-
TECHNISCHES GEBIET
-
Die Erfindung betrifft ein Zugangssystem für ein Fahrzeug und ein Verfahren zum Verwalten des Zugangs zu einem Fahrzeug.
-
HINTERGRUND DER ERFINDUNG
-
Der Zugang zu sicherheitskritischen Einrichtungen, zum Beispiel kommerziellen Transportfahrzeugen und der Betrieb deren Systeme, unterliegt insbesondere im Falle von Verkehrsflugzeugen strengen Sicherheitsanforderungen. Trotz einer stetig gestiegenen Anzahl von operierenden Verkehrsflugzeugen und momentan verfügbaren Verfahren und Systemen für das Management von Zugangsberechtigungen beruht das Zugangsmanagement beispielsweise für Verkehrsflugzeuge üblicherweise auf der Autorisierung durch die Eingabe von Passwörtern. Diese Passwörter müssen durch sicheren und daher aufwändigen Informationstransfer in die betreffenden Verkehrsflugzeuge und an die autorisierten Benutzer verteilt werden. An Zugangskontrollvorrichtungen vor, am oder im Flugzeug selbst authentifiziert und autorisiert sich ein Benutzer anschließend durch Mitteilung des ihm bekannten Passwortes an das Flugzeug.
-
ZUSAMMENFASSUNG DER ERFINDUNG
-
Das Mitteilen von Passwörtern an Benutzer und das sichere Übertragen von Passwörtern an Zugangskontrollvorrichtungen ist aufwändig. Weiterhin kann es Missbrauch begünstigen, wenn eine Zugangskontrollvorrichtung ausschließlich auf das Passwort selbst vertraut. Es ist weiterhin möglich, dass beispielsweise ein Verkehrsflugzeug nicht über eine entsprechende Datenverbindung verfügt, um an einem Flughafen zur Zutrittskontrolle einen Satz von Passwörtern und dergleichen zu empfangen, so dass möglicherweise veraltete Passwörter vorliegen oder stets das gleiche Passwort an alle in Frage kommenden Benutzer verteilt wird.
-
Die Aufgabe der Erfindung liegt demnach darin, ein Zugangssystem für ein Fahrzeug und ein Verfahren zum Verwalten des Zugangs zu einem Fahrzeug vorzuschlagen, das nicht auf einen Datenlink angewiesen ist und weiterhin eine besonders hohe Sicherheit zur Authentifizierung eines Nutzers bereitstellt.
-
Die Aufgabe bezüglich des Fahrzeugsystems wird gelöst durch ein Zugangssystem für ein Fahrzeug mit den Merkmalen des unabhängigen Anspruchs 1. Vorteilhafte Weiterbildungen und Ausführungsformen sind den Unteransprüchen und der nachfolgenden Beschreibung zu entnehmen.
-
In einer vorteilhaften Ausführungsform weist das Zugangssystem für ein Fahrzeug eine zentrale Rechteverwaltungseinheit, mindestens eine Zugangskontrollvorrichtung, mindestens ein tragbares Identifikationsmedium und Eingabemittel zum Interagieren mit einem Benutzer auf, wobei die Rechteverwaltungseinheit dazu eingerichtet ist, Benutzeridentifikationen und zugehörige Benutzerrechte miteinander zu verknüpfen und bereitzustellen, wobei die Zugangskontrollvorrichtung ein Verbindungsmittel zum Verbinden mit dem Identifikationsmedium aufweist, wobei die Zugangskontrollvorrichtung dazu eingerichtet ist, einem autorisierten Benutzer die zugehörigen Benutzerrechte freizugeben und wobei das Identifikationsmedium eine Authentifizierungseinheit aufweist und dazu eingerichtet ist, in der Authentifizierungseinheit Prüfmechanismen zur Benutzerauthentifizierung zu durchlaufen und der Zugangskontrollvorrichtung Informationen zu einer durchgeführten Authentifizierung zu übermitteln.
-
Ein wesentlicher Kern der Erfindung liegt demnach in der logischen und hardwaremäßigen Trennung des eigentlichen Authentifizierungsvorgangs des Benutzers und des Autorisierungsvorgangs. Eine Authentifizierung ist als Verifikation der Echtheit der angegebenen Identität eines Benutzers anzusehen. Die Authentifizierung eines Benutzers erfolgt erfindungsgemäß dadurch, dass ein Benutzer sein ihm zugewiesenes Identifikationsmedium an das Verbindungsmittel der Zugangskontrollvorrichtung bringt, so dass eine Verbindung zwischen der Zugangskontrollvorrichtung und dem Identifikationsmedium hergestellt werden kann. Die Eingabemittel können dann dazu verwendet werden, die in dem Identifikationsmedium ablaufenden Prüfmechanismen mit Eingaben zu versehen, die sowohl Text- als auch Bild- und Toninformationen beinhalten können.
-
Die Authentifizierung wird erfindungsgemäß auf Basis von Merkmalselementen „Besitz” des Informationsmediums, „Wissen” eines Passworts oder eines anderen Geheimnisses und eines oder mehrerer körperlicher bzw. biometrischer Merkmale, etwa eines Fingerabdrucks, eines Irisscans, einer Sprachprobe oder dergleichen, durchgeführt. Eine Kombination dieser Merkmale, die mit Hilfe der auf dem Identifikationsmedium inhärenten Prüfmechanismen über die Eingabemittel der Zugangskontrollvorrichtung abprüfbar sind, kann ein besonders hohes Sicherheitsniveau bei der Authentifizierung eines Benutzers erreicht werden. Letzteres begründet sich insbesondere durch die biometrischen Merkmale des Benutzers, da diese praktisch fälschungssicher sind. Ferner ist nicht erforderlich, sensible Daten, etwa spezifische Benutzerdaten oder biometrische Merkmale, an eine Zugangskontrollvorrichtung oder ein übergeordnetes System zu übertragen und dort temporär oder dauerhaft zu speichern.
