-
Die
Erfindung betrifft ein Verfahren zur Vergabe und Prüfung einer
Zugangsberechtigung für
einen Restriktionsbereich gemäß Anspruch
1 und eine Vorrichtung zur Durchführung des Verfahrens gemäß Anspruch
19.
-
Es
ist bekannt, dass die Zutrittskontrolle für Restriktionsbereiche, wie
z.B. Bereiche in Gebäuden (z.B.
Räume) über die
Vergabe von Schlüsseln
oder Passwörtern
gesteuert wird. In ähnlicher
Weise wird auch bei der Zugangsberechtigung für Rechnersysteme oder Programmen
verfahren. Ein Nachteil dieses Ansatzes ist die schwierige Aufhebbarkeit
einer einmal gewährten
Zutrittsberechtigung, da Schlüssel kopiert
und Passwörter
an unbefugte Dritte weitergegeben werden können. Das regelmäßige Wechseln von
Passwörtern
ist in vielen Anwendungsfällen
aus wirtschaftlichen oder organisatorischen Gründen nicht sinnvoll oder nur
schwer durchsetzbar.
-
Ein
weiterer Ansatz ist die Verwendung von persönlichen Zutrittskarten (z.B.
Chipkarten). Diese können
bei Verlust oder Diebstahl gesperrt werden. Dieser Lösungsansatz
verlangt jedoch eine zentrale Kontrollinstanz und den Zugriff jedes
einzelnen Schlosses zu dieser Instanz, um die Gültigkeit einer Karte überprüfen zu können.
-
Andere
Ansätze,
die auf biometrischen Merkmalen, wie Fingerabdruck oder Retina,
beruhen, benötigen
ebenfalls eine zentrale Instanz, welche die Kontrolle eben dieser
Merkmale übernimmt.
-
Der
vorliegenden Erfindung liegt die Aufgabe zu Grunde, ein Verfahren
und eine Vorrichtung zu schaffen, mit dem Personen in vorab bestimmbarer Weise
Zugang zu bestimmten Teilen eines Restriktionsbereiches (z.B. in
einem Gebäude
oder einer Rechneranlage) bekommen.
-
Diese
Aufgabe wird erfindungsgemäß durch ein
Verfahren mit den Merkmalen des Anspruchs 1 gelöst.
-
Das
Verfahren bedient sich dabei eines asymmetrischen Verschlüsselungsverfahrens,
wobei die Zugangsberechtigung durch ein erstes Rechnersystem für ein zweites
Rechnersystem erteilt wird. Dabei werden folgende Schritte ausgeführt:
- a) Das erste Rechnersystem erzeugt einen ersten Datensatz
mit einer ersten Zugangsbedingung für einen Restriktionsbereich
wobei der erste Datensatz mit einem öffentlichen Schlüssel des
zweiten Rechnersystems und dem geheimen Schlüssel des ersten Rechnersystems
verschlüsselt
wird.
- b) Das erste Rechnersystem erzeugt einen zweiten Datensatz mit
der ersten Zugangsbedingung für
den Restriktionsbereich, wobei der zweite Datensatz mit einem öffentlichen
Schlüssel
des Restriktionsbereichs und dem geheimen Schlüssel des ersten Rechnersystems
verschlüsselt
wird.
- c) Der erste Datensatz und der zweite Datensatz werden vom ersten
Rechnersystem an das zweite Rechnersystem übertragen. Das zweite Rechnersystem
kann einer Person zugeordnet werden, die eine definierte Zugangsberechtigung
erhalten soll.
- d) Das zweite Rechnersystem entschlüsselt den ersten Datensatz
zur Ermittlung der Zugangsbedingung.
- e) Das zweite Rechnersystem erzeugt anschließend einen dritten Datensatz,
der eine zweite Zugangsbedingung enthält und mit dem öffentlichen Schlüssel des
Restriktionsbereichs und dem geheimen Schlüssel des zweiten Rechnersystems verschlüsselt wird.
