知財求人 - 知財ポータルサイト「IP Force」
▶ スフィンクス エレクトロニクス ゲーエムベーハー ウント コー カーゲーの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-03-06
(45)【発行日】2024-03-14
(54)【発明の名称】オフライン制御装置を起動又は管理するための方法及びシステム
(51)【国際特許分類】
H04L 9/32 20060101AFI20240307BHJP
G06F 21/31 20130101ALI20240307BHJP
G06F 21/64 20130101ALI20240307BHJP
【FI】
H04L9/32 100E
G06F21/31
G06F21/64
【請求項の数】
15
(21)【出願番号】P 2022579080
(86)(22)【出願日】2021-06-28
(65)【公表番号】
(43)【公表日】2023-06-27
(86)【国際出願番号】 EP2021067632
(87)【国際公開番号】W WO2022002823
(87)【国際公開日】2022-01-06
【審査請求日】2023-05-10
(31)【優先権主張番号】102020117287.7
(32)【優先日】2020-07-01
(33)【優先権主張国・地域又は機関】DE
【早期審査対象出願】
(73)【特許権者】
【識別番号】522493942
【氏名又は名称】スフィンクス エレクトロニクス ゲーエムベーハー ウント コー カーゲー
【氏名又は名称原語表記】Sphinx Electronics GmbH & Co KG
(74)【代理人】
【識別番号】100125254
【弁理士】
【氏名又は名称】別役 重尚
(74)【代理人】
【識別番号】100118278
【弁理士】
【氏名又は名称】村松 聡
(72)【発明者】
【氏名】チェン チョン ギア
(72)【発明者】
【氏名】エッゲルト ラインハルト
(72)【発明者】
【氏名】ボデション パスカル
【審査官】田中 啓介
(56)【参考文献】
【文献】特開2013-206286(JP,A)
【文献】中国特許出願公開第109271757(CN,A)
【文献】中国特許第105915343(CN,B)
(58)【調査した分野】(Int.Cl.,DB名)
G06F12/14、21/00-21/88
G09C1/00-5/00
H04K1/00-3/00
H04L9/00-9/40
(57)【特許請求の範囲】
【請求項1】
多要素/ID認証を用いて、オフライン制御装置(2)を起動及び管理するための方法であって、前記オフライン制御装置(2)が、管理制御ユニット(3)及び前記管理制御ユニット(3)をアクティブ化する端末(4)を備え、前記オフライン制御装置(2)の初回起動のための方法ステップであって、-前記端末(4)に多要素/ID認証アルゴリズム(6)を実装するステップと、
-工場出荷時状態にある前記端末(4)と、記憶媒体ID及び第1のセキュリティコード(5)が偽造不可能かつグローバルに一意な様態で格納されている第1の記憶媒体(7)とを、顧客に納入するステップと、
-前記第1のセキュリティコード(5)に基づいて生成された第2のセキュリティコード(22)を、前記顧客の第2の記憶媒体(8)に供給するステップと、
-前記第1の記憶媒体及び前記第2の記憶媒体(7、8)をユーザにより前記端末(4)の位置に配置し、前記記憶媒体ID並びに前記第1のセキュリティコード及び前記第2のセキュリティコード(5、22)を前記端末(4)により読み取り、前記端末(4)の前記多要素/ID認証アルゴリズム(6)を用いて、前記読み取られた第1のセキュリティコード及び前記読み取られた第2のセキュリティコード(5、22)が互いに有効であるかどうかをオフラインでチェックするステップと、
-多要素認証チェックが肯定的であったとき、権限付与IDとしての前記記憶媒体IDと前記第1のセキュリティコード(5)とを前記端末(4)に格納するステップと、
-初回起動動作を終了するステップと、
を含む、方法ステップを有し、
かつ前記オフライン制御装置(2)の前記初回起動が完了した後に、前記管理制御ユニット(3)を管理するための以下の方法ステップであって、
-2つの記憶媒体をユーザにより前記端末(4)の位置に配置し、前記2つの記憶媒体のうち一方の記憶媒体の記憶媒体ID及びセキュリティコード並びに他方の記憶媒体のセキュリティコードを前記端末(4)により読み取り、前記端末(4)の前記多要素/ID認証アルゴリズムを用いて、前記一方の記憶媒体の前記読み取られた記憶媒体ID及び前記読み取られたセキュリティコードが、前記端末(4)に格納されている前記権限付与ID及び前記端末(4)に格納されている前記第1のセキュリティコード(5)と一致し、かつ2つの前記読み取られたセキュリティコードが互いに有効であるかどうかをオフラインでチェックするステップと、
-多要素/ID認証チェックが肯定的であったとき、前記ユーザによる前記管理制御ユニット(3)の管理のために、前記端末(4)により前記管理制御ユニット(3)をアクティブ化するステップと、
-管理動作を終了するステップと、
