EP2304693B1

EP2304693B1 - Zugangskontrollverfahren und zugangskontrollsystem

Info

Publication number: EP2304693B1
Application number: EP09765310.9A
Authority: EP
Inventors: Andreas HÄBERLI
Original assignee: Kaba AG
Current assignee: Kaba AG
Priority date: 2008-06-18
Filing date: 2009-06-15
Publication date: 2016-08-31
Anticipated expiration: 2029-06-15
Also published as: WO2009152628A1; EP2304693A1

Description

Die Erfindung betrifft das Gebiet als Zugangskontrolle. Sie betrifft im Speziellen ein auf einem Identifizierungsverfahren (eigentlich: Authentifizierungsverfahren) beruhendes Zugangskontrollverfahren und Zugangskontrollsystem.
Identifizierungssysteme (oft auch als Identifikationssysteme bezeichnet) kommen zum Einsatz bei unterschiedlichen Anwendungen wie der Zugangskontrolle Wertkartensystemen, Datenerfassungssystemen etc. Immer wichtiger werden dabei die drahtlosen Informationsübertragungen, beispielsweise über Radiofrequenzsignale, oder auch Mikrowellen (bspw. über GSM). Dabei stellt sich aufgrund der vergleichsweise grossen Reichweite das mögliche Problem von Manipulationen. So kann beispielsweise mittels einer in einiger Entfernung von einem Datenaustauschpunkt (Schreib- und/oder Leseeinrichtung eines Schliessystems eines Wertkartenlesers etc.) ein Sender/Empfänger eines Manipulierenden aufgestellt sein, mittels dem eine sogenannte "man-in-the-middle"-Attack oder eine andere Sicherheitslücken des verwendeten Austauschprotokolls ausnutzende Manipulation durchgeführt wird.
Seit einiger Zeit ist die Verwendung der sogenannten kapazitiv-resistiven Kopplung (auch ,kapazitive Kopplung' oder ,PAN-Kopplung' genannt) für die Zugangskontrolle bekannt. Diese ist sehr kurzreichweitig, und es wird oft der Pfad durch den menschlichen Körper für die Signalübertragung ausgenutzt. Dadurch kann ein Empfangen von Signalen durch einen in einiger Entfernung positionierten Manipulierenden mit recht grosser Sicherheit ausgeschlossen werden.
Nachteilig an der kapazitiv-resistiven Kopplung ist die in realisierbaren Ausführungsformen meist sehr geringe Datenübertragungsrate der Informationsübertragung. Diese rührt daher, dass die Kommunikationseinrichtung im Allgemeinen so eingerichtet wird, dass eine Signalübertragung durch den menschlichen Körper ermöglicht wird. Dies verbietet hohe Frequenzen und hohe Amplituden.
Aufgrund der sehr beschränkten Datenübertragungsrate können entweder nur sehr kurze Datenpakete übertragen werden, oder es entsteht eine entsprechend lange Wartezeit. Ersteres ist für Anwendungen mit höheren Sicherheitsstandards unerwünscht, letzteres wirkt sich negativ auf den Komfort aus.
Aus der EP 1 024 626 ist ein Verfahren bekannt, mittels welchem die Informationsübertragung über eine PAN-Kopplung (oder eine IR-Schnittstelle oder dergleichen) mit der Informationsübertragung über ein ,Broadcast'-Medium, bspw. RF, kombiniert wird. Dazu wird über die PAN-Kopplung ein Schlüssel übermittelt, welcher die in der anschliessenden Kommunikation über den RF-Kanal übermittelten Daten verschlüsselt. Dieses Vorgehen hat den Vorteil, dass die von der sehr kurzreichweitigen PAN Kopplung gewährleistete Sicherheit mit der Übertragung grösserer Datenmengen mittels einer anderen Technologie kombiniert werden kann. Für die Anwendung Zugangskontrolle ist aber auch dieses Vorgehen zu wenig komfortabel, da die richtige Informationsübertragung erst einsetzen kann, wenn sich der Benutzer in unmittelbarer Nähe der Schreib- und/oder Leseeinrichtung (diese sitzt bspw. in der Türe) befindet. Ähnliche Systeme werden in WO2005/034393 und WO2007/036061 offenbart.
