-
Die Erfindung betrifft ein Verfahren zur Sicherung von Zutrittsverfahren. Insbesondere betrifft die Erfindung den Bereich der Zutritte zu ortfesten Anlagen, wie Gebäuden oder zugangsbeschränkten Geländen.
-
Eine Berechtigung für den Zutritt zu ortsfesten Anlagen wurde bislang oft über eine Schlüsselkomponente, beispielsweise einen Funkschlüssel oder sogenannten ID-Geber, z.B. eine Chipkarte geprüft. Derjenige Benutzer, der den Schlüssel bei sich trägt, ist autorisiert, sich Zutritt zu einem gesicherten Bereich, insbesondere einem Gebäude oder Gelände zu verschaffen. Dabei sind auch Systeme bekannt, die drahtlos wirken und auch solche, die gar keinen aktiven Entsperr- oder Autorisierungsvorgang erfordern, sogenannte Keyless-Entry-Systeme.
-
Es ist außerdem bekannt, dass nach einem Registrierungsvorgang der Zutritt zu ortsfeste Anlagen mit einer Schlüsselkarte oder auch einem registrierten Mobiltelefon erfolgen kann. Hinsichtlich der Zutrittsmöglichkeiten zu ortsfesten Anlagen über Mobilgeräte bestehen allerdings Vorbehalte hinsichtlich der Sicherheit solcher Konzepte.
-
Es gibt dabei verschiedene Ansätze, die Berechtigungsinformationen zum Zutritt zu einer Anlage in ein mobiles Kommunikationsgerät (beispielsweise ein Smartphone) zu verlagern. Der Eigentümer oder Manager eines Gebäudes oder Geländes kann einen Benutzer Rechte einräumen, diese Rechte werden mit einer entsprechenden Applikation und Daten auf einem dem Benutzer zugeordneten mobilen Kommunikationsgerät abrufbar hinterlegt. In einem grundlegenden Konzept verfügt dann eine ortsfeste Anlage über eine Steuereinrichtung, die in Kommunikation mit dem mobilen Kommunikationsgerät tritt (beispielsweise über eine Bluetooth- oder NFC-Verbindung). Diese Steuereinrichtung hat dazu eine Schnittstelle im Zugriffsbereich des Benutzers, z.B. am Eingang zu einem Gebäude oder Gelände. Bei Zutritt wird die gespeicherte Legitimation geprüft und in Abhängigkeit davon Zutritt gewährt.
-
In fortgeschrittenen Systemen kommunizieren sowohl eine Steuereinheit in der ortsfesten Anlage als auch das mobile Kommunikationsgerät mit einer zentralen und gesicherten Plattform, die beispielsweise ein Dienstprovider oder ein Verwalter des Zutrittssystems vorhält. Durch diese Vermittlungsposition kann eine höhere Sicherheitsstufe gewährleistet werden.
-
Es kann außerdem vorgesehen sein, dass der Benutzer eines mobilen Kommunikationsgerät sich gegenüber diesem mobilen Kommunikationsgerät mittels einer Kennung oder biometrischer Daten identifizieren muss, bevor er Zugriff auf die im mobilen Kommunikationsgerät gespeicherten Daten und damit zu einer Anlage erhält.
-
Die vorgenannten Konzepte bieten zwar bezüglich üblicher Angriffe eine robuste Sicherheit, es ist jedoch erstrebenswert, die Sicherheit weiter zu verbessern. So bieten beispielsweise Systeme noch keine umfassende Sicherheit im Falle des Klonens eines Mobilgerätes (Smartphones) durch einen böswilligen Dritten. Es ist grundsätzlich (mit erheblichem Aufwand) möglich, eine exakte Kopie eines Mobilgerätes, insbesondere eines Smartphones anzulegen. Dafür kann zum Beispiel identische Hardware verwendet werden, auf welche ein Software-Systemabbild des geklonten Mobilgerätes aufgespielt wird. Die in der Hardware selbst gespeicherten Kennungen, die grundsätzlich nicht manipulierbar sind da sie hardwareseitig gespeichert sind, können über einen Software-Layer, zum Beispiel unterhalb der Betriebssystemebene abgefangen und manipuliert werden, so dass auch eine identische Hardware sowohl dem Betriebssystem als auch verbundenen Dritten vorgespielt wird. Die Absicherung eines solchen Vorgangs ist in den bisherigen Konzepten noch nicht realisiert.