を含む、方法ステップを有する、
方法。
【請求項2】
前記管理動作において、ID認証チェックが肯定的であったときにのみ前記多要素認証チェックが実行されることを特徴とする、請求項1に記載の方法。
【請求項3】
前記端末(4)の前記位置に配置された記憶媒体の記憶媒体ID及び/又はセキュリティコードが、無線又は有線方式で、オフラインで前記端末(4)へ送信されることを特徴とする、請求項1又は2に記載の方法。
【請求項4】
前記第1の記憶媒体(7)が、前記顧客に納入されるトランスポンダであることを特徴とする、請求項1から3のいずれか一項に記載の方法。
【請求項5】
前記第1のセキュリティコード(5)がバイナリコードであることを特徴とする、請求項1から4のいずれか一項に記載の方法。
【請求項6】
前記第2のセキュリティコード(22)が、前記第1のセキュリティコード(5)のデジタル署名として前記第2の記憶媒体(8)に供給され、かつ格納されることを特徴とする、請求項1から5のいずれか一項に記載の方法。
【請求項7】
前記第2のセキュリティコード(22)が、秘密鍵を用いて暗号化され、かつ前記暗号化された第2のセキュリティコード(22)の有効性が、公開鍵(19)を用いて前記端末(4)の前記多要素/IDアルゴリズム(6)によってチェックされることを特徴とする、請求項1から6のいずれか一項に記載の方法。
【請求項8】
前記第1のセキュリティコード(5)に適用される暗号学的ハッシュ関数を用いて前記第1のセキュリティコード(5)のハッシュ値が決定され、かつ前記第1のセキュリティコード(5)の前記ハッシュ値に前記秘密鍵(20)が適用されて、前記第2のセキュリティコード(22)が前記第1のセキュリティコード(5)のデジタル署名の様態で生成されることを特徴とする、請求項7に記載の方法。
【請求項9】
前記顧客のモバイル端末を前記第2の記憶媒体(8)とする場合、前記第2のセキュリティコード(22)を用いてアクティブ化される前記オフライン制御装置(2)のプロバイダのアプリが、前記管理制御ユニット(3)を管理するために前記モバイル端末にインストールされることを特徴とする、請求項1から8のいずれか一項に記載の方法。
【請求項10】
多要素/ID認証を用いて、オフライン制御装置(2)を起動及び管理するためのシステム(1)であって、-管理制御ユニット(3)と、前記管理制御ユニット(3)をアクティブ化し、かつ少なくとも1つのデータインターフェース(10、11)を有する端末(4)と、を備えるオフライン制御装置(2)であって、多要素/ID認証アルゴリズム(6)が前記端末(4)に実装されており、少なくとも1つの権限付与ID及び1つのセキュリティコードが前記端末(4)に格納可能である、オフライン制御装置(2)と、
-記憶媒体ID及び第1のセキュリティコード(5)が、偽造不可能かつグローバルに一意な様態で格納されている、モバイル型の第1の記憶媒体(7)と、
-前記第1のセキュリティコード(5)に基づいて生成された第2のセキュリティコード(22)が格納されているモバイル型の第2の記憶媒体(8)と、を備え、
前記オフライン制御装置(2)の初回起動のために、前記多要素/ID認証アルゴリズム(6)は、2つの記憶媒体(7、8)がユーザによって前記端末(4)の位置に配置された場合、前記少なくとも1つのデータインターフェース(10、11)を用いて前記2つの記憶媒体のうち一方の記憶媒体(7)の記憶媒体ID及びセキュリティコード(5)並びに他方の記憶媒体(8)のセキュリティコード(22)を読み取り、前記読み取られた第1のセキュリティコード及び前記読み取られた第2のセキュリティコード(5、22)が互いに有効であるかどうかをオフラインでチェックし、前記読み取られた第1のセキュリティコード及び前記読み取られた第2のセキュリティコード(5、22)が互いに有効である場合、前記権限付与IDとしての前記記憶媒体IDと前記第1のセキュリティコード(5)とを前記端末(4)に格納して、初回起動動作を終了するようにプログラムされており、
前記管理制御ユニット(3)の管理のために、前記多要素/ID認証アルゴリズム(6)は、2つの記憶媒体がユーザによって前記端末(4)の前記位置に配置された場合、前記少なくとも1つのデータインターフェース(10、11)を用いて前記一方の記憶媒体の記憶媒体ID及びセキュリティコード並びに前記他方の記憶媒体のセキュリティコードを読み取り、前記一方の記憶媒体の前記読み取られた記憶媒体ID及び前記読み取られたセキュリティコードが前記端末(4)に格納されている前記権限付与ID及び前記端末(4)に格納されている前記第1のセキュリティコード(5)と一致し、かつ2つの前記読み取られたセキュリティコード(5、22)が互いに有効であるかどうかをオフラインでチェックし、2つの前記読み取られたセキュリティコード(5、22)が互いに有効である場合、前記ユーザによる管理のために前記管理制御ユニット(3)をアクティブ化して、管理動作を終了するようにプログラムされている、
システム(1)。
【請求項11】
