共同签名委托的制作方法

本公开内容涉及以下领域：使用包括共同签名委托的委托访问来控制对物理空间的访问，使得委托链中的至少一个委托需要由访问控制器共同签名。

背景技术：

锁和钥匙正在从传统的纯机械锁演变。如今，电子锁正变得越来越普遍。对于电子锁，对用户的认证不需要机械钥匙轮廓。可以例如使用存储在特殊载体(链、卡等)上或存储在智能电话中的电子钥匙来打开电子锁。电子钥匙和电子锁可以例如通过无线接口进行通信。这样的电子锁提供许多益处，包括提高访问权限管理、审计跟踪、钥匙管理等的灵活性。

有时控制锁装置的锁拥有者需要向服务提供者给予访问权以用于服务的交付。服务可以是执行服务的人需要电子锁被打开的任何服务。例如，服务可以是家庭护理服务、产品送货、清洁服务、建筑工人/水管工/电工等。为了能够消费服务，锁拥有者因此需要使用电子锁向服务提供者提供访问权。

如果锁装置不需要被连接至网络，即离线安装，则这大大简化了锁安装。然而，离线实现中的一个问题是如何控制对锁的访问。

技术实现要素：

本公开内容的目的是：当锁拥有者不知道被指派交付服务的服务提供者代理的确切身份时，使得锁拥有者能够撤销服务提供者对离线锁的访问。

根据第一方面，提供了一种用于使用共同签名委托来控制对物理空间的访问的方法。该方法在锁装置中被执行并且包括以下步骤：接收来自电子钥匙的访问请求；获取多个委托，其中，每个委托是从委托者到受托者的委托，多个委托共同形成委托链，其中，当两个委托被链接在一起时，一个委托的受托者是下一个委托的委托者；确定委托链中的委托是共同签名委托，所述共同签名委托指示所有进一步的委托需要由相应委托的委托者以及由访问控制器两者进行加密签名；以及当委托链以锁装置的拥有者开始并以电子钥匙结束时，并且当在共同签名委托之后的委托链中的所有委托由相应委托的委托者以及由访问控制器两者进行加密签名时，准许访问物理空间。

在共同签名委托之后的委托链可以包括至少两个委托。

该方法还可以包括以下步骤：评估由访问控制器对委托链中的委托应用的访问控制器时间约束，并且其中，只有在不违反访问控制器时间约束的情况下，才执行准许访问的步骤。

访问控制器时间约束可以为24小时或更短。

该方法还可以包括以下步骤：评估由委托者对委托链中的委托应用的委托者时间约束，并且其中，只有在不违反委托者时间约束的情况下，才执行准许访问的步骤。

获取多个委托的步骤可以包括：从电子钥匙接收委托链的至少一部分。

在共同签名委托中，访问控制器可以由所述访问控制器的公钥指定。

根据第二方面，提供了一种用于使用共同签名委托来控制对物理空间的访问的锁装置。该锁装置包括：处理器；以及存储指令的存储器，所述指令当由处理器执行时使锁装置：接收来自电子钥匙的访问请求；获取多个委托，其中，每个委托是从委托者到受托者的委托，多个委托共同形成委托链，其中，当两个委托被链接在一起时，一个委托的受托者是下一个委托的委托者；确定委托链中的委托是共同签名委托，所述共同签名委托指示所有进一步的委托需要由相应委托的委托者以及由访问控制器两者进行加密签名；以及当委托链以锁装置的拥有者开始并以电子钥匙结束时，并且当在共同签名委托之后的委托链中的所有委托由相应委托的委托者以及由访问控制器两者进行加密签名时，准许访问物理空间。

在共同签名委托之后的委托链可以包括至少两个委托。

锁装置还可以包括当由处理器执行时使锁装置进行以下操作的指令：评估由访问控制器对委托链中的委托应用的访问控制器时间约束，并且其中，只有在不违反访问控制器时间约束的情况下，才执行准许访问的指令。

访问控制器时间约束可以为24小时或更短。

锁装置还可以包括当由处理器执行时使锁装置进行以下操作的指令：评估由委托者对委托链中的委托应用的委托者时间约束，并且其中，只有在不违反委托者时间约束的情况下，才执行准许访问的指令。

