DE102011117186A1 - Verfahren zur Kontrolle des Zugriffs auf einen Aktor und/oder Sensor - Google Patents

Verfahren zur Kontrolle des Zugriffs auf einen Aktor und/oder Sensor Download PDF

Info

Publication number
DE102011117186A1
DE102011117186A1 DE201110117186 DE102011117186A DE102011117186A1 DE 102011117186 A1 DE102011117186 A1 DE 102011117186A1 DE 201110117186 DE201110117186 DE 201110117186 DE 102011117186 A DE102011117186 A DE 102011117186A DE 102011117186 A1 DE102011117186 A1 DE 102011117186A1
Authority
DE
Germany
Prior art keywords
access
party
control point
information
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE201110117186
Other languages
English (en)
Inventor
Dirk L. Unsenos
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ISIS IC GmbH
Original Assignee
ISIS IC GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ISIS IC GmbH filed Critical ISIS IC GmbH
Priority to DE201110117186 priority Critical patent/DE102011117186A1/de
Publication of DE102011117186A1 publication Critical patent/DE102011117186A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Kontrolle des Zugriffs auf einen Aktor (1) und/oder Sensor (2). Der betroffene Aktor (1) und/oder Sensor (2) ist mit einem Zugriffskontrollpunkt (3) verbunden. Der Zugriffskontrollpunkt (3) weist eine Autorisierungsfunktionseinheit zur Autorisierung von Zugriffsversuchen auf den Aktor (1) und/oder Sensor (2) auf. Nach dem erfindungsgemäßen Verfahren wird zunächst von einem bereits mm Zugriff auf den Aktor (1) und/oder Sensor (2) Berechtigten für einen zu autorisierenden Dritten in elektronischer Form ein Berechtigungsnachweis sowie Informationen über Zugriffsrechte erstellt. Nach Speicherung dieser Daten auf einem Medium (4) des Berechtigten mit einem Datenspeicher (5) werden die Daten in elektronischer Form an ein Medium (6) des Dritten mit einem Datenspeicher (7) übermittelt und darauf gespeichert. Bei einem späteren Zugriffsversuch des Dritten auf den Aktor (1) und/oder Sensor (2) wird der Berechtigungsnachweis samt den Informationen über die Zugriffsrechte aus dem Datenspeicher (7) des Mediums (6) des Dritten ausgelesen, an den Zugriffskontrollpunkt (3) übermittelt. Nach Speicherung der übermittelten Daten wird durch die Autorisierungsfunktionseinheit des Zugriffskontrollpunkts (3) der Berechtigungsnachweis überprüft und gegebenenfalls der Dritte für einen Zugriff auf den Aktor (1) und/oder Sensor (2) im Rahmen der Zugriffsrechte autorisiert.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zur Kontrolle des Zugriffs auf einen Aktor und/oder Sensor.
  • Aufgrund des hohen, immer noch steigenden Grades an Automatisierung im privaten sowie im industriellen Bereich sind immer mehr Aktoren und Sensoren in diesen Bereichen im Einsatz.
  • Aktoren wandeln elektrische Signale, die die Aktoren von einer Steuerung empfangen, in mechanische Bewegung oder andere physikalische Größen wie Druck oder Temperatur um. Ein Beispiel für eine Signalumwandlung durch einen Aktor stellt das Öffnen und Schließen einer Tür oder eines Ventils aufgrund eines an den Aktor übermittelten elektrischen Signals dar.
  • Sensoren erfassen qualitativ oder quantitativ eine bestimmte physikalische oder chemische Eigenschaften (z. B. Temperatur, Feuchtigkeit, Druck, Helligkeit und Beschleunigung) und/oder eine stoffliche Beschaffenheit in einer Umgebung um die Sensoren. Die erfassten Ergebnisse werden anschließend in weiterverarbeitbare Größen, wie z. B. elektrische Signale, umgeformt.
  • Eine Übersicht über die Funktionsweise und Anwendungen von Aktoren und Sensoren liefert "Sensors and actuators – control systems instrumentation" von Clarence W. De Silva, erschienen im Verlag CRC Press am 24. Januar 2007 (ISBN 978-1-420-04483-6).
  • Der Zugriff auf Aktoren und Sensoren der in der Rede stehenden Art wird heutzutage meist auf elektronischem Wege kontrolliert. Dabei gilt es, Zugriffe nur seitens eines dazu Berechtigten zuzulassen. Entsprechende Verfahren werden unter dem Begriff Zugriffskontrolle zusammengefasst. Eine wichtige Rolle bei der Zugriffskontrolle spielen die Authentifizierung und die Autorisierung.
