本發(fā)明涉及用于控制由個(gè)人訪問物理單元的系統(tǒng)和方法。本發(fā)明尤其是涉及如下系統(tǒng)和方法，其中，個(gè)人的訪問權(quán)限可以分配給個(gè)人并且得到管理。

背景技術(shù)：

管理訪問權(quán)限或使用權(quán)限存在于許多技術(shù)領(lǐng)域中。例如，在管理電腦系統(tǒng)中的訪問權(quán)限時(shí)存在復(fù)雜的權(quán)限等級(jí)和權(quán)限機(jī)制。在那里針對(duì)個(gè)人給予訪問服務(wù)或計(jì)算機(jī)系統(tǒng)的文件，個(gè)人本身相對(duì)于電腦系統(tǒng)通過例如機(jī)密標(biāo)識(shí)碼或生物測定數(shù)據(jù)鑒別。然而，如果分配的權(quán)利或權(quán)限不足以執(zhí)行所要求的行動(dòng)，那么該行動(dòng)通過技術(shù)措施阻止。

此外，鎖閉系統(tǒng)是公知的，其中，為了訪問控制而對(duì)鎖閉器件進(jìn)行鑒別，以便檢驗(yàn)訪問功能，例如進(jìn)入一個(gè)區(qū)域。在這種系統(tǒng)中經(jīng)常以如下為出發(fā)點(diǎn)，即，鎖閉器件的載體也是用于要求相應(yīng)的功能的授權(quán)裝置。相應(yīng)的概念也存在于車輛鎖閉系統(tǒng)的領(lǐng)域中，尤其是在無鑰匙進(jìn)入和無鑰匙啟動(dòng)系統(tǒng)中。在那里，用戶攜帶被稱為ID傳感器的車輛鑰匙。ID傳感器包含被編碼的信息，其相對(duì)于車輛使ID傳感器(不一定是ID傳感器的載體)的權(quán)利合法化，用以實(shí)施功能。也就是說，如果將ID傳感器給到另外的用戶，那么該另外的用戶同樣能夠利用該ID傳感器調(diào)用和操作車輛功能。

在用于車輛的進(jìn)入系統(tǒng)的領(lǐng)域中，大量的不同的管理系統(tǒng)是公知的，以便允許訪問車輛。例如，US 2013/0259232 A1描述了一種用于將移動(dòng)電話與車輛聯(lián)接或配對(duì)(pairing)的系統(tǒng)，以便可以利用移動(dòng)電話操控車輛功能。

DE 10 2011 078 018 A1描述了另一種用于實(shí)施車輛功能的系統(tǒng)，其中，通訊中央實(shí)施一部分與車輛的通信。

US2012/0164989涉及另一種用于車輛的無線鎖閉功能的方法和系統(tǒng)。

EP 1 910 134 B1描述了一種帶有中央管理的系統(tǒng)，中央管理將數(shù)據(jù)包作為密匙分配到移動(dòng)訪問設(shè)備上。

然而，能夠?qū)崿F(xiàn)訪問技術(shù)設(shè)備的公知的系統(tǒng)和方法具有缺點(diǎn)。在一些系統(tǒng)中可能的是，利用技術(shù)設(shè)備，例如移動(dòng)電腦、智能手機(jī)或類似裝置產(chǎn)生或檢索出用于以如下方式和方法訪問技術(shù)設(shè)備或?qū)嵤┕δ艿臋?quán)利，即，攻擊者可以獲得對(duì)設(shè)備(例如車輛)或其功能的未授權(quán)的進(jìn)入。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的任務(wù)是提供一種安全的和靈活的系統(tǒng)和方法，以便能夠?qū)崿F(xiàn)用于訪問物理單元的廣泛的權(quán)限管理。

根據(jù)本發(fā)明提出一種系統(tǒng)和方法，其中，作為第一部件的中央控制平臺(tái)(Secure Access Platform(安全進(jìn)入平臺(tái)))承擔(dān)主要的控制功能。中央控制平臺(tái)裝備配備有已鑒別的用戶的權(quán)限(權(quán)利)的信息。這種中央控制平臺(tái)例如可以通過與數(shù)據(jù)網(wǎng)絡(luò)連接的數(shù)據(jù)庫實(shí)現(xiàn)。通過數(shù)據(jù)網(wǎng)絡(luò)(因特網(wǎng)、移動(dòng)無線網(wǎng)絡(luò)等)可以構(gòu)建從遙遠(yuǎn)的地方到中央控制平臺(tái)的通信連接。

在物理單元一側(cè)(在物理單元方面訪問或權(quán)限授予應(yīng)該收到規(guī)管)設(shè)置有形式為技術(shù)訪問控制單元(智能身份設(shè)備)的第二部件，其可以限制或釋放訪問物理單元的功能。在車輛的情況下，訪問控制單元例如與車輛系統(tǒng)聯(lián)接，從而訪問控制單元可以有針對(duì)性地釋放或阻止鎖閉功能或發(fā)動(dòng)機(jī)啟動(dòng)或其它的功能。該設(shè)備與通信器件聯(lián)接，以便與中央控制平臺(tái)連接并且交換數(shù)據(jù)。這種通信器件包括如下設(shè)備，即，其通過所創(chuàng)建的通信網(wǎng)絡(luò)，尤其是通過移動(dòng)無線網(wǎng)絡(luò)實(shí)現(xiàn)無線連接。

此外，作為第三部件的移動(dòng)電子進(jìn)入單元設(shè)置為系統(tǒng)的一部分，移動(dòng)電子進(jìn)入單元本身可以與中央控制平臺(tái)以及受控制的物理設(shè)備上的訪問控制平臺(tái)處于通信連接，以便交換信息。移動(dòng)電子進(jìn)入設(shè)備例如可以在移動(dòng)電腦或移動(dòng)通信裝置，例如智能手機(jī)中實(shí)現(xiàn)。為此，智能手機(jī)或電腦可以設(shè)有附屬的應(yīng)用軟件，其進(jìn)行與中央控制平臺(tái)的通信，并且允許用戶交互。在移動(dòng)訪問設(shè)備與在訪問方面被監(jiān)控的物理單元或其訪問控制單元之間又同樣可以例如通過根據(jù)無線網(wǎng)絡(luò)標(biāo)準(zhǔn)的無線連接，借助藍(lán)牙接口或通過近場通信，例如NFC接口創(chuàng)建通信連接。