- f) Der zweite Datensatz und der dritte Datensatz werden an ein
Prüfungsmittel
des Restriktionsbereichs übertragen.
- g) Das Prüfungsmittel
prüft automatisch
die Erfüllung
der ersten Zugangsbedingung durch die zweite Zugangsbedingung und
erlaubt in Abhängigkeit
von der Prüfung
automatisch den Zugriff auf mindestens einen Zugriffsbereich des
Restriktionsbereichs. Dabei wird die Gültigkeit der Signaturen sowie
die Konsistenz der Nachrichten (wurden sie richtig entschlüsselt?)
geprüft.
Des weiteren werden alle Bedingungen in der Nachricht, z.B. Uhrzeit,
Position etc. getestet.
-
Damit
wird es einer Person, die vom zweiten Rechnersystem den zweiten
und dritten Datensatz erhält,
ermöglicht,
in definierte Weise, aber nur in dieser Weise, auf den Zugriffsbereich
Zugriff zu erhalten.
-
Die
Erfindung erlaubt damit einer Person den zeitlich oder örtlich eingeschränkten Zugang
zu bestimmten Ressourcen, z.B. Containern, dem Kofferraum eines
Autos oder zu bestimmten Räumlichkeiten.
-
Beispiele
für die
Nutzung sind die Ablage eines Pakets durch einen Postmitarbeiter
in einem Kofferraum oder die Zutrittsberechtigung für Reinigungspersonal
zu bestimmen Räumen.
Auch können
Zugriffe auf Datenverarbeitungsanlagen, Programme oder Daten gezielt
gesteuert werden.
-
Die
Sicherheit wird erhöht,
wenn das Prüfungsmittel
bei der Entschlüsselung
automatisch ermittelt, ob der zweite Datensatz und/oder der dritte Datensatz
echt ist. Damit kann ein unerlaubter Zugriff vermieden werden.
-
Dabei
ist es vorteilhaft, wenn die erste Zugangsbedingung und/oder die
zweite Zugangsbedingung einen Zeitpunkt oder einen Zeitraum aufweist. Damit
kann einer Person für
eine bestimmte Zeit Zugriff gewährt
werden, was den Missbrauch erschwert.
-
Alternativ
oder auch in Kombination dazu ist es vorteilhaft, wenn die erste
Zugangsbedingung und/oder die zweite Zugangsbedingung eine räumliche
Zuordnung aufweist. Damit kann die Ressource räumlich festgelegt werden. Auch
ist vorteilhaft, wenn die erste Zugangsbedingung und/oder die zweite
Zugangsbedingung eine Gerätezuordnung
aufweist, so dass eine Ressourcenfreigabe bezogen auf ein Gerät erteilt
werden kann. Der Inhalt der Zugangsfreigaben durch Kombinationen
dieser Zugangsbedingungen kann flexibel gestaltet werden.
-
Mit
Vorteil weist der Restriktionsbereich mindestens einen Zugriffsbereich
als einen absperrbaren räumlichen
Bereich auf. Dies kann vorteilhafterweise ein Gebäude oder
ein Fahrzeug sein, zu dem nur Berechtigte Zugang erhalten.
-
Ferner
ist es vorteilhaft, wenn der Restriktionsbereich als mindestens
einen Zugriffsbereich ein Datenverarbeitungssystem, ein Programm
und/oder einen Datensatz aufweist.
-
Eine
weitere vorteilhafte Ausgestaltung liegt vor, wenn der öffentliche
Schlüssel
des Restriktionsbereichs automatisch im ersten Datensatz gespeichert
wird. Auch ist es vorteilhaft, wenn automatisch ein öffentlicher
Schlüssel
des zweiten Rechnersystems im zweiten Datensatz gespeichert wird.
-
Eine
vorteilhafte Ausgestaltung liegt ferner vor, wenn das erste Rechnersystem
und/oder das zweite Rechnersystem tragbar ausgebildet sind. Gerade
für Kurierdienste
oder Logistikunternehmen ist eine solche Ausgestaltung sinnvoll.