-
Aufgabe der Erfindung ist es, eine zusätzliche Sicherheit bei Autorisierungsvorgängen zum Zutritt zu ortsfesten Anlagen bereitzustellen. Die Aufgabe wird erfindungsgemäß gelöst durch ein Verfahren mit den Merkmalen des Patentanspruchs 1.
-
Gemäß der Erfindung wird ein mobiles Kommunikationsgerät, insbesondere ein Smartphone mit einer darauf laufenden Applikation verwendet, um den Zutritt zu ortsfesten Anlagen zu managen. Ein derart ausgestattetes Smartphone kann sowohl mit einer zentralen Plattform kommunizieren als auch mit einer Sicherheitseinrichtung an einer Anlage, z.B. einem Gebäude. Es ist jedoch auch möglich, dass nur eine Anlagen-Steuereinheit und das mobile Kommunikationsgerät ohne zentrale Plattform eingesetzt werden. Das mobile Kommunikationsgerät enthält in jedem Fall Daten, die bei Übermittlung an eine gekoppelte Sicherheitseinrichtung (z.B. Türzugangssystem) eine Legitimation des Besitzers des mobilen Kommunikationsgerätes bewirken. Das mobile Kommunikationsgerät ist also als Schlüssel für ein Zutrittssystem der ortsfesten Einrichtung ausgebildet.
-
Wesentlich ist, dass gemäß der Erfindung das mobile Kommunikationsgerät und die darauf laufende Applikation so ausgebildet sind, dass das mobile Kommunikationsgerät wiederholt Kontakt zu einer entfernten Stelle, z.B. der zentralen Plattform oder auch der Anlagen-Steuereinheit aufnimmt. Die Zeitabstände dieser Kontaktaufnahmen können in einem gewissen Bereich zufällig variiert werden oder auch auf eine feste Periodendauer vorgegeben werden. Beispielsweise können Zeitabstände der Kontaktaufnahme von 10 Minuten oder 60 Minuten oder auch mehreren Stunden vorgesehen sein.
-
Diese Kontaktaufnahmen erfordern keine Benutzereinwirkung, die beteiligten Geräte erledigen die Kontaktaufnahmen und Abwicklung autonom.
-
Bei jeder Kontaktaufnahme werden sowohl im mobilen Kommunikationsgerät als auch bei entfernten Stellen charakteristische und eindeutige Daten für die jeweilige Kontaktaufnahme gespeichert. Beispielsweise können die charakteristischen Daten in einem Zeitstempel bestehen, welcher die Kontaktaufnahme dokumentiert. Alternativ kann zu dem Mobilgerät von der entfernten Stelle ein kleines Datenpaket mit zufällig generiertem Inhalt übermittelt werden. Außerdem wird erfindungsgemäß bei jeder Kontaktaufnahme überprüft, ob die Daten einer vorangehenden Kontaktaufnahme, beispielsweise der unmittelbar vorangehenden Kontaktaufnahme, beidseitig konsistent sind. Es wird also bei jeder Kontaktaufnahme beispielsweise festgestellt, ob auf beiden Seiten der identische Zeitstempel oder Datensatz der vorangehenden Kontaktaufnahme vorhanden ist. Dazu übermittelt das Mobilgerät bei jeder Kontaktaufnahme das in der vorangehenden Kontaktaufnahme übermittelte Datenpaket zurück an die entfernte Stelle, die dort einen Vergleich mit dem vorangehend übermittelten Datenpaket durchführt.
-
Wird bei dieser Kontrolle eine Inkonsistenz festgestellt, so kann darauf reagiert werden, indem der Zutritt für dieses mobile Kommunikationsgerät gesperrt wird. Dazu wird eine Sperrung in der entfernten Stelle veranlasst, also in der zentralen Plattform und/oder unmittelbar in der Steuereinheit der ortsfesten Anlage.