根據(jù)本發(fā)明，在構(gòu)造通信關(guān)系和數(shù)據(jù)傳輸方面構(gòu)建四角關(guān)系，其中，一方面，控制平臺(tái)可以與移動(dòng)進(jìn)入設(shè)備以及受控制的物理單元的訪問控制單元處于通信連接。另一方面用戶本身與移動(dòng)進(jìn)入設(shè)備交互作用。用戶必要時(shí)也與中央平臺(tái)通過使用單獨(dú)的通信路徑(例如帶有因特網(wǎng)連接的計(jì)算機(jī))交互作用。用戶身份是使得另外的組成部分能夠共同作用的關(guān)鍵組成部分，其中，身份在不同的步驟中檢驗(yàn)。不同組成部分的這些通信不一定同時(shí)到期，然而重要的是，得到在三個(gè)組成部分相互間的原則上的通信可能性。該概念確保了驗(yàn)證來自其中一個(gè)以獨(dú)立的機(jī)構(gòu)轉(zhuǎn)移的所得到的信息。像下面描述的那樣，這種相互關(guān)系結(jié)合移動(dòng)進(jìn)入設(shè)備的特殊性確保了以特別安全和可靠的方式訪問。

根據(jù)本發(fā)明的系統(tǒng)和方法的用戶訪問移動(dòng)進(jìn)入設(shè)備，也就是說例如訪問帶有安裝在上面的應(yīng)用的智能手機(jī)。當(dāng)用戶可以將該裝置與車輛側(cè)的訪問控制單元通信時(shí)，車輛側(cè)的訪問控制單元不一定允許訪問車輛，這是因?yàn)槿鄙俦匾暮戏ㄐ浴Ｒ簿褪钦f，車輛并不是僅憑移動(dòng)訪問設(shè)備的身份就承認(rèn)合法性，而是只有結(jié)合用戶的已驗(yàn)證的身份才承認(rèn)合法性。身份證明只有在以下情況下才會(huì)成功，即，移動(dòng)訪問設(shè)備得到中央平臺(tái)的信息，其將移動(dòng)訪問設(shè)備和利用其鑒別的人員標(biāo)記為物理單元的合法的操作者。

本發(fā)明將對(duì)權(quán)限和受控的物理單元的管理劃分到中央控制平臺(tái)中。因此，取消了在未授權(quán)的情況下操縱管理，這是因?yàn)閮H允許可靠的機(jī)構(gòu)執(zhí)行對(duì)中央控制平臺(tái)的改變。操縱移動(dòng)裝置的數(shù)據(jù)是不夠的，這是因?yàn)樵L問控制設(shè)備通過與中央平臺(tái)的連接驗(yàn)證權(quán)利數(shù)據(jù)。

中央控制平臺(tái)可以包含關(guān)于相對(duì)于控制平臺(tái)以可靠的方式鑒別的人員的信息。然而，中央控制平臺(tái)也可以針對(duì)配屬的訪問控制單元管理配屬于匿名的標(biāo)識(shí)的權(quán)限，從而在中央控制平臺(tái)中不存在與實(shí)際的個(gè)人的關(guān)聯(lián)，而是僅存在匿名的標(biāo)識(shí)。

在常規(guī)的進(jìn)入系統(tǒng)或訪問管理中，鑒別借助相應(yīng)的器具、標(biāo)簽、鑰匙、鑰匙卡或類似裝置實(shí)現(xiàn)，而根據(jù)本發(fā)明，關(guān)于個(gè)人或特有的標(biāo)識(shí)的權(quán)限被分配和管理。與人員利用哪個(gè)器件來相對(duì)于中央控制平臺(tái)或訪問裝置進(jìn)行合法化無關(guān)地，權(quán)限授予不是與這種器件(電話、鑰匙等)綁定，而是與識(shí)別的個(gè)人或識(shí)別的身份綁定。

對(duì)于本發(fā)明來說重要的是，在中央控制平臺(tái)中配屬于人員身份或匿名的標(biāo)識(shí)的權(quán)限得到存儲(chǔ)。這些權(quán)限分別涉及訪問控制單元的由中央平臺(tái)管理的部分。例如可以針對(duì)標(biāo)識(shí)安排適用于訪問控制單元組或適用于所有配屬的訪問控制單元的權(quán)限。另外的權(quán)限可以針對(duì)各個(gè)訪問控制單元進(jìn)行配屬。在停車場控制的示例中，這意味著的是，給管理人員的職員例如針對(duì)停車場的所有車輛分配用于打開車輛的權(quán)限，然而，僅針對(duì)一些車輛分配啟動(dòng)車輛的權(quán)限。

相應(yīng)需要的是，首先在中央控制平臺(tái)中引入關(guān)于允許的用戶的身份或匿名的標(biāo)識(shí)的登記。這些登記可以以常見的方式借助提供用于查詢的接口的數(shù)據(jù)庫管理。通過與另外的系統(tǒng)的接口，例如與租車供應(yīng)商、安全公司或汽車共享供應(yīng)商的系統(tǒng)的接口也可以實(shí)現(xiàn)標(biāo)識(shí)的接受。在另外的供應(yīng)商的聯(lián)接的系統(tǒng)識(shí)別出其客戶的身份時(shí)，系統(tǒng)向中央平臺(tái)例如僅傳送匿名的標(biāo)識(shí)和附屬的權(quán)限。個(gè)人數(shù)據(jù)保留在合同當(dāng)事人中，然而，中央平臺(tái)借助標(biāo)識(shí)管理權(quán)限。

移動(dòng)訪問設(shè)備可以與中央控制平臺(tái)處于數(shù)據(jù)通信中。由中央控制平臺(tái)給移動(dòng)訪問設(shè)備提供信息，其能夠?qū)崿F(xiàn)相對(duì)于物理單元的訪問控制單元的合法性。這可以例如是由中央控制平臺(tái)分派的證書。

移動(dòng)訪問設(shè)備此外用于相對(duì)于訪問控制單元確保載體的身份。移動(dòng)訪問設(shè)備為此以如下方式裝備，即，對(duì)用戶的可靠的鑒別是可行的。鑒別用戶例如可以通過僅對(duì)于用戶來說已知的標(biāo)識(shí)實(shí)現(xiàn)，或者通過查詢生物測定數(shù)據(jù)，譬如面部識(shí)別、聲音分析或指紋實(shí)現(xiàn)。只有在相對(duì)于移動(dòng)訪問設(shè)備的鑒別成功時(shí)，才可以訪問移動(dòng)訪問設(shè)備中的信息。必要的鑒別的方式可以依賴于所要求的權(quán)限的安全相關(guān)性。如果用戶例如在車輛附近要求查詢車輛數(shù)據(jù)(公里數(shù)、油箱填充度等)，那么在移動(dòng)裝置上輸入PIN或者在裝置的操作面板上的特殊的期望手勢可以是足夠的。對(duì)于啟動(dòng)車輛來說，面部檢測例如是必要的。針對(duì)哪種權(quán)限需要哪種類型的身份檢驗(yàn)可以存儲(chǔ)在中央平臺(tái)中。

如果相對(duì)于移動(dòng)訪問設(shè)備的鑒別是成功的，那么構(gòu)建出與待控制的物理單元，更精確的說與物理單元的訪問控制單元的連接，并且使用至少部分由中央控制平臺(tái)傳送至移動(dòng)訪問設(shè)備進(jìn)入信息以便訪問物理單元的功能。