-
Bei
einer weiteren vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens
ist es sinnvoll, dass der erste Datensatz, der zweite Datensatz und/oder
der dritte Datensatz mit dem RSA-Verschlüsselungsverfahren, einem Elgamal-Kryptosystem
und/oder einem Verschlüsseltungssystem
unter Verwendung elliptischer Kurven verschlüsselt ist. Diese asymmetrische
Verschlüsselung
hat sich in der Praxis bewährt.
-
Ferner
ist es vorteilhaft, wenn der erste Datensatz, der zweite Datensatz
und/oder dritte Datensatz mittels einer Signatur, insbesondere mittels
einer SHA-1 Signatur, einer Echtheitsprüfung unterziehbar ist. Damit
kann sichergestellt werden, dass die übertragenen Datensätze nicht
von unbefugten manipuliert worden sind.
-
Eine
vorteilhafte Weiterbildung des erfindungsgemäßen Verfahrens sieht vor, dass
dann, wenn das erste Rechnersystem eine Nachricht über eingehende
Ware enthält,
die Generierung des ersten und zweiten Datensatzes und ggf. aller
oder einiger der nachfolgenden Verfahrensschritte automatisch erfolgt.
-
Mit
Vorteil ist bei dem Verfahren der zweite und/oder der dritte Datensatz
mittels einer Hardware, insbesondere eines USB-Sticks und/oder einer SIM-Karte,
drahtgebunden und/oder drahtlos verschlüsselt, an das Prüfungsmittel übertragbar.
Damit können
der oder die Datensätze
leicht dem Prüfungsmittel
zugänglich
gemacht werden und es wird ein Abhören der Nachricht verhindert
-
Ferner
ist es vorteilhaft, wenn der zweite und/oder der dritte Datensatz
mittels einer line-of-sight Datenverbindung, insbesondere einer Infrarot
oder Near-Field-Communication übertragbar ist.
-
Die
Sicherheit gegen Missbrauch wird erhöht, wenn der erste Datensatz,
der zweite Datensatz und/oder der dritte Datensatz biometrische
Daten enthalten. Dabei ist es besonders vorteilhaft, dass die biometrischen
Daten einer Person zugeordnet sind, der Zugriff auf einen Zugriffsbereich
gegeben werden soll.
-
Die
Aufgabe wird auch durch eine Vorrichtung zur Durchführung eines
Verfahrens gemäß Anspruch
1 gelöst,
die ein Prüfungsmittel
zur automatischen Prüfung
eines zweiten Datensatzes und eines dritten Datensatzes aufweist,
so dass in Abhängigkeit
vom Prüfungsergebnis
automatisch ein Freigabesignal für
den Zugriff auf mindestens einen Zugriffsbereich des Restriktionsbereichs
erzeugbar ist.
-
Die
Erfindung wird nachfolgend unter Bezugnahme auf die Figuren der
Zeichnungen an mehreren Ausführungsbeispielen
näher erläutert. Es
zeigen:
-
1 eine
schematische Darstellung des Datenflusses bei einer Ausführungsform
der Erfindung;
-
2 eine
schematische Darstellung der Erstellung eines ersten Datensatzes;
-
3 eine
schematische Darstellung der Erstellung eines zweiten Datensatzes;
-
4 eine
schematische Darstellung des Lesens des ersten Datensatzes;
-
5 eine
schematische Darstellung der Erstellung eines dritten Datensatzes;
-
6 eine
schematische Darstellung des Lesens des zweiten Datensatzes;
-
7 eine
schematische Darstellung des Lesens des dritten Datensatzes.
-
In 1 ist
in schematischer Weise der Datenaustausch zwischen einem ersten
Rechnersystem 10, einem zweiten Rechnersystem 20 und
einem Restriktionsbereich 30 dargestellt.
-
Das
erste Rechnersystem 10 ist dem Besitzer einer bestimmten
Ressource zugeordnet, wobei sich die Ressource im Restriktionsbereich 30 befindet.