前記多要素/ID認証アルゴリズム(6)が、前記初回起動動作において、前記権限付与IDの格納後に、前記ユーザによる前記管理制御ユニット(3)の管理のために前記管理制御ユニット(3)をアクティブ化するようにプログラムされていることを特徴とする、請求項10に記載のシステム。
【請求項12】
前記第1の記憶媒体(7)が、トランスポンダであり、かつ前記端末(4)が、前記トランスポンダに格納されているデータを無線で読み取るためのデータインターフェース(10)を有することを特徴とする、請求項10又は11に記載のシステム。
【請求項13】
前記第2の記憶媒体(8)が、顧客のモバイル端末であり、かつ前記端末(7)が、前記モバイル端末に格納されているデータを無線での読み取るためのデータインターフェース(11)を有することを特徴とする、請求項10から12のいずれか一項に記載のシステム。
【請求項14】
前記第1の記憶媒体(7)が、コピー/クローン機能、書き込み防止機能、読み取り防止機能、及び操作防止機能(15)を有し、かつ/又は前記第2の記憶媒体(8)が、操作防止機能(23)を有することを特徴とする、請求項10から13のいずれか一項に記載のシステム。
【請求項15】
前記第2のセキュリティコード(22)を用いてアクティブ化される前記オフライン制御装置(2)のプロバイダのアプリが、前記管理制御ユニット(3)を管理するために顧客のモバイル端末(8)にインストールされることを特徴とする、請求項10から14のいずれか一項に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、多要素/ID認証を用いて、オフライン制御装置、特にオフラインアクセス制御装置を起動及び管理するための方法及びシステムに関する。
【背景技術】
【0002】
メーカーによって製造された端末は、通常、納入時には保護されておらず、第三者(顧客)がアクセス可能である。多要素認証によってのみ端末に「権限付与機能(Berechtigungen)」が割り当てられ、保護された/セキュアな(初回の)起動が可能になる。これ以降、端末は権限のない「アクセス」から保護される。
【発明の概要】
【発明が解決しようとする課題】
【0003】
本発明の目的は、オフライン制御装置、すなわちインターネットに接続されていない装置であっても、権限が付与されるべき人又は装置のみに確実に権限が付与されるようにすることである。
【課題を解決するための手段】
【0004】
この目的は、本発明によれば、多要素/ID認証を用いて、オフライン制御装置、特にオフラインアクセス制御装置を起動及び管理するための方法であって、制御装置が、管理制御ユニット(例えば、コネクトモジュラーコア(Connect Modular Core))及び管理制御ユニットをアクティブ化する端末を備え、制御装置の初回起動のための以下の方法ステップであって、
-特に端末メーカーにより、端末に多要素/ID認証アルゴリズムを実装するステップと、
-工場出荷時状態にある端末と、記憶媒体ID(例えば、トランスポンダ固有識別子(Unique Identifier:UID))及び第1のセキュリティコード(第1の要素、例えば、セキュアトークン)が偽造不可能かつグローバルに一意な様態で格納されている第1の記憶媒体(例えば、AKCトランスポンダ)、特にモバイル型の記憶媒体とを、特に制御装置のプロバイダにより顧客に納入するステップと、
-第1のセキュリティコードに基づいて特に端末メーカーによって生成された第2のセキュリティコード(第2の要素、例えば、ライセンスファイルに格納(パッケージ)されているセキュアな署名)を、特に制御装置のプロバイダにより顧客の第2の記憶媒体、特にモバイル端末(例えば、スマートフォン)に供給するステップと、
-第1の記憶媒体及び第2の記憶媒体(例えば、AKCトランスポンダ及びスマートフォン)をユーザにより端末の位置に配置し、記憶媒体ID並びに第1のセキュリティコード及び第2のセキュリティコードを端末により読み取り、端末の多要素認証アルゴリズムを用いて、読み取られた第1のセキュリティコード及び読み取られた第2のセキュリティコードが互いに有効であるかどうかをオフラインでチェックするステップと、
-多要素認証チェックが肯定的であったとき、権限付与IDとしての記憶媒体IDと第1のセキュリティコードとを端末に格納し、続いて、必要に応じて、ユーザによる管理制御ユニットの管理のために、端末により管理制御ユニットをアクティブ化するステップと、
-初回起動動作を終了するステップと、
を含む、方法ステップを有し、
かつ制御装置の初回起動が完了した後に、管理制御ユニットを管理するための以下の方法ステップであって、
-2つの記憶媒体(例えば、AKCトランスポンダ及びスマートフォン)をユーザにより端末の位置に配置し、2つの記憶媒体のうち一方の記憶媒体(例えば、AKCトランスポンダ)の記憶媒体ID及びセキュリティコード並びに他方の記憶媒体(例えば、スマートフォン)のセキュリティコードを端末により読み取り、端末の多要素/ID認証アルゴリズムを用いて、一方の記憶媒体の読み取られた記憶媒体ID及び読み取られたセキュリティコードが、端末に格納されている権限付与ID及び端末に格納されている第1のセキュリティコードと一致し、かつ2つの読み取られたセキュリティコードが互いに有効であるかどうかをオフラインでチェックするステップと、
