IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > ピルツ ゲーエムベーハー アンド コー.カーゲー

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ ピルツ ゲーエムベーハー アンド コー.カーゲーの特許一覧

特許7530192技術的な設備の動作機能に対するユーザのアクセスを制御するためのシステム
<>
  • 特許-技術的な設備の動作機能に対するユーザのアクセスを制御するためのシステム 図1
  • 特許-技術的な設備の動作機能に対するユーザのアクセスを制御するためのシステム 図2a
  • 特許-技術的な設備の動作機能に対するユーザのアクセスを制御するためのシステム 図2b
  • 特許-技術的な設備の動作機能に対するユーザのアクセスを制御するためのシステム 図3
  • 特許-技術的な設備の動作機能に対するユーザのアクセスを制御するためのシステム 図4
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-07-30
(45)【発行日】2024-08-07
(54)【発明の名称】技術的な設備の動作機能に対するユーザのアクセスを制御するためのシステム
(51)【国際特許分類】
   G06F 21/35 20130101AFI20240731BHJP
【FI】
G06F21/35
【請求項の数】 12
【外国語出願】
(21)【出願番号】P 2020051129
(22)【出願日】2020-03-23
(65)【公開番号】P2020173793
(43)【公開日】2020-10-22
【審査請求日】2023-03-09
(31)【優先権主張番号】10 2019 108 049.5
(32)【優先日】2019-03-28
(33)【優先権主張国・地域又は機関】DE
(73)【特許権者】
【識別番号】501493037
【氏名又は名称】ピルツ ゲーエムベーハー アンド コー.カーゲー
(74)【代理人】
【識別番号】110002310
【氏名又は名称】弁理士法人あい特許事務所
(72)【発明者】
【氏名】クリストフ ツェル
(72)【発明者】
【氏名】ユルゲン フライナー
(72)【発明者】
【氏名】ラファエル シューハルト
(72)【発明者】
【氏名】ペーター シュスター
(72)【発明者】
【氏名】ヴァルデマール フリーゼン
【審査官】平井 誠
(56)【参考文献】
【文献】特表2010-518499(JP,A)
【文献】特開2005-148982(JP,A)
【文献】米国特許出願公開第2015/0189505(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/00-88
(57)【特許請求の範囲】
【請求項1】
技術的な設備(12)の1つまたは複数の動作機能に対するユーザのアクセスを制御するためのアクセス制御システム(10)であって、
モバイルデータ記憶媒体(24)からアクセス認証データ(26)を読み込むための受信装置(22)と、
前記受信装置(22)からアクセス認証データ(26)を受信して評価するように構成されたアクセス制御装置(28)とを備え、
前記受信装置(22)は、前記アクセス認証データ(26)に動的な部分(46)を追加して、前記アクセス制御装置(28)に動的なアクセス認証データ(48)を伝送するようにさらに構成されており、
前記動的なアクセス認証データ(48)が所定の予想に対応する場合に、前記アクセス制御装置(28)は、アクセス認証データ(26)が有効であるこれらの動作機能のための開放信号を生成するように構成されている、アクセス制御システム。
【請求項2】
前記受信装置(22)は、前記アクセス認証データ(26)が前記モバイルデータ記憶媒体(24)から読み込まれるたびに、前記アクセス認証データ(26)の前記動的な部分として所定のパターンを追加するように構成されている、請求項1に記載のアクセス制御システム。
【請求項3】
前記パターンは、認証、シリアル番号、カウンタ、現在のセッションのキー、1つまたは複数の以前のセッションのキー、キーID、絶対時間値および/または相対時間値を含み、特に前記パターンは、前述した要素の1つまたは複数の組合せとして定義される、請求項2に記載のアクセス制御システム。
【請求項4】
前記受信装置(22)は、前記アクセス認証データ(26)が完全に、および/または有効に読み出された場合にのみ、前記動的な部分(46)を生成するように構成されている、請求項1~請求項3のいずれか1項に記載のアクセス制御システム。
【請求項5】
前記受信装置(22)は、前記動的なアクセス認証データ(26)を前記アクセス制御装置(28)に、1チャンネルの態様で伝送するように構成される、請求項1~請求項4のいずれか1項に記載のアクセス制御システム。
【請求項6】
前記受信装置(22)は、無線インタフェース(36)を介して前記モバイルデータ記憶媒体(24)を読み出すための読出装置(34)を備える、請求項1~請求項5のいずれか1項に記載のアクセス制御システム、