Es ist daher Aufgabe der Erfindung, ein Authorisierungsverfahren und ein Authorisierungssystem zur Verfügung zu stellen, welche Nachteile gemäss dem Stand der Technik überwinden und insbesondere für die Anwendung ,Zugangskontrolle' die notwendige Sicherheit und gleichzeitig eine befriedigende Geschwindigkeit des Verfahrens ermöglichen.
Diese Aufgabe wird gelöst durch ein Verfahren und ein System, wie sie in den Ansprüchen definiert sind.
Die Erfindung zeichnet sich im Wesentlichen dadurch aus, dass für die Zugangskontrolle in einem ersten Schritt eine drahtlose Funkverbindung (damit ist hier nebst Radiofrequenzen die Kommunikation über Mikrowellenfrequenzen ausdrücklich mitgemeint) zwischen dem Objekt, zu dem Zugang gesucht wird, und einem Zugangskontrollmedium (Mobiltelefon, anderes elektronisches Gerät, Chipkarte etc.) aufgebaut wird. Über diese drahtlose Verbindung wird zunächst ein Authentifizierungsverfahren durchgeführt, in welchem die Zugangsberechtigung des Zugangskontrollmediums geprüft wird. Anschliessend wird ein temporärer Zugangscode vom Objekt an das Zugangskontrollmedium gesandt und von diesem wieder an das Objekt zurückgesandt, unter Umständen in modifizierter Form. Dabei wird entweder für das Zurücksenden des - gegebenenfalls modifizierten - Zugangscodes an das Objekts oder eventuell für das Senden des Zugangscodes an das Zugangskontrollmedium die kapazitiv-resistive Kopplung verwendet; in die jeweils andere Richtung wird das Signal über die drahtlose Verbindung gesandt.
Sofern der temporäre Zugangscode - gegebenenfalls in modifizierter Form - korrekt zum Objekt zurückgelangt, wird das Objekt freigegeben. In vielen Ausführungsformen ist das Objekt eine Türe mit einer mechatronischen Verriegelungsvorrichtung, die in Kommunikationsverbindung mit einer - ggf. in die Verriegelungsvorrichtung integrierten - Schreib- und/oder Leseeinrichtung steht, die ihrerseits Mittel zum Kommunizieren über die drahtlose Verbindung und zum Empfangen und/oder Aussenden von kapazitiv-resistiven Signalen aufweist. Das Freigeben des Objekts entspricht in diesem Fall der mechatronische Entriegelung der Tür.
Das Authentifizierungsverfahren ist irgend ein Verfahren, durch das festgestellt werden kann, ob das Zugangskontrollmedium zum Zugang zum Objekt berechtigt. Das kann über eine einfache Abfrage von Codes geschehen, die auf dem Zugangskontrollmedium vorhanden sein müssen, ober über aufwändigere, sichere Verfahren. Insbesondere besteht die Möglichkeit, das Authentifizierungsverfahren in an sich vom Stand der Technik her bekannter Art oder mittels eines kommerziell erhältlichen Systems, dessen Protokoll nicht unbedingt bekannt sein muss, durchzuführen. Auf jeden Fall liefert das Authentifizierungsverfahren bevorzugt eine ja/nein-Antwort auf die Frage, ob das Zugangskontrollmedium in der vorliegenden Situation zum Zugang berechtigt. Nur wenn die Antwort "ja" ist, wird ein temporärer Zugangscode erzeugt und an das Zugangskontrollmedium übermittelt.
Der temporäre Zugangscode ist beispielsweise eine Zufallssequenz; er wird nur während einiger Zeit nach seiner Erzeugung vom Objekt akzeptiert, bspw. während 2-10 Sekunden oder kann nur einmal als berechtigt empfangen werden ("one time" Code). Optional werden durch die Schreib- und/oder Leseeinrichtung des Objekts weitere temporäre Zugangscodes erzeugt, wenn nach Ablauf dieser Zeit die drahtlose Kommunikationsverbindung noch immer besteht, aber der Zugang zum Objekt noch nicht erfolgt ist; es kann auch vorgesehen sein, dass der temporäre Zugangscode gültig ist, solange die drahtlose Verbindung besteht.