-
Es kann in einer bevorzugten Realisierung eines erfindungsgemäßen Systems zur Steigerung der Sicherheit des Systems sinnvoll sein, vor Aufnahme eines Authentifizierungsvorgangs durch die Zugangskontrollvorrichtung überprüfen zu lassen, ob das zur Authentifizierung verwendete Identifikationsmedium dem System bekannt ist und auch benutzt werden darf. Dieser Vorgang kann vor, während oder nach der Authentifizierung durchgeführt werden.
-
Von der Authentifizierung entkoppelt erfolgt die Autorisierung eines Benutzers am Fahrzeug auf Basis zentraler und außerhalb des Fahrzeugs verwalteter Rechte, die von der zentralen Rechteverwaltungseinheit vorgehalten werden. Hierzu werden von dieser für verschiedene vordefinierte Benutzergruppen mit ihren jeweiligen Rollen spezifische Berechtigungsschemata definiert. Die Benutzergruppen können beispielsweise Fahrzeugbegleiter, Reinigungspersonal, Wartungspersonal oder andere Arten von Benutzern umfassen. Eine Zuordnungstabelle kann hierfür Datenfelder aufweisen, die mit konkreten Benutzerberechtigungen in weiteren Datenfeldern verknüpft werden können. Letztere können etwa die generelle Berechtigung zum Betreten des Fahrzeugs und den Betrieb eines oder mehrerer Fahrzeugsysteme repräsentieren. Der Benutzergruppe „Reinigungspersonal” könnte beispielsweise gestattet werden, die Beleuchtung innerhalb des Fahrzeugs einzuschalten, bestimmte Steckdosen für Reinigungsgeräte zu verwenden, während jedoch der Betrieb der Klimaanlage, eines Bordunterhaltungssystems oder anderer Einrichtungen, die nicht für die Reinigung des Fahrzeugs erforderlich sind, gesperrt werden können. Es ist sinnvoll, die grundlegenden Benutzergruppen mit ihren jeweiligen Berechtigungen bereits einmalig im Fahrzeug zu hinterlegen und eine Zuordnungstabelle, die Benutzer mit Benutzergruppen verknüpft, von außen einzubringen. Eine Zuordnung von wechselnden Benutzern zu diesen Benutzergruppen erfolgt demnach zentral außerhalb des Flugzeugs in der Rechteverwaltungseinheit.
-
Eine Autorisierungsgrundlage könnte im einfachsten Fall eine Zuordnungstabelle sein, die einzelne Benutzer den einzelnen Benutzergruppen zuordnet. Es ist verständlich, dass eine Zuordnungstabelle besonders beim Einsatz für Flugzeuge aufgrund einer insgesamt hohen Anzahl von Benutzern sehr dynamisch sein kann. Aufgrund üblicher Fluktuation von Personal und der Änderung von Einsatzgebieten einzelner Benutzer oder individueller Berechtigungen können stets Änderungen erforderlich sein. Durch die dynamische Zuordnung und die davon logisch getrennte Authentifizierung ist es nicht erforderlich, den Benutzern gleichbleibende, fahrzeugbezogene Geheimnisse, wie etwa Passwörter oder PINs mitzuteilen, die im Fahrzeug zur Freigabe von festgelegten Berechtigungsschemata führen.
-
Die Autorisierung in Form der Freigabe eines festgelegten Berechtigungsschemas am und im Fahrzeug erfolgt auf Basis der Information der Authentifizierungseinheit, dass die Identität des Benutzers, der eine zuvor definierte Rolle besitzt, sichergestellt ist. Sobald also die Authentifizierung erfolgreich ist, kann dem Benutzer das seiner Rolle zugeordnete Berechtigungsschema für das Fahrzeug freigegeben werden. Bei diesem Vorgang der Autorisierung werden selbst keine Authentifizierungsmerkmale des Nutzers überprüft. Entsprechend müssen hierfür keine Informationen über spezifische Merkmalselemente der Benutzer an der Zugangskontrollvorrichtung oder einem übergeordneten System vorliegen.
-
Die logische Trennung der Benutzerauthentifizierung und der Benutzerautorisierung wird erst dadurch ermöglicht, dass ein transportables Identifikationsmedium zum Einsatz kommt, welches vom Benutzer mitzuführen ist. Bevor eine Authentifizierung und anschließende Autorisierung des Benutzers überhaupt möglich ist, wird das Identifikationsmedium einmalig individuell ausgestellt, wobei die individuellen Prüfmechanismen für den spezifischen Benutzer zusammengestellt und dauerhaft auf das Identifikationsmedium übertragen werden. Das Identifikationsmedium wird anschließend dem Benutzer übergeben. Ein versehentliches Vertauschen oder ein Diebstahl des Identifikationsmediums ist nicht tragisch, denn die Prüfmechanismen sind insbesondere aufgrund der biometrischen Merkmale des Benutzers nur auf diesen Benutzer anwendbar. Weiterhin ist es praktisch nicht möglich, durch Besitz des Identifikationsmediums an biometrische oder andere spezifische Daten des rechtmäßigen Eigentümers zu gelangen. Der Schutz vor Missbrauch kann dadurch gesteigert werden, dass die zugrundeliegenden Daten in der Authentifizierungseinheit verschlüsselt abgelegt sind und etwa durch eine Kryptographieeinrichtung in der Authentifizierungseinheit zum Durchlaufen der Prüfmechanismen erst wieder verfügbar gemacht werden.
-
Das erfindungsgemäße System ist besonders dafür geeignet, in sicherheitskritischen Einrichtungen wie etwa Verkehrsflughäfen eingesetzt zu werden. Der kommerzielle Luftverkehr ist unter anderem dadurch gekennzeichnet, dass sich Verkehrsflugzeuge regelmäßig auf Verkehrsflughäfen befinden. Die Sicherheit (sog. Luftsicherheit) von Infrastrukturen beispielsweise an deutschen Verkehrsflughäfen ist im Luftsicherheitsgesetz (LuftSiG) geregelt, welches die Vorschriften der Verordnung (EG) 2320/2002 des Europäischen Parlaments und des Rates zur Festlegung gemeinsamer Vorschriften für die Sicherheit in der Zivilluftfahrt berücksichtigt, detailliert ausführt. Insbesondere ist dort für Verkehrsflughäfen geregelt, welchen Personen bei Vorliegen der Voraussetzungen die Berechtigung zum Zugang zu nicht allgemein zugänglichen Bereichen erteilt werden darf oder bei Wegfall der Voraussetzungen zu entziehen ist. Es werden die Anforderungen an die Sicherungsmaßnahmen der Flughafenbetreiber und der Luftfahrtunternehmen in Bezug auf die Infrastrukturen an Verkehrsflughäfen und die Zugangsgestattung von Personen zu sensiblen Bereichen geregelt.
