers gegeben ? Ist die zeitliche Berechtigung des Benutzers gegeben ? Hat der Kunde das erförderliche Alter? (nur bei Alterskontrolle)
Das Datenübertragungsgerät 3 empfängt den vom Server 1 gesendeten zweiten Code C2, beispielsweise entweder als Klartextanzeige in ein SMS gepackt, oder als visuell aufbereitete Information (Strichcode), beispielsweise in ein MMS gepackt.
Nun hat der Benutzer die Möglichkeit, den zweiten Code C2 an das Terminal 2 zu übergeben, wofür neben der manuellen Eingabe über die Tastatur 21a des Eingangsinterface 21 des Terminals 2 das Eingangsinterface 21 auch ein Funkinterface 21b, das beispielsweise nach Bluetooth oder WL AN- Standard arbeitet oder als NFC (Near Field Communication) Device ausgebildet ist, und/oder ein optisches Datenübertragungsinterface 21c, das z.B. als IrDA (Infrared Data Association) Device gestaltet ist, und/oder optische Scannmittel 21d, z.B. einen Strichcodeleser, aufweist.
Der über das Eingangsinterface 21 vom Terminal 2 empfangene zweite Code C2 wird von der Recheneinheit 22 des Terminals 2 auf seine Gültigkeit gemäss einem dritten Algorithmus A3 überprüft.
Bei festgestellter Gültigkeit gibt die Recheneinheit 22 ein Freigabesignal 5 an die freizugebende Einrichtung 4 ab.
Der dritte Algorithmus A3 kann beispielsweise die folgenden Schritte umfassen (wenn der obige Algorithmus A2 verwendet wurde): Nimm den zweiten Code C2, hier 91744 Abschneiden der letzten Ziffer, hier 4 - ergibt Vergleichszahl, hier 9174 - Hole den zuletzt ausgegebenen ersten Code Cl aus einem Speicher im Terminal, in dem der jeweils zuletzt erzeugte erste Code Cl protokolliert wurde, hier 545878 - Abschneiden der ersten und der letzten Ziffer, hier 5 und 8 - Verwenden der verbliebenen Zahl, hier 4587 - Multipliziere sie mit 2, hier 9174 - vergleiche diese Zahl mit der vorher erzeugten Vergleichszahl, hier 9174 => alles o.k. - Das Freigabesignal 5 wird abgegeben.
Die Verwendungsmöglichkeiten der Erfindung sind vielfältig.
Lediglich als Beispiele seien die Folgenden angeführt:
als Eintrittskarte,
zur Kontrolle des Zugangs zu öffentlichen Einrichtungen (z.B. Parkhäuser, Lagerplätze, WC-Anlagen ...),
zur Kontrolle des Zugangs zu nicht ständig besetzten Schihütten und Berghütten,
zum Einschalten von Strom oder Wasser auf Campingplätzen (Abgabe einer bestimmten Menge oder für eine bestimmte Zeitdauer),
zum Zugang für Rauchfangkehrer, Stromableser, Gasableser in unbewohnten Gebäuden (an Zweitwohnsitzen),
zur Ausgabe von Waren bei Warenausgabeautomaten (inkl. Alterskontrolle wenn nötig),
zum Einschalten von Spielautomaten/Glücksspielautomaten (inkl. Alterskontrolle wenn nötig).
Ein besonderer Vorteil der Erfindung liegt in ihrer hohen Sicherheit gegen Missbrauch.
Dies wird im Folgenden anhand verschiedener Angriffsszenarien näher erläutert: Szenario 1 :
Rechtmässiger Besitzer eines am System teilnehmenden Mobiltelefons möchte seine Identität verbergen um die Ware oder die Dienstleistung nicht bezahlen zu müssen. Dies wird bei der Überprüfung der in der SMS-Nachricht enthaltenen Mobiltelefonnummer, mit welcher SMS der erste Code Cl an den Server übertragen wurde, durch den Server bemerkt => ANGRIFF VEREITELT
Szenario 2:
Jemand versucht mit einem Mobiltelefon, das nicht am System teilnimmt, eine Ware oder Dienstleistung zu erhalten.