在這種情況下，在物理單元一側(cè)的訪問控制單元與中央控制平臺(tái)的根據(jù)本發(fā)明的連接起作用。通過該連接可行的是，物理單元一側(cè)的訪問控制單元驗(yàn)證由移動(dòng)訪問設(shè)備傳送的訪問信息是否是針對(duì)要求的功能的實(shí)際上合法的訪問數(shù)據(jù)。常規(guī)的系統(tǒng)不具有這種連接，并且相應(yīng)必須指望對(duì)僅來自移動(dòng)訪問設(shè)備的數(shù)據(jù)的檢驗(yàn)。

中央控制平臺(tái)不僅識(shí)別出在合法化方法中涉及的單元，而且識(shí)別出借助單元鑒別的人員的配屬的權(quán)限。中央控制平臺(tái)一方面已知用戶的身份或標(biāo)識(shí)，另一方面則已知移動(dòng)訪問設(shè)備的身份和物理單元中的訪問控制單元的身份。所有這些設(shè)備借助特有的特征鑒別。只有中央控制平臺(tái)具有所有的認(rèn)識(shí)，以便能夠?qū)崿F(xiàn)利用中央管理訪問。

在本發(fā)明的簡單的設(shè)計(jì)方案中，在中央平臺(tái)上設(shè)定標(biāo)識(shí)，其標(biāo)記出用戶。針對(duì)標(biāo)識(shí)存儲(chǔ)和關(guān)聯(lián)有移動(dòng)訪問設(shè)備的數(shù)據(jù)。這例如可以包括移動(dòng)裝置的IMEI。此外，針對(duì)標(biāo)識(shí)的一組訪問權(quán)限存儲(chǔ)在中央平臺(tái)中。第一次鑒別例如在可靠的機(jī)構(gòu)介入、例如行政機(jī)構(gòu)或可靠的服務(wù)提供商介入的情況下實(shí)現(xiàn)。

在第一次使用之前，由中央平臺(tái)向已注冊(cè)的應(yīng)該用作移動(dòng)訪問設(shè)備的移動(dòng)裝置發(fā)送消息。裝置的使用者被要求接受初始注冊(cè)。用戶于是在移動(dòng)裝置上給出一系列信息，這些信息在后面考慮用于身份檢驗(yàn)。例如存儲(chǔ)有PIN、期望手勢，并且檢測生物比較數(shù)據(jù)(面部掃描、聲音樣本、指紋等)。如果進(jìn)行這一點(diǎn)，那么數(shù)據(jù)已經(jīng)可以由中央平臺(tái)調(diào)用，并且存儲(chǔ)在移動(dòng)訪問設(shè)備上。這些數(shù)據(jù)例如可以包含鑒別數(shù)據(jù)以及證明數(shù)據(jù)的真實(shí)性的數(shù)據(jù)。數(shù)據(jù)例如可以以中央平臺(tái)的證書簽名，或者也被加密。隨后，系統(tǒng)已準(zhǔn)備就緒。

如果用戶現(xiàn)在想訪問物理設(shè)備，例如車輛，那么用戶要位于帶有附屬的訪問控制單元的物理單元的附近。首先，用戶必須相對(duì)于移動(dòng)訪問設(shè)備得到鑒別。僅當(dāng)這一點(diǎn)成功進(jìn)行時(shí)，移動(dòng)訪問設(shè)備才會(huì)訪問在移動(dòng)訪問設(shè)備中存儲(chǔ)的數(shù)據(jù)，并且將關(guān)于所要求的權(quán)限的數(shù)據(jù)傳送至訪問控制單元，訪問控制單元管理在物理單元上的權(quán)限。傳送通過無線連接、例如通過藍(lán)牙或WLAN或NFC實(shí)現(xiàn)。在訪問控制單元一側(cè)檢驗(yàn)數(shù)據(jù)是否是已認(rèn)證的。這隨后詳細(xì)闡述。訪問控制單元在此訪問訪問控制單元直接通過通信連接從中央平臺(tái)(直接在當(dāng)前的權(quán)限檢驗(yàn)期間或在時(shí)間上錯(cuò)開地、已經(jīng)在更早的時(shí)間點(diǎn)中)得到的數(shù)據(jù)。

通過組成部分的之前闡述的相互的通信可以創(chuàng)建極其安全的訪問限制。常規(guī)的系統(tǒng)規(guī)定的是，真實(shí)性的檢驗(yàn)借助長期在訪問控制單元中存儲(chǔ)的數(shù)據(jù)進(jìn)行。可靠的機(jī)構(gòu)的證書例如長期存儲(chǔ)在那里。根據(jù)本發(fā)明的用于更新數(shù)據(jù)(直到實(shí)時(shí)檢驗(yàn))的可能性確保了訪問，這是因?yàn)橥ㄐ怕窂讲灰蕾囉谝苿?dòng)訪問設(shè)備與中央平臺(tái)之間的路徑，并且也不依賴于移動(dòng)訪問設(shè)備上的可能被操縱的數(shù)據(jù)。

優(yōu)選地，給移動(dòng)訪問設(shè)備傳送密匙或證書，用以訪問物理單元的特定的配屬的訪問控制單元。物理單元的所配屬的訪問控制單元由中央平臺(tái)例如傳送一部分非對(duì)稱的密匙，以便驗(yàn)證證書。在此，常規(guī)的非對(duì)稱的加密方法可以例如根據(jù)公開的和私有的密匙的概念使用。

該類型的訪問控制的優(yōu)點(diǎn)在于：雖然尤其是對(duì)于設(shè)定和創(chuàng)建訪問權(quán)限來說必須存在所有通信參與部分與中央控制平臺(tái)的連接，但是在隨后的時(shí)間中，沒有中央控制平臺(tái)的協(xié)作的訪問控制和訪問功能暫時(shí)也是可行的。例如，中央控制平臺(tái)可以給移動(dòng)訪問設(shè)備和物理單元中的訪問控制單元傳送信息，其設(shè)有中央控制平臺(tái)的證書。不僅在移動(dòng)訪問設(shè)備中，而且也在物理單元和訪問控制單元中可以設(shè)置的是，即使當(dāng)暫時(shí)不能夠直接訪問中央控制平臺(tái)時(shí)，也在各種情況下暫時(shí)相信特定的證書等級(jí)，例如由中央控制平臺(tái)分派的證書。為此，證書可以設(shè)有截止日期，在截止日期后，用于相互的合法性的證書不再被接受。