【請求項7】
前記1つまたは複数の動作機能が前記ユーザによって選択されるセレクタ(18)を備え、
前記アクセス制御装置(28)は、認証された動作のみにユーザーのアクセスを許可するように、前記セレクタ(18)を設定するように、さらに調整されている、請求項1~請求項6のいずれか1項に記載のアクセス制御システム。
【請求項8】
前記アクセス制御装置(28)は、前記動的な部分(46)が所定の期間変化しない、および/または動的な部分(46)が所定の予想に適合しない場合に、前記セレクタ(18)をブロックするように構成されている、請求項7に記載のアクセス制御システム。
【請求項9】
前記技術的な設備(12)のフェイルセーフ動作を確実にし、安全機能を実行するように構成されたフェイルセーフ制御ユニット(20)をさらに具備し、
前記アクセス制御装置(28)は、前記フェイルセーフ制御ユニット(20)が前記開
放信号に基づいて前記技術的な設備(12)を制御するために、前記開放信号を前記フェイルセーフ制御ユニット(20)に伝送するように構成され、
特に、開放信号が送られない場合、前記フェイルセーフ制御ユニット(20)が技術システム(12)を保護状態に変更する、請求項1~請求項8のいずれか1項に記載のアクセス制御システム。
【請求項10】
前記アクセス制御装置(28)は、集積部分、部品および/またはモジュールであり、特に、フェイルセーフ制御ユニット(20)の中のソフトウェアモジュールである、請求項9に記載のアクセス制御システム。
【請求項11】
技術的な設備(12)の1つまたは複数の動作機能に対するユーザによるアクセスを制御するためのアクセス制御装置(28)であって、前記アクセス制御装置(28)は、
モバイルデータ記憶媒体(24)からアクセス認証データ(26)を読み込んで動的な部分(46)を補充する受信装置(22)からの、当該動的な部分(46)を含むアクセス認証データ(26)を受信するためのインタフェースと、
前記動的な部分(46)を含むアクセス認証データ(26)を評価するように構成された処理ユニットとを備え、
前記アクセス制御装置(28)は、前記動的な部分(46)を含むアクセス認証データ(26)が所定の予想に対応するようであれば、アクセス認証データ(26)が有効であるこれらの動作機能のための開放信号を生成するように構成されている、アクセス制御装置。
【請求項12】
技術システム(12)の1つまたは複数の動作機能に対するユーザのアクセスを制御するためのアクセス制御方法(100)であって、
モバイルデータ記憶媒体(24)からアクセス認証データ(26)を受信する受信装置(22)が、前記アクセス認証データ(26)を読み込んで、そこに動的な部分(46)を追加し、
処理ユニットによって、前記動的な部分(46)を含むアクセス認証データ(26)を評価し、
前記動的な部分(46)を含むアクセス認証データが所定の予想に対応する場合、アクセス認証データ(26)が有効であるこれらの動作機能のための開放信号を生成する、アクセス制御方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、技術的な設備の1つまたは複数の動作機能に対するユーザのアクセスを制御するためのアクセス制御システムに関する。本発明はさらに、アクセス制御装置およびそれに対応するアクセス制御方法に関する。
【背景技術】
【0002】
先行技術では、1つまたは複数のキースイッチにより技術的な設備(例えば工作機械)の安全な操作モードを選択するアクセス制御が公知である。
【0003】
これらのキースイッチは、ヨーロッパの保安規程および標準にしたがって、機械の個々の動作モードをフェイルセーフな態様で起動させるために用いることができる。
【0004】
例えば特許文献1は、アクセス制御に関係するデータが、モバイルデータ記憶媒体によって設けられている工作機械を開示する。
【0005】
この工作機械は、無線インタフェースを介してモバイルデータ記憶媒体から、例えばRFID技術に基づいてデータを読み込むための読出装置を備えている。
【0006】
単純なキースイッチ群と比較して、より広範囲なデータを、このようなアクセス制御のために利用可能とすることができる。その結果、より複雑なアクセス制御、例えば複数の異なる認証レベルを伴うものを実施することができる。このことにより、どのユーザが、どの工作機械において、どの動作機能を実行できるかを正確に特定することができる。
【0007】
アクセス制御するための無線技術の採用は、使用を容易にして鍵管理を単純化する。同様に、無線によるソリューションは、産業的な環境で起こることがあり得る機械の干渉またはほこりに影響されることがより少なくなる。
【0008】
アクセスコントロールのタイプにかかわりなく、キーで動くスイッチおよび無線ソリューションのいずれの場合でも、一度送信された認証が最新かつ有効なことを確実にしなければならない。すなわち、キーがまだ適切に「挿入されている」ことを確認しなければならない。
【0009】