Das erfindungsgemässe Vorgehen hat den Vorteil, dass es die Manipulationssicherheit von bekannten Authentifizierungsprozessen, die über sichere Verbindungen (bspw. mit Verschlüsselung) erfolgen und den Austausch von grösseren Datenmengen bedingen kann, mit der Selektivität der kapazitiv-resitiven Kopplung kombiniert. Im Gegensatz zum Stand der Technik geschieht das, ohne dass dadurch der Komfort aufgrund von Verzögerungen durch die langsame, kurzreichweitige kapazitiv-resistive Kopplung litte. Der relativ zeitaufwändige Aufbau einer sicheren Funkverbindung - der die Synchronisation etc. mit beinhalten kann - kann stattfinden, während sich der Benutzer dem Objekt nähert. Über den kapazitiv-resistiven Kanal muss dann lediglich - beispielsweise unverschlüsselt - eine sehr kurze Datensequenz übermittelt werden, und die Freigabe des Objekts kann sofort anschliessend an deren Empfang erfolgen.
Dadurch ergibt sich für den Benutzer ein natürlicher Bewegungsablauf. Er kann das Zugangskontrollmedium in der Tasche tragen. Während er sich der Türe nähert, wird eine Kommunikationsverbindung aufgebaut und die Zugangsberechtigung automatisch, ohne Zutun des Benutzers, geprüft. Ein Zufallselemente enthaltender temporärer Zugangscode wird - in der bevorzugten Ausführungsform über die gesicherte Verbindung - an das Zugangskontrollmedium übermittelt.
Dann beginnt das Zugangskontrollmedium beispielsweise ständig wiederholt den temporären Zugangscode bzw. das daraus abgeleitete Datenpaket über den Sender (Transmitter) der kapazitiv-resistiven Kopplung auszusenden; zu diesem Zweck wird ein im Zugangskontrollmedium vorhandenes Elektrodenpaar mit einem entsprechenden Signal beaufschlagt. Sobald sich der Benutzer in unmittelbarer Nähe einer Empfängerelektrode (z.B. eines Türdrückers, welcher vorzugsweise als Empfängerelektrode oder als Teil der Empfängerelektrode des kapazitiv-resistiven Empfängers ausgestaltet ist) befindet oder die Empfängerelektrode berührt, beginnt der Empfang des Signals durch den Empfänger für die kapazitiv-resistive Kopplung, wobei der Signalpfad durch den Körper des Benutzers führen kann, wenn dieser das Zugangskontrollmedium in der Tasche trägt.
Aufgrund des erfmdungsgemässen Vorgehens muss also über die kapazitiv-resistive Kopplung lediglich eine einfach Zeichenfolge übermittelt werden insbesondere müssen in diesem Schritt keine den eigentlichen Authentifizierungsprozess betreffende Daten übermittelt werden. Insbesondere kann sämtliche Information, die der Schreib- und/oder Leseeinrichtung zum Identifizieren/Authentifizieren des Zugangskontrollmediums dient, schon vorgängig über die drahtlose Verbindung übermittelt worden sein. Die mit der kapazitiv-resistiven Kopplung übermittelten Daten können aus einem (keine Zugangskontrollmedium-spezifischen Daten enthaltenden) temporären Zugangscode bestehen, die ggf. noch mit einer einfachen, nicht Zugangskontrollmedium-spezifischen Operation geändert wurden. Auch das Hinzufügen einer ID oder anderen simplen Zeichenfolge ist nicht ausgeschlossen.
Eine Sicherheit gegenüber Manipulationen besteht einerseits in der Sicherheit der gewählten drahtlosen Verbindung; verfügbare Verfahren beinhalten oft eine Verschlüsselung, und es ist auch aus praktischen Gründen (Synchronisation etc.) nicht einfach und rasch möglich, ein nur kurze Zeit bestehendes Funksignal abzuhören. Andererseits könnte eine manipulierende Person den unberechtigt empfangenen temporären Zugangscode auch nur beschränkt nutzen, da dieser nur für sehr kurze Zeit gültig ist.
