用于访问控制的系统和方法与流程

本发明涉及用于控制由个人访问物理单元的系统和方法。本发明尤其是涉及如下系统和方法，其中，个人的访问权限可以分配给个人并且得到管理。

背景技术：

管理访问权限或使用权限存在于许多技术领域中。例如，在管理电脑系统中的访问权限时存在复杂的权限等级和权限机制。在那里针对个人给予访问服务或计算机系统的文件，个人本身相对于电脑系统通过例如机密标识码或生物测定数据鉴别。然而，如果分配的权利或权限不足以执行所要求的行动，那么该行动通过技术措施阻止。

此外，锁闭系统是公知的，其中，为了访问控制而对锁闭器件进行鉴别，以便检验访问功能，例如进入一个区域。在这种系统中经常以如下为出发点，即，锁闭器件的载体也是用于要求相应的功能的授权装置。相应的概念也存在于车辆锁闭系统的领域中，尤其是在无钥匙进入和无钥匙启动系统中。在那里，用户携带被称为ID传感器的车辆钥匙。ID传感器包含被编码的信息，其相对于车辆使ID传感器(不一定是ID传感器的载体)的权利合法化，用以实施功能。也就是说，如果将ID传感器给到另外的用户，那么该另外的用户同样能够利用该ID传感器调用和操作车辆功能。

在用于车辆的进入系统的领域中，大量的不同的管理系统是公知的，以便允许访问车辆。例如，US 2013/0259232 A1描述了一种用于将移动电话与车辆联接或配对(pairing)的系统，以便可以利用移动电话操控车辆功能。

DE 10 2011 078 018 A1描述了另一种用于实施车辆功能的系统，其中，通讯中央实施一部分与车辆的通信。

US2012/0164989涉及另一种用于车辆的无线锁闭功能的方法和系统。

EP 1 910 134 B1描述了一种带有中央管理的系统，中央管理将数据包作为密匙分配到移动访问设备上。

然而，能够实现访问技术设备的公知的系统和方法具有缺点。在一些系统中可能的是，利用技术设备，例如移动电脑、智能手机或类似装置产生或检索出用于以如下方式和方法访问技术设备或实施功能的权利，即，攻击者可以获得对设备(例如车辆)或其功能的未授权的进入。

技术实现要素：

本发明的任务是提供一种安全的和灵活的系统和方法，以便能够实现用于访问物理单元的广泛的权限管理。

根据本发明提出一种系统和方法，其中，作为第一部件的中央控制平台(Secure Access Platform(安全进入平台))承担主要的控制功能。中央控制平台装备配备有已鉴别的用户的权限(权利)的信息。这种中央控制平台例如可以通过与数据网络连接的数据库实现。通过数据网络(因特网、移动无线网络等)可以构建从遥远的地方到中央控制平台的通信连接。

在物理单元一侧(在物理单元方面访问或权限授予应该收到规管)设置有形式为技术访问控制单元(智能身份设备)的第二部件，其可以限制或释放访问物理单元的功能。在车辆的情况下，访问控制单元例如与车辆系统联接，从而访问控制单元可以有针对性地释放或阻止锁闭功能或发动机启动或其它的功能。该设备与通信器件联接，以便与中央控制平台连接并且交换数据。这种通信器件包括如下设备，即，其通过所创建的通信网络，尤其是通过移动无线网络实现无线连接。

此外，作为第三部件的移动电子进入单元设置为系统的一部分，移动电子进入单元本身可以与中央控制平台以及受控制的物理设备上的访问控制平台处于通信连接，以便交换信息。移动电子进入设备例如可以在移动电脑或移动通信装置，例如智能手机中实现。为此，智能手机或电脑可以设有附属的应用软件，其进行与中央控制平台的通信，并且允许用户交互。在移动访问设备与在访问方面被监控的物理单元或其访问控制单元之间又同样可以例如通过根据无线网络标准的无线连接，借助蓝牙接口或通过近场通信，例如NFC接口创建通信连接。

