EP3407309A1

EP3407309A1 - Zutrittskontrollvorrichtung zum kontrollieren eines zutritts zu einem zutrittsbereich

Info

Publication number: EP3407309A1
Application number: EP18172055.8A
Authority: EP
Inventors: Paul Bastian; Frank Morgner
Original assignee: Bundesdruckerei GmbH
Current assignee: Bundesdruckerei GmbH
Priority date: 2017-05-24
Filing date: 2018-05-14
Publication date: 2018-11-28
Anticipated expiration: 2038-05-14
Also published as: DE102017111475A1; EP3407309B1

Abstract

Die Erfindung betrifft eine Zutrittskontrollvorrichtung (100) zum Kontrollieren eines Zutritts zu einem Zutrittsbereich unter Verwendung eines Kommunikationsgerätes. Die Zutrittskontrollvorrichtung (100) umfasst eine erste Kommunikationsschnittstelle (101), welche ausgebildet ist, über eine erste Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren, und das Kommunikationsgerät über die erste Kommunikationsverbindung unter Verwendung eines Authentifizierungsprotokolls zu authentifizieren, wobei der ersten Kommunikationsschnittstelle (101) eine erste Kommunikationsreichweite zugeordnet ist. Die Zutrittskontrollvorrichtung (100) umfasst ferner eine zweite Kommunikationsschnittstelle (103), welche ausgebildet ist, über eine zweite Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren, und eine Anwesenheit des Kommunikationsgerätes zu detektieren, wobei der zweiten Kommunikationsschnittstelle (103) eine zweite Kommunikationsreichweite zugeordnet ist, wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist. Die Zutrittskontrollvorrichtung (100) umfasst zudem einen Prozessor (105), welcher ausgebildet ist, den Zutritt zu dem Zutrittsbereich zu gewähren, falls das Kommunikationsgerät unter Verwendung des Authentifizierungsprotokolls authentifiziert ist und die Anwesenheit des Kommunikationsgerätes detektiert ist.