Dies wird bei der Überprüfung der in der SMS-Nachricht enthaltenen Mobiltelefonnummer, mit welcher SMS der erste Code Cl an den Server übertragen wurde, durch den Server bemerkt => ANGRIFF VEREITELT
Szenario 3 :
Der unrechtmässige Besitzer eines Mobiltelefons (nach Verlust oder Diebstahl) versucht eine Ware oder Dienstleistung zu erhalten.
Wenn der Verlust/Diebstahl des Mobiltelefons bereits gemeldet und im System vermerkt wurde, wird das bei der Überprüfung der
Mobiltelefonnummer der SMS-Nachricht durch den Server bemerkt => ANGRIFF
VEREITELT
Wenn der Verlust/Diebstahl des Mobiltelefons noch nicht gemeldet oder noch nicht im System vermerkt wurde, dann ist der MISSBRAUCH MÖGLICH, sofern kein Passwort verwendet wird.
Szenario 4:
Jemand versucht mit Hilfe eines Computers anhand der Zeichenfolge am Display des Terminals die Zeichenfolge die vom SMS-Server zurückgesendet würde zu errechnen und so die Ware oder Dienstleistung kostenlos zu bekommen.
4a) Dem Angreifer ist keiner der verwendeten Algorithmen bekannt:
Durch die Verwendung von Zufallszahlen in den Algorithmen => MISSBRAUCH praktisch UNMÖGLICH
4b) Dem Angreifer ist nur der Serveralgorithmus (A2) bekannt => MISSBRAUCH MÖGLICH 4c) Dem Angreifer ist nur der Terminalalgorithmus (AI) bekannt => MISSBRAUCH UNMÖGLICH
4d) Dem Angreifer ist nur der Terminalalgorithmus (A3) bekannt=> MISSBRAUCH
MÖGLICH
Daraus ergibt sich die Schlussfolgerung, dass der Serveralgorithmus (A2) unbedingt geheim gehalten werden muss. Umsetzung zum Beispiel durch Hardwarecodierung des
Algorithmus A2 in einem ASIC möglich. Der Algorithmus A2 muss (für hohe
Sicherheitsanforderungen) vom Algorithmus A3 verschieden sein (was technisch durchaus möglich ist). Die Verwendung eines Passworts ist empfehlenswert.
Method, terminal and system for release control of a device
The invention relates to a method for terminal-controlled release control of a device, such as e.g. an access control device or a goods issue device.
The invention further relates to a terminal and a system for controlling the release of a device, such as e.g. an access control device or a goods issue device.
There are a variety of systems known that allow the release of equipment such as e.g. Control access control devices or goods issue devices. The known systems are either designed as stand-alone devices which are integrated directly into the device to be released, such as e.g.
Entrance doors or turnstiles, which can be opened by tickets o. The like., Or are designed as server-client systems in which the client only collects data of a user, forwarding it to the server, which performs a verification of the data and possibly the Client instructs to release a device, issue a good, etc.
The present invention has for its object to provide a method, a terminal and a system for release control of a device that operate on the server client principle, but where there is no direct data line between the client and the server for security reasons and to save costs is.
The inventive method for terminal-controlled release control of a device, e.g.
an access control device or a goods issue device, comprises the following steps:
the activation of the terminal by a user,
the generation of a first code by means of a first algorithm in the terminal, the transfer of the first code to a data transmission device assigned to the user,
the transmission of the first code together with user identity data from the data transmission device to a remote server,
checking the first code and the user identity data in the server, and if the first code and the user are allowed, generating a second code using a second algorithm in the server,
the transfer of the second code to the data transmission device assigned to the user, the transfer of the second code from the data transmission device to the terminal,
checking the validity of the second code by a third algorithm by the terminal, and if the second code is valid,
- Issuing a release signal to the device to be released.
The object according to the invention is further achieved by providing a release control terminal of a device having the features of claim 9 and by providing a release control system of a device having the features of claim 14.
Advantageous embodiments of the invention are set forth in the dependent claims.
The invention offers the following advantages over the prior art:
The terminal only needs one power supply (mains, batteries, rechargeable battery or solar), but no data line, telephone line or antenna.
The terminal does not need any information about the date or time.
It is possible to centrally manage a plurality of terminals with only one server, since only the rules for the release of facilities are deposited on the server.
A change in the access rules for all or only for certain terminals is possible in a few minutes and immediately valid from the time of entry on the server.
