用于对离线控制设备进行投入运行或者管理的方法和系统与流程

1.本发明涉及一种用于借助多因素/多id认证对离线控制设备、尤其是离线访问控制设备进行调设或者管理的方法和系统。


背景技术：

2.通常，由制造商生产的终端在交付状态中是未受保护的，并且对于第三方(客户)而言是可供使用的。通过多因素认证才为该终端分配“权限”，以便能够实现受到保护的/安全的(初次)投入运行。自该时间点起，该终端被保护以防未获得权限的“接入”。


技术实现要素：

3.本发明所基于的任务在于，在离线控制设备(即，该离线控制设备未连接到因特网上)的情况下保证，只有对此具有权限的人员或者具有权限的设备才被授权。
4.根据本发明，该任务通过用于借助多因素/多id认证对离线控制设备、尤其是离线访问控制设备进行投入运行和管理的方法，其中，所述控制设备具有管理控制单元(例如连接模块化核心，connect modular core)和开启该管理控制单元的终端，所述方法具有以下用于对该控制设备进行初次投入运行的方法步骤：
[0005]-尤其通过终端制造商在终端中实现多因素/多id认证算法，
[0006]-尤其通过控制设备的提供者向客户交付处在工厂状态中的终端和第一存储介质(例如akc应答器)，该第一存储介质尤其是第一移动存储介质，在该第一存储介质中防伪地且在世界范围中独一无二地存储有存储介质id(例如应答器uid(unique identifier，唯一标识符))和第一安全码(第1因素，例如安全令牌)，
[0007]-尤其通过控制设备的提供者向客户的第二存储介质、尤其是移动终端设备(例如智能手机)提供第二安全码(第2因素，例如安全签名，该安全签名保存(封装)在许可证文件中)，该第二安全码是尤其由终端制造商根据第一安全码生成的，
[0008]-通过用户将第一和第二存储介质(例如akc应答器和智能手机)定位在终端的地点上，以及通过终端读取存储介质id和第一和第二安全码，并且借助终端的多因素认证算法离线检查所读取的第一和第二安全码是否相互有效，
[0009]-在肯定性的多因素认证检查之后，将作为权限id的存储介质id和第一安全码存储在终端中，并且必要时随后通过终端开启管理控制单元，用于通过用户对管理控制单元进行管理，
[0010]-结束所述初次投入运行模式，
[0011]
在控制设备的初次投入运行结束之后，所述方法具有以下用于对管理控制单元进行管理的方法步骤：
[0012]-通过用户将两个存储介质(例如akc应答器和智能手机)定位在终端的地点上，以及通过终端读取存储介质id以及一个存储介质(例如akc应答器)的安全码和另一个存储介质(例如智能手机)的安全码，并且借助终端的多因素/多id认证算法离线检查所读取的存
储介质id和所读取的一个存储介质的安全码是否与存储在终端中的权限id和存储在终端中的第一安全码一致并且所读取的两个安全码是否相互有效，
[0013]-在肯定性的多因素/多id认证检查之后，通过终端开启管理控制单元用于通过用户对管理控制单元进行管理，
[0014]-结束管理模式。
[0015]
优选地，在管理模式中，在肯定性的id认证检查之后，才执行多因素认证检查。
[0016]
根据本发明的方法保护与控制单元(例如连接模块化核心，connect modular core)的通信，其方式是，在每次通信启动之前执行多因素认证(mfa)。为此，在与控制单元的真正的客户通信(初次投入运行模式或者管理模式)的准备阶段中，借助安全码和存储介质通过至少两个不同的权限特征进行检查。不仅第一存储介质(例如akc(autorisation key card，授权钥匙卡)应答器)的适用性、而且第一存储介质的数量可以由终端制造商任意地设定。该方法的强项在于，对所有部件的检查可以“离线”地执行，即可以通过直接连接、而无需经由因特网或者其他网络绕道地执行。只有终端使仅由终端制造商产生的安全码生效。终端的购买者、即客户不了解安全码，并且因此不可以向未经批准者转发这些安全码。这确保高度的安全性。
[0017]
优选地，第一安全码(例如安全令牌)存储在向客户同时提供的应答器(例如rfid应答器)上，例如呈具有至少16字节的二进制码的形式。在具有16字节的二进制码的情况下，存在2
16*8
种可能性来产生16字节的二进制码，使得这样的二进制码提供高度的安全性。
[0018]
将定位在终端的地点上的存储介质(例如akc应答器、智能手机)的存储介质id和/或安全码传输到终端优选无线地或者有线地、尤其借助rfid或者蓝牙进行，更确切地说离线地进行，即通过直接连接、而无需经由因特网或者其他网络绕道地进行。
[0019]