Gemäss einer Variante des erfindungsgemässen Vorgehens wird der temporäre Zugangscode über die kapazitiv-resistive Kopplung - dauernd - übermittelt und dann über die bestehende drahtlose Verbindung zurückgesandt; für den Empfänger ist es ohne Weiteres möglich zu verifizieren, dass sie von demselben Sender kommt, mit dem auch zuvor der erfolgreiche Authentifizierungsprozess durchgeführt wurde. Auch in dieser Variante bringt das erfindungsgemässe Verfahren praktisch keine für den Benutzer erkennbaren Zeitverzögerungen mit sich, da das Zurückübermitteln des ggf. modifizierten - Zugangscodes unmittelbar anschliessend an dessen Empfang über die kapazitiv-resistive Kopplung erfolgen kann, und zwar über die bereits aufgebaute drahtlose Verbindung.
Besonders geeignet als Informationsübertragungskanal (als die drahtlose Verbindung) ist der vormals unter dem Namen "Wibree" bekannte Standard Bluetooth Low Energy. Die Verwendung dieser vergleichsweise kurzreichweitigen (ca. 10 m Signalreichweite) Technologie ist aufgrund der kurzen Reichweite sicherheitstechnisch vorteilhaft. Als besonders günstig erweist sie sich zudem für die Anwendung "Zugangskontrolle" aus folgendem Grund: Türen in Gebäuden sind oft nicht verkabelt, und eine Verkabelung wäre mit grossem Aufwand verbunden. Daher sind solche "standalone"-Vorrichtungen auf Batterieversorgung angewiesen. Aus praktischen Gründen ist unerwünscht, wenn diese Batterien in hohem Rhythmus auszuwechseln sind. Daher ist die sehr energiesparende Bluetooth Low Energy Technologie, die eigentlich für die Kommunikation zwischen Sensoren und in deren Nähe plazierten Empfängern entwickelt wurde, durchaus überraschend sehr gut für die vorliegende Anwendung geeignet. Auch der Einsatz von "normalen" Bluetooth ist in ähnlicher Weise möglich, mit dem Nachteil, dass der Leistungsverbrauch eines solches Systems höher ist.
Beim Zugangskontrollmedium handelt es sich vorzugsweise um ein portables Gerät, bspw. Mobiltelefon. In einem solchen steht im Allgemeinen genügend Leistung zur Verfügung steht. Gemäss einer bevorzugten Ausführungsform übernimmt das Zugangskontrollmedium die Rolle des "Masters" bei der Kommuninkation über Bluetooth bzw. Bluetooth Low Energy, d.h. die Initialisierung der Verbindung geht vom Zugangskontrollmedium aus.
Gemäss einer bevorzugten Ausführungsform werden nach erfolgten Authentifizierungsverfahren Unterhaltsdaten von der Schreib- und/oder Leseeinrichtung (der Türe) an das Zugangskontrollmedium übermittelt, bspw. Batteriestandsdaten etc. Im Falle eines Störfalles oder eines notwendigen Batteriewechsel kann dadurch die - nicht verdrahtete Schreib- und/oder Leseeinrichtung via das Zugangskontrollmedium ein Warnsignal auslösen oder auf andere geeignete Weise auf das zu Behebende aufmerksam machen.
Wie vorstehend dargelegt eignet sich das erfindungsgemässe Vorgehen besonders für Anwendungen, bei denen das Zugangskontrollmedium durch den Benutzer nicht aktiv behändigt werden muss sonder bspw. in seiner Tasche verbleiben kann. Die kapatizitiv-resistive Kopplung erfolgt dann bevorzugt primär durch den Körper des Benutzers hindurch, welcher als - schlechter - elektrischer Leiter fungiert. Für die kapazitiv-resistive Kopplung besonders bevorzugt ist die daher eine Ultra-Breitband-Signalübertragung unter Verwendung des Frequenzspreizverfahrens. Dadurch kann bewirkt werden, dass die durch den Körper fliessenden Stromamplituden sehr klein sind. Betreffend Realisierung dieses Verfahrens und Vorteile wird auch auf die WO 2007/112609 verwiesen.
Im Folgenden werden Ausführungsformen der Erfindung anhand von schematischen Zeichnungen illustriert. Es zeigen:

Fig. 1 eine Skizze zur Veranschaulichung des Ablaufs beim erfindungsgemässen Verfahren;
Fig. 2 eine Darstellung eines Mobiltelefons als Zugangskontrollmedium in einem erfindungsgemässen System; und
Fig. 3 ein Ablaufdiagramm einer Ausführungsform eines erfindungsgemässen Verfahrens.

Gemäss Figur 1 kann ein Benutzer 1 das Zugangskontrollmedium 2 auf sich tragen, beispielsweise in einer Tasche oder an einem Gurt befestigt. Während des ganzen Verfahrens muss er das Zugangskontrollmedium nicht in die Hand nehmen. Wenn sich der Benutzer 1 einer Türe 3 nähert, zu der er sich mit dem erfmdungsgemässen Verfahren Zugang verschaffen will, setzt der Datenaustausch über die drahtlose Verbindung schon ein während sich der Benutzer der Türe nähert. Die typische Reichweite für die hier vorzugsweise verwendete Bluetooth bzw. Bluetooth Low Energy-Technologie beträgt ca. 10 Meter. Der Türdrücker 3.1 der Tür ist beispielsweise als Empfängerelektrode für die kapazitiv-resistive Kopplung ausgebildet. Sobald der Benutzer den Türdrücker berührt, oder schon kurz vorher, beginnt - gemäss dem nachstehend noch eingehender diskutierten Verfahren - die Übermittlung des Datenpakets vom Zugangskontrollmedium 2, beispielsweise durch den Körper des Benutzers 1 an die Empfängerelektrode. Bei korrekt und erfolgreich erfolgtem Datenaustausch wird die Türe freigegeben, und der Benutzer kann den Türdrücker betätigen. Für ihn stellt sich das ganze Verfahren so dar, also ob die Türe andauernd offen wäre.
Bewegt sich der Benutzer nur an der Tür vorbei, ohne dass der Benutzer versucht, den Türdrücker zu betätigen, findet unter Umständen ebenfalls der Authentifizierungsprozess statt. Da aber die - extrem kurzreichweitige - kapazitiv-resistive Kopplung unter diesen Umständen nicht einsetzt, öffnet sich die Türe nicht. Eine sich beispielsweise zufälligerweise in der Nähe befindliche Person kann daher die Türe nicht öffnen.
Besonders bevorzugt ist das Zugangskontrollmedium als Mobiltelefon 11 ausgestaltet. Das Mobiltelefon weist Mittel zum Kommunizieren über die Bluetooth Low Energy - Techologie auf. Ausserdem ist es mit einem Sender (oder eventuell Empfänger, s.u.) für die kapazitiv-resistive Kopplung versehen. Beispielsweise können Gehäuseteile oder eine - transparente - Displayfläche als entsprechende Elektroden 13, 14 ausgestaltet oder mit diesen beschichtet sein. Diesbezüglich wird auch auf die Dokumente WO 2008/098 397 , WO 2008/098 398 und WO 2008/098 399 verwiesen.
Figur 3 zeigt ein Ablaufdiagramm einer Ausführungsform eines erfindungsgemässen Verfahrens. Dabei zeigen durchgezogene Pfeile zwischen den Kasten Signalübertragungen über die drahtlose Verbindung (z.B. Bluetooth Low Energy), der gepunktete Pfeil steht für die kapazitiv-resistive Datenübertragung. In der linken Spalte sind Zustände der Schreib- und/oder Leseeinrichtung (der "Türe") aufgeführt, in der mittleren Spalte Zustände des Zugangskontrollmediums (im Folgenden wird es als Mobiltelefon beschrieben, wobei das Verfahren auf anderen Zugangskontrollmedien analog ausgeführt würde). Die Begriffe "Advertiser", "Scanner", "Initiator", "Slave" und "Master" entsprechen der für Bluetooth Low Energy üblicherweise verwendeten Terminologie; die entsprechenden Zustände werden nachstehend noch kurz erläutert. "RCID Rx" und "RCID Tx" stehen für Empfänger respektive Sender für die kapazitiv-resistive Kopplung; "open" bezeichnet den Zustand der Freigabe des Objektes, bspw. Entriegelung der Tür.
Die Zeitachse verläuft in Fig. 3 von oben nach unten.
Im Normalzustand 31 "Standby"-Zustand, in welchem kein Zugangskontrollverfahren initialisiert ist, sendet entweder die Schreib- und/oder Leseeinrichtung oder das Mobiltelefon periodische Initialisierungssignale ("advertising packets") aus, bspw. mit einem Takt von zwischen 0.2 und 10 Hz, bspw. einmal pro Sekunde. Im dargestellten Ausführungsbeispiel werden die Initialisierungssignale von der Schreib- und/oder Leseeinrichtung versandt. Wird das advertising Packet vom Mobiltelefon empfangen, kann das Mobiltelefon von der Scanner- zur Initiator-Rolle wechseln, und es fragt die Schreib- und/oder Leseeinrichtung um eine drahtlose Verbindung an (Schritt 32). Daraufhin wird, innerhalb von beispielsweise höchstens 2 s die sichere Bluetooth Low Energy-Verbindung eingerichtet, wobei gemäss der gängigen Terminologie das Mobiltelefon als "Master", die Schreib- und/oder Leseeinrichtung als "Slave" fungiert (Schritt 33). Mit Hilfe der eingerichteten drahtlosen Verbindung wird der Authentifizierungsprozess durchgeführt, d.h. es wird die Zugangsberechtigung des Masters geprüft (Schritt 34).
Beim hier Authentifizierungsprozess genannten Verfahren wird geprüft, ob das Zugangskontrollmedium zum Zugang berechtigt, d.h. durch einen Datenaustausch über eine sichere, bspw. verschlüsselte Verbindung - der Datenaustausch kann auf dem Challenge-Response-Verfahren oder einem anderen geeigneten Verfahren beruhen - wird überprüft, ob auf dem Zugangskontrollmedium benötigte Daten und/oder Befähigungen vorhanden sind. Das Vorgehen, das beim Authentifizierungsprozess gewählt wird, wird hier nicht näher erläutert; es kann gemäss dem Stand der Technik oder auch gemäss anderen geeigneten Vorgehensweisen erfolgen. Es gibt - insbesondere in Verbindung mit der Kommunikation über Radiofrequenzen - diverse verschiedene Lösungen von unterschiedlichen Anbietern, bspw. das "Legic®"-System. Das erfindungsgemässe Vorgehen ermöglicht sogar die Verwendung von proprietären Lösungen von Drittanbietern, d.h. der Verfahrensablauf des Authentifizierungsverfahren muss demjenigen nicht bekannt sein, der das erfindungsgemässe Verfahren implementiert; lediglich das Resultat (ein "OK" oder ein "Zugang verweigert") wird benötigt.
Bei erfolgter Authentifizierung wird durch die Schreib- und/oder Leseeinrichtung ein temporärer (d.h. nur während beschränkter Zeit und/oder nur einmalig zum Zugang berechtigender) Zugangscode an das Mobiltelefon übermittelt (Schritt 35). Dies erfolgt über die sichere drahtlose Verbindung. Dieser Zugangscode - oder eine daraus abgeleitete Grösse, - wird sofort und bei Bedarf wiederholt an die Schreib- und/oder Leseeinrichtung zurück übermittelt, wobei für diese Zurückübermittlung die kapazitiv-resistive Informationsübertragung verwendet wird (Schritt 36). Das Aussenden des Zugangscodes oder der abgeleiteten Grösse erfolgt bspw. so oft, bis entweder eine Zeitlimite (bspw. eine Grösse zwischen 2 und 10 Sekunden) überschritten ist oder der Zugangscode von der Schreib- und/oder Leseeinrichtung empfangen wurde.