根据本发明，在构造通信关系和数据传输方面构建四角关系，其中，一方面，控制平台可以与移动进入设备以及受控制的物理单元的访问控制单元处于通信连接。另一方面用户本身与移动进入设备交互作用。用户必要时也与中央平台通过使用单独的通信路径(例如带有因特网连接的计算机)交互作用。用户身份是使得另外的组成部分能够共同作用的关键组成部分，其中，身份在不同的步骤中检验。不同组成部分的这些通信不一定同时到期，然而重要的是，得到在三个组成部分相互间的原则上的通信可能性。该概念确保了验证来自其中一个以独立的机构转移的所得到的信息。像下面描述的那样，这种相互关系结合移动进入设备的特殊性确保了以特别安全和可靠的方式访问。

根据本发明的系统和方法的用户访问移动进入设备，也就是说例如访问带有安装在上面的应用的智能手机。当用户可以将该装置与车辆侧的访问控制单元通信时，车辆侧的访问控制单元不一定允许访问车辆，这是因为缺少必要的合法性。也就是说，车辆并不是仅凭移动访问设备的身份就承认合法性，而是只有结合用户的已验证的身份才承认合法性。身份证明只有在以下情况下才会成功，即，移动访问设备得到中央平台的信息，其将移动访问设备和利用其鉴别的人员标记为物理单元的合法的操作者。

本发明将对权限和受控的物理单元的管理划分到中央控制平台中。因此，取消了在未授权的情况下操纵管理，这是因为仅允许可靠的机构执行对中央控制平台的改变。操纵移动装置的数据是不够的，这是因为访问控制设备通过与中央平台的连接验证权利数据。

中央控制平台可以包含关于相对于控制平台以可靠的方式鉴别的人员的信息。然而，中央控制平台也可以针对配属的访问控制单元管理配属于匿名的标识的权限，从而在中央控制平台中不存在与实际的个人的关联，而是仅存在匿名的标识。

在常规的进入系统或访问管理中，鉴别借助相应的器具、标签、钥匙、钥匙卡或类似装置实现，而根据本发明，关于个人或特有的标识的权限被分配和管理。与人员利用哪个器件来相对于中央控制平台或访问装置进行合法化无关地，权限授予不是与这种器件(电话、钥匙等)绑定，而是与识别的个人或识别的身份绑定。

对于本发明来说重要的是，在中央控制平台中配属于人员身份或匿名的标识的权限得到存储。这些权限分别涉及访问控制单元的由中央平台管理的部分。例如可以针对标识安排适用于访问控制单元组或适用于所有配属的访问控制单元的权限。另外的权限可以针对各个访问控制单元进行配属。在停车场控制的示例中，这意味着的是，给管理人员的职员例如针对停车场的所有车辆分配用于打开车辆的权限，然而，仅针对一些车辆分配启动车辆的权限。

相应需要的是，首先在中央控制平台中引入关于允许的用户的身份或匿名的标识的登记。这些登记可以以常见的方式借助提供用于查询的接口的数据库管理。通过与另外的系统的接口，例如与租车供应商、安全公司或汽车共享供应商的系统的接口也可以实现标识的接受。在另外的供应商的联接的系统识别出其客户的身份时，系统向中央平台例如仅传送匿名的标识和附属的权限。个人数据保留在合同当事人中，然而，中央平台借助标识管理权限。

移动访问设备可以与中央控制平台处于数据通信中。由中央控制平台给移动访问设备提供信息，其能够实现相对于物理单元的访问控制单元的合法性。这可以例如是由中央控制平台分派的证书。

移动访问设备此外用于相对于访问控制单元确保载体的身份。移动访问设备为此以如下方式装备，即，对用户的可靠的鉴别是可行的。鉴别用户例如可以通过仅对于用户来说已知的标识实现，或者通过查询生物测定数据，譬如面部识别、声音分析或指纹实现。只有在相对于移动访问设备的鉴别成功时，才可以访问移动访问设备中的信息。必要的鉴别的方式可以依赖于所要求的权限的安全相关性。如果用户例如在车辆附近要求查询车辆数据(公里数、油箱填充度等)，那么在移动装置上输入PIN或者在装置的操作面板上的特殊的期望手势可以是足够的。对于启动车辆来说，面部检测例如是必要的。针对哪种权限需要哪种类型的身份检验可以存储在中央平台中。

如果相对于移动访问设备的鉴别是成功的，那么构建出与待控制的物理单元，更精确的说与物理单元的访问控制单元的连接，并且使用至少部分由中央控制平台传送至移动访问设备进入信息以便访问物理单元的功能。

