用于车辆的访问管理的方法与流程

本发明涉及一种用于车辆的访问管理(zugriffsverwaltung)的方法和一种通讯系统。

背景技术：

通常在车辆的访问管理的情形中，电子设备、例如电子车钥匙或移动终端设备由相应的车内设备识别，从而基于经识别的电子设备开启车辆的功能。

为了电子设备可被用于到车辆上的访问，需要加密钥匙(krytographischesschlüssel)在电子设备的安全存储器上的存储。然而，安全存储器的写入(beschreiben)需要特殊的访问权限，从而用户不可自行执行该写入。如果该电子设备应在一定的时间段上被用于不同车辆，到该电子设备的安全存储器上的多次访问的必要性最终导致对于用户而言的高成本。

另一方式是相对于车辆认证用户。印刷文献de102014212758a1为此提出了一种用于识别车辆的驾驶员的方法。在此不仅确定驾驶员被授权掌控车辆到何种程度，而且创造了将车辆的设置自动匹配于车辆的个体使用者的可能性。

此外，由印刷文献de10321750a1已知一种用于获取车辆乘客的身份的方法，其中，用于获得车辆乘客的身体部分的图像的乘员传感器被用于识别车辆乘客。该方法包括比较从身体部分所获得的图像与身体部分的至少一个所存储的图像和确定由该身体部分所获得的图像与所存储的图像是否一致，以便于识别车辆乘客。

此外，印刷文献de102014001038a1提出了一种用于将数据传递至车辆的方法，在其中实现数据仅借助于明确的电子身份的成功传递且作为电子身份选择编码，该编码在使用相应的车辆的车辆识别码和相应的使用者的身份的情形下产生且由此关联于一辆车辆以及用户。

此外，文献de102014107242a1公开了一种用于控制到车辆上的访问的方法，其中，车辆装备有访问控制单元，该访问控制单元可禁止和开启到车辆功能上的访问。用户可经由移动访问单元与访问控制单元构建通讯连接。在访问的情形中，执行用户的身份检查，其中，相对于移动访问单元识别用户。最终，确定和维持对于车辆的访问权限。

印刷文献de102013225106a1描述了一种用于机动车的进入控制和使用控制的方法。在该方法中，使用者到机动车的输入设备中的输入与认证编码的在软件令牌(soft-token)中含有的非明文表述(nicht-klartextdarstellung)相比较，作为用于给出用于取消机动车的汽车防盗锁(wegfahrsperre)的信号的先决条件。

印刷文献de102011118234a1描述了一种用于开启技术装置的方法。通过该方法，经注册的、经授权的使用者可经由移动终端装置进行对于技术装置的预定。

印刷文献de102012012389a1描述了一种用于控制用于车辆的进入权限和/或行驶权限的装置。该装置包括移动通讯装置和在车辆中的控制单元，该控制单元接收和验证由移动通讯装置发送的权限数据。

印刷文献de102012013450a1描述了一种用于控制用于车辆的进入权限或行驶权限的方法。在该方法中，借助于移动通讯装置由数据库服务器(datenbankserver)请求对于进入权限或行驶权限的进入权限数据或行驶权限数据。

印刷文献de112011105869t5描述了一种电子钥匙系统，其可在没有引入钥匙的情况下执行门的开锁。

然而，在其中实现相对于车辆的用户认证的已知的解决方案具有在成功认证之后开启车辆功能的情形中的显著的安全漏洞(sicherheitslücke)。

技术实现要素：

此时，本发明的任务在于，即，提高在车辆功能的关于实体的开启的情形中的安全性。

该任务通过一种根据权利要求1的方法或者一种根据权利要求10的通讯系统来解决。

根据本发明的用于车辆的访问管理的方法包括提供车辆和借助于用户的身份证明相对于车辆认证用户。根据本发明，对于车辆而言提供经加密保护的授权文件，其包含对于经认证的用户在车辆处的使用权的信息。优选地，经加密保护的授权文件被加密防护防止通过未经授权的第三方的修改和/或窃听。

根据本发明的方法具有如下优点，即，一方面在认证的情形中不是合乎于合法化设备(legitimierendesgerät)而是合乎于用户本身，且另一方面通过提供经加密保护的包含对于经认证的用户在车辆处的使用权的信息的授权文件，在实现的认证之后维持该较高的安全水平。在车辆功能的关于实体的开启的情形中的安全性因此被显著提高。此外，认证所使用的类型使得关于个人的移动在线服务的安全开启成为可能。

