EP3407309B1

EP3407309B1 - Zutrittskontrollvorrichtung zum kontrollieren eines zutritts zu einem zutrittsbereich

Info

Publication number: EP3407309B1
Application number: EP18172055.8A
Authority: EP
Inventors: Paul Bastian; Frank Morgner
Original assignee: Bundesdruckerei GmbH
Current assignee: Bundesdruckerei GmbH
Priority date: 2017-05-24
Filing date: 2018-05-14
Publication date: 2023-06-21
Anticipated expiration: 2038-05-14
Also published as: EP3407309A1; DE102017111475A1

Description

Die vorliegende Erfindung betrifft das Gebiet der Zutrittskontrolle, insbesondere der physischen Zutrittskontrolle zu einem Zutrittsbereich.
Die Offenlegungsschrift EP 2 469 478 A1 offenbart ein Zutrittskontrollsystem.
Die Offenlegungsschrift DE 10 2014 105243 A1 offenbart ein Zugangskontrollsystem.
Die Offenlegungsschrift FR 2 981 823 A1 offenbart eine Zugriffskontrollvorrichtung für ein Kraftfahrzeug.
Die Offenlegungsschrift US 2017/140592 A1 offenbart ein elektronisches Zugriffskontrollsystem.
Die Offenlegungsschrift US 2014/049361 A1 offenbart ein elektronisches System umfassend ein Mobilgerät und ein Lesegerät.
Die Offenlegungsschrift US 2014/229385 A1 offenbart eine drahtlose Kommunikation zwischen einem Mobilgerät und einem Lesegerät.
Die Druckschrift DE 10 2013 216 099 A1 offenbart ein System zum Aktivieren eines Fahrzeugs in einem Schlüssel-Ein-Zustand durch Detektieren eines Vorhandenseins eines Nahfeldkommunikations-Tag ("NFC-Tag").
Aufgrund der hohen Verbreitung von Smartphones sowohl im privaten Bereich als auch im geschäftlichen Bereich ist der Einsatz dieser mobilen Kommunikationsgeräte zur Zutrittskontrolle von zunehmender Bedeutung.
Typische Smartphones verfügen gegenwärtig beispielsweise über eine Bluetooth-Kommunikationsschnittstelle, welche zur Durchführung komplexer Protokolle zur Zutrittskontrolle verwendet werden könnte. Bluetooth hat jedoch den Nachteil, dass die Kommunikationsreichweite unerwünscht hoch ist. Im freien Feld kann die Kommunikationsreichweite beispielsweise bis zu 100 m betragen. In Gebäuden kann die Kommunikationsreichweite zwar eingeschränkt sein, jedoch kann selbst dort eine Bestimmung einer zu öffnenden Zutrittstür problematisch sein, wenn mehrere Zutrittstüren nur wenige Meter voneinander entfernt angeordnet sind.
Es ist daher eine Aufgabe der vorliegenden Erfindung, ein effizientes Konzept zur Zutrittskontrolle zu schaffen, welches die vorgenannten Nachteile überwindet.
Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungsformen sind Gegenstand der abhängigen Patentansprüche, der Beschreibung sowie der Zeichnungen.
Die Erfindung basiert auf der Erkenntnis und schließt diese mit ein, dass die obige Aufgabe unter Verwendung einer Zutrittskontrollvorrichtung und eines Kommunikationsgerätes gelöst werden kann, welche jeweils eine Mehrzahl von Kommunikationsschnittstellen mit unterschiedlichen Kommunikationsreichweiten aufweisen. Beispielsweise kann eine erste Kommunikationsschnittstelle der Zutrittskontrollvorrichtung und des Kommunikationsgerätes eine Bluetooth-Kommunikationsschnittstelle mit einer hohen Kommunikationsreichweite von bis zu 100 Metern sein. Ferner kann eine zweite Kommunikationsschnittstelle der Zutrittskontrollvorrichtung und des Kommunikationsgerätes beispielsweise eine NFC-Kommunikationsschnittstelle mit einer geringen Kommunikationsreichweite von bis zu 30 Zentimetern sein. Dadurch wird der Vorteil erreicht, dass über hohe Entfernungen ein typischerweise zeitaufwändiges Authentifizierungsprotokoll zwischen der Zutrittskontrollvorrichtung und dem Kommunikationsgerätes durchgeführt werden kann und das Gewähren eines Zutritts zu dem Zutrittsbereich erst dann erfolgt, wenn zusätzlich eine Nähe zwischen der Zutrittskontrollvorrichtung und dem Kommunikationsgerät besteht.
Gemäß einem ersten Aspekt betrifft die Erfindung eine Zutrittskontrollvorrichtung zum Kontrollieren eines Zutritts zu einem Zutrittsbereich unter Verwendung eines Kommunikationsgerätes gemäß Anspruch 1.
Die Zutrittskontrollvorrichtung umfasst eine erste Kommunikationsschnittstelle, welche ausgebildet ist, über eine erste Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren, und das Kommunikationsgerät über die erste Kommunikationsverbindung unter Verwendung eines Authentifizierungsprotokolls zu authentifizieren, wobei der ersten Kommunikationsschnittstelle eine erste Kommunikationsreichweite zugeordnet ist. Die Zutrittskontrollvorrichtung umfasst ferner eine zweite Kommunikationsschnittstelle, welche ausgebildet ist, über eine zweite Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren, und eine Anwesenheit des Kommunikationsgerätes zu detektieren, wobei der zweiten Kommunikationsschnittstelle eine zweite Kommunikationsreichweite zugeordnet ist, wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist. Die Zutrittskontrollvorrichtung umfasst zudem einen Prozessor, welcher ausgebildet ist, den Zutritt zu dem Zutrittsbereich zu gewähren, falls das Kommunikationsgerät unter Verwendung des Authentifizierungsprotokolls authentifiziert ist und die Anwesenheit des Kommunikationsgerätes detektiert ist.
Die erste Kommunikationsreichweite der ersten Kommunikationsschnittstelle kann beispielsweise 1 m, 2 m, 5 m, 10 m, 20 m, 50 m oder 100 m betragen. Die zweite Kommunikationsreichweite der zweiten Kommunikationsschnittstelle kann beispielsweise 1 cm, 2 cm, 5 cm, 10 cm, 20 cm oder 30 cm betragen.
Die zweite Kommunikationsschnittstelle kann beispielsweise die Anwesenheit des Kommunikationsgerätes innerhalb eines Bereiches detektieren, welcher durch die zweite Kommunikationsreichweite bestimmt ist. Der Bereich kann beispielsweise ein Umfeld der zweiten Kommunikationsschnittstelle sein, dessen Radius der zweiten Kommunikationsreichweite entspricht.