-多要素/ID認証チェックが肯定的であったとき、ユーザによる管理制御ユニットの管理のために、端末により管理制御ユニットをアクティブ化するステップと、
-管理動作を終了するステップと、
を含む、方法ステップを有する、
方法によって達成される。
-特に端末メーカーにより、端末に多要素/ID認証アルゴリズムを実装するステップと、
-工場出荷時状態にある端末と、記憶媒体ID(例えば、トランスポンダ固有識別子(Unique Identifier:UID))及び第1のセキュリティコード(第1の要素、例えば、セキュアトークン)が偽造不可能かつグローバルに一意な様態で格納されている第1の記憶媒体(例えば、AKCトランスポンダ)、特にモバイル型の記憶媒体とを、特に制御装置のプロバイダにより顧客に納入するステップと、
-第1のセキュリティコードに基づいて特に端末メーカーによって生成された第2のセキュリティコード(第2の要素、例えば、ライセンスファイルに格納(パッケージ)されているセキュアな署名)を、特に制御装置のプロバイダにより顧客の第2の記憶媒体、特にモバイル端末(例えば、スマートフォン)に供給するステップと、
-第1の記憶媒体及び第2の記憶媒体(例えば、AKCトランスポンダ及びスマートフォン)をユーザにより端末の位置に配置し、記憶媒体ID並びに第1のセキュリティコード及び第2のセキュリティコードを端末により読み取り、端末の多要素認証アルゴリズムを用いて、読み取られた第1のセキュリティコード及び読み取られた第2のセキュリティコードが互いに有効であるかどうかをオフラインでチェックするステップと、
-多要素認証チェックが肯定的であったとき、権限付与IDとしての記憶媒体IDと第1のセキュリティコードとを端末に格納し、続いて、必要に応じて、ユーザによる管理制御ユニットの管理のために、端末により管理制御ユニットをアクティブ化するステップと、
-初回起動動作を終了するステップと、
を含む、方法ステップを有し、
かつ制御装置の初回起動が完了した後に、管理制御ユニットを管理するための以下の方法ステップであって、
-2つの記憶媒体(例えば、AKCトランスポンダ及びスマートフォン)をユーザにより端末の位置に配置し、2つの記憶媒体のうち一方の記憶媒体(例えば、AKCトランスポンダ)の記憶媒体ID及びセキュリティコード並びに他方の記憶媒体(例えば、スマートフォン)のセキュリティコードを端末により読み取り、端末の多要素/ID認証アルゴリズムを用いて、一方の記憶媒体の読み取られた記憶媒体ID及び読み取られたセキュリティコードが、端末に格納されている権限付与ID及び端末に格納されている第1のセキュリティコードと一致し、かつ2つの読み取られたセキュリティコードが互いに有効であるかどうかをオフラインでチェックするステップと、
-多要素/ID認証チェックが肯定的であったとき、ユーザによる管理制御ユニットの管理のために、端末により管理制御ユニットをアクティブ化するステップと、
-管理動作を終了するステップと、
を含む、方法ステップを有する、
方法によって達成される。
【0005】
管理動作において、ID認証チェックが肯定的であったときにのみ多要素認証チェックが実行されることが好ましい。
【0006】
本発明による方法は、各通信の開始前に多要素認証(MFA)を実行することによって制御ユニット(例えば、コネクトモジュラーコア(Connect Modular Core))との通信を安全なものにする。このため、制御ユニットとの顧客による実際の通信(初回起動動作又は管理動作)の前に、複数のセキュリティコード及び複数の記憶媒体を用いて少なくとも2つの異なる権限付与機能によるチェックが行われる。第1の記憶媒体(例えば、権限付与カードキー(Authorization Key Card:AKC)トランスポンダ)の有効期限と数は、いずれも端末メーカーが任意に設定することができる。この方法の強みは、全ての構成要素のチェックを「オフライン」で、すなわちインターネット又は他のネットワークを介して迂回することなく直接的な接続によって実行できることにある。端末は単独で、端末メーカーが独自に生成した複数のセキュリティコードを検証する。端末の購入者、すなわち顧客はこれらのセキュリティコードを知らず、したがって、権限のない人々にセキュリティコードを渡すことはできない。これにより、高いレベルのセキュリティが保証される。
【0007】
第1のセキュリティコード(例えば、セキュアトークン)は、顧客に供給されるトランスポンダ(例えば、RFIDトランスポンダ)に、例えば、少なくとも16バイトのバイナリコードの形式で格納されることが好ましい。16バイトのバイナリコードには、216*8の通りの生成候補があり、その結果、このタイプのバイナリコードは、高レベルのセキュリティを実現する。
【0008】
端末の位置に配置された記憶媒体(例えば、AKCトランスポンダやスマートフォン)の記憶媒体ID及び/又はセキュリティコードは、好ましくは無線又は有線方式で、特にRFID又はBluetoothを用いて、オフラインで、すなわちインターネット又は他のネットワークを介して迂回することなく直接的な接続によって端末へ送信される。