  • Bei der Authentifizierung wird die Identität eines Dritten überprüft. Der Dritte kann dabei eine Person, ein Gerät, ein Dokument, eine Information oder auch ein Softwareprogramm sein. Für die Überprüfung bzw. Verifizierung der Identität des Dritten kann z. B. ein Identitätsnachweis (häufig Benutzername und Passwort) mit einer Liste von bekannten Daten verglichen werden.
  • Nach der Authentifizierung des Dritten folgt ein Prozess der Autorisierung. Dabei wird anhand eines Berechtigungsnachweises entschieden, ob und in welchem Umfang dem authentifizierten Dritten ein Zugriff gewährt wird. So kann auf Basis von spezifizierten Zugriffsrechten der Dritte z. B. autorisiert werden, nur auf eine bestimmte Komponente oder Funktion eines Aktors oder Sensors zuzugreifen.
  • Bekannt sind Verfahren zur elektronischen Zugriffskontrolle, bei denen der Berechtigungsnachweis wenigstens einmal vor einem berechtigten Zugriff physikalisch ausgetauscht werden muss, wie z. B. eine Smartcard, ein RFID-Tag oder ein Fingerabdruck. Beispielhaft sei hier die US 2005/0055582 A1 erwähnt.
  • Darüber hinaus sind Verfahren zur elektronischen Zugriffskontrolle bekannt, die einen Fernzugriff auf einen Aktor und/oder Sensor ermöglichen. Ein Beispiel dafür gibt die EP 1 217 475 A2 an. Allerdings treten häufig Fälle auf, die einen Zugriff auf einen Aktor oder Sensor an dessen physikalischem Ort erfordern. So ist z. B. eine Wartung, Inspektion, Instandsetzung oder Verbesserung eines Aktors oder Sensors bzw. von technischen Systemen, Bauelementen, Geräten oder Betriebsmitteln, die dazu einen Zugriff auf einen Aktor oder Sensor erfordern, oftmals nur am Ort des Aktors oder Sensors möglich.
  • Aufgabe der vorliegenden Erfindung ist es, ein Verfahren anzugeben, welches einem zu autorisierenden Dritten Zugriff auf einen Aktor und/oder Sensor am Ort des Aktors oder Sensors ermöglicht, wobei die Berechtigung des Dritten dazu für einen bereits zum Zugriff auf den Aktor und/oder Sensor Berechtigten in einfacher Weise und unabhängig vom Ort des Aktors, des Sensors und des Dritten möglich sein soll.
  • Die obige Aufgabe wird durch ein Verfahren gemäß Anspruch 1 gelöst. Vorteilhafte Weiterbildungen sind Gegenstand der Unteransprüche.
  • Wesentlich für das erfindungsgemäße Verfahren ist, dass der Aktor und/oder Sensor mit einem Zugriffskontrollpunkt verbunden sind/ist. Der Zugriffskontrollpunkt weist eine Autorisierungsfunktionseinheit zur Autorisierung von Zugriffsversuchen auf den Aktor und/oder Sensor auf.
  • Das erfindungsgemäße Verfahren weist in seiner grundlegenden Ausgestaltung folgende Verfahrensschritte auf:
    • a) Zunächst werden von einem bereits zum Zugriff auf den Aktor und/oder Sensor Berechtigten für einen zu autorisierenden Dritten in elektronischer Form ein Berechtigungsnachweis sowie Informationen über Zugriffsrechte, wie eine erlaubte Anzahl, ein erlaubter Zeitraum und ein erlaubter Umfang eines Zugriffs auf den Aktor und/oder Sensor, erstellt.
    • b) Anschließend wird der Berechtigungsnachweis samt den Informationen über die Zugriffsrechte auf einem Medium des Berechtigten mit einem Datenspeicher gespeichert.
    • c) Anschließend wird der Berechtigungsnachweis samt den Informationen über die Zugriffsrechte in elektronischer Form an ein Medium des Dritten mit einem Datenspeicher übermittelt und nach Erhalt auf dem Datenspeicher des Mediums des Dritten gespeichert.
    • d) Bei einem späteren Zugriffsversuch des Dritten auf den Aktor und/oder Sensor wird der Berechtigungsnachweis samt den Informationen über die Zugriffsrechte aus dem Datenspeicher des Mediums des Dritten ausgelesen, an den Zugriffskontrollpunkt übermittelt und nach Erhalt auf einem Datenspeicher des Zugriffskontrollpunkts gespeichert.
    • e) Nach oder während Speicherung des Berechtigungsnachweises samt den Informationen über die Zugriffsrechte wird durch die Autorisierungsfunktionseinheit des Zugriffskontrollpunkts der Berechtigungsnachweis überprüft.
    • f) Wird durch die Überprüfung der Berechtigungsnachweis verifiziert, werden durch die Autorisierungsfunktionseinheit des Zugriffskontrollpunkts die Informationen über die Zugriffsrechte analysiert und der Dritte wird für einen Zugriff auf den Aktor und/oder Sensor im Rahmen der Zugriffsrechte autorisiert.