-
Der sensible Bereich des Verkehrsflugzeugs selbst ist dort jedoch nicht explizit, sondern nur implizit über die Flughafenanforderungen geregelt. Die Verwaltung des Zugangs zu Verkehrsflugzeugen kann sich sinngemäß aus den gesetzlichen Anforderungen ergeben. Beispielsweise ist eine Flugzeugbesatzung dazu verpflichtet, einen Ausweis mit sich zu führen (§ 10 LuftSiG), welcher nach positiv beschiedener Zuverlässigkeitsüberprüfung (§ 7 LuftSiG) ausgestellt wird. Dieser basiert üblicherweise auf einem Lichtbild und aufgedruckten personenbezogenen Daten und wird dazu genutzt, in sicherheitskritische, abgegrenzte Bereiche und in Verkehrsflugzeuge zu gelangen. Ein Identifikationsmedium im Sinne der Erfindung kann bevorzugt derart ausgestaltet werden wie ein herkömmlicher Lichtbildausweis, der jedoch die zusätzlichen, vorangehend beschriebenen Funktionen erfüllt.
-
Instandhaltungs- und Wartungsmitarbeiter sind ebenfalls verpflichtet, einen Ausweis mitzuführen, um sensible Infrastrukturen zu nutzen. Im Rahmen der Instandhaltung und Wartung besitzen Mitarbeiter auch Berechtigungen für den Zugang zu sensiblen Bereichen und Systemen des Flugzeugs, welche weitreichend über den normalen Betrieb des Flugzeugs hinausgehen können. Bei der Durchführung von Instandhaltungs- und Wartungsarbeiten unterstützt das Zugangssystem bevorzugt gleichzeitig auch die elektronische Dokumentation der durchgeführten Arbeiten. Beispielsweise ist es dem Techniker mit dem sog. BITS („Built-In Test Equipment”) möglich, Systemfunktionen im Testbetrieb bei Bedarf anzustoßen, auszuführen und zu prüfen. Wenn die Freigabe eines solchen Testbetriebs über ein erfindungsgemäßes Zugangssystem erfolgt, dann können die durchgeführten Systemtests und deren Ergebnisse auftragsspezifisch, automatisiert und personenbezogen in einem elektronischen Logbuch des Flugzeugs dokumentiert werden.
-
Theoretisch könnte das erfindungsgemäße Zugangssystems auch für Passagiere genutzt werden, die sich ebenfalls, überwiegend mit Gepäck, durch die einzelnen Sicherheitszonen am Flughafen in das Flugzeug begeben. Im Flugzeug nutzen sie beispielsweise das Bordunterhaltungssystem, den Bordverkauf oder andere Serviceleistungen. Das Identifikationsmedium könnte etwa in Form einer Vielfliegerkarte realisiert sein. Zum Anreiz der Benutzung könnte beispielsweise ein bei einer zentralen Datenbank der Luftfahrtgesellschaft freiwillig registrierter Passagier auf Basis einer automatisierten Authentifizierung am Flughafen verschiedene Selbstbedienungsservices in Anspruch nehmen oder Zutritt zu Lounges erhalten. Wenn der Passagier am Fluggastsitz platznimmt und sich dort mit seinem elektronischen Identifikationsmedium authentifiziert, kann beispielsweise die Boardingliste und die Gepäckbeladung automatisiert überprüft werden. Gleichzeitig können am Sitzplatz passagierbezogen personalisierte Service- und Unterhaltungsdienstleistungen der Fluggesellschaft freigegeben werden. Weiterhin kann das Identifikationsmedium Bezahlfunktionen oder das Einlösen von Bonuspunkten beinhalten, die vorgelagert die sichere Authentifizierung des Identifikationsmediums nutzen.
-
In einer vorteilhaften Ausführungsform ist die Authentifizierungseinheit dazu eingerichtet, der Zugangskontrollvorrichtung eine Information über eine erfolgreiche Authentifizierung eines Benutzers und eine abstrakte Benutzeridentifizierung zu übermitteln. Letztere wird durch eine Benutzer-ID oder ähnliche Ausdrücke definiert, die von realen Namen oder anderen Daten von persönlichen Benutzern entkoppelt sind. Der Authentifizierungsteil übernimmt demnach die gesamte Authentifizierung des Benutzers und kann nach einem erfolgreichen Durchlaufen nach außen mitteilen, dass die Authentifizierung erfolgreich war und welche Identifikation der authentifizierte Benutzer besitzt. Mit Hilfe der zentral den Benutzeridentifikationen zugeordneten Berechtigungsschemata kann eine Autorisierung des Benutzers erfolgen.
