EP3407309B1 - Zutrittskontrollvorrichtung zum kontrollieren eines zutritts zu einem zutrittsbereich - Google Patents
Zutrittskontrollvorrichtung zum kontrollieren eines zutritts zu einem zutrittsbereich Download PDFInfo
- Publication number
- EP3407309B1 EP3407309B1 EP18172055.8A EP18172055A EP3407309B1 EP 3407309 B1 EP3407309 B1 EP 3407309B1 EP 18172055 A EP18172055 A EP 18172055A EP 3407309 B1 EP3407309 B1 EP 3407309B1
- Authority
- EP
- European Patent Office
- Prior art keywords
- communication
- access
- communication interface
- authentication protocol
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims description 416
- 238000000034 method Methods 0.000 claims description 28
- 230000004044 response Effects 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 12
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00309—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00309—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
- G07C2009/00341—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks keyless data carrier having more than one limited data transmission ranges
- G07C2009/00357—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks keyless data carrier having more than one limited data transmission ranges and the lock having more than one limited data transmission ranges
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C2009/00753—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys
- G07C2009/00769—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys with data transmission performed by wireless means
- G07C2009/00793—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys with data transmission performed by wireless means by Hertzian waves
Definitions
- the present invention relates to the field of access control, in particular physical access control to an access area.
- EP 2 469 478 A1 discloses an access control system.
- the disclosure document DE 10 2014 105243 A1 discloses an access control system.
- the disclosure document FR 2 981 823 A1 discloses an access control device for a motor vehicle.
- U.S. 2014/049361 A1 discloses an electronic system comprising a mobile device and a reader.
- U.S. 2014/229385 A1 discloses wireless communication between a mobile device and a reader.
- the pamphlet DE 10 2013 216 099 A1 discloses a system for activating a vehicle in a key-on condition by detecting a presence of a near field communication (“NFC”) tag.
- NFC near field communication
- Bluetooth has the disadvantage that the communication range is undesirably long.
- the communication range can be up to 100 m.
- the communication range can be limited, but even there, determining which access door to open can be problematic when multiple access doors are located just a few meters apart.
- the invention is based on and includes the knowledge that the above object can be achieved using an access control device and a communication device, each of which has a plurality of communication interfaces with different communication ranges.
- a first communication interface of the access control device and the communication device can be a Bluetooth communication interface with a long communication range of up to 100 meters.
- a second communication interface of the access control device and the communication device can be, for example, an NFC communication interface with a short communication range of up to 30 centimeters. This achieves the advantage that a typically time-consuming authentication protocol can be carried out between the access control device and the communication device over long distances and access to the access area is only granted when there is also a proximity between the access control device and the communication device.
- the invention relates to an access control device for controlling access to an access area using a communication device according to claim 1.
- the access control device includes a first communication interface, which is designed to communicate with the communication device via a first communication connection and to authenticate the communication device via the first communication connection using an authentication protocol, wherein a first communication range is assigned to the first communication interface.
- the access control device also includes a second communication interface, which is designed to communicate with the communication device via a second communication connection and to detect the presence of the communication device, wherein the second communication interface is assigned a second communication range, the second communication range being smaller than the first communication range is.
- the access control device also includes a processor which is designed to grant access to the access area if the communication device is authenticated using the authentication protocol and the presence of the communication device is detected.
- the first communication range of the first communication interface can be 1 m, 2 m, 5 m, 10 m, 20 m, 50 m or 100 m, for example.
- the second communication range of the second communication interface can be 1 cm, 2 cm, 5 cm, 10 cm, 20 cm or 30 cm, for example.
- the second communication interface can, for example, detect the presence of the communication device within an area which is determined by the second communication range.
- the area can be, for example, the surroundings of the second communication interface, the radius of which corresponds to the second communication range.
- the processor is designed to deny access to the access area if the communication device is not authenticated or the presence of the communication device is not detected. This achieves the advantage that access to the access area is only granted if the communication device is authenticated and the presence of the communication device is detected at the same time. If the communication device is no longer within the second communication range around the second communication interface, for example, access to the access area can be denied.
- the authentication protocol is an asymmetric authentication protocol. This achieves the advantage that key management can be simplified when there are a number of access control devices and/or communication devices that are used. At the same time, a high level of authentication can be guaranteed.
- the access control device is assigned a first cryptographic certificate
- the communication device is assigned a second cryptographic certificate
- the first communication interface is designed to implement the asymmetric authentication protocol using the first cryptographic certificate and the second cryptographic certificate.
- the asymmetric authentication protocol includes an Extended Access Control (EAC) authentication protocol.
- the EAC authentication protocol is an established and standardized asymmetric authentication protocol.
- the Extended Access Control (EAC) authentication protocol may include a Terminal Authentication (TA) protocol section, a Passive Authentication (PA) protocol section, and a Chip Authentication (CA) protocol section.
- TA Terminal Authentication
- PA Passive Authentication
- CA Chip Authentication
- SM Secure Messaging
- the Extended Access Control (EAC) authentication protocol can be implemented in accordance with the technical guideline BSI TR-03110, for example.
- the second communication interface is designed to authenticate the communication device via the second communication connection using a further authentication protocol, the processor being designed to grant access to the access area if the communication device is also authenticated using the further authentication protocol.
- the further authentication protocol is a symmetric authentication protocol. This achieves the advantage that a high level of time efficiency can be achieved in the authentication via the second communication connection.
- a cryptographic token is assigned to the communication device, the first communication interface being designed to receive the cryptographic token, and the second communication interface being designed to carry out the further authentication protocol using the cryptographic token.
- the cryptographic token can be generated by the communication device, for example, or can be pre-stored in a memory of the communication device.
- the cryptographic token can, for example, be sent out by the communication device and received via the first communication connection. Alternatively, the cryptographic token can be retrieved from a server, for example.
- the cryptographic token is a cryptographic key. This achieves the advantage that the cryptographic token can be used for one-time use during authentication by means of the additional authentication protocol.
- the first communication interface is a Bluetooth communication interface.
- the Bluetooth communication interface can be implemented according to the IEEE 802.15.1 standard, for example. This achieves the advantage that an established and standardized communication standard can be used for communication via the first communication interface.
- the second communication interface is an NFC communication interface (NFC: Near Field Communication).
- NFC Near Field Communication
- the NFC communication interface can be implemented according to the NFC/ISO14443 standard, for example. This achieves the advantage that an established and standardized communication standard can be used for communication via the second communication interface.
- the invention relates to a communication device for communicating with an access control device according to claim 6.
- the access control device is designed to control access to an access area.
- the communication device comprises a first communication interface, which is designed to communicate with the access control device via a first communication connection and to carry out an authentication protocol via the first communication connection, a first communication range being assigned to the first communication interface.
- the communication device also includes a second communication interface, which is designed to communicate with the access control device via a second communication connection, and to carry out a further authentication protocol via the second communication connection, the second communication interface having a second Communication range is assigned, wherein the second communication range is smaller than the first communication range.
- the first communication range of the first communication interface can be 1 m, 2 m, 5 m, 10 m, 20 m, 50 m or 100 m, for example.
- the second communication range of the second communication interface can be 1 cm, 2 cm, 5 cm, 10 cm, 20 cm or 30 cm, for example.
- the authentication protocol is an asymmetric authentication protocol, the further authentication protocol being a symmetric authentication protocol.
- the access control device is assigned a first cryptographic certificate
- the communication device is assigned a second cryptographic certificate
- the first communication interface is designed to implement the asymmetric authentication protocol using the first cryptographic certificate and the second cryptographic certificate.
- the asymmetric authentication protocol includes an Extended Access Control (EAC) authentication protocol.
- the EAC authentication protocol is an established and standardized asymmetric authentication protocol.
- the Extended Access Control (EAC) authentication protocol may include a Terminal Authentication (TA) protocol section, a Passive Authentication (PA) protocol section, and a Chip Authentication (CA) protocol section.
- TA Terminal Authentication
- PA Passive Authentication
- CA Chip Authentication
- SM Secure Messaging
- the Extended Access Control (EAC) authentication protocol can be implemented in accordance with the technical guideline BSI TR-03110, for example.
- a cryptographic token is assigned to the communication device, with the second communication interface being designed to carry out the further authentication protocol using the cryptographic token.
- the communication device includes a processor which is designed to generate the cryptographic token. This achieves the advantage that the cryptographic token can be provided by the communication device, for example for one-time use during authentication using the further authentication protocol.
- the communication device includes a memory in which the cryptographic token is pre-stored. This achieves the advantage that the cryptographic token can be efficiently provided by the communication device.
- the first communication interface is designed to send out the cryptographic token via the first communication connection. This achieves the advantage that the cryptographic token can be used by the access control device to carry out the further authentication protocol.
- the cryptographic token can be transmitted in a cryptographically secured manner.
- the cryptographic token is a cryptographic key. This achieves the advantage that the cryptographic token can be used for one-time use during authentication by means of the additional authentication protocol.
- the first communication interface is a Bluetooth communication interface.
- the Bluetooth communication interface can be implemented according to the IEEE 802.15.1 standard, for example. This achieves the advantage that an established and standardized communication standard can be used for communication via the first communication interface.
- the second communication interface is an NFC communication interface (NFC: Near Field Communication).
- NFC Near Field Communication
- the NFC communication interface can be implemented according to the NFC/ISO14443 standard, for example. This achieves the advantage that an established and standardized communication standard can be used for communication via the second communication interface.
- the communication device is a smartphone or a smartwatch.
- the smartphone or smartwatch can be carried by a user. This achieves the advantage that the user can easily interact with the access control device.
- the invention relates to an arrangement for controlling access to an access area.
- the arrangement comprises an access control device according to the first aspect of the invention, and a communication device according to the second aspect of the invention.
- the arrangement comprises an access door, which is arranged at the access area, wherein the access control device is designed to unlock the access door in response to the granting of access to the access area.
- the access control device is designed to lock the access door in response to the denial of access to the access area. This achieves the advantage that an access door that has already been unlocked can be locked again if the communication device is no longer within the second communication range of the second communication interface of the access control device, for example.
- the invention relates to a method for controlling access to an access area using an access control device and a communication device according to claim 10.