获取多个委托的指令可以包括当由处理器执行时使锁装置进行以下操作的指令：从电子钥匙接收委托链的至少一部分。

在共同签名委托中，访问控制器可以由所述访问控制器的公钥指定。

根据第三方面，提供了一种用于使用共同签名委托来控制对物理空间的访问的计算机程序。所述计算机程序包括计算机程序代码，所述计算机程序代码当在锁装置上运行时使锁装置：接收来自电子钥匙的访问请求；获取多个委托，其中，每个委托是从委托者到受托者的委托，多个委托共同形成委托链，其中，当两个委托被链接在一起时，一个委托的受托者是下一个委托的委托者；确定委托链中的委托是共同签名委托，所述共同签名委托指示所有进一步的委托需要由相应委托的委托者以及由访问控制器两者进行加密签名；以及当委托链以锁装置的拥有者开始并以电子钥匙结束时，并且当在共同签名委托之后的委托链中的所有委托由相应委托的委托者以及由访问控制器两者进行加密签名时，准许访问物理空间。

根据第四方面，提供了一种计算机程序产品，所述计算机程序产品包括根据第三方面的计算机程序以及其上存储有所述计算机程序的计算机可读装置。

通常，除非在本文中另有明确定义，否则在权利要求中使用的所有术语应当根据其在本技术领域中的普通含义来解释。除非另外明确说明，否则对“一个(a)/一个(an)/该(the)元件、设备、部件、装置、步骤等”的所有提及要被开放地解释为指代元件、设备、部件、装置、步骤等的至少一个实例。除非明确说明，否则本文中公开的任何方法的步骤不必以公开的确切顺序被执行。

附图说明

现在参照附图通过示例的方式来描述各方面和实施方式，在附图中：

图1是示出可以应用本文中所提出的实施方式的环境的示意图；

图2是示出用于控制对物理空间的访问的方法的流程图；

图3是示出图1的锁装置的部件的示意图；以及

图4示出了包括计算机可读装置的计算机程序产品90的一个示例。

具体实施方式

现在将参照附图在下文中更全面地描述本公开内容的各方面，在附图中示出了本发明的某些实施方式。然而，这些方面可以以许多不同的形式被体现，而不应该被解释为进行限制；相反，这些实施方式通过示例的方式被提供，使得本公开内容将是详尽和完整的，并且将本发明的所有方面的范围充分传达给本领域技术人员。在整个说明书中，相同的附图标记指代相同的要素。

本文提出的实施方式基于从锁装置的拥有者经由一个或更多个中间节点到服务提供者代理的委托链。委托链允许锁装置离线。另外，委托链需要由访问控制器共同签名。以这种方式，锁拥有者可以与访问控制器进行交互以控制访问控制器何时应当对委托进行共同签名以及访问控制器何时不应当对委托进行共同签名。这提供了对于锁装置离线的解决方案，同时锁拥有者仍然可以控制谁被允许获得对受限物理空间的访问。同时，访问控制器本身不被给予访问，仅具有批准其他实体进行访问的能力。

图1是示出可以应用本文中所提出的实施方式的环境的示意图。对物理空间16的访问受到物理屏障15的限制，该物理屏障15可使用锁装置10选择性地解锁。屏障15可以是门、大门、舱口、柜门、抽屉、窗等。物理屏障15被设置在周围物理结构(墙壁、栅栏、天花板、地板等)中，并且位于受限物理空间16与可访问物理空间14之间。注意，可访问物理空间14本身可以是受限物理空间，但是相对于该物理屏障15，可访问物理空间14是可访问的。

锁装置10的拥有者l或用户在此被表示为锁拥有者l。锁拥有者l可以携带锁拥有者装置，该锁拥有者装置是任何合适的电子装置，例如智能电话、移动电话、平板计算机、膝上型计算机、台式计算机、智能电视、机顶盒等。

锁装置10可以与电子钥匙进行通信。这样的电子钥匙可以被实现为移动电话、智能电话、密钥卡(keyfob)、可穿戴装置、智能电话壳、门禁卡、电子物理钥匙等的一部分。电子钥匙可以通过有线或无线接口——例如使用蓝牙、蓝牙低功耗(ble)、任何ieee802.15标准、射频识别(rfid)、近场通信(nfc)、串行接口(例如，rs485、rs232)、通用串行总线(usb)、或者甚至具有自定义通信协议的简单电连接——与锁装置10进行通信。

