用於訪問控制的系統和方法與流程
2023-05-24 15:49:58 1
本發明涉及用於控制由個人訪問物理單元的系統和方法。本發明尤其是涉及如下系統和方法,其中,個人的訪問權限可以分配給個人並且得到管理。
背景技術:
管理訪問權限或使用權限存在於許多技術領域中。例如,在管理電腦系統中的訪問權限時存在複雜的權限等級和權限機制。在那裡針對個人給予訪問服務或計算機系統的文件,個人本身相對於電腦系統通過例如機密標識碼或生物測定數據鑑別。然而,如果分配的權利或權限不足以執行所要求的行動,那麼該行動通過技術措施阻止。
此外,鎖閉系統是公知的,其中,為了訪問控制而對鎖閉器件進行鑑別,以便檢驗訪問功能,例如進入一個區域。在這種系統中經常以如下為出發點,即,鎖閉器件的載體也是用於要求相應的功能的授權裝置。相應的概念也存在於車輛鎖閉系統的領域中,尤其是在無鑰匙進入和無鑰匙啟動系統中。在那裡,用戶攜帶被稱為ID傳感器的車輛鑰匙。ID傳感器包含被編碼的信息,其相對於車輛使ID傳感器(不一定是ID傳感器的載體)的權利合法化,用以實施功能。也就是說,如果將ID傳感器給到另外的用戶,那麼該另外的用戶同樣能夠利用該ID傳感器調用和操作車輛功能。
在用於車輛的進入系統的領域中,大量的不同的管理系統是公知的,以便允許訪問車輛。例如,US 2013/0259232 A1描述了一種用於將行動電話與車輛聯接或配對(pairing)的系統,以便可以利用行動電話操控車輛功能。
DE 10 2011 078 018 A1描述了另一種用於實施車輛功能的系統,其中,通訊中央實施一部分與車輛的通信。
US2012/0164989涉及另一種用於車輛的無線鎖閉功能的方法和系統。
EP 1 910 134 B1描述了一種帶有中央管理的系統,中央管理將數據包作為密匙分配到移動訪問設備上。
然而,能夠實現訪問技術設備的公知的系統和方法具有缺點。在一些系統中可能的是,利用技術設備,例如移動電腦、智慧型手機或類似裝置產生或檢索出用於以如下方式和方法訪問技術設備或實施功能的權利,即,攻擊者可以獲得對設備(例如車輛)或其功能的未授權的進入。
技術實現要素:
本發明的任務是提供一種安全的和靈活的系統和方法,以便能夠實現用於訪問物理單元的廣泛的權限管理。
根據本發明提出一種系統和方法,其中,作為第一部件的中央控制平臺(Secure Access Platform(安全進入平臺))承擔主要的控制功能。中央控制平臺裝備配備有已鑑別的用戶的權限(權利)的信息。這種中央控制平臺例如可以通過與數據網絡連接的資料庫實現。通過數據網絡(網際網路、移動無線網絡等)可以構建從遙遠的地方到中央控制平臺的通信連接。
在物理單元一側(在物理單元方面訪問或權限授予應該收到規管)設置有形式為技術訪問控制單元(智能身份設備)的第二部件,其可以限制或釋放訪問物理單元的功能。在車輛的情況下,訪問控制單元例如與車輛系統聯接,從而訪問控制單元可以有針對性地釋放或阻止鎖閉功能或發動機啟動或其它的功能。該設備與通信器件聯接,以便與中央控制平臺連接並且交換數據。這種通信器件包括如下設備,即,其通過所創建的通信網絡,尤其是通過移動無線網絡實現無線連接。
此外,作為第三部件的移動電子進入單元設置為系統的一部分,移動電子進入單元本身可以與中央控制平臺以及受控制的物理設備上的訪問控制平臺處於通信連接,以便交換信息。移動電子進入設備例如可以在移動電腦或移動通信裝置,例如智慧型手機中實現。為此,智慧型手機或電腦可以設有附屬的應用軟體,其進行與中央控制平臺的通信,並且允許用戶交互。在移動訪問設備與在訪問方面被監控的物理單元或其訪問控制單元之間又同樣可以例如通過根據無線網絡標準的無線連接,藉助藍牙接口或通過近場通信,例如NFC接口創建通信連接。