-
Ein wesentliches Merkmal der Erfindung besteht also darin, in vorgegebenen zeitlichen Abständen eine Auffrischung und Synchronisation von Daten zwischen im mobilem Kommunikationsgerät und Anlagen-Steuereinheit oder zwischen Mobilgerät und der zentralen Steuerplattform vorzusehen und automatisiert abzuwickeln. Dies schützt davor, dass ein geklontes Mobilgerät unter Vorspielen einer falschen Identität betrieben werden kann. Der wiederholte Synchronisationsvorgang kann problemlos durch eine Applikation auf dem Mobilgerät initiiert werden. Das Synchronisationsintervall kann und sollte in gewissen Grenzen zufällig variiert werden, um eine Systematik und Berechenbarkeit der Kontaktaufnahmen zu reduzieren.
-
Greifen beispielswiese zwei Geräte, ein legitimes und ein unberechtigter Geräteklon, gemäß diesem erfindungsgemäßen Synchronisierungsvorgang auf die entfernte Stelle, z.B. die zentrale Plattform zu, so sind die Daten nicht konsistent, da bei jeder Kontaktaufnahme eine neue Synchronisierungsinformation auf beiden Seiten hinterlegt wird. Beim ersten Zutritt eines anderen Gerätes würde festgestellt, dass die Synchronisierungsdaten des vorangehenden Kontaktes nicht konsistent sind und eine Sperrung des Zutrittes auf ein Fahrzeug kann veranlasst werden.
-
Wird ein geklontes Mobilgerät erst nach dem Kopiervorgang und mit erheblicher Zeitverzögerung in Betrieb genommen, hat inzwischen bereits das Originalgerät neue Synchronisierungsinformationen empfangen und an der entfernten Stelle sind ebenfalls die Synchronisierungsinformation aktualisiert worden.
-
Beim ersten Synchronisierungsversuch des illegalen Klons würde festgestellt, dass die Synchronisierungsinformationen nicht übereinstimmen und der Zutritt würde gesperrt.
-
Erfindungsgemäß ist also das zentrale Element des Verfahrens der Vorgang der wiederholten Sicherheitssynchronisierung zwischen dem Mobilgerät und einer entfernten Stelle und Speicherung von für den jeweiligen Synchronisationsvorgang charakteristischen und eindeutigen Daten. Bei jedem nachfolgenden Synchronisierungsvorgang werden die Daten aus einem vorangehenden, vorzugsweise dem unmittelbar vorangehenden Synchronisierungsvorgang abgeglichen und ein Zutritt auf ein zentrales System oder ein Fahrzeug wird unterbunden, wenn die abgeglichenen Daten nicht konsistent sind.
-
Es ist im Rahmen der Erfindung sinnvoll, wenn jeder Synchronisierungsvorgang derart quittiert wird, dass nach einer Übermittlung der Daten eine Kontrolle der gerade übermittelten Daten stattfindet, um eine fehlerhafte Übermittlung und Speicherung auszuschließen. Vorzugsweise wird daher bei jeder Synchronisierung und Übermittlung neuer Synchronisierungsdaten eine wechselseitige Überprüfung der übermittelten und gespeicherten Daten stattfinden. Wird als charakteristische Information beispielsweise ein Zeitstempel verwendet ist es außerdem wichtig, dass die zeitliche Synchronisation der Geräte sichergestellt ist. Einfacher zu realisieren ist es, wenn die vom Mobilgerät entfernte Stelle als Master der Synchronisation ein Datenpaket (beispielsweise den Zeitstempel) an das Mobilgerät übermittelt und dieses Mobilgerät diese Daten als charakteristische Daten der Kontaktaufnahme speichert. In einer nachfolgenden Kommunikation werden diese Daten zurückgeschickt, an der entfernten Stelle geprüft und bei erfolgreicher Prüfung wird ein neues Datenpaket an das Mobilgerät zurückgesendet.
-
Da die Daten regelmäßig erneuert werden und nicht nach einem Algorithmus auf dem Mobiltelefon erzeugt werden, entzieht sich eine solche Maßnahme dem illegalen Klon eines Mobilgerätes. Es würde erkannt, wenn mehrere Geräte mit vorgetäuschter Identität auf dieselbe entfernte Stelle zugreifen würden.