-
In einer vorteilhaften Ausführungsform weist das Identifikationsmedium einen unabhängigen Datenteil zur Speicherung von Benutzerberechtigungsdaten auf. Die Benutzerberechtigungsdaten beinhalten bevorzugt eine Korrelation zwischen abstrakten Benutzeridentifizierungen und zugehörigen Berechtigungsschemata bzw. Benutzerrollen. Die in dem Datenteil gespeicherten Daten müssen nicht zwangsläufig zu dem jeweiligen rechtmäßigen Besitzer des Identifikationsmediums gehören, sondern können auch eine Gruppe von Benutzern umfassen. Dies ist ein besonders großer Vorteil für Fahrzeuge und insbesondere Flugzeuge, die nicht an jedem Einsatzort eine Datenverbindung mit einer zentralen Rechteverwaltungseinheit herstellen können. Es würde ausreichen, einem Benutzer auf einem Identifikationsmedium aktualisierte Benutzerberechtigungsdaten zu speichern, so dass dieser bei Zutritt zu der Zugangskontrollvorrichtung dieser die Informationen weitergibt. Die für die Autorisierung notwendigen Daten werden damit durch so genannte virale bzw. epidemische Ausbreitung übermittelt. Eine bei Verkehrsflugzeugen üblicherweise vorherrschende hohe Nutzungsfrequenz erlaubt dabei dennoch eine Aufrechterhaltung einer hohen Datenaktualität. Gerade für Wartungspersonal erlaubt dies das Mitführen auftragsspezifischer Freigaben auch dann, wenn etwa ein externer Mitarbeiter zu einem Flughafen anreist, der keine direkte Datenbankanbindung zu einer zentralen Rechteverwaltungseinheit besitzt. Zusätzlich kann diese Funktion des Identifikationsmediums dafür sorgen, dass einem Passagier beim Verlassen eines Flughafens von einer zentralen Datenbank Informationen über abgegebene Gepäckstücke oder Daten zu Bonuspunkten von Vielfliegerprogrammen mitgegeben werden. Weiterhin kann relativ einfach eine sogenannte „Blacklist” realisiert werden, die bestimmten Benutzern diverse Berechtigungen entzieht. Sollte ein Benutzer, der ursprünglich eine bestimmte Berechtigung besaß, sich an dem betreffenden Fahrzeug authentifizieren, kann die aktualisierte Zuordnung von Benutzern zu Berechtigungen trotz fehlender Datenverbindung des Fahrzeugs umgehend berücksichtigt werden.
-
Eine Übertragung von Daten zwischen einer Zugangskontrollvorrichtung und einem Identifikationsmedium kann beispielsweise während oder nach einer Benutzerauthentifizierung erfolgen, so dass der betreffende Benutzer diesen wichtigen Übertragungsvorgang nicht aktiv beeinflussen oder unterbinden kann, dass auf seinem Identifikationsmedium Daten gespeichert werden, die anderen Benutzern den Zugang zu benutzerspezifischen Rechten ermöglichen oder verwehren. Dieses System, das eine virale, epidemische Verbreitung von Daten und Informationen einsetzt, begünstigt die Einhaltung von relevanten Sicherheitsvorschriften insbesondere im luftfahrttechnischen Bereich.
-
In einer vorteilhaften Ausführungsform weist das Identifikationsmedium eine elektrische Schnittstelle als Verbindungsmittel auf, die dazu eingerichtet ist, kontaktbehaftet eine Verbindung mit einer Zugangskontrollvorrichtung herzustellen. Das Identifikationsmedium weist in seiner Authentifizierungseinheit eine Anordnung von Rechen- und Speichereinheiten auf, die dazu eingerichtet sind, individuelle Prüfmechanismen zu durchlaufen. Eine elektrische Verbindung ist zumindest für eine Versorgung des Identifikationsmediums mit elektrischer Energie sinnvoll, wenn das Identifikationsmedium keine eigene Energieversorgung besitzt. Sollte das Identifikationsmedium ferner keine eigenen Eingabemittel aufweisen, wäre für den Betrieb notwendig, Eingabemittel der Zugangskontrollvorrichtung zu verwenden. Eine kontaktbehaftete Schnittstelle erlaubt ein sicheres und temporär zuverlässiges Herstellen einer elektrischen Verbindung, weiterhin kennzeichnet sich diese Art von Verbindung durch ihre leichte Herstellbarkeit und die geringen Kosten gegenüber alternativen Verbindungsformen.
-
In einer vorteilhaften Ausführungsform weist das Identifikationsmedium eine Sende- und Empfangseinrichtung auf, die dazu eingerichtet ist, mit einer externen Sende- und Empfangseinrichtung drahtlos zum Übertragen von Daten zu kommunizieren. Die in das Identifikationsmedium integrierte Sende- und Empfangseinrichtung weist hierfür mindestens eine Antenne auf, die mit einer elektronischen Schaltung in Verbindung steht, die eine entsprechende Sendemodulation und Empfangsdemodulation ausführt. Der besondere Vorteil der drahtlosen Kommunikation liegt darin, dass das Identifikationsmedium mangels Notwendigkeit einer kontaktbehafteten Verbindung vollständig, beispielsweise mit einer Kunststoff-Umhüllung, gekapselt werden kann, so dass es vor Umwelteinflüssen weitestgehend geschützt ist und eine höhere Zuverlässigkeit als mit einer kontaktbehafteten Schnittstelle besitzt. Besonders vorteilhaft ist die Sende- und Empfangseinrichtung derart ausgelegt, dass über eine Induktionsschaltung die Sende- und Empfangseinrichtung von extern mit der notwendigen Betriebsspannung versorgt wird, so dass das Identifikationsmedium ohne einen Energiespeicher, beispielsweise eine Batterie, betreibbar ist. Die Induktionsschaltung kann eine Primärspule im Bereich des Verbindungsmittels und eine Sekundärspule in dem Identifikationsmedium beinhalten, die bei an das Verbindungsmittel herangeführtem Identifikationsmedium weitgehend miteinander fluchten und dabei einen Übertrager bilden. Die Primärspule und die Sekundärspule können bevorzugt gleichzeitig auch für die Datenübertragung genutzt werden. Die Übertragung elektrischer Energie kann intervallweise über einen Pufferspeicher oder kontinuierlich erfolgen.