根據本發明,在構造通信關係和數據傳輸方面構建四角關係,其中,一方面,控制平臺可以與移動進入設備以及受控制的物理單元的訪問控制單元處於通信連接。另一方面用戶本身與移動進入設備交互作用。用戶必要時也與中央平臺通過使用單獨的通信路徑(例如帶有網際網路連接的計算機)交互作用。用戶身份是使得另外的組成部分能夠共同作用的關鍵組成部分,其中,身份在不同的步驟中檢驗。不同組成部分的這些通信不一定同時到期,然而重要的是,得到在三個組成部分相互間的原則上的通信可能性。該概念確保了驗證來自其中一個以獨立的機構轉移的所得到的信息。像下面描述的那樣,這種相互關係結合移動進入設備的特殊性確保了以特別安全和可靠的方式訪問。
根據本發明的系統和方法的用戶訪問移動進入設備,也就是說例如訪問帶有安裝在上面的應用的智慧型手機。當用戶可以將該裝置與車輛側的訪問控制單元通信時,車輛側的訪問控制單元不一定允許訪問車輛,這是因為缺少必要的合法性。也就是說,車輛並不是僅憑移動訪問設備的身份就承認合法性,而是只有結合用戶的已驗證的身份才承認合法性。身份證明只有在以下情況下才會成功,即,移動訪問設備得到中央平臺的信息,其將移動訪問設備和利用其鑑別的人員標記為物理單元的合法的操作者。
本發明將對權限和受控的物理單元的管理劃分到中央控制平臺中。因此,取消了在未授權的情況下操縱管理,這是因為僅允許可靠的機構執行對中央控制平臺的改變。操縱移動裝置的數據是不夠的,這是因為訪問控制設備通過與中央平臺的連接驗證權利數據。
中央控制平臺可以包含關於相對於控制平臺以可靠的方式鑑別的人員的信息。然而,中央控制平臺也可以針對配屬的訪問控制單元管理配屬於匿名的標識的權限,從而在中央控制平臺中不存在與實際的個人的關聯,而是僅存在匿名的標識。
在常規的進入系統或訪問管理中,鑑別藉助相應的器具、標籤、鑰匙、鑰匙卡或類似裝置實現,而根據本發明,關於個人或特有的標識的權限被分配和管理。與人員利用哪個器件來相對於中央控制平臺或訪問裝置進行合法化無關地,權限授予不是與這種器件(電話、鑰匙等)綁定,而是與識別的個人或識別的身份綁定。
對於本發明來說重要的是,在中央控制平臺中配屬於人員身份或匿名的標識的權限得到存儲。這些權限分別涉及訪問控制單元的由中央平臺管理的部分。例如可以針對標識安排適用於訪問控制單元組或適用於所有配屬的訪問控制單元的權限。另外的權限可以針對各個訪問控制單元進行配屬。在停車場控制的示例中,這意味著的是,給管理人員的職員例如針對停車場的所有車輛分配用於打開車輛的權限,然而,僅針對一些車輛分配啟動車輛的權限。
相應需要的是,首先在中央控制平臺中引入關於允許的用戶的身份或匿名的標識的登記。這些登記可以以常見的方式藉助提供用於查詢的接口的資料庫管理。通過與另外的系統的接口,例如與租車供應商、安全公司或汽車共享供應商的系統的接口也可以實現標識的接受。在另外的供應商的聯接的系統識別出其客戶的身份時,系統向中央平臺例如僅傳送匿名的標識和附屬的權限。個人數據保留在合同當事人中,然而,中央平臺藉助標識管理權限。
移動訪問設備可以與中央控制平臺處於數據通信中。由中央控制平臺給移動訪問設備提供信息,其能夠實現相對於物理單元的訪問控制單元的合法性。這可以例如是由中央控制平臺分派的證書。
移動訪問設備此外用於相對於訪問控制單元確保載體的身份。移動訪問設備為此以如下方式裝備,即,對用戶的可靠的鑑別是可行的。鑑別用戶例如可以通過僅對於用戶來說已知的標識實現,或者通過查詢生物測定數據,譬如面部識別、聲音分析或指紋實現。只有在相對於移動訪問設備的鑑別成功時,才可以訪問移動訪問設備中的信息。必要的鑑別的方式可以依賴於所要求的權限的安全相關性。如果用戶例如在車輛附近要求查詢車輛數據(公裡數、油箱填充度等),那麼在移動裝置上輸入PIN或者在裝置的操作面板上的特殊的期望手勢可以是足夠的。對於啟動車輛來說,面部檢測例如是必要的。針對哪種權限需要哪種類型的身份檢驗可以存儲在中央平臺中。
如果相對於移動訪問設備的鑑別是成功的,那麼構建出與待控制的物理單元,更精確的說與物理單元的訪問控制單元的連接,並且使用至少部分由中央控制平臺傳送至移動訪問設備進入信息以便訪問物理單元的功能。