还存在服务提供者s。服务提供者s可以例如是家庭护理公司、送货公司、清洁公司、建筑公司、水管工、电工等。服务提供者s还可以由第三方代表服务提供者来提供。

如下面更详细说明的，锁拥有者l想要由服务提供者s交付的服务，服务提供者s需要访问受限物理空间16。服务提供者s使用服务提供者代理a来交付服务。服务提供者代理a是自然人，并且可以是服务提供者的雇员或分包商。服务提供者代理a携带服务提供者代理装置7，服务提供者代理装置7是便携式电子装置，例如智能电话、移动电话、平板计算机、膝上型计算机等。在本文中被描述为由服务提供者代理执行的功能可以例如在服务提供者代理装置7上执行的软件应用(也被称为app)中被执行。

访问控制器ac是对访问委托的控制实体。当如本文的实施方式中所描述的那样使用时，访问控制器ac允许或不允许访问权限的委托，但访问控制器ac本身不被给予访问权限。因此，可以使用访问控制器ac来使钥匙装置无效，而访问控制器ac本身无需获得打开锁装置的访问权限。锁拥有者l可以例如经由web接口与访问控制器ac进行交互，以控制访问控制器ac对于锁拥有者l拥有的访问权限的动作。

图1中的不同节点之间的通信可以使用本地通信例如使用蓝牙、蓝牙低功耗(ble)、任何ieee802.15标准、任何ieee802.11标准、无线usb(通用串行总线)、usb、以太网、串行连接(例如，rs-485)等以及/或者通过诸如蜂窝网络和因特网的广域通信来发生。在较高层上，可以使用因特网协议(ip)进行内部和/或外部通信。

现在将说明访问权限的委托的概念以及在本文提出的实施方式中如何采用该概念。每个委托是从委托者到受托者的委托。多个委托共同形成委托链。对于链中的每个环节，当两个委托被链接在一起时，一个委托的受托者是下一个委托的委托者，从而形成了从委托链中的起始委托者到最终受托者的单一路径。委托链中的每个实体——即所有委托者和受托者——在使用委托的操作中使用物理装置，例如便携式装置或计算机/服务器。换言之，无论何时在本文献中提到一方是委托者或受托者时，这就在这样的物理装置中被实现。

多个委托可以形成链。例如，考虑以下委托链的示例：

l-->c-->s-->a

使用上面使用的附图标记，l表示锁拥有者，c表示协调者，s表示服务提供者，a表示服务提供者代理。因此，该委托链以锁拥有者开始，并且从锁拥有者继续进行到协调者，继续进行到服务提供者，再继续进行到服务提供者代理。当该委托有效时，服务提供者被锁拥有者间接地委托访问。

每个箭头是委托，并且每个委托是可以通过数字通信信道被传送并且可以被存储在存储器中的数据项。每个委托包含(引用)委托者和受托者。所有委托可以使用相同的数据格式，使对委托链或委托结构的扩展变得简单，从而提高委托链的灵活性。此外，通过对所有委托采用相同的数据格式，对于最终检查委托链的有效性的锁装置而言，检查委托链中的委托是更容易且更一致的。

委托由委托者使用任何合适的签名算法和委托者的私钥进行加密签名。可以使用委托者的公钥(对应于私钥)来验证签名。可以将加密签名附加到委托。

在下文中，签名的委托由双线委托表示。例如，以下表示从协调者到服务提供者的委托，其中该委托由协调者进行加密签名。

c＝＝>s

当服务提供者代理到达并且需要锁装置进行解锁时，服务提供者代理(或者更具体地，服务提供者代理装置7)将委托链中的至少最后一个委托发送到锁装置。在一个实施方式中，仅(来自锁装置的)第一委托被存储在锁装置中。从服务提供者代理发送委托链中的所有后续委托。

根据本文中的实施方式，委托还可以包含由委托者设置的要求，即，进一步的委托需要由访问控制器进行加密签名。这样的委托在此被表示为(co：ac)，其中“ac”表示需要签名的访问控制器。访问控制器可以例如由其公钥来标识。

以下示例表示从锁拥有者到协调者的具有共同签名要求的委托，即，委托链中的后续委托需要由访问控制器ac签名。

l--(co:ac)-->c

现在将在家庭护理的背景下描述具有共同签名要求的委托链的更详细的示例：

l--(co:ac)-->c＝＝(co:ac)＝＝>s＝＝(co:ac)＝＝>a

锁拥有者在此使用协调者来选择其家庭护理提供者。在这种情况下，协调者可以是市政当局或城市，例如城市斯德哥尔摩。锁拥有者可以选择要使用的家庭护理提供者，即家庭护理提供者公司。在该示例中，家庭护理提供者由s表示。锁拥有者向协调者通知该选择。