- a cryptographic token which is a cryptographic key
- the access control device comprises a first communication interface, a second communication interface and a processor, the first communication interface being designed to have a first communication connection to communicate with the communication device, wherein the second communication interface is designed to communicate with the communication device via a second communication connection.
- a first communication range is assigned to the first communication interface, wherein a second communication range is assigned to the second communication interface, and wherein the second communication range is smaller than the first communication range.
- the method includes authenticating the communication device over the first communication link using an authentication protocol through the first communication interface, detecting a presence of the communication device through the second communication interface, and granting access to the access area through the processor if the communication device using the authentication protocol is authenticated and the presence of the communication device is detected.
- the method can be carried out by the access control device. Other features of the method result directly from the features or the functionality of the access control device.
- the invention relates to a method for communicating with an access control device using a communication device according to claim 11.
- a cryptographic token which is a cryptographic key
- the access control device is designed to control access to an access area.
- the communication device comprises a first communication interface and a second communication interface, the first communication interface being designed to communicate with the access control device via a first communication connection, the second communication interface being designed to communicate with the access control device via a second communication connection.
- a first communication range is assigned to the first communication interface, wherein a second communication range is assigned to the second communication interface, and wherein the second communication range is smaller than the first communication range.
- the method includes performing an authentication protocol over the first communication link through the first communication interface, and performing a further authentication protocol over the second communication link through the second communication interface.
- the method can be performed by the communication device. Other features of the method result directly from the features or the functionality of the communication device.
- the invention relates to a computer program with a program code for executing the method according to the fourth aspect of the invention or the method according to the fifth aspect of the invention.
- the access control device and the communication device can each be set up in terms of programming in order to execute the program code or parts of the program code.
- the computer program can, for example, be part of a firmware for the access control device or part of an application for the communication device.
- the invention can be implemented in hardware and/or software.
- FIG. 12 shows a schematic diagram of an access control device 100 for controlling access to an access area using a communication device.
- the access control device 100 comprises a first communication interface 101, which is designed to communicate with the communication device via a first communication connection and to authenticate the communication device via the first communication connection using an authentication protocol, with the first communication interface 101 being assigned a first communication range.
- the access control device 100 also includes a second communication interface 103, which is designed to communicate with the communication device via a second communication connection and to detect the presence of the communication device, with the second communication interface 103 being assigned a second communication range, the second communication range being smaller than the first communication range is.
- the access control device 100 also includes a processor 105, which is designed to grant access to the access area if the communication device is authenticated using the authentication protocol and the presence of the communication device is detected.
- FIG. 12 shows a schematic diagram of a communication device 200 for communicating with an access control device.
- the access control device is designed to control access to an access area.
- the communication device 200 comprises a first communication interface 201, which is designed to communicate with the access control device via a first communication connection and to carry out an authentication protocol via the first communication connection, with the first communication interface 201 being assigned a first communication range.
- the communication device 200 also includes a second communication interface 203, which is designed to communicate with the access control device via a second communication connection and to carry out a further authentication protocol via the second communication connection, with the second communication interface 203 being assigned a second communication range, the second communication range being smaller than the first communication range is.
- FIG. 3 shows a schematic diagram of an arrangement 300 for controlling access to an access area.
- the arrangement 300 comprises an access control device 100 and a communication device 200.
- the access control device 100 comprises a first communication interface 101, a second communication interface 103 and a processor 105.
- the communication device 200 comprises a first communication interface 201 and a second communication interface 203.
- the access control device 100 communicates with the communication device 200 via a first communication connection between the first communication interfaces 101 and 201.
- the access control device 100 communicates with the communication device 200 via a second communication connection between the second communication interfaces 103 and 203.
- the first communication interfaces 101 and 201 can, for example, Bluetooth be communication interfaces.
- the second communication interfaces 103 and 203 are NFC communication interfaces.
- the access control device 100 which can be used as a door controller for an access door, and the communication device 200 consequently use two different communication links as transmission channels, for example using Bluetooth and NFC.
- An initial coupling, key negotiation and/or token issuance for authentication of the communication device 200 can take place via the first communication connection.
- the authentication can consequently be carried out using an asymmetric authentication protocol, with a PKI-based approach (PKI: Public Key Infrastructure) being possible.
- PKI-based approach PKI: Public Key Infrastructure
- the asymmetric authentication protocol can be implemented using a first cryptographic certificate and a second cryptographic certificate, the access control device 100 being assigned the first cryptographic certificate, and the communication device 200 being assigned the second cryptographic certificate.
- the communication device 200 can be authenticated in advance over larger distances between the access control device 100 and the communication device 200 .
- the physical proximity of the communication device 200 to the access control device 100 can be ensured via the second communication connection, which can only be set up over a very small communication range, namely using NFC, before granting access to an access area he follows.
- a previously established secure messaging channel can be used.
- a cryptographic token of the communication device 200 can be transmitted.
- the concept combines the advantages of using a number of different communication links, for example using Bluetooth and NFC.
- a complex, cryptographic, asymmetrical authentication protocol can be used by means of a first communication connection, for example using Bluetooth, which, for example, offers advantages with regard to key management. This reduces, for example, a user's waiting time at the access door.
- the physical proximity for example approximately 10 cm, is taken into account by means of the second communication connection, for example using NFC.
- a symmetrical authentication method can be used for communication via the second communication interfaces 103 and 203, for which the cryptographic token or the cryptographic key has been exchanged or agreed beforehand using the asymmetrical authentication protocol using the first communication interfaces 101 and 201.
- the asymmetric authentication protocol can be performed once within a longer period of time (weeks, months) and the symmetric authentication protocol with each actual attempt to access an access area.
- the asymmetric authentication protocol can also be used to agree other symmetric keys for further communication via the first communication interfaces 101 and 201 until the symmetric keys expire, for example, and the coupling is repeated using an asymmetric authentication method.
- the coupling can be carried out unnoticed when the communication device 200 comes within range of the first communication interface 101 .
- the symmetric keys can then be used.
- a cryptographic authentication can consequently also take place via the second communication interfaces 103 and 203 .
- an asymmetric authentication protocol can be carried out via the first communication interfaces 101 and 201 and then via the established protected first Communication link a cryptographic token in the form of a one-time password are transmitted.
- a cryptographically secured second communication connection can be set up via the second communication interfaces 103 and 203, for example using the previously agreed cryptographic token or symmetric key.
- the cryptographic token can also be transmitted to grant access.
- communication can take place in such a way that the physical layer in the OSI layer model is switched from communication with a large communication range to communication with a small communication range, and the layers above it remain unchanged.
- the first communication link is used for cryptographic authentication and/or key negotiation, which can have a long communication range, and the second communication link for ensuring physical proximity, which can have a short communication range . Consequently, access to the access area can be granted using the communication device 200 if the communication device 200 is held close to the access control device 100 or the second communication interface 103 and the authentication of the communication device 200 is successful.
- FIG. 4 shows a schematic diagram of a method 400 for controlling access to an access area using an access control device and a communication device.
- the access control device comprises a first communication interface, a second communication interface and a processor, the first communication interface being designed to communicate with the communication device via a first communication connection, the second communication interface being designed to communicate with the communication device via a second communication connection.
- a first communication range is assigned to the first communication interface, wherein a second communication range is assigned to the second communication interface, and wherein the second communication range is smaller than the first communication range.
- the method 400 includes authenticating 401 the communication device via the first communication link using an authentication protocol by the first communication interface, detecting 403 a presence of the communication device by the second communication interface, and granting 405 access to the access area by the processor if the communication device is authenticated using the authentication protocol and the presence of the communication device is detected.
- figure 5 5 shows a schematic diagram of a method 500 for communicating with an access control device using a communication device.
- the access control device is designed to control access to an access area.
- the communication device comprises a first communication interface and a second communication interface, the first communication interface being designed to communicate with the access control device via a first communication connection, the second communication interface being designed to communicate with the access control device via a second communication connection.
- a first communication range is assigned to the first communication interface, wherein a second communication range is assigned to the second communication interface, and wherein the second communication range is smaller than the first communication range.
- the method 500 includes performing 501 an authentication protocol via the first communication link by the first communication interface, and performing 503 a further authentication protocol via the second communication link by the second communication interface.
- the arrangement 300 comprises an access control device 100, a communication device 200, and an access door 603, which is arranged at the access area 601.
- the access control device 100 is designed to unlock the access door 603 in response to the granting of access to the access area 601 .
- Access to the access area 601 can be granted or denied to a user who is carrying the communication device 200 by the access control device 100 .
- the communication device 200 can be, for example, a smartphone that the user carries with him or a smartwatch that the user wears on his arm.
- the arrangement 300 can also include further access control devices, which each control access to further access areas, with further access doors are arranged in the other access areas. Consequently, several access doors can be within range of the first communication interface of the communication device 200 .
- an initial authentication can be carried out using the first communication interfaces of the communication device 200 and the respective access control device. Access to a specific access area can only be granted, for example, if the user wants this and the user holds the communication device 200 in front of the second communication interface of the relevant access control device. Communication by means of the first communication interfaces with a large communication range can therefore already begin when a user is still relatively far away from the access control device 100, thereby shortening the time for granting access to the access area 601.
- the authentication can be repeated at regular intervals and unnoticed.
- a possible arrangement 300 for example an office hallway with many access doors, the user moves through certain access doors more frequently than through other access doors. However, the user is often within range of all access doors.
- Cryptographic tokens can be exchanged or agreed via the first communication interfaces of the communication device 200 and the respective access control devices, which can be used via the second communication interfaces of the communication device 200 and the respective access control devices if the user actually wants to go through a specific access door.
- the agreed cryptographic tokens can also expire after a period of time that may be specific to the security level of the access door.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Lock And Its Accessories (AREA)
Description
- Die vorliegende Erfindung betrifft das Gebiet der Zutrittskontrolle, insbesondere der physischen Zutrittskontrolle zu einem Zutrittsbereich.