在这种情况下，在物理单元一侧的访问控制单元与中央控制平台的根据本发明的连接起作用。通过该连接可行的是，物理单元一侧的访问控制单元验证由移动访问设备传送的访问信息是否是针对要求的功能的实际上合法的访问数据。常规的系统不具有这种连接，并且相应必须指望对仅来自移动访问设备的数据的检验。

中央控制平台不仅识别出在合法化方法中涉及的单元，而且识别出借助单元鉴别的人员的配属的权限。中央控制平台一方面已知用户的身份或标识，另一方面则已知移动访问设备的身份和物理单元中的访问控制单元的身份。所有这些设备借助特有的特征鉴别。只有中央控制平台具有所有的认识，以便能够实现利用中央管理访问。

在本发明的简单的设计方案中，在中央平台上设定标识，其标记出用户。针对标识存储和关联有移动访问设备的数据。这例如可以包括移动装置的IMEI。此外，针对标识的一组访问权限存储在中央平台中。第一次鉴别例如在可靠的机构介入、例如行政机构或可靠的服务提供商介入的情况下实现。

在第一次使用之前，由中央平台向已注册的应该用作移动访问设备的移动装置发送消息。装置的使用者被要求接受初始注册。用户于是在移动装置上给出一系列信息，这些信息在后面考虑用于身份检验。例如存储有PIN、期望手势，并且检测生物比较数据(面部扫描、声音样本、指纹等)。如果进行这一点，那么数据已经可以由中央平台调用，并且存储在移动访问设备上。这些数据例如可以包含鉴别数据以及证明数据的真实性的数据。数据例如可以以中央平台的证书签名，或者也被加密。随后，系统已准备就绪。

如果用户现在想访问物理设备，例如车辆，那么用户要位于带有附属的访问控制单元的物理单元的附近。首先，用户必须相对于移动访问设备得到鉴别。仅当这一点成功进行时，移动访问设备才会访问在移动访问设备中存储的数据，并且将关于所要求的权限的数据传送至访问控制单元，访问控制单元管理在物理单元上的权限。传送通过无线连接、例如通过蓝牙或WLAN或NFC实现。在访问控制单元一侧检验数据是否是已认证的。这随后详细阐述。访问控制单元在此访问访问控制单元直接通过通信连接从中央平台(直接在当前的权限检验期间或在时间上错开地、已经在更早的时间点中)得到的数据。

通过组成部分的之前阐述的相互的通信可以创建极其安全的访问限制。常规的系统规定的是，真实性的检验借助长期在访问控制单元中存储的数据进行。可靠的机构的证书例如长期存储在那里。根据本发明的用于更新数据(直到实时检验)的可能性确保了访问，这是因为通信路径不依赖于移动访问设备与中央平台之间的路径，并且也不依赖于移动访问设备上的可能被操纵的数据。

优选地，给移动访问设备传送密匙或证书，用以访问物理单元的特定的配属的访问控制单元。物理单元的所配属的访问控制单元由中央平台例如传送一部分非对称的密匙，以便验证证书。在此，常规的非对称的加密方法可以例如根据公开的和私有的密匙的概念使用。

该类型的访问控制的优点在于：虽然尤其是对于设定和创建访问权限来说必须存在所有通信参与部分与中央控制平台的连接，但是在随后的时间中，没有中央控制平台的协作的访问控制和访问功能暂时也是可行的。例如，中央控制平台可以给移动访问设备和物理单元中的访问控制单元传送信息，其设有中央控制平台的证书。不仅在移动访问设备中，而且也在物理单元和访问控制单元中可以设置的是，即使当暂时不能够直接访问中央控制平台时，也在各种情况下暂时相信特定的证书等级，例如由中央控制平台分派的证书。为此，证书可以设有截止日期，在截止日期后，用于相互的合法性的证书不再被接受。

因此，针对使用者身份或标识可以存在关于用于访问不同的物理单元的权限的大量的不同的机制。例如在将本发明应用到对访问车辆的控制的情况下，针对一个且相同的身份可以针对不同的车辆安排不同的权限，然而其中，用户的相同的个人身份是相关联的元素。在权限管理的意义下，在控制平台中也可以发生全面的权限安排或权限约束，例如关于针对特定的车辆的使用方式或使用范围的约束(例如不依赖于所使用的车辆地约束允许的最高速度)。