    • g) Wird der Berechtigungsnachweis durch die Überprüfung nicht verifiziert, wird dem Dritten ein Zugriff auf den Aktor und/oder Sensor durch den Zugriffskontrollpunkt verwehrt.
  • Dieses Verfahren erlaubt eine umfassende und sichere Vergabe einer Zugriffsberechtigung unter allen Verfahrensbeteiligten, nämlich dem Berechtigten, dem Zugriffskontrollpunkt und dem Dritten, ohne dass die zeitlichen Asynchronität der beschriebenen Verfahrensschritte stört, wobei die Verfahrensschritte ortsungebunden und voneinander unabhängig ablaufen können.
  • Mit diesem Verfahren kann also der Dritte für einen Zugriff auf Aktoren und/oder Sensoren berechtigt werden, auch wenn zum Zeitpunkt der Übermittlung des Berechtigungsnachweises eine große räumliche Distanz zwischen dem Berechtigten und dem Dritten existiert. So kann z. B. der Berechtigte, der sich im Urlaub oder auf einer Geschäftsreise fernab von seinem Haus befindet, einem Handwerker den Zugriff auf einen oder mehrere Aktoren und/oder Sensoren im Haus des Berechtigten in dessen Abwesenheit ermöglichen.
  • Das erfindungsgemäße Verfahren kann in einer Vielzahl von Richtungen weiter ausgestaltet und weitergebildet sein. Dazu darf auf die Unteransprüche verwiesen werden.
  • Die Erfindung wird nachfolgend anhand der Erläuterungen besonders bevorzugter Ausführungsbeispiele mit Bezugnahme auf die Zeichnung näher erläutert. In der Zeichnung zeigt die einzige Figur in schematischer Form Komponenten, mit denen sich das erfindungsgemäße Verfahren realisieren lässt. Grundsätzlich gilt die Lehre der Erfindung auch für andere Komponenten.
  • Die in der Zeichnung dargestellte Ausführungsform zeigt als Beispiel für einen Aktor 1 einen Motor 1a für Rollläden sowie einen Heizungsaktor 1b zum Ein- und Ausschalten einer Heizung. Ferner sind in der Zeichnung als Beispiel für einen Sensor 2 ein Helligkeitssensor 2a sowie ein Thermoelement 2b dargestellt. Das Thermoelement 2b weist zwei unterschiedliche, an einem Ende miteinander verbundene Metalle auf, wobei bei einer Temperaturdifferenz ein Wärmefluss und eine Thermospannung hervorgerufen werden. Die Aktoren 1a, 1b und Sensoren 2a, 2b sind mit einem Zugriffskontrollpunkt 3 über jeweils ein Kabel oder drahtlos verbunden, vorzugsweise in einem lokalen Netzwerk.
  • Der Zugriffskontrollpunkt 3 hat einen Datenspeicher 8, auf dem Daten semi-permanent gespeichert werden können. Semi-permanente Speicherung bedeutet dabei, dass Informationen permanent gespeichert, dabei aber auch verändert werden können.
  • Ferner weist der Zugriffskontrollpunkt 3 eine nicht dargestellte Autorisierungsfunktionseinheit auf. Die Autorisierungsfunktionseinheit ist vorzugsweise durch Software realisiert. Diese Software kann z. B. in einem eingebetteten System implementiert sein.
  • Mit Hilfe der Autorisierungsfunktionseinheit überprüft der Zugriffskontrollpunkt 3, ob ein Zugriffsversuch auf die Aktoren 1a, 1b und/oder Sensoren 2a, 2b berechtigt ist oder nicht. Das Ergebnis dieser Überprüfung entscheidet darüber, ob dann der Zugriff auf die Aktoren 1a, 1b und/oder Sensoren 2a, 2b autorisiert wird oder nicht. Dazu kann der Zugriffskontrollpunkt 3 eine elektronische Zugriffskontrollliste aufweisen, in welcher alle bereits zum Zugriff auf die Aktoren 1a, 1b und/oder Sensoren 2a, 2b Berechtigten und deren Zugriffsrechte eingetragen sind. Zusätzlich kann die Zugriffskontrollliste vordefinierte Zugriffsprofile enthalten.
  • In dem in der Zeichnung dargestellten Ausführungsbeispiel ist der Zugriffskontrollpunkt 3 in einem Gerät integriert, das auch zum Empfang und Auswerten von Daten der Sensoren 2a, 2b und zur Steuerung der Aktoren 1a, 1b dient. Grundsätzlich können Zugriffskontrollpunkt, Empfang und Auswertung von Sensordaten und Steuerung von Aktoren auch auf separaten Geräten verwirklicht sein. In diesem Fall sind die separaten Geräte zur Kommunikation miteinander verbunden.
  • Der Zugriffskontrollpunkt 3 kann, wie in der Zeichnung dargestellt ist, mit einem Zugangspunkt 9 zur Kommunikation verbunden sein. Die Verbindung zwischen Zugriffskontrollpunkt 3 und Zugangspunkt 9 wird dabei vorzugsweise drahtlos hergestellt. Der Zugangspunkt 9 dient als Schnittstelle zwischen dem Zugriffskontrollpunkt 3 und einem weiteren Zugriffskontrollpunkt und/oder mit Netzwerken, wie z. B. einem lokalen Netzwerk, einem Weit verkehrsnetzwerk oder dem Internet. Mittels des Zugangspunkts 9 kann somit beispielsweise von einem Computer im Internet oder einem Smartphone in einem Mobilfunknetz eine Verbindung zum Zugriffskontrollpunkt 3 hergestellt werden.