【0009】
第2のセキュリティコード(例えば、セキュアな署名)は、第1のセキュリティコードのデジタル署名として、顧客のモバイル端末、特にスマートフォンに供給されることが好ましい。これを行うために、第2のセキュリティコードが端末メーカーの秘密鍵を用いて暗号化され、暗号化された第2のセキュリティコードの有効性が、端末メーカーの公開鍵を用いて端末の認証アルゴリズムによってチェックされると有利である。暗号化には、例えば、デジタル署名アルゴリズム(Digital Signature Algorithm:DSA)又は楕円曲線デジタル署名アルゴリズム(Elliptic Curve Digital Signature Algorithm:ECDSA)を用いることができ、デジタル署名の生成には、連邦情報処理標準(Federal Information Processing Standard:FIPS)又はデジタル署名標準(Digital Signature Standard:DSS)で規定されたアルゴリズムを用いることができる。秘密鍵及び公開鍵は、DSA又はECDSAを用いて生成される。
【0010】
第2のセキュリティコードを生成するために、例えば、第1のセキュリティコードに適用される暗号学的ハッシュ関数を用いて、第1のセキュリティコードのハッシュ値が定義されてもよく、次いで、この第1のセキュリティコードのハッシュ値に端末メーカーの秘密鍵が適用されて、第1のセキュリティコードのデジタル署名の様態、例えば、デジタルライセンスファイルの形式で、第2のセキュリティコードが生成されてもよい。ハッシュ関数あるいは散乱値関数(Streuwertfunktionen)は、任意の長さの文字列形式の入力値を固定長文字列であるハッシュ値、特に自然数にマッピングするためのものである。暗号学的ハッシュ関数は、特に、疑似的にコリジョンフリーであり、これは特に、異なる入力値のそれぞれが、極めて低い確率でのみ、等しいハッシュ値にマッピングされることを意味する。特に、セキュアハッシュアルゴリズム-2(SHA-2)系又はSHA-3系のハッシュ関数が使用される。
【0011】
第2のセキュリティコード(例えば、セキュアな署名)は、無線、特にBluetoothを用いて、オフラインで、すなわちインターネット又は他のネットワークを介して迂回することなく直接的な接続によって、第2の記憶媒体(例えば、スマートフォン)から端末へ送信されてもよい。
【0012】
本発明はまた、多要素/ID認証を用いて、オフライン制御装置、特にオフラインアクセス制御装置を起動及び管理するための本発明による方法を実行するのに適したシステムであって、
-管理制御ユニット(例えば、コネクトモジュラーコア(Connect Modular Core))と、管理制御ユニットをアクティブ化し、かつ少なくとも1つのデータインターフェースを有する端末と、を備える制御装置であって、多要素/ID認証アルゴリズムが端末に実装されており、少なくとも1つの権限付与ID及び1つのセキュリティコードが端末に格納可能である、制御装置と、
-記憶媒体ID(例えば、トランスポンダ固有識別子(Unique Identifier:UID))及び第1のセキュリティコード(第1の要素、例えば、セキュアトークン)が、偽造不可能な様態で格納されている、モバイル型の第1の記憶媒体(例えば、AKCトランスポンダ)と、
-第1のセキュリティコードに基づいて生成された第2のセキュリティコード(第2の要素、例えば、ライセンスファイルに格納(パッケージ)されているセキュアな署名)が格納されているモバイル型の第2の記憶媒体、特にモバイル端末と、を備え、
制御装置の初回起動のために、多要素/ID認証アルゴリズムは、2つの記憶媒体(例えば、AKCトランスポンダ及びスマートフォン)がユーザによって端末の位置に配置された場合、少なくとも1つのデータインターフェースを用いて2つの記憶媒体のうち一方の記憶媒体の記憶媒体ID及びセキュリティコード並びに他方の記憶媒体のセキュリティコードを読み取り、読み取られた第1のセキュリティコード及び読み取られた第2のセキュリティコードが互いに有効であるかどうかをオフラインでチェックし、読み取られた第1のセキュリティコード及び読み取られた第2のセキュリティコードが互いに有効である場合、権限付与IDとしての記憶媒体IDと第1のセキュリティコードとを端末に格納して、初回起動動作を終了するようにプログラムされており、
管理制御ユニットの管理のために、多要素/ID認証アルゴリズムは、2つの記憶媒体(AKCトランスポンダ及びスマートフォン)がユーザによって端末の位置に配置された場合、少なくとも1つのデータインターフェースを用いて一方の記憶媒体の記憶媒体ID及びセキュリティコード並びに他方の記憶媒体のセキュリティコードを読み取り、一方の記憶媒体の読み取られた記憶媒体ID及び読み取られたセキュリティコードが端末に格納されている権限付与ID及び端末に格納されている第1のセキュリティコードと一致し、かつ2つの読み取られたセキュリティコードが互いに有効であるかどうかをオフラインでチェックし、2つの読み取られたセキュリティコードが互いに有効である場合、ユーザによる管理のために管理制御ユニットをアクティブ化して、管理動作を終了するようにプログラムされている、
システムにも関する。
-管理制御ユニット(例えば、コネクトモジュラーコア(Connect Modular Core))と、管理制御ユニットをアクティブ化し、かつ少なくとも1つのデータインターフェースを有する端末と、を備える制御装置であって、多要素/ID認証アルゴリズムが端末に実装されており、少なくとも1つの権限付与ID及び1つのセキュリティコードが端末に格納可能である、制御装置と、
-記憶媒体ID(例えば、トランスポンダ固有識別子(Unique Identifier:UID))及び第1のセキュリティコード(第1の要素、例えば、セキュアトークン)が、偽造不可能な様態で格納されている、モバイル型の第1の記憶媒体(例えば、AKCトランスポンダ)と、
-第1のセキュリティコードに基づいて生成された第2のセキュリティコード(第2の要素、例えば、ライセンスファイルに格納(パッケージ)されているセキュアな署名)が格納されているモバイル型の第2の記憶媒体、特にモバイル端末と、を備え、
制御装置の初回起動のために、多要素/ID認証アルゴリズムは、2つの記憶媒体(例えば、AKCトランスポンダ及びスマートフォン)がユーザによって端末の位置に配置された場合、少なくとも1つのデータインターフェースを用いて2つの記憶媒体のうち一方の記憶媒体の記憶媒体ID及びセキュリティコード並びに他方の記憶媒体のセキュリティコードを読み取り、読み取られた第1のセキュリティコード及び読み取られた第2のセキュリティコードが互いに有効であるかどうかをオフラインでチェックし、読み取られた第1のセキュリティコード及び読み取られた第2のセキュリティコードが互いに有効である場合、権限付与IDとしての記憶媒体IDと第1のセキュリティコードとを端末に格納して、初回起動動作を終了するようにプログラムされており、
管理制御ユニットの管理のために、多要素/ID認証アルゴリズムは、2つの記憶媒体(AKCトランスポンダ及びスマートフォン)がユーザによって端末の位置に配置された場合、少なくとも1つのデータインターフェースを用いて一方の記憶媒体の記憶媒体ID及びセキュリティコード並びに他方の記憶媒体のセキュリティコードを読み取り、一方の記憶媒体の読み取られた記憶媒体ID及び読み取られたセキュリティコードが端末に格納されている権限付与ID及び端末に格納されている第1のセキュリティコードと一致し、かつ2つの読み取られたセキュリティコードが互いに有効であるかどうかをオフラインでチェックし、2つの読み取られたセキュリティコードが互いに有効である場合、ユーザによる管理のために管理制御ユニットをアクティブ化して、管理動作を終了するようにプログラムされている、
システムにも関する。
【0013】
多要素/ID認証アルゴリズムは、管理動作において、ID認証チェックが肯定的であったときにのみ多要素認証チェックを実行し、かつ/又は、初回起動動作において、権限付与IDの格納後に、ユーザによる管理制御ユニットの管理のために管理制御ユニットをアクティブ化するようにプログラムされていることが好ましい。
【0014】
オフライン制御装置のユーザに知られていない、2つの異なるセキュリティコードが2つの異なる記憶媒体に格納され、かつ多要素/ID認証アルゴリズムにより別々に検証することによって、システムは、2つのセキュリティコードのうちの1つが第三者に知られても、高レベルのセキュリティを実現することができる。
【0015】
第1の記憶媒体は、好ましくは、トランスポンダ、特にRFIDトランスポンダであり、端末は、例えば、第1のセキュリティコード等のトランスポンダに格納されているデータを無線で読み取るためのデータインターフェース、特にRFIDインターフェースを有していてもよい。RFIDトランスポンダにより、インターネット等の他の通信経路に依存せず、近距離での直接的なデータ交換が可能になる。RFIDトランスポンダはまた、コンパクトな設計を特徴とする。特に、「ISO/IEC 14443 A 1-4」RFIDトランスポンダが使用される。
【0016】
第2の記憶媒体は、好ましくは、顧客のモバイル装置、特にスマートフォンであり、端末は、例えば、第2のセキュリティコード等のモバイル端末に格納されているデータを無線で読み取るためのデータインターフェース、特にBluetoothインターフェースを有していてもよい。Bluetoothインターフェースにより、インターネット等の他の通信経路に依存せず、短距離での直接的なデータ交換が可能になる。
【0017】
第1の記憶媒体(AKC)は、コピー/クローン機能、書き込み防止機能、読み取り防止機能、及び操作防止機能を有し、かつ/又は第2の記憶媒体(スマートフォン)は、操作防止機能を有することが好ましい。したがって、これらの記憶媒体上のデータは、権限が無い人によって変更されたりコピーされることはない。
【0018】
第2のセキュリティコード(例えば、セキュアな署名)を用いてアクティブ化されるプロバイダの権限付与カードキー(Authorization Key Card:AKC)アプリが、管理制御ユニットを管理するためにモバイル端末(例えば、スマートフォン)にインストールされることが特に好ましい。
【0019】
本発明のさらなる利点は、明細書、特許請求の範囲、及び図面から明らかになる。前述及び後述の特徴は、それぞれ単独で、又はいくつかを任意に組み合わせることにより、同様に使用することができる。図示され説明された実施形態は、すべてを網羅して列挙していると理解されるべきではなく、むしろ、本発明を説明するための例示的な性格を有するものである。
【図面の簡単な説明】
【0020】
【図1】オフライン制御装置を起動又は管理するための本発明によるシステムの概略図である。
【発明を実施するための形態】
【0021】
図1に示すシステム1は、例えば、オフラインアクセス制御装置等のオフライン制御装置2を多要素/ID認証を用いて起動及び管理するために用いられる。
【0022】
このシステムは、
-起動/管理制御ユニット3と、
-制御ユニット3をアクティブ化し、端末メーカーにのみ知られている第1のセキュリティコード(第1の要素、例えば、セキュアトークン)5が格納可能であり、かつ多要素/ID認証アルゴリズム6が実装されている端末4と、
-モバイル型の第1の記憶媒体7であって、以下に一例として、RFIDトランスポンダ等のトランスポンダの形態が示され、第1の記憶媒体7の記憶媒体ID(UID)及び第1のセキュリティコード5が偽造不可能かつグローバルに一意な様態で格納されている、モバイル型の第1の記憶媒体7と、
-モバイル型の第2の記憶媒体8であって、以下に一零例として、モバイル端末(例えば、スマートフォン)の形態が示され、第1のセキュリティコード5に基づいて端末メーカーによって生成された第2のセキュリティコード(第2の要素、例えば、セキュアな署名)22が格納されている、モバイル型の第2の記憶媒体8と、
を備える。
-起動/管理制御ユニット3と、
-制御ユニット3をアクティブ化し、端末メーカーにのみ知られている第1のセキュリティコード(第1の要素、例えば、セキュアトークン)5が格納可能であり、かつ多要素/ID認証アルゴリズム6が実装されている端末4と、
-モバイル型の第1の記憶媒体7であって、以下に一例として、RFIDトランスポンダ等のトランスポンダの形態が示され、第1の記憶媒体7の記憶媒体ID(UID)及び第1のセキュリティコード5が偽造不可能かつグローバルに一意な様態で格納されている、モバイル型の第1の記憶媒体7と、
-モバイル型の第2の記憶媒体8であって、以下に一零例として、モバイル端末(例えば、スマートフォン)の形態が示され、第1のセキュリティコード5に基づいて端末メーカーによって生成された第2のセキュリティコード(第2の要素、例えば、セキュアな署名)22が格納されている、モバイル型の第2の記憶媒体8と、
を備える。
【0023】
端末4は、トランスポンダ7に格納されているデータ(記憶媒体ID及び第1のセキュリティコード5)を無線で読み取るためのデータインターフェース(例えば、RFID読取装置)10と、モバイル端末8に格納されている第2のセキュリティコード22を無線で読み取るためのデータインターフェース(例えば、Bluetoothインターフェース)11の両方を有する。
【0024】
システム1の乱数生成器12は、ランダムな第1のセキュリティコード5を生成し、トランスポンダ生成ユニット13内のトランスポンダ7に格納する。トランスポンダ7は、端末メーカーだけが知っている偽造不可能なコピー/クローン機能及び操作防止機能15によって保護される読み取り/書き込み防止機能14を有する。このコピー/クローン及び操作防止機能15は、例えば、トランスポンダID(UID)に依存する単独のコーディング(individuelle Codierung)であってもよい。
【0025】
第1のセキュリティコード5のハッシュ値17は、暗号学的ハッシュ関数又はハッシュ値アルゴリズム16によって決定される。非対称暗号用生成器(例えば、ECDSA生成器)18において、端末メーカーの公開鍵19及び秘密鍵20が生成される。公開鍵19は、端末4に格納される。計算ユニット21では、秘密鍵20によりハッシュ値17からデータセット(以下、デジタルセキュリティ署名(セキュアな署名)22と呼ぶ)が生成され、これにより第2のセキュリティコード22が、例えば、ライセンスオプション100を含むライセンスファイル9の形式で作成される。第2のセキュリティコード22は、端末メーカーのみが知っている操作防止機能23によって保護されている。
【0026】
多要素/ID認証を用いたオフライン制御装置2の初回起動について、以下、第1の記憶媒体としてのトランスポンダ7及び第2の記憶媒体としてのモバイル端末8を用いた一代表例を用いて説明すると、初回起動は、以下の方法ステップであって、
-特に端末メーカーにより、端末4に多要素/ID認証アルゴリズム6を実装するステップと、
-工場出荷時状態にある端末4と、トランスポンダUID及び第1のセキュリティコード5(第1の要素、例えば、セキュアトークン)が偽造不可能かつグローバルに一意な様態で格納されているトランスポンダ7とを、特に制御装置2のプロバイダにより顧客に納入するステップと、