Gemäß einer Ausführungsform ist der Prozessor ausgebildet, den Zutritt zu dem Zutrittsbereich zu verweigern, falls das Kommunikationsgerät nicht authentifiziert ist oder die Anwesenheit des Kommunikationsgerätes nicht detektiert ist. Dadurch wird der Vorteil erreicht, dass ein Zutritt zu dem Zutrittsbereich nur dann gewährt wird, falls zugleich das Kommunikationsgerät authentifiziert ist und die Anwesenheit des Kommunikationsgerätes detektiert ist. Falls sich das Kommunikationsgerät beispielsweise nicht mehr innerhalb der zweiten Kommunikationsreichweite um die zweite Kommunikationsschnittstelle befindet, kann der Zutritt zu dem Zutrittsbereich verweigert werden.
Gemäß einer Ausführungsform ist das Authentifizierungsprotokoll ein asymmetrisches Authentifizierungsprotokoll. Dadurch wird der Vorteil erreicht, dass die Schlüsselverwaltung bei einer Mehrzahl von eingesetzten Zutrittskontrollvorrichtungen und/oder Kommunikationsgeräten vereinfacht werden kann. Zugleich kann ein hohes Authentifizierungsniveau gewährleistet werden.
Gemäß einer Ausführungsform ist der Zutrittskontrollvorrichtung ein erstes kryptographisches Zertifikat zugeordnet, wobei dem Kommunikationsgerät ein zweites kryptographisches Zertifikat zugeordnet ist, und wobei die erste Kommunikationsschnittstelle ausgebildet ist, das asymmetrische Authentifizierungsprotokoll unter Verwendung des ersten kryptographischen Zertifikats und des zweiten kryptographischen Zertifikats durchzuführen.
Dadurch wird der Vorteil erreicht, dass das asymmetrische Authentifizierungsprotokoll effizient durchgeführt werden kann.
Gemäß einer Ausführungsform umfasst das asymmetrische Authentifizierungsprotokoll ein Extended-Access-Control (EAC) Authentifizierungsprotokoll. Das EAC-Authentifizierungsprotokoll ist ein etabliertes und standardisiertes asymmetrisches Authentifizierungsprotokoll. Das Extended-Access-Control (EAC) Authentifizierungsprotokoll kann einen Protokollabschnitt zur Terminal Authentication (TA), einen Protokollabschnitt zur Passive Authentication (PA) und einen Protokollabschnitt zur Chip Authentication (CA) umfassen. Ferner kann im Rahmen des Extended-Access-Control (EAC) Authentifizierungsprotokolls ein Secure Messaging (SM) Kanal zwischen der Zutrittskontrollvorrichtung und dem Kommunikationsgerät aufgebaut werden. Das Extended-Access-Control (EAC) Authentifizierungsprotokoll kann beispielsweise gemäß der technischen Richtlinie BSI TR-03110 implementiert sein.
Gemäß der Erfindung ist die zweite Kommunikationsschnittstelle ausgebildet, das Kommunikationsgerät über die zweite Kommunikationsverbindung unter Verwendung eines weiteren Authentifizierungsprotokolls zu authentifizieren, wobei der Prozessor ausgebildet ist, den Zutritt zu dem Zutrittsbereich zu gewähren, falls das Kommunikationsgerät ferner unter Verwendung des weiteren Authentifizierungsprotokolls authentifiziert ist. Dadurch wird der Vorteil erreicht, dass das Authentifizierungsniveau des Kommunikationsgerätes gesteigert werden kann.
Gemäß einer Ausführungsform ist das weitere Authentifizierungsprotokoll ein symmetrisches Authentifizierungsprotokoll. Dadurch wird der Vorteil erreicht, dass eine hohe Zeiteffizienz bei der Authentifizierung über die zweite Kommunikationsverbindung realisiert werden kann.
Erfindungsgemäß ist dem Kommunikationsgerät ein kryptographisches Token zugeordnet, wobei die erste Kommunikationsschnittstelle ausgebildet ist, das kryptographische Token zu empfangen, und wobei die zweite Kommunikationsschnittstelle ausgebildet ist, das weitere Authentifizierungsprotokoll unter Verwendung des kryptographischen Tokens durchzuführen. Dadurch wird der Vorteil erreicht, dass eine initiale Authentifizierung unter Verwendung des Authentifizierungsprotokolls erfolgen kann, und auf dieser Basis eine weitergehende Authentifizierung unter Verwendung des weiteren Authentifizierungsprotokolls durchgeführt werden kann. Das kryptographische Token kann kryptographisch abgesichert übertragen werden.
Das kryptographische Token kann beispielsweise durch das Kommunikationsgerät erzeugt oder in einem Speicher des Kommunikationsgerätes vorgespeichert sein. Das kryptographische Token kann beispielsweise durch das Kommunikationsgerät ausgesendet und über die erste Kommunikationsverbindung empfangen werden. Alternativ kann das kryptographische Token beispielsweise von einem Server abgerufen werden.
Erfindungsgemäß ist das kryptographische Token ein kryptographischer Schlüssel. Dadurch wird der Vorteil erreicht, dass das kryptographische Token zur einmaligen Verwendung bei der Authentifizierung mittels des weiteren Authentifizierungsprotokolls eingesetzt werden kann.
Gemäß einer Ausführungsform ist die erste Kommunikationsschnittstelle eine Bluetooth-Kommunikationsschnittstelle. Die Bluetooth-Kommunikationsschnittstelle kann beispielsweise gemäß dem Standard IEEE 802.15.1 implementiert sein. Dadurch wird der Vorteil erreicht, dass ein etablierter und standardisierter Kommunikationsstandard zur Kommunikation über die erste Kommunikationsschnittstelle verwendet werden kann.
Gemäß einer Ausführungsform ist die zweite Kommunikationsschnittstelle eine NFC-Kommunikationsschnittstelle (NFC: Near-Field-Communication). Die NFC-Kommunikationsschnittstelle kann beispielsweise gemäß dem Standard NFC/ISO14443 implementiert sein. Dadurch wird der Vorteil erreicht, dass ein etablierter und standardisierter Kommunikationsstandard zur Kommunikation über die zweite Kommunikationsschnittstelle verwendet werden kann.