これは、キースイッチでは機械的な装置を介して達成するのが容易な一方、無線ソリューションの場合は特別な方策をとなければならない。
【0010】
1つの可能性は短い時間、読出装置のアンテナのスイッチを切るアンテナ試験を行うことである。そして同時に、キーまたはモバイルデータ記憶媒体の読み込みを実行する。その試みが失敗する場合、適正な運用が想定される。
【0011】
しかしながら、この課題は、アンテナのスイッチを切るための追加のハードウェアを必要とするということである。同様に、安全アプリケーションを実施するときに、さらなる努力が予想されることである。その理由は、アンテナ試験は安全アプリケーションに組み込まれなければならず、しかも、安全アプリケーションそのものに影響してはならないからである。
【0012】
他の可能性は、モバイルデータ記憶媒体を読み込むための読出装置を安全装置として提供することである。
【0013】
読出装置に集積された安全に関連した機器は、キーまたはモバイルデータ記憶媒体が存在するかどうかを、フェイルセーフな方法で調べることができる。
【0014】
キーまたはモバイルデータ記憶媒体が存在するかどうかをフェイルセーフな方法で確認する試験を実施するために、例えば、冗長な、相互にチェック可能な処理ユニットを読出装置に追加することができる。
【0015】
あるいは、この種の処理ユニットは、読み込まれたアクセス認証データの最新性および妥当性が保証されているかどうかを、他の手段によって、調べることができる。
【0016】
読出装置を安全デバイスに変えるための対応手段は安全技術において公知で、それは対応する標準において定められている。
【先行技術文献】
【特許文献】
【0017】
【文献】独国特許出願公開第10 2007 041 768 A1号明細書
【発明の概要】
【発明が解決しようとする課題】
【0018】
しかしながら、読出装置を、標準の意味内で成熟した安全装置とするには、特別なハードウェアが必要とされ、また独立当局による読出装置の認証を得るために相応の労力がなされなければならず、相当な経費がかかる。
【0019】
加えて、残りの安全技術、例えば、2チャンネルデータ転送の安全技術のために安全装置を集積化するというさらなる要求がある。
【0020】
以上の背景に対して、本発明の目的は、移動型で非接触のデータ媒体をキーとして使用することができ、しかも、フェイルセーフなおよび費用効果的な方法で実装することができる、技術的な設備のための改良された、その結果、全体として、関連した標準のより高い安全カテゴリの要件も満たされ得るアクセス制御を提供することである。
【課題を解決するための手段】
【0021】
本発明の一態様によれば、前記目的は、技術システムの1つまたは複数の動作機能へのユーザのアクセスを制御するためのアクセス制御システムにより達成される。
【0022】
アクセス制御システムは、モバイルデータ記憶媒体からアクセス認証データを読み出すための受信装置を備え、さらに受信装置からアクセス認証データを受信して認証するように調整されたアクセス制御装置を備える。
【0023】
受信装置は、動的な部分をアクセス認証データに継続的に追加して、アクセス制御装置に動的なアクセス認証データを送るように構成される。そしてアクセス制御装置は、動的なアクセス認証データが所定の予想を満たす場合に、アクセス認証データが有効であるこれらの動作機能のために開放信号(release signal)を生成するように、構成される。
【0024】
本発明のさらに別の態様では、前記目的は、技術的な設備の1つまたは複数の動作機能へのユーザのアクセスを制御するためのアクセス制御装置により達成される。
【0025】
アクセス制御装置は、モバイルデータ記憶媒体からアクセス認証データを読み込んで、動的な部分をアクセス認証データに継続的に補完する受信装置から当該アクセス認証データを受信するためのインタフェースを備え、およびアクセス認証データを確認するように構成された処理ユニットを備える。
【0026】
アクセス制御装置は、動的なアクセス認証データが所定の予想に対応する場合に、アクセス認証データが有効である場合の動作機能のための開放信号を生成するように、さらに構成される。
【0027】
本発明のさらに別の態様によれば、前記目的は、技術的な設備の1つまたは複数の動作機能へのユーザのアクセスを制御するためのアクセス制御方法により解決される。前記方法は、(1)モバイルデータ記憶媒体からアクセス認証データを読み込んでそのアクセス認証データに動的な部分を継続的に追加する受信装置から、アクセス認証データを受信し、(2)処理ユニットによって、前記アクセス認証データを確認し、(3)もし動的なアクセス認証データが所定の予想に対応するならば、アクセス認証データが有効であるこれらの動作機能のための開放信号を生成する、各ステップを含む。
【0028】
このように本発明の着想は、モバイルデータ記憶媒体から読み出されたアクセス認証データを、動的な部分によって「強化する」ことである。
【0029】