锁拥有者l向协调者c创建委托，该委托是共同签名委托，要求访问控制器ac对委托链中的任何进一步的委托进行共同签名。协调者c向家庭护理提供者s创建共同签名委托(同样要求访问控制器ac对任何进一步的委托进行共同签名)。协调者c的共同签名委托被发送到访问控制器ac以使被签名。一旦来自协调者c的共同签名委托由访问控制器ac签名，共同签名委托就被传送到受托者，即家庭护理提供者s。

家庭护理提供者s向服务提供者代理a(即，家庭护理雇员)创建共同签名委托(同样要求ac对任何进一步的委托进行共同签名)。家庭护理提供者s的共同签名委托被发送到访问控制器ac以使被签名。一旦来自家庭护理提供者s的共同签名委托由访问控制器ac签名，来自家庭护理提供者s的共同签名委托以及由协调者c委托的共同签名委托就被传送到服务提供者代理a。

当服务提供者代理a到达锁装置时，服务提供者代理a向锁装置10发送访问请求。服务提供者代理a还从委托链中提供协调者c向服务提供者s的委托以及家庭护理提供者s向服务提供者代理a的委托。这两个委托都包含访问控制器ac的签名。

锁装置10还例如从本地存储器获得从锁拥有者l到协调者的第一委托。

委托链的使用允许锁装置10验证任何服务提供者代理a的权限，从而确定锁装置10是否应当将自身设置为解锁状态以允许对受限空间16的访问。该验证基于委托链的委托，即，由服务提供者代理a提供的数据以及本地存储的数据。因此，锁装置10不需要具有网络接入以执行该验证。

还可以应用时间约束以允许更灵活地撤销访问权限。例如，可以存在访问控制器时间约束，其中，访问控制器限制特定委托的其签名的有效时间。以此方式，需要由访问控制器签名的任何委托都需要在访问控制器时间约束到期之后重新被签名。在一个实施方式中，访问控制器时间约束是24小时或更短，这意味着访问控制器需要每天对相关委托进行签名。此外，由于访问控制器时间约束较短并且可以由锁拥有者使用与访问控制器的接口例如web接口来控制，因此可以以长的有效时间——在数月或甚至数年的量级上——安全地设置从锁拥有者到协调者的委托。

使用本文提出的实施方式，可以使用访问控制器ac来实施高级重新委托规则。例如，考虑如下规则：服务提供者s可以对来自协调者(源自锁拥有者)的委托进行重新委托，但一次仅重新委托给五个受托者。由于服务提供者的每次委托都需要由访问控制器ac签名，因此当服务提供者s尝试第六次委托时，访问控制器ac可以拒绝对第六次委托进行签名。另一个示例是访问控制器ac可以实施如下规则：委托只能被重新委托给有效受托者的特定组中的成员。

如果需要撤销委托，则锁拥有者l可以命令访问控制器不对由锁拥有者委托的访问权限的委托应用任何新签名。即使可以在没有网络连接的情况下提供锁装置10，这也允许撤销访问权限。应当注意，撤销不是立即的，而是在访问控制器时间约束到期时才生效。因此，访问控制器时间约束的长度决定撤销生效的速度。

使用共同签名委托，共同签名者(访问控制器ac)可以控制进一步的委托，可选地使用时间约束来促使任何受托者定期获得新签名。

重要的是，使用本文提出的实施方式，访问控制器ac不能访问锁；访问控制器既不能使用它自己的凭证来访问锁，也不能将访问委托给其他任何人。然而，访问控制器可以提供接口例如web接口，以允许锁拥有者对哪些实体(公司或个人)可以被准许访问受限物理空间进行控制。

图2是示出用于控制对物理空间的访问的方法的流程图。该方法在锁装置中被执行。

在接收访问请求步骤40中，锁装置接收来自电子钥匙的访问请求。电子钥匙可以例如属于图1的服务提供者代理a。

在获取委托步骤42中，锁装置获取多个委托。如上所述，每个委托是从委托者到受托者的委托。多个委托共同形成委托链。对于链中的每个环节，当两个委托被链接在一起时，一个委托的受托者是下一个委托的委托者，使得委托链形成从委托链中的起始委托者到最终受托者的单一路径。在一个实施方式中，委托链中的第一委托是共同签名委托。在这种情况下，锁装置的拥有者可以是第一委托的委托者，从而保证所有进一步的委托都要被访问控制器批准。