-
In einer vorteilhaften Ausführungsform ist das Identifikationsmedium dazu eingerichtet, Priorisierungsmerkmale bereitzustellen, wobei die Zugangskontrollvorrichtung dazu eingerichtet ist, Priorisierungsmerkmale von dem Identifikationsmedium abzurufen und mit Priorisierungsmerkmalen anderer bekannter, beispielsweise von anderen Identifikationsmedien abgerufener, Benutzerberechtigungsdaten zu vergleichen. Dies ist besonders wichtig, um einem dezentral organisierten Netzwerk, das auf einer viralen, epidemischen Ausbreitung von Daten beruht, davor schützt, veraltete oder überholte Daten als Basis für Berechtigungen von Benutzern einzusetzen. Besitzt beispielsweise ein Benutzer ein Identifikationsmedium, welches andere Benutzerberechtigungsdaten vorhält als das Identifikationsmedium eines anderen Benutzers, werden die aktuelleren Benutzerberechtigungsdaten bevorzugt. Als ein Priorisierungsmerkmal kann ein Zeitstempel oder eine Zeitangabe der zuletzt vorgenommenen Aktualisierung verwendet werden, die mit Priorisierungsmerkmalen anderer Benutzerberechtigungsdatensätze zu vergleichen sind.
-
In einer vorteilhaften Ausführungsform ist eine erste Zugangskontrollvorrichtung vorgesehen, die sich außerhalb des Fahrzeugs befindet. Eine derartige erste Zugangskontrollvorrichtung könnte beispielsweise in einem Flughafengebäude oder auf einem Flughafengelände vorhanden sein und sich zwischen einem öffentlichen und einem Sicherheitsbereich befinden. Flughafenpersonal müsste sich, um Zutritt zu dem Sicherheitsbereich zu erlangen, mit ihrem Identifikationsmedium an der ersten Zugangskontrollvorrichtung einfinden, um dort eine Authentifizierung durchzuführen.
-
In einer vorteilhaften Ausführungsform weist die erste Zugangskontrollvorrichtung eine Datenverbindung mit der zentralen Rechteverwaltungseinheit auf. Die Verbindung erfolgt bevorzugt über ein sicheres, drahtgebundenes Netzwerk. Ein Benutzer, der sich an dieser ersten Zugangskontrollvorrichtung einfindet, führt unter Zuhilfenahme seines Identifikationsmediums eine Authentifizierung durch, wobei die erste Zugangskontrollvorrichtung die aktuellen Berechtigungen des Benutzers, also eine aktualisierte Zuordnung des Benutzers zu Berechtigungsschemata, von der zentralen Rechteverwaltungseinheit abruft, um anschließend nach der Authentifizierung eine entsprechende Autorisierung durch Freigabe der zugeordneten Benutzerrechte zu ermöglichen. Die Autorisierung würde beispielsweise bei entsprechend vorliegenden positiven Berechtigungen ein Signal an der Zugangskontrollvorrichtung auslösen, das zum Öffnen einer Tür führt, die einen Zutritt zu dem sicherheitsgeschützten Bereich erlaubt. Bei dieser Authentifizierung und der nachfolgenden Autorisierung kann eine aktualisierte Benutzerzuordnung auf der Rechtezuordnungseinheit des Identifikationsmediums abgelegt werden. Der Benutzer, der in den sicherheitsrelevanten Bereich des Flughafens eintritt, würde dann eine aktualisierte Benutzerzuordnung mit sich führen.
-
In einer vorteilhaften Ausführungsform weist die erste Zugangskontrollvorrichtung keine Datenverbindung zu der zentralen Rechteverwaltungseinheit auf. Diese erste Zugangskontrollvorrichtung könnte beispielsweise in nachträglich eingerichteten Zutrittsstellen auf einem Flughafengelände angeordnet werden und kann auf Basis von Rechtezuordnungen, die von Identifikationsmedien abgerufen werden, Kenntnis über aktuelle Rechtezuordnungen erlangen. Gleichzeitig ist es dieser zweiten Zugangskontrollvorrichtung möglich, sämtliche vorangehend angeführten Schritte durchzuführen. Diese umfassen beispielsweise das Vergleichen von Rechtezuordnungen auf nachträglich eingebrachten Identifikationsmedien, das Ablegen von aktualisierten Rechtezuordnungen auf nachträglich eingeführten Identifikationsmedien und dergleichen.
-
In einer vorteilhaften Ausführungsform ist eine zweite Zugangskontrollvorrichtung vorhanden, die an oder in dem Fahrzeug angeordnet ist und dazu eingerichtet ist, den Betrieb von Fahrzeugsystemen basierend auf den Berechtigungen eines authentifizierten Benutzers freizugeben.
-
Die Aufgabe bezüglich des Verfahrens wird durch ein in nebengeordneten Ansprüchen beschriebenes Verfahren gelöst, das die vorangehend vorgestellten Verfahrensschritte umfasst. Der Zugang zu einem Fahrzeug kann dabei sowohl das Betreten eines Bereichs, in dem sich ein Fahrzeug befindet umfassen, als auch den Zugang zu einem in dem Fahrzeug installierten System. Das Verfahren beschreibt daher ein Verfahren zum Regeln des Zugangs zu einem Fahrzeug bzw. einem Fahrzeugsystem.
-
KURZE BESCHREIBUNG DER ZEICHNUNGEN
-
Weitere Merkmale, Vorteile und Anwendungsmöglichkeiten der Erfindung ergeben sich aus der nachfolgenden Beschreibung der Ausführungsbeispiele und den Figuren. Dabei bilden alle beschriebenen und/oder bildlich dargestellten Merkmale für sich und in beliebiger Kombination den Gegenstand der Erfindung auch unabhängig von ihrer Zusammensetzung in den einzelnen Ansprüchen oder deren Rückbezügen. In den Figuren stehen weiterhin gleiche Bezugszeichen für gleiche oder ähnliche Objekte.
-
1a und 1b zeigen in schematischen Ansichten die grundlegende Funktion des Identifikationsmediums und den Identitätsnachweis durch grundlegende Merkmalselemente.
-
Die 2a, 2b und 2c zeigen verschiedene blockbasierte Schemata, wie eine Zugangskontrolle mit dem erfindungsgemäßen Zugangssystem bzw. dem Verfahren zum Verwalten des Zugangs durchgeführt wird.
-
3a, 3b und 3c zeigen zwei exemplarische Zugangskontrollvorrichtungen und einen möglichen Einsatz an einem Flughafen.
-
4 zeigt eine schematische, blockbasierte Darstellung des erfindungsgemäßen Verfahrens.