- Die Offenlegungsschrift
EP 2 469 478 A1 offenbart ein Zutrittskontrollsystem. - Die Offenlegungsschrift
DE 10 2014 105243 A1 offenbart ein Zugangskontrollsystem. - Die Offenlegungsschrift
FR 2 981 823 A1 - Die Offenlegungsschrift
US 2017/140592 A1 offenbart ein elektronisches Zugriffskontrollsystem. - Die Offenlegungsschrift
US 2014/049361 A1 offenbart ein elektronisches System umfassend ein Mobilgerät und ein Lesegerät. - Die Offenlegungsschrift
US 2014/229385 A1 offenbart eine drahtlose Kommunikation zwischen einem Mobilgerät und einem Lesegerät. - Die Druckschrift
DE 10 2013 216 099 A1 offenbart ein System zum Aktivieren eines Fahrzeugs in einem Schlüssel-Ein-Zustand durch Detektieren eines Vorhandenseins eines Nahfeldkommunikations-Tag ("NFC-Tag"). - Aufgrund der hohen Verbreitung von Smartphones sowohl im privaten Bereich als auch im geschäftlichen Bereich ist der Einsatz dieser mobilen Kommunikationsgeräte zur Zutrittskontrolle von zunehmender Bedeutung.
- Typische Smartphones verfügen gegenwärtig beispielsweise über eine Bluetooth-Kommunikationsschnittstelle, welche zur Durchführung komplexer Protokolle zur Zutrittskontrolle verwendet werden könnte. Bluetooth hat jedoch den Nachteil, dass die Kommunikationsreichweite unerwünscht hoch ist. Im freien Feld kann die Kommunikationsreichweite beispielsweise bis zu 100 m betragen. In Gebäuden kann die Kommunikationsreichweite zwar eingeschränkt sein, jedoch kann selbst dort eine Bestimmung einer zu öffnenden Zutrittstür problematisch sein, wenn mehrere Zutrittstüren nur wenige Meter voneinander entfernt angeordnet sind.
- Es ist daher eine Aufgabe der vorliegenden Erfindung, ein effizientes Konzept zur Zutrittskontrolle zu schaffen, welches die vorgenannten Nachteile überwindet.
- Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Vorteilhafte Weiterbildungsformen sind Gegenstand der abhängigen Patentansprüche, der Beschreibung sowie der Zeichnungen.
- Die Erfindung basiert auf der Erkenntnis und schließt diese mit ein, dass die obige Aufgabe unter Verwendung einer Zutrittskontrollvorrichtung und eines Kommunikationsgerätes gelöst werden kann, welche jeweils eine Mehrzahl von Kommunikationsschnittstellen mit unterschiedlichen Kommunikationsreichweiten aufweisen. Beispielsweise kann eine erste Kommunikationsschnittstelle der Zutrittskontrollvorrichtung und des Kommunikationsgerätes eine Bluetooth-Kommunikationsschnittstelle mit einer hohen Kommunikationsreichweite von bis zu 100 Metern sein. Ferner kann eine zweite Kommunikationsschnittstelle der Zutrittskontrollvorrichtung und des Kommunikationsgerätes beispielsweise eine NFC-Kommunikationsschnittstelle mit einer geringen Kommunikationsreichweite von bis zu 30 Zentimetern sein. Dadurch wird der Vorteil erreicht, dass über hohe Entfernungen ein typischerweise zeitaufwändiges Authentifizierungsprotokoll zwischen der Zutrittskontrollvorrichtung und dem Kommunikationsgerätes durchgeführt werden kann und das Gewähren eines Zutritts zu dem Zutrittsbereich erst dann erfolgt, wenn zusätzlich eine Nähe zwischen der Zutrittskontrollvorrichtung und dem Kommunikationsgerät besteht.
- Gemäß einem ersten Aspekt betrifft die Erfindung eine Zutrittskontrollvorrichtung zum Kontrollieren eines Zutritts zu einem Zutrittsbereich unter Verwendung eines Kommunikationsgerätes gemäß Anspruch 1.
- Die Zutrittskontrollvorrichtung umfasst eine erste Kommunikationsschnittstelle, welche ausgebildet ist, über eine erste Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren, und das Kommunikationsgerät über die erste Kommunikationsverbindung unter Verwendung eines Authentifizierungsprotokolls zu authentifizieren, wobei der ersten Kommunikationsschnittstelle eine erste Kommunikationsreichweite zugeordnet ist. Die Zutrittskontrollvorrichtung umfasst ferner eine zweite Kommunikationsschnittstelle, welche ausgebildet ist, über eine zweite Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren, und eine Anwesenheit des Kommunikationsgerätes zu detektieren, wobei der zweiten Kommunikationsschnittstelle eine zweite Kommunikationsreichweite zugeordnet ist, wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist. Die Zutrittskontrollvorrichtung umfasst zudem einen Prozessor, welcher ausgebildet ist, den Zutritt zu dem Zutrittsbereich zu gewähren, falls das Kommunikationsgerät unter Verwendung des Authentifizierungsprotokolls authentifiziert ist und die Anwesenheit des Kommunikationsgerätes detektiert ist.
- Die erste Kommunikationsreichweite der ersten Kommunikationsschnittstelle kann beispielsweise 1 m, 2 m, 5 m, 10 m, 20 m, 50 m oder 100 m betragen. Die zweite Kommunikationsreichweite der zweiten Kommunikationsschnittstelle kann beispielsweise 1 cm, 2 cm, 5 cm, 10 cm, 20 cm oder 30 cm betragen.
- Die zweite Kommunikationsschnittstelle kann beispielsweise die Anwesenheit des Kommunikationsgerätes innerhalb eines Bereiches detektieren, welcher durch die zweite Kommunikationsreichweite bestimmt ist. Der Bereich kann beispielsweise ein Umfeld der zweiten Kommunikationsschnittstelle sein, dessen Radius der zweiten Kommunikationsreichweite entspricht.
- Gemäß einer Ausführungsform ist der Prozessor ausgebildet, den Zutritt zu dem Zutrittsbereich zu verweigern, falls das Kommunikationsgerät nicht authentifiziert ist oder die Anwesenheit des Kommunikationsgerätes nicht detektiert ist. Dadurch wird der Vorteil erreicht, dass ein Zutritt zu dem Zutrittsbereich nur dann gewährt wird, falls zugleich das Kommunikationsgerät authentifiziert ist und die Anwesenheit des Kommunikationsgerätes detektiert ist. Falls sich das Kommunikationsgerät beispielsweise nicht mehr innerhalb der zweiten Kommunikationsreichweite um die zweite Kommunikationsschnittstelle befindet, kann der Zutritt zu dem Zutrittsbereich verweigert werden.
- Gemäß einer Ausführungsform ist das Authentifizierungsprotokoll ein asymmetrisches Authentifizierungsprotokoll. Dadurch wird der Vorteil erreicht, dass die Schlüsselverwaltung bei einer Mehrzahl von eingesetzten Zutrittskontrollvorrichtungen und/oder Kommunikationsgeräten vereinfacht werden kann. Zugleich kann ein hohes Authentifizierungsniveau gewährleistet werden.
- Gemäß einer Ausführungsform ist der Zutrittskontrollvorrichtung ein erstes kryptographisches Zertifikat zugeordnet, wobei dem Kommunikationsgerät ein zweites kryptographisches Zertifikat zugeordnet ist, und wobei die erste Kommunikationsschnittstelle ausgebildet ist, das asymmetrische Authentifizierungsprotokoll unter Verwendung des ersten kryptographischen Zertifikats und des zweiten kryptographischen Zertifikats durchzuführen.
- Dadurch wird der Vorteil erreicht, dass das asymmetrische Authentifizierungsprotokoll effizient durchgeführt werden kann.
- Gemäß einer Ausführungsform umfasst das asymmetrische Authentifizierungsprotokoll ein Extended-Access-Control (EAC) Authentifizierungsprotokoll. Das EAC-Authentifizierungsprotokoll ist ein etabliertes und standardisiertes asymmetrisches Authentifizierungsprotokoll. Das Extended-Access-Control (EAC) Authentifizierungsprotokoll kann einen Protokollabschnitt zur Terminal Authentication (TA), einen Protokollabschnitt zur Passive Authentication (PA) und einen Protokollabschnitt zur Chip Authentication (CA) umfassen. Ferner kann im Rahmen des Extended-Access-Control (EAC) Authentifizierungsprotokolls ein Secure Messaging (SM) Kanal zwischen der Zutrittskontrollvorrichtung und dem Kommunikationsgerät aufgebaut werden. Das Extended-Access-Control (EAC) Authentifizierungsprotokoll kann beispielsweise gemäß der technischen Richtlinie BSI TR-03110 implementiert sein.
- Gemäß der Erfindung ist die zweite Kommunikationsschnittstelle ausgebildet, das Kommunikationsgerät über die zweite Kommunikationsverbindung unter Verwendung eines weiteren Authentifizierungsprotokolls zu authentifizieren, wobei der Prozessor ausgebildet ist, den Zutritt zu dem Zutrittsbereich zu gewähren, falls das Kommunikationsgerät ferner unter Verwendung des weiteren Authentifizierungsprotokolls authentifiziert ist. Dadurch wird der Vorteil erreicht, dass das Authentifizierungsniveau des Kommunikationsgerätes gesteigert werden kann.
- Gemäß einer Ausführungsform ist das weitere Authentifizierungsprotokoll ein symmetrisches Authentifizierungsprotokoll. Dadurch wird der Vorteil erreicht, dass eine hohe Zeiteffizienz bei der Authentifizierung über die zweite Kommunikationsverbindung realisiert werden kann.
- Erfindungsgemäß ist dem Kommunikationsgerät ein kryptographisches Token zugeordnet, wobei die erste Kommunikationsschnittstelle ausgebildet ist, das kryptographische Token zu empfangen, und wobei die zweite Kommunikationsschnittstelle ausgebildet ist, das weitere Authentifizierungsprotokoll unter Verwendung des kryptographischen Tokens durchzuführen. Dadurch wird der Vorteil erreicht, dass eine initiale Authentifizierung unter Verwendung des Authentifizierungsprotokolls erfolgen kann, und auf dieser Basis eine weitergehende Authentifizierung unter Verwendung des weiteren Authentifizierungsprotokolls durchgeführt werden kann. Das kryptographische Token kann kryptographisch abgesichert übertragen werden.
- Das kryptographische Token kann beispielsweise durch das Kommunikationsgerät erzeugt oder in einem Speicher des Kommunikationsgerätes vorgespeichert sein. Das kryptographische Token kann beispielsweise durch das Kommunikationsgerät ausgesendet und über die erste Kommunikationsverbindung empfangen werden. Alternativ kann das kryptographische Token beispielsweise von einem Server abgerufen werden.