该方法可包括通过车辆检查经加密保护的授权文件和/或基于所提供的经加密保护的授权文件开启车辆功能。尤其地，检查经加密保护的授权文件包括对于真实性和/或有效性检查经加密保护的授权文件。尤其当至另一检查机构、例如车辆生产商或第三方供应商的中央计算机的信号传导的连接不可供使用时，通过经加密保护的授权文件通过车辆的检查可实现车辆功能对于用户的开启。例如当车辆位于偏远位置处或地下停车场中而不带有移动无线电接收(mobilfunkempfang)，从而使得至与车辆远离的另一检查机构的互联网连接不可被构建时，得出这样的情况。

该方法可包括提供移动终端设备，在该移动终端设备上存储有经加密保护的机密文件(geheimnis)且该移动终端设备设立用于与车辆通讯，其中，身份证明优选地在使用经加密保护的机密文件的情形下在移动终端设备上被提交。该移动终端设备可例如是智能手机、平板电脑、智能手表、电子车钥匙或智能卡。在智能卡的情况中，该智能卡优选地经由相应的终端来操作。优选地，移动终端设备具有安全存储器，其中，经加密保护的机密文件被存储在移动终端设备的安全存储器上。在安全存储器上同样可存储用户的生物特征或由此衍生的数据，其在身份证明的情形中得到使用。优选地，移动终端设备的安全存储器可通过车辆生产商或第三方供应商写入和/或更新。在车辆与移动终端设备之间的通讯可无线地和/或有线地实现。尤其地，车辆和移动终端设备经由无线连接、例如经由蓝牙来通讯。移动终端设备可具有一个或多个按键、显示器和/或触摸屏。尤其地，移动终端设备设立用于无线地且/或有线地与另外的设备通讯。由此，授权文件或其它信息的更新可在移动终端设备上实现。优选地，经加密保护的机密文件明确地关联于用户且因此适合用于证明人员的身份，从而使得身份证明可间接经由经加密保护的机密文件在移动终端设备上被提交。

借助于用户的身份证明相对于车辆认证用户可包括提供明确关联于用户的数字身份和/或使数字身份与移动终端设备相联结。优选地，经加密保护的机密文件在移动终端设备上包括对于用户的数字身份的信息。优选地，身份证明可通过数字身份的证明来提交。通过数字身份的证明可取消直接在车辆处、例如基于虹膜扫描或指纹扫描的生物身份证明。因此，该认证过程被简化且被加速。

数字身份可包括用户账户和/或识别码。备选地或额外地，使数字身份与移动终端设备联结可包括经由移动终端设备用户登入到用户账户中、尤其通过输入用户名和/或密码和/或在移动终端设备处输入识别码。优选地，移动终端设备具有属于用户账户的经加密保护的机密文件，其充当用户的身份的证明。这可例如是非对称加密的钥对(schlüsselpaare)的私钥(privateschlüssel)。

身份证明同样可在使用用户的生物特征或由此衍生的数据的情形下实现。优选地，借助于用户的身份证明相对于车辆认证用户包括对于车辆提供用户的生物特征或由此衍生的数据。用户的生物特征或由此衍生的数据可例如通过在车辆和/或移动终端设备处的相应的设备间接在其提供之前被获取和/或产生。备选地，用户的生物特征或由此衍生的数据可被存储在移动终端设备或另一数据载体上且通过数据传递被提供给车辆。优选地，用户的生物特征或由此衍生的数据不是直接地而是以经修改的形式例如作为杂乱信号(hash，有时也称为无用信息)被存储。通过使用用户的生物特征或由此衍生的数据，认证的安全水平被再次提高。

对于车辆提供经加密保护的授权文件可通过事件来初始化。备选地或额外地，通过车辆检查经加密保护的授权文件可通过事件来初始化。该事件可例如是用户通过车辆和/或移动终端设备的获取(erfassung，有时也称为鉴定)，其中，用户通过车辆和/或移动终端设备的获取可通过用户在用户账户处的登记过程(anmeldevorgang)的获取实现。该事件同样可以是用户的对于车辆已存在的授权文件的在此期间实现的更新和/或改变的确定。备选地或额外地，实现对于车辆提供经加密保护的授权文件和/或通过车辆至少临时地以规则的时间间隔检查经加密保护的授权文件。