Description

Die vorliegende Erfindung betrifft das Gebiet der Zutrittskontrolle, insbesondere der physischen Zutrittskontrolle zu einem Zutrittsbereich.
Aufgrund der hohen Verbreitung von Smartphones sowohl im privaten Bereich als auch im geschäftlichen Bereich ist der Einsatz dieser mobilen Kommunikationsgeräte zur Zutrittskontrolle von zunehmender Bedeutung.
Typische Smartphones verfügen gegenwärtig beispielsweise über eine Bluetooth-Kommunikationsschnittstelle, welche zur Durchführung komplexer Protokolle zur Zutrittskontrolle verwendet werden könnte. Bluetooth hat jedoch den Nachteil, dass die Kommunikationsreichweite unerwünscht hoch ist. Im freien Feld kann die Kommunikationsreichweite beispielsweise bis zu 100 m betragen. In Gebäuden kann die Kommunikationsreichweite zwar eingeschränkt sein, jedoch kann selbst dort eine Bestimmung einer zu öffnenden Zutrittstür problematisch sein, wenn mehrere Zutrittstüren nur wenige Meter voneinander entfernt angeordnet sind.
Es ist daher eine Aufgabe der vorliegenden Erfindung, ein effizientes Konzept zur Zutrittskontrolle zu schaffen, welches die vorgenannten Nachteile überwindet.
Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungsformen sind Gegenstand der abhängigen Patentansprüche, der Beschreibung sowie der Zeichnungen.
Die Erfindung basiert auf der Erkenntnis und schließt diese mit ein, dass die obige Aufgabe unter Verwendung einer Zutrittskontrollvorrichtung und eines Kommunikationsgerätes gelöst werden kann, welche jeweils eine Mehrzahl von Kommunikationsschnittstellen mit unterschiedlichen Kommunikationsreichweiten aufweisen. Beispielsweise kann eine erste Kommunikationsschnittstelle der Zutrittskontrollvorrichtung und des Kommunikationsgerätes eine Bluetooth-Kommunikationsschnittstelle mit einer hohen Kommunikationsreichweite von bis zu 100 Metern sein. Ferner kann eine zweite Kommunikationsschnittstelle der Zutrittskontrollvorrichtung und des Kommunikationsgerätes beispielsweise eine NFC-Kommunikationsschnittstelle mit einer geringen Kommunikationsreichweite von bis zu 30 Zentimetern sein. Dadurch wird der Vorteil erreicht, dass über hohe Entfernungen ein typischerweise zeitaufwändiges Authentifizierungsprotokoll zwischen der Zutrittskontrollvorrichtung und dem Kommunikationsgerätes durchgeführt werden kann und das Gewähren eines Zutritts zu dem Zutrittsbereich erst dann erfolgt, wenn zusätzlich eine Nähe zwischen der Zutrittskontrollvorrichtung und dem Kommunikationsgerät besteht.
Gemäß einem ersten Aspekt betrifft die Erfindung eine Zutrittskontrollvorrichtung zum Kontrollieren eines Zutritts zu einem Zutrittsbereich unter Verwendung eines Kommunikationsgerätes. Die Zutrittskontrollvorrichtung umfasst eine erste Kommunikationsschnittstelle, welche ausgebildet ist, über eine erste Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren, und das Kommunikationsgerät über die erste Kommunikationsverbindung unter Verwendung eines Authentifizierungsprotokolls zu authentifizieren, wobei der ersten Kommunikationsschnittstelle eine erste Kommunikationsreichweite zugeordnet ist. Die Zutrittskontrollvorrichtung umfasst ferner eine zweite Kommunikationsschnittstelle, welche ausgebildet ist, über eine zweite Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren, und eine Anwesenheit des Kommunikationsgerätes zu detektieren, wobei der zweiten Kommunikationsschnittstelle eine zweite Kommunikationsreichweite zugeordnet ist, wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist. Die Zutrittskontrollvorrichtung umfasst zudem einen Prozessor, welcher ausgebildet ist, den Zutritt zu dem Zutrittsbereich zu gewähren, falls das Kommunikationsgerät unter Verwendung des Authentifizierungsprotokolls authentifiziert ist und die Anwesenheit des Kommunikationsgerätes detektiert ist.
Die erste Kommunikationsreichweite der ersten Kommunikationsschnittstelle kann beispielsweise 1 m, 2 m, 5 m, 10 m, 20 m, 50 m oder 100 m betragen. Die zweite Kommunikationsreichweite der zweiten Kommunikationsschnittstelle kann beispielsweise 1 cm, 2 cm, 5 cm, 10 cm, 20 cm oder 30 cm betragen.
Die zweite Kommunikationsschnittstelle kann beispielsweise die Anwesenheit des Kommunikationsgerätes innerhalb eines Bereiches detektieren, welcher durch die zweite Kommunikationsreichweite bestimmt ist. Der Bereich kann beispielsweise ein Umfeld der zweiten Kommunikationsschnittstelle sein, dessen Radius der zweiten Kommunikationsreichweite entspricht.
Gemäß einer Ausführungsform ist der Prozessor ausgebildet, den Zutritt zu dem Zutrittsbereich zu verweigern, falls das Kommunikationsgerät nicht authentifiziert ist oder die Anwesenheit des Kommunikationsgerätes nicht detektiert ist. Dadurch wird der Vorteil erreicht, dass ein Zutritt zu dem Zutrittsbereich nur dann gewährt wird, falls zugleich das Kommunikationsgerät authentifiziert ist und die Anwesenheit des Kommunikationsgerätes detektiert ist. Falls sich das Kommunikationsgerät beispielsweise nicht mehr innerhalb der zweiten Kommunikationsreichweite um die zweite Kommunikationsschnittstelle befindet, kann der Zutritt zu dem Zutrittsbereich verweigert werden.
Gemäß einer Ausführungsform ist das Authentifizierungsprotokoll ein asymmetrisches Authentifizierungsprotokoll. Dadurch wird der Vorteil erreicht, dass die Schlüsselverwaltung bei einer Mehrzahl von eingesetzten Zutrittskontrollvorrichtungen und/oder Kommunikationsgeräten vereinfacht werden kann. Zugleich kann ein hohes Authentifizierungsniveau gewährleistet werden.
Gemäß einer Ausführungsform ist der Zutrittskontrollvorrichtung ein erstes kryptographisches Zertifikat zugeordnet, wobei dem Kommunikationsgerät ein zweites kryptographisches Zertifikat zugeordnet ist, und wobei die erste Kommunikationsschnittstelle ausgebildet ist, das asymmetrische Authentifizierungsprotokoll unter Verwendung des ersten kryptographischen Zertifikats und des zweiten kryptographischen Zertifikats durchzuführen. Dadurch wird der Vorteil erreicht, dass das asymmetrische Authentifizierungsprotokoll effizient durchgeführt werden kann.
Gemäß einer Ausführungsform umfasst das asymmetrische Authentifizierungsprotokoll ein Extended-Access-Control (EAC) Authentifizierungsprotokoll. Das EAC-Authentifizierungsprotokoll ist ein etabliertes und standardisiertes asymmetrisches Authentifizierungsprotokoll. Das Extended-Access-Control (EAC) Authentifizierungsprotokoll kann einen Protokollabschnitt zur Terminal Authentication (TA), einen Protokollabschnitt zur Passive Authentication (PA) und einen Protokollabschnitt zur Chip Authentication (CA) umfassen. Ferner kann im Rahmen des Extended-Access-Control (EAC) Authentifizierungsprotokolls ein Secure Messaging (SM) Kanal zwischen der Zutrittskontrollvorrichtung und dem Kommunikationsgerät aufgebaut werden. Das Extended-Access-Control (EAC) Authentifizierungsprotokoll kann beispielsweise gemäß der technischen Richtlinie BSI TR-03110 implementiert sein.