-
Vom
ersten Rechnersystem 10 über das zweite Rechnersystem 20 werden
Datensätze 1, 2, 3 zum
Restriktionsbereich übertragen,
wobei die Einzelheiten der Datensätze weiter unten noch erläutert werden.
-
Für das Ausführungsbeispiel
vergibt der Besitzer eines Depots Zugangsberechtigungen für bestimmte
Bereiche des Depots. Das Depot stellt hier den Restriktionsbereich 30 dar,
wobei innerhalb des Depots 30 bestimmte Zugriffsbereiche 34 gezielt
für die
Nutzung eines Überbringers
z.B. von Ware freigegeben werden können.
-
Dem
Besitzer des Depots ist somit das erste Rechnersystem 10 zugeordnet,
dem Überbringer
das zweite Rechnersystem 20, wobei dieses zweite Rechnersystem 20 tragbar
ausgebildet ist, so dass der Überbringer
das zweite Rechnersystem 20 bei seiner Arbeit mitführen kann,
um insbesondere am Depot 30 eine Freigabe zu erwirken.
-
Das
Verfahren beruht auf der Nutzung asymmetrischer Verschlüsselungsverfahren.
Solche Verfahren sind z.B. das RSA-Verfahren. Zur Signierung von
Datensätzen 1, 2, 3 durch
Hashwerte können ebenfalls
Standardverfahren wie SHA-1 genutzt werden.
-
Es
wird davon ausgegangen, dass jeder Teilnehmer über ein Schlüsselpaar
verfügt,
das im entsprechenden Rechnersystem gespeichert ist. Das Schlüsselpaar
besteht aus einem geheimen und einem öffentlichen Schlüssel. Der öffentliche
Schlüssel ist
grundsätzlich
jedermann zugänglich.
-
Datensätze, welche
mit einem der beiden Schlüssel
verschlüsselt
wurden (asymmetrisches Verschlüsselungsverfahren),
können
nur mit dem jeweils anderen Schlüssel
wieder entschlüsselt
werden.
-
Unter
der Signierung eines Datensatzes versteht man die Verschlüsselung
des Hashwertes eines Datensatzes mit dem geheimen Schlüssel des Absenders.
Die Signatur kann damit von jedem entschlüsselt werden, der den öffentlichen
Schlüssel des
Absenders kennt. Durch einen Vergleich des Hashwertes des empfangenen
Datensatzes mit dem in der entschlüsselten Signatur enthaltenen
Hashwert kann die Gültigkeit
des Datensatzes überprüft werden.
-
Der
Hashwert stellt einen Fingerabdruck der Nachricht dar. Bei anerkannten
Hashverfahren, wie SHA-1, ist es mit vertretbarem Aufwand nicht
möglich,
einen Datensatz zu erstellen, der einen vorher bestimmten Hashwert
besitzt. Die Signatur ist damit ein sicheres Mittel zur Verifizierung
von Datensätzen.
-
Ein
Prüfmittel 33 des
Depots 30 muss in der Lage sein, Datensätze 20, 30 zu
entschlüsseln
und ihren Inhalt zu interpretieren. Darüber hinaus muss das Prüfungsmittel 33 des
Depots die öffentlichen Schlüssel aller
Teilnehmer kennen, die Überbringern Zugriff
gewähren
dürfen
(im Normalfall ist dies nur der Besitzer des Depots).
-
Schlüsselpaare
für asymmetrische
Verschlüsselung
sind langlebige Objekte, die Anpassung des Schlosses ist dementsprechend
selten notwendig.
-
Das
erste Rechnersystem 10 des Empfängers muss den öffentlichen
Schlüssel
des zweiten Rechnersystems 20 des Überbringers kennen, dem Zugang
zum Zugriffsbereich 34 gewährt werden soll. Es ist zu
erwarten, das Firmen, wie die Post oder die Telekom ihren öffentlichen
Schlüssel
auf ihrer Webseite aufführen
oder anderweitig zur Verfügung
stellen. Wegen der erwähnten
Langlebigkeit solcher Schlüssel
ist ein Caching dieses Schlüssels
ebenfalls möglich.