经加密保护的授权文件可经加密签名和/或经加密钥。所使用的经加密的签名可例如包括证书(zertifikat)。该证书可由经检查的认证点来签发和/或发出。安全水平由此被再次提高。经加密保护的授权文件的加钥可如此实现，即使得车辆或车辆组仅设立用于解密所使用的密钥。尤其地，当授权文件授权用户用于使用多辆车辆的车辆功能、例如在汽车共享(car-sharing)的背景中时，如下是有利的，即，经加密保护的授权文件可由多辆车辆解密和/或认证。

经加密保护的授权文件可包括对于车辆的身份的信息、经认证用户的使用权的范围和/或经认证用户的身份的信息。尤其地，授权文件同样可包含关于用户是否被授权用于将使用权分发给另外的用户的信息。使用权可包括车辆锁止单元的锁止和解锁、车门的打开或关闭、车辆点火的激活或禁止、加热设备或制冷设备的调整(例如用于内部空间调温或用于车辆的部件例如前窗玻璃或后窗玻璃、一个或多个车辆座椅、电池单元或车辆内部的电子部件的调温)、座椅配置的调整、照明单元的调整或车喇叭的操纵。对于车辆的身份的信息可包括车辆识别码、制造年份、车辆生产商和/或车辆型号。对于经认证的用户的身份的信息可包括经认证用户的姓名、地址、出生地、出生日期和/或生物特征或由此衍生的数据。经加密保护的授权文件优选地设立用于与人员联系地(personengebunden)且进而不取决于车辆地开启使用权。备选地，经加密保护的授权文件设立用于不取决于人员地开启使用权。为此如下被记入到经加密保护的授权文件中，即，使用权应或者不取决于车辆地或者不取决于用户地适用。经加密保护的授权文件同样可设立用于临时地或永久地开启和/或禁止车辆功能。

经加密保护的授权文件此外可包含对于经认证的用户的使用权、产权(eigentumsrecht)和/或所有权(besitzrecht)。例如，经认证的用户的使用权、产权和/或所有权涉及建筑物和/或建筑物部分、例如房屋或公寓、在线服务和/或支付服务。因此，通过经加密保护的授权文件同样可管理用户的不处于与车辆的直接关系中的权利。

经加密保护的授权文件可由移动终端设备和/或另一移动数据载体提供给车辆。在移动终端设备或者另一移动数据载体与车辆之间的通讯可无线地或有线地实现。尤其地，借助于无线连接、例如蓝牙实现在移动终端设备或者另一移动数据载体与车辆之间的通讯。尤其当车辆不与互联网连接时，因此可将经加密保护的授权文件提供给车辆。用户因此可例如同样在不带有移动无线电接收的偏远位置或地下停车库中由其在车辆处的使用授权进行使用。

经加密保护的授权文件可由中央计算机提供给车辆。中央计算机可例如是车辆生产商或第三方供应商的后端(backend)。尤其地，车辆与中央计算机经由无线电连接、优选地经由互联网连接相连接。例如，用户可尤其经由移动终端设备操纵中央计算机用于将经加密保护的授权文件提供给车辆。备选地或额外地，车辆生产商或第三方供应商可操纵经加密保护的授权文件对于车辆的提供。当用户获得新的在车辆处的使用权且/或由用户撤销在车辆处的使用权时，经加密保护的授权文件的提供通过中央计算机的操纵可例如是有利的。

车辆可至少临时存储所接收的经加密保护的授权文件。尤其当车辆不可接收实时的经加密保护的授权文件时，用户可基于事先被传输到车辆处的经加密保护的授权文件使用车辆。对于车辆提供经加密保护的授权文件可同时或直接在借助于用户的身份证明相对于车辆认证用户之后实现。用于认证的一种变型方案是，非对称加密的钥对被安装在移动终端设备上，其明确地关联于用户。如果用户应具有多个移动终端设备，在这些移动终端设备的每个上优选地储存有相同的钥对。相对于车辆认证用户可借助于请求响应方法(challenge-response-verfahren)实现。相对于车辆认证用户可在没有移动终端设备的激活使用的情形中通过用户来初始化。该用户可因此例如与移动终端设备一起靠近车辆且借助于根据被动访问系统的类型的过程被自动认证。