可以从电子钥匙接收委托链中的至少一部分委托。在一个实施方式中，从电子钥匙接收除了(由锁拥有者进行的)第一委托之外的所有委托(在委托链中)。

在确定共同签名委托步骤44中，锁装置确定委托链中的委托是共同签名委托。共同签名委托指示：所有进一步的委托需要由相应委托的委托者以及由访问控制器两者进行加密签名。在一个实施方式中，共同签名委托之后的委托链包括至少两个委托。因为所有进一步的委托需要由相应委托的委托者以及由访问控制器两者进行加密签名，所以只要委托者信任访问控制器，这就使得共同签名委托之后的委托链能够包含多个委托。具有高安全性的多个委托的能力提高了灵活性，例如如果锁拥有者使用如上所述的协调者例如来选择其家庭护理提供者。

在共同签名委托中指定访问控制器。可以通过访问控制器的公钥来指定访问控制器。可替选地，通过可以与公钥相关联的标识符来指定访问控制器。

在可选的评估访问控制器时间约束步骤46中，锁装置评估由访问控制器对委托链中的委托应用的访问控制器时间约束。在一个实施方式中，访问控制器时间约束是24小时或更短。

在可选的评估委托者时间约束步骤47中，锁装置评估由委托者对委托链中的委托应用的委托者时间约束。

在当被授权时准许访问步骤48中，当委托链以锁装置的拥有者开始并以电子钥匙结束时，并且当共同签名委托之后的委托链中的所有委托由相应委托的委托者以及由访问控制器两者进行加密签名时，锁装置准许访问物理空间。此外，当应用访问控制器时间约束时(参见上面的步骤46)，只有在不违反访问控制器时间约束的情况下才准许访问。此外，当应用委托者时间约束时(参见上面的步骤47)，只有在不违反委托者时间约束的情况下才准许访问。

通过要求在共同签名委托之后的所有进一步的委托需要由委托的委托者以及由访问控制器两者进行加密签名，共同签名委托的委托者确保访问控制器批准所有进一步的委托。这防止链中不诚实的受托者委托给未经授权的人，从而提高对物理空间访问的安全性。

通过要求委托本身由委托者和访问控制器(共同签名者)两者进行签名，消除了锁装置要获得访问控制器的签名。

图3是示出图1的锁装置10的部件的示意图。使用能够执行存储在存储器64中的软件指令67的合适的中央处理单元(cpu)、多处理器、微控制器、数字信号处理器(dsp)等中的一个或更多个的任意组合来提供处理器60，因此存储器64可以是计算机程序产品。可替选地，可以使用专用集成电路(asic)、现场可编程门阵列(fpga)等来实现处理器60。处理器60可以被配置成执行上面参照图2描述的方法。

存储器64可以是随机存取存储器(ram)和/或只读存储器(rom)的任何组合。存储器64还包括永久存储装置，该永久存储装置例如可以是磁存储器、光学存储器、固态存储器或甚至远程安装的存储器中的任何单独一个或组合。

还提供了用于在处理器60中执行软件指令期间读取和/或存储数据的数据存储器66。数据存储器66可以是ram和/或rom的任何组合。

锁装置还包括用于与诸如钥匙装置的外部实体进行通信的i/o接口62。可选地，i/o接口62还包括用户接口。

锁装置10的其他部件被省略，以免混淆本文中提出的构思。

图4示出了包括计算机可读装置的计算机程序产品90的一个示例。在该计算机可读装置上可以存储计算机程序91，该计算机程序可以使处理器执行根据本文描述的实施方式的方法。在该示例中，计算机程序产品是诸如cd(压缩盘)或dvd(数字多功能盘)或蓝光盘的光盘。如上所述，也可以在装置的存储器中实施计算机程序产品，例如图3的计算机程序产品64。虽然计算机程序91在此示意性地被示出为所描绘的光盘上的轨道，但是计算机程序可以以适合于诸如可移除固态存储器的计算机程序产品例如通用串行总线(usb)驱动器的任何方式被存储。

上面主要参考一些实施方式描述了本公开内容的各方面。然而，如本领域技术人员容易理解的，除了上面公开的实施方式以外的其他实施方式同样可以在如由所附专利的权利要求限定的本发明的范围内。