Gemäß einer Ausführungsform ist die zweite Kommunikationsschnittstelle ausgebildet, das Kommunikationsgerät über die zweite Kommunikationsverbindung unter Verwendung eines weiteren Authentifizierungsprotokolls zu authentifizieren, wobei der Prozessor ausgebildet ist, den Zutritt zu dem Zutrittsbereich zu gewähren, falls das Kommunikationsgerät ferner unter Verwendung des weiteren Authentifizierungsprotokolls authentifiziert ist. Dadurch wird der Vorteil erreicht, dass das Authentifizierungsniveau des Kommunikationsgerätes gesteigert werden kann.
Gemäß einer Ausführungsform ist das weitere Authentifizierungsprotokoll ein symmetrisches Authentifizierungsprotokoll. Dadurch wird der Vorteil erreicht, dass eine hohe Zeiteffizienz bei der Authentifizierung über die zweite Kommunikationsverbindung realisiert werden kann.
Gemäß einer Ausführungsform ist dem Kommunikationsgerät ein kryptographisches Token zugeordnet, wobei die erste Kommunikationsschnittstelle ausgebildet ist, das kryptographische Token zu empfangen, und wobei die zweite Kommunikationsschnittstelle ausgebildet ist, das weitere Authentifizierungsprotokoll unter Verwendung des kryptographischen Tokens durchzuführen. Dadurch wird der Vorteil erreicht, dass eine initiale Authentifizierung unter Verwendung des Authentifizierungsprotokolls erfolgen kann, und auf dieser Basis eine weitergehende Authentifizierung unter Verwendung des weiteren Authentifizierungsprotokolls durchgeführt werden kann. Das kryptographische Token kann kryptographisch abgesichert übertragen werden.
Das kryptographische Token kann beispielsweise durch das Kommunikationsgerät erzeugt oder in einem Speicher des Kommunikationsgerätes vorgespeichert sein. Das kryptographische Token kann beispielsweise durch das Kommunikationsgerät ausgesendet und über die erste Kommunikationsverbindung empfangen werden. Alternativ kann das kryptographische Token beispielsweise von einem Server abgerufen werden.
Gemäß einer Ausführungsform ist das kryptographische Token ein kryptographischer Schlüssel, ein Einmalpasswort (engl. One-Time-Password, OTP) oder eine Zufallszahl. Dadurch wird der Vorteil erreicht, dass das kryptographische Token zur einmaligen Verwendung bei der Authentifizierung mittels des weiteren Authentifizierungsprotokolls eingesetzt werden kann.
Gemäß einer Ausführungsform ist die erste Kommunikationsschnittstelle eine Bluetooth-Kommunikationsschnittstelle. Die Bluetooth-Kommunikationsschnittstelle kann beispielsweise gemäß dem Standard IEEE 802.15.1 implementiert sein. Dadurch wird der Vorteil erreicht, dass ein etablierter und standardisierter Kommunikationsstandard zur Kommunikation über die erste Kommunikationsschnittstelle verwendet werden kann.
Gemäß einer Ausführungsform ist die zweite Kommunikationsschnittstelle eine NFC-Kommunikationsschnittstelle (NFC: Near-Field-Communication). Die NFC-Kommunikationsschnittstelle kann beispielsweise gemäß dem Standard NFC/ISO14443 implementiert sein. Dadurch wird der Vorteil erreicht, dass ein etablierter und standardisierter Kommunikationsstandard zur Kommunikation über die zweite Kommunikationsschnittstelle verwendet werden kann.
Gemäß einem zweiten Aspekt betrifft die Erfindung ein Kommunikationsgerät zum Kommunizieren mit einer Zutrittskontrollvorrichtung. Die Zutrittskontrollvorrichtung ist ausgebildet, einen Zutritt zu einem Zutrittsbereich zu kontrollieren. Das Kommunikationsgerät umfasst eine erste Kommunikationsschnittstelle, welche ausgebildet ist, über eine erste Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren, und über die erste Kommunikationsverbindung ein Authentifizierungsprotokoll durchzuführen, wobei der ersten Kommunikationsschnittstelle eine erste Kommunikationsreichweite zugeordnet ist. Das Kommunikationsgerät umfasst ferner eine zweite Kommunikationsschnittstelle, welche ausgebildet ist, über eine zweite Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren, und über die zweite Kommunikationsverbindung ein weiteres Authentifizierungsprotokoll durchzuführen, wobei der zweiten Kommunikationsschnittstelle eine zweite Kommunikationsreichweite zugeordnet ist, wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist.
Die erste Kommunikationsreichweite der ersten Kommunikationsschnittstelle kann beispielsweise 1 m, 2 m, 5 m, 10 m, 20 m, 50 m oder 100 m betragen. Die zweite Kommunikationsreichweite der zweiten Kommunikationsschnittstelle kann beispielsweise 1 cm, 2 cm, 5 cm, 10 cm, 20 cm oder 30 cm betragen.
Gemäß einer Ausführungsform ist das Authentifizierungsprotokoll ein asymmetrisches Authentifizierungsprotokoll, wobei das weitere Authentifizierungsprotokoll ein symmetrisches Authentifizierungsprotokoll ist. Dadurch wird der Vorteil erreicht, dass bei der Authentifizierung über die erste Kommunikationsschnittstelle die Schlüsselverwaltung bei einer Mehrzahl von eingesetzten Zutrittskontrollvorrichtungen und/oder Kommunikationsgeräten vereinfacht werden kann. Zudem kann bei der Authentifizierung über die zweite Kommunikationsschnittstelle eine hohe Zeiteffizienz realisiert werden.
Gemäß einer Ausführungsform ist der Zutrittskontrollvorrichtung ein erstes kryptographisches Zertifikat zugeordnet, wobei dem Kommunikationsgerät ein zweites kryptographisches Zertifikat zugeordnet ist, und wobei die erste Kommunikationsschnittstelle ausgebildet ist, das asymmetrische Authentifizierungsprotokoll unter Verwendung des ersten kryptographischen Zertifikats und des zweiten kryptographischen Zertifikats durchzuführen.
Dadurch wird der Vorteil erreicht, dass das asymmetrische Authentifizierungsprotokoll effizient durchgeführt werden kann.
Gemäß einer Ausführungsform umfasst das asymmetrische Authentifizierungsprotokoll ein Extended-Access-Control (EAC) Authentifizierungsprotokoll. Das EAC-Authentifizierungsprotokoll ist ein etabliertes und standardisiertes asymmetrisches Authentifizierungsprotokoll. Das Extended-Access-Control (EAC) Authentifizierungsprotokoll kann einen Protokollabschnitt zur Terminal Authentication (TA), einen Protokollabschnitt zur Passive Authentication (PA) und einen Protokollabschnitt zur Chip Authentication (CA) umfassen. Ferner kann im Rahmen des Extended-Access-Control (EAC) Authentifizierungsprotokolls ein Secure Messaging (SM) Kanal zwischen der Zutrittskontrollvorrichtung und dem Kommunikationsgerät aufgebaut werden. Das Extended-Access-Control (EAC) Authentifizierungsprotokoll kann beispielsweise gemäß der technischen Richtlinie BSI TR-03110 implementiert sein.
Gemäß einer Ausführungsform ist dem Kommunikationsgerät ein kryptographisches Token zugeordnet, wobei die zweite Kommunikationsschnittstelle ausgebildet ist, das weitere Authentifizierungsprotokoll unter Verwendung des kryptographischen Tokens durchzuführen. Dadurch wird der Vorteil erreicht, dass eine initiale Authentifizierung unter Verwendung des Authentifizierungsprotokolls erfolgen kann, und auf dieser Basis eine weitergehende Authentifizierung unter Verwendung des weiteren Authentifizierungsprotokolls durchgeführt werden kann.
Gemäß einer Ausführungsform umfasst das Kommunikationsgerät einen Prozessor, welcher ausgebildet ist, das kryptographische Token zu erzeugen. Dadurch wird der Vorteil erreicht, dass das kryptographische Token, beispielsweise zur einmaligen Verwendung bei der Authentifizierung mittels des weiteren Authentifizierungsprotokolls, durch das Kommunikationsgerät bereitgestellt werden kann.