- Erfindungsgemäß ist das kryptographische Token ein kryptographischer Schlüssel. Dadurch wird der Vorteil erreicht, dass das kryptographische Token zur einmaligen Verwendung bei der Authentifizierung mittels des weiteren Authentifizierungsprotokolls eingesetzt werden kann.
- Gemäß einer Ausführungsform ist die erste Kommunikationsschnittstelle eine Bluetooth-Kommunikationsschnittstelle. Die Bluetooth-Kommunikationsschnittstelle kann beispielsweise gemäß dem Standard IEEE 802.15.1 implementiert sein. Dadurch wird der Vorteil erreicht, dass ein etablierter und standardisierter Kommunikationsstandard zur Kommunikation über die erste Kommunikationsschnittstelle verwendet werden kann.
- Gemäß einer Ausführungsform ist die zweite Kommunikationsschnittstelle eine NFC-Kommunikationsschnittstelle (NFC: Near-Field-Communication). Die NFC-Kommunikationsschnittstelle kann beispielsweise gemäß dem Standard NFC/ISO14443 implementiert sein. Dadurch wird der Vorteil erreicht, dass ein etablierter und standardisierter Kommunikationsstandard zur Kommunikation über die zweite Kommunikationsschnittstelle verwendet werden kann.
- Gemäß einem zweiten Aspekt betrifft die Erfindung ein Kommunikationsgerät zum Kommunizieren mit einer Zutrittskontrollvorrichtung gemäß Anspruch 6. Die Zutrittskontrollvorrichtung ist ausgebildet, einen Zutritt zu einem Zutrittsbereich zu kontrollieren. Das Kommunikationsgerät umfasst eine erste Kommunikationsschnittstelle, welche ausgebildet ist, über eine erste Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren, und über die erste Kommunikationsverbindung ein Authentifizierungsprotokoll durchzuführen, wobei der ersten Kommunikationsschnittstelle eine erste Kommunikationsreichweite zugeordnet ist. Das Kommunikationsgerät umfasst ferner eine zweite Kommunikationsschnittstelle, welche ausgebildet ist, über eine zweite Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren, und über die zweite Kommunikationsverbindung ein weiteres Authentifizierungsprotokoll durchzuführen, wobei der zweiten Kommunikationsschnittstelle eine zweite Kommunikationsreichweite zugeordnet ist, wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist.
- Die erste Kommunikationsreichweite der ersten Kommunikationsschnittstelle kann beispielsweise 1 m, 2 m, 5 m, 10 m, 20 m, 50 m oder 100 m betragen. Die zweite Kommunikationsreichweite der zweiten Kommunikationsschnittstelle kann beispielsweise 1 cm, 2 cm, 5 cm, 10 cm, 20 cm oder 30 cm betragen.
- Gemäß einer Ausführungsform ist das Authentifizierungsprotokoll ein asymmetrisches Authentifizierungsprotokoll, wobei das weitere Authentifizierungsprotokoll ein symmetrisches Authentifizierungsprotokoll ist. Dadurch wird der Vorteil erreicht, dass bei der Authentifizierung über die erste Kommunikationsschnittstelle die Schlüsselverwaltung bei einer Mehrzahl von eingesetzten Zutrittskontrollvorrichtungen und/oder Kommunikationsgeräten vereinfacht werden kann. Zudem kann bei der Authentifizierung über die zweite Kommunikationsschnittstelle eine hohe Zeiteffizienz realisiert werden.
- Gemäß einer Ausführungsform ist der Zutrittskontrollvorrichtung ein erstes kryptographisches Zertifikat zugeordnet, wobei dem Kommunikationsgerät ein zweites kryptographisches Zertifikat zugeordnet ist, und wobei die erste Kommunikationsschnittstelle ausgebildet ist, das asymmetrische Authentifizierungsprotokoll unter Verwendung des ersten kryptographischen Zertifikats und des zweiten kryptographischen Zertifikats durchzuführen. Dadurch wird der Vorteil erreicht, dass das asymmetrische Authentifizierungsprotokoll effizient durchgeführt werden kann.
- Gemäß einer Ausführungsform umfasst das asymmetrische Authentifizierungsprotokoll ein Extended-Access-Control (EAC) Authentifizierungsprotokoll. Das EAC-Authentifizierungsprotokoll ist ein etabliertes und standardisiertes asymmetrisches Authentifizierungsprotokoll. Das Extended-Access-Control (EAC) Authentifizierungsprotokoll kann einen Protokollabschnitt zur Terminal Authentication (TA), einen Protokollabschnitt zur Passive Authentication (PA) und einen Protokollabschnitt zur Chip Authentication (CA) umfassen. Ferner kann im Rahmen des Extended-Access-Control (EAC) Authentifizierungsprotokolls ein Secure Messaging (SM) Kanal zwischen der Zutrittskontrollvorrichtung und dem Kommunikationsgerät aufgebaut werden. Das Extended-Access-Control (EAC) Authentifizierungsprotokoll kann beispielsweise gemäß der technischen Richtlinie BSI TR-03110 implementiert sein.
- Erfindungsgemäß ist dem Kommunikationsgerät ein kryptographisches Token zugeordnet, wobei die zweite Kommunikationsschnittstelle ausgebildet ist, das weitere Authentifizierungsprotokoll unter Verwendung des kryptographischen Tokens durchzuführen. Dadurch wird der Vorteil erreicht, dass eine initiale Authentifizierung unter Verwendung des Authentifizierungsprotokolls erfolgen kann, und auf dieser Basis eine weitergehende Authentifizierung unter Verwendung des weiteren Authentifizierungsprotokolls durchgeführt werden kann.
- Gemäß einer Ausführungsform umfasst das Kommunikationsgerät einen Prozessor, welcher ausgebildet ist, das kryptographische Token zu erzeugen. Dadurch wird der Vorteil erreicht, dass das kryptographische Token, beispielsweise zur einmaligen Verwendung bei der Authentifizierung mittels des weiteren Authentifizierungsprotokolls, durch das Kommunikationsgerät bereitgestellt werden kann.
- Gemäß einer Ausführungsform umfasst das Kommunikationsgerät einen Speicher, in welchem das kryptographische Token vorgespeichert ist. Dadurch wird der Vorteil erreicht, dass das kryptographische Token durch das Kommunikationsgerät effizient bereitgestellt werden kann.
- Gemäß einer Ausführungsform ist die erste Kommunikationsschnittstelle ausgebildet, das kryptographische Token über die erste Kommunikationsverbindung auszusenden. Dadurch wird der Vorteil erreicht, dass das kryptographische Token durch die Zutrittskontrollvorrichtung zur Durchführung des weiteren Authentifizierungsprotokolls verwendet werden kann. Das kryptographische Token kann kryptographisch abgesichert übertragen werden.
- Erfindungsgemäß ist das kryptographische Token ein kryptographischer Schlüssel. Dadurch wird der Vorteil erreicht, dass das kryptographische Token zur einmaligen Verwendung bei der Authentifizierung mittels des weiteren Authentifizierungsprotokolls eingesetzt werden kann.
- Gemäß einer Ausführungsform ist die erste Kommunikationsschnittstelle eine Bluetooth-Kommunikationsschnittstelle. Die Bluetooth-Kommunikationsschnittstelle kann beispielsweise gemäß dem Standard IEEE 802.15.1 implementiert sein. Dadurch wird der Vorteil erreicht, dass ein etablierter und standardisierter Kommunikationsstandard zur Kommunikation über die erste Kommunikationsschnittstelle verwendet werden kann.
- Gemäß der Erfindung ist die zweite Kommunikationsschnittstelle eine NFC-Kommunikationsschnittstelle (NFC: Near-Field-Communication). Die NFC-Kommunikationsschnittstelle kann beispielsweise gemäß dem Standard NFC/ISO14443 implementiert sein. Dadurch wird der Vorteil erreicht, dass ein etablierter und standardisierter Kommunikationsstandard zur Kommunikation über die zweite Kommunikationsschnittstelle verwendet werden kann.
- Gemäß einer Ausführungsform ist das Kommunikationsgerät ein Smartphone oder eine Smartwatch. Das Smartphone oder die Smartwatch kann von einem Nutzer getragen werden. Dadurch wird der Vorteil erreicht, dass der Nutzer einfach mit der Zutrittskontrollvorrichtung interagieren kann.
- Gemäß einem dritten Aspekt betrifft die Erfindung eine Anordnung zum Kontrollieren eines Zutritts zu einem Zutrittsbereich. Die Anordnung umfasst eine Zutrittskontrollvorrichtung gemäß dem ersten Aspekt der Erfindung, und ein Kommunikationsgerät gemäß dem zweiten Aspekt der Erfindung.
- Gemäß einer Ausführungsform umfasst die Anordnung eine Zutrittstür, welche an dem Zutrittsbereich angeordnet ist, wobei die Zutrittskontrollvorrichtung ausgebildet ist, ansprechend auf das Gewähren des Zutritts zu dem Zutrittsbereich, die Zutrittstür zu entriegeln. Dadurch wird der Vorteil erreicht, dass der Zutritt zu dem Zutrittsbereich effizient kontrolliert werden kann.
- Gemäß einer Ausführungsform ist die Zutrittskontrollvorrichtung ausgebildet, ansprechend auf das Verweigern des Zutritts zu dem Zutrittsbereich, die Zutrittstür zu verriegeln. Dadurch wird der Vorteil erreicht, dass eine bereits entriegelte Zutrittstür wieder verriegelt werden kann, falls sich das Kommunikationsgerät beispielsweise nicht mehr innerhalb der zweiten Kommunikationsreichweite um die zweite Kommunikationsschnittstelle der Zutrittskontrollvorrichtung befindet.