优选地，第二安全码(例如安全签名)作为第一安全码的数字签名提供给客户的移动终端设备、尤其是智能手机。为此，可以有利地借助终端制造商的私人密钥(“private key”)加密第二安全码，并且可以由终端的认证算法借助终端制造商的公开密钥(“public key”)来核查经加密的第二安全码的有效性。为了进行加密，可以使用例如数字签名算法(digital signature algorithm，dsa)或者椭圆曲线数字签名算法(elliptic curve digital signature algorithm，ecdsa)，为了产生数字签名，可以使用在联邦信息处理标准(federal information processing standard，fips)或者数字签名标准(digital signature standard，dss)中定义的算法。在dsa或者ecdsa的框架中，产生私人密钥和公开密钥。
[0020]
为了生成第二安全码，可以例如借助应用到第一安全码上的加密散列函数(hashfunktion)确定第一安全码的散列值，然后可以将终端制造商的私人密钥应用到第一安全码的该散列值上，以便产生呈第一安全码的数字签名的形式的第二安全码，例如呈数字许可证文件的形式。散列函数或者分散值函数用于将呈具有任意长度的字符串的形式的输入值映射到具有固定长度的字符串、即散列值、尤其是自然数上。加密散列函数尤其是几乎无碰撞的，这尤其意味着，不同输入值仅以非常低的概率映射到不同的相同散列值上。尤其是，使用来自安全散列算法(secure hash algorithm)2(sha-2)家族的或者sha-3家族的散列函数。
[0021]
第二安全码(例如安全签名)可以无线地、尤其借助蓝牙地从第二存储介质(例如
智能手机)传输给终端，更确切地说可以离线地传输，即通过直接连接、而无需经由因特网或者其他网络绕道地传输。
[0022]
本发明还涉及一种适合用于执行根据本发明的方法的、用于借助多因素/多id认证对离线控制设备、尤其是离线访问控制设备进行调设和管理的系统，该系统具有：
[0023]-控制设备，该控制设备具有管理控制单元(例如连接模块化核心，connect modular core)和开启该管理控制单元的终端，该终端具有至少一个数据接口，其中，在终端中实现多因素/多id认证算法并且能够存储至少一个权限id和安全码，
[0024]-第一移动存储介质(例如akc应答器)，在该第一移动存储介质中防伪地存储有存储介质id(例如应答器uid(unique identifier，唯一标识符))和第一安全码(第1因素，例如安全令牌)，
[0025]-第二移动存储介质、尤其是移动终端设备(例如智能手机)，在该第二移动存储介质中存储有根据第一安全码生成的第二安全码(第2因素，例如安全签名，该安全签名保存(封装)在许可证文件中)，
[0026]
其中，为了对控制设备进行初次投入运行，多因素/多id认证算法编程用于，在由用户定位在终端的地点上的两个存储介质(例如akc应答器和智能手机)的情况下，借助至少一个数据接口读取存储介质id以及一个存储介质的安全码和另一个存储介质的安全码，并且离线检查所读取的第一和第二安全码是否相互有效，并且若是，则将作为权限id的存储介质id和第一安全码存储在终端中以及结束初次投入运行模式，
[0027]
其中，为了对管理控制单元进行管理，多因素/多id认证算法编程用于，在由用户定位在终端的地点上的两个存储介质(例如akc应答器和智能手机)的情况下，借助至少一个数据接口读取存储介质id以及一个存储介质的安全码和另一个存储介质的安全码，并且离线检查所读取的存储介质id和所读取的所述一个存储介质的安全码是否与存储在终端中的权限id和存储在终端中的第一安全码一致并且所读取的两个安全码是否相互有效，并且若是，则开启管理控制单元，用于通过用户进行管理，以及结束管理模式。
[0028]
优选地，多因素/多id认证算法编程用于，在管理模式中，在肯定性的id认证检查之后，才执行多因素认证检查，和/或在初次投入运行模式中，在存储权限id之后，开启管理控制单元，用于通过用户对管理控制单元进行管理。
[0029]
通过在两个不同的存储介质上的、离线控制设备的用户不知道的两个不同安全码，以及通过对所述两个不同安全码通过多因素/多id认证算法进行单独的核查，该系统提供高度的安全性，即使第三方已知两个安全码中的一个安全码。
[0030]
第一存储介质可以优选是应答器、尤其是rfid应答器，并且该终端可以具有数据接口、尤其是rfid接口，用于无线地读取存储在应答器中的数据、例如第一安全码。rfid应答器能够实现在短距离上的直接数据交换，该直接数据交换与不同的通信通道、例如因特网无关。rfid应答器的突出之处还在于紧凑的构型。尤其是，使用“iso/iec 14443a1
–
4”rfid应答器。
[0031]
第二存储介质可以优选是客户的移动终端设备、尤其是智能手机，并且该终端可以具有数据接口、尤其是蓝牙接口，用于无线地读取存储在移动终端设备中的数据、例如第二安全码。蓝牙接口能够实现在短距离上的直接数据交换，该直接数据交换与不同的通信通道、例如因特网无关。
[0032]
优选地，第一存储介质(akc)具有复制/克隆、写入保护、读取保护和篡改保护，和/或第二存储介质(智能手机)具有篡改保护。因此，存储介质上的数据不能通过未经批准者来更改或者复制。
[0033]
特别优选地，在客户的移动终端设备(例如智能手机)上安装有提供者的借助第二安全码(例如安全签名)开启的app akc(autorisation key card，授权钥匙卡)，用于对管理控制单元进行管理。
