用于对装置的访问管理的方法和访问系统与流程

本发明涉及一种用于对装置的访问管理的方法以及一种访问系统。访问管理例如以用于产生密码和检查输入的密码的方法的类型进行。访问系统例如与装置相关联或者集成到所述装置中。

背景技术：

在过去，对装置的机械访问通过机械锁保护。锁在此可以理解成接口，所述接口借助于钥匙打开从而能够实现对位于其后方的设备的访问。在经典的机械钥匙和锁的情况下，钥匙由适合于保护的物理实体构成。因此，机械锁也通过字符组合构成为钥匙，例如在保险柜的情况下。

通常基于计算机并且除了直接的物理访问之外也可以例如经由网络从远程达到的当今的装置也具有接口，所述接口能够实现或阻止访问。例如已知的是，通过口令或个人识别码（pin）来允许访问或者在错误输入的情况下拒绝访问。为了确保足够的安全性，为使用的密码设置确定的复杂性要求。例如，密码应具有确定的最小字符长度或者可能的字符的范围是尽可能大的，由此提高平均信息量。

在用户以分派的方式获得这种密码的情况下，通常得出安全存储的问题。密码越长和越复杂，就越难由人类用户记住和正确地输入。这在如下情况下是尤其不利的：例如本地接口要求经由输入终端或键盘直接输入密码。而在经由网络、例如经由网络接口访问装置时，能够考虑的是由用户借助于安全的存储器装置安全地存储复杂的密码。

在过去，因此将不同的独立的密码用于相应的装置的不同接口。然而，存储或记忆大量不同的密码通常被感受为不舒适的。

技术实现要素：

因此，本发明的目的是，实现一种用于访问管理的改进的方法或访问系统。

据此，提出一种用于对装置的访问管理的方法，其中所述装置具有分别用于耦合输入字符串的第一和第二输入接口。方法包括如下步骤：

产生具有预设的最小数量的字符的密码；

根据产生的密码和预设的映射规则产生子密码，其中子密码与密码相比包括出自更小的字符组的字符和/或更小数量的字符；

如果经由第一输入接口耦合输入的字符串对应于密码或者经由第二输入接口耦合输入的字符串对应于子密码，那么释放对装置的访问。

尤其可能的是，密码具有预设的复杂度，并且子密码与密码相比具有较小的复杂度。

此外提出一种用于装置的访问系统，所述系统包括：

第一输入接口，用于耦合输入用于远程访问装置的字符串；

第二输入接口，用于耦合输入用于本地访问装置的字符串；

耦合到第一和第二输入接口上的控制装置，所述控制装置设立成，释放或封锁对装置的访问。

在此，如果经由第一输入接口耦合输入的字符串对应于预设的密码或者经由第二输入接口耦合输入的字符串对应于预设的子密码，那么释放访问。子密码与密码和预设的映射规则相关。子密码与密码相比尤其具有较小的复杂度。

在实施方式中，访问系统设立成，执行如在上文中或在下文中描述的方法。对此，例如相应地设计控制装置。

在提出的访问管理或访问系统中，对于使用者或用户简化密码或子密码的使用。例如，特别长的密码只能困难地记住和正确地输入。此外，该方法或该系统能够实现使用简单的输入设备，例如具有仅少量按键和小的字符组的输入设备，复杂的长的密码只能繁琐地输入到这些输入设备中。通过使用尤其可以明确从密码中推导出来的子密码，可以实现简化的操作。

对装置的访问尤其理解成承认符合规定地使用配设有访问系统的装置的可能性。在以下范围内允许用户访问：用户在克服颁发相应的释放的访问系统之后可以操作、使用、改变、运行或激活装置。而如果拒绝访问，那么不允许用户运行或者装置不能或只能受限地运行。

可以说，如果允许访问装置或装置的功能，那么装置原则上提供只能由用户执行、使用或激活的确定的功能。就此而言也提及功能的释放。

在实施方式中，第一输入接口被设立用于远程访问，尤其作为网络接口，并且第二输入接口被设立用于仅本地访问，尤其以键盘接口的形式。

例如，在实施方式中，第一输入接口可以设立成，借助于认证服务来执行使用者的认证。作为认证服务例如可以使用kerberos服务。在此，用户在kerberos认证服务器处询问所谓的票据授予票据（tgt）。为了认证例如可以理解成客户端装置的用户，使用密码。借助于tgt，用户随后可以在票据授予服务器处获取用于装置的服务票据或确定的由装置提供的服务。借助所述服务票据，于是能够实现释放或访问装置。

此外能够考虑，第二输入接口是手动的输入接口。在例如能够以具有多个按键的键盘方式构成的所述接口的情况下，尤其能够实现输入子密码。手动的接口可以理解成如下输入可能性，所述输入可能性要求与用户的直接交互作用。手动的接口在实施方式中可以排除从远程耦合输入字符串。能够考虑的是触觉的、声学的和/或视觉的人机接口作为手动的输入接口。

在另外的实施方式中，第一输入接口与用于存储密码的第一存储器装置相关联，并且第二输入接口与用于存储子密码的第二存储器装置相关联。在此，第一和第二输入接口优选空间彼此分开地布置。此外可能的是，存储密码和子密码彼此独立地、尤其以加密的或散列的形式进行。

也可以理解成网络密码的密码可以替选地以明文在装置中或在与第一输入接口相关联的存储器装置中存储。根据映射规则，于是可以从中产生子密码。

在彼此分开地存储密码和子密码的情况下，未经授权地想要得知密码或子密码的攻击者加难。如果攻击者已经已知用于例如本地输入接口的子密码，那么借此仍不可能直接重建网络密码，因为在将密码映射成子密码时失去一些信息。

在实施方式中，第一输入接口和第二输入接口能够为由密码和所属的子密码构成的相应的对实现访问装置的同一功能。也可以考虑的是，在借助密码经由第一输入接口访问时，与经由第二输入接口和子密码访问装置相比，释放装置的其他的、尤其扩展的功能范围。

在实施方式中，密码由第一字符组的字符构成，并且子密码由第二字符组的字符构成。第一字符组在此比第二字符组包括更多的字符。

由此实现，随机密码的平均信息量大于子密码的平均信息量。

在映射规则的实施方式中，将第一字符组的多个字符映射成第二字符组的一个字符。由此，简化子密码的使用，因为第二输入接口与第一输入接口相比可以更少耗费地、例如以更少要识别的字符来设计。

在映射规则的一个变型形式中，映射规则仅考虑选择密码的一些字符。尤其地，在映射规则中考虑在密码起始的至少一个字符。对于使用者而言更直观的是，在输入密码或所属的子密码时以相同的字符开始。

在实施方式中，子密码的字符是密码的字符的选择。在另一变型形式中，密码包括大写和小写字母作为字符，并且映射规则将同一字母的大写和小写字母映射成子密码的一个字符。由此，进一步地改进使用。

此外能够考虑的是，映射规则将同一字母的大写和小写字母映射成子密码的一个字符，优选字母的一个字符。

整体上，提出的访问管理能够实现更好的使用和简化的尤其经由第二输入接口的访问，所述第二输入接口也可以称作为本地接口。

第一接口尤其为输入接口，所述输入接口可以处理较复杂的密码。例如，这是网络接口，所述网络接口可以由在装置外部存在的客户端作用。

一方面可能的是，借助复杂的安全的密码执行网络登记并且根据映射规则形式的例如简单的规则，实行用于直接本地登记的简单的短的密码。用户因此具有两种不同的认证方法，所述认证方法具有唯一的要存储的或要记住的密码。

在实施方式中，第二输入接口作为本地接口要求物理访问。所述第二输入接口由此与尤其实施为网络接口的第一输入接口不同或受更好保护。由此加难攻击者对第二输入接口的访问的自动化。

相应的单元或装置，例如输入接口或控制单元可以硬件地和/或也可以软件地实现。在硬件的实现方案中，相应的单元可以构造为设备或构造为设备的一部分，例如构造为计算机或微处理器。在软件的实现方案中，相应的单元可以构造为计算机程序产品，构造为函数，构造为例程，构造为程序代码的一部分或构造为可执行的对象。

此外，提出一种计算机程序产品，所述计算机程序产品在程序控制的装置上推动如上阐述的方法的执行，所述程序控制的装置配设有相应的访问系统。

计算机程序产品，诸如计算机程序媒介例如可以作为存储介质，诸如存储卡，usb棒、cd-rom、dvd或者也以可下载的文件形式由网络中的服务器提供或交付。这例如可以在无线通信网络中通过传递相应的具有计算机程序产品或计算机程序媒介的文件来实现。

针对提出的访问系统描述的实施方式和特征相应地适用于提出的用于访问管理的方法。

本发明的其他可能的实现方案也包括在上文中或在下文中关于实施例描述的特征或实施方式的未明确提及的组合。在此，本领域技术人员也将单个方面作为改进或补充添加给本发明的相应的基本形式。

附图说明

本发明的其他有利的设计方案和方面是从属权利要求以及在下面描述的本发明的实施例的主题。此外，本发明根据优选的实施方式参考附图详细阐述。

图1示出根据一个实施例的用于访问管理的方法的流程图；

图2示出根据一个实施例的用于访问系统的示意方框图；和

图3示出根据一个实施例的用于阐述密码产生的示意图；和

图4示出用于本地接口的一个实施例。

在附图中，相同的或功能相同的元件设有相同的附图标记，只要没有另作说明。

具体实施方式

根据图1和2描述借助于相应的访问系统对装置的访问管理的方法的实施例和变型形式。图1在此示出用于访问管理的方法的流程图，所述方法可以借助于在图2中作为示意方框图示出的访问系统来执行。

在第一步骤s1之前的步骤之前，可以提供访问系统1。例如，如在图2中表明的装置2配设有访问系统1。装置2例如可以理解成常规技术系统。也可以考虑的是，为实体装置，如机器或设备。装置2尤其也可以是计算机或计算机系统，其耦合到网络。

访问系统1在此包括：第一输入接口，所述第一输入接口构成为网络接口；和第二输入接口4，所述第二输入接口设立成本地接口。将本地接口理解成，要求操作者或附加的装置的空间和物理存在，以便作用于本地接口4。访问系统1还包括控制装置6，所述控制装置可以是程序控制的并且实现如在图1中和在下文中描述的方法的执行。此外设有分别与接口3、4相关联的存储器装置7、8。图2还象征性地示出网络5，例如因特网连接，经由其可以到达网络接口3。

在第一步骤s1中，产生密码pw，所述密码在下文中也称作为网络密码。密码pw关于其复杂性满足预设的密码要求。在此，可以为密码pw预设复杂度。作为复杂度，例如可以使用在密码pw之内不同字符的数量。也可以考虑如下其他复杂度，所述复杂度例如合乎可能的密码的空间中的随机密码的平均数据量。

在图3中示例性地示出由八个字符z1-z8构成的密码pw。密码di1%tpw&例如遵循至少八个字符的规定，其中应至少分别存在大写和小写字母，数字和特殊字符。字符z1-z8在此出自字符库或字符组zs1。字符组zs1例如可以包括72个字符，即26个大写字母和26个小写字母以及十个数字和十个特殊字符。于是，具有八个字符和这种字符组zs1的随机密码pw的平均数据量例如具有49比特。所述值也从计算log10(72⁸)/log10(2)≈49中得出。

所述密码pw能够实现经由网络接口3对装置2的访问。即，如果对应于密码pw的字符串zf1被耦合输入，那么网络接口3或相应的控制装置6释放对装置2的一个或多个功能的访问。

在第二方法步骤s2中，利用映射规则av根据密码pw产生子密码spw。这同样在图3中阐述。作为箭头示出的映射规则av将密码pw的八个字符z1-z8映射成子密码spw的仅四个字符z1’-z4’。子密码spw由如下字符形成，所述字符对应于字符组zs2。字符组zs2在此与用于密码pw的字符组zs1相比具有较少字符。在图3中示出的示例中，映射规则av将八位的密码pw映射成四位的子密码或本地密码spw。针对本地密码spw得出的平均数据量在此小于14比特，其具有较小的复杂度。

映射规则av规定，例如将字符z1=d映射成z1’=3。第二字符z2=i映射成第二字符z2’=4。第三字符z3=1映射成第三字符z3’=1，并且第四字符z4=%映射成第四字符z4’=*。在图3的映射规则av的示例中，仅密码pw的头四个初始字符z1-z4用于产生子密码spw。这具有如下优点，知道网络密码pw的用户能够容易地自己推导出本地密码spw并且在登记时只须在本地接口处输入较少字符。

借助于本地密码spw，用户可以经由访问系统1的本地接口4在将其作为字符串zf2输入的条件下获得对装置2的访问。在称作为s3的第三方法步骤（参见图1）中，就此而言，将相应的字符串zf1、zf2耦合输入或输入到网络接口3或本地接口4上。控制装置6随后执行相应的耦合输入的字符串zf1与密码或者zf2与子密码的比较（步骤s4）。如果比较s4的结果得出，相应的输入的字符串zf1或zf2不对应于密码pw或子密码spw，那么拒绝对装置2的访问，参见步骤s5。访问系统1可以说用作门卫或锁。

密码pw和子密码spw可以借助不同的常见措施来抵御未经授权的读取，例如借助存储器区域的读取权限的限制，通过借助在装置中存在的密钥的加密，或通过以散列形式存储，优选具有附加的数据（加盐哈希）。因为子密码spw由于其小的平均数据量可以由攻击者容易地从子密码spw的散列中重建，并且在知道spw时也可以容易地从密码pw的散列中重建密码pw，所以必要时在独立的、分离的存储器7、8中的存储是有利的。

为了简单地进行本地密码或子密码spw的输入，本地接口设计为键盘形式的手动输入接口，如例如在图4中示出的那样。图4示出本地或第二接口41的一个可能的实施方式。图4在此示出具有十二个按键的键盘，其中仅一个用附图标记42表示。在图3中表明的映射规则av经由键盘41以相应的字符的内部分配来实现。键盘具有十二个按键，所述按键用1-9、*、0和#表示。为具有数字2-9的按键分别分配三个或四个字母，如在图4中表明的那样；为按键*分配全部特殊字符，按键#可以结束输入。为用户例如在本地接口4处得出如下可能性：从用户已知的密码pw的头四位、即di1%，利用用户已知的映射规则av推导出按键序列341*。

能够考虑其他的除了在图4中示出的映射规则av，其中仅网络密码的一些字符用于推导本地密码。

在另一变型形式中，在将网络密码pw映射成本地密码spw时，仅使用在网络密码pw起始的预设数量的字符。

也能够考虑的是，将大写字母和小写字母，例如d和d映射成子密码spw的同一字符。也可以将多个字母作为字符映射成仅一个字符。

在如也在图4中表明的另一变型形式中，将分别多个字母映射成一个数字。优选地，尤其构成为接口41的本地接口配备有标签，所述标签以映射表格的形式将字符组zs1的多个字符映射成用于本地密码spw的字符组zs2的相应的字符。在映射规则av的实现方案以及接口41的设计方案中可以考虑，使用密码中的与其他字符相比具有更高的概率的确定的字符。

现在，如果在输入相应的字符串zf1或zf2之后在步骤s4中通过控制装置6识别出，输入了正确的密码pw或子密码spw，那么在步骤s6中释放对装置2的访问。也就是说，用户可以按规定地使用装置2。例如，由此也可以实现例如对门锁的物理访问。也能够考虑在本地经由相应的键盘访问计算机。装置可以为自动化装置。可以考虑在自动化环境或工业网络中使用相应的访问系统1。

尽管本发明根据实施例描述，但是本发明可以多样地改动。尤其地，可以使用不同于在实施例中提到的映射规则。本地接口尤其也可以是在机器上本地安装的触摸屏或其他可物理操作的人机接口。访问相应的装置可以完整地进行，或者根据选择的输入接口可以释放限制的功能或功能性，即使当输入分别正确的密码或子密码时也如此。尤其地，也可以将不同的密码或子密码并行地用于不同的使用者或权限等级。总之，提出的方法使密码保护的装置的使用容易。