The production required in the prior art,
Distribution and management of authorization cards can be omitted.
Any conceivable type of access control device can be controlled (barriers, turnstiles, door, key vault ...).
Low system costs. The realization of the terminal can be done by means of a personal digital assistant (PDA) and a keyboard in a vandal-proof and possibly weatherproof housing.
Such a design of the terminal has very low operating costs, power is needed only for the PDA.
It can be kept a perfect statistic about the use of the system (who was there when etc. etc.).
The system avoids cash transfer since paid services or goods are billed via an invoice created by the server.
In an advantageous embodiment of the invention, a terminal identification is encoded in the first code, which is evaluated by the server during the check, wherein preferably the server in turn encodes information about the terminal identification in the second code generated by it.
With this configuration, the individual setting of access rules for each terminal is possible because each terminal has a different terminal identification.
For the control of goods dispensing machines o. The like. Can be provided that in the first code selection information is encoded, which identifies a selected by the user at the terminal goods, etc. The selection information is evaluated by the server during the check, wherein the server optionally encodes information about the selection information in the second code generated by it. During the evaluation of the second code by the terminal, the terminal can recognize from the information encoded in the second code via the selection information whether the user is even entitled to select a particular product.
In this way, access restrictions can be realized on certain automatic teller machines (cigarettes, alcohol). Such access restrictions may include, for example, the control of the age of the user, if this was requested in a previous application of the customer and this data was then stored on the server.
Since it might be that a user does not use the obtained second code for any reason but for the purchase of goods, simply by not handing it over to the terminal, each received second code is stored in a storage medium in the terminal. The storage medium is exchanged when filling the vending machine and the stored second codes are compared with the second codes stored on the server.
A debit of the customer account occurs only if a second code sent by the server was actually used at the terminal, i. is on the storage medium.
In a preferred embodiment of the invention, the data transmission device assigned to the user is designed as a mobile telephone and the first code is transmitted from the mobile telephone to the server or the second code is transmitted from the server to the mobile telephone via SMS or MMS. Due to the nationwide expansion of mobile radio systems, such a system is applicable everywhere. It also has the advantage that cash transfer is avoided by pay services or goods can be billed via the user's telephone bill at his mobile operator.
It is expedient if, in this embodiment of the invention, a unique mobile telephone identifier, in particular the mobile telephone number, is used as the user identity data to be checked by the server. For the transfer of the first code from the terminal to the data transmission device or the transfer of the second code from the data transmission device to the terminal, various variants according to the invention are provided:
In a first variant, the output interface and / or the input interface of the terminal are designed as a radio interface which operates, for example, according to Bluetooth or WLAN standard or is designed as an NFC (Near Field Communication) device.
In a second variant, the output interface and / or the input interface of the terminal are designed as an optical data transmission interface, which is e.g. designed as IrDA (Infrared Data Association) device.
In yet another variant, the terminal's output interface is used as a display for plain text display of the first code or for display by the computing unit of the terminal as visual information, e.g. Barcode, edited first code designed.
In the first case, the user can read the displayed plain text of the first code from the display and type in his data transmission device (especially when using a mobile phone) and send as SMS to the server. In the second case, for example, the user can record the visually processed code through a camera built into his mobile phone and send it as an MMS to the server.
The input interface of the terminal may further comprise optical scanning means for scanning visual information, wherein the visual information is about the server's visual, e.g.
is bar code, processed second code, which in such a case has been expediently sent by the server via MMS to the user's mobile communication device and can be scanned by the display of the mobile telephone.
The input interface of the terminal may further comprise a keyboard for manual input of the second code, if it has been sent, for example, by SMS to the user's mobile communication device.
To increase security, a password to be entered by the user into the data transmission device or the terminal is preferably transmitted when transmitting the first code from the data transmission device to the remote server, which is evaluated by the server.
For security and billing reasons, one or more data records consisting of user identification, terminal identification, selection information, date, time and content of the incoming first codes and outgoing second codes are advantageously logged in the server and optionally used for carrying out a billing.
The invention will now be described with reference to the single drawing, Fig. 1, by means of an embodiment, to which the invention is not limited.
Referring to Fig. 1, there is shown schematically in block diagram a system for enabling control of a device 4 according to the invention, e.g. an access control device or a goods issue device.