Als Variante zum dargestellten Vorgehen kann auch vorgesehen sein, dass der temporäre Zugangscode von der Schreib- und/oder Leseeinrichtung kapazitiv-resistiv an das Mobiltelefon übermittelt wird, und dass dieses den Zugangscode bzw. die abgeleitete Grösse über die sichere drahtlose Verbindung zurücksendet, wobei dann das Aussenden des Zugangscode durch die Schreib- und/oder Leseeinrichtung so lange erfolgen kann, bis entweder eine Zeitlimite erreicht oder der zurückgesandte Zugangscode bzw. die abgeleitete Grösse über die gesicherte Verbindung empfangen ist.
Der Zugangscode ist bspw. eine Zufallszahl oder Zufallssequenz oder eine aus einer Zufallszahl/Zufallssequenz und weiteren Grössen zusammengesetzte oder berechnete Grösse.
Besonders einfach ist das erfindungsgemässe Verfahren implementierbar, wenn durch das Mobiltelefon der temporäre Zugangscode selbst zurückgesandt wird. Als mögliche daraus abgeleitete Grössen kommen der um eine Unikatsnummer oder Dergleichen, eine Zeitinformation, eine weitere Zufallsgrösse etc. ergänzte Zugangscode, Sequenzen des Zugangscodes oder eine mit einer vorbekannten Operation auf dem u.U. ergänzten Zugangscode oder Sequenzen davon erhaltene Grösse in Frage.
Anschliessend an das Vor- und Zurücksenden des temporären Zugangscodes - oder teilweise gleichzeitig dazu - können optional auch Unterhaltsdaten ausgetauscht werden, bspw. können Prüfdaten, Batteriestandsdaten, Statusdaten etc. von der Schreib- und/oder Leseeinrichtung an das Mobiltelefon übermittelt (Schritt 37) und bei Bedarf für Wartungszwecke ausgewertet werden; auch entsprechende Warnungen oder dergleichen können ausgelöst werden. Schliesslich wird die Verbindung - hier durch das Mobiltelefon - beendet (Schritt 38), und das Objekt freigegeben, bspw. die Türe entriegelt (Schritt 39).
Ganz rechts in Fig. 3 ist schematisch die Zeit eingezeichnet, die für die Schritte vor- bzw. nach erstmaliger Berührung des Türdrückers benötigt wird. Die besonders zeitaufwändigen Verfahrensschritte wie das Einrichten der sicheren Verbindung können schon stattfinden, während sich der Benutzer der Türe nähert und bspw. zwischen 1 und 5 s beanspruchen - im dargestellten Beispiel ca. 2 s. Begünstigt durch die relativ lange zur Verfügung stehende Zeit, bis eine sichere Verbindung stehen muss, können lange Device Detection Zeiten toleriert werden, was wiederum lange Advertising Intervalle des Objektes bzw. kurze aktive Scannerzeiten des Zutrittsmediums möglich macht. Dies reduziert den Leistungsverbrauch sowohl am Objekt wie auch vom Zutrittsmedium, ohne dass der Komfort für den Benutzer beeinträchtigt wird. Die (Rück-) Übermittlung des temporären Zugangscodes und die Freigabe der Türe sind hingegen sehr schnelle Prozesse, die höchstens einige Zehntelsekunden dauern, bspw. zwischen 0.05 s und 0.5 s, in dargestellten Beispiel ca. 0.15 s.
Alle Prozesse zeichnen sich somit durch einen ausgesprochen geringen Energieverbrauch und sind daher geeignet, auch mit verhältnismässig kleinen und/oder langlebigen Batterien ausgeführt zu werden, bspw. insbesondere wenn die Schreib- und/oder Leseeinrichtung der Türe als nicht verdrahtete ,standalone'-Vorrichtung vorhanden ist, deren Batterie dann bspw. nur alle ein bis zwei Jahre ausgewechselt werden muss.