  • Der Zugangspunkt 9 unterstützt vorzugsweise mehrere Netzwerkprotokolle und -dienste, wie z. B. das Dynamic Host Configuration Protocol (DHCP), das Domain Name System (DNS) und Dynamic Domain Name System (DynDNS), um z. B. eine komfortable Verbindungsherstellung zum Zugriffskontrollpunkt 3 bei wechselnden Netzwerkadressen zu ermöglichen. Statt in einem separaten Gerät integriert zu sein, kann der Zugriffskontrollpunkt 3 auch zusammen mit dem Zugangspunkt 9 in einem Gerät realisiert sein.
  • Der Zugangspunkt 9 kann beispielsweise ein Modem oder Router für einen digitalen Teilnehmeranschluss (Digital Subscriber Line, DSL) sein, wie sie von vielen Internetdienstanbietern angeboten werden.
  • Ferner zeigt die Zeichnung schematisch zwei Smartphones 4, 6, die jeweils einen semi-permanten Datenspeicher 5, 7 aufweisen. Alternativ zu Smartphones können auch andere elektronische Kommunikationsmittel, wie normale Mobiltelefone, Computer, Notebooks, Netbooks, Tablet-Computer o. dgl., eingesetzt werden.
  • Beide Smartphones 4, 6 sind drahtlos in ein Mobilfunknetz eingebunden. Dies ist mit Hilfe der Basisstation 10 angedeutet. Es ist auch möglich, dass beide Smartphones 4, 6 zusätzlich über ein lokales Netzwerk, z. B. auf Basis der Bluetooth-Technologie, direkt miteinander kommunizieren können. Über das Mobilfunknetz und weitere Netzwerke, wie z. B. über ein Netzwerk auf Basis der Digital Subscriber Line (DSL) Technologie, können die Smartphones 4, 6 mit dem Zugangspunkt 9 kommunizieren.
  • Möchte nun ein bereits zum Zugriff auf die Aktoren 1a, 1b und/oder Sensoren 2a, 2b Berechtigter, z. B. der Besitzer der Aktoren 1a, 1b und/oder Sensoren 2a, 2b, einem Dritten Zugriff auf die Aktoren 1a, 1b und/oder Sensoren 2a, 2b gewähren, so wird zunächst ein Berechtigungsnachweis in elektronischer Form erstellt. Ein Berechtigungsnachweis kann z. B. eine persönliche Identifikationsnummer (PIN), ein Passwort, eine Transaktionsnummer (TAN) oder ein Quick-Response (QR) Code sein.
  • Zusätzlich zum Berechtigungsnachweis werden Informationen über Zugriffsrechte, wie eine erlaubte Anzahl, ein erlaubter Zeitraum und ein erlaubter Umfang eines Zugriffs auf die Aktoren 1a, 1b und/oder Sensoren 2a, 2b, erstellt. So können die Zugriffsrechte beispielsweise festlegen, dass dem Dritten nur ein einmaliger Zugriff auf eine eingeschränkte Funktion der Aktoren 1a, 1b zu einer bestimmten Tageszeit eines gewissen Tages gestattet ist. In diesem Fall bliebe dem Dritten ein zweiter Zugriff oder ein Zugriff zu einem anderen Zeitpunkt verwehrt.
  • Die Informationen über die Zugriffsrechte können auch Informationen über einen erlaubten Positionsbereich enthalten, innerhalb dessen der Dritte zum Zugriff auf die Aktoren 1a, 1b und/oder Sensoren 2a, 2b berechtigt ist, Es ist auch möglich, dass der Berechtigungsnachweis selbst die Informationen über die Zugriffsrechte beinhaltet. So könnten die Zugriffsrechte zusammen mit dem Berechtigungsnachweis in einer Transaktionsnummer codiert sein.
  • Der Berechtigungsnachweis samt den Informationen über die Zugriffsrechte kann beispielsweise mit bzw. von einem Anwendungsprogramm des Smartphones 4 des Berechtigten erstellt werden. Vor der Erstellung des Berechtigungsnachweises samt den Informationen über die Zugriffsrechte kann das Anwendungsprogramm die Zugriffsrechte abfragen, die dem Dritten eingeräumt werden sollen. Das Anwendungsprogramm kann jedoch auch vordefinierte Zugangsprofile mit Standardwerten auswählen lassen.
  • Nach Erstellung wird der Berechtigungsnachweis samt den Informationen über die Zugriffsrechte auf einem Datenspeicher 5 des Smartphones 4 des Berechtigten gespeichert.
  • Anschließend wird der Berechtigungsnachweis samt den Informationen über die Zugriffsrechte in elektronischer Form an das Smartphone 6 des Dritten übermittelt. Die Übermittlung kann dabei unter anderem über ein Weitverkehrsnetz, insbesondere über ein zellulares Funknetzwerk, beispielsweise über ein Mobilfunknetz auf Basis der GSM oder UMTS Technologie, erfolgen. Zur Übermittlung kann ferner eine elektronische Kurznachricht (SMS), E-Mail o. dgl. genutzt werden.