Gemäß einer Ausführungsform umfasst das Kommunikationsgerät einen Speicher, in welchem das kryptographische Token vorgespeichert ist. Dadurch wird der Vorteil erreicht, dass das kryptographische Token durch das Kommunikationsgerät effizient bereitgestellt werden kann.
Gemäß einer Ausführungsform ist die erste Kommunikationsschnittstelle ausgebildet, das kryptographische Token über die erste Kommunikationsverbindung auszusenden. Dadurch wird der Vorteil erreicht, dass das kryptographische Token durch die Zutrittskontrollvorrichtung zur Durchführung des weiteren Authentifizierungsprotokolls verwendet werden kann. Das kryptographische Token kann kryptographisch abgesichert übertragen werden.
Gemäß einer Ausführungsform ist das kryptographische Token ein kryptographischer Schlüssel, ein Einmalpasswort (engl. One-Time-Password, OTP) oder eine Zufallszahl. Dadurch wird der Vorteil erreicht, dass das kryptographische Token zur einmaligen Verwendung bei der Authentifizierung mittels des weiteren Authentifizierungsprotokolls eingesetzt werden kann.
Gemäß einer Ausführungsform ist die erste Kommunikationsschnittstelle eine Bluetooth-Kommunikationsschnittstelle. Die Bluetooth-Kommunikationsschnittstelle kann beispielsweise gemäß dem Standard IEEE 802.15.1 implementiert sein. Dadurch wird der Vorteil erreicht, dass ein etablierter und standardisierter Kommunikationsstandard zur Kommunikation über die erste Kommunikationsschnittstelle verwendet werden kann.
Gemäß einer Ausführungsform ist die zweite Kommunikationsschnittstelle eine NFC-Kommunikationsschnittstelle (NFC: Near-Field-Communication). Die NFC-Kommunikationsschnittstelle kann beispielsweise gemäß dem Standard NFC/ISO14443 implementiert sein. Dadurch wird der Vorteil erreicht, dass ein etablierter und standardisierter Kommunikationsstandard zur Kommunikation über die zweite Kommunikationsschnittstelle verwendet werden kann.
Gemäß einer Ausführungsform ist das Kommunikationsgerät ein Smartphone oder eine Smartwatch. Das Smartphone oder die Smartwatch kann von einem Nutzer getragen werden. Dadurch wird der Vorteil erreicht, dass der Nutzer einfach mit der Zutrittskontrollvorrichtung interagieren kann.
Gemäß einem dritten Aspekt betrifft die Erfindung eine Anordnung zum Kontrollieren eines Zutritts zu einem Zutrittsbereich. Die Anordnung umfasst eine Zutrittskontrollvorrichtung gemäß dem ersten Aspekt der Erfindung, und ein Kommunikationsgerät gemäß dem zweiten Aspekt der Erfindung.
Gemäß einer Ausführungsform umfasst die Anordnung eine Zutrittstür, welche an dem Zutrittsbereich angeordnet ist, wobei die Zutrittskontrollvorrichtung ausgebildet ist, ansprechend auf das Gewähren des Zutritts zu dem Zutrittsbereich, die Zutrittstür zu entriegeln. Dadurch wird der Vorteil erreicht, dass der Zutritt zu dem Zutrittsbereich effizient kontrolliert werden kann.
Gemäß einer Ausführungsform ist die Zutrittskontrollvorrichtung ausgebildet, ansprechend auf das Verweigern des Zutritts zu dem Zutrittsbereich, die Zutrittstür zu verriegeln. Dadurch wird der Vorteil erreicht, dass eine bereits entriegelte Zutrittstür wieder verriegelt werden kann, falls sich das Kommunikationsgerät beispielsweise nicht mehr innerhalb der zweiten Kommunikationsreichweite um die zweite Kommunikationsschnittstelle der Zutrittskontrollvorrichtung befindet.
Gemäß einem vierten Aspekt betrifft die Erfindung ein Verfahren zum Kontrollieren eines Zutritts zu einem Zutrittsbereich unter Verwendung einer Zutrittskontrollvorrichtung und eines Kommunikationsgerätes. Die Zutrittskontrollvorrichtung umfasst eine erste Kommunikationsschnittstelle, eine zweite Kommunikationsschnittstelle und einen Prozessor, wobei die erste Kommunikationsschnittstelle ausgebildet ist, über eine erste Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren, wobei die zweite Kommunikationsschnittstelle ausgebildet ist, über eine zweite Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren. Der ersten Kommunikationsschnittstelle ist eine erste Kommunikationsreichweite zugeordnet, wobei der zweiten Kommunikationsschnittstelle eine zweite Kommunikationsreichweite zugeordnet ist, und wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist. Das Verfahren umfasst ein Authentifizieren des Kommunikationsgeräts über die erste Kommunikationsverbindung unter Verwendung eines Authentifizierungsprotokolls durch die erste Kommunikationsschnittstelle, ein Detektieren einer Anwesenheit des Kommunikationsgerätes durch die zweite Kommunikationsschnittstelle, und ein Gewähren des Zutritts zu dem Zutrittsbereich durch den Prozessor, falls das Kommunikationsgerät unter Verwendung des Authentifizierungsprotokolls authentifiziert ist und die Anwesenheit des Kommunikationsgerätes detektiert ist.
Das Verfahren kann durch die Zutrittskontrollvorrichtung ausgeführt werden. Weitere Merkmale des Verfahrens resultieren unmittelbar aus den Merkmalen oder der Funktionalität der Zutrittskontrollvorrichtung.
Gemäß einem fünften Aspekt betrifft die Erfindung ein Verfahren zum Kommunizieren mit einer Zutrittskontrollvorrichtung unter Verwendung eines Kommunikationsgeräts. Die Zutrittskontrollvorrichtung ist ausgebildet, einen Zutritt zu einem Zutrittsbereich zu kontrollieren. Das Kommunikationsgerät umfasst eine erste Kommunikationsschnittstelle und eine zweite Kommunikationsschnittstelle, wobei die erste Kommunikationsschnittstelle ausgebildet ist, über eine erste Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren, wobei die zweite Kommunikationsschnittstelle ausgebildet ist, über eine zweite Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren. Der ersten Kommunikationsschnittstelle ist eine erste Kommunikationsreichweite zugeordnet, wobei der zweiten Kommunikationsschnittstelle eine zweite Kommunikationsreichweite zugeordnet ist, und wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist. Das Verfahren umfasst ein Durchführen eines Authentifizierungsprotokolls über die erste Kommunikationsverbindung durch die erste Kommunikationsschnittstelle, und ein Durchführen eines weiteren Authentifizierungsprotokolls über die zweite Kommunikationsverbindung durch die zweite Kommunikationsschnittstelle.
Das Verfahren kann durch das Kommunikationsgerät ausgeführt werden. Weitere Merkmale des Verfahrens resultieren unmittelbar aus den Merkmalen oder der Funktionalität des Kommunikationsgerätes.
Gemäß einem sechsten Aspekt betrifft die Erfindung ein Computerprogramm mit einem Programmcode zum Ausführen des Verfahrens gemäß dem vierten Aspekt der Erfindung oder des Verfahrens gemäß dem fünften Aspekt der Erfindung. Die Zutrittskontrollvorrichtung und das Kommunikationsgerät können jeweils programmtechnisch eingerichtet sein, um den Programmcode oder Teile des Programmcodes auszuführen. Das Computerprogramm kann beispielsweise Teil einer Firmware der Zutrittskontrollvorrichtung oder Teil einer Applikation des Kommunikationsgerätes sein.
Die Erfindung kann in Hardware und/oder Software realisiert werden.
Weitere Ausführungsbeispiele werden Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert. Es zeigen:

Fig. 1 ein schematisches Diagramm einer Zutrittskontrollvorrichtung zum Kontrollieren eines Zutritts zu einem Zutrittsbereich unter Verwendung eines Kommunikationsgerätes;
Fig. 2 ein schematisches Diagramm eines Kommunikationsgeräts zum Kommunizieren mit einer Zutrittskontrollvorrichtung;
Fig. 3 ein schematisches Diagramm einer Anordnung zum Kontrollieren eines Zutritts zu einem Zutrittsbereich;
Fig. 4 ein schematisches Diagramm eines Verfahrens zum Kontrollieren eines Zutritts zu einem Zutrittsbereich unter Verwendung einer Zutrittskontrollvorrichtung und eines Kommunikationsgerätes;
Fig. 5 ein schematisches Diagramm eines Verfahrens zum Kommunizieren mit einer Zutrittskontrollvorrichtung unter Verwendung eines Kommunikationsgeräts; und
Fig. 6 ein schematisches Diagramm einer Anordnung zum Kontrollieren eines Zutritts zu einem Zutrittsbereich.

Fig. 1 zeigt ein schematisches Diagramm einer Zutrittskontrollvorrichtung 100 zum Kontrollieren eines Zutritts zu einem Zutrittsbereich unter Verwendung eines Kommunikationsgerätes.
Die Zutrittskontrollvorrichtung 100 umfasst eine erste Kommunikationsschnittstelle 101, welche ausgebildet ist, über eine erste Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren, und das Kommunikationsgerät über die erste Kommunikationsverbindung unter Verwendung eines Authentifizierungsprotokolls zu authentifizieren, wobei der ersten Kommunikationsschnittstelle 101 eine erste Kommunikationsreichweite zugeordnet ist. Die Zutrittskontrollvorrichtung 100 umfasst ferner eine zweite Kommunikationsschnittstelle 103, welche ausgebildet ist, über eine zweite Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren, und eine Anwesenheit des Kommunikationsgerätes zu detektieren, wobei der zweiten Kommunikationsschnittstelle 103 eine zweite Kommunikationsreichweite zugeordnet ist, wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist. Die Zutrittskontrollvorrichtung 100 umfasst zudem einen Prozessor 105, welcher ausgebildet ist, den Zutritt zu dem Zutrittsbereich zu gewähren, falls das Kommunikationsgerät unter Verwendung des Authentifizierungsprotokolls authentifiziert ist und die Anwesenheit des Kommunikationsgerätes detektiert ist.
Fig. 2 zeigt ein schematisches Diagramm eines Kommunikationsgeräts 200 zum Kommunizieren mit einer Zutrittskontrollvorrichtung. Die Zutrittskontrollvorrichtung ist ausgebildet, einen Zutritt zu einem Zutrittsbereich zu kontrollieren.
Das Kommunikationsgerät 200 umfasst eine erste Kommunikationsschnittstelle 201, welche ausgebildet ist, über eine erste Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren, und über die erste Kommunikationsverbindung ein Authentifizierungsprotokoll durchzuführen, wobei der ersten Kommunikationsschnittstelle 201 eine erste Kommunikationsreichweite zugeordnet ist. Das Kommunikationsgerät 200 umfasst ferner eine zweite Kommunikationsschnittstelle 203, welche ausgebildet ist, über eine zweite Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren, und über die zweite Kommunikationsverbindung ein weiteres Authentifizierungsprotokoll durchzuführen, wobei der zweiten Kommunikationsschnittstelle 203 eine zweite Kommunikationsreichweite zugeordnet ist, wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist.
Fig. 3 zeigt ein schematisches Diagramm einer Anordnung 300 zum Kontrollieren eines Zutritts zu einem Zutrittsbereich. Die Anordnung 300 umfasst eine Zutrittskontrollvorrichtung 100 und ein Kommunikationsgerät 200. Die Zutrittskontrollvorrichtung 100 umfasst eine erste Kommunikationsschnittstelle 101, eine zweite Kommunikationsschnittstelle 103 und einen Prozessor 105. Das Kommunikationsgerät 200 umfasst eine erste Kommunikationsschnittstelle 201 und eine zweite Kommunikationsschnittstelle 203.
Die Zutrittskontrollvorrichtung 100 kommuniziert mit dem Kommunikationsgerät 200 über eine erste Kommunikationsverbindung zwischen den ersten Kommunikationsschnittstellen 101 und 201. Die Zutrittskontrollvorrichtung 100 kommuniziert mit dem Kommunikationsgerät 200 über eine zweite Kommunikationsverbindung zwischen den zweiten Kommunikationsschnittstellen 103 und 203. Die ersten Kommunikationsschnittstellen 101 und 201 können beispielsweise Bluetooth-Kommunikationsschnittstellen sein. Die zweiten Kommunikationsschnittstellen 103 und 203 können beispielsweise NFC-Kommunikationsschnittstellen sein. Die Zutrittskontrollvorrichtung 100, welche als Türcontroller für eine Zutrittstür eingesetzt werden kann, und das Kommunikationsgerät 200 verwenden folglich zwei verschiedene Kommunikationsverbindungen als Übertragungskanäle, beispielsweise unter Verwendung von Bluetooth und NFC.
Über die erste Kommunikationsverbindung kann eine initiale Koppelung, Schlüsselaushandlung und/oder Tokenausstellung zur Authentifizierung des Kommunikationsgerätes 200 erfolgen. Die Authentifizierung kann folglich unter Verwendung eines asymmetrischen Authentifizierungsprotokolls durchgeführt werden, wobei eine PKIbasierter Ansatz (PKI: Public-Key-Infrastruktur) möglich ist. Das asymmetrische Authentifizierungsprotokoll kann unter Verwendung eines ersten kryptographischen Zertifikats und eines zweiten kryptographischen Zertifikats durchgeführt werden, wobei der Zutrittskontrollvorrichtung 100 das erste kryptographische Zertifikat zugeordnet ist, und wobei dem Kommunikationsgerät 200 das zweite kryptographische Zertifikat zugeordnet ist. Die Authentifizierung des Kommunikationsgerätes 200 kann bereits vorab über größere Entfernungen zwischen der Zutrittskontrollvorrichtung 100 und dem Kommunikationsgerät 200 erfolgen.
Über die zweite Kommunikationsverbindung, welche lediglich über eine sehr geringe Kommunikationsreichweite aufgebaut sein kann, beispielsweise unter Verwendung von NFC, kann die physikalische Nähe des Kommunikationsgerätes 200 zur Zutrittskontrollvorrichtung 100 gewährleistet werden, bevor eine Gewährung eines Zutritts zu einem Zutrittsbereich erfolgt. Dabei kann ein zuvor aufgebauter Secure-Messaging-Kanal genutzt werden. Ferner kann ein kryptographisches Token des Kommunikationsgerätes 200 übermittelt werden.
Das Konzept vereint die Vorteile bei der Verwendung einer Mehrzahl von unterschiedlichen Kommunikationsverbindungen, beispielsweise unter Verwendung von Bluetooth und NFC. Mittels einer ersten Kommunikationsverbindung, beispielsweise unter Verwendung von Bluetooth, kann ein aufwändiges, kryptografisches asymmetrisches Authentifizierungsprotokoll eingesetzt werden, welches beispielsweise Vorteile hinsichtlich der Schlüsselverwaltung bietet. Dies reduziert beispielsweise eine Wartezeit eines Nutzers an der Zutrittstür. Mittels der zweiten Kommunikationsverbindung, beispielsweise unter Verwendung von NFC, wird die physikalische Nähe, beispielsweise etwa 10 cm, berücksichtigt.
Dabei werden typischerweise keine komplexen asymmetrischen Operationen über die zweite Kommunikationsverbindung durchgeführt, sondern lediglich einfache, ressourcenarme Operationen, wie beispielsweise die Übermittlung eines kryptographischen Tokens. Insbesondere kann für die Kommunikation über die zweiten Kommunikationsschnittstellen 103 und 203 ein symmetrisches Authentifizierungsverfahren verwendet werden, für welches das kryptographische Token bzw. der kryptographische Schlüssel zuvor mittels des asymmetrischen Authentifizierungsprotokolls unter Verwendung der ersten Kommunikationsschnittstellen 101 und 201 ausgetauscht bzw. vereinbart wurde. Das asymmetrische Authentifizierungsprotokoll kann beispielsweise einmal innerhalb eines längeren Zeitraums (Wochen, Monate) durchgeführt werden, und das symmetrische Authentifizierungsprotokoll bei jedem tatsächlichen Zutrittsversuch zu einem Zutrittsbereich.