Claims

Zugangskontrollverfahren zur kontrollierten Freigabe eines Objekts, aufweisend folgende Schritte:
- Aufbau einer drahtlosen Verbindung zwischen einem Zugangskontrollmedium und einer Schreib-/Leseeinrichtung des Objekts über Radio- oder Mikrowellen,

- Durchführung eines Authentifizierungsprozesses anhand von zwischen dem Zugangskontrollmedium und der Schreib-/Leseeinrichtung des Objekts über die drahtlose Verbindung übermittelten Datensignalen;

- Bei erfolgter Authentifizierung im Authentifizierungsprozess, Übermitteln eines temporären Zugangscodes von der Schreib-/Leseeinrichtung des Objekts an das Zugangskontrollmedium;

- Zurücksenden eines auf dem temporären Zugangscode beruhenden Datenpakets vom Zugangskontrollmedium an die Schreib/Leseeinrichtung des Objekts,

- wobei das Übermitteln des temporären Zugangscodes oder das Zurücksenden des Datenpakets mittels der kapazitiv-resistiven Kopplung erfolgt; und

- Freigeben eines Objektes durch dessen Schreib-/Leseeinrichtung, wenn das empfangene Datenpaket als korrekt erkannt wird.
Zugangskontrollverfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Übermitteln des temporären Zugangscodes über die drahtlose Verbindung und das Zurücksenden des Datenpaktes über die kapazitiv-resistive Kopplung erfolgt.
Zugangskontrollverfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Datenpaket mit dem temporären Zugangscode identisch ist oder mindestens einen Teil des temporären Zugangscodes unverschlüsselt enthält.
Zugangskontrollverfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass als Zugangskontrollmedium ein Mobiltelefon verwendet wird.
Zugangskontrollverfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die drahtlose Verbindung eine Bluetooth oder Bluetooth Low Energy - Verbindung ist.
Zugangskontrollverfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass von der Schreib-/Leseeinrichtung des Objekts vorgängig zum Aufbau der drahtlosen Verbindung in regelmässigen Abständen Initialisierungssignale ausgesandt werden.
Zugangskontrollverfahren nach Anspruch 6, dadurch gekennzeichnet, dass das Zugangskontrollmedium beim Empfang eines Initialisierungssignals die drahtlose Verbindung anfordert.
Zugangskontrollverfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass anschliessend an den Authentifizierungsprozess über die drahtlose Verbindung Unterhaltsdaten von der Schreib-/Leseeinrichtung des Objekts an das Zugangskontrollmedium übermittelt werden.
Zugangskontrollverfarhen nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Signalübertragung mittels der kapazitiv-resistiven Kopplung unter Verwendung des Frequenzspreizverfahrens als Übertragung eines Ultra-Breitband-Signal erfolgt.
Zugangskontrollsystem zur kontrollierten Freigabe eines Objekts, aufweisend mindestens eine Schreib-/Leseeinrichtung des Objekts zum Sperren oder Freigeben eines Objekts in Abhängigkeit von einer Kontrolle der Zugangsberechtigung, sowie mindestens ein Zugangskontrollmedium, wobei die Schreib-/Leseeinrichtung des Objekts und das Zugangskontrollmedium je eine Sender- und Empfängereinrichtung für die drahtlose Kommunikation über Radio- oder Mikrowellensignale aufweisen und ausserdem in der Schreib-/Leseeinrichtung des Objekts und im Zugangskontrollmedium ein Sender und ein Empfänger für die kapazitiv-resistive Kopplung zwischen Schreib-/Leseeinrichtung des Objekts und Zugangskontrollmedium vorhanden sind, mit denen kapazitiv-resistive Signale vom Zugangskontrollmedium an die Schreib-/Leseeinrichtung des Objekts und/oder von der Schreib-/Leseeinrichtung des Objekts an das Zugangskontrollmedium übermittelbar sind, dadurch gekennzeichnet, dass die Schreib-/Leseeinrichtung des Objekts und das Zugangskontrollmedium eingerichtet sind, ein Zugangskontrollverfahren nach einem der vorangehenden Ansprüche durchzuführen.