  • Nach Erhalt wird der Berechtigungsnachweis samt den Informationen über die Zugriffsrechte auf einem semi-permanenten Datenspeicher 7 des Smartphones 6 des Dritten gespeichert. Vorzugsweise übermittelt das Smartphone 6 des Dritten eine Bestätigung über den korrekten Erhalt des Berechtigungsnachweises an das Smartphone 4 des Berechtigten. Es kann vorgesehen sein, dass der Berechtigungsnachweis ungültig wird und nicht mehr zum Zugriff auf die Aktoren 1a, 1b und/oder Sensoren 2a, 2b berechtigt, sollte die Bestätigung nicht innerhalb eines bestimmten Zeitintervalls von dem Smartphone 4 des Berechtigten erhalten worden sein.
  • Nach Erstellung kann der Berechtigungsnachweis samt den Informationen über die Zugriffsrechte durch den Berechtigten zusätzlich an den Zugriffskontrollpunkt 3 übermittelt werden, beispielsweise über das Internet oder ein lokales Netzwerk. In diesem Fall kann der Zugriffskontrollpunkt 3 die Zugriffskontrollliste auf Basis der übermittelten Daten aktualisieren. In diesem Fall kann individuell für den Dritten ein Eintrag in der Zugriffskontrollliste erstellt werden. Die Übermittlung des Berechtigungsnachweises samt den Informationen über die Zugriffsrechte durch den Berechtigten an den Zugriffskontrollpunkt 3 kann z. B. ausbleiben, wenn dem Dritten ein Berechtigungsnachweis samt Informationen über die Zugriffsrechte auf Basis eines schon existierenden Eintrags in der Zugriffskontrollliste des Zugriffskontrollpunktes 3 übermittelt wird.
  • Nimmt nun der Dritte einen Zugriffsversuch auf die Aktoren 1a, 1b und/oder Sensoren 2a, 2b vor, hat sich der Dritte vorzugsweise zunächst am Zugriffskontrollpunkt 3 anhand eines Identitätsnachweises zu authentisieren. Damit soll eine Möglichkeit gegeben werden zu verhindern, dass statt des Dritten ein Unberechtigter mit dem Berechtigungsnachweis des Dritten Zugriff auf die Aktoren 1a, 1b und/oder Sensoren 2a, 2b erhält. Als Identitätsnachweis kann beispielsweise ein vom Berechtigten zu einem früheren Zeitpunkt übermitteltes Passwort sein.
  • Alternativ oder in Kombination kann als Identitätsnachweis ein eindeutiger, dem Dritten und Unberechtigten typischerweise unbekannter Identifikator genutzt werden. Mögliche Identifikatoren sind z. B. eine Seriennummer des Smartphones 6 des Dritten, wie die International Mobile Station Equipment Identity (IMEI), eine Hardware-Adresse eines Netzwerkadapters des Smartphones 6 des Dritten, wie die MAC-Adresse, und eine Teilnehmerkennung des Dritten, wie die International Mobile Subscriber Identity (IMSI). Nach Übermittlung des Berechtigungsnachweises an den Dritten kann das Anwendungsprogramm des Smartphones 6 des Dritten den Identifikator mit dem Berechtigungsnachweis derart kombinieren, dass bei einer Überprüfung durch die Autorisierungsfunktion des Zugriffskontrollpunkts 3 auch die resultierende Kombination verifiziert wird, sofern beim Zugriffsversuch auf die Aktoren 1a, 1b und/oder Sensoren 2a, 2b in Verfahrensschritt d) zusätzlich der gleiche Identifikator an den Zugriffskontrollpunkt 3 übermittelt wird.
  • Im Vergleich zu einem Passwort, welches in einfacher Weise an Unberechtigte weitergeben oder von Unberechtigten unerlaubt erfasst werden kann, erschwert der dem Dritten und Unberechtigten unbekannte Identifikator als Identitätsnachweis einem Unberechtigten den Zugriff auf die Aktoren 1a, 1b und/oder Sensoren 2a, 2b erheblich, insbesondere wenn der Identifikator bei der Übermittlung an den Zugriffskontrollpunkt 3 schwierig zu manipulieren ist.
  • Sollte der sich authentisierende Dritte nicht durch den Zugriffskontrollpunkt 3 authentifiziert werden, wird dem Dritten der Zugriff auf die Aktoren 1a, 1b und Sensoren 2a, 2b verwehrt. Eine Überprüfung z. B. eines Berechtigungsnachweises wird anschließend gar nicht erst durchgeführt.
  • Sollte der sich authentisierende Dritte durch den Zugriffskontrollpunkt 3 authentifiziert werden, wird der Berechtigungsnachweis samt den Informationen über die Zugriffsrechte aus dem Datenspeicher 7 des Smartphones 6 des Dritten ausgelesen und an den Zugriffskontrollpunkt 3 übermittelt. Die Übermittlung erfolgt dabei vorzugsweise drahtlos, z. B. mittels der Bluetooth-Technologie oder mittels Near Field Communication.