在這種情況下,在物理單元一側的訪問控制單元與中央控制平臺的根據本發明的連接起作用。通過該連接可行的是,物理單元一側的訪問控制單元驗證由移動訪問設備傳送的訪問信息是否是針對要求的功能的實際上合法的訪問數據。常規的系統不具有這種連接,並且相應必須指望對僅來自移動訪問設備的數據的檢驗。
中央控制平臺不僅識別出在合法化方法中涉及的單元,而且識別出藉助單元鑑別的人員的配屬的權限。中央控制平臺一方面已知用戶的身份或標識,另一方面則已知移動訪問設備的身份和物理單元中的訪問控制單元的身份。所有這些設備藉助特有的特徵鑑別。只有中央控制平臺具有所有的認識,以便能夠實現利用中央管理訪問。
在本發明的簡單的設計方案中,在中央平臺上設定標識,其標記出用戶。針對標識存儲和關聯有移動訪問設備的數據。這例如可以包括移動裝置的IMEI。此外,針對標識的一組訪問權限存儲在中央平臺中。第一次鑑別例如在可靠的機構介入、例如行政機構或可靠的服務提供商介入的情況下實現。
在第一次使用之前,由中央平臺向已註冊的應該用作移動訪問設備的移動裝置發送消息。裝置的使用者被要求接受初始註冊。用戶於是在移動裝置上給出一系列信息,這些信息在後面考慮用於身份檢驗。例如存儲有PIN、期望手勢,並且檢測生物比較數據(面部掃描、聲音樣本、指紋等)。如果進行這一點,那麼數據已經可以由中央平臺調用,並且存儲在移動訪問設備上。這些數據例如可以包含鑑別數據以及證明數據的真實性的數據。數據例如可以以中央平臺的證書籤名,或者也被加密。隨後,系統已準備就緒。
如果用戶現在想訪問物理設備,例如車輛,那麼用戶要位於帶有附屬的訪問控制單元的物理單元的附近。首先,用戶必須相對於移動訪問設備得到鑑別。僅當這一點成功進行時,移動訪問設備才會訪問在移動訪問設備中存儲的數據,並且將關於所要求的權限的數據傳送至訪問控制單元,訪問控制單元管理在物理單元上的權限。傳送通過無線連接、例如通過藍牙或WLAN或NFC實現。在訪問控制單元一側檢驗數據是否是已認證的。這隨後詳細闡述。訪問控制單元在此訪問訪問控制單元直接通過通信連接從中央平臺(直接在當前的權限檢驗期間或在時間上錯開地、已經在更早的時間點中)得到的數據。
通過組成部分的之前闡述的相互的通信可以創建極其安全的訪問限制。常規的系統規定的是,真實性的檢驗藉助長期在訪問控制單元中存儲的數據進行。可靠的機構的證書例如長期存儲在那裡。根據本發明的用於更新數據(直到實時檢驗)的可能性確保了訪問,這是因為通信路徑不依賴於移動訪問設備與中央平臺之間的路徑,並且也不依賴於移動訪問設備上的可能被操縱的數據。
優選地,給移動訪問設備傳送密匙或證書,用以訪問物理單元的特定的配屬的訪問控制單元。物理單元的所配屬的訪問控制單元由中央平臺例如傳送一部分非對稱的密匙,以便驗證證書。在此,常規的非對稱的加密方法可以例如根據公開的和私有的密匙的概念使用。
該類型的訪問控制的優點在於:雖然尤其是對於設定和創建訪問權限來說必須存在所有通信參與部分與中央控制平臺的連接,但是在隨後的時間中,沒有中央控制平臺的協作的訪問控制和訪問功能暫時也是可行的。例如,中央控制平臺可以給移動訪問設備和物理單元中的訪問控制單元傳送信息,其設有中央控制平臺的證書。不僅在移動訪問設備中,而且也在物理單元和訪問控制單元中可以設置的是,即使當暫時不能夠直接訪問中央控制平臺時,也在各種情況下暫時相信特定的證書等級,例如由中央控制平臺分派的證書。為此,證書可以設有截止日期,在截止日期後,用於相互的合法性的證書不再被接受。
因此,針對使用者身份或標識可以存在關於用於訪問不同的物理單元的權限的大量的不同的機制。例如在將本發明應用到對訪問車輛的控制的情況下,針對一個且相同的身份可以針對不同的車輛安排不同的權限,然而其中,用戶的相同的個人身份是相關聯的元素。在權限管理的意義下,在控制平臺中也可以發生全面的權限安排或權限約束,例如關於針對特定的車輛的使用方式或使用範圍的約束(例如不依賴於所使用的車輛地約束允許的最高速度)。
附圖說明
本發明現在藉助在附圖中示出的實施例詳細闡述:
圖1示出根據本發明的第一實施例的通信流程的示意圖;
圖2示出根據本發明的第二實施例的設備和中央平臺的管理的示意圖;
圖3a示出根據本發明的第二實施例的訪問車輛的第一示意圖;
圖3b示出根據本發明的第二實施例的訪問車輛的第二示意圖。
具體實施方式
在圖1中,不同的站和分離的功能單元象徵性地示出。消息流和信息交換的時間順序通過在這些單元之間的箭頭示出。受控制的物理單元在該示例中是車輛,其中,訪問控制單元與車輛的中央控制系統聯接,訪問控制單元控制用於車輛功能的規則,並且可以釋放或禁止功能。
在該方法可以以所示的方式運行完之前執行學習過程。這表示的是,將關於使用者身份和權限以及受控制的車輛的信息給提供給中央控制平臺。這例如可以以如下方式發生,即,人員相對於可靠的機構利用適當的鑑別文件(例如護照或個人證件)證實自己。可靠的機構可以是車輛零售商,其執行對身份的個人檢驗,並且將相應的身份登記與用於訪問特定的車輛的權利關聯起來。
這些數據由車輛零售商在車輛購買或維護時輸入到資料庫中,其對於中央控制平臺來說是可訪問的。重要的是,身份和配屬於身份的權限在中央控制平臺中得到管理,並且改變僅可以通過中央控制平臺執行。使用中央系統可以以常規的方式例如通過經由輸入掩碼管理資料庫而發生,輸入掩碼在網際網路瀏覽器中示出。在前端後方的實際的管理可以是任意類型的、帶有適當的安全措施的資料庫。
根據本發明,權限管理在中央機構,也就是中央控制平臺上發生。此外,使訪問受控的物理單元(在該情況下是車輛)對於中央控制平臺已知。為此,將特有的車輛鑑別存儲在中央控制平臺中。在船隊管理或車輛共享概念中,所有車輛可以作為物理單元存儲在中央控制平臺中。可以與中央控制平臺連接的訪問控制單元分別獨特地配屬於車輛。
最後還重要的是,使得每個移動訪問裝置對於中央控制平臺也是已知的。移動訪問裝置在此可以在中央控制平臺中配屬於使用者或標識,也就是說與其關聯起來。這例如以如下方式運行完,即,移動訪問裝置(在該情況下是智慧型手機)相對於可靠的機構註冊被鑑別的人員。例如給出智慧型手機的號碼。消息可以從可靠的機構發送至該號碼上,其中,消息內容又由可靠的機構的鑑別人員給出。由此形成閉合循環,並且驗證的是,實際上,移動訪問裝置的給出的鑑別屬於被鑑別的人員。
此外,根據本發明的方法現在在其應用中描述,其中,對圖1進行參考。
在方法開始時,用戶通過在智慧型手機上激活用戶要求對車輛進行訪問,帶有移動裝置(例如智慧型手機或平板電腦)的用戶位於車輛附近。用戶輸入,例如移動裝置上的應用調用以通信箭頭1表示。移動訪問設備現在驗證用戶的身份,在該示例中的方法是執行面部識別(箭頭2)。用戶將其面部呈現給集成在智慧型手機中的照相機,並且位於裝置中的軟體以存儲的和經過認證的生物統計數據匹配該面部。
如果相對於移動裝置的認證失敗,那麼方法在該情況下中斷,並且訪問車輛的嘗試失敗。
身份驗證可以藉助在移動裝置中加密地存儲的數據實現,也就是說,移動裝置中的生物統計數據可以以加密方式存儲地存在。
如果身份相對於移動裝置成功地以通信交換2得到驗證,那麼移動訪問設備與車輛聯繫,這可以通過標準NFC接口或藍牙連接發生。移動訪問單元在通信箭頭3中構建與車輛的訪問控制單元的連接。移動訪問單元在該消息中例如要求操作車輛功能,例如開門。
移動裝置向車輛的訪問控制單元告知用戶的已驗證的身份。根據該示例這藉助證書發生,證書由中央控制平臺分派並且存儲在智慧型手機中。為此尤其是可以使用常規的帶有公開的和私有的密匙的證明方法。也就是說,在移動裝置中例如存在身份信息,身份信息利用中央控制平臺的私有的密匙籤名。與在網際網路瀏覽器中類似地,在車輛中的訪問控制單元中存在根證書密匙(形式為中央控制平臺的公開的密匙)。只有當所傳送的身份信息根據規定是已證明的信息時,才可以為車輛破譯關於身份的信息,並且識別為是正確的。
利用這些身份信息,車輛的訪問控制單元在箭頭4中被應用到控制平臺,並且根據對於該身份存在的訪問權限查詢。訪問控制單元為此具有GSM模塊,用以與中央平臺通過移動無線網絡通信。控制平臺在箭頭5和6中訪問與控制平臺聯接的身份管理和權限管理。身份管理和權限管理不需要定位在和中央控制平臺相同的機構上。例如,在汽車共享概念中存在中央身份管理,其在公司方面決定性地通過多個汽車共享供應商維護。配屬於身份的權限,也就是說個人是否可以在汽車共享池中訪問特定的車輛的疑問可以存儲在各個公司中。如果存在不同的汽車共享公司,那麼中央控制平臺可以根據查詢的車輛單元訪問中央身份管理,並且訪問特定的汽車共享供應商的特殊的屬於所鑑別的車輛的權限池。在車輛與中央控制平臺之間的通信的情況下同樣可以使用基於證書的通信,以便確保通信夥伴的認證。
在中央控制平臺中獲知的是,已鑑別的人員在車輛方面具有哪種權限。權限例如可以以如下方式設計,即,人員具有對車輛的完全的訪問權限來打開車門和啟動發動機。可以替選的是,已鑑別的人員是汽車共享供應商的車間職員,其原則上具有打開所有車輛的權限,然而沒有以超過20km/h的速度執行行駛的權限。
這些信息從中央控制平臺在7中傳送回車輛中的訪問控制單元,其將相應的設定或信號輸出至車輛的控制系統。然後由控制系統相應地例如執行門解鎖,並且接通用於實施另外的車輛功能的權利。
總之確保的是實現身份檢驗,為此可以利用移動訪問設備。其次,移動訪問設備裝備有由中央控制平臺證明的鑑別,這確保了相對於所有因此得到控制的物理單元的安全。
智慧型手機中的證書可以在該實施例的另外的設計中設有短期的到期時間,從而移動訪問設備必須通過數據連接定期從中央控制平臺取得經更新的證書。這樣描述的基於證書的與移動裝置上的身份檢驗相關聯的解決方案具有另外的優點。原則上的根據本發明的方法採用在車輛(訪問控制單元)與用於驗證權限的中央控制平臺之間的數據連接。然而,這種連接並不總是得到確保,例如在具有差的數據網絡質量的區域中的行駛的情況下,或者在地下車庫的情況下。該方法在這種情況下允許的是,仍然藉助證書實施訪問控制。一方面,用戶相對於移動裝置得到鑑別,這藉助在移動裝置中存儲的數據是可行的。如果成功實現驗證,那麼在移動裝置中存在中央控制平臺的有效性還沒有到期的有效的證書數據。僅利用該信息可以實現,即使當與中央控制平臺的直接通信不能夠接受時,也在車輛側給予一定的權限來訪問車輛。在車輛側,在那裡的訪問控制單元中,由於與中央平臺的較早的連接存在中央控制平臺的所存儲的證書信息,並且可以得到驗證的是,在成功的身份控制的情況下存在移動訪問設備的有效的證書。這種證書例如可以已經足夠用於允許用戶訪問車輛,並且例如在例如最大50km/h的最高速度的情況下可以駛過有限的例如最大2km的路徑,在該路徑中必須構建訪問控制單元與中央控制平臺之間的通信。一旦構建出聯接,那麼就實現完全的檢驗和完全的權限授予。
基於證明的臨時的信任的概念因此是可行的,這是因為一方面,進行用戶相對於移動裝置的鑑別,並且該身份也告知給車輛,並且另一方面,基於證書的、臨時的、相對於車輛的信任設定可以得到證實。如在常規的方法中那樣,當缺少對身份的無疑問的確定時,這種方法是不可行的。然而,因為身份是在移動裝置中訪問在那裡加密地存在的證書的前提條件,所以車輛可以承受臨時的信任給予和權限授予。以該方式,根據本發明的方法考慮為常規的方法,其以與中央控制平臺的在任何時間都強制連接為前提,或者信任移動訪問裝置例如鑰匙或帶有相應的應用的智慧型手機,而不需要驗證用戶的身份。
針對該目的,在移動裝置中可以例如針對不同的汽車共享公司存儲有大量的不同的證書。此外,權限授予同樣可以以不同的方式實現。不依賴於自身的車輛單元地,例如可以針對身份執行優先的權限設定,其例如原則上僅允許以經降低的速度行駛。例如,在具有一定的年齡的駕駛員中,針對身份可以確定的是,該駕駛員原則上僅允許以例如120km/h的最高速度行駛。這種高階的權限不依賴於查詢的汽車共享或船單元地告知車輛,從而例如,一輛車輛並且同一車輛根據訪問的身份在不同的車輛模式下運行。該設計只有在以下情況下才是可行的,即,存在具有身份信息的中央控制平臺,身份信息還(即使在不同的機構中)可以與不同的權限設定相關聯。一個身份並且同一身份可以藉助不同的移動裝置在不同的物理單元中合法化。因為人員身份在移動裝置中驗證,並且移動訪問設備(智慧型手機)自身沒有識別為合法的進入設備,所以這才是可行。相應地,該方法明顯優於使用簡單的點火鑰匙的方法,這是因為在那裡無法發生結合移動裝置的檢驗身份,並且此外移動訪問設備在丟失或被盜的情況下可以以簡單的方式從遠處阻止訪問車輛。
所有在根據本發明的方法中實施的通信可以以常規的保險裝置執行,例如通過在基於網際網路的通信中構建TLS連接。
在參考圖1描述了該方法的原則上的和常見的流程之後,現在參考另外的圖描述另外的實施例。
圖2以示意性的方式示出訪問中央平臺的順序,並且示出建立和操縱存儲在那裡的數據和聯繫。
中央平臺根據該示例以常規的MVC(模型視圖控制器)結構建立。用戶可以通過網絡接口訪問中央平臺,其方法是,用戶在其局域裝置上使用相應的瀏覽器。中央平臺的網絡接口通過常規的網絡伺服器提供。數據層面和外部的應用與網絡伺服器層面分離。數據例如在常規的資料庫伺服器(SQL伺服器)中存儲在數據層面上。
就車輛的使用壽命而言(車輛也在該情況下假定為物理單元),在圖2中,訪問順序就壽命而言從左向右示出。在製造期間,首先,製造商具有關於車輛的實際控制。製造商在該時間點上也訪問中央平臺,以便設定針對車輛的首次登記。製造商建立針對車輛的登記和車輛的訪問控制設備(SID-智能識別設備),並且將訪問控制設備與車輛關聯。通過製造商側的關聯建立在車輛系統與SID之間的特有的和長期的關聯。車輛系統相應地接收被關聯的SID的控制指令。在完成車輛和其關聯後,車輛被運輸至零售商,像在圖2中示出的那樣。
一旦車輛出售或交付給用戶,那麼零售商通過網絡接口在中央平臺中建立該用戶的身份,並且在中央平臺中將車輛轉移給用戶。也就是說,零售商建立在車輛與車輛配屬的SID以及由其提供的用戶標識之間的關聯。
隨後,車輛實際上交付給新的擁有者。由零售商建立的擁有者具有如下權限:針對與擁有者關聯的車輛和SID,將另外的用戶作為車輛用戶設定在中央平臺中。車輛擁有者可以通過中央平臺的網絡接口給另外的用戶,例如擁有者本身或其家庭成員(在租車管理的情況下還有租客)安排有針對性的權限。此外,車輛擁有者可以決定哪個用戶允許針對哪些權限以何種方式的認證措施訪問,並且權限是否有時間限制,也就是說在特定的時間點失效或在預定的是時間段後失效。在此涉及的是,確定帶有移動進入裝置(在該示例中是智慧型手機)的用戶可以如何訪問車輛的方式和方法。車輛擁有者為此可以確定的是,針對一些訪問方式和權限來說,僅需要輸入PIN,而在另外的權限(例如啟動車輛)中需要識別(例如面部識別或指紋識別)。
車輛於是可以由車輛擁有者相應交付給用戶,這在圖2中作為右列示出。這種車輛用戶可以例如通過其智慧型手機在必要的鑑別後在中央平臺中查詢其在特定的車輛方面具有哪些權限,然而不能夠改變這些權限。
可看到的是,在不同的層面上設置有不同的用於訪問和改變中央平臺中的數據的權限。製造商可以設立車輛和附屬的SID並且將它們關聯,而零售商不再能夠影響車輛和SID的數據。相反地,零售商可以針對每個車輛設立擁有者,並且將擁有者與車輛和SID的已經存在的數據關聯。擁有者又可以對車輛的權限進行控制、建立和改變,並且將其設立給車輛的另外的用戶。用戶最後僅可以在中央平臺中檢驗其自身的權限。
每個配屬過程可以通過不同的安全概念保護。在該實施例中,在通過零售商將車輛配屬於車輛擁有者的情況下,例如開始下列過程:
如果零售商在中央平臺上輸入車輛應該與新建立的身份綁定,那麼首先,將關聯存儲在資料庫中,資料庫將擁有者與車輛和配屬於車輛的SID關聯。隨後利用針對車輛擁有者存儲的移動號碼,以便將消息(例如SMS)從中央平臺發送至該移動號碼上。藉助該消息通知車輛擁有者的是,在中央平臺中新的車輛已經配屬於該車輛擁有者。此外,將消息(例如還是SMS)發送至所配屬的車輛的被關聯的SID。在該消息中,SID要求(觸發)對中央平臺的查詢,以便從中央平臺檢索出對訪問權限的更新。當關於車輛上的相應的SID的權限安排被改變時,也使用該類型的觸發消息。這種觸發比直接傳送權限設定要更安全,這是因為與SID直接接受所傳送的數據的情況相比,在中央平臺的查詢被觸發情況下的操縱是更加不可能的。
在該實施例中,SID通過接收的消息支配,通過GSM模塊構建與中央平臺的數據連接。隨後,所更新的數據(包括關於新設定的用戶的數據)下載到SID上。SID在車輛側將用戶的權限加密並且存儲在裝置中。連接通過證書檢驗來得到確保,其中,在製造商側,在SID中已經可以存儲有中央平臺的根證書。
以類似的方式,權限安排可以通過用戶針對其車輛在之後的時間點中進行。一旦用戶在中央平臺中針對其車輛改變權限安排,那麼中央平臺將消息發送至車輛中的相關的SID,消息觸發車輛的SID中的權限安排的更新。
在此,在用戶層面上也可行的是,訪問權限與時間安排或有效性持續時間相關聯,也就是說,暫時安排車輛的另外的用戶的權限。車輛擁有者的權限的安排原則上長期地進行,然而,擁有者也可以在時間上限制權限,或者在時間間隔內將其傳送至用戶。這種時間限制由中央平臺告知車輛上的SID,並且也加密地存儲在那裡。例如可以設置的是,SID在使用權限到期後不允許重新的車輛啟動,或者強烈地限制最高速度。
除了中央平臺內的這種原則上的權限安排和將權限從中央平臺傳送至車輛的SID以外,在用戶與其移動裝置,尤其是智慧型手機之間的交互作用也是重要的。
在智慧型手機上實施應用,其可以進行與中央平臺以及與車輛的SID的通信。為此,應用例如通過零售商轉存至車輛擁有者的裝置上,或者其可以從相關的平臺和網上商店針對不同的運行系統下載應用。
在移動裝置上第一次使用應用的情況下,用戶需要輸入用戶名和密碼。這些數據用於計算出傳送到中央平臺上的哈希值。與中央平臺的通信在此可以通過常見的傳遞模式,例如通過(加密的)http協議實現。中央平臺檢驗用戶是否在其資料庫中存在,並且藉助在中央平臺中存儲的關於用戶名和密碼的數據同樣計算出哈希值。將該哈希值與所傳送的哈希值比較。如果用戶名和哈希值的匹配得到肯定的認證,那麼應用從中央平臺傳送至配屬於用戶的SID和車輛。這些數據由智慧型手機上的應用針對用戶標識加密地存儲。
現在,在已經確定用戶原則上是已認證的之後,用戶為了確保訪問權限需要學習智慧型手機上的不同的認證方法。用戶尤其需要的是:安排特有的PIN、在智慧型手機的顯示屏上實施圖案手勢並且執行面部識別或指紋識別。
不同的認證方法代表用於訪問不同的車輛功能的不同的安全等級。如下信息在中央平臺中預定,即,哪些認證或這些認證的哪些關聯對於訪問車輛功能來說是足夠的。
隨後,對於智慧型手機上的應用的用戶來說可行的是,針對訪問第一次激活其中一個車輛,其已經由中央平臺通知應用作為配屬的車輛。如果用戶選取一個車輛來激活,那麼應用將激活查詢發送至中央平臺,並且中央平臺建立隨機碼,其在有限的時間段內有效的。隨機的激活碼通過單獨的消息發送至用戶的行動電話上。用戶必須在應用中輸入來自單獨的消息的激活碼,並且應用將激活碼發送回中央平臺。以該方式確保的是,用戶實際上以在中央平臺中存儲的路徑接收消息。
中央平臺證實激活碼的有效性並且向智慧型手機上的應用發送相應的確認。智慧型手機上的應用建立由私有的和公開的密匙構成的密匙對,並且建立發送至中央平臺上的CSR(證書籤名請求)。中央平臺接收CSR,並且產生針對用戶、配屬於用戶的SID和車輛組合的X509證書。這意味著的是,針對每個用戶和每個車輛/SID組合建立證書,其既包含用戶ID也包含SID在證書中的標識。證書數據與相關的車輛的SID的藍牙地址一起發送回智慧型手機上的應用中。
數據通過應用接收,並且加密地存儲。應用於是具有所配屬的SID的藍牙地址,這允許通過藍牙配對智慧型手機上的應用和所配屬的SID。