Durch das asymmetrische Authentifizierungsprotokoll können auch weitere symmetrische Schlüssel für eine weitere Kommunikation über die ersten Kommunikationsschnittstellen 101 und 201 vereinbart werden, bis die symmetrischen Schlüssel beispielsweise ablaufen und die Kopplung über ein asymmetrisches Authentifizierungsverfahren wiederholt wird. Die Kopplung kann beispielsweise unbemerkt durchgeführt werden, wenn das Kommunikationsgerät 200 in Reichweite der ersten Kommunikationsschnittstelle 101 kommt. Anschließend können die symmetrischen Schlüssel verwendet werden.
Über die zweiten Kommunikationsschnittstellen 103 und 203 kann folglich auch eine kryptographische Authentisierung erfolgen. Beispielsweise kann über die ersten Kommunikationsschnittstellen 101 und 201 ein asymmetrisches Authentifizierungsprotokoll durchgeführt und anschließend über die eingerichtete geschützte erste Kommunikationsverbindung ein kryptographisches Token in Form eines Einmalpassworts übermittelt werden. Über die zweiten Kommunikationsschnittstellen 103 und 203 kann schließlich wiederum eine kryptographisch abgesicherte zweite Kommunikationsverbindung aufgebaut werden, beispielsweise unter Verwendung des zuvor vereinbarte kryptographischen Tokens bzw. symmetrischen Schlüssels. Das kryptographische Token kann ferner zum Gewähren des Zutritts übermittelt werden.
Ferner kann eine Kommunikation derart erfolgen, dass die physikalische Schicht (engl. Physical Layer) im OSI-Schichten-Modell von einer Kommunikation mit hoher Kommunikationsreichweite auf eine Kommunikation mit geringer Kommunikationsreichweite umgeschaltet wird, und die darüber liegenden Schichten jedoch unverändert bleiben.
Folglich wird für die Zutrittskontrolle mit der Zutrittskontrollvorrichtung 100 und dem Kommunikationsgerät 200 die erste Kommunikationsverbindung für die kryptografische Authentifizierung und/oder Schlüsselaushandlung verwendet, welche eine hohe Kommunikationsreichweite aufweisen kann, und die zweite Kommunikationsverbindung für die Gewährleistung der physikalischen Nähe, welche eine kurze Kommunikationsreichweite aufweisen kann. Mithin kann ein Zutritt zu dem Zutrittsbereich unter Verwendung des Kommunikationsgerätes 200 gewährt werden, falls das Kommunikationsgerät 200 nahe an die Zutrittskontrollvorrichtung 100 bzw. die zweite Kommunikationsschnittstelle 103 gehalten wird und die Authentifizierung des Kommunikationsgerätes 200 erfolgreich ist.
Fig. 4 zeigt ein schematisches Diagramm eines Verfahrens 400 zum Kontrollieren eines Zutritts zu einem Zutrittsbereich unter Verwendung einer Zutrittskontrollvorrichtung und eines Kommunikationsgerätes. Die Zutrittskontrollvorrichtung umfasst eine erste Kommunikationsschnittstelle, eine zweite Kommunikationsschnittstelle und einen Prozessor, wobei die erste Kommunikationsschnittstelle ausgebildet ist, über eine erste Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren, wobei die zweite Kommunikationsschnittstelle ausgebildet ist, über eine zweite Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren. Der ersten Kommunikationsschnittstelle ist eine erste Kommunikationsreichweite zugeordnet, wobei der zweiten Kommunikationsschnittstelle eine zweite Kommunikationsreichweite zugeordnet ist, und wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist.
Das Verfahren 400 umfasst ein Authentifizieren 401 des Kommunikationsgeräts über die erste Kommunikationsverbindung unter Verwendung eines Authentifizierungsprotokolls durch die erste Kommunikationsschnittstelle, ein Detektieren 403 einer Anwesenheit des Kommunikationsgerätes durch die zweite Kommunikationsschnittstelle, und ein Gewähren 405 des Zutritts zu dem Zutrittsbereich durch den Prozessor, falls das Kommunikationsgerät unter Verwendung des Authentifizierungsprotokolls authentifiziert ist und die Anwesenheit des Kommunikationsgerätes detektiert ist.
Fig. 5 zeigt ein schematisches Diagramm eines Verfahrens 500 zum Kommunizieren mit einer Zutrittskontrollvorrichtung unter Verwendung eines Kommunikationsgeräts. Die Zutrittskontrollvorrichtung ist ausgebildet, einen Zutritt zu einem Zutrittsbereich zu kontrollieren. Das Kommunikationsgerät umfasst eine erste Kommunikationsschnittstelle und eine zweite Kommunikationsschnittstelle, wobei die erste Kommunikationsschnittstelle ausgebildet ist, über eine erste Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren, wobei die zweite Kommunikationsschnittstelle ausgebildet ist, über eine zweite Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren. Der ersten Kommunikationsschnittstelle ist eine erste Kommunikationsreichweite zugeordnet, wobei der zweiten Kommunikationsschnittstelle eine zweite Kommunikationsreichweite zugeordnet ist, und wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist.
Das Verfahren 500 umfasst ein Durchführen 501 eines Authentifizierungsprotokolls über die erste Kommunikationsverbindung durch die erste Kommunikationsschnittstelle, und ein Durchführen 503 eines weiteren Authentifizierungsprotokolls über die zweite Kommunikationsverbindung durch die zweite Kommunikationsschnittstelle.
Fig. 6 zeigt ein schematisches Diagramm einer Anordnung 300 zum Kontrollieren eines Zutritts zu einem Zutrittsbereich 601. Die Anordnung 300 umfasst eine Zutrittskontrollvorrichtung 100, ein Kommunikationsgerät 200, und eine Zutrittstür 603, welche an dem Zutrittsbereich 601 angeordnet ist. Die Zutrittskontrollvorrichtung 100 ist ausgebildet, ansprechend auf das Gewähren des Zutritts zu dem Zutrittsbereich 601, die Zutrittstür 603 zu entriegeln. Einem Nutzer, welcher das Kommunikationsgerät 200 mit sich führt, kann der Zutritt zu dem Zutrittsbereich 601 durch die Zutrittskontrollvorrichtung 100 gewährt oder verweigert werden. Das Kommunikationsgerät 200 kann beispielsweise ein Smartphone sein, welches der Nutzer mit sich führt, oder eine Smartwatch, welche der Nutzer an einem Arm trägt.
Die Anordnung 300 kann ferner weitere Zutrittskontrollvorrichtungen umfassen, welche jeweils einen Zutritt zu weiteren Zutrittsbereichen kontrollieren, wobei weitere Zutrittstüren an den weiteren Zutrittsbereichen angeordnet sind. Es können folglich mehrere Zutrittstüren in der Reichweite der ersten Kommunikationsschnittstelle des Kommunikationsgerätes 200 liegen. Dabei kann eine initiale Authentifizierung unter Verwendung der ersten Kommunikationsschnittstellen des Kommunikationsgerätes 200 und der jeweiligen Zutrittskontrollvorrichtung durchgeführt werden. Das Gewähren eines Zutritts zu einem bestimmten Zutrittsbereich kann beispielsweise erst dann erfolgen, wenn der Nutzer dies will und der Nutzer das Kommunikationsgerät 200 vor die zweite Kommunikationsschnittstelle der betreffenden Zutrittskontrollvorrichtung hält. Eine Kommunikation mittels der ersten Kommunikationsschnittstellen mit hoher Kommunikationsreichweite kann also bereits beginnen, wenn ein Nutzer noch relativ weit von der Zutrittskontrollvorrichtung 100 entfernt ist, wodurch Zeit für das Gewähren des Zutritts zu dem Zutrittsbereich 601 verkürzt wird.
Die Authentifizierung kann in regelmäßigen zeitlichen Abständen und unbemerkt wiederholt werden. Bei einer möglichen Anordnung 300, beispielsweise einem Flur eines Büros mit vielen Zutrittstüren, bewegt sich der Nutzer durch bestimmte Zutrittstüren häufiger als durch andere Zutrittstüren. Der Nutzer befindet sich jedoch häufig in der Reichweite aller Zutrittstüren. Über die ersten Kommunikationsschnittstellen des Kommunikationsgerätes 200 und der jeweiligen Zutrittskontrollvorrichtungen können kryptographische Token ausgetauscht bzw. vereinbart werden, die über die zweiten Kommunikationsschnittstellen des Kommunikationsgerätes 200 und der jeweiligen Zutrittskontrollvorrichtungen verwendet werden können, wenn der Nutzer tatsächlich durch eine bestimmte Zutrittstür gehen möchte. Die vereinbarten kryptographischen Token können aber auch nach einer, gegebenenfalls für die Sicherheitsstufe der Zutrittstür individuellen Zeitspanne, verfallen.
Alle in Verbindung mit einzelnen Ausführungsformen beschriebenen oder gezeigten Merkmale können in beliebiger Kombination in dem erfindungsgemäßen Gegenstand vorgesehen sein, um gleichzeitig deren vorteilhafte Wirkungen zu realisieren.