-
Im
Folgenden werden die einzelnen Schritte des Verfahrens erläutert, wobei
zusätzlich
noch auf die 2 bis 7 Bezug
genommen wird.
- 1. Der Empfänger erhält vom Überbringer einen Hinweis auf
neue Ware, die im Depot abgelegt werden soll. Die Echtheit Nachricht
ist für
den Empfänger
z.B. mittels einer Signatur überprüfbar. Damit
können
Spoofing-Attacken verhindert werden. Ein Angreifer könnte sonst
eine Nachricht für
eine angebliche Paketabgabe mit seinem eigenen öffentlichen Schlüssel an
den Empfänger senden
(der angeblich der öffentliche
Schlüssel z.B.
der Post wäre).
Merkt der Empfänger
den Betrug nicht, würde
er unberechtigt Zugriff gewähren.
- 2. Das erste Rechnersystem 10 des Empfängers erstellt
daraufhin einen ersten Datensatz 1 (siehe 2),
mit der er dem Überbringer
Zutritt zum Depot 30 für
eine bestimmte Zeit (z.B. am nächsten Tag
von 8-18 Uhr) einräumt.
Diese Information ist eine zeitliche und örtliche Zugangsbedingung, deren
Erfüllung
später überprüft wird.
Alternativ können
auch nur zeitliche oder örtliche
Zugangsbedingungen gewählt
werden.
-
Der
erste Datensatz 1 enthält
in dieser Ausführungsform
ebenfalls den öffentlichen
Schlüssel 31 des
Depots 30. Alternativ kann sich der Überbringer den öffentlichen
Schlüssel
des Depots 30 von diesem holen.
-
Der
erste Datensatz 1 wird mit dem öffentlichen Schlüssel 21 des
dem Überbringer
zugeordneten zweiten Rechnersystems 20 und dem geheimen Schlüssel des
ersten Rechnersystems 10 des Empfängers verschlüsselt. In 2 ist
ein geheimer Schlüssel
schwarz, ein öffentlicher
Schlüssel
weiß dargestellt.
Der erste Datensatz 1 wird vom ersten Rechnersystem 10 des
Empfängers
signiert.
- 3. Das erste Rechnersystem 11 des
Empfängers erstellt
einen zweiten Datensatz 2 (3), der ebenfalls
die Zugangsbedingungen sowie den öffentlichen Schlüssel 21 des
dem Überbringer
zugeordneten zweiten Rechnersystems 20 enthält. Der öffentliche
Schlüssel 21 des
zweiten Rechnersystems 20 ist grundsätzlich bekannt, so dass dieser
Schlüssel
nicht im zweiten Datensatz enthalten sein muss.
-
Der
zweite Datensatz 2 wird mit dem öffentlichen Schlüssel 31 des
Depots und dem geheimen Schlüssel 12 des
ersten Rechnersystems 10 verschlüsselt und ebenfalls vom Empfänger signiert.
- 4. Beide Datensätze 1, 2 werden
an das zweite Rechnersystem 20 des Überbringers geschickt.
-
Der Überbringer
kann den für
ihn bestimmten ersten Datensatz 1 mit seinem geheimen Schlüssel 21 entschlüsseln (siehe 4)
und gelangt so an den öffentlichen
Schlüssel 31 des
Depots 30 sowie an die Zeit und den Ort für die Zutrittsberechtigung. Der
zweite Datensatz 20 bleibt unangetastet.
- 5.
Das zweite Rechnersystem 20 erstellt (ggf. signiert) einen
dritten Datensatz 3 (siehe 5), der die
aktuelle Zeit enthält.
Das zweite Rechnersystem 20 verschlüsselt die Zeitangabe mit dem öffentlichen
Schlüssel 31 des
Depots 30 (den es z.B. aus dem ersten Datensatz 1 erhalten
hat).