The inventive system for release control comprises a server 1 and a plurality of similar terminals 2, of which only one is shown in FIG.
The terminal 2 can be advantageously designed as a PDA, which is housed in a vandal-proof housing. The terminal is assigned a unique terminal identification TI which makes it distinguishable from other terminals. The terminal identification TI is preferably stored in a non-volatile memory in the terminal. The terminal 2 includes an input interface 21 having a keyboard 21a. By pressing a key on the keyboard 21a, the terminal 2 is activated (START), whereupon a computing unit 22 formed in the terminal 2 generates a first code C1 by means of a first algorithm AI.
It should be noted that the keyboard 21 a could also be formed as a touch-sensitive surface of the display 23 a.
The algorithm AI may, for example, have the following steps, wherein for this example the terminal identification TI is assigned the number 4578. First, a random number (0 to 9), here 5 generated, - then the first two digits of the terminal identification TI are attached to the generated random number, here 545 - then another random number (0 to 9) is generated, here 8 - this additional random number is appended to the existing number, here 5458 - then the last two digits of the terminal identification TI are appended to the existing number, here 545878 -the number thus determined is modulo 3 divided, here 1 -the result is sent to the attached existing number,
here 5458781 - and finally the number converted into a hexadecimal number, here 534B5D, which represents the first code Cl. The first code C1 is forwarded by the arithmetic unit 22 to an output interface 23 of the terminal 2, which allows the output interface 23 to pass the first code Cl to a user-assigned data transmission device 3. For the purposes of the description of this embodiment of the invention, it is assumed that the data transmission device 3 is designed as a mobile phone. The output interface 23 of the terminal 2 may include various modules to communicate with the data transmission device 3 can.
Thus, a radio interface 23a is formed in the output interface 23, which operates, for example, according to Bluetooth or WLAN standard or NFC (Near Field Communication) device is designed to transmit the first code Cl to the data transmission device 3. Further, in the output interface 23 of the terminal 2, an optical communication interface 23b is formed, e.g. designed as IrDA (Infrared Data Association) device. Furthermore, the output interface 23 of the terminal 2 comprises a display 23c for clear text display of the first code C 1 or for display by the computing unit 22 of visual information, e.g. Barcode, recycled first code Cl. In the case of the plain text display, the user can read the displayed plain text of the first code Cl from the display 23c and type in its data transmission device 3 and send it as an SMS to the server 1.
In the case of the visual processing of the first code Cl, the user can, for example, record this visually processed first code C1 by a camera built into his data transmission device 3 and send it as an MMS to the server 1. Together with the first code, user ID data ID is sent to the server, which is a user identification number assigned to the user when logging in by an operator of the system, or advantageously also the telephone number of the data transmission device 3 designed as a mobile telephone.
Optionally, the data transmission device 3 together with the first code Cl sends a password PW to the server, which the user has previously entered.
The server 1 has an input interface 11 for receiving the first code Cl, the user identity data ID and optionally the password PW, and a computing unit 12 for checking the first code Cl and the user identity data ID. If the first code Cl and the user identity data ID and possibly the password PW are permitted, the arithmetic unit generates a second code C2 according to a second algorithm A2 and forwards this second code C2 to an output interface 13 of the server 1 which is responsible for the transmission to the user assigned to the data transmission device 3 provides.
For example, referring to the above example of the algorithm AI, the algorithm A2 may comprise the following steps: reading the first code Cl (after checking the authorizations), here 534B5D - converting the string of the code Cl into a decimal number, here 5458781 - truncating the last digit, here 1 - dividing the remaining number modulo 3 and comparing whether the result matches the truncated number, here ok - cutting off the first and last digit of the remaining number, here 5 and 8 - using the remaining number, here 4587 multiplying this number by 2, here 9174 - generating a random number (0 to 9), here 4 appending the random number to the existing one Number, here 91744 - which represents the second code C2. This code C2 is sent back to the communication device that sent the first code C 1.
In a preferred embodiment, the input interface 1 1 of the server 1 is designed to receive SMS and / or MMS, and the output interface 13 of the server 1 is designed to send the second code C2 as SMS and / or MMS
The arithmetic unit 12 of the server can make further checks and logging, which are explained in more detail below, with particular reference being made to the formation of the data transmission device 3 assigned to the user as a mobile telephone.