- Gemäß einem vierten Aspekt betrifft die Erfindung ein Verfahren zum Kontrollieren eines Zutritts zu einem Zutrittsbereich unter Verwendung einer Zutrittskontrollvorrichtung und eines Kommunikationsgerätes gemäß Anspruch 10. Erfindungsgemäß ist dem Kommunikationsgerät ein kryptographisches Token zugeordnet, das ein kryptografischer Schlüssel ist. Die Zutrittskontrollvorrichtung umfasst eine erste Kommunikationsschnittstelle, eine zweite Kommunikationsschnittstelle und einen Prozessor, wobei die erste Kommunikationsschnittstelle ausgebildet ist, über eine erste Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren, wobei die zweite Kommunikationsschnittstelle ausgebildet ist, über eine zweite Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren. Der ersten Kommunikationsschnittstelle ist eine erste Kommunikationsreichweite zugeordnet, wobei der zweiten Kommunikationsschnittstelle eine zweite Kommunikationsreichweite zugeordnet ist, und wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist. Das Verfahren umfasst ein Authentifizieren des Kommunikationsgeräts über die erste Kommunikationsverbindung unter Verwendung eines Authentifizierungsprotokolls durch die erste Kommunikationsschnittstelle, ein Detektieren einer Anwesenheit des Kommunikationsgerätes durch die zweite Kommunikationsschnittstelle, und ein Gewähren des Zutritts zu dem Zutrittsbereich durch den Prozessor, falls das Kommunikationsgerät unter Verwendung des Authentifizierungsprotokolls authentifiziert ist und die Anwesenheit des Kommunikationsgerätes detektiert ist.
- Das Verfahren kann durch die Zutrittskontrollvorrichtung ausgeführt werden. Weitere Merkmale des Verfahrens resultieren unmittelbar aus den Merkmalen oder der Funktionalität der Zutrittskontrollvorrichtung.
- Gemäß einem fünften Aspekt betrifft die Erfindung ein Verfahren zum Kommunizieren mit einer Zutrittskontrollvorrichtung unter Verwendung eines Kommunikationsgeräts gemäß Anspruch 11. Erfindungsgemäß ist dem Kommunikationsgerät ein kryptographisches Token zugeordnet, das ein kryptografischer Schlüssel ist. Die Zutrittskontrollvorrichtung ist ausgebildet, einen Zutritt zu einem Zutrittsbereich zu kontrollieren. Das Kommunikationsgerät umfasst eine erste Kommunikationsschnittstelle und eine zweite Kommunikationsschnittstelle, wobei die erste Kommunikationsschnittstelle ausgebildet ist, über eine erste Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren, wobei die zweite Kommunikationsschnittstelle ausgebildet ist, über eine zweite Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren. Der ersten Kommunikationsschnittstelle ist eine erste Kommunikationsreichweite zugeordnet, wobei der zweiten Kommunikationsschnittstelle eine zweite Kommunikationsreichweite zugeordnet ist, und wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist. Das Verfahren umfasst ein Durchführen eines Authentifizierungsprotokolls über die erste Kommunikationsverbindung durch die erste Kommunikationsschnittstelle, und ein Durchführen eines weiteren Authentifizierungsprotokolls über die zweite Kommunikationsverbindung durch die zweite Kommunikationsschnittstelle.
- Das Verfahren kann durch das Kommunikationsgerät ausgeführt werden. Weitere Merkmale des Verfahrens resultieren unmittelbar aus den Merkmalen oder der Funktionalität des Kommunikationsgerätes.
- Gemäß einem sechsten Aspekt betrifft die Erfindung ein Computerprogramm mit einem Programmcode zum Ausführen des Verfahrens gemäß dem vierten Aspekt der Erfindung oder des Verfahrens gemäß dem fünften Aspekt der Erfindung. Die Zutrittskontrollvorrichtung und das Kommunikationsgerät können jeweils programmtechnisch eingerichtet sein, um den Programmcode oder Teile des Programmcodes auszuführen. Das Computerprogramm kann beispielsweise Teil einer Firmware der Zutrittskontrollvorrichtung oder Teil einer Applikation des Kommunikationsgerätes sein.
- Die Erfindung kann in Hardware und/oder Software realisiert werden.
- Weitere Ausführungsbeispiele werden Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert. Es zeigen:
-
Fig. 1 ein schematisches Diagramm einer Zutrittskontrollvorrichtung zum Kontrollieren eines Zutritts zu einem Zutrittsbereich unter Verwendung eines Kommunikationsgerätes; -
Fig. 2 ein schematisches Diagramm eines Kommunikationsgeräts zum Kommunizieren mit einer Zutrittskontrollvorrichtung; -
Fig. 3 ein schematisches Diagramm einer Anordnung zum Kontrollieren eines Zutritts zu einem Zutrittsbereich; -
Fig. 4 ein schematisches Diagramm eines Verfahrens zum Kontrollieren eines Zutritts zu einem Zutrittsbereich unter Verwendung einer Zutrittskontrollvorrichtung und eines Kommunikationsgerätes; -
Fig. 5 ein schematisches Diagramm eines Verfahrens zum Kommunizieren mit einer Zutrittskontrollvorrichtung unter Verwendung eines Kommunikationsgeräts; und -
Fig. 6 ein schematisches Diagramm einer Anordnung zum Kontrollieren eines Zutritts zu einem Zutrittsbereich. -
Fig. 1 zeigt ein schematisches Diagramm einer Zutrittskontrollvorrichtung 100 zum Kontrollieren eines Zutritts zu einem Zutrittsbereich unter Verwendung eines Kommunikationsgerätes. - Die Zutrittskontrollvorrichtung 100 umfasst eine erste Kommunikationsschnittstelle 101, welche ausgebildet ist, über eine erste Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren, und das Kommunikationsgerät über die erste Kommunikationsverbindung unter Verwendung eines Authentifizierungsprotokolls zu authentifizieren, wobei der ersten Kommunikationsschnittstelle 101 eine erste Kommunikationsreichweite zugeordnet ist. Die Zutrittskontrollvorrichtung 100 umfasst ferner eine zweite Kommunikationsschnittstelle 103, welche ausgebildet ist, über eine zweite Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren, und eine Anwesenheit des Kommunikationsgerätes zu detektieren, wobei der zweiten Kommunikationsschnittstelle 103 eine zweite Kommunikationsreichweite zugeordnet ist, wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist. Die Zutrittskontrollvorrichtung 100 umfasst zudem einen Prozessor 105, welcher ausgebildet ist, den Zutritt zu dem Zutrittsbereich zu gewähren, falls das Kommunikationsgerät unter Verwendung des Authentifizierungsprotokolls authentifiziert ist und die Anwesenheit des Kommunikationsgerätes detektiert ist.
-
Fig. 2 zeigt ein schematisches Diagramm eines Kommunikationsgeräts 200 zum Kommunizieren mit einer Zutrittskontrollvorrichtung. Die Zutrittskontrollvorrichtung ist ausgebildet, einen Zutritt zu einem Zutrittsbereich zu kontrollieren. - Das Kommunikationsgerät 200 umfasst eine erste Kommunikationsschnittstelle 201, welche ausgebildet ist, über eine erste Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren, und über die erste Kommunikationsverbindung ein Authentifizierungsprotokoll durchzuführen, wobei der ersten Kommunikationsschnittstelle 201 eine erste Kommunikationsreichweite zugeordnet ist. Das Kommunikationsgerät 200 umfasst ferner eine zweite Kommunikationsschnittstelle 203, welche ausgebildet ist, über eine zweite Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren, und über die zweite Kommunikationsverbindung ein weiteres Authentifizierungsprotokoll durchzuführen, wobei der zweiten Kommunikationsschnittstelle 203 eine zweite Kommunikationsreichweite zugeordnet ist, wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist.
-
Fig. 3 zeigt ein schematisches Diagramm einer Anordnung 300 zum Kontrollieren eines Zutritts zu einem Zutrittsbereich. Die Anordnung 300 umfasst eine Zutrittskontrollvorrichtung 100 und ein Kommunikationsgerät 200. Die Zutrittskontrollvorrichtung 100 umfasst eine erste Kommunikationsschnittstelle 101, eine zweite Kommunikationsschnittstelle 103 und einen Prozessor 105. Das Kommunikationsgerät 200 umfasst eine erste Kommunikationsschnittstelle 201 und eine zweite Kommunikationsschnittstelle 203. - Die Zutrittskontrollvorrichtung 100 kommuniziert mit dem Kommunikationsgerät 200 über eine erste Kommunikationsverbindung zwischen den ersten Kommunikationsschnittstellen 101 und 201. Die Zutrittskontrollvorrichtung 100 kommuniziert mit dem Kommunikationsgerät 200 über eine zweite Kommunikationsverbindung zwischen den zweiten Kommunikationsschnittstellen 103 und 203. Die ersten Kommunikationsschnittstellen 101 und 201 können beispielsweise Bluetooth-Kommunikationsschnittstellen sein. Die zweiten Kommunikationsschnittstellen 103 und 203 sind NFC-Kommunikationsschnittstellen.
- Die Zutrittskontrollvorrichtung 100, welche als Türcontroller für eine Zutrittstür eingesetzt werden kann, und das Kommunikationsgerät 200 verwenden folglich zwei verschiedene Kommunikationsverbindungen als Übertragungskanäle, beispielsweise unter Verwendung von Bluetooth und NFC.
- Über die erste Kommunikationsverbindung kann eine initiale Koppelung, Schlüsselaushandlung und/oder Tokenausstellung zur Authentifizierung des Kommunikationsgerätes 200 erfolgen. Die Authentifizierung kann folglich unter Verwendung eines asymmetrischen Authentifizierungsprotokolls durchgeführt werden, wobei eine PKIbasierter Ansatz (PKI: Public-Key-Infrastruktur) möglich ist. Das asymmetrische Authentifizierungsprotokoll kann unter Verwendung eines ersten kryptographischen Zertifikats und eines zweiten kryptographischen Zertifikats durchgeführt werden, wobei der Zutrittskontrollvorrichtung 100 das erste kryptographische Zertifikat zugeordnet ist, und wobei dem Kommunikationsgerät 200 das zweite kryptographische Zertifikat zugeordnet ist. Die Authentifizierung des Kommunikationsgerätes 200 kann bereits vorab über größere Entfernungen zwischen der Zutrittskontrollvorrichtung 100 und dem Kommunikationsgerät 200 erfolgen.