[0034]
本发明的其他优点从说明书、权利要求和附图中得出。同样地，上文所提及的特征和还进一步列举的特征可以各自单独使用或以任何组合以多个形式使用。所示出并且所描述的实施方式不应理解为详尽的列举，而是具有用于本发明的叙述的示例性特征。
附图说明
[0035]
附图示出：
[0036]
图1示出根据本发明的用于对离线控制设备进行投入运行或者管理的系统的示意图。
具体实施方式
[0037]
在图1中示出的系统1用于借助多因素/多id认证对离线控制设备2进行投入运行和管理，该离线控制设备例如是离线访问控制设备。
[0038]
该系统包括：
[0039]-投入运行/管理控制单元3，
[0040]-开启控制单元3的终端4，在该终端中能够存储仅终端制造商已知的第一安全码(第1因素，例如安全令牌)5并且实施多因素/多id认证算法6，
[0041]-第一移动存储介质7，该第一移动存储介质在下文中仅示例性地呈应答器、例如rfid应答器的形式，在该第一移动存储介质中防伪地且在世界范围中独一无二地存储有第一存储介质7的存储介质id(uid)和第一安全码5，
[0042]-第二移动存储介质8，该第二移动存储介质在下文中仅示例性地呈移动终端设备(例如智能手机)的形式，在该第二移动存储介质中存储有由终端制造商根据第一安全码5生成的第二安全码22(第2因素，例如安全签名)。
[0043]
终端4不仅具有用于无线读取存储在应答器7中的数据(存储介质id和第一安全码5)的数据接口(例如rfid读取器)10，还具有用于无线读取存储在移动终端设备8中的第二安全码22的数据接口(例如蓝牙接口)11。
[0044]
系统1的随机发生器12创建第一随机安全码5，该第一随机安全码在应答器生产单元13中存储到应答器7中。应答器7具有写入/读取保护14，该写入/读取保护借助仅终端制造商已知的、防伪的复制/克隆和篡改保护15来保护。该复制/克隆和篡改保护15例如可以是与应答器id(uid)有关的、个体化的编码。
[0045]
借助加密散列函数或散列值算法16，确定第一安全码5的散列值17。在用于非对称加密的生成器(例如ecdsa生成器)18中，产生终端制造商的公开密钥(“public key”)19和私人密钥(“private key”)20。公开密钥19存储在终端4中。在计算单元21中，由散列值17借助私人密钥20创建数据组，该数据组在下文中被称为数字安全签名(secure signature)
22，该数字签名——例如呈包括许可证选项100在内的许可证文件9的形式——形成第二安全码22。第二安全码22借助仅终端制造商已知的篡改保护23来保护。
[0046]
在下文中仅以作为第一存储介质的应答器7和作为第二存储介质的移动终端设备8为例代表性地，描述借助多因素/多id认证对离线控制设备2的初次投入运行，该初次投入运行具有以下方法步骤：
[0047]-尤其通过终端制造商在终端4中实现多因素/多id认证算法6，
[0048]-尤其通过控制设备2的提供者向客户交付处在工厂状态中的终端4和应答器7，在该应答器中防伪地且在世界范围中独一无二地存储有应答器uid和第一安全码5(第1因素，例如安全令牌)，
[0049]-尤其通过控制设备2的提供者向客户的移动终端设备8(例如智能手机)提供第二安全码22(第2因素，例如安全签名)，该第二安全码是尤其由终端制造商根据第一安全码5生成的，
[0050]-通过用户将应答器7和移动终端设备8定位在终端4的地点上，以及通过终端4读取应答器uid和第一和第二安全码5、22，并且借助终端4的多因素认证算法6离线检查所读取的第一和第二安全码5、22是否相互有效，
[0051]-在肯定性的多因素认证检查之后，将作为权限id的应答器uid和第一安全码5存储在终端4中，并且必要时随后通过终端4的开启装置24开启管理控制单元3，用于通过用户对管理控制单元3进行管理，
[0052]-结束初次投入运行模式。
[0053]
在控制设备2的初次投入运行结束之后，执行以下用于对管理控制单元3进行管理的方法步骤：
[0054]-通过用户将两个存储介质(例如应答器7和移动终端设备8)定位在终端4的地点上，以及通过终端4读取应答器uid和应答器7的安全码和移动终端设备8的安全码，并且借助终端4的多因素/多id认证算法6离线检查所读取的应答器uid和所读取的应答器7的安全码是否与存储在终端4中的权限id和存储在终端4中的第一安全码5一致并且所读取的两个安全码是否相互有效，
[0055]-在肯定性的多因素/多id认证检查之后，通过终端4开启管理控制单元3，用于通过用户对管理控制单元3进行管理，
[0056]-结束管理模式。
[0057]
控制设备2管理例如关闭机构26的权限25，并且可以将关闭机构26打开和关闭。为了操纵关闭机构26，用户将告知给该用户的接入码(例如pin码)27输入到读取器(例如pin码读取器)28中。访问权限25核查所输入的接入码27的权限，并且只有当权限检查成功时，才操纵关闭机构26。