-
Der
unangetastete zweite Datensatz 2 sowie der erstellte dritte
Datensatz 3 werden zu dem Prüfungsmittel 33 des
Depots 30 übertragen,
wobei der Überbringer
sich in Person zum Depot 30 begibt, um Zugriff auf den
Zugriffsbereich zu erhalten.
- 6. Das Prüfungsmittel 34 des
Depots 30 entschlüsselt
zuerst den zweiten Datensatz 2 (siehe 6)
und überprüft die Echtheit
mit dem öffentlichen
Schlüssel 11 des
Empfängers.
-
Dieser
zweite Datensatz 2 enthielt den öffentlichen Schlüssel 21 des Überbringers.
-
Damit
kann das Depot den entschlüsselten dritten
Datensatz 3 auf Echtheit prüfen (siehe 7). Stimmen
die Zeiten und/oder die Orte in den beiden Datensätzen 2, 3 überein,
d.h., sind die Zugangsbedingungen erfüllt, gewährt das Depot 30 dem Überbringer
Zutritt zum Zugriffsbereich 34. Grundsätzlich kann ein Depot 30 viele
verschiedene Zugriffsbereiche 39 aufweisen, wobei die genaue
Regelung des Zugriffs durch das erste Rechnersystem 10 und
den ersten Datensatz 1 festgelegt wird.
-
Das
Verfahren und die Vorrichtung können außerdem sicherstellen,
dass Ware auch wirklich im Depot 30 abgelegt wird. Dies
kann z.B. über RFID-Etiketten
geschehen, welche auf die Ware aufgebracht und erst nach Schließung des
Depots 30 gelesen werden.
-
Die
beschriebene Technik ermöglicht
eine einfache Zutrittskontrolle, welche auf verschiedenste Weise
eingeschränkt
werden kann, z.B. auf eine Zeit, einen Ort oder eine bestimmte Anzahl
von Zutrittsberechtigungen. Das Prüfungsmittel benötigt keine
vorherigen Kenntnisse über
die Person des Überbringers,
der Zutritt gewährt
werden soll. Dies erlaubt einen einfachen Systemaufbau ohne die
Notwendigkeit einer zentralen Instanz zur Schlüsselkontrolle.
-
Das
Prüfungsmittel 33 des
Restriktionsbereiches 30 (z.B. Depot) muss folgende Bedingungen
erfüllen:
- • Es
darf nur dem Besitzer möglich
sein, öffentliche
Schlüssel
zur Liste der Zutritt gewährenden Personen
hinzuzufügen
oder ein neues Schlüsselpaar
zu generieren.
- • Die
Hardware muss gegen Manipulation geschützt sein (tamper proof hardware).
-
Die
Annahme von Datensätzen 2, 3 durch das
Prüfungsmittel
kann unter anderem über USB-Sticks
oder SIM-Karten erfolgen.
-
Die
Erzeugung von Nachrichten kann durch jede Software erfolgen, welche
die beschriebenen Verschlüsselungs-
und Signaturverfahren beherrscht.
-
Die
Erfindung wurde hier anhand einer Ausführungsform beschrieben, die
sich auf die Auslieferung von Waren in einen Restriktionsbereich
(hier Depot 30) bezieht. Grundsätzlich ist es aber auch möglich, dass
der Restriktionsbereich 30 auch andere Formen annimmt.
Insbesondere ist es auch möglich,
dass der Restriktionsbereich 30 sich auf die definierte
Freigabe bestimmter Datenverarbeitungsgeräte bezieht. Auch ist es möglich, die
Freigabe bestimmter Programme oder Daten für Berechtigte durch eine Ausführungsform
des erfindungsgemäßen Verfahrens
zu steuern.
-
Die
Erfindung beschränkt
sich in ihrer Ausführung
nicht auf die vorstehend angegebenen bevorzugten Ausführungsbeispiele.
Vielmehr ist eine Anzahl von Varianten denkbar, die von dem erfindungsgemäßen Verfahren
und der erfindungsgemäßen Vorrichtung
auch bei grundsätzlich
anders gearteten Ausführungen
Gebrauch machen.