- Über die zweite Kommunikationsverbindung, welche lediglich über eine sehr geringe Kommunikationsreichweite aufgebaut sein kann, nämlich unter Verwendung von NFC, kann die physikalische Nähe des Kommunikationsgerätes 200 zur Zutrittskontrollvorrichtung 100 gewährleistet werden, bevor eine Gewährung eines Zutritts zu einem Zutrittsbereich erfolgt. Dabei kann ein zuvor aufgebauter Secure-Messaging-Kanal genutzt werden. Ferner kann ein kryptographisches Token des Kommunikationsgerätes 200 übermittelt werden.
- Das Konzept vereint die Vorteile bei der Verwendung einer Mehrzahl von unterschiedlichen Kommunikationsverbindungen, beispielsweise unter Verwendung von Bluetooth und NFC. Mittels einer ersten Kommunikationsverbindung, beispielsweise unter Verwendung von Bluetooth, kann ein aufwändiges, kryptografisches asymmetrisches Authentifizierungsprotokoll eingesetzt werden, welches beispielsweise Vorteile hinsichtlich der Schlüsselverwaltung bietet. Dies reduziert beispielsweise eine Wartezeit eines Nutzers an der Zutrittstür. Mittels der zweiten Kommunikationsverbindung, beispielsweise unter Verwendung von NFC, wird die physikalische Nähe, beispielsweise etwa 10 cm, berücksichtigt.
- Dabei werden typischerweise keine komplexen asymmetrischen Operationen über die zweite Kommunikationsverbindung durchgeführt, sondern lediglich einfache, ressourcenarme Operationen, wie beispielsweise die Übermittlung eines kryptographischen Tokens. Insbesondere kann für die Kommunikation über die zweiten Kommunikationsschnittstellen 103 und 203 ein symmetrisches Authentifizierungsverfahren verwendet werden, für welches das kryptographische Token bzw. der kryptographische Schlüssel zuvor mittels des asymmetrischen Authentifizierungsprotokolls unter Verwendung der ersten Kommunikationsschnittstellen 101 und 201 ausgetauscht bzw. vereinbart wurde. Das asymmetrische Authentifizierungsprotokoll kann beispielsweise einmal innerhalb eines längeren Zeitraums (Wochen, Monate) durchgeführt werden, und das symmetrische Authentifizierungsprotokoll bei jedem tatsächlichen Zutrittsversuch zu einem Zutrittsbereich.
- Durch das asymmetrische Authentifizierungsprotokoll können auch weitere symmetrische Schlüssel für eine weitere Kommunikation über die ersten Kommunikationsschnittstellen 101 und 201 vereinbart werden, bis die symmetrischen Schlüssel beispielsweise ablaufen und die Kopplung über ein asymmetrisches Authentifizierungsverfahren wiederholt wird. Die Kopplung kann beispielsweise unbemerkt durchgeführt werden, wenn das Kommunikationsgerät 200 in Reichweite der ersten Kommunikationsschnittstelle 101 kommt. Anschließend können die symmetrischen Schlüssel verwendet werden.
- Über die zweiten Kommunikationsschnittstellen 103 und 203 kann folglich auch eine kryptographische Authentisierung erfolgen. Beispielsweise kann über die ersten Kommunikationsschnittstellen 101 und 201 ein asymmetrisches Authentifizierungsprotokoll durchgeführt und anschließend über die eingerichtete geschützte erste Kommunikationsverbindung ein kryptographisches Token in Form eines Einmalpassworts übermittelt werden. Über die zweiten Kommunikationsschnittstellen 103 und 203 kann schließlich wiederum eine kryptographisch abgesicherte zweite Kommunikationsverbindung aufgebaut werden, beispielsweise unter Verwendung des zuvor vereinbarte kryptographischen Tokens bzw. symmetrischen Schlüssels. Das kryptographische Token kann ferner zum Gewähren des Zutritts übermittelt werden.
- Ferner kann eine Kommunikation derart erfolgen, dass die physikalische Schicht (engl. Physical Layer) im OSI-Schichten-Modell von einer Kommunikation mit hoher Kommunikationsreichweite auf eine Kommunikation mit geringer Kommunikationsreichweite umgeschaltet wird, und die darüber liegenden Schichten jedoch unverändert bleiben.
- Folglich wird für die Zutrittskontrolle mit der Zutrittskontrollvorrichtung 100 und dem Kommunikationsgerät 200 die erste Kommunikationsverbindung für die kryptografische Authentifizierung und/oder Schlüsselaushandlung verwendet, welche eine hohe Kommunikationsreichweite aufweisen kann, und die zweite Kommunikationsverbindung für die Gewährleistung der physikalischen Nähe, welche eine kurze Kommunikationsreichweite aufweisen kann. Mithin kann ein Zutritt zu dem Zutrittsbereich unter Verwendung des Kommunikationsgerätes 200 gewährt werden, falls das Kommunikationsgerät 200 nahe an die Zutrittskontrollvorrichtung 100 bzw. die zweite Kommunikationsschnittstelle 103 gehalten wird und die Authentifizierung des Kommunikationsgerätes 200 erfolgreich ist.
-
Fig. 4 zeigt ein schematisches Diagramm eines Verfahrens 400 zum Kontrollieren eines Zutritts zu einem Zutrittsbereich unter Verwendung einer Zutrittskontrollvorrichtung und eines Kommunikationsgerätes. Die Zutrittskontrollvorrichtung umfasst eine erste Kommunikationsschnittstelle, eine zweite Kommunikationsschnittstelle und einen Prozessor, wobei die erste Kommunikationsschnittstelle ausgebildet ist, über eine erste Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren, wobei die zweite Kommunikationsschnittstelle ausgebildet ist, über eine zweite Kommunikationsverbindung mit dem Kommunikationsgerät zu kommunizieren. Der ersten Kommunikationsschnittstelle ist eine erste Kommunikationsreichweite zugeordnet, wobei der zweiten Kommunikationsschnittstelle eine zweite Kommunikationsreichweite zugeordnet ist, und wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist. - Das Verfahren 400 umfasst ein Authentifizieren 401 des Kommunikationsgeräts über die erste Kommunikationsverbindung unter Verwendung eines Authentifizierungsprotokolls durch die erste Kommunikationsschnittstelle, ein Detektieren 403 einer Anwesenheit des Kommunikationsgerätes durch die zweite Kommunikationsschnittstelle, und ein Gewähren 405 des Zutritts zu dem Zutrittsbereich durch den Prozessor, falls das Kommunikationsgerät unter Verwendung des Authentifizierungsprotokolls authentifiziert ist und die Anwesenheit des Kommunikationsgerätes detektiert ist.
-
Fig. 5 zeigt ein schematisches Diagramm eines Verfahrens 500 zum Kommunizieren mit einer Zutrittskontrollvorrichtung unter Verwendung eines Kommunikationsgeräts. Die Zutrittskontrollvorrichtung ist ausgebildet, einen Zutritt zu einem Zutrittsbereich zu kontrollieren. Das Kommunikationsgerät umfasst eine erste Kommunikationsschnittstelle und eine zweite Kommunikationsschnittstelle, wobei die erste Kommunikationsschnittstelle ausgebildet ist, über eine erste Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren, wobei die zweite Kommunikationsschnittstelle ausgebildet ist, über eine zweite Kommunikationsverbindung mit der Zutrittskontrollvorrichtung zu kommunizieren. Der ersten Kommunikationsschnittstelle ist eine erste Kommunikationsreichweite zugeordnet, wobei der zweiten Kommunikationsschnittstelle eine zweite Kommunikationsreichweite zugeordnet ist, und wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist. - Das Verfahren 500 umfasst ein Durchführen 501 eines Authentifizierungsprotokolls über die erste Kommunikationsverbindung durch die erste Kommunikationsschnittstelle, und ein Durchführen 503 eines weiteren Authentifizierungsprotokolls über die zweite Kommunikationsverbindung durch die zweite Kommunikationsschnittstelle.
-
Fig. 6 zeigt ein schematisches Diagramm einer Anordnung 300 zum Kontrollieren eines Zutritts zu einem Zutrittsbereich 601. Die Anordnung 300 umfasst eine Zutrittskontrollvorrichtung 100, ein Kommunikationsgerät 200, und eine Zutrittstür 603, welche an dem Zutrittsbereich 601 angeordnet ist. Die Zutrittskontrollvorrichtung 100 ist ausgebildet, ansprechend auf das Gewähren des Zutritts zu dem Zutrittsbereich 601, die Zutrittstür 603 zu entriegeln. Einem Nutzer, welcher das Kommunikationsgerät 200 mit sich führt, kann der Zutritt zu dem Zutrittsbereich 601 durch die Zutrittskontrollvorrichtung 100 gewährt oder verweigert werden. Das Kommunikationsgerät 200 kann beispielsweise ein Smartphone sein, welches der Nutzer mit sich führt, oder eine Smartwatch, welche der Nutzer an einem Arm trägt. - Die Anordnung 300 kann ferner weitere Zutrittskontrollvorrichtungen umfassen, welche jeweils einen Zutritt zu weiteren Zutrittsbereichen kontrollieren, wobei weitere Zutrittstüren an den weiteren Zutrittsbereichen angeordnet sind. Es können folglich mehrere Zutrittstüren in der Reichweite der ersten Kommunikationsschnittstelle des Kommunikationsgerätes 200 liegen. Dabei kann eine initiale Authentifizierung unter Verwendung der ersten Kommunikationsschnittstellen des Kommunikationsgerätes 200 und der jeweiligen Zutrittskontrollvorrichtung durchgeführt werden. Das Gewähren eines Zutritts zu einem bestimmten Zutrittsbereich kann beispielsweise erst dann erfolgen, wenn der Nutzer dies will und der Nutzer das Kommunikationsgerät 200 vor die zweite Kommunikationsschnittstelle der betreffenden Zutrittskontrollvorrichtung hält. Eine Kommunikation mittels der ersten Kommunikationsschnittstellen mit hoher Kommunikationsreichweite kann also bereits beginnen, wenn ein Nutzer noch relativ weit von der Zutrittskontrollvorrichtung 100 entfernt ist, wodurch Zeit für das Gewähren des Zutritts zu dem Zutrittsbereich 601 verkürzt wird.
- Die Authentifizierung kann in regelmäßigen zeitlichen Abständen und unbemerkt wiederholt werden. Bei einer möglichen Anordnung 300, beispielsweise einem Flur eines Büros mit vielen Zutrittstüren, bewegt sich der Nutzer durch bestimmte Zutrittstüren häufiger als durch andere Zutrittstüren. Der Nutzer befindet sich jedoch häufig in der Reichweite aller Zutrittstüren. Über die ersten Kommunikationsschnittstellen des Kommunikationsgerätes 200 und der jeweiligen Zutrittskontrollvorrichtungen können kryptographische Token ausgetauscht bzw. vereinbart werden, die über die zweiten Kommunikationsschnittstellen des Kommunikationsgerätes 200 und der jeweiligen Zutrittskontrollvorrichtungen verwendet werden können, wenn der Nutzer tatsächlich durch eine bestimmte Zutrittstür gehen möchte. Die vereinbarten kryptographischen Token können aber auch nach einer, gegebenenfalls für die Sicherheitsstufe der Zutrittstür individuellen Zeitspanne, verfallen.
- Alle in Verbindung mit einzelnen Ausführungsformen beschriebenen oder gezeigten Merkmale können in beliebiger Kombination in dem erfindungsgemäßen Gegenstand vorgesehen sein, um gleichzeitig deren vorteilhafte Wirkungen zu realisieren.
-
- 100
- Zutrittskontrollvorrichtung
- 101
- Erste Kommunikationsschnittstelle
- 103
- Zweite Kommunikationsschnittstelle
- 105
- Prozessor
- 200
- Kommunikationsgerät
- 201
- Erste Kommunikationsschnittstelle
- 203
- Zweite Kommunikationsschnittstelle
- 300
- Anordnung
- 400
- Verfahren zum Kontrollieren eines Zutritts zu einem Zutrittsbereich
- 401
- Authentifizieren des Kommunikationsgeräts
- 403
- Detektieren einer Anwesenheit des Kommunikationsgerätes
- 405
- Gewähren des Zutritts zu dem Zutrittsbereich
- 500
- Verfahren zum Kommunizieren mit einer Zutrittskontrollvorrichtung
- 501
- Durchführen eines Authentifizierungsprotokolls
- 503
- Durchführen eines weiteren Authentifizierungsprotokolls
- 601
- Zutrittsbereich
- 603
- Zutrittstür
Claims (12)
- Zutrittskontrollvorrichtung (100) zum Kontrollieren eines Zutritts zu einem Zutrittsbereich (601) unter Verwendung eines Kommunikationsgerätes (200), wobei dem Kommunikationsgerät (200) ein kryptographisches Token zugeordnet ist, mit:einer ersten Kommunikationsschnittstelle (101), welche ausgebildet ist, über eine erste Kommunikationsverbindung mit dem Kommunikationsgerät (200) zu kommunizieren, und das Kommunikationsgerät (200) über die erste Kommunikationsverbindung unter Verwendung eines Authentifizierungsprotokolls zu authentifizieren, wobei der ersten Kommunikationsschnittstelle (101) eine erste Kommunikationsreichweite zugeordnet ist;einer zweiten Kommunikationsschnittstelle (103), welche ausgebildet ist, über eine zweite Kommunikationsverbindung mit dem Kommunikationsgerät (200) zu kommunizieren, und eine Anwesenheit des Kommunikationsgerätes (200) zu detektieren, wobei der zweiten Kommunikationsschnittstelle (103) eine zweite Kommunikationsreichweite zugeordnet ist, wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist, wobei die zweite Kommunikationsschnittstelle (103) eine NFC-Kommunikationsschnittstelle ist; undeinem Prozessor (105), welcher ausgebildet ist, den Zutritt zu dem Zutrittsbereich (601) zu gewähren, falls das Kommunikationsgerät (200) unter Verwendung des Authentifizierungsprotokolls authentifiziert ist und die Anwesenheit des Kommunikationsgerätes (200) detektiert ist, dadurch gekennzeichnet, dass die zweite Kommunikationsschnittstelle (103) ausgebildet ist, das Kommunikationsgerät (200) über die zweite Kommunikationsverbindung unter Verwendung eines weiteren Authentifizierungsprotokolls zu authentifizieren, wobei der Prozessor (105) ausgebildet ist, den Zutritt zu dem Zutrittsbereich (601) zu gewähren, falls das Kommunikationsgerät (200) ferner unter Verwendung des weiteren Authentifizierungsprotokolls authentifiziert ist, wobei die erste Kommunikationsschnittstelle (101) ausgebildet ist, das kryptographische Token zu empfangen, und wobei die zweite Kommunikationsschnittstelle (103) ausgebildet ist, das weitere Authentifizierungsprotokoll unter Verwendung des kryptographischen Tokens durchzuführen,wobei das kryptographische Token ein kryptographischer Schlüssel ist.
- Zutrittskontrollvorrichtung (100) nach Anspruch 1, wobei der Prozessor (105) ausgebildet ist, den Zutritt zu dem Zutrittsbereich (601) zu verweigern, falls das Kommunikationsgerät (200) nicht authentifiziert ist oder die Anwesenheit des Kommunikationsgerätes (200) nicht detektiert ist.
- Zutrittskontrollvorrichtung (100) nach einem der vorstehenden Ansprüche, wobei das Authentifizierungsprotokoll ein asymmetrisches Authentifizierungsprotokoll ist.
- Zutrittskontrollvorrichtung (100) nach einem der vorstehenden Ansprüche, wobei das weitere Authentifizierungsprotokoll ein symmetrisches Authentifizierungsprotokoll ist.
- Zutrittskontrollvorrichtung (100) nach einem der vorstehenden Ansprüche, wobei die erste Kommunikationsschnittstelle (101) eine Bluetooth-Kommunikationsschnittstelle ist.
- Kommunikationsgerät (200) zum Kommunizieren mit einer Zutrittskontrollvorrichtung (100), wobei die Zutrittskontrollvorrichtung (100) ausgebildet ist, einen Zutritt zu einem Zutrittsbereich (601) zu kontrollieren, wobei dem Kommunikationsgerät (200) ein kryptographisches Token zugeordnet ist, wobei das kryptographische Token ein kryptographischer Schlüssel ist, mit:einer ersten Kommunikationsschnittstelle (201), welche ausgebildet ist, über eine erste Kommunikationsverbindung mit der Zutrittskontrollvorrichtung (100) zu kommunizieren, und über die erste Kommunikationsverbindung ein Authentifizierungsprotokoll durchzuführen, wobei der ersten Kommunikationsschnittstelle (201) eine erste Kommunikationsreichweite zugeordnet ist; undeiner zweiten Kommunikationsschnittstelle (203), welche ausgebildet ist, über eine zweite Kommunikationsverbindung mit der Zutrittskontrollvorrichtung (100) zu kommunizieren, wobei der zweiten Kommunikationsschnittstelle (203) eine zweite Kommunikationsreichweite zugeordnet ist, wobei die zweite Kommunikationsreichweite kleiner als die erste Kommunikationsreichweite ist, wobei die zweite Kommunikationsschnittstelle (203) eine NFC-Kommunikationsschnittstelle ist, dadurch gekennzeichnet, dassdie erste Kommunikationsschnittstelle (201) ausgebildet ist, das kryptographische Token über die erste Kommunikationsverbindung auszusenden,wobei die zweite Kommunikationsschnittstelle (203) ausgebildet ist, über die zweite Kommunikationsverbindung ein weiteres Authentifizierungsprotokoll durchzuführen, wobei die zweite Kommunikationsschnittstelle (203) ausgebildet ist, das weitere Authentifizierungsprotokoll unter Verwendung des kryptographischen Tokens durchzuführen.
- Kommunikationsgerät (200) nach Anspruch 6, wobei das Authentifizierungsprotokoll ein asymmetrisches Authentifizierungsprotokoll ist, und wobei das weitere Authentifizierungsprotokoll ein symmetrisches Authentifizierungsprotokoll ist.
- Anordnung (300) zum Kontrollieren eines Zutritts zu einem Zutrittsbereich (601), mit:einer Zutrittskontrollvorrichtung (100) nach einem der Ansprüche 1 bis 5; undeinem Kommunikationsgerät (200) nach einem der Ansprüche 6 oder 7.
- Anordnung (300) nach Anspruch 8, mit:einer Zutrittstür (603), welche an dem Zutrittsbereich (601) angeordnet ist;wobei die Zutrittskontrollvorrichtung (100) ausgebildet ist, ansprechend auf das Gewähren des Zutritts zu dem Zutrittsbereich (601), die Zutrittstür (603) zu entriegeln.
- Verfahren (400) zum Kontrollieren eines Zutritts zu einem Zutrittsbereich (601) unter Verwendung einer Zutrittskontrollvorrichtung (100) nach einem der Ansprüche 1 bis 5 und eines Kommunikationsgerätes (200) nach einem der Ansprüche 6 oder 7, wobei dem Kommunikationsgerät (200) ein kryptographisches Token zugeordnet ist, wobei das kryptographische Token ein kryptographischer Schlüssel ist, wobei das Verfahren (400) durch die Zutrittskontrollvorrichtung (100) ausgeführt wird, mit:Authentifizieren (401) des Kommunikationsgeräts (200) über die erste Kommunikationsverbindung unter Verwendung eines Authentifizierungsprotokolls durch die erste Kommunikationsschnittstelle (101);Detektieren (403) einer Anwesenheit des Kommunikationsgerätes (200) durch die zweite Kommunikationsschnittstelle (103); undGewähren (405) des Zutritts zu dem Zutrittsbereich (601) durch den Prozessor (105), falls das Kommunikationsgerät (200) unter Verwendung des Authentifizierungsprotokolls authentifiziert ist und die Anwesenheit des Kommunikationsgerätes (200) detektiert ist,dadurch gekennzeichnet, dass die zweite Kommunikationsschnittstelle (103) das Kommunikationsgerät (200) über die zweite Kommunikationsverbindung unter Verwendung des weiteren Authentifizierungsprotokolls authentifiziert, wobei der Prozessor (105) den Zutritt zu dem Zutrittsbereich (601) gewährt, falls das Kommunikationsgerät (200) ferner unter Verwendung des weiteren Authentifizierungsprotokolls authentifiziert ist, wobei die erste Kommunikationsschnittstelle (101) das kryptographische Token empfängt und wobei die zweite Kommunikationsschnittstelle (103) das weitere Authentifizierungsprotokoll unter Verwendung des kryptographischen Tokens durchführt.