附图说明

本发明现在借助在附图中示出的实施例详细阐述：

图1示出根据本发明的第一实施例的通信流程的示意图；

图2示出根据本发明的第二实施例的设备和中央平台的管理的示意图；

图3a示出根据本发明的第二实施例的访问车辆的第一示意图；

图3b示出根据本发明的第二实施例的访问车辆的第二示意图。

具体实施方式

在图1中，不同的站和分离的功能单元象征性地示出。消息流和信息交换的时间顺序通过在这些单元之间的箭头示出。受控制的物理单元在该示例中是车辆，其中，访问控制单元与车辆的中央控制系统联接，访问控制单元控制用于车辆功能的规则，并且可以释放或禁止功能。

在该方法可以以所示的方式运行完之前执行学习过程。这表示的是，将关于使用者身份和权限以及受控制的车辆的信息给提供给中央控制平台。这例如可以以如下方式发生，即，人员相对于可靠的机构利用适当的鉴别文件(例如护照或个人证件)证实自己。可靠的机构可以是车辆零售商，其执行对身份的个人检验，并且将相应的身份登记与用于访问特定的车辆的权利关联起来。

这些数据由车辆零售商在车辆购买或维护时输入到数据库中，其对于中央控制平台来说是可访问的。重要的是，身份和配属于身份的权限在中央控制平台中得到管理，并且改变仅可以通过中央控制平台执行。使用中央系统可以以常规的方式例如通过经由输入掩码管理数据库而发生，输入掩码在因特网浏览器中示出。在前端后方的实际的管理可以是任意类型的、带有适当的安全措施的数据库。

根据本发明，权限管理在中央机构，也就是中央控制平台上发生。此外，使访问受控的物理单元(在该情况下是车辆)对于中央控制平台已知。为此，将特有的车辆鉴别存储在中央控制平台中。在船队管理或车辆共享概念中，所有车辆可以作为物理单元存储在中央控制平台中。可以与中央控制平台连接的访问控制单元分别独特地配属于车辆。

最后还重要的是，使得每个移动访问装置对于中央控制平台也是已知的。移动访问装置在此可以在中央控制平台中配属于使用者或标识，也就是说与其关联起来。这例如以如下方式运行完，即，移动访问装置(在该情况下是智能手机)相对于可靠的机构注册被鉴别的人员。例如给出智能手机的号码。消息可以从可靠的机构发送至该号码上，其中，消息内容又由可靠的机构的鉴别人员给出。由此形成闭合循环，并且验证的是，实际上，移动访问装置的给出的鉴别属于被鉴别的人员。

此外，根据本发明的方法现在在其应用中描述，其中，对图1进行参考。

在方法开始时，用户通过在智能手机上激活用户要求对车辆进行访问，带有移动装置(例如智能手机或平板电脑)的用户位于车辆附近。用户输入，例如移动装置上的应用调用以通信箭头1表示。移动访问设备现在验证用户的身份，在该示例中的方法是执行面部识别(箭头2)。用户将其面部呈现给集成在智能手机中的照相机，并且位于装置中的软件以存储的和经过认证的生物统计数据匹配该面部。

如果相对于移动装置的认证失败，那么方法在该情况下中断，并且访问车辆的尝试失败。

身份验证可以借助在移动装置中加密地存储的数据实现，也就是说，移动装置中的生物统计数据可以以加密方式存储地存在。

如果身份相对于移动装置成功地以通信交换2得到验证，那么移动访问设备与车辆联系，这可以通过标准NFC接口或蓝牙连接发生。移动访问单元在通信箭头3中构建与车辆的访问控制单元的连接。移动访问单元在该消息中例如要求操作车辆功能，例如开门。

移动装置向车辆的访问控制单元告知用户的已验证的身份。根据该示例这借助证书发生，证书由中央控制平台分派并且存储在智能手机中。为此尤其是可以使用常规的带有公开的和私有的密匙的证明方法。也就是说，在移动装置中例如存在身份信息，身份信息利用中央控制平台的私有的密匙签名。与在因特网浏览器中类似地，在车辆中的访问控制单元中存在根证书密匙(形式为中央控制平台的公开的密匙)。只有当所传送的身份信息根据规定是已证明的信息时，才可以为车辆破译关于身份的信息，并且识别为是正确的。