Check if the first code Cl arrived as SMS or MMS is correct (matches the system)
Check if the mobile phone number can be read out Is this mobile phone number locked? Is this mobile phone number registered for the system? Is the mobile phone with this number reported as stolen or lost? Is the password PW correct? (if password is used) Is the local authorization of the user given? Is the temporal authorization of the user given? Does the customer have the required age? (only with age control)
The data transmission apparatus 3 receives the second code C2 sent from the server 1, for example, packed either as a plain text message in an SMS or as visually prepared information (bar code), for example, packed in an MMS.
Now the user has the opportunity to pass the second code C2 to the terminal 2, for which in addition to the manual input via the keyboard 21a of the input interface 21 of the terminal 2, the input interface 21 and a wireless interface 21b, for example, Bluetooth or WL AN standard operates or is designed as NFC (Near Field Communication) device, and / or an optical data transmission interface 21c, the example designed as IrDA (Infrared Data Association) device, and / or optical scanning means 21d, e.g. a bar code reader.
The second code C2 received by the terminal 2 via the input interface 21 is checked by the arithmetic unit 22 of the terminal 2 for its validity according to a third algorithm A3.
When the validity has been established, the arithmetic unit 22 sends an enable signal 5 to the device 4 to be released.
The third algorithm A3 may, for example, comprise the following steps (if the above algorithm A2 has been used): take the second code C2, here 91744 truncate the last digit, here 4 - gives the comparison number, here 9174 - retrieve the last code Cl issued last a memory in the terminal in which the last code generated last Cl was logged, here 545878 - cutting off the first and last digit, here 5 and 8 - Using the remaining number, here 4587 - multiply it by 2, here 9174 - see this number with the previously generated comparison number, here 9174 => all ok - The release signal 5 is released.
The uses of the invention are many.
By way of example only, the following may be mentioned:
as a ticket,
to control access to public facilities (e.g. car parks, storage areas, toilet facilities ...),
to control access to shanties and mountain huts that are not permanently occupied,
to switch on electricity or water in campsites (delivery of a certain amount or for a certain period of time),
access for chimney sweepers, electricity meters, gas meters in uninhabited buildings (second homes),
for the issue of goods at automatic vending machines (including age control if necessary),
to turn on slot machines / gambling machines (including age control if necessary).
A particular advantage of the invention lies in its high security against abuse.
This is explained in more detail below using various attack scenarios: Scenario 1:
A legal owner of a mobile phone participating in the system wants to hide his identity in order to avoid having to pay for the product or service. This is noticed by the server when checking the mobile phone number contained in the SMS message, with which SMS the first code Cl was transmitted to the server => ATTACK VERROTELT
Scenario 2:
Someone is trying to get a good or service using a mobile phone that does not participate in the system.
This is noticed by the server when checking the mobile phone number contained in the SMS message, with which SMS the first code Cl was transmitted to the server => ATTACK VERROTELT
Scenario 3:
The unlawful owner of a mobile phone (after loss or theft) tries to obtain a good or service.
If the loss / theft of the mobile phone has already been reported and noted in the system, it will be checked during the check
Mobile phone number of the SMS message noticed by the server => ATTACK
FRUSTRATED
If the loss / theft of the mobile phone has not yet been reported or not yet noted in the system, then the MISSING is possible, if no password is used.
Scenario 4:
Someone tries with the help of a computer on the basis of the string on the display of the terminal to calculate the string which would be sent back by the SMS server and so get the goods or service for free.
4a) The attacker is not aware of any of the algorithms used:
By using random numbers in the algorithms => MISUSE practically IMPOSSIBLE
4b) The attacker is only aware of the server algorithm (A2) => ABUSE POSSIBLE 4c) The attacker is only aware of the terminal algorithm (AI) => MISUSE IMPOSSIBLE
4d) The attacker is only aware of the terminal algorithm (A3) => ABUSE
POSSIBLE
This leads to the conclusion that the server algorithm (A2) must be kept secret. Implementation for example by hardware coding of the
Algorithm A2 in an ASIC possible. The algorithm A2 must (for high
Safety requirements) differ from the algorithm A3 (which is technically possible). The use of a password is recommended.