- Verfahren (500) zum Kommunizieren mit einer Zutrittskontrollvorrichtung (100) nach einem der Ansprüche 1 bis 5 unter Verwendung eines Kommunikationsgeräts (200) nach einem der Ansprüche 6 oder 7, wobei dem Kommunikationsgerät (200) ein kryptographisches Token zugeordnet ist, das ein kryptographischer Schlüssel ist, wobei die Zutrittskontrollvorrichtung (100) ausgebildet ist, einen Zutritt zu einem Zutrittsbereich (601) zu kontrollieren, wobei das Verfahren (500) durch das Kommunikationsgerät (200) ausgeführt wird, mit:Durchführen (501) eines Authentifizierungsprotokolls über die erste Kommunikationsverbindung durch die erste Kommunikationsschnittstelle (201);gekennzeichnet durch einAussenden des kryptographische Tokens über die erste Kommunikationsverbindung durch die erste Kommunikationsschnittstelle (201) und einDurchführen (503) eines weiteren Authentifizierungsprotokolls über die zweite Kommunikationsverbindung durch die zweite Kommunikationsschnittstelle (203), wobei die zweite Kommunikationsschnittstelle (203) das weitere Authentifizierungsprotokoll unter Verwendung des kryptographischen Tokens durchführt.
- Computerprogramm mit einem Programmcode zum Ausführen des Verfahrens (400) nach Anspruch 10 oder des Verfahrens (500) nach Anspruch 11.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102017111475.0A DE102017111475A1 (de) | 2017-05-24 | 2017-05-24 | Zutrittskontrollvorrichtung zum Kontrollieren eines Zutritts zu einem Zutrittsbereich |
Publications (2)
Publication Number | Publication Date |
---|---|
EP3407309A1 EP3407309A1 (de) | 2018-11-28 |
EP3407309B1 true EP3407309B1 (de) | 2023-06-21 |
Family
ID=62165420
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
EP18172055.8A Active EP3407309B1 (de) | 2017-05-24 | 2018-05-14 | Zutrittskontrollvorrichtung zum kontrollieren eines zutritts zu einem zutrittsbereich |
Country Status (2)
Country | Link |
---|---|
EP (1) | EP3407309B1 (de) |
DE (1) | DE102017111475A1 (de) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20200104043A (ko) * | 2019-02-26 | 2020-09-03 | 삼성전자주식회사 | 사용자 식별 정보를 저장하기 위한 전자 장치 및 그에 관한 방법 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102013216099A1 (de) * | 2012-08-21 | 2014-02-27 | GM Global Technology Operations, LLC (n.d. Ges. d. Staates Delaware) | System für ein passives einsteigen und einen passiven start unter verwendung einer nahfeldkommunikation |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2469478A1 (de) * | 2010-12-21 | 2012-06-27 | 9Solutions Oy | Zugangssteuerung in einem Ortverfolgungssystem |
FR2981823B1 (fr) * | 2011-10-25 | 2013-12-27 | Continental Automotive France | Procede d'authentification d'un dispositif d'identification vis-a-vis d'un dispositif actionneur, et vehicule automobile comportant un tel dispositif actionneur |
EP2885769B1 (de) * | 2012-08-16 | 2019-10-02 | Schlage Lock Company LLC | Drahtloses lesersystem |
WO2014124405A2 (en) * | 2013-02-08 | 2014-08-14 | Schlage Lock Company Llc | Control system and method |
DE102014020142B4 (de) * | 2013-12-05 | 2024-05-02 | Deutsche Post Ag | Zugangsberechtigung mit Zeitfenster |
CH709804B1 (de) * | 2014-06-23 | 2018-12-28 | Legic Identsystems Ag | Elektronische Zugangskontrollvorrichtung und Zugangskontrollverfahren. |
-
2017
- 2017-05-24 DE DE102017111475.0A patent/DE102017111475A1/de not_active Withdrawn
-
2018
- 2018-05-14 EP EP18172055.8A patent/EP3407309B1/de active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102013216099A1 (de) * | 2012-08-21 | 2014-02-27 | GM Global Technology Operations, LLC (n.d. Ges. d. Staates Delaware) | System für ein passives einsteigen und einen passiven start unter verwendung einer nahfeldkommunikation |
Also Published As
Publication number | Publication date |
---|---|
EP3407309A1 (de) | 2018-11-28 |
DE102017111475A1 (de) | 2018-11-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2777309B1 (de) | Verfahren und system zur freigabe einer technischen vorrichtung | |
DE102012214018B3 (de) | Autorisierung eines Nutzers durch ein tragbares Kommunikationsgerät | |
DE602004005461T2 (de) | Mobile Authentifizierung für den Netzwerkzugang | |
EP3416140B1 (de) | Verfahren und vorrichtung zum authentisieren eines nutzers an einem fahrzeug | |
EP3057025A1 (de) | Computerimplementiertes Verfahren zur Zugriffskontrolle | |
EP2811713B1 (de) | Kommunikationssystem mit Zugangskontrolle, Verfahren zur Zugangsgewährung in einem Kommunikationssystem sowie damit ausgerüstetes Luftfahrzeug und/oder Wartungssystem | |
EP3582033B1 (de) | Verfahren zur gesicherten bedienung eines feldgeräts | |
DE102005045118B4 (de) | Anmeldeverfahren zwischen Teilnehmern eines Kommunikationssystems und Teilnehmer | |
DE102017106777A1 (de) | Verfahren zum Betreiben eines Feldgeräts der Automatisierungstechnik und eine Bedieneinheit zum Durchführen des Verfahrens | |
EP2624223B1 (de) | Verfahren und Vorrichtung zur Zutrittskontrolle | |
DE102019123628A1 (de) | Authentifizierungssystem und Authentifizierungsverfahren | |
EP2548358B1 (de) | Verfahren zur dynamischen autorisierung eines mobilen kommunikationsgerätes | |
EP3407309B1 (de) | Zutrittskontrollvorrichtung zum kontrollieren eines zutritts zu einem zutrittsbereich | |
EP3198826B1 (de) | Authentisierungs-stick | |
EP1317824A2 (de) | Verfahren und system zur zugangskontrolle | |
EP2893668B1 (de) | Verfahren zur erstellung einer abgeleiteten instanz eines originaldatenträgers | |
EP2996299B1 (de) | Verfahren und Anordnung zur Autorisierung einer Aktion an einem Selbstbedienungssystem | |
EP2952029A1 (de) | Verfahren zum zugriff auf einen dienst eines servers über eine applikation eines endgeräts | |
EP3449655A1 (de) | Verfahren zur sicheren interaktion eines nutzers mit einem mobilen endgerät und einer weiteren instanz | |
AT522608A1 (de) | Verfahren zum Betreiben eines Zutrittskontrollsystems sowie Zutrittskontrollsystem | |
EP2816777A1 (de) | Rechnernetz, Netzknoten und Verfahren zur Bereitstellung von Zertifizierungsinformationen | |
EP2650818A1 (de) | System und Verfahren zur sicheren Kommunikation | |
EP2613491B1 (de) | Ausführung von kryptografischen Operationen mit Daten eines Nutzerendgeräts | |
EP4138435A1 (de) | Verfahren für die erteilung eines zugriffsrechts auf eine steuereinheit in einem gebäudesteuerungssystem | |
EP3435697B1 (de) | Verfahren zur authentisierung eines nutzers gegenüber einem diensteanbieter und authentisierungseinrichtung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE APPLICATION HAS BEEN PUBLISHED |
|
AK | Designated contracting states |
Kind code of ref document: A1 Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR |
|
AX | Request for extension of the european patent |
Extension state: BA ME |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE |
|
17P | Request for examination filed |
Effective date: 20190304 |
|
RBV | Designated contracting states (corrected) |
Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: EXAMINATION IS IN PROGRESS |
|
17Q | First examination report despatched |
Effective date: 20201217 |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: EXAMINATION IS IN PROGRESS |
|
GRAP | Despatch of communication of intention to grant a patent |
Free format text: ORIGINAL CODE: EPIDOSNIGR1 |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: GRANT OF PATENT IS INTENDED |
|
INTG | Intention to grant announced |
Effective date: 20230112 |
|
GRAS | Grant fee paid |
Free format text: ORIGINAL CODE: EPIDOSNIGR3 |
|
GRAA | (expected) grant |
Free format text: ORIGINAL CODE: 0009210 |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE PATENT HAS BEEN GRANTED |
|
AK | Designated contracting states |
Kind code of ref document: B1 Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR |
|
REG | Reference to a national code |
Ref country code: CH Ref legal event code: EP |
|
P01 | Opt-out of the competence of the unified patent court (upc) registered |
Effective date: 20230526 |
|
REG | Reference to a national code |
Ref country code: DE Ref legal event code: R096 Ref document number: 502018012505 Country of ref document: DE |
|
REG | Reference to a national code |
Ref country code: AT Ref legal event code: REF Ref document number: 1581465 Country of ref document: AT Kind code of ref document: T Effective date: 20230715 |
|
REG | Reference to a national code |
Ref country code: IE Ref legal event code: FG4D Free format text: LANGUAGE OF EP DOCUMENT: GERMAN |
|
REG | Reference to a national code |
Ref country code: LT Ref legal event code: MG9D |
|
REG | Reference to a national code |
Ref country code: NL Ref legal event code: MP Effective date: 20230621 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: SE Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20230621 Ref country code: NO Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20230921 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: RS Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20230621 Ref country code: NL Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20230621 Ref country code: LV Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20230621 Ref country code: LT Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20230621 Ref country code: HR Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20230621 Ref country code: GR Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20230922 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: FI Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20230621 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: SK Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20230621 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: ES Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20230621 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: IS Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20231021 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: SM Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20230621 Ref country code: SK Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20230621 Ref country code: RO Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20230621 Ref country code: PT Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20231023 Ref country code: IS Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20231021 Ref country code: ES Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20230621 Ref country code: EE Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20230621 Ref country code: CZ Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20230621 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: PL Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20230621 |
|
REG | Reference to a national code |
Ref country code: DE Ref legal event code: R097 Ref document number: 502018012505 Country of ref document: DE |
|
PLBE | No opposition filed within time limit |
Free format text: ORIGINAL CODE: 0009261 |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: DK Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20230621 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: SI Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20230621 |