此外，该方法可包括通过移动终端设备产生经加密保护的授权文件和/或对于第三方通过移动终端设备提供经加密保护的授权文件。当将对于身份证明必要的信息、例如加密的钥对传输到第三方设备上时，用户可因此使用第三方设备(其同样可以是以卡片规格的简单的数据载体)用于认证。在经加密的钥匙对的情况中，公钥(öffentlicherschlüssel)然后可作为特征(attribut)被输入到用户的授权文件中且因此作为认证特征由车辆辩认出。如果用户账户被使用，第三方设备还可经由额外的登记过程与用户账户相连接。紧接着，新的经加密保护的授权文件被发布，其将第三方设备的钥对连结到用户账户处以及因此连结到原有的钥对处。同样地，车辆然后同样必须可与第三方设备通讯。

该方法可包括提供设立用于与移动终端设备和/或车辆通讯的中央计算机、通过中央计算机产生经加密保护的授权文件、通过中央计算机提供经加密保护的授权文件和/或通过中央计算机检查经加密的提供给车辆的授权文件。尤其地，中央计算机是车辆生产商或第三方供应商的后端。中央计算机可与移动终端设备和/或车辆经由无线电连接、尤其经由互联网连接来通讯。优选地，中央计算机包括授权管理，其管理和存储多个用户、多辆车辆和各个用户在各辆车辆处的使用权且提供以可调取的经加密保护的授权文件的形式的信息。中央计算机优选地包括一个或多个身份提供者(identitätsprovider)。所述一个或多个身份提供者管理不同的用户、车辆和车辆功能的身份且同样储存例如使用者姓名、密码或其它特征的认证特征。授权管理那么可管理在用户、车辆与车辆功能之间的关系。

借助于用户的身份证明相对于车辆认证用户、提供经加密保护的用于车辆的授权文件和通过中央计算机检查经加密保护的授权文件可依次地或并行地且此外以不同的顺序和组合实现。当车辆例如已经具有用户的较旧的授权文件时，例如首先可实现借助于用户的身份证明相对于车辆认证用户，然后对于车辆可提供经加密保护的授权文件且其后那么可通过中央计算机检查经加密保护的授权文件。当借助于第三方设备实现登记时，首先可将经加密保护的授权文件提供给车辆，然后在借助于用户的身份证明实现用户相对于车辆的认证之前，授权文件可由中央计算机检查。此外，其它的流程顺序取决于情况可为有利的。

根据本发明的通讯系统包括车辆和认证设备，该认证设备设立用于借助于用户的身份证明相对于车辆认证用户。通讯系统设立用于实施根据先前所描述的实施方式中的一个的用于车辆的访问管理的方法。认证设备可例如是移动终端设备或中央计算机。如先前关于该方法描述的那样，相同的优点和修改方案适用。

本发明的另外的优选的设计方案由其它的在从属权利要求中所提及的特征得出。本发明的不同的在该申请中所提及的实施方式只要在个别情况中不另外实施，则可与优点彼此组合。

附图说明

下面在实施例中根据附图对本发明进行解释。其中：

图1以示意图显示了根据本发明的通讯系统的一种实施例；且

图2以框图显示了用于车辆的访问管理的根据本发明的方法的一种实施例。

参考符号列表

10通讯系统

12车辆

14控制设备

16通讯模块

18通讯模块

20移动终端设备

22用户

24中央计算机

26授权管理

28身份提供者

30a-30c授权文件

32操作

34-38通讯连接

100-120方法步骤。

具体实施方式

图1显示了带有车辆12、移动终端设备20和中央计算机24的通讯系统10。

车辆12包括第一通讯模块16、第二通讯模块18和控制设备14。第一通讯模块16和第二通讯模块18信号传导地与控制设备14相连接，其中，控制设备14设立用于控制第一通讯模块16和第二通讯模块18。第一通讯模块16设立用于无线地经蓝牙经由通讯连接34与移动终端设备20通讯。第二通讯模块18设立用于无线地经由通讯连接36与中央计算机24通讯。通讯连接36是基于移动无线电的互联网连接。