利用这些身份信息，车辆的访问控制单元在箭头4中被应用到控制平台，并且根据对于该身份存在的访问权限查询。访问控制单元为此具有GSM模块，用以与中央平台通过移动无线网络通信。控制平台在箭头5和6中访问与控制平台联接的身份管理和权限管理。身份管理和权限管理不需要定位在和中央控制平台相同的机构上。例如，在汽车共享概念中存在中央身份管理，其在公司方面决定性地通过多个汽车共享供应商维护。配属于身份的权限，也就是说个人是否可以在汽车共享池中访问特定的车辆的疑问可以存储在各个公司中。如果存在不同的汽车共享公司，那么中央控制平台可以根据查询的车辆单元访问中央身份管理，并且访问特定的汽车共享供应商的特殊的属于所鉴别的车辆的权限池。在车辆与中央控制平台之间的通信的情况下同样可以使用基于证书的通信，以便确保通信伙伴的认证。

在中央控制平台中获知的是，已鉴别的人员在车辆方面具有哪种权限。权限例如可以以如下方式设计，即，人员具有对车辆的完全的访问权限来打开车门和启动发动机。可以替选的是，已鉴别的人员是汽车共享供应商的车间职员，其原则上具有打开所有车辆的权限，然而没有以超过20km/h的速度执行行驶的权限。

这些信息从中央控制平台在7中传送回车辆中的访问控制单元，其将相应的设定或信号输出至车辆的控制系统。然后由控制系统相应地例如执行门解锁，并且接通用于实施另外的车辆功能的权利。

总之确保的是实现身份检验，为此可以利用移动访问设备。其次，移动访问设备装备有由中央控制平台证明的鉴别，这确保了相对于所有因此得到控制的物理单元的安全。

智能手机中的证书可以在该实施例的另外的设计中设有短期的到期时间，从而移动访问设备必须通过数据连接定期从中央控制平台取得经更新的证书。这样描述的基于证书的与移动装置上的身份检验相关联的解决方案具有另外的优点。原则上的根据本发明的方法采用在车辆(访问控制单元)与用于验证权限的中央控制平台之间的数据连接。然而，这种连接并不总是得到确保，例如在具有差的数据网络质量的区域中的行驶的情况下，或者在地下车库的情况下。该方法在这种情况下允许的是，仍然借助证书实施访问控制。一方面，用户相对于移动装置得到鉴别，这借助在移动装置中存储的数据是可行的。如果成功实现验证，那么在移动装置中存在中央控制平台的有效性还没有到期的有效的证书数据。仅利用该信息可以实现，即使当与中央控制平台的直接通信不能够接受时，也在车辆侧给予一定的权限来访问车辆。在车辆侧，在那里的访问控制单元中，由于与中央平台的较早的连接存在中央控制平台的所存储的证书信息，并且可以得到验证的是，在成功的身份控制的情况下存在移动访问设备的有效的证书。这种证书例如可以已经足够用于允许用户访问车辆，并且例如在例如最大50km/h的最高速度的情况下可以驶过有限的例如最大2km的路径，在该路径中必须构建访问控制单元与中央控制平台之间的通信。一旦构建出联接，那么就实现完全的检验和完全的权限授予。

基于证明的临时的信任的概念因此是可行的，这是因为一方面，进行用户相对于移动装置的鉴别，并且该身份也告知给车辆，并且另一方面，基于证书的、临时的、相对于车辆的信任设定可以得到证实。如在常规的方法中那样，当缺少对身份的无疑问的确定时，这种方法是不可行的。然而，因为身份是在移动装置中访问在那里加密地存在的证书的前提条件，所以车辆可以承受临时的信任给予和权限授予。以该方式，根据本发明的方法考虑为常规的方法，其以与中央控制平台的在任何时间都强制连接为前提，或者信任移动访问装置例如钥匙或带有相应的应用的智能手机，而不需要验证用户的身份。