Gemäß einem zweiten Aspekt betrifft die Erfindung ein Kommunikationsgerät zum Kommunizieren mit einer Zutrittskontrollvorrichtung gemäß Anspruch 6. Die Zutrittskontrollvorrichtung ist ausgebildet, einen Zutritt zu einem Zutrittsbereich zu kontrollieren. Das Kommunikationsgerät umfasst eine erste Kommunikationsschnittstelle, welche ausgebildet ist, über eine erste Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren, und über die erste Kommunikationsverbindung ein Authentifizierungsprotokoll durchzuführen, wobei der ersten Kommunikationsschnittstelle eine erste Kommunikationsreichweite zugeordnet ist. Das Kommunikationsgerät umfasst ferner eine zweite Kommunikationsschnittstelle, welche ausgebildet ist, über eine zweite Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren, und über die zweite Kommunikationsverbindung ein weiteres Authentifizierungsprotokoll durchzuführen, wobei der zweiten Kommunikationsschnittstelle eine zweite Kommunikationsreichweite zugeordnet ist, wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist.
Die erste Kommunikationsreichweite der ersten Kommunikationsschnittstelle kann beispielsweise 1 m, 2 m, 5 m, 10 m, 20 m, 50 m oder 100 m betragen. Die zweite Kommunikationsreichweite der zweiten Kommunikationsschnittstelle kann beispielsweise 1 cm, 2 cm, 5 cm, 10 cm, 20 cm oder 30 cm betragen.
Gemäß einer Ausführungsform ist das Authentifizierungsprotokoll ein asymmetrisches Authentifizierungsprotokoll, wobei das weitere Authentifizierungsprotokoll ein symmetrisches Authentifizierungsprotokoll ist. Dadurch wird der Vorteil erreicht, dass bei der Authentifizierung über die erste Kommunikationsschnittstelle die Schlüsselverwaltung bei einer Mehrzahl von eingesetzten Zutrittskontrollvorrichtungen und/oder Kommunikationsgeräten vereinfacht werden kann. Zudem kann bei der Authentifizierung über die zweite Kommunikationsschnittstelle eine hohe Zeiteffizienz realisiert werden.
Gemäß einer Ausführungsform ist der Zutrittskontrollvorrichtung ein erstes kryptographisches Zertifikat zugeordnet, wobei dem Kommunikationsgerät ein zweites kryptographisches Zertifikat zugeordnet ist, und wobei die erste Kommunikationsschnittstelle ausgebildet ist, das asymmetrische Authentifizierungsprotokoll unter Verwendung des ersten kryptographischen Zertifikats und des zweiten kryptographischen Zertifikats durchzuführen. Dadurch wird der Vorteil erreicht, dass das asymmetrische Authentifizierungsprotokoll effizient durchgeführt werden kann.
Gemäß einer Ausführungsform umfasst das asymmetrische Authentifizierungsprotokoll ein Extended-Access-Control (EAC) Authentifizierungsprotokoll. Das EAC-Authentifizierungsprotokoll ist ein etabliertes und standardisiertes asymmetrisches Authentifizierungsprotokoll. Das Extended-Access-Control (EAC) Authentifizierungsprotokoll kann einen Protokollabschnitt zur Terminal Authentication (TA), einen Protokollabschnitt zur Passive Authentication (PA) und einen Protokollabschnitt zur Chip Authentication (CA) umfassen. Ferner kann im Rahmen des Extended-Access-Control (EAC) Authentifizierungsprotokolls ein Secure Messaging (SM) Kanal zwischen der Zutrittskontrollvorrichtung und dem Kommunikationsgerät aufgebaut werden. Das Extended-Access-Control (EAC) Authentifizierungsprotokoll kann beispielsweise gemäß der technischen Richtlinie BSI TR-03110 implementiert sein.
Erfindungsgemäß ist dem Kommunikationsgerät ein kryptographisches Token zugeordnet, wobei die zweite Kommunikationsschnittstelle ausgebildet ist, das weitere Authentifizierungsprotokoll unter Verwendung des kryptographischen Tokens durchzuführen. Dadurch wird der Vorteil erreicht, dass eine initiale Authentifizierung unter Verwendung des Authentifizierungsprotokolls erfolgen kann, und auf dieser Basis eine weitergehende Authentifizierung unter Verwendung des weiteren Authentifizierungsprotokolls durchgeführt werden kann.
Gemäß einer Ausführungsform umfasst das Kommunikationsgerät einen Prozessor, welcher ausgebildet ist, das kryptographische Token zu erzeugen. Dadurch wird der Vorteil erreicht, dass das kryptographische Token, beispielsweise zur einmaligen Verwendung bei der Authentifizierung mittels des weiteren Authentifizierungsprotokolls, durch das Kommunikationsgerät bereitgestellt werden kann.
Gemäß einer Ausführungsform umfasst das Kommunikationsgerät einen Speicher, in welchem das kryptographische Token vorgespeichert ist. Dadurch wird der Vorteil erreicht, dass das kryptographische Token durch das Kommunikationsgerät effizient bereitgestellt werden kann.
Gemäß einer Ausführungsform ist die erste Kommunikationsschnittstelle ausgebildet, das kryptographische Token über die erste Kommunikationsverbindung auszusenden. Dadurch wird der Vorteil erreicht, dass das kryptographische Token durch die Zutrittskontrollvorrichtung zur Durchführung des weiteren Authentifizierungsprotokolls verwendet werden kann. Das kryptographische Token kann kryptographisch abgesichert übertragen werden.
Erfindungsgemäß ist das kryptographische Token ein kryptographischer Schlüssel. Dadurch wird der Vorteil erreicht, dass das kryptographische Token zur einmaligen Verwendung bei der Authentifizierung mittels des weiteren Authentifizierungsprotokolls eingesetzt werden kann.
Gemäß einer Ausführungsform ist die erste Kommunikationsschnittstelle eine Bluetooth-Kommunikationsschnittstelle. Die Bluetooth-Kommunikationsschnittstelle kann beispielsweise gemäß dem Standard IEEE 802.15.1 implementiert sein. Dadurch wird der Vorteil erreicht, dass ein etablierter und standardisierter Kommunikationsstandard zur Kommunikation über die erste Kommunikationsschnittstelle verwendet werden kann.