-第1のセキュリティコード5に基づいて特に端末メーカーによって生成された第2のセキュリティコード22(第2の要素、例えば、セキュアな署名)を、特に制御装置2のプロバイダにより顧客のモバイル端末8(例えば、スマートフォン)に供給するステップと、
-トランスポンダ7及びモバイル端末8をユーザにより端末4の位置に配置し、トランスポンダID並びに第1のセキュリティコード5及び第2のセキュリティコード22を端末4により読み取り、端末4の多要素認証アルゴリズム6を用いて、読み取られた第1のセキュリティコード5及び第2のセキュリティコード22が互いに有効であるかどうかをオフラインでチェックするステップと、
-多要素認証チェックが肯定的であったとき、権限付与IDとしてのトランスポンダUIDと第1のセキュリティコード5とを端末4に格納し、続いて、必要に応じて、ユーザによる管理制御ユニット3の管理のために、端末4によるアクティブ化24により管理制御ユニット3をアクティブ化するステップと、
-初回起動動作を終了するステップと、
を含む、方法ステップを有する。
-特に端末メーカーにより、端末4に多要素/ID認証アルゴリズム6を実装するステップと、
-工場出荷時状態にある端末4と、トランスポンダUID及び第1のセキュリティコード5(第1の要素、例えば、セキュアトークン)が偽造不可能かつグローバルに一意な様態で格納されているトランスポンダ7とを、特に制御装置2のプロバイダにより顧客に納入するステップと、
-第1のセキュリティコード5に基づいて特に端末メーカーによって生成された第2のセキュリティコード22(第2の要素、例えば、セキュアな署名)を、特に制御装置2のプロバイダにより顧客のモバイル端末8(例えば、スマートフォン)に供給するステップと、
-トランスポンダ7及びモバイル端末8をユーザにより端末4の位置に配置し、トランスポンダID並びに第1のセキュリティコード5及び第2のセキュリティコード22を端末4により読み取り、端末4の多要素認証アルゴリズム6を用いて、読み取られた第1のセキュリティコード5及び第2のセキュリティコード22が互いに有効であるかどうかをオフラインでチェックするステップと、
-多要素認証チェックが肯定的であったとき、権限付与IDとしてのトランスポンダUIDと第1のセキュリティコード5とを端末4に格納し、続いて、必要に応じて、ユーザによる管理制御ユニット3の管理のために、端末4によるアクティブ化24により管理制御ユニット3をアクティブ化するステップと、
-初回起動動作を終了するステップと、
を含む、方法ステップを有する。
【0027】
制御装置2の初回起動の完了した後に、管理制御ユニット3を管理するための以下の方法ステップであって、
-2つの記憶媒体(例えば、トランスポンダ7及びモバイル端末8)をユーザにより端末4の位置に配置し、トランスポンダ7のトランスポンダUID及びセキュリティコード並びにモバイル端末8のセキュリティコードを端末4により読み取り、端末4の多要素/ID認証アルゴリズム6を用いて、トランスポンダ7の読み取られたトランスポンダUID及び読み取られたセキュリティコードが、端末4に格納されている権限付与ID及び端末4に格納されている第1のセキュリティコード5と一致し、かつ2つの読み取られたセキュリティコードが互いに有効であるかどうかをオフラインでチェックするステップと、
-多要素/ID認証チェックが肯定的であったとき、ユーザによる管理制御ユニット3の管理のために、端末4により管理制御ユニット3をアクティブ化するステップと、
-管理動作を終了するステップと、
を含む、方法ステップが実行される。
-2つの記憶媒体(例えば、トランスポンダ7及びモバイル端末8)をユーザにより端末4の位置に配置し、トランスポンダ7のトランスポンダUID及びセキュリティコード並びにモバイル端末8のセキュリティコードを端末4により読み取り、端末4の多要素/ID認証アルゴリズム6を用いて、トランスポンダ7の読み取られたトランスポンダUID及び読み取られたセキュリティコードが、端末4に格納されている権限付与ID及び端末4に格納されている第1のセキュリティコード5と一致し、かつ2つの読み取られたセキュリティコードが互いに有効であるかどうかをオフラインでチェックするステップと、
-多要素/ID認証チェックが肯定的であったとき、ユーザによる管理制御ユニット3の管理のために、端末4により管理制御ユニット3をアクティブ化するステップと、
-管理動作を終了するステップと、
を含む、方法ステップが実行される。
【0028】
制御装置2は、例えば、ロック機構26の権限付与25を管理し、ロック機構26を開閉することができる。ロック機構26をアクティブ化するために、ユーザは、自分に伝えられたアクセスコード(例えば、PINコード)27を読み取り装置(例えば、PINコード読み取り装置)28に入力する。アクセス権限付与25では、入力されたアクセスコード27の権限付与をチェックし、権限付与チェックが成功した場合にのみロック機構26をアクティブ化する。
【図1】