BEZUGSZEICHENLISTE

100: Zutrittskontrollvorrichtung
101: Erste Kommunikationsschnittstelle
103: Zweite Kommunikationsschnittstelle
105: Prozessor

200: Kommunikationsgerät
201: Erste Kommunikationsschnittstelle
203: Zweite Kommunikationsschnittstelle

300: Anordnung

400: Verfahren zum Kontrollieren eines Zutritts zu einem Zutrittsbereich
401: Authentifizieren des Kommunikationsgeräts
403: Detektieren einer Anwesenheit des Kommunikationsgerätes
405: Gewähren des Zutritts zu dem Zutrittsbereich

500: Verfahren zum Kommunizieren mit einer Zutrittskontrollvorrichtung
501: Durchführen eines Authentifizierungsprotokolls
503: Durchführen eines weiteren Authentifizierungsprotokolls

601: Zutrittsbereich
603: Zutrittstür

Claims

Zutrittskontrollvorrichtung (100) zum Kontrollieren eines Zutritts zu einem Zutrittsbereich (601) unter Verwendung eines Kommunikationsgerätes (200), mit:
einer ersten Kommunikationsschnittstelle (101), welche ausgebildet ist, über eine erste Kommunikationsverbindung mit dem Kommunikationsgerät (200) zu kommunizieren, und das Kommunikationsgerät (200) über die erste Kommunikationsverbindung unter Verwendung eines Authentifizierungsprotokolls zu authentifizieren, wobei der ersten Kommunikationsschnittstelle (101) eine erste Kommunikationsreichweite zugeordnet ist;

einer zweiten Kommunikationsschnittstelle (103), welche ausgebildet ist, über eine zweite Kommunikationsverbindung mit dem Kommunikationsgerät (200) zu kommunizieren, und eine Anwesenheit des Kommunikationsgerätes (200) zu detektieren, wobei der zweiten Kommunikationsschnittstelle (103) eine zweite Kommunikationsreichweite zugeordnet ist, wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist; und

einem Prozessor (105), welcher ausgebildet ist, den Zutritt zu dem Zutrittsbereich (601) zu gewähren, falls das Kommunikationsgerät (200) unter Verwendung des Authentifizierungsprotokolls authentifiziert ist und die Anwesenheit des Kommunikationsgerätes (200) detektiert ist.
Zutrittskontrollvorrichtung (100) nach Anspruch 1, wobei der Prozessor (105) ausgebildet ist, den Zutritt zu dem Zutrittsbereich (601) zu verweigern, falls das Kommunikationsgerät (200) nicht authentifiziert ist oder die Anwesenheit des Kommunikationsgerätes (200) nicht detektiert ist.
Zutrittskontrollvorrichtung (100) nach einem der vorstehenden Ansprüche, wobei das Authentifizierungsprotokoll ein asymmetrisches Authentifizierungsprotokoll ist.
Zutrittskontrollvorrichtung (100) nach einem der vorstehenden Ansprüche, wobei die zweite Kommunikationsschnittstelle (103) ausgebildet ist, das Kommunikationsgerät (200) über die zweite Kommunikationsverbindung unter Verwendung eines weiteren Authentifizierungsprotokolls zu authentifizieren, wobei der Prozessor (105) ausgebildet ist, den Zutritt zu dem Zutrittsbereich (601) zu gewähren, falls das Kommunikationsgerät (200) ferner unter Verwendung des weiteren Authentifizierungsprotokolls authentifiziert ist.
Zutrittskontrollvorrichtung (100) nach Anspruch 4, wobei dem Kommunikationsgerät (200) ein kryptographisches Token zugeordnet ist, wobei die erste Kommunikationsschnittstelle (101) ausgebildet ist, das kryptographische Token zu empfangen, und wobei die zweite Kommunikationsschnittstelle (103) ausgebildet ist, das weitere Authentifizierungsprotokoll unter Verwendung des kryptographischen Tokens durchzuführen.
Zutrittskontrollvorrichtung (100) nach einem der Ansprüche 4 oder 5, wobei das weitere Authentifizierungsprotokoll ein symmetrisches Authentifizierungsprotokoll ist.
Zutrittskontrollvorrichtung (100) nach einem der vorstehenden Ansprüche, wobei die erste Kommunikationsschnittstelle (101) eine Bluetooth-Kommunikationsschnittstelle ist.
Zutrittskontrollvorrichtung (100) nach einem der vorstehenden Ansprüche, wobei die zweite Kommunikationsschnittstelle (103) eine NFC-Kommunikationsschnittstelle ist.
Kommunikationsgerät (200) zum Kommunizieren mit einer Zutrittskontrollvorrichtung (100), wobei die Zutrittskontrollvorrichtung (100) ausgebildet ist, einen Zutritt zu einem Zutrittsbereich (601) zu kontrollieren, mit:
einer ersten Kommunikationsschnittstelle (201), welche ausgebildet ist, über eine erste Kommunikationsverbindung mit der Zutrittskontrollvorrichtung (100) zu kommunizieren, und über die erste Kommunikationsverbindung ein Authentifizierungsprotokoll durchzuführen, wobei der ersten Kommunikationsschnittstelle (201) eine erste Kommunikationsreichweite zugeordnet ist; und

einer zweiten Kommunikationsschnittstelle (203), welche ausgebildet ist, über eine zweite Kommunikationsverbindung mit der Zutrittskontrollvorrichtung (100) zu kommunizieren, und über die zweite Kommunikationsverbindung ein weiteres Authentifizierungsprotokoll durchzuführen, wobei der zweiten Kommunikationsschnittstelle (203) eine zweite Kommunikationsreichweite zugeordnet ist, wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist.
Kommunikationsgerät (200) nach Anspruch 9, wobei das Authentifizierungsprotokoll ein asymmetrisches Authentifizierungsprotokoll ist, und wobei das weitere Authentifizierungsprotokoll ein symmetrisches Authentifizierungsprotokoll ist.
Anordnung (300) zum Kontrollieren eines Zutritts zu einem Zutrittsbereich (601), mit:
einer Zutrittskontrollvorrichtung (100) nach einem der Ansprüche 1 bis 8; und

einem Kommunikationsgerät (200) nach einem der Ansprüche 9 oder 10.
Anordnung (300) nach Anspruch 11, mit:
einer Zutrittstür (603), welche an dem Zutrittsbereich (601) angeordnet ist;

wobei die Zutrittskontrollvorrichtung (100) ausgebildet ist, ansprechend auf das Gewähren des Zutritts zu dem Zutrittsbereich (601), die Zutrittstür (603) zu entriegeln.
Verfahren (400) zum Kontrollieren eines Zutritts zu einem Zutrittsbereich (601) unter Verwendung einer Zutrittskontrollvorrichtung (100) und eines Kommunikationsgerätes (200), wobei die Zutrittskontrollvorrichtung (100) eine erste Kommunikationsschnittstelle (101), eine zweite Kommunikationsschnittstelle (103) und einen Prozessor (105) umfasst, wobei die erste Kommunikationsschnittstelle (101) ausgebildet ist, über eine erste Kommunikationsverbindung mit dem Kommunikationsgerät (200) zu kommunizieren, wobei die zweite Kommunikationsschnittstelle (103) ausgebildet ist, über eine zweite Kommunikationsverbindung mit dem Kommunikationsgerät (200) zu kommunizieren, wobei der ersten Kommunikationsschnittstelle (101) eine erste Kommunikationsreichweite zugeordnet ist, wobei der zweiten Kommunikationsschnittstelle (103) eine zweite Kommunikationsreichweite zugeordnet ist, wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist, mit:
Authentifizieren (401) des Kommunikationsgeräts (200) über die erste Kommunikationsverbindung unter Verwendung eines Authentifizierungsprotokolls durch die erste Kommunikationsschnittstelle (101);

Detektieren (403) einer Anwesenheit des Kommunikationsgerätes (200) durch die zweite Kommunikationsschnittstelle (103); und

Gewähren (405) des Zutritts zu dem Zutrittsbereich (601) durch den Prozessor (105), falls das Kommunikationsgerät (200) unter Verwendung des Authentifizierungsprotokolls authentifiziert ist und die Anwesenheit des Kommunikationsgerätes (200) detektiert ist.
Verfahren (500) zum Kommunizieren mit einer Zutrittskontrollvorrichtung (100) unter Verwendung eines Kommunikationsgeräts (200), wobei die Zutrittskontrollvorrichtung (100) ausgebildet ist, einen Zutritt zu einem Zutrittsbereich (601) zu kontrollieren, wobei das Kommunikationsgerät (200) eine erste Kommunikationsschnittstelle (201) und eine zweite Kommunikationsschnittstelle (203) umfasst, wobei die erste Kommunikationsschnittstelle (201) ausgebildet ist, über eine erste Kommunikationsverbindung mit der Zutrittskontrollvorrichtung (100) zu kommunizieren, wobei die zweite Kommunikationsschnittstelle (203) ausgebildet ist, über eine zweite Kommunikationsverbindung mit der Zutrittskontrollvorrichtung (100) zu kommunizieren, wobei der ersten Kommunikationsschnittstelle (201) eine erste Kommunikationsreichweite zugeordnet ist, wobei der zweiten Kommunikationsschnittstelle (203) eine zweite Kommunikationsreichweite zugeordnet ist, und wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist, mit:
Durchführen (501) eines Authentifizierungsprotokolls über die erste Kommunikationsverbindung durch die erste Kommunikationsschnittstelle (201); und

Durchführen (503) eines weiteren Authentifizierungsprotokolls über die zweite Kommunikationsverbindung durch die zweite Kommunikationsschnittstelle (203).
Computerprogramm mit einem Programmcode zum Ausführen des Verfahrens (400) nach Anspruch 13 oder des Verfahrens (500) nach Anspruch 14.