-
DETAILLIERTE DARSTELLUNG EXEMPLARISCHER AUSFÜHRUNGSFORMEN
-
1a zeigt eine zentrale Rechteverwaltungseinheit 2, in der für mehrere Benutzer 4 individuelle Berechtigungen für den Zutritt zu einem Fahrzeug 8 in Form eines Flugzeugs 8 verwaltet und definiert werden. Die zentrale Rechteverwaltungseinheit 2 ist als eine Kernkomponente eines erfindungsgemäßen Zugangssystems zu verstehen, denn sämtliche Benutzer 4 können nur dann Zutritt zu einem Flugzeug 8 erhalten oder verschiedene darin installierte Systeme nutzen, wenn ihnen in der zentralen Rechteverwaltungseinheit 2 eine entsprechende Berechtigung eingeräumt wird.
-
Berechtigungen können in Form von Berechtigungsschemata definiert werden, die etwa abhängig von bestimmten Benutzerrollen sind. Derartige Rollen sind in Form von vorgesehenen Aufgaben anzusehen, die von einem jeweiligen Benutzer 4 durchzuführen sind. Besonders bevorzugt werden einzelnen Benutzern 4 abstrakte Benutzeridentifizierungen zugewiesen, die es ermöglichen, in der Rechteverwaltungseinheit 2 von realen Namen oder sonstigen persönlichen Benutzerinformationen unabhängig zu sein, dennoch individuelle Berechtigungen zu verteilen. Benutzern 4 mit ihrer jeweiligen Benutzerrolle werden Berechtigungen zugewiesen, indem etwa in einer Berechtigungsmatrix B einzelne Benutzer 4 mit Benutzerrollen, Benutzergruppen oder Berechtigungsschemata verknüpft werden. Diese Berechtigungsmatrix kann von einer externen Einrichtung abgerufen werden, indem die Rechteverwaltungseinheit etwa nach der Benutzerrolle oder dem Berechtigungsschema eines zuvor authentifizierten Benutzers 4 befragt wird.
-
Jeder Benutzer 4 erhält weiterhin jeweils ein individuelles Identifikationsmedium 6, das eine Authentifizierungseinheit mit inhärenten Prüfmechanismen aufweist, die eine dezentrale Authentifizierung eines Benutzers 4 auf Basis mehrerer Merkmalselemente ohne die Notwendigkeit einer Übertragung von personenbezogenen Daten erlaubt, wie weiter nachfolgend erläutert wird. Besonders bevorzugt kann ein erfindungsgemäßes Zugangssystem für eine Zutrittskontrolle in einem Flughafen verwendet werden, an dem eine Vielzahl von Flugzeugen 8 verkehrt, wobei der Zutritt zu einzelnen voneinander separierten Bereichen des Flughafens und zu den Flugzeugen 8 besonders sicherheitskritisch ist.
-
1b zeigt drei Merkmalselemente, die bei einem Vorgang des Authentifizierens zum Nachweis der Identität des Benutzers 4 herangezogen werden. Zunächst ist der „Besitz” eines Identifikationsmediums b notwendig, weiterhin das „Wissen” um ein Geheimnis, beispielsweise ein Passwort oder eine persönliche Identifikationsnummer (PIN). Ein drittes Element, das „Sein”, stellen ein oder mehrere körperliche Merkmale dar, welche in Form sogenannter biometrischer Daten überprüfbar sind. Bekannte biometrische Merkmale sind beispielsweise die biometrischen Daten eines Fingerabdrucks, eines Gesichts oder einer Iris, alternativ auch eine Spracherkennung, etwa durch eine Formantanalyse. Je nach Kombination und Ausprägung dieser Merkmalselemente kann die Sicherheitsstufe bei der Authentifizierung angepasst werden.
-
Die 2a zeigt das Identifikationsmedium 6 sowie dessen Ausfertigung für einen konkreten Benutzer 4. Zur Zusammenstellung von hierfür notwendigen Daten werden von dem Benutzer 4 Merkmalselemente für eine sichere Nutzer-Authentifizierung aufgenommen und in Form von Prüfmechanismen auf sein elektronisches Identifikationsmedium 6 in einen Authentifizierungsteil 10 gebracht. Dieser weist mehrere elektronische Komponenten auf, die zum Ausführen von Prüfalgorithmen eingerichtet sind. Dem Identifikationsmedium 6 wird ferner die spezifische Rolle des Benutzers 4 übergeben, aus welcher sich ein Berechtigungsschema für eine spätere Autorisierung etwa in einem Flugzeug 8 ableitet.
-
Die Merkmalselemente können dabei in eine Nutzerdatenbank 14, die beispielsweise Teil einer zentralen Rechteverwaltungseinheit ist, überführt werden, die dazu eingerichtet ist, basierend darauf Prüfmechanismen zu erstellen, eine vorgesehene Benutzerrolle zu definieren und sämtliche Daten an den Authentifizierungsteil 10 des Identifikationsmediums zu übergeben. Die Nutzerdatenbank 14 und Zugangskontrollvorrichtungen, etwa an oder in einem Flugzeug 8, weisen ebenfalls Informationen über die grundlegenden Berechtigungsschemata auf. Bevorzugt wird lediglich einmal in der Gegenwart des Benutzers und einer Person, die dazu berechtigt ist, ein Identifikationsmedium auszustellen, die notwendigen Daten erfasst und für die einmalige Ausstellung des Identifikationsmediums verwendet. Danach sind die betreffenden Daten bevorzugt zu löschen.
-
Weiterhin werden bei der Ausstellung des Identifikationsmediums 6 von einer Datenbank mit Berechtigungsdaten 16, die beispielsweise auch Teil der zentralen Rechteverwaltungseinheit ist, aktuelle Berechtigungsdaten für das Flugzeug 8 auf das Identifikationsmedium 6 in einen Datenteil 12 gebracht. Die Berechtigungsdaten können tabellarisch miteinander korrelierte Datenfelder aufweisen, die Zuordnungen von Benutzern und Berechtigungsschemata definieren.
-
Der Vorgang des Authentifizieren und Autorisierens wird ferner in 2b dargestellt. Ein Benutzer 4, der sein persönliches Identifikationsmedium 6 mit sich führt, befindet sich an einer Zugangskontrollvorrichtung 18, die schematisch dargestellt wird und sich beispielsweise an einem Ausgang eines Flughafengebäudes befindet, der zu einem Rollfeld führt. Für den Nachweis seiner Identität muss der Benutzer 4 zunächst im Besitz des Identifikationsmediums 6 sein. Zusätzlich muss er ein Geheimnis, etwa ein Passwort oder eine PIN und/oder ein körperliches, biometrisches Merkmal nachweisen. Die auf seinem elektronischen Identifikationsmedium 6 abgelegten Prüfmechanismen verifizieren die Identität des Benutzers 4 und übermitteln der Zugangskontrollvorrichtung 18 die bestätigte Identität des Benutzers 4 und dessen zugehörige Benutzerrolle.
-
Aufgrund einer Datenverbindung zwischen der Zugangskontrollvorrichtung 18 und der zentralen Rechteverwaltungseinheit 16 kann nach Abschluss der Authentifizierung eine Abfrage der Rechteverwaltungseinheit 16 nach dem zugehörigen Berechtigungsschema für den Benutzer 4 getätigt werden. Die Zugangskontrollvorrichtung 18 erhält damit eine aktuelle Information darüber, welche Berechtigungen der Benutzer 4 besitzt.
-
Parallel dazu können aktualisierte Berechtigungsdaten für das betreffende Fahrzeug bzw. Flugzeug 8 von der zentralen Rechteverwaltungseinheit 16 an den Datenteil 12 des Identifikationsmediums 6 übertragen werden, die Berechtigungen, Zugehörigkeiten zu Benutzergruppen und freigegebene Berechtigungsschemata für den aktuellen Benutzer 4 und eine beliebige Anzahl weiterer Benutzer umfassen kann. Die gespeicherten aktuellen Berechtigungsdaten können dazu verwendet werden, in Zugangskontrollvorrichtungen ohne Datenverbindung vorliegende Berechtigungsdaten zu aktualisieren. Jedes Identifikationsmedium 6 dient dabei als eine Datenquelle. Bei einer hohen Nutzungsfrequenz durch eine Vielzahl von Benutzern 4 kann durch eine resultierende virale, epidemische Datenübertragung eine hohe Aktualität erreicht werden.
-
Nach Abschluss der Authentifizierung und Datenübertragung autorisiert die Zugangskontrollvorrichtung 18 den Benutzer 4 zum Passieren, beispielsweise zum Betreten eines Rollfelds. Dies kann durch Senden eines entsprechenden Signals oder Befehls an eine Schranke, an ein Tor oder dergleichen ausgeführt werden.
-
Eine Zugangskontrollvorrichtung 20 ohne eine Datenverbindung wird in 2c gezeigt. Die dort vorliegenden Berechtigungsdaten stammen ausschließlich von Identifikationsmedien 6, die durch Benutzer 4 herangebracht werden und zur Freigabe von Berechtigungen nach Authentifizierung verwendet werden. Der Benutzer führt sein Identifikationsmedium 6 mit aktualisierten Berechtigungsdaten mit sich und führt mit Hilfe des Authentifizierungsteils 10 eine Authentifizierung durch. Anschließend wird der Zugangskontrollvorrichtung 20, die beispielsweise an oder in einem Flugzeug 8 angeordnet ist, die bestätigte Identität des Benutzers 4 und seine definierte Rolle übermittelt. Gleichzeitig übermittelt das Identifikationsmedium 6 der Zugangskontrollvorrichtung 20 die vom Benutzer 4 mitgeführten, aktualisierten Berechtigungsdaten. Im Sinne einer ausschließenden Zugangskontrolle („Blacklist”) könnte anschließend überprüft werden, ob die mitgeführten Berechtigungsdaten die bestätigte und übermittelte Identität nicht ausschließen. Ist dies nicht der Fall, wird der Benutzer 4 gemäß seiner definierten Rolle autorisiert. Entsprechend wird dieses Vorgehen auch bei anderen Benutzern und Flugzeugen eingesetzt.
-
3a zeigt ein mögliches Ausführungsbeispiel einer Zugangskontrollvorrichtung 22, die zur Verwendung eines Identifikationsmediums ohne eigene Eingabemittel ausgeführt ist. Die Zugangskontrollvorrichtung ist lediglich beispielhaft als ein säulenartiges Terminal ausgeführt, dessen wesentliche für einen Benutzer 4 wahrnehmbare Elemente Eingabemittel und ein Verbindungsmittel 32 sind. Der Benutzer ist in der Lage, sein Identifikationsmedium 6 in ein exemplarisch schachtartiges Verbindungsmittel 32 einzuführen, in dem beispielsweise mit einem elektrischen Kontakt 34 des Identifikationsmediums 6 eine Verbindung zu Eingabemitteln und Ausgabemitteln hergestellt wird. Die Eingabemittel können beispielhaft eine Tastatur 24, einen Fingerabdruckscanner 26, eine Kamera 28 und ein Mikrofon 30 umfassen, je nach Anwendbarkeit. Ein Bildschirm 36 erlaubt dem Benutzer 4, Anweisungen zu folgen und den Fortschritt des Authentifizierungsvorgangs einzusehen. Die Zugangskontrollvorrichtung 22 kann eine Datenverbindungseinheit 38 aufweisen, die eine Verbindung zu einer zentralen Rechteverwaltungseinheit erlaubt. Ferner sollte ein Steuerausgang 40 vorgesehen werden, der zur Kommunikation mit den anzusteuernden Systemen notwendig ist und bei der Autorisierung entsprechende Steuerbefehle aussendet.
-
3b zeigt alternativ eine Zugangskontrollvorrichtung 23, die zur Verwendung eines Identifikationsmediums mit 25 eigenen Eingabemitteln 27 ausgeführt ist. Zum Verbinden mit dem Identifikationsmedium wird eine drahtlose Verbindungseinrichtung 29 eingesetzt, die neben einer Übertragung elektrischer Energie zum Betrieb des Identifikationsmediums und der darin integrierten Authentifizierungseinheit auch eine Datenverbindung zwischen dem Identifikationsmedium und der Zugangskontrollvorrichtung 23 erlaubt. Die Eingabemittel 27 können beispielhaft zumindest als Tastatur und ein Fingerabdruckscanner ausgeführt sein.
-
3c zeigt schematisch die mögliche Anwendbarkeit von Zugangskontrollvorrichtungen in einem Flughafen 42, in dem beispielhaft ein Flughafengebäude 44 mit einem öffentlichen Bereich 46, einem Sicherheitsbereich 48 und einem Rollfeld 50 vorhanden ist. Mehrere Flugzeuge 8 befinden sich auf dem Rollfeld 50 und weisen jeweils eine Zugangskontrollvorrichtung 52 auf, die keine Datenverbindung zu einer zentralen Rechteverwaltungseinheit 54 aufweist, die sich beispielhaft in dem Sicherheitsbereich 48 des Flughafengebäudes 44 befindet. Demnach sind die Zugangskontrollvorrichtungen 52 in den Flugzeugen auf eine virale, epidemische Übertragung aktualisierter Berechtigungsdaten angewiesen.
-
Zum Erreichen des Rollfelds 50 ist eine Zugangskontrollvorrichtung 56 zu passieren, die eine Datenverbindung zu der zentralen Rechteverwaltungseinheit 54 aufweist. Der Benutzer 4, der etwa durch Authentifizieren und Autorisieren das Rollfeld 50 erreicht, trägt aktualisierte Berechtigungsdaten mit sich, die während der Authentifizierung auf das Identifikationsmedium 6 gespeichert werden.
-
Der Sicherheitsbereich 48 wird ferner durch eine von mehreren Zugangskontrollvorrichtungen 58 erreicht, die als stationäre, dauerhaft betriebene Geräte ebenfalls Datenverbindungen zu der zentralen Rechteverwaltungseinheit 54 besitzen.
-
4 zeigt schließlich einen schematisch dargestellten Ablauf eines Verfahrens zum Regeln des Zugangs zu einem Fahrzeug bzw. einem Fahrzeugsystem. Es wird eine Verbindung eines Identifikationsmediums mit einem Verbindungsmittel einer Zugangskontrollvorrichtung hergestellt 60. Dies muss nicht zwangsläufig am Anfang des Verfahrens geschehen. Vielmehr ist erforderlich, dass eine Authentifizierung nur dann erfolgen kann, wenn eine Zugangskontrollvorrichtung in unmittelbarer Nähe ist, so dass nach einer Authentifizierung zeitnah die Autorisierung durchgeführt werden kann, um Missbrauch beispielsweise eines entwendeten Identifikationsmediums, das kurze Zeit zuvor eine Authentifizierung durchgeführt hat, zu vermeiden. Das Identifikationsmedium fragt über die Eingabemittel Merkmale ab 62, die etwa körperliche, biometrische Merkmale und das Wissen um ein bestimmtes Geheimnis umfassen und prüft 64 deren Richtigkeit. Können die vom Benutzer abgerufenen Merkmalselemente die im Identifikationsmedium inhärenten Prüfmechanismen befriedigen, gelangt das Identifikationsmedium zu dem Ergebnis, dass sich der Benutzer erfolgreich authentifiziert hat und übermittelt der Zugangskontrollvorrichtung die Information, dass der Benutzer sich erfolgreich authentifiziert hat 66 und welche Berechtigungsrolle der Benutzer aufweist. Sollte die Prüfung nicht erfolgreich sein, wird das Authentifizierungsverfahren beendet 67.
-
Bevorzugt werden nach Herstellen der Verbindung 60 von dem Identifikationsmedium gleichzeitig Berechtigungsdaten abgerufen 68, sofern die Zugangskontrollvorrichtung keine Datenverbindung zu einer zentralen Rechteverwaltungseinheit aufweist. Sollte dies jedoch der Fall sein, werden aktualisierte Berechtigungsdaten von einer zentralen Rechteverwaltungseinheit abgerufen 70 und auf das Identifikationsmedium übertragen 72. Anschließend wird die Benutzerrolle bzw. abstrakte Benutzeridentifizierung mit den Berechtigungsdaten korreliert 74, wonach eine Autorisierung 76 erfolgt, etwa durch Absetzen von Steuerbefehlen oder dergleichen.
-
Das Abrufen von Daten aus dem Datenteil des Identifikationsmediums, wenn keine Verbindung zu einer zentralen Rechteverwaltungseinheit besteht, umfasst auch das Abrufen 76 von Priorisierungsmerkmalen und der Vergleich 78 mit Priorisierungsmerkmalen vorher geladener Berechtigungsdaten, um eine Entscheidung darüber treffen zu können, welcher Satz mit Berechtigungsdaten der zu priorisierende Datensatz ist. Priorisierungsmerkmale könnten dabei in Form von Zeitstempeln oder dergleichen ausgeführt sein.
-
Durch das erfindungsgemäße Zugangssystem und das erfindungsgemäße Verfahren zum Kontrollieren des Zugangs zu einem Fahrzeug kann auch bei unvollständiger Infrastruktur, umfangreichen Fahrzeugbewegungen und einer hohen Personalfluktuation dennoch eine sehr hohe Sicherheit und Zuverlässigkeit der Freischaltung von Zugängen und Fahrzeugfunktionen erreicht werden.
-
Ergänzend sei darauf hinzuweisen, dass „aufweisend” keine anderen Elemente oder Schritte ausschließt und „ein” oder „einer” keine Vielzahl ausschließt. Ferner sei darauf hingewiesen, dass Merkmale, die mit Verweis auf eines der obigen Ausführungsbeispiele beschrieben worden sind, auch in Kombination mit anderen Merkmalen anderer oben beschriebener Ausführungsbeispiele verwendet werden können. Bezugszeichen in den Ansprüchen sind nicht als Einschränkungen anzusehen.