  • Es ist auch möglich, dass mit Hilfe des Smartphones 6 des Dritten der Berechtigungsnachweis dem Zugriffskontrollpunkt 3 optisch oder in Sprachform übermittelt wird.
  • Nach Erhalt wird der Berechtigungsnachweis des Dritten samt den Informationen über die Zugriffsrechte auf dem Datenspeicher 8 des Zugriffskontrollpunkts 3 gespeichert. Nach oder während der Speicherung wird durch die Autorisierungsfunktionseinheit des Zugriffskontrollpunkts 3 der Berechtigungsnachweis überprüft.
  • Wird durch die Überprüfung der Berechtigungsnachweis verifiziert, werden durch die Autorisierungsfunktionseinheit des Zugriffskontrollpunkts 3 die Informationen über die Zugriffsrechte analysiert und der Dritte wird für einen Zugriff auf die Aktoren 1a, 1b und/oder Sensoren 2a, 2b im Rahmen der Zugriffsrechte autorisiert.
  • Sind in den Informationen über die Zugriffsrechte Informationen über einen erlaubten Positionsbereich enthalten, innerhalb dessen der Dritte zum Zugriff auf die Aktoren 1a, 1b und/oder Sensoren 2a, 2b berechtigt ist, wird zusätzlich die Position des Dritten bestimmt und durch die Autorisierungsfunktionseinheit des Zugriffskontrollpunkts 3 die Information über den erlaubten Positionsbereich unter Berücksichtigung der ermittelten Position analysiert.
  • Die Position des zu autorisierenden Dritten kann von dem Zugriffskontrollpunkt 3 oder dem Smartphone 6 des Dritten z. B. mit Hilfe von Lokalisierungstechniken wie Multilateration, Triangulation, Trilateration oder Cell of Origin bestimmt werden. Es ist aber auch möglich, dass das Smartphone 6 des Dritten mit Hilfe des Global Positioning Systems (GPS) seine Position selbst bestimmt und dem Zugriffskontrollpunkt 3 übermittelt. Alternativ kann das Smartphone 6 des Dritten auch einen Lokalisierungsidentifikator, wie z. B. ein Service Set Identifier (SSID) eines WLANs, nutzen und dem Zugriffskontrollpunkt 3 übermitteln.
  • Liegt die ermittelte Position des Dritten nicht innerhalb des in den Informationen über die Zugriffsrechte enthaltenen erlaubten Positionsbereichs, wird der Dritte nicht für einen Zugriff auf die Aktoren 1a, 1b und/oder Sensoren 2a, 2b autorisiert.
  • Es ist somit möglich, eine Kombination aus Berechtigungsnachweis, Identifikationsnachweis und Lokalitätsnachweis als ein Token zu generieren und zur Zugriffskontrolle zu nutzen. Dabei kann vorgesehen sein, dass der Token nur in einem vorgegebenen Zeitintervall nutzbar ist. Auf diese Weise kann ein hohes Maß an Sicherheit bei der Zugriffskontrolle erreicht werden.
  • Wird der Berechtigungsnachweis durch die Überprüfung nicht verifiziert, wird dem Dritten ein Zugriff auf die Aktoren 1a, 1b und/oder Sensoren 2a, 2b durch den Zugriffskontrollpunkt 3 verwehrt.
  • Bei erfolgter Autorisierung kann der Dritte z. B. einen Steuerbefehl für den Aktor 1a an den Zugriffskontrollpunkt 3 übermitteln. Der Steuerbefehl wird dann vom Zugriffskontrollpunkt 3 an die Steuerung des Aktors 1a weitergeleitet. Die Steuerung des Aktors 1a veranlasst dann die Ausführung des Steuerbefehls durch den Aktor 1a. Vorzugsweise übermittelt die Steuerung des Aktors 1a an den Zugriffskontrollpunkt 3 eine Rückmeldung über die Ausführung des Steuerbefehls und/oder über die resultierende Wirkung des Steuerbefehls. Der Zugriffskontrollpunkt 3 kann die Rückmeldung dann an das Smartphone 6 des Dritten weiterleiten. Vorzugsweise wird die Rückmeldung auch an das Smartphone 4 des Berechtigten übermittelt.
  • Bezugszeichenliste
    • 1
    Aktor
    1a
    Motor für Rollladen
    1b
    Heizungsaktor
    2
    Sensor
    2a
    Helligkeitssensor
    2b
    Thermoelement
    3
    Zugriffskontrollpunkt
    4
    Medium (des Berechtigten)
    5
    Datenspeicher (des Berechtigten)
    6
    Medium (des Dritten)
    7
    Datenspeicher (des Dritten)
    8
    Datenspeicher (des Zugriffskontrollpunkts)
    9
    Zugangspunkt
    10
    Basisstation
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 2005/0055582 A1 [0009]
    • EP 1217475 A2 [0010]
  • Zitierte Nicht-Patentliteratur
    • ”Sensors and actuators – control systems instrumentation” von Clarence W. De Silva, erschienen im Verlag CRC Press am 24. Januar 2007 (ISBN 978-1-420-04483-6) [0005]