针对该目的，在移动装置中可以例如针对不同的汽车共享公司存储有大量的不同的证书。此外，权限授予同样可以以不同的方式实现。不依赖于自身的车辆单元地，例如可以针对身份执行优先的权限设定，其例如原则上仅允许以经降低的速度行驶。例如，在具有一定的年龄的驾驶员中，针对身份可以确定的是，该驾驶员原则上仅允许以例如120km/h的最高速度行驶。这种高阶的权限不依赖于查询的汽车共享或船单元地告知车辆，从而例如，一辆车辆并且同一车辆根据访问的身份在不同的车辆模式下运行。该设计只有在以下情况下才是可行的，即，存在具有身份信息的中央控制平台，身份信息还(即使在不同的机构中)可以与不同的权限设定相关联。一个身份并且同一身份可以借助不同的移动装置在不同的物理单元中合法化。因为人员身份在移动装置中验证，并且移动访问设备(智能手机)自身没有识别为合法的进入设备，所以这才是可行。相应地，该方法明显优于使用简单的点火钥匙的方法，这是因为在那里无法发生结合移动装置的检验身份，并且此外移动访问设备在丢失或被盗的情况下可以以简单的方式从远处阻止访问车辆。

所有在根据本发明的方法中实施的通信可以以常规的保险装置执行，例如通过在基于因特网的通信中构建TLS连接。

在参考图1描述了该方法的原则上的和常见的流程之后，现在参考另外的图描述另外的实施例。

图2以示意性的方式示出访问中央平台的顺序，并且示出建立和操纵存储在那里的数据和联系。

中央平台根据该示例以常规的MVC(模型视图控制器)结构建立。用户可以通过网络接口访问中央平台，其方法是，用户在其局域装置上使用相应的浏览器。中央平台的网络接口通过常规的网络服务器提供。数据层面和外部的应用与网络服务器层面分离。数据例如在常规的数据库服务器(SQL服务器)中存储在数据层面上。

就车辆的使用寿命而言(车辆也在该情况下假定为物理单元)，在图2中，访问顺序就寿命而言从左向右示出。在制造期间，首先，制造商具有关于车辆的实际控制。制造商在该时间点上也访问中央平台，以便设定针对车辆的首次登记。制造商建立针对车辆的登记和车辆的访问控制设备(SID-智能识别设备)，并且将访问控制设备与车辆关联。通过制造商侧的关联建立在车辆系统与SID之间的特有的和长期的关联。车辆系统相应地接收被关联的SID的控制指令。在完成车辆和其关联后，车辆被运输至零售商，像在图2中示出的那样。

一旦车辆出售或交付给用户，那么零售商通过网络接口在中央平台中建立该用户的身份，并且在中央平台中将车辆转移给用户。也就是说，零售商建立在车辆与车辆配属的SID以及由其提供的用户标识之间的关联。

随后，车辆实际上交付给新的拥有者。由零售商建立的拥有者具有如下权限：针对与拥有者关联的车辆和SID，将另外的用户作为车辆用户设定在中央平台中。车辆拥有者可以通过中央平台的网络接口给另外的用户，例如拥有者本身或其家庭成员(在租车管理的情况下还有租客)安排有针对性的权限。此外，车辆拥有者可以决定哪个用户允许针对哪些权限以何种方式的认证措施访问，并且权限是否有时间限制，也就是说在特定的时间点失效或在预定的是时间段后失效。在此涉及的是，确定带有移动进入装置(在该示例中是智能手机)的用户可以如何访问车辆的方式和方法。车辆拥有者为此可以确定的是，针对一些访问方式和权限来说，仅需要输入PIN，而在另外的权限(例如启动车辆)中需要识别(例如面部识别或指纹识别)。

车辆于是可以由车辆拥有者相应交付给用户，这在图2中作为右列示出。这种车辆用户可以例如通过其智能手机在必要的鉴别后在中央平台中查询其在特定的车辆方面具有哪些权限，然而不能够改变这些权限。

可看到的是，在不同的层面上设置有不同的用于访问和改变中央平台中的数据的权限。制造商可以设立车辆和附属的SID并且将它们关联，而零售商不再能够影响车辆和SID的数据。相反地，零售商可以针对每个车辆设立拥有者，并且将拥有者与车辆和SID的已经存在的数据关联。拥有者又可以对车辆的权限进行控制、建立和改变，并且将其设立给车辆的另外的用户。用户最后仅可以在中央平台中检验其自身的权限。