針對實施例的上述說明描述了所有的準備動作,其僅一次性地或在改變訪問權限時執行。當車輛擁有者或用戶想使用新的移動裝置來訪問存在的車輛時,這些過程同樣可部分實施。
在實踐中,利用一次性地設定的系統對車輛進行普通訪問是最常見的情況。為此建立在移動裝置上的應用與車輛中的SID之間的短程的無線連接。配對過程以公知的方式進行,必要時,在開始時需要確認兩個設備的聯接,這依賴於所使用的運行系統的類型和智慧型手機上的設定。然而,智慧型手機已經在激活車輛和其配屬的SID時得到用於藍牙連接的SID地址數據,從而這種確認也可以不發生。
如果這種配對成功執行,那麼用戶可以在打開的應用中例如通過圖形接口訪問車輛功能,圖形接口顯示在智慧型手機的觸敏的屏幕上。
車輛功能例如可以涉及門鎖、發動機啟動、啟動加熱裝置或停車加熱裝置、打開窗戶、打開後備箱蓋或者接通車輛上的照明裝置。
圖3a示例性地示出當用戶想利用其智慧型手機訪問車輛功能時的訪問流程。該圖從上往下閱讀。
用戶在其智慧型手機上打開應用,用以訪問其車輛,並且選取用於解鎖車門的命令。智慧型手機上的應用藉助存儲的數據檢驗用戶針對該功能需要什麼樣的認證,並且如果認證在該階段中在應用啟動時還沒有執行,那麼對用戶要求該認證。
應用隨後確定如下,其沒有與操控的車輛的SID聯接,並且首先建立與車輛SID的藍牙連接。通過藍牙連接,也就是說通過藍牙上的協議層面創建安全的數據連接。應用於是將用於打開車門的命令傳導至SID。然而在該示例中,用戶在SID側還是未知的(SID針對該用戶還沒有激活)。SID相應地向行動電話答覆用戶是未知的。應用隨後需要SID激活用戶,於是,SID在中央平臺中通過GSM模塊提出激活查詢。中央平臺向SID確認用戶對於該車輛來說是合法的,並且激活SID,並且發送相應的進入信息。
隨後,SID向行動電話確認激活用戶。智慧型手機上的應用隨後重複打開門的請求,這通過SID確認,並且最後為使用者將門解鎖。
所描述的情況是最壞情況,其中,該流程可以包括所有示出的步驟。然而通常,在用戶靠近車輛的情況下已經建立藍牙連接,並且用戶也已經在SID中已知。該方法於是以明顯更少的步驟且非常快地運行。在常見的方式和方法中的流程在圖3b中示出。
根據本發明的方法程序能夠實現對用戶權限的非常安全的管理和靈活的管控,例如在停車場中,但也在使用其他的物理單元,例如機器的情況下或者在類似的情況下實現。通過一方面在每個物理單元上的SID與中央平臺之間以及另一方面在中央平臺與移動裝置(智慧型手機)之間的分離的通信通道提高了安全性。此外,由於用戶為了在移動訪問裝置上認證還需要能訪問在行動裝置上加密地存儲的數據,所以可添加另外的安全等級。
移動訪問裝置(尤其是智慧型手機)中的加密的存儲器例如包含關於激活的車輛的信息、關於與車輛聯接的SID的信息,尤其是其藍牙地址和連接碼、用於通信的客戶證書和密匙和在命令要求時的認證方法列表以及用戶信息,尤其是用戶名和密碼。
在針對每個車輛的SID的存儲器中,例如以加密的方式存儲有SID的私有的密匙、SID證書和中央平臺的證書和/或公開的密匙。
在設備中存儲這些數據能夠實現訪問控制的一種靈活的方式。為此,在車輛SID中存儲的證書信息尤其是可以用於建立在車輛與帶有智慧型手機的訪問的用戶之間的臨時的信任關係。像上面描述的那樣,用戶的應用得到來自中央平臺的針對SID的訪問信息。在此,信息以中央平臺的私有的密匙加密。車輛側的SID包含關於中央平臺的根證書的信息。即使在SID沒有訪問中央平臺的情況下也可以通過該結構在各種情況下確保用戶暫時訪問車輛。也就是說,如果SID可以藉助存儲的關於根證書的信息肯定地驗證由智慧型手機通過APP發送到SID上的信息實際上由中央平臺籤名,那麼可以暫時建立信任關係。當例如新的使用者在租來的車輛的情況下想獲得進入,但租來的車輛例如處於帶有很差的移動無線連接的區域中時,這尤其是重要的。如果在車輛的SID中的證書匹配是成功的,那麼一旦存在網絡連接就可以確保用戶訪問車輛,並且車輛將查詢完全的用戶權限。