Claims (10)

  1. Verfahren zur Kontrolle des Zugriffs auf einen Aktor (1) und/oder Sensor (2), wobei der Aktor (1) und/oder Sensor (2) mit einem Zugriffskontrollpunkt (3) verbunden ist/sind, wobei der Zugriffskontrollpunkt (3) eine Autorisierungsfunktionseinheit zur Autorisierung von Zugriffsversuchen auf den Aktor (1) und/oder Sensor (2) aufweist und wobei das Verfahren folgende Verfahrensschritte aufweist: a) Zunächst werden von einem bereits zum Zugriff auf den Aktor (1) und/oder Sensor (2) Berechtigten für einen zu autorisierenden Dritten in elektronischer Form ein Berechtigungsnachweis sowie Informationen über Zugriffsrechte, wie eine erlaubte Anzahl, ein erlaubter Zeitraum und ein erlaubter Umfang eines Zugriffs auf den Aktor (1) und/oder Sensor (2), erstellt. b) Anschließend wird der Berechtigungsnachweis samt den Informationen über die Zugriffsrechte auf einem Medium (4) des Berechtigten mit einem Datenspeicher (5) gespeichert. c) Anschließend wird der Berechtigungsnachweis samt den Informationen über die Zugriffsrechte in elektronischer Form an ein Medium (6) des Dritten mit einem Datenspeicher (7) übermittelt und nach Erhalt auf dem Datenspeicher (7) des Mediums (6) des Dritten gespeichert. d) Bei einem späteren Zugriffsversuch des Dritten auf den Aktor (1) und/oder Sensor (2) wird der Berechtigungsnachweis samt den Informationen über die Zugriffsrechte aus dem Datenspeicher (7) des Mediums (6) des Dritten ausgelesen, an den Zugriffskontrollpunkt (3) übermittelt und nach Erhalt auf einem Datenspeicher (8) des Zugriffskontrollpunkts (3) gespeichert. e) Nach oder während Speicherung des Berechtigungsnachweises samt den Informationen über die Zugriffsrechte wird durch die Autorisierungsfunktionseinheit des Zugriffskontrollpunkts (3) der Berechtigungsnachweis überprüft. f) Wird durch die Überprüfung der Berechtigungsnachweis verifiziert, werden durch die Autorisierungsfunktionseinheit des Zugriffskontrollpunkts (3) die Informationen über die Zugriffsrechte analysiert und der Dritte wird für einen Zugriff auf den Aktor (1) und/oder Sensor (2) im Rahmen der Zugriffsrechte autorisiert. g) Wird der Berechtigungsnachweis durch die Überprüfung nicht verifiziert, wird dem Dritten ein Zugriff auf den Aktor (1) und/oder Sensor (2) durch den Zugriffskontrollpunkt (3) verwehrt.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Verfahren dafür adaptiert ist, dass die Erstellung des Berechtigungsnachweises und/oder die Autorisierungsfunktionseinheit durch Software realisiert sind/ist.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Verfahren dafür adaptiert ist, dass der Aktor (1) und/oder Sensor (2) mit dem Zugriffskontrollpunkt (3) mittels eines lokalen Netzwerks verbunden ist/sind.
  4. Verfahren nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass im Verfahrensschritt a) ein Berechtigungsnachweis erstellt wird, der selbst die Informationen über die Zugriffsrechte beinhaltet.
  5. Verfahren nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass nach Verfahrensschritt a) aber vor Verfahrensschritt d) der Berechtigungsnachweis samt den Informationen über die Zugriffsrechte durch den Berechtigten zusätzlich an den Zugriffskontrollpunkt (3) übermittelt wird, vorzugsweise über ein lokales Netzwerk.
  6. Verfahren nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass im Verfahrensschritt b) der Berechtigungsnachweis auf einem elektronischen Kommunikationsmittel (4) des Berechtigten mit einem Datenspeicher (5), wie einem Smartphone oder einem Computer, vorzugsweise auf einem elektronischen Kommunikationsmittel (4) mit einem semi-permanenten elektronischen Datenspeicher (5), gespeichert wird und/oder dass im Verfahrensschritt c) der erhaltene Berechtigungsnachweis auf einem elektronischen Kommunikationsmittel (6) des Dritten mit einem Datenspeicher (7), wie einem Smartphone oder einem Computer, vorzugsweise auf einem elektronischen Kommunikationsmittel (6) mit einem semi-permanenten elektronischen Datenspeicher (7), gespeichert wird.
  7. Verfahren nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass im Verfahrensschritt c) der Berechtigungsnachweis samt den Informationen über die Zugriffsrechte an das Medium (6) des Dritten mit dem Datenspeicher (7) über ein Weitverkehrsnetz, insbesondere über ein zellulares Funknetzwerk, z. B. in Form einer elektronischen Kurznachricht oder E-Mail, übermittelt wird.
  8. Verfahren nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass vor oder im Verfahrensschritt d) der Dritte sich am Zugriffskontrollpunkt (3) anhand eines Identitätsnachweises authentisiert, insbesondere anhand eines vorn Berechtigten zu einem früheren Zeitpunkt übermittelten Passwortes oder anhand eines eindeutigen Identifikators des Mediums (6) des Dritten, wobei die auf Verfahrensschritt d) folgenden Verfahrensschritte nur ausgeführt werden, wenn die Identität des Dritten durch den Zugriffskontrollpunkt (3) authentifiziert wurde.
  9. Verfahren nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass im Verfahrensschritt d) der Berechtigungsnachweis samt den Informationen über die Zugriffsrechte an den Zugriffskontrollpunkt (3) mittels einer Drahtlostechnologie, z. B. mittels der Bluetooth-Technologie oder mittels Near Field Communication, übermittelt wird.
  10. Verfahren nach einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass die Informationen über die Zugriffsrechte Informationen über einen erlaubten Positionsbereich enthalten, innerhalb dessen der Dritte zum Zugriff auf den Aktor (1) und/oder Sensor (2) berechtigt ist, und dass im Verfahrensschritt f) zusätzlich die Position des Dritten, z. B. mit Hilfe des Global Positioning Systems, bestimmt und durch die Autorisierungsfunktionseinheit des Zugriffskontrollpunkts (3) die Information über den erlaubten Positionsbereich unter Berücksichtigung der ermittelten Position analysiert wird.
DE201110117186 2011-10-28 2011-10-28 Verfahren zur Kontrolle des Zugriffs auf einen Aktor und/oder Sensor Withdrawn DE102011117186A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE201110117186 DE102011117186A1 (de) 2011-10-28 2011-10-28 Verfahren zur Kontrolle des Zugriffs auf einen Aktor und/oder Sensor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201110117186 DE102011117186A1 (de) 2011-10-28 2011-10-28 Verfahren zur Kontrolle des Zugriffs auf einen Aktor und/oder Sensor