每个配属过程可以通过不同的安全概念保护。在该实施例中，在通过零售商将车辆配属于车辆拥有者的情况下，例如开始下列过程：

如果零售商在中央平台上输入车辆应该与新建立的身份绑定，那么首先，将关联存储在数据库中，数据库将拥有者与车辆和配属于车辆的SID关联。随后利用针对车辆拥有者存储的移动号码，以便将消息(例如SMS)从中央平台发送至该移动号码上。借助该消息通知车辆拥有者的是，在中央平台中新的车辆已经配属于该车辆拥有者。此外，将消息(例如还是SMS)发送至所配属的车辆的被关联的SID。在该消息中，SID要求(触发)对中央平台的查询，以便从中央平台检索出对访问权限的更新。当关于车辆上的相应的SID的权限安排被改变时，也使用该类型的触发消息。这种触发比直接传送权限设定要更安全，这是因为与SID直接接受所传送的数据的情况相比，在中央平台的查询被触发情况下的操纵是更加不可能的。

在该实施例中，SID通过接收的消息支配，通过GSM模块构建与中央平台的数据连接。随后，所更新的数据(包括关于新设定的用户的数据)下载到SID上。SID在车辆侧将用户的权限加密并且存储在装置中。连接通过证书检验来得到确保，其中，在制造商侧，在SID中已经可以存储有中央平台的根证书。

以类似的方式，权限安排可以通过用户针对其车辆在之后的时间点中进行。一旦用户在中央平台中针对其车辆改变权限安排，那么中央平台将消息发送至车辆中的相关的SID，消息触发车辆的SID中的权限安排的更新。

在此，在用户层面上也可行的是，访问权限与时间安排或有效性持续时间相关联，也就是说，暂时安排车辆的另外的用户的权限。车辆拥有者的权限的安排原则上长期地进行，然而，拥有者也可以在时间上限制权限，或者在时间间隔内将其传送至用户。这种时间限制由中央平台告知车辆上的SID，并且也加密地存储在那里。例如可以设置的是，SID在使用权限到期后不允许重新的车辆启动，或者强烈地限制最高速度。

除了中央平台内的这种原则上的权限安排和将权限从中央平台传送至车辆的SID以外，在用户与其移动装置，尤其是智能手机之间的交互作用也是重要的。

在智能手机上实施应用，其可以进行与中央平台以及与车辆的SID的通信。为此，应用例如通过零售商转存至车辆拥有者的装置上，或者其可以从相关的平台和网上商店针对不同的运行系统下载应用。

在移动装置上第一次使用应用的情况下，用户需要输入用户名和密码。这些数据用于计算出传送到中央平台上的哈希值。与中央平台的通信在此可以通过常见的传递模式，例如通过(加密的)http协议实现。中央平台检验用户是否在其数据库中存在，并且借助在中央平台中存储的关于用户名和密码的数据同样计算出哈希值。将该哈希值与所传送的哈希值比较。如果用户名和哈希值的匹配得到肯定的认证，那么应用从中央平台传送至配属于用户的SID和车辆。这些数据由智能手机上的应用针对用户标识加密地存储。

现在，在已经确定用户原则上是已认证的之后，用户为了确保访问权限需要学习智能手机上的不同的认证方法。用户尤其需要的是：安排特有的PIN、在智能手机的显示屏上实施图案手势并且执行面部识别或指纹识别。

不同的认证方法代表用于访问不同的车辆功能的不同的安全等级。如下信息在中央平台中预定，即，哪些认证或这些认证的哪些关联对于访问车辆功能来说是足够的。

随后，对于智能手机上的应用的用户来说可行的是，针对访问第一次激活其中一个车辆，其已经由中央平台通知应用作为配属的车辆。如果用户选取一个车辆来激活，那么应用将激活查询发送至中央平台，并且中央平台建立随机码，其在有限的时间段内有效的。随机的激活码通过单独的消息发送至用户的移动电话上。用户必须在应用中输入来自单独的消息的激活码，并且应用将激活码发送回中央平台。以该方式确保的是，用户实际上以在中央平台中存储的路径接收消息。

中央平台证实激活码的有效性并且向智能手机上的应用发送相应的确认。智能手机上的应用建立由私有的和公开的密匙构成的密匙对，并且建立发送至中央平台上的CSR(证书签名请求)。中央平台接收CSR，并且产生针对用户、配属于用户的SID和车辆组合的X509证书。这意味着的是，针对每个用户和每个车辆/SID组合建立证书，其既包含用户ID也包含SID在证书中的标识。证书数据与相关的车辆的SID的蓝牙地址一起发送回智能手机上的应用中。