Gemäß der Erfindung ist die zweite Kommunikationsschnittstelle eine NFC-Kommunikationsschnittstelle (NFC: Near-Field-Communication). Die NFC-Kommunikationsschnittstelle kann beispielsweise gemäß dem Standard NFC/ISO14443 implementiert sein. Dadurch wird der Vorteil erreicht, dass ein etablierter und standardisierter Kommunikationsstandard zur Kommunikation über die zweite Kommunikationsschnittstelle verwendet werden kann.
Gemäß einer Ausführungsform ist das Kommunikationsgerät ein Smartphone oder eine Smartwatch. Das Smartphone oder die Smartwatch kann von einem Nutzer getragen werden. Dadurch wird der Vorteil erreicht, dass der Nutzer einfach mit der Zutrittskontrollvorrichtung interagieren kann.
Gemäß einem dritten Aspekt betrifft die Erfindung eine Anordnung zum Kontrollieren eines Zutritts zu einem Zutrittsbereich. Die Anordnung umfasst eine Zutrittskontrollvorrichtung gemäß dem ersten Aspekt der Erfindung, und ein Kommunikationsgerät gemäß dem zweiten Aspekt der Erfindung.
Gemäß einer Ausführungsform umfasst die Anordnung eine Zutrittstür, welche an dem Zutrittsbereich angeordnet ist, wobei die Zutrittskontrollvorrichtung ausgebildet ist, ansprechend auf das Gewähren des Zutritts zu dem Zutrittsbereich, die Zutrittstür zu entriegeln. Dadurch wird der Vorteil erreicht, dass der Zutritt zu dem Zutrittsbereich effizient kontrolliert werden kann.
Gemäß einer Ausführungsform ist die Zutrittskontrollvorrichtung ausgebildet, ansprechend auf das Verweigern des Zutritts zu dem Zutrittsbereich, die Zutrittstür zu verriegeln. Dadurch wird der Vorteil erreicht, dass eine bereits entriegelte Zutrittstür wieder verriegelt werden kann, falls sich das Kommunikationsgerät beispielsweise nicht mehr innerhalb der zweiten Kommunikationsreichweite um die zweite Kommunikationsschnittstelle der Zutrittskontrollvorrichtung befindet.
Gemäß einem vierten Aspekt betrifft die Erfindung ein Verfahren zum Kontrollieren eines Zutritts zu einem Zutrittsbereich unter Verwendung einer Zutrittskontrollvorrichtung und eines Kommunikationsgerätes gemäß Anspruch 10. Erfindungsgemäß ist dem Kommunikationsgerät ein kryptographisches Token zugeordnet, das ein kryptografischer Schlüssel ist. Die Zutrittskontrollvorrichtung umfasst eine erste Kommunikationsschnittstelle, eine zweite Kommunikationsschnittstelle und einen Prozessor, wobei die erste Kommunikationsschnittstelle ausgebildet ist, über eine erste Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren, wobei die zweite Kommunikationsschnittstelle ausgebildet ist, über eine zweite Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren. Der ersten Kommunikationsschnittstelle ist eine erste Kommunikationsreichweite zugeordnet, wobei der zweiten Kommunikationsschnittstelle eine zweite Kommunikationsreichweite zugeordnet ist, und wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist. Das Verfahren umfasst ein Authentifizieren des Kommunikationsgeräts über die erste Kommunikationsverbindung unter Verwendung eines Authentifizierungsprotokolls durch die erste Kommunikationsschnittstelle, ein Detektieren einer Anwesenheit des Kommunikationsgerätes durch die zweite Kommunikationsschnittstelle, und ein Gewähren des Zutritts zu dem Zutrittsbereich durch den Prozessor, falls das Kommunikationsgerät unter Verwendung des Authentifizierungsprotokolls authentifiziert ist und die Anwesenheit des Kommunikationsgerätes detektiert ist.
Das Verfahren kann durch die Zutrittskontrollvorrichtung ausgeführt werden. Weitere Merkmale des Verfahrens resultieren unmittelbar aus den Merkmalen oder der Funktionalität der Zutrittskontrollvorrichtung.
Gemäß einem fünften Aspekt betrifft die Erfindung ein Verfahren zum Kommunizieren mit einer Zutrittskontrollvorrichtung unter Verwendung eines Kommunikationsgeräts gemäß Anspruch 11. Erfindungsgemäß ist dem Kommunikationsgerät ein kryptographisches Token zugeordnet, das ein kryptografischer Schlüssel ist. Die Zutrittskontrollvorrichtung ist ausgebildet, einen Zutritt zu einem Zutrittsbereich zu kontrollieren. Das Kommunikationsgerät umfasst eine erste Kommunikationsschnittstelle und eine zweite Kommunikationsschnittstelle, wobei die erste Kommunikationsschnittstelle ausgebildet ist, über eine erste Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren, wobei die zweite Kommunikationsschnittstelle ausgebildet ist, über eine zweite Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren. Der ersten Kommunikationsschnittstelle ist eine erste Kommunikationsreichweite zugeordnet, wobei der zweiten Kommunikationsschnittstelle eine zweite Kommunikationsreichweite zugeordnet ist, und wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist. Das Verfahren umfasst ein Durchführen eines Authentifizierungsprotokolls über die erste Kommunikationsverbindung durch die erste Kommunikationsschnittstelle, und ein Durchführen eines weiteren Authentifizierungsprotokolls über die zweite Kommunikationsverbindung durch die zweite Kommunikationsschnittstelle.
Das Verfahren kann durch das Kommunikationsgerät ausgeführt werden. Weitere Merkmale des Verfahrens resultieren unmittelbar aus den Merkmalen oder der Funktionalität des Kommunikationsgerätes.
Gemäß einem sechsten Aspekt betrifft die Erfindung ein Computerprogramm mit einem Programmcode zum Ausführen des Verfahrens gemäß dem vierten Aspekt der Erfindung oder des Verfahrens gemäß dem fünften Aspekt der Erfindung. Die Zutrittskontrollvorrichtung und das Kommunikationsgerät können jeweils programmtechnisch eingerichtet sein, um den Programmcode oder Teile des Programmcodes auszuführen. Das Computerprogramm kann beispielsweise Teil einer Firmware der Zutrittskontrollvorrichtung oder Teil einer Applikation des Kommunikationsgerätes sein.
Die Erfindung kann in Hardware und/oder Software realisiert werden.
Weitere Ausführungsbeispiele werden Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert. Es zeigen:

Fig. 1 ein schematisches Diagramm einer Zutrittskontrollvorrichtung zum Kontrollieren eines Zutritts zu einem Zutrittsbereich unter Verwendung eines Kommunikationsgerätes;
Fig. 2 ein schematisches Diagramm eines Kommunikationsgeräts zum Kommunizieren mit einer Zutrittskontrollvorrichtung;
Fig. 3 ein schematisches Diagramm einer Anordnung zum Kontrollieren eines Zutritts zu einem Zutrittsbereich;
Fig. 4 ein schematisches Diagramm eines Verfahrens zum Kontrollieren eines Zutritts zu einem Zutrittsbereich unter Verwendung einer Zutrittskontrollvorrichtung und eines Kommunikationsgerätes;
Fig. 5 ein schematisches Diagramm eines Verfahrens zum Kommunizieren mit einer Zutrittskontrollvorrichtung unter Verwendung eines Kommunikationsgeräts; und
Fig. 6 ein schematisches Diagramm einer Anordnung zum Kontrollieren eines Zutritts zu einem Zutrittsbereich.

Fig. 1 zeigt ein schematisches Diagramm einer Zutrittskontrollvorrichtung 100 zum Kontrollieren eines Zutritts zu einem Zutrittsbereich unter Verwendung eines Kommunikationsgerätes.
Die Zutrittskontrollvorrichtung 100 umfasst eine erste Kommunikationsschnittstelle 101, welche ausgebildet ist, über eine erste Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren, und das Kommunikationsgerät über die erste Kommunikationsverbindung unter Verwendung eines Authentifizierungsprotokolls zu authentifizieren, wobei der ersten Kommunikationsschnittstelle 101 eine erste Kommunikationsreichweite zugeordnet ist. Die Zutrittskontrollvorrichtung 100 umfasst ferner eine zweite Kommunikationsschnittstelle 103, welche ausgebildet ist, über eine zweite Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren, und eine Anwesenheit des Kommunikationsgerätes zu detektieren, wobei der zweiten Kommunikationsschnittstelle 103 eine zweite Kommunikationsreichweite zugeordnet ist, wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist. Die Zutrittskontrollvorrichtung 100 umfasst zudem einen Prozessor 105, welcher ausgebildet ist, den Zutritt zu dem Zutrittsbereich zu gewähren, falls das Kommunikationsgerät unter Verwendung des Authentifizierungsprotokolls authentifiziert ist und die Anwesenheit des Kommunikationsgerätes detektiert ist.
Fig. 2 zeigt ein schematisches Diagramm eines Kommunikationsgeräts 200 zum Kommunizieren mit einer Zutrittskontrollvorrichtung. Die Zutrittskontrollvorrichtung ist ausgebildet, einen Zutritt zu einem Zutrittsbereich zu kontrollieren.
Das Kommunikationsgerät 200 umfasst eine erste Kommunikationsschnittstelle 201, welche ausgebildet ist, über eine erste Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren, und über die erste Kommunikationsverbindung ein Authentifizierungsprotokoll durchzuführen, wobei der ersten Kommunikationsschnittstelle 201 eine erste Kommunikationsreichweite zugeordnet ist. Das Kommunikationsgerät 200 umfasst ferner eine zweite Kommunikationsschnittstelle 203, welche ausgebildet ist, über eine zweite Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren, und über die zweite Kommunikationsverbindung ein weiteres Authentifizierungsprotokoll durchzuführen, wobei der zweiten Kommunikationsschnittstelle 203 eine zweite Kommunikationsreichweite zugeordnet ist, wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist.
Fig. 3 zeigt ein schematisches Diagramm einer Anordnung 300 zum Kontrollieren eines Zutritts zu einem Zutrittsbereich. Die Anordnung 300 umfasst eine Zutrittskontrollvorrichtung 100 und ein Kommunikationsgerät 200. Die Zutrittskontrollvorrichtung 100 umfasst eine erste Kommunikationsschnittstelle 101, eine zweite Kommunikationsschnittstelle 103 und einen Prozessor 105. Das Kommunikationsgerät 200 umfasst eine erste Kommunikationsschnittstelle 201 und eine zweite Kommunikationsschnittstelle 203.
Die Zutrittskontrollvorrichtung 100 kommuniziert mit dem Kommunikationsgerät 200 über eine erste Kommunikationsverbindung zwischen den ersten Kommunikationsschnittstellen 101 und 201. Die Zutrittskontrollvorrichtung 100 kommuniziert mit dem Kommunikationsgerät 200 über eine zweite Kommunikationsverbindung zwischen den zweiten Kommunikationsschnittstellen 103 und 203. Die ersten Kommunikationsschnittstellen 101 und 201 können beispielsweise Bluetooth-Kommunikationsschnittstellen sein. Die zweiten Kommunikationsschnittstellen 103 und 203 sind NFC-Kommunikationsschnittstellen.
Die Zutrittskontrollvorrichtung 100, welche als Türcontroller für eine Zutrittstür eingesetzt werden kann, und das Kommunikationsgerät 200 verwenden folglich zwei verschiedene Kommunikationsverbindungen als Übertragungskanäle, beispielsweise unter Verwendung von Bluetooth und NFC.
Über die erste Kommunikationsverbindung kann eine initiale Koppelung, Schlüsselaushandlung und/oder Tokenausstellung zur Authentifizierung des Kommunikationsgerätes 200 erfolgen. Die Authentifizierung kann folglich unter Verwendung eines asymmetrischen Authentifizierungsprotokolls durchgeführt werden, wobei eine PKIbasierter Ansatz (PKI: Public-Key-Infrastruktur) möglich ist. Das asymmetrische Authentifizierungsprotokoll kann unter Verwendung eines ersten kryptographischen Zertifikats und eines zweiten kryptographischen Zertifikats durchgeführt werden, wobei der Zutrittskontrollvorrichtung 100 das erste kryptographische Zertifikat zugeordnet ist, und wobei dem Kommunikationsgerät 200 das zweite kryptographische Zertifikat zugeordnet ist. Die Authentifizierung des Kommunikationsgerätes 200 kann bereits vorab über größere Entfernungen zwischen der Zutrittskontrollvorrichtung 100 und dem Kommunikationsgerät 200 erfolgen.
Über die zweite Kommunikationsverbindung, welche lediglich über eine sehr geringe Kommunikationsreichweite aufgebaut sein kann, nämlich unter Verwendung von NFC, kann die physikalische Nähe des Kommunikationsgerätes 200 zur Zutrittskontrollvorrichtung 100 gewährleistet werden, bevor eine Gewährung eines Zutritts zu einem Zutrittsbereich erfolgt. Dabei kann ein zuvor aufgebauter Secure-Messaging-Kanal genutzt werden. Ferner kann ein kryptographisches Token des Kommunikationsgerätes 200 übermittelt werden.
Das Konzept vereint die Vorteile bei der Verwendung einer Mehrzahl von unterschiedlichen Kommunikationsverbindungen, beispielsweise unter Verwendung von Bluetooth und NFC. Mittels einer ersten Kommunikationsverbindung, beispielsweise unter Verwendung von Bluetooth, kann ein aufwändiges, kryptografisches asymmetrisches Authentifizierungsprotokoll eingesetzt werden, welches beispielsweise Vorteile hinsichtlich der Schlüsselverwaltung bietet. Dies reduziert beispielsweise eine Wartezeit eines Nutzers an der Zutrittstür. Mittels der zweiten Kommunikationsverbindung, beispielsweise unter Verwendung von NFC, wird die physikalische Nähe, beispielsweise etwa 10 cm, berücksichtigt.
Dabei werden typischerweise keine komplexen asymmetrischen Operationen über die zweite Kommunikationsverbindung durchgeführt, sondern lediglich einfache, ressourcenarme Operationen, wie beispielsweise die Übermittlung eines kryptographischen Tokens. Insbesondere kann für die Kommunikation über die zweiten Kommunikationsschnittstellen 103 und 203 ein symmetrisches Authentifizierungsverfahren verwendet werden, für welches das kryptographische Token bzw. der kryptographische Schlüssel zuvor mittels des asymmetrischen Authentifizierungsprotokolls unter Verwendung der ersten Kommunikationsschnittstellen 101 und 201 ausgetauscht bzw. vereinbart wurde. Das asymmetrische Authentifizierungsprotokoll kann beispielsweise einmal innerhalb eines längeren Zeitraums (Wochen, Monate) durchgeführt werden, und das symmetrische Authentifizierungsprotokoll bei jedem tatsächlichen Zutrittsversuch zu einem Zutrittsbereich.
Durch das asymmetrische Authentifizierungsprotokoll können auch weitere symmetrische Schlüssel für eine weitere Kommunikation über die ersten Kommunikationsschnittstellen 101 und 201 vereinbart werden, bis die symmetrischen Schlüssel beispielsweise ablaufen und die Kopplung über ein asymmetrisches Authentifizierungsverfahren wiederholt wird. Die Kopplung kann beispielsweise unbemerkt durchgeführt werden, wenn das Kommunikationsgerät 200 in Reichweite der ersten Kommunikationsschnittstelle 101 kommt. Anschließend können die symmetrischen Schlüssel verwendet werden.
Über die zweiten Kommunikationsschnittstellen 103 und 203 kann folglich auch eine kryptographische Authentisierung erfolgen. Beispielsweise kann über die ersten Kommunikationsschnittstellen 101 und 201 ein asymmetrisches Authentifizierungsprotokoll durchgeführt und anschließend über die eingerichtete geschützte erste Kommunikationsverbindung ein kryptographisches Token in Form eines Einmalpassworts übermittelt werden. Über die zweiten Kommunikationsschnittstellen 103 und 203 kann schließlich wiederum eine kryptographisch abgesicherte zweite Kommunikationsverbindung aufgebaut werden, beispielsweise unter Verwendung des zuvor vereinbarte kryptographischen Tokens bzw. symmetrischen Schlüssels. Das kryptographische Token kann ferner zum Gewähren des Zutritts übermittelt werden.
Ferner kann eine Kommunikation derart erfolgen, dass die physikalische Schicht (engl. Physical Layer) im OSI-Schichten-Modell von einer Kommunikation mit hoher Kommunikationsreichweite auf eine Kommunikation mit geringer Kommunikationsreichweite umgeschaltet wird, und die darüber liegenden Schichten jedoch unverändert bleiben.
Folglich wird für die Zutrittskontrolle mit der Zutrittskontrollvorrichtung 100 und dem Kommunikationsgerät 200 die erste Kommunikationsverbindung für die kryptografische Authentifizierung und/oder Schlüsselaushandlung verwendet, welche eine hohe Kommunikationsreichweite aufweisen kann, und die zweite Kommunikationsverbindung für die Gewährleistung der physikalischen Nähe, welche eine kurze Kommunikationsreichweite aufweisen kann. Mithin kann ein Zutritt zu dem Zutrittsbereich unter Verwendung des Kommunikationsgerätes 200 gewährt werden, falls das Kommunikationsgerät 200 nahe an die Zutrittskontrollvorrichtung 100 bzw. die zweite Kommunikationsschnittstelle 103 gehalten wird und die Authentifizierung des Kommunikationsgerätes 200 erfolgreich ist.
Fig. 4 zeigt ein schematisches Diagramm eines Verfahrens 400 zum Kontrollieren eines Zutritts zu einem Zutrittsbereich unter Verwendung einer Zutrittskontrollvorrichtung und eines Kommunikationsgerätes. Die Zutrittskontrollvorrichtung umfasst eine erste Kommunikationsschnittstelle, eine zweite Kommunikationsschnittstelle und einen Prozessor, wobei die erste Kommunikationsschnittstelle ausgebildet ist, über eine erste Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren, wobei die zweite Kommunikationsschnittstelle ausgebildet ist, über eine zweite Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren. Der ersten Kommunikationsschnittstelle ist eine erste Kommunikationsreichweite zugeordnet, wobei der zweiten Kommunikationsschnittstelle eine zweite Kommunikationsreichweite zugeordnet ist, und wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist.
Das Verfahren 400 umfasst ein Authentifizieren 401 des Kommunikationsgeräts über die erste Kommunikationsverbindung unter Verwendung eines Authentifizierungsprotokolls durch die erste Kommunikationsschnittstelle, ein Detektieren 403 einer Anwesenheit des Kommunikationsgerätes durch die zweite Kommunikationsschnittstelle, und ein Gewähren 405 des Zutritts zu dem Zutrittsbereich durch den Prozessor, falls das Kommunikationsgerät unter Verwendung des Authentifizierungsprotokolls authentifiziert ist und die Anwesenheit des Kommunikationsgerätes detektiert ist.
Fig. 5 zeigt ein schematisches Diagramm eines Verfahrens 500 zum Kommunizieren mit einer Zutrittskontrollvorrichtung unter Verwendung eines Kommunikationsgeräts. Die Zutrittskontrollvorrichtung ist ausgebildet, einen Zutritt zu einem Zutrittsbereich zu kontrollieren. Das Kommunikationsgerät umfasst eine erste Kommunikationsschnittstelle und eine zweite Kommunikationsschnittstelle, wobei die erste Kommunikationsschnittstelle ausgebildet ist, über eine erste Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren, wobei die zweite Kommunikationsschnittstelle ausgebildet ist, über eine zweite Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren. Der ersten Kommunikationsschnittstelle ist eine erste Kommunikationsreichweite zugeordnet, wobei der zweiten Kommunikationsschnittstelle eine zweite Kommunikationsreichweite zugeordnet ist, und wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist.
Das Verfahren 500 umfasst ein Durchführen 501 eines Authentifizierungsprotokolls über die erste Kommunikationsverbindung durch die erste Kommunikationsschnittstelle, und ein Durchführen 503 eines weiteren Authentifizierungsprotokolls über die zweite Kommunikationsverbindung durch die zweite Kommunikationsschnittstelle.
Fig. 6 zeigt ein schematisches Diagramm einer Anordnung 300 zum Kontrollieren eines Zutritts zu einem Zutrittsbereich 601. Die Anordnung 300 umfasst eine Zutrittskontrollvorrichtung 100, ein Kommunikationsgerät 200, und eine Zutrittstür 603, welche an dem Zutrittsbereich 601 angeordnet ist. Die Zutrittskontrollvorrichtung 100 ist ausgebildet, ansprechend auf das Gewähren des Zutritts zu dem Zutrittsbereich 601, die Zutrittstür 603 zu entriegeln. Einem Nutzer, welcher das Kommunikationsgerät 200 mit sich führt, kann der Zutritt zu dem Zutrittsbereich 601 durch die Zutrittskontrollvorrichtung 100 gewährt oder verweigert werden. Das Kommunikationsgerät 200 kann beispielsweise ein Smartphone sein, welches der Nutzer mit sich führt, oder eine Smartwatch, welche der Nutzer an einem Arm trägt.
Die Anordnung 300 kann ferner weitere Zutrittskontrollvorrichtungen umfassen, welche jeweils einen Zutritt zu weiteren Zutrittsbereichen kontrollieren, wobei weitere Zutrittstüren an den weiteren Zutrittsbereichen angeordnet sind. Es können folglich mehrere Zutrittstüren in der Reichweite der ersten Kommunikationsschnittstelle des Kommunikationsgerätes 200 liegen. Dabei kann eine initiale Authentifizierung unter Verwendung der ersten Kommunikationsschnittstellen des Kommunikationsgerätes 200 und der jeweiligen Zutrittskontrollvorrichtung durchgeführt werden. Das Gewähren eines Zutritts zu einem bestimmten Zutrittsbereich kann beispielsweise erst dann erfolgen, wenn der Nutzer dies will und der Nutzer das Kommunikationsgerät 200 vor die zweite Kommunikationsschnittstelle der betreffenden Zutrittskontrollvorrichtung hält. Eine Kommunikation mittels der ersten Kommunikationsschnittstellen mit hoher Kommunikationsreichweite kann also bereits beginnen, wenn ein Nutzer noch relativ weit von der Zutrittskontrollvorrichtung 100 entfernt ist, wodurch Zeit für das Gewähren des Zutritts zu dem Zutrittsbereich 601 verkürzt wird.
Die Authentifizierung kann in regelmäßigen zeitlichen Abständen und unbemerkt wiederholt werden. Bei einer möglichen Anordnung 300, beispielsweise einem Flur eines Büros mit vielen Zutrittstüren, bewegt sich der Nutzer durch bestimmte Zutrittstüren häufiger als durch andere Zutrittstüren. Der Nutzer befindet sich jedoch häufig in der Reichweite aller Zutrittstüren. Über die ersten Kommunikationsschnittstellen des Kommunikationsgerätes 200 und der jeweiligen Zutrittskontrollvorrichtungen können kryptographische Token ausgetauscht bzw. vereinbart werden, die über die zweiten Kommunikationsschnittstellen des Kommunikationsgerätes 200 und der jeweiligen Zutrittskontrollvorrichtungen verwendet werden können, wenn der Nutzer tatsächlich durch eine bestimmte Zutrittstür gehen möchte. Die vereinbarten kryptographischen Token können aber auch nach einer, gegebenenfalls für die Sicherheitsstufe der Zutrittstür individuellen Zeitspanne, verfallen.
Alle in Verbindung mit einzelnen Ausführungsformen beschriebenen oder gezeigten Merkmale können in beliebiger Kombination in dem erfindungsgemäßen Gegenstand vorgesehen sein, um gleichzeitig deren vorteilhafte Wirkungen zu realisieren.

BEZUGSZEICHENLISTE

100: Zutrittskontrollvorrichtung
101: Erste Kommunikationsschnittstelle
103: Zweite Kommunikationsschnittstelle
105: Prozessor

200: Kommunikationsgerät
201: Erste Kommunikationsschnittstelle
203: Zweite Kommunikationsschnittstelle

300: Anordnung

400: Verfahren zum Kontrollieren eines Zutritts zu einem Zutrittsbereich
401: Authentifizieren des Kommunikationsgeräts
403: Detektieren einer Anwesenheit des Kommunikationsgerätes
405: Gewähren des Zutritts zu dem Zutrittsbereich

500: Verfahren zum Kommunizieren mit einer Zutrittskontrollvorrichtung
501: Durchführen eines Authentifizierungsprotokolls
503: Durchführen eines weiteren Authentifizierungsprotokolls

601: Zutrittsbereich
603: Zutrittstür

Claims

Zutrittskontrollvorrichtung (100) zum Kontrollieren eines Zutritts zu einem Zutrittsbereich (601) unter Verwendung eines Kommunikationsgerätes (200), wobei dem Kommunikationsgerät (200) ein kryptographisches Token zugeordnet ist, mit:
einer ersten Kommunikationsschnittstelle (101), welche ausgebildet ist, über eine erste Kommunikationsverbindung mit dem Kommunikationsgerät (200) zu kommunizieren, und das Kommunikationsgerät (200) über die erste Kommunikationsverbindung unter Verwendung eines Authentifizierungsprotokolls zu authentifizieren, wobei der ersten Kommunikationsschnittstelle (101) eine erste Kommunikationsreichweite zugeordnet ist;

einer zweiten Kommunikationsschnittstelle (103), welche ausgebildet ist, über eine zweite Kommunikationsverbindung mit dem Kommunikationsgerät (200) zu kommunizieren, und eine Anwesenheit des Kommunikationsgerätes (200) zu detektieren, wobei der zweiten Kommunikationsschnittstelle (103) eine zweite Kommunikationsreichweite zugeordnet ist, wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist, wobei die zweite Kommunikationsschnittstelle (103) eine NFC-Kommunikationsschnittstelle ist; und

einem Prozessor (105), welcher ausgebildet ist, den Zutritt zu dem Zutrittsbereich (601) zu gewähren, falls das Kommunikationsgerät (200) unter Verwendung des Authentifizierungsprotokolls authentifiziert ist und die Anwesenheit des Kommunikationsgerätes (200) detektiert ist, dadurch gekennzeichnet, dass die zweite Kommunikationsschnittstelle (103) ausgebildet ist, das Kommunikationsgerät (200) über die zweite Kommunikationsverbindung unter Verwendung eines weiteren Authentifizierungsprotokolls zu authentifizieren, wobei der Prozessor (105) ausgebildet ist, den Zutritt zu dem Zutrittsbereich (601) zu gewähren, falls das Kommunikationsgerät (200) ferner unter Verwendung des weiteren Authentifizierungsprotokolls authentifiziert ist, wobei die erste Kommunikationsschnittstelle (101) ausgebildet ist, das kryptographische Token zu empfangen, und wobei die zweite Kommunikationsschnittstelle (103) ausgebildet ist, das weitere Authentifizierungsprotokoll unter Verwendung des kryptographischen Tokens durchzuführen,

wobei das kryptographische Token ein kryptographischer Schlüssel ist.
Zutrittskontrollvorrichtung (100) nach Anspruch 1, wobei der Prozessor (105) ausgebildet ist, den Zutritt zu dem Zutrittsbereich (601) zu verweigern, falls das Kommunikationsgerät (200) nicht authentifiziert ist oder die Anwesenheit des Kommunikationsgerätes (200) nicht detektiert ist.
Zutrittskontrollvorrichtung (100) nach einem der vorstehenden Ansprüche, wobei das Authentifizierungsprotokoll ein asymmetrisches Authentifizierungsprotokoll ist.
Zutrittskontrollvorrichtung (100) nach einem der vorstehenden Ansprüche, wobei das weitere Authentifizierungsprotokoll ein symmetrisches Authentifizierungsprotokoll ist.
Zutrittskontrollvorrichtung (100) nach einem der vorstehenden Ansprüche, wobei die erste Kommunikationsschnittstelle (101) eine Bluetooth-Kommunikationsschnittstelle ist.
Kommunikationsgerät (200) zum Kommunizieren mit einer Zutrittskontrollvorrichtung (100), wobei die Zutrittskontrollvorrichtung (100) ausgebildet ist, einen Zutritt zu einem Zutrittsbereich (601) zu kontrollieren, wobei dem Kommunikationsgerät (200) ein kryptographisches Token zugeordnet ist, wobei das kryptographische Token ein kryptographischer Schlüssel ist, mit:
einer ersten Kommunikationsschnittstelle (201), welche ausgebildet ist, über eine erste Kommunikationsverbindung mit der Zutrittskontrollvorrichtung (100) zu kommunizieren, und über die erste Kommunikationsverbindung ein Authentifizierungsprotokoll durchzuführen, wobei der ersten Kommunikationsschnittstelle (201) eine erste Kommunikationsreichweite zugeordnet ist; und

einer zweiten Kommunikationsschnittstelle (203), welche ausgebildet ist, über eine zweite Kommunikationsverbindung mit der Zutrittskontrollvorrichtung (100) zu kommunizieren, wobei der zweiten Kommunikationsschnittstelle (203) eine zweite Kommunikationsreichweite zugeordnet ist, wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist, wobei die zweite Kommunikationsschnittstelle (203) eine NFC-Kommunikationsschnittstelle ist, dadurch gekennzeichnet, dass

die erste Kommunikationsschnittstelle (201) ausgebildet ist, das kryptographische Token über die erste Kommunikationsverbindung auszusenden,

wobei die zweite Kommunikationsschnittstelle (203) ausgebildet ist, über die zweite Kommunikationsverbindung ein weiteres Authentifizierungsprotokoll durchzuführen, wobei die zweite Kommunikationsschnittstelle (203) ausgebildet ist, das weitere Authentifizierungsprotokoll unter Verwendung des kryptographischen Tokens durchzuführen.
Kommunikationsgerät (200) nach Anspruch 6, wobei das Authentifizierungsprotokoll ein asymmetrisches Authentifizierungsprotokoll ist, und wobei das weitere Authentifizierungsprotokoll ein symmetrisches Authentifizierungsprotokoll ist.
Anordnung (300) zum Kontrollieren eines Zutritts zu einem Zutrittsbereich (601), mit:
einer Zutrittskontrollvorrichtung (100) nach einem der Ansprüche 1 bis 5; und

einem Kommunikationsgerät (200) nach einem der Ansprüche 6 oder 7.
Anordnung (300) nach Anspruch 8, mit:
einer Zutrittstür (603), welche an dem Zutrittsbereich (601) angeordnet ist;

wobei die Zutrittskontrollvorrichtung (100) ausgebildet ist, ansprechend auf das Gewähren des Zutritts zu dem Zutrittsbereich (601), die Zutrittstür (603) zu entriegeln.
Verfahren (400) zum Kontrollieren eines Zutritts zu einem Zutrittsbereich (601) unter Verwendung einer Zutrittskontrollvorrichtung (100) nach einem der Ansprüche 1 bis 5 und eines Kommunikationsgerätes (200) nach einem der Ansprüche 6 oder 7, wobei dem Kommunikationsgerät (200) ein kryptographisches Token zugeordnet ist, wobei das kryptographische Token ein kryptographischer Schlüssel ist, wobei das Verfahren (400) durch die Zutrittskontrollvorrichtung (100) ausgeführt wird, mit:
Authentifizieren (401) des Kommunikationsgeräts (200) über die erste Kommunikationsverbindung unter Verwendung eines Authentifizierungsprotokolls durch die erste Kommunikationsschnittstelle (101);

Detektieren (403) einer Anwesenheit des Kommunikationsgerätes (200) durch die zweite Kommunikationsschnittstelle (103); und

Gewähren (405) des Zutritts zu dem Zutrittsbereich (601) durch den Prozessor (105), falls das Kommunikationsgerät (200) unter Verwendung des Authentifizierungsprotokolls authentifiziert ist und die Anwesenheit des Kommunikationsgerätes (200) detektiert ist,

dadurch gekennzeichnet, dass die zweite Kommunikationsschnittstelle (103) das Kommunikationsgerät (200) über die zweite Kommunikationsverbindung unter Verwendung des weiteren Authentifizierungsprotokolls authentifiziert, wobei der Prozessor (105) den Zutritt zu dem Zutrittsbereich (601) gewährt, falls das Kommunikationsgerät (200) ferner unter Verwendung des weiteren Authentifizierungsprotokolls authentifiziert ist, wobei die erste Kommunikationsschnittstelle (101) das kryptographische Token empfängt und wobei die zweite Kommunikationsschnittstelle (103) das weitere Authentifizierungsprotokoll unter Verwendung des kryptographischen Tokens durchführt.
Verfahren (500) zum Kommunizieren mit einer Zutrittskontrollvorrichtung (100) nach einem der Ansprüche 1 bis 5 unter Verwendung eines Kommunikationsgeräts (200) nach einem der Ansprüche 6 oder 7, wobei dem Kommunikationsgerät (200) ein kryptographisches Token zugeordnet ist, das ein kryptographischer Schlüssel ist, wobei die Zutrittskontrollvorrichtung (100) ausgebildet ist, einen Zutritt zu einem Zutrittsbereich (601) zu kontrollieren, wobei das Verfahren (500) durch das Kommunikationsgerät (200) ausgeführt wird, mit:
Durchführen (501) eines Authentifizierungsprotokolls über die erste Kommunikationsverbindung durch die erste Kommunikationsschnittstelle (201);

gekennzeichnet durch ein

Aussenden des kryptographische Tokens über die erste Kommunikationsverbindung durch die erste Kommunikationsschnittstelle (201) und ein

Durchführen (503) eines weiteren Authentifizierungsprotokolls über die zweite Kommunikationsverbindung durch die zweite Kommunikationsschnittstelle (203), wobei die zweite Kommunikationsschnittstelle (203) das weitere Authentifizierungsprotokoll unter Verwendung des kryptographischen Tokens durchführt.
Computerprogramm mit einem Programmcode zum Ausführen des Verfahrens (400) nach Anspruch 10 oder des Verfahrens (500) nach Anspruch 11.