-
Vorzugsweise wird die Erfindung in einem System eingesetzt, wo eine zentrale Rechteverwaltungsstelle die Zutrittsrechte zwischen Mobilgeräten und ortsfesten Anlagen koordiniert. Bei solchen Systemen verifiziert beispielsweise die zentrale Stelle die Identität eines Benutzers. Es ist bei derartigen Systemen oft vorgesehen, dass eine vertrauenswürdige Stelle, zum Beispiel der Verwalter der Anlage, die Eintragung in der zentralen Datenbank vornimmt und von diesen zentralen Eintragungen sowohl die Anlagen-Steuereinheit selbst als auch das mobile Kommunikationsgerät abhängig sind. In einem solchen Fall würde die Synchronisierung vorzugsweise zwischen mobilem Kommunikationsgerät und der zentralen Stelle stattfinden, wobei das mobile Kommunikationsgerät und die zentrale Stelle über eine drahtlose Datenleitung verbindbar sind. Da jedes Synchronisierungsereignis nur sehr kleine Datenmengen austauscht, ist ein solches System ohne wesentliche Belastung des Datenverkehrs oder des Betriebs des Mobilgerätes möglich. Die Art des Datenaustausches ist weitgehend beliebig, es kann sich beispielsweise um Datennachrichten über ein Datennetzwerk handeln, beispielsweise Aufrufe von gesicherten Internetseiten oder ein Datenaustausch über proprietäre Protokolle.
-
Sobald die zentrale Plattform feststellt, dass übermittelte Synchronisierungsinformationen nicht konsistent sind, sperrt sie die entsprechenden Privilegien des zugeordneten mobilen Kommunikationsgeräts und teilt dies einer Anlagen-Steuereinheit mit, die ebenfalls in Kontakt der zentralen Plattform steht.
-
Die Sperrung eines solchen Systems wird dem Benutzer in geeigneter Weise mitgeteilt, beispielsweise durch einen Anruf oder Zusendung einer entsprechenden Mitteilung. Es besteht danach die Möglichkeit, die Sperrung durch Nachweis einer geeigneten Legitimation oder Anmeldung eines anderen mobilen Kommunikationsgerätes aufzuheben.
-
Auch wenn ein Benutzer veranlasst wird sein mobiles Kommunikationsgerät zurückzusetzen oder eine ältere Sicherung des Mobilgerätes wieder aufzuspielen, kann ein solcher Vorgang erforderlich sein, da dann auch die gespeicherten Synchronisierungsinformationen verloren sind.
-
Der Ablauf einer Ausführungsform des Verfahrens ist beispielhaft in der beiliegenden Zeichnung dargestellt.
-
1 zeigt einen beispielhaften Ablauf des Sicherungsverfahrens.
-
In Schritt 10 erfolgt eine Einrichtung des Systems zur Ausführung des Verfahrens. Die Identität des Benutzers wird durch eine vertrauenswürdige Stelle geprüft und die Benutzerdaten werden bei Schritt 20 in einer zentralen Plattform, insbesondere einem Datenbankserver gespeichert.
-
Bei Schritt 30 wird ein Smartphone des Benutzers mit einer Anlagen-Steuereinheit an einem Gebäude gekoppelt, wobei eine eindeutige Kennung des Smartphones in der Anlagen-Steuereinheit und/oder dem zentralen Datenbankserver gespeichert wird, welcher mit der Anlagen-Steuereinheit gekoppelt ist.
-
In Schritt 40 wird von dem Datenbankserver eine Synchronisationsnachricht erstellt. Die enthält einen Zeitstempel und eine zufällig generierte Datenfolge. Diese Synchronisationsnachricht wird im Datenbankserver gespeichert und an das Smartphone über ein Kommunikationsnetz übermittelt. Auch im Smartphone wird die Synchronisationsnachricht gespeichert.
-
Bei Schritt 50 wird eine Pause abgewartet bevor bei Schritt 60 erneut eine Kommunikationsverbindung zwischen Smartphone und Datenbankserver aufgebaut wird. Das Smartphone übermittelt die in der vorherigen Kommunikation erhaltene Synchronisationsnachricht bei Schritt 70 und in dem Datenbankserver wird diese mit der dort gespeicherten Synchronisationsnachricht in Schritt 80 verglichen.
-
Ein Vergleich bei Schritt 90 zeigt, ob die Synchronisationsnachrichten konsistent sind. Falls ja, wird eine neue Synchronisationsnachricht erzeugt und an das Smartphone übermittelt. Falls nein, wird das Smartphone für den Zugriff im zentralen Datenbankserver gesperrt.