数据通过应用接收，并且加密地存储。应用于是具有所配属的SID的蓝牙地址，这允许通过蓝牙配对智能手机上的应用和所配属的SID。

针对实施例的上述说明描述了所有的准备动作，其仅一次性地或在改变访问权限时执行。当车辆拥有者或用户想使用新的移动装置来访问存在的车辆时，这些过程同样可部分实施。

在实践中，利用一次性地设定的系统对车辆进行普通访问是最常见的情况。为此建立在移动装置上的应用与车辆中的SID之间的短程的无线连接。配对过程以公知的方式进行，必要时，在开始时需要确认两个设备的联接，这依赖于所使用的运行系统的类型和智能手机上的设定。然而，智能手机已经在激活车辆和其配属的SID时得到用于蓝牙连接的SID地址数据，从而这种确认也可以不发生。

如果这种配对成功执行，那么用户可以在打开的应用中例如通过图形接口访问车辆功能，图形接口显示在智能手机的触敏的屏幕上。

车辆功能例如可以涉及门锁、发动机启动、启动加热装置或停车加热装置、打开窗户、打开后备箱盖或者接通车辆上的照明装置。

图3a示例性地示出当用户想利用其智能手机访问车辆功能时的访问流程。该图从上往下阅读。

用户在其智能手机上打开应用，用以访问其车辆，并且选取用于解锁车门的命令。智能手机上的应用借助存储的数据检验用户针对该功能需要什么样的认证，并且如果认证在该阶段中在应用启动时还没有执行，那么对用户要求该认证。

应用随后确定如下，其没有与操控的车辆的SID联接，并且首先建立与车辆SID的蓝牙连接。通过蓝牙连接，也就是说通过蓝牙上的协议层面创建安全的数据连接。应用于是将用于打开车门的命令传导至SID。然而在该示例中，用户在SID侧还是未知的(SID针对该用户还没有激活)。SID相应地向移动电话答复用户是未知的。应用随后需要SID激活用户，于是，SID在中央平台中通过GSM模块提出激活查询。中央平台向SID确认用户对于该车辆来说是合法的，并且激活SID，并且发送相应的进入信息。

随后，SID向移动电话确认激活用户。智能手机上的应用随后重复打开门的请求，这通过SID确认，并且最后为使用者将门解锁。

所描述的情况是最坏情况，其中，该流程可以包括所有示出的步骤。然而通常，在用户靠近车辆的情况下已经建立蓝牙连接，并且用户也已经在SID中已知。该方法于是以明显更少的步骤且非常快地运行。在常见的方式和方法中的流程在图3b中示出。

根据本发明的方法程序能够实现对用户权限的非常安全的管理和灵活的管控，例如在停车场中，但也在使用其他的物理单元，例如机器的情况下或者在类似的情况下实现。通过一方面在每个物理单元上的SID与中央平台之间以及另一方面在中央平台与移动装置(智能手机)之间的分离的通信通道提高了安全性。此外，由于用户为了在移动访问装置上认证还需要能访问在移动设备上加密地存储的数据，所以可添加另外的安全等级。

移动访问装置(尤其是智能手机)中的加密的存储器例如包含关于激活的车辆的信息、关于与车辆联接的SID的信息，尤其是其蓝牙地址和连接码、用于通信的客户证书和密匙和在命令要求时的认证方法列表以及用户信息，尤其是用户名和密码。

在针对每个车辆的SID的存储器中，例如以加密的方式存储有SID的私有的密匙、SID证书和中央平台的证书和/或公开的密匙。

在设备中存储这些数据能够实现访问控制的一种灵活的方式。为此，在车辆SID中存储的证书信息尤其是可以用于建立在车辆与带有智能手机的访问的用户之间的临时的信任关系。像上面描述的那样，用户的应用得到来自中央平台的针对SID的访问信息。在此，信息以中央平台的私有的密匙加密。车辆侧的SID包含关于中央平台的根证书的信息。即使在SID没有访问中央平台的情况下也可以通过该结构在各种情况下确保用户暂时访问车辆。也就是说，如果SID可以借助存储的关于根证书的信息肯定地验证由智能手机通过APP发送到SID上的信息实际上由中央平台签名，那么可以暂时建立信任关系。当例如新的使用者在租来的车辆的情况下想获得进入，但租来的车辆例如处于带有很差的移动无线连接的区域中时，这尤其是重要的。如果在车辆的SID中的证书匹配是成功的，那么一旦存在网络连接就可以确保用户访问车辆，并且车辆将查询完全的用户权限。