Publications (1)

Publication Number Publication Date
DE102011117186A1 true DE102011117186A1 (de) 2013-05-02

Family

ID=48084277

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201110117186 Withdrawn DE102011117186A1 (de) 2011-10-28 2011-10-28 Verfahren zur Kontrolle des Zugriffs auf einen Aktor und/oder Sensor

Country Status (1)

Country Link
DE (1) DE102011117186A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014198782A1 (de) * 2013-06-12 2014-12-18 Deutsche Telekom Ag Hierarchisches authentifizierungs- und autorisierungssystem
DE102017004573A1 (de) * 2017-05-12 2018-11-15 Eduard Wart Absichern der Datenverbindung zwischen Haus-Automatisierung und Smartphon mit Klassischen PIN/TAN Verfahren wie bei Online-Banking.

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1217475A2 (de) 2000-12-13 2002-06-26 Lg Electronics Inc. Vorrichtung und Verfahren zur Abstandssteuerung von Haushaltsgeräten
US20050055582A1 (en) 2003-09-05 2005-03-10 Bazakos Michael E. System and method for dynamic stand-off biometric verification
EP1837781A1 (de) * 2004-01-23 2007-09-26 Nokia Corporation Verfahren, Vorrichtung und System zur automatischen kontextinformationsbasierten selektiven Datenbereitstellung durch Identifikationsmittel
US20070247276A1 (en) * 2006-04-24 2007-10-25 Kenneth Murchison Electronic or automatic identification method to remotely manage a lock or access point to a secure distribution receptacle, via the Internet or wireless communication network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1217475A2 (de) 2000-12-13 2002-06-26 Lg Electronics Inc. Vorrichtung und Verfahren zur Abstandssteuerung von Haushaltsgeräten
US20050055582A1 (en) 2003-09-05 2005-03-10 Bazakos Michael E. System and method for dynamic stand-off biometric verification
EP1837781A1 (de) * 2004-01-23 2007-09-26 Nokia Corporation Verfahren, Vorrichtung und System zur automatischen kontextinformationsbasierten selektiven Datenbereitstellung durch Identifikationsmittel
US20070247276A1 (en) * 2006-04-24 2007-10-25 Kenneth Murchison Electronic or automatic identification method to remotely manage a lock or access point to a secure distribution receptacle, via the Internet or wireless communication network

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"Sensors and actuators - control systems instrumentation" von Clarence W. De Silva, erschienen im Verlag CRC Press am 24. Januar 2007 (ISBN 978-1-420-04483-6)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014198782A1 (de) * 2013-06-12 2014-12-18 Deutsche Telekom Ag Hierarchisches authentifizierungs- und autorisierungssystem
US9979729B2 (en) 2013-06-12 2018-05-22 Deutsche Telekom Ag Controlling access for a home control device including an online mode and an offline mode
DE102017004573A1 (de) * 2017-05-12 2018-11-15 Eduard Wart Absichern der Datenverbindung zwischen Haus-Automatisierung und Smartphon mit Klassischen PIN/TAN Verfahren wie bei Online-Banking.

Similar Documents

Publication Publication Date Title
DE102018007534A1 (de) Zeitgebundener sicherer Zugang
DE102018123656A1 (de) Zusatzmodul und system für die gemeinsame nutzung von fahrzeugen
EP2811713B1 (de) Kommunikationssystem mit Zugangskontrolle, Verfahren zur Zugangsgewährung in einem Kommunikationssystem sowie damit ausgerüstetes Luftfahrzeug und/oder Wartungssystem
EP2777309A1 (de) Verfahren und system zur freigabe einer technischen vorrichtung
EP2781058A1 (de) Smart home-gerät, smart home-steuereinheit, smart home-system und verfahren zur einbindung eines smart home-geräts in ein smart home-system
EP3215974B1 (de) Verfahren zum bereitstellen eines zugangscodes auf einem portablen gerät und portables gerät
WO2018157960A1 (de) Verfahren und system zum freischalten eines nutzerzugangs zu einem mit einem eingebetteten system gekoppelten server
EP2548358B1 (de) Verfahren zur dynamischen autorisierung eines mobilen kommunikationsgerätes
DE102010010760B4 (de) Verfahren zur Vergabe eines Schlüssels an ein einem drahtlosen Sensor-Aktor-Netz neu hinzuzufügendes Teilnehmergerät
EP2529189B1 (de) System und verfahren zum bereitstellen von sensordaten
DE102013203436A1 (de) Generieren eines Schlüssels zum Bereitstellen von Berechtigungsinformationen
DE102011117186A1 (de) Verfahren zur Kontrolle des Zugriffs auf einen Aktor und/oder Sensor
EP3769553B1 (de) Verfahren und system zur autorisierung der kommunikation eines netzwerkknotens
DE102013100756B3 (de) Verfahren und Vorrichtung zur Authentifizierung eines Nutzers
WO2017036714A1 (de) Verfahren zum betätigen einer zugangseinheit mittels eines mobilen elektronischen endgeräts
DE102010031932A1 (de) Verfahren zur Zugangskontrolle und entsprechende Vorrichtung
EP2193643B1 (de) Contentdistribution mit inhärenter nutzerorientierter berechtigungsprüfung
DE102016218988A1 (de) Kommunikationssystem
DE102013001733A1 (de) Verfahren zum Zugriff auf einen Dienst eines Servers über eine Applikation eines Endgeräts
DE102015221372A1 (de) Verfahren zur Aktivierung eines Konfigurationsmodus eines Geräts
DE102017000514B3 (de) Vorrichtungen, systeme und verfahren zum entriegeln eines schlosses eines schloss-systems
DE102014209191A1 (de) System und Verfahren zum Herunterladen von auf einem Tachografen gespeicherten Daten
DE102021123970B4 (de) Nutzerauthentifizierung mittels fahrzeugbezogener Daten
DE102014222424A1 (de) Verfahren zum Autorisieren eines Kommunikationsklienten für die Nutzung einer Kommunikationsverbindung
CH708123A2 (de) Verfahren zur Verfügungsstellung einer gesicherten Zeitinformation.

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R082 Change of representative

Representative=s name: VON ROHR PATENTANWAELTE PARTNERSCHAFT, DE

Representative=s name: VON ROHR PATENTANWAELTE PARTNERSCHAFT MBB, DE

R082 Change of representative
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee