用于监控对能电子控制的装置的访问的方法与流程

本发明涉及一种用于监控对能电子控制的装置，尤其是车辆的用户访问的系统和方法。本发明尤其涉及如下系统和方法，其中，对能电子控制的装置的访问特权可以被分配给个人并且被管理。

背景技术：

在该技术的领域内均能找到对访问权限或使用权限的管理。例如，在管理计算机系统中的访问特权的情况下存在复杂的权限等级和权限模式。在那里，通过例如机密的标志符或具有生物特征的数据来相对于计算机系统识别自己的个人被准许访问计算机系统的服务或文件。然而，如果所分派的权限或特权不足以执行所需要的行动，那么这些行动通过技术措施将被阻止。

在车辆和建筑物的闭锁系统中，为了进行访问监控而常常对闭锁装置进行识别，以便检查对功能的，例如进入到车辆或进入到建筑物的访问。在此，出发点是：闭锁器件的携带者也是请求相应的功能的被授权人。相应的构思尤其是在车辆闭锁系统的领域内被找到，尤其是在无钥匙进入以及无钥匙起动系统中被找到。在那里，用户携带被称作ID发送器的车钥匙。该ID发送器包含经编码的信息，这些经编码的信息相对于车辆使ID发送器(不一定是ID发送器的携带者)的授权被证明合法以用于施加功能。因此如果将ID发送器交给另外的用户，那么该另外的用户同样能够用该ID发送器调用并且操纵车辆功能。

在车辆的访问系统的范围内，公知有大量不同的管理系统，以便允许对车辆进行访问。例如，US 2013/0259232 A1描述了一种用于使移动电话与车辆建立联系或配对(pairing)的系统，以便可以用该移动电话来操控车辆功能。

DE 10 2011 078 018 A1描述了另一种用于实施车辆功能的系统，其中，远程信息处理中心实施成与车辆的通信的一部分。

US 2012/0164989涉及另外的用于车辆的无线的闭锁功能的方法和系统。

EP 1 910 134 B1描述了一种具有中央管理的系统，该中央管理将数据包作为密钥分配给移动通信装置。

文献WO 2007/009453 A2公开了一种权限管理方法，其使用了中央服务器来进行权限管理。

在已公知的用于车辆管理和出租的系统和方法中，中央控制平台承担中央的权限管理和监控功能。中央控制平台由车辆池的出租人或其他管理者运行而且配备有给经识别的用户赋予特权(权限)的信息。该中央控制平台例如可以通过与数据网络连接的数据库来实现。经由该数据网络(因特网、移动无线网等等)，可以构建远程的方位至中央控制平台的通信连接。

在应该对哪个进行访问或特权授予调节的车辆一侧地设置有以技术上是访问控制单元为构型的第二部件，该第二部件可以限制或者释放对物理单元的功能的访问。因此，在是车辆的情况下，例如以如下方式使访问控制单元与车辆系统建立联系，即，使得访问控制单元可以有针对性地释放或阻止闭锁功能或发动机起动或其它功能。该装置可以与用于无线通信的通信器件建立联系，以便与中央控制平台发生连接并且交换数据。该通信器件包括如下这种装置，其允许经由现有的通信网络进行无线连接，尤其是经由移动无线网进行无线连接。然而，尤其由于对于通信构建来说较差的条件而导致该连接不总是可能的。因为本发明并不依靠所述连接的可行方案，所以对此不做另外讨论。

作为系统和方法的另外的部件地设置有移动通信装置来作为系统的一部分，该移动通信装置其本身不仅可以与中央控制平台而且可以与在能电子控制的装置(例如车辆)上的访问控制单元发生通信连接，以便交换信息。该移动通信装置可以在智能电话中实现。该移动通信装置配备有所属的应用软件，该应用软件与中央控制平台开展通信并且容许用户交互。在移动访问装置与能电子控制的装置的访问控制单元之间又同样能建立通信连接。这一点例如通过根据无线通信标准的无线连接，借助于蓝牙接口或经由近场通信、例如NFC接口来完成。

在这种访问方法中，关于通信和数据输送方面构建起如下关系，其中，一方面中央控制平台可以与移动访问装置发生通信连接，而且另一方面移动通信装置可以与访问控制单元发生连接，从而进行数据交换。在此，用户与移动访问装置交互。

例如在从出租人池中出租车辆的范围内，访问授权按如下地进行：在用户的控制下，移动通信装置可以与中央控制平台发生数据通信。这一点例如在用户的移动访问装置上调用出租车公司的应用程序时完成。在会话中，从中央控制平台向移动访问装置提供信息，这些信息能够实现相对于物理单元的访问控制单元证明合法。这例如可以是证书，该证书由中央控制平台签发和签名。

当在中央控制平台中进行登陆时，那么该登陆在应答中向移动访问装置进行确认。此外，中央控制平台经由单独的连接来与被登陆的车辆的访问控制单元进行接触并且在那里将该登陆存储在配置中。

因此，移动通信装置和访问控制单元为彼此做好准备。然后，用户可以用他的移动访问装置相对于所匹配的访问控制单元证明合法，该访问控制单元在它自己的数据集中将从中央控制平台获得的数据用于对该登陆进行复检。

在此，中央平台的中继保证了：两个部件、即移动通信装置和车辆的访问控制单元都直接从中央平台获得登陆数据。因为中央控制平台是值得信任的，所以确保了高安全性。

然而，所公知的这种类型的能够实现对技术上的、能电子控制的装置的访问的系统和方法中的一些系统和方法具有缺点。因此，尤其是在具有用于权限管理的中央数据库的系统中必要的是，能经由无线连接到达所管理的对其应该准许或阻止访问的装置。但是，这一点不总是被确保，例如当有车辆被停放在接收能力受限的车库中或者所管理的装置未提供与数据传输网络的随时可用的建立联系时。

技术实现要素：

本发明的任务是提供一种可靠的并且灵活的系统和方法，以便随时能够实现用于对能电子控制的单元，尤其是车辆的访问进行特权管理。

该任务通过具有权利要求1的特征的方法来解决。

根据本发明，从中央平台不仅发出针对移动访问装置所确定的用于进行登陆的数据。当用户将移动访问装置与能电子控制的装置(例如车辆)的访问控制装置建立联系时，那么这些数据在移动访问装置中是可读的而且能被传输给访问控制装置。根据本发明，中央控制平台还将至少一个数据容器传输给移动通信装置，该数据容器被签名并且必要时被加密而且在移动访问装置中不能被改变。

根据本发明设置的是，通过中央控制平台对数据容器或数据容器中的数据进行签名，从而使访问控制单元可以验证数据容器中的数据的完整性和来源。因此阻止了在中央控制平台与访问控制装置之间的路径上对数据的操纵。通过中央控制平台进行的签名依据在访问控制单元中存储的证书来予以检查。为此，访问控制单元具有所存储的证书。这些证书在安全环境下，例如在制造商侧或在管理者侧存储。该构思例如从因特网浏览器中已知，该因特网浏览器在安装时从大量安全认证机构携带了用于验证证书的信息。因此，对数据的改变在技术上几乎是不可能的，不仅保证了数据完整性的安全性而且这些数据的来源也被经授权的中央控制平台所保护。

尤其可以用对称的或不对称的加密对容器中的数据进行加密，其中，只有中央控制平台和在能电子控制的装置上的访问控制单元拥有所需的密钥。加密尤其是利用有关的访问控制装置的独特的密钥来进行。然后，解密仅能够在被寻址的中央控制平台已经相对其进行加密的访问控制装置中实现。

尤其地，数据容器可以利用访问控制单元的公钥之一来加密，从而使该访问控制单元可以在获得数据容器之后利用所存储的私钥对该数据容器进行解码。

根据本发明，移动通信装置对于该数据容器来说被用作输送介质，而该输送介质并不访问容器的内容。该措施的意义在于，在无法访问到的数据容器中能输送访问权限、登陆信息和用于对访问控制装置进行配置的其它信息，否则访问控制装置就得直接从中央平台获得它们。然而，当该直接接收无法实现时，例如因为能电子控制的装置无法与数据传输网络建立联系(koppeln)，或者如果能电子控制的装置是停放在对于通信来说无法到达的位置的车辆，那么移动通信装置携带受保护的容器中所需的数据。在此，在受保护的容器中可以包含有配置数据、然而也可以包含有程序更新。

一旦移动通信装置与能电子控制的装置的访问控制单元建立联系，该容器就可以被传输给访问控制单元。该容器在那里被解密，验证和处理。在该过程中，例如将存储在访问控制单元中的使用权限进行更新。然后可以验证对利用移动访问装置与访问控制单元建立联系的用户的授权。

该过程对于用户来说可以完全透明地进行。用户例如经由出租车供应方的应用程序来登陆对车辆的使用。这一点例如通过在移动访问装置上的应用程序与中央平台的通信来完成。在已经对登陆进行检查并且分派具体车辆之后，中央控制平台经由移动无线网络对车辆的可到达性进行检查。如果能到达该车辆，那么传输登陆信息。然而，如果不能到达该车辆，那么中央控制平台将登陆信息打包到数据容器中，该数据容器以车辆的访问控制单元的独特的密钥来加密并且对该数据容器进行签名。该数据容器连同登陆确认和可读的登陆信息一起被传送回给用户的移动通信装置。

现在，用户带着他的移动访问设备前往车辆并且发起打开会话。然而，当在访问控制单元中不存在登陆信息时(这是因为在该时间点尚未能够通过与中央平台的连接来更新登陆信息)，那么在打开会话中传输被加密的容器。该容器在车辆的访问控制单元中被解密，在那里存储有私钥用来解码。

如上面阐述的那样，通过中央控制平台对容器或者被存储在其中的数据的签名依据所存储的证书进行检查。为此，访问控制单元拥有所存储的证书。在对证书的检查成功之后，读出登陆信息并且存储在系统中。然后，可以验证用户的打开授权。

重要的是，在任何时间点都不能对移动访问装置中的数据容器的内容进行访问，或者在不破坏签名的情况下至少不能改变该内容。该容器仅被用于数据输送。由此，即使在中央平台与访问控制装置之间没有直接连接的情况下也可以更新访问控制装置的配置和编程。因此能够实现对中央控制平台无法到达的车辆进行登陆。

根据本发明的方法不仅能用在车辆中，而且通常能够用在能电子控制的物理装置中。例如，建筑物的访问系统或者其它车辆的锁定系统也可属于此。于是，经由用户的移动访问机构能够更新具有减少了的至数据输送网络的接驳的访问系统。

在本发明的优选的设计方案中，用于更新访问控制装置的信息的全部信息被中央平台打包到受保护的数据容器中。这意味着：在中央平台上进行登陆时在用户的移动通信装置上将完整的一组用于更新访问控制装置的数据传输给该用户。为此，中央控制平台在目前的登陆时检查最近一次是何时存在与有关车辆的直接接触。然后，将尚未传送给车辆(例如取消等等)的全部登陆信息和配置数据都打包到受保护的数据容器中，从而一旦用户与车辆的访问控制装置建立联系，则该用户就用他的移动访问装置进行对车辆的完全更新。访问控制装置以这种方式获得用于现有的登陆的完整的、当前的权限组。

在此特别有利的是，该容器还包含时间戳，从而在传输到访问控制装置并且在解密之后可以确定经解密的数据升级是否比已经安装的升级更实时。当升级例如已传输给多个登陆用户时，这是有意义的。

替选地或附加地，在数据容器中还可包含编号，该编号给出了关于对数据的按时间顺序的创建的情报。借此，在访问控制单元中同样可以进行对所存储的数据是否是实时的或者是否应该将来自容器的数据用于进行更新的检验。

此外，利用这种编号可以防止对已经使用的或者到期的容器的错误的或者恶意的重新传输。该编号存储在访问控制单元中，从而使已经采用的容器不会再一次被接受。

在本发明的设计方案中，在登陆车辆之后，当针对所登陆的车辆的登陆信息发生某些变化时，则中央平台尝试与移动访问装置进行接触。因此，如果用户为接下来的一天登陆车辆，那么例如可以在几小时之后通过中央平台与在移动访问装置上的应用程序的通信来进行对数据容器的更新，例如以便将针对后续几天的进一步登陆传送给该车辆。

原则上，所描述的根据本发明的构思可以代替从中央平台到访问控制装置的直接数据传输。然而，这种方法也可以被补充，所述方法在运行时首先设置直接传输并且在失败时设置经由在用户的设备上的经加密的输送的替选传输。

在本发明的范围内同样可能的是，也沿反方向、即从访问控制装置到中央控制平台设置对数据的输送。在这种情况下，移动访问装置同样被用作数据的输送系统，其中，在访问控制装置中进行签名以及必要时进行加密，而且在中央控制平台中进行对签名的认证以及必要时进行解密。

附图说明

现在，结合附图阐述本发明。

图1示意性地示出在用户、中央管理平台与车辆之间的用于应用程序根据本发明的方法的实施方式的信息流。

具体实施方式

在图1中示出了作为竖直的条带的三个站，其在根据本发明的方法中投入使用。

左侧的竖直的条带象征性表示用户，该用户将智能电话用作移动的通信装置。中间的竖直的条带代表中央控制平台，该中央控制平台是出租车的供应方的与因特网建立联系的中央数据库。中央数据库管理着车辆使用权限和授权信息以及车辆数据。在用户的智能电话上安装有应用程序，该应用程序由中央平台的运营商发行和许可。该应用程序被构造成用于与中央平台进行通信。

在用户的智能电话上的应用程序提供了图形化的用户界面，以此使用户可以以舒适的方式进行输入并且进行在中央平台的运营商的车队中的登陆。此外，在该应用程序中还可以设置其它功能，例如对用于检查使用授权的具有生物特征的数据进行记录和调准。

右侧的竖直的条带代表如下车辆，该车辆具有其访问控制装置。访问控制装置可以在车辆中在车辆制造时被构造为控制系统的被集成的组成部分。然而，其也可以是与车辆控制系统建立联系的加装的访问控制装置。

用户经由在他的智能电话上的应用程序来与中央平台进行连接，这通过箭头1来示出。在此，向用户提供不同的车辆用来出租。用户在所输入的时间点并且针对所说明的使用时长来选定车辆用以接受使用。必要时，用户还必须将另外的个人的识别数据输入到应用程序中，用于传送给中央控制平台，必要时也包括具有生物特征的数据，如指纹或面部图像。通过先前的注册过程用户以其访问权限存储在中央平台中。用户在中央平台中的设定并非本发明的主题并且对于本发明来说也不重要。为了该目的，常常设置有值得信任的岗位和人员，用于一次性地、直接地监控用户和中央系统中的设定。

中央控制平台对包含在通信1中的数据进行验证。在此，对用户在给定的时间点租用给定车辆的基本授权进行检查。如果该检查成功，那么中央控制平台在箭头2的情况下尝试进行与车辆的连接，以便在其访问控制装置中保存租用数据和对用户的授权。该箭头间断地示出，这是因为车辆可能处在不允许移动无线电通信的方位上。因此，中央控制平台可能无法将被更新的登陆数据保存在车辆的访问控制装置中。

因此，在中央平台中，将针对访问控制装置的用于用户的登陆的配置数据打包到数据容器中，该数据容器利用车辆的访问控制装置的对于中央平台来说已知的密钥来加密。在这方面要澄清的是，访问控制装置的该密钥只关于中央平台公开。在此，可以使用不对称加密的构思。在该实施例中重要的是，加密总是被如下这样地选择，即，数据容器在用户的智能电话上是无法访问的。因此，密钥仅用于对车辆侧的访问控制装置与中央平台之间的数据传输的加密的目的，而并不用于移动电话与访问控制装置或移动电话与中央平台之间的数据传输。在车辆配备有访问控制装置的情况下，所需的密钥已经被保存在中央平台中。

此外，数据容器3b由中央平台来签名，其中，为了对签名进行检查而将相对应的证书存储在由中央平台管理的访问控制单元中。

经加密的并且被签名的数据容器3b连同可读的数据3a在共同的消息3中被传送给用户。因此，用户获得数据包，在该数据包中有可读的数据部分，尤其是登陆确认和用于识别相对于访问控制装置的登陆的特征数据。此外，如下数据容器3b已经被传送，该数据容器被保存在用户的智能电话上的应用程序的存储区中并且以不可读的方式被保持加密。排除了在消息3b的内容方面的审查或者操纵，这是因为用户和智能电话没有车辆的访问控制装置的密钥。

对于用户来说，经加密的数据容器3b的传送可以完全透明地进行，这是因为该容器常常只具有较小的数据容量。在经加密的容器3b中，除了该用户的登陆之外，也可以保存针对同一车辆的另外的将来的登陆。

现在，用户前往车辆，即运动到不再与中央平台进行通信的区域内。然而，因为与中央平台相比，用户可以接近该车辆，所以该用户可以与车辆的访问控制装置构建通信连接，尤其是蓝牙连接并且开始通信。利用消息4，将由数据包3a和3b所组成的数据传送给车辆，更准确地说传送给该车辆的访问控制装置。可读的数据3a被用于识别登陆，然而车辆还仍未被通知该登陆，这是因为消息2无法到达该车辆。

访问控制装置检查所获得的容器的签名。这依据所存储的证书信息来发生。这些证书信息在制造车辆时被保存在访问控制装置中或者在稍后的时间点被保存在可靠的环境中。对证书的检查的构思在技术方面例如在因特网浏览器的领域内充分公知。如果容器的完整性或来源不能验证成功，那么该容器被丢弃。然后，只有用之前已经被存储在访问控制单元中的数据才能访问车辆。

在对签名的检查成功的情况下，该签名于是利用所存储的密钥对包含经更新的登陆数据的数据容器3b进行解密。这些经更新的登陆数据在访问控制装置中被存放在所属的存储器中，在该存储器中以能调用的方式保存车辆的登陆数据。随后，依据可读的数据3a，例如登陆识别码来重新执行对当前登陆的验证。现在，该登陆可以被验证并且允许用户访问车辆。

数据容器3b也可以包含另外的登陆数据或者其它取消数据而且也可以包含编程数据，该编程数据被车辆中的访问控制装置识别为可信。只有当已经利用与车辆控制装置匹配的密钥对数据进行加密时并且也只有当这些数据已经被中央平台签名时，才容许对车辆中的访问控制装置进行重新编程。

根据本发明的方法允许更新在车辆的访问控制装置中的登陆数据，即使这些登陆数据对于经由通信网络与中央平台的通信来说无法访问到时也如此。在此，经由移动无线电设备来输送配置数据或用于对访问控制装置进行编程的数据，该移动无线电设备在无法访问所存储的数据的情况下仅被用作输送介质。