移动终端设备20可经由操作32通过用户22来操作。移动终端设备20构造成智能手机且用作认证设备，借助于其用户22可相对于车辆12认证。该认证经由用户22的身份证明实现。为了提交身份证明，用户22经由移动终端设备20给车辆12提供数字身份，该数字身份明确地关联于用户22。

在实现用户22的认证之后，经加密保护的包含对于用户22在车辆12处的使用权的授权文件30a通过移动终端设备20被提供给车辆12。车辆12检查所接收的经加密保护的授权文件30a且对于用户22而言开启车辆12的在经加密保护的授权文件30a中所记下的功能。

车辆12然后将所接收的经加密保护的授权文件30a发送到中央计算机24处(以参考符号30b示出)。车辆12可相对于中央计算机24认证，例如通过授权文件30a的额外的签名和/或通过双方的认证，例如经由传输层安全性(transportlayersecurity)(tls)。中央计算机24包括授权管理26和身份提供者28。授权管理26管理和存储包含用户22的多个用户、包含车辆12的多辆车辆和包含用户22在车辆12处的使用权的各个用户在各辆车辆处的使用权。这些信息以可调取的经加密保护的授权文件的形式来提供，从而中央计算机24例如同样可将相应的授权文件30c提供给移动终端设备20。身份提供者28管理不同用户、车辆和车辆功能的身份且同样储存认证特征例如用户名和密码。授权管理26设立用于管理在用户、车辆和车辆功能之间的关系。

图2显示了用于车辆12的访问管理的方法。该方法以下面三个步骤来引入：

100)提供车辆12；

102)提供移动终端设备20；和

104)提供中央计算机24。

在移动终端设备20上存储有经加密保护的机密文件。车辆12、移动终端设备20和中央计算机24设立用于彼此通讯。在提供车辆12、移动终端设备20和中央计算机24之后，实施如下步骤：

106)借助于用户22的身份证明相对于车辆12认证用户22。

相对于车辆12认证用户22在没有通过用户22的移动终端设备20的主动使用的情形中根据被动入口系统(passive-entry-system)的类型来初始化且借助于请求应答方法(anforderung-antwort-verfahren)来实现。

此外，借助于用户22的身份证明相对于车辆12认证用户22包括如下两个步骤：

108)提供明确关联于用户22的数字身份；和

110)将数字身份与移动终端设备相联结。

在移动终端设备20上的经加密保护的机密文件包括对于用户22的数字身份的信息，其中，数字身份包括用户账号。此外，数字身份与移动终端设备20的联结包括如下步骤：

112)用户22经由移动终端设备20登入到用户账户中，即通过输入用户名和密码。

在相对于车辆12认证用户22成功完成之后，可实施如下步骤：

114)对于车辆12而言提供经加密保护的授权文件30a-30c，其包含对于经认证的用户22在车辆12处的使用权的信息。

经加密保护的授权文件30a-30c由移动终端设备20提供给车辆12，其中，对于车辆12而言提供经加密保护的授权文件30a-30c直接在相对于车辆12认证用户22之后实现。

授权文件30a-30c被加密防护防止修改和窃听，即通过使经加密保护的授权文件30a-30c经加密签名且经加密钥。此外，经加密保护的授权文件30a-30c包括对于车辆12的身份、经认证的用户22的使用权的范围和经认证的用户22的身份的信息。车辆12设立用于临时存储所接收的经加密保护的授权文件30a-30c。

在经加密保护的授权文件30a-30c被提供给车辆12之后，实施如下步骤：

116)通过车辆12检查经加密保护的授权文件30a-30c；且

118)通过中央计算机24检查被提供给车辆12的经加密保护的授权文件30a-30c。

经加密保护的授权文件由车辆12提供给中央计算机24，从而该授权文件可由中央计算机24检查。尤其地，通过中央计算机24可检查一个或多个包含授权文件的证书是否仍有效。车辆12设立用于可不取决于中央计算机24检查授权文件30a-30c，从而同样地在其中不存在至中央计算机24的连接的情况中可进行授权文件30a-30c的检查。该方法通过如下步骤来完成。

120)基于所提供的经加密保护的授权文件30a-30c开启车辆功能。

通过将经加密保护的授权文件(其包含对于经认证的用户在车辆处的使用权的信息)提供给车辆，本发明允许在车辆功能的关于实体的开启的情形中的安全性的显著提高。