因此，針對(duì)使用者身份或標(biāo)識(shí)可以存在關(guān)于用于訪問不同的物理單元的權(quán)限的大量的不同的機(jī)制。例如在將本發(fā)明應(yīng)用到對(duì)訪問車輛的控制的情況下，針對(duì)一個(gè)且相同的身份可以針對(duì)不同的車輛安排不同的權(quán)限，然而其中，用戶的相同的個(gè)人身份是相關(guān)聯(lián)的元素。在權(quán)限管理的意義下，在控制平臺(tái)中也可以發(fā)生全面的權(quán)限安排或權(quán)限約束，例如關(guān)于針對(duì)特定的車輛的使用方式或使用范圍的約束(例如不依賴于所使用的車輛地約束允許的最高速度)。

附圖說明

本發(fā)明現(xiàn)在借助在附圖中示出的實(shí)施例詳細(xì)闡述：

圖1示出根據(jù)本發(fā)明的第一實(shí)施例的通信流程的示意圖；

圖2示出根據(jù)本發(fā)明的第二實(shí)施例的設(shè)備和中央平臺(tái)的管理的示意圖；

圖3a示出根據(jù)本發(fā)明的第二實(shí)施例的訪問車輛的第一示意圖；

圖3b示出根據(jù)本發(fā)明的第二實(shí)施例的訪問車輛的第二示意圖。

具體實(shí)施方式

在圖1中，不同的站和分離的功能單元象征性地示出。消息流和信息交換的時(shí)間順序通過在這些單元之間的箭頭示出。受控制的物理單元在該示例中是車輛，其中，訪問控制單元與車輛的中央控制系統(tǒng)聯(lián)接，訪問控制單元控制用于車輛功能的規(guī)則，并且可以釋放或禁止功能。

在該方法可以以所示的方式運(yùn)行完之前執(zhí)行學(xué)習(xí)過程。這表示的是，將關(guān)于使用者身份和權(quán)限以及受控制的車輛的信息給提供給中央控制平臺(tái)。這例如可以以如下方式發(fā)生，即，人員相對(duì)于可靠的機(jī)構(gòu)利用適當(dāng)?shù)蔫b別文件(例如護(hù)照或個(gè)人證件)證實(shí)自己。可靠的機(jī)構(gòu)可以是車輛零售商，其執(zhí)行對(duì)身份的個(gè)人檢驗(yàn)，并且將相應(yīng)的身份登記與用于訪問特定的車輛的權(quán)利關(guān)聯(lián)起來。

這些數(shù)據(jù)由車輛零售商在車輛購買或維護(hù)時(shí)輸入到數(shù)據(jù)庫中，其對(duì)于中央控制平臺(tái)來說是可訪問的。重要的是，身份和配屬于身份的權(quán)限在中央控制平臺(tái)中得到管理，并且改變僅可以通過中央控制平臺(tái)執(zhí)行。使用中央系統(tǒng)可以以常規(guī)的方式例如通過經(jīng)由輸入掩碼管理數(shù)據(jù)庫而發(fā)生，輸入掩碼在因特網(wǎng)瀏覽器中示出。在前端后方的實(shí)際的管理可以是任意類型的、帶有適當(dāng)?shù)陌踩胧┑臄?shù)據(jù)庫。

根據(jù)本發(fā)明，權(quán)限管理在中央機(jī)構(gòu)，也就是中央控制平臺(tái)上發(fā)生。此外，使訪問受控的物理單元(在該情況下是車輛)對(duì)于中央控制平臺(tái)已知。為此，將特有的車輛鑒別存儲(chǔ)在中央控制平臺(tái)中。在船隊(duì)管理或車輛共享概念中，所有車輛可以作為物理單元存儲(chǔ)在中央控制平臺(tái)中?？梢耘c中央控制平臺(tái)連接的訪問控制單元分別獨(dú)特地配屬于車輛。

最后還重要的是，使得每個(gè)移動(dòng)訪問裝置對(duì)于中央控制平臺(tái)也是已知的。移動(dòng)訪問裝置在此可以在中央控制平臺(tái)中配屬于使用者或標(biāo)識(shí)，也就是說與其關(guān)聯(lián)起來。這例如以如下方式運(yùn)行完，即，移動(dòng)訪問裝置(在該情況下是智能手機(jī))相對(duì)于可靠的機(jī)構(gòu)注冊(cè)被鑒別的人員。例如給出智能手機(jī)的號(hào)碼。消息可以從可靠的機(jī)構(gòu)發(fā)送至該號(hào)碼上，其中，消息內(nèi)容又由可靠的機(jī)構(gòu)的鑒別人員給出。由此形成閉合循環(huán)，并且驗(yàn)證的是，實(shí)際上，移動(dòng)訪問裝置的給出的鑒別屬于被鑒別的人員。

此外，根據(jù)本發(fā)明的方法現(xiàn)在在其應(yīng)用中描述，其中，對(duì)圖1進(jìn)行參考。

在方法開始時(shí)，用戶通過在智能手機(jī)上激活用戶要求對(duì)車輛進(jìn)行訪問，帶有移動(dòng)裝置(例如智能手機(jī)或平板電腦)的用戶位于車輛附近。用戶輸入，例如移動(dòng)裝置上的應(yīng)用調(diào)用以通信箭頭1表示。移動(dòng)訪問設(shè)備現(xiàn)在驗(yàn)證用戶的身份，在該示例中的方法是執(zhí)行面部識(shí)別(箭頭2)。用戶將其面部呈現(xiàn)給集成在智能手機(jī)中的照相機(jī)，并且位于裝置中的軟件以存儲(chǔ)的和經(jīng)過認(rèn)證的生物統(tǒng)計(jì)數(shù)據(jù)匹配該面部。

如果相對(duì)于移動(dòng)裝置的認(rèn)證失敗，那么方法在該情況下中斷，并且訪問車輛的嘗試失敗。

身份驗(yàn)證可以借助在移動(dòng)裝置中加密地存儲(chǔ)的數(shù)據(jù)實(shí)現(xiàn)，也就是說，移動(dòng)裝置中的生物統(tǒng)計(jì)數(shù)據(jù)可以以加密方式存儲(chǔ)地存在。

如果身份相對(duì)于移動(dòng)裝置成功地以通信交換2得到驗(yàn)證，那么移動(dòng)訪問設(shè)備與車輛聯(lián)系，這可以通過標(biāo)準(zhǔn)NFC接口或藍(lán)牙連接發(fā)生。移動(dòng)訪問單元在通信箭頭3中構(gòu)建與車輛的訪問控制單元的連接。移動(dòng)訪問單元在該消息中例如要求操作車輛功能，例如開門。

移動(dòng)裝置向車輛的訪問控制單元告知用戶的已驗(yàn)證的身份。根據(jù)該示例這借助證書發(fā)生，證書由中央控制平臺(tái)分派并且存儲(chǔ)在智能手機(jī)中。為此尤其是可以使用常規(guī)的帶有公開的和私有的密匙的證明方法。也就是說，在移動(dòng)裝置中例如存在身份信息，身份信息利用中央控制平臺(tái)的私有的密匙簽名。與在因特網(wǎng)瀏覽器中類似地，在車輛中的訪問控制單元中存在根證書密匙(形式為中央控制平臺(tái)的公開的密匙)。只有當(dāng)所傳送的身份信息根據(jù)規(guī)定是已證明的信息時(shí)，才可以為車輛破譯關(guān)于身份的信息，并且識(shí)別為是正確的。

利用這些身份信息，車輛的訪問控制單元在箭頭4中被應(yīng)用到控制平臺(tái)，并且根據(jù)對(duì)于該身份存在的訪問權(quán)限查詢。訪問控制單元為此具有GSM模塊，用以與中央平臺(tái)通過移動(dòng)無線網(wǎng)絡(luò)通信。控制平臺(tái)在箭頭5和6中訪問與控制平臺(tái)聯(lián)接的身份管理和權(quán)限管理。身份管理和權(quán)限管理不需要定位在和中央控制平臺(tái)相同的機(jī)構(gòu)上。例如，在汽車共享概念中存在中央身份管理，其在公司方面決定性地通過多個(gè)汽車共享供應(yīng)商維護(hù)。配屬于身份的權(quán)限，也就是說個(gè)人是否可以在汽車共享池中訪問特定的車輛的疑問可以存儲(chǔ)在各個(gè)公司中。如果存在不同的汽車共享公司，那么中央控制平臺(tái)可以根據(jù)查詢的車輛單元訪問中央身份管理，并且訪問特定的汽車共享供應(yīng)商的特殊的屬于所鑒別的車輛的權(quán)限池。在車輛與中央控制平臺(tái)之間的通信的情況下同樣可以使用基于證書的通信，以便確保通信伙伴的認(rèn)證。

在中央控制平臺(tái)中獲知的是，已鑒別的人員在車輛方面具有哪種權(quán)限。權(quán)限例如可以以如下方式設(shè)計(jì)，即，人員具有對(duì)車輛的完全的訪問權(quán)限來打開車門和啟動(dòng)發(fā)動(dòng)機(jī)?？梢蕴孢x的是，已鑒別的人員是汽車共享供應(yīng)商的車間職員，其原則上具有打開所有車輛的權(quán)限，然而沒有以超過20km/h的速度執(zhí)行行駛的權(quán)限。

這些信息從中央控制平臺(tái)在7中傳送回車輛中的訪問控制單元，其將相應(yīng)的設(shè)定或信號(hào)輸出至車輛的控制系統(tǒng)。然后由控制系統(tǒng)相應(yīng)地例如執(zhí)行門解鎖，并且接通用于實(shí)施另外的車輛功能的權(quán)利。

總之確保的是實(shí)現(xiàn)身份檢驗(yàn)，為此可以利用移動(dòng)訪問設(shè)備。其次，移動(dòng)訪問設(shè)備裝備有由中央控制平臺(tái)證明的鑒別，這確保了相對(duì)于所有因此得到控制的物理單元的安全。

智能手機(jī)中的證書可以在該實(shí)施例的另外的設(shè)計(jì)中設(shè)有短期的到期時(shí)間，從而移動(dòng)訪問設(shè)備必須通過數(shù)據(jù)連接定期從中央控制平臺(tái)取得經(jīng)更新的證書。這樣描述的基于證書的與移動(dòng)裝置上的身份檢驗(yàn)相關(guān)聯(lián)的解決方案具有另外的優(yōu)點(diǎn)。原則上的根據(jù)本發(fā)明的方法采用在車輛(訪問控制單元)與用于驗(yàn)證權(quán)限的中央控制平臺(tái)之間的數(shù)據(jù)連接。然而，這種連接并不總是得到確保，例如在具有差的數(shù)據(jù)網(wǎng)絡(luò)質(zhì)量的區(qū)域中的行駛的情況下，或者在地下車庫的情況下。該方法在這種情況下允許的是，仍然借助證書實(shí)施訪問控制。一方面，用戶相對(duì)于移動(dòng)裝置得到鑒別，這借助在移動(dòng)裝置中存儲(chǔ)的數(shù)據(jù)是可行的。如果成功實(shí)現(xiàn)驗(yàn)證，那么在移動(dòng)裝置中存在中央控制平臺(tái)的有效性還沒有到期的有效的證書數(shù)據(jù)。僅利用該信息可以實(shí)現(xiàn)，即使當(dāng)與中央控制平臺(tái)的直接通信不能夠接受時(shí)，也在車輛側(cè)給予一定的權(quán)限來訪問車輛。在車輛側(cè)，在那里的訪問控制單元中，由于與中央平臺(tái)的較早的連接存在中央控制平臺(tái)的所存儲(chǔ)的證書信息，并且可以得到驗(yàn)證的是，在成功的身份控制的情況下存在移動(dòng)訪問設(shè)備的有效的證書。這種證書例如可以已經(jīng)足夠用于允許用戶訪問車輛，并且例如在例如最大50km/h的最高速度的情況下可以駛過有限的例如最大2km的路徑，在該路徑中必須構(gòu)建訪問控制單元與中央控制平臺(tái)之間的通信。一旦構(gòu)建出聯(lián)接，那么就實(shí)現(xiàn)完全的檢驗(yàn)和完全的權(quán)限授予。

基于證明的臨時(shí)的信任的概念因此是可行的，這是因?yàn)橐环矫?，進(jìn)行用戶相對(duì)于移動(dòng)裝置的鑒別，并且該身份也告知給車輛，并且另一方面，基于證書的、臨時(shí)的、相對(duì)于車輛的信任設(shè)定可以得到證實(shí)。如在常規(guī)的方法中那樣，當(dāng)缺少對(duì)身份的無疑問的確定時(shí)，這種方法是不可行的。然而，因?yàn)樯矸菔窃谝苿?dòng)裝置中訪問在那里加密地存在的證書的前提條件，所以車輛可以承受臨時(shí)的信任給予和權(quán)限授予。以該方式，根據(jù)本發(fā)明的方法考慮為常規(guī)的方法，其以與中央控制平臺(tái)的在任何時(shí)間都強(qiáng)制連接為前提，或者信任移動(dòng)訪問裝置例如鑰匙或帶有相應(yīng)的應(yīng)用的智能手機(jī)，而不需要驗(yàn)證用戶的身份。

針對(duì)該目的，在移動(dòng)裝置中可以例如針對(duì)不同的汽車共享公司存儲(chǔ)有大量的不同的證書。此外，權(quán)限授予同樣可以以不同的方式實(shí)現(xiàn)。不依賴于自身的車輛單元地，例如可以針對(duì)身份執(zhí)行優(yōu)先的權(quán)限設(shè)定，其例如原則上僅允許以經(jīng)降低的速度行駛。例如，在具有一定的年齡的駕駛員中，針對(duì)身份可以確定的是，該駕駛員原則上僅允許以例如120km/h的最高速度行駛。這種高階的權(quán)限不依賴于查詢的汽車共享或船單元地告知車輛，從而例如，一輛車輛并且同一車輛根據(jù)訪問的身份在不同的車輛模式下運(yùn)行。該設(shè)計(jì)只有在以下情況下才是可行的，即，存在具有身份信息的中央控制平臺(tái)，身份信息還(即使在不同的機(jī)構(gòu)中)可以與不同的權(quán)限設(shè)定相關(guān)聯(lián)。一個(gè)身份并且同一身份可以借助不同的移動(dòng)裝置在不同的物理單元中合法化。因?yàn)槿藛T身份在移動(dòng)裝置中驗(yàn)證，并且移動(dòng)訪問設(shè)備(智能手機(jī))自身沒有識(shí)別為合法的進(jìn)入設(shè)備，所以這才是可行。相應(yīng)地，該方法明顯優(yōu)于使用簡單的點(diǎn)火鑰匙的方法，這是因?yàn)樵谀抢餆o法發(fā)生結(jié)合移動(dòng)裝置的檢驗(yàn)身份，并且此外移動(dòng)訪問設(shè)備在丟失或被盜的情況下可以以簡單的方式從遠(yuǎn)處阻止訪問車輛。

所有在根據(jù)本發(fā)明的方法中實(shí)施的通信可以以常規(guī)的保險(xiǎn)裝置執(zhí)行，例如通過在基于因特網(wǎng)的通信中構(gòu)建TLS連接。

在參考圖1描述了該方法的原則上的和常見的流程之后，現(xiàn)在參考另外的圖描述另外的實(shí)施例。

圖2以示意性的方式示出訪問中央平臺(tái)的順序，并且示出建立和操縱存儲(chǔ)在那里的數(shù)據(jù)和聯(lián)系。

中央平臺(tái)根據(jù)該示例以常規(guī)的MVC(模型視圖控制器)結(jié)構(gòu)建立。用戶可以通過網(wǎng)絡(luò)接口訪問中央平臺(tái)，其方法是，用戶在其局域裝置上使用相應(yīng)的瀏覽器。中央平臺(tái)的網(wǎng)絡(luò)接口通過常規(guī)的網(wǎng)絡(luò)服務(wù)器提供。數(shù)據(jù)層面和外部的應(yīng)用與網(wǎng)絡(luò)服務(wù)器層面分離。數(shù)據(jù)例如在常規(guī)的數(shù)據(jù)庫服務(wù)器(SQL服務(wù)器)中存儲(chǔ)在數(shù)據(jù)層面上。

就車輛的使用壽命而言(車輛也在該情況下假定為物理單元)，在圖2中，訪問順序就壽命而言從左向右示出。在制造期間，首先，制造商具有關(guān)于車輛的實(shí)際控制。制造商在該時(shí)間點(diǎn)上也訪問中央平臺(tái)，以便設(shè)定針對(duì)車輛的首次登記。制造商建立針對(duì)車輛的登記和車輛的訪問控制設(shè)備(SID-智能識(shí)別設(shè)備)，并且將訪問控制設(shè)備與車輛關(guān)聯(lián)。通過制造商側(cè)的關(guān)聯(lián)建立在車輛系統(tǒng)與SID之間的特有的和長期的關(guān)聯(lián)。車輛系統(tǒng)相應(yīng)地接收被關(guān)聯(lián)的SID的控制指令。在完成車輛和其關(guān)聯(lián)后，車輛被運(yùn)輸至零售商，像在圖2中示出的那樣。

一旦車輛出售或交付給用戶，那么零售商通過網(wǎng)絡(luò)接口在中央平臺(tái)中建立該用戶的身份，并且在中央平臺(tái)中將車輛轉(zhuǎn)移給用戶。也就是說，零售商建立在車輛與車輛配屬的SID以及由其提供的用戶標(biāo)識(shí)之間的關(guān)聯(lián)。

隨后，車輛實(shí)際上交付給新的擁有者。由零售商建立的擁有者具有如下權(quán)限：針對(duì)與擁有者關(guān)聯(lián)的車輛和SID，將另外的用戶作為車輛用戶設(shè)定在中央平臺(tái)中。車輛擁有者可以通過中央平臺(tái)的網(wǎng)絡(luò)接口給另外的用戶，例如擁有者本身或其家庭成員(在租車管理的情況下還有租客)安排有針對(duì)性的權(quán)限。此外，車輛擁有者可以決定哪個(gè)用戶允許針對(duì)哪些權(quán)限以何種方式的認(rèn)證措施訪問，并且權(quán)限是否有時(shí)間限制，也就是說在特定的時(shí)間點(diǎn)失效或在預(yù)定的是時(shí)間段后失效。在此涉及的是，確定帶有移動(dòng)進(jìn)入裝置(在該示例中是智能手機(jī))的用戶可以如何訪問車輛的方式和方法。車輛擁有者為此可以確定的是，針對(duì)一些訪問方式和權(quán)限來說，僅需要輸入PIN，而在另外的權(quán)限(例如啟動(dòng)車輛)中需要識(shí)別(例如面部識(shí)別或指紋識(shí)別)。

車輛于是可以由車輛擁有者相應(yīng)交付給用戶，這在圖2中作為右列示出。這種車輛用戶可以例如通過其智能手機(jī)在必要的鑒別后在中央平臺(tái)中查詢其在特定的車輛方面具有哪些權(quán)限，然而不能夠改變這些權(quán)限。

可看到的是，在不同的層面上設(shè)置有不同的用于訪問和改變中央平臺(tái)中的數(shù)據(jù)的權(quán)限。制造商可以設(shè)立車輛和附屬的SID并且將它們關(guān)聯(lián)，而零售商不再能夠影響車輛和SID的數(shù)據(jù)。相反地，零售商可以針對(duì)每個(gè)車輛設(shè)立擁有者，并且將擁有者與車輛和SID的已經(jīng)存在的數(shù)據(jù)關(guān)聯(lián)。擁有者又可以對(duì)車輛的權(quán)限進(jìn)行控制、建立和改變，并且將其設(shè)立給車輛的另外的用戶。用戶最后僅可以在中央平臺(tái)中檢驗(yàn)其自身的權(quán)限。

每個(gè)配屬過程可以通過不同的安全概念保護(hù)。在該實(shí)施例中，在通過零售商將車輛配屬于車輛擁有者的情況下，例如開始下列過程：

如果零售商在中央平臺(tái)上輸入車輛應(yīng)該與新建立的身份綁定，那么首先，將關(guān)聯(lián)存儲(chǔ)在數(shù)據(jù)庫中，數(shù)據(jù)庫將擁有者與車輛和配屬于車輛的SID關(guān)聯(lián)。隨后利用針對(duì)車輛擁有者存儲(chǔ)的移動(dòng)號(hào)碼，以便將消息(例如SMS)從中央平臺(tái)發(fā)送至該移動(dòng)號(hào)碼上。借助該消息通知車輛擁有者的是，在中央平臺(tái)中新的車輛已經(jīng)配屬于該車輛擁有者。此外，將消息(例如還是SMS)發(fā)送至所配屬的車輛的被關(guān)聯(lián)的SID。在該消息中，SID要求(觸發(fā))對(duì)中央平臺(tái)的查詢，以便從中央平臺(tái)檢索出對(duì)訪問權(quán)限的更新。當(dāng)關(guān)于車輛上的相應(yīng)的SID的權(quán)限安排被改變時(shí)，也使用該類型的觸發(fā)消息。這種觸發(fā)比直接傳送權(quán)限設(shè)定要更安全，這是因?yàn)榕cSID直接接受所傳送的數(shù)據(jù)的情況相比，在中央平臺(tái)的查詢被觸發(fā)情況下的操縱是更加不可能的。

在該實(shí)施例中，SID通過接收的消息支配，通過GSM模塊構(gòu)建與中央平臺(tái)的數(shù)據(jù)連接。隨后，所更新的數(shù)據(jù)(包括關(guān)于新設(shè)定的用戶的數(shù)據(jù))下載到SID上。SID在車輛側(cè)將用戶的權(quán)限加密并且存儲(chǔ)在裝置中。連接通過證書檢驗(yàn)來得到確保，其中，在制造商側(cè)，在SID中已經(jīng)可以存儲(chǔ)有中央平臺(tái)的根證書。

以類似的方式，權(quán)限安排可以通過用戶針對(duì)其車輛在之后的時(shí)間點(diǎn)中進(jìn)行。一旦用戶在中央平臺(tái)中針對(duì)其車輛改變權(quán)限安排，那么中央平臺(tái)將消息發(fā)送至車輛中的相關(guān)的SID，消息觸發(fā)車輛的SID中的權(quán)限安排的更新。

在此，在用戶層面上也可行的是，訪問權(quán)限與時(shí)間安排或有效性持續(xù)時(shí)間相關(guān)聯(lián)，也就是說，暫時(shí)安排車輛的另外的用戶的權(quán)限。車輛擁有者的權(quán)限的安排原則上長期地進(jìn)行，然而，擁有者也可以在時(shí)間上限制權(quán)限，或者在時(shí)間間隔內(nèi)將其傳送至用戶。這種時(shí)間限制由中央平臺(tái)告知車輛上的SID，并且也加密地存儲(chǔ)在那里。例如可以設(shè)置的是，SID在使用權(quán)限到期后不允許重新的車輛啟動(dòng)，或者強(qiáng)烈地限制最高速度。

除了中央平臺(tái)內(nèi)的這種原則上的權(quán)限安排和將權(quán)限從中央平臺(tái)傳送至車輛的SID以外，在用戶與其移動(dòng)裝置，尤其是智能手機(jī)之間的交互作用也是重要的。

在智能手機(jī)上實(shí)施應(yīng)用，其可以進(jìn)行與中央平臺(tái)以及與車輛的SID的通信。為此，應(yīng)用例如通過零售商轉(zhuǎn)存至車輛擁有者的裝置上，或者其可以從相關(guān)的平臺(tái)和網(wǎng)上商店針對(duì)不同的運(yùn)行系統(tǒng)下載應(yīng)用。

在移動(dòng)裝置上第一次使用應(yīng)用的情況下，用戶需要輸入用戶名和密碼。這些數(shù)據(jù)用于計(jì)算出傳送到中央平臺(tái)上的哈希值。與中央平臺(tái)的通信在此可以通過常見的傳遞模式，例如通過(加密的)http協(xié)議實(shí)現(xiàn)。中央平臺(tái)檢驗(yàn)用戶是否在其數(shù)據(jù)庫中存在，并且借助在中央平臺(tái)中存儲(chǔ)的關(guān)于用戶名和密碼的數(shù)據(jù)同樣計(jì)算出哈希值。將該哈希值與所傳送的哈希值比較。如果用戶名和哈希值的匹配得到肯定的認(rèn)證，那么應(yīng)用從中央平臺(tái)傳送至配屬于用戶的SID和車輛。這些數(shù)據(jù)由智能手機(jī)上的應(yīng)用針對(duì)用戶標(biāo)識(shí)加密地存儲(chǔ)。

現(xiàn)在，在已經(jīng)確定用戶原則上是已認(rèn)證的之后，用戶為了確保訪問權(quán)限需要學(xué)習(xí)智能手機(jī)上的不同的認(rèn)證方法。用戶尤其需要的是：安排特有的PIN、在智能手機(jī)的顯示屏上實(shí)施圖案手勢并且執(zhí)行面部識(shí)別或指紋識(shí)別。

不同的認(rèn)證方法代表用于訪問不同的車輛功能的不同的安全等級(jí)。如下信息在中央平臺(tái)中預(yù)定，即，哪些認(rèn)證或這些認(rèn)證的哪些關(guān)聯(lián)對(duì)于訪問車輛功能來說是足夠的。

隨后，對(duì)于智能手機(jī)上的應(yīng)用的用戶來說可行的是，針對(duì)訪問第一次激活其中一個(gè)車輛，其已經(jīng)由中央平臺(tái)通知應(yīng)用作為配屬的車輛。如果用戶選取一個(gè)車輛來激活，那么應(yīng)用將激活查詢發(fā)送至中央平臺(tái)，并且中央平臺(tái)建立隨機(jī)碼，其在有限的時(shí)間段內(nèi)有效的。隨機(jī)的激活碼通過單獨(dú)的消息發(fā)送至用戶的移動(dòng)電話上。用戶必須在應(yīng)用中輸入來自單獨(dú)的消息的激活碼，并且應(yīng)用將激活碼發(fā)送回中央平臺(tái)。以該方式確保的是，用戶實(shí)際上以在中央平臺(tái)中存儲(chǔ)的路徑接收消息。

中央平臺(tái)證實(shí)激活碼的有效性并且向智能手機(jī)上的應(yīng)用發(fā)送相應(yīng)的確認(rèn)。智能手機(jī)上的應(yīng)用建立由私有的和公開的密匙構(gòu)成的密匙對(duì)，并且建立發(fā)送至中央平臺(tái)上的CSR(證書簽名請(qǐng)求)。中央平臺(tái)接收CSR，并且產(chǎn)生針對(duì)用戶、配屬于用戶的SID和車輛組合的X509證書。這意味著的是，針對(duì)每個(gè)用戶和每個(gè)車輛/SID組合建立證書，其既包含用戶ID也包含SID在證書中的標(biāo)識(shí)。證書數(shù)據(jù)與相關(guān)的車輛的SID的藍(lán)牙地址一起發(fā)送回智能手機(jī)上的應(yīng)用中。

數(shù)據(jù)通過應(yīng)用接收，并且加密地存儲(chǔ)。應(yīng)用于是具有所配屬的SID的藍(lán)牙地址，這允許通過藍(lán)牙配對(duì)智能手機(jī)上的應(yīng)用和所配屬的SID。

針對(duì)實(shí)施例的上述說明描述了所有的準(zhǔn)備動(dòng)作，其僅一次性地或在改變?cè)L問權(quán)限時(shí)執(zhí)行。當(dāng)車輛擁有者或用戶想使用新的移動(dòng)裝置來訪問存在的車輛時(shí)，這些過程同樣可部分實(shí)施。

在實(shí)踐中，利用一次性地設(shè)定的系統(tǒng)對(duì)車輛進(jìn)行普通訪問是最常見的情況。為此建立在移動(dòng)裝置上的應(yīng)用與車輛中的SID之間的短程的無線連接。配對(duì)過程以公知的方式進(jìn)行，必要時(shí)，在開始時(shí)需要確認(rèn)兩個(gè)設(shè)備的聯(lián)接，這依賴于所使用的運(yùn)行系統(tǒng)的類型和智能手機(jī)上的設(shè)定。然而，智能手機(jī)已經(jīng)在激活車輛和其配屬的SID時(shí)得到用于藍(lán)牙連接的SID地址數(shù)據(jù)，從而這種確認(rèn)也可以不發(fā)生。

如果這種配對(duì)成功執(zhí)行，那么用戶可以在打開的應(yīng)用中例如通過圖形接口訪問車輛功能，圖形接口顯示在智能手機(jī)的觸敏的屏幕上。

車輛功能例如可以涉及門鎖、發(fā)動(dòng)機(jī)啟動(dòng)、啟動(dòng)加熱裝置或停車加熱裝置、打開窗戶、打開后備箱蓋或者接通車輛上的照明裝置。

圖3a示例性地示出當(dāng)用戶想利用其智能手機(jī)訪問車輛功能時(shí)的訪問流程。該圖從上往下閱讀。

用戶在其智能手機(jī)上打開應(yīng)用，用以訪問其車輛，并且選取用于解鎖車門的命令。智能手機(jī)上的應(yīng)用借助存儲(chǔ)的數(shù)據(jù)檢驗(yàn)用戶針對(duì)該功能需要什么樣的認(rèn)證，并且如果認(rèn)證在該階段中在應(yīng)用啟動(dòng)時(shí)還沒有執(zhí)行，那么對(duì)用戶要求該認(rèn)證。

應(yīng)用隨后確定如下，其沒有與操控的車輛的SID聯(lián)接，并且首先建立與車輛SID的藍(lán)牙連接。通過藍(lán)牙連接，也就是說通過藍(lán)牙上的協(xié)議層面創(chuàng)建安全的數(shù)據(jù)連接。應(yīng)用于是將用于打開車門的命令傳導(dǎo)至SID。然而在該示例中，用戶在SID側(cè)還是未知的(SID針對(duì)該用戶還沒有激活)。SID相應(yīng)地向移動(dòng)電話答復(fù)用戶是未知的。應(yīng)用隨后需要SID激活用戶，于是，SID在中央平臺(tái)中通過GSM模塊提出激活查詢。中央平臺(tái)向SID確認(rèn)用戶對(duì)于該車輛來說是合法的，并且激活SID，并且發(fā)送相應(yīng)的進(jìn)入信息。

隨后，SID向移動(dòng)電話確認(rèn)激活用戶。智能手機(jī)上的應(yīng)用隨后重復(fù)打開門的請(qǐng)求，這通過SID確認(rèn)，并且最后為使用者將門解鎖。

所描述的情況是最壞情況，其中，該流程可以包括所有示出的步驟。然而通常，在用戶靠近車輛的情況下已經(jīng)建立藍(lán)牙連接，并且用戶也已經(jīng)在SID中已知。該方法于是以明顯更少的步驟且非?？斓剡\(yùn)行。在常見的方式和方法中的流程在圖3b中示出。

根據(jù)本發(fā)明的方法程序能夠?qū)崿F(xiàn)對(duì)用戶權(quán)限的非常安全的管理和靈活的管控，例如在停車場中，但也在使用其他的物理單元，例如機(jī)器的情況下或者在類似的情況下實(shí)現(xiàn)。通過一方面在每個(gè)物理單元上的SID與中央平臺(tái)之間以及另一方面在中央平臺(tái)與移動(dòng)裝置(智能手機(jī))之間的分離的通信通道提高了安全性。此外，由于用戶為了在移動(dòng)訪問裝置上認(rèn)證還需要能訪問在移動(dòng)設(shè)備上加密地存儲(chǔ)的數(shù)據(jù)，所以可添加另外的安全等級(jí)。

移動(dòng)訪問裝置(尤其是智能手機(jī))中的加密的存儲(chǔ)器例如包含關(guān)于激活的車輛的信息、關(guān)于與車輛聯(lián)接的SID的信息，尤其是其藍(lán)牙地址和連接碼、用于通信的客戶證書和密匙和在命令要求時(shí)的認(rèn)證方法列表以及用戶信息，尤其是用戶名和密碼。

在針對(duì)每個(gè)車輛的SID的存儲(chǔ)器中，例如以加密的方式存儲(chǔ)有SID的私有的密匙、SID證書和中央平臺(tái)的證書和/或公開的密匙。

在設(shè)備中存儲(chǔ)這些數(shù)據(jù)能夠?qū)崿F(xiàn)訪問控制的一種靈活的方式。為此，在車輛SID中存儲(chǔ)的證書信息尤其是可以用于建立在車輛與帶有智能手機(jī)的訪問的用戶之間的臨時(shí)的信任關(guān)系。像上面描述的那樣，用戶的應(yīng)用得到來自中央平臺(tái)的針對(duì)SID的訪問信息。在此，信息以中央平臺(tái)的私有的密匙加密。車輛側(cè)的SID包含關(guān)于中央平臺(tái)的根證書的信息。即使在SID沒有訪問中央平臺(tái)的情況下也可以通過該結(jié)構(gòu)在各種情況下確保用戶暫時(shí)訪問車輛。也就是說，如果SID可以借助存儲(chǔ)的關(guān)于根證書的信息肯定地驗(yàn)證由智能手機(jī)通過APP發(fā)送到SID上的信息實(shí)際上由中央平臺(tái)簽名，那么可以暫時(shí)建立信任關(guān)系。當(dāng)例如新的使用者在租來的車輛的情況下想獲得進(jìn)入，但租來的車輛例如處于帶有很差的移動(dòng)無線連接的區(qū)域中時(shí)，這尤其是重要的。如果在車輛的SID中的證書匹配是成功的，那么一旦存在網(wǎng)絡(luò)連接就可以確保用戶訪問車輛，并且車輛將查詢完全的用戶權(quán)限。