前記動的な部分とは、アクセス認証データの一部が時間とともに継続的に変化することを意味する。動的な部分は、例えば、継続的に増加するまたは減少するカウンタの値であってもよい。
【0030】
動的な部分は、アクセス認証データとともにアクセス制御装置に移される。アクセス制御装置はアクセス認証データを評価して、ユーザがアクセス認証データにしたがって実行することが許されたこれらの動作機能を実行することができる。実行は、動的なアクセス認証データが特定の予想に対応しているという条件に依存する。
【0031】
したがってアクセス制御装置は、動的な部分を予想と比較することができて、アクセス認証データの最新性を点検できる。
【0032】
アクセス制御装置は、動的な部分が前記所定の予想に対応する場合にだけ、動作機能にアクセスするための開放信号を生成する。予想が合わない場合、データは放棄される。これによって、エラーの応答時間を設けて、それを監視して、それを維持することができる。
【0033】
このようにして、アクセス制御装置は、動的なアクセス認証データに応じて、すなわちアクセス認証データとともに送信される有効なアクセス認証データおよび継続的に変更される情報を基礎として、通常は開放信号の形で、開放(release)を生成する。
【0034】
動的なアクセス認証データを得るためのこの情報によるアクセス認証データの「強化」は、付加的なハードウェアのない受信設備により実施されることができる。
【0035】
受信装置は、動的な部分によって適切な安全レベルを達成するために、確率論的方法(probabilistic approach)がとられた、むしろ単純なかつ非フェイルセーフな装置であり得る。
【0036】
この明細書において、「非フェールセーフ」とは、受信装置が安全技術の意味においていかなる補助的な安全機器も必要としない真正な安全に関して、関連する安全基準の要件を満たさないことをいう。
【0037】
これは安価な受信装置を用いることができる、あるいは、技術システムの既存の非フェイルセーフ読出装置を再利用できる、という効果がある、
アクセス認証データを、本発明の意味において動的にするのに、単純なソフトウェアの修正で十分である。
【0038】
さらなる利点は、安全技術および一般の制御技術を、各々から明白に切り離すことができるということである。
【0039】
これは、機械のために必要とされる安全技術から基本的に独立したユーザによって、プラントまたは機械の製造業者がアクセス制御を実行することを可能にする。
【0040】
プラントまたは機械の製造業者は、独立してそして柔軟に、安全技術をこのように購入することができ、改造できる。それは設計の自由を増加させる。
【0041】
さらにまた、アクセス制御プロセスの始めに動的な部分を追加することによって、全てのプロセスの連鎖が、これを基礎にして点検されることができる。
よって提案するアクセス制御は、全てのプロセスの連鎖をこのように効率的にカバーすることができる。
【0042】
要するに、この開示によるアクセス制御システムは、技術的な設備の1つまたは複数の動作機能へのユーザのアクセスを費用効果的にかつ柔軟に、制御することを可能にする。
【0043】
前述した発明の目的は、このようにして完全に達成される。
【0044】
さらなる改良において、前記した受信設計は、アクセス認証データがモバイルデータ記憶媒体から読み込まれたたびに、アクセス認証データの動的な部分として所定のパターンを追加するように構成されてもよい。
【0045】
動的な部分は、このようにアクセス認証データの読出しとの関連付けられることができる。その結果、アクセス認証データが変化しなかった場合であっても、異なるデータが各読出しで作られる。このようにして、動的な修正を、特に効率的に行うことができる。
【0046】
連続してつながる制御処理の始めにパターンを生成することによって、完全な連鎖処理を、パターンおよびその評価によって、テストすることができる。
【0047】
特に、パターンは、認証、シリアル番号、カウンタ、現在セッションのキー、1つまたは複数の以前のセッションのキー、キーID、絶対時間値、および/または相対時間値、ならびに、これらの事項の1つまたは複数の所定の組合せを含むことができる。
【0048】
このように、パターンは、異なる方法で形成されることができ、少なくとも1つの継続的に変更するデータ値が、パターンに含まれる。
【0049】
例えば、動的な部分は、アクセス認証データが受信装置によって読み込まれた時間に対応する値を含んでいてもよい。この種のタイムスタンプは、実時間であってもよく、所定の起動時間に関連するカウント値であってもよい。
【0050】
動的な部分としてのタイムスタンプは、特に容易に、そして効率的に実施することができるという利点がある。それはさらに活性化(dynamisation)の実施を簡単にして、読出装置を単純に改造することもできる。
【0051】
タイムスタンプに加えて、受信装置で常に利用できる他の継続的に変化する値を用いることもできる。
【0052】
複雑なパターンに異なる値を結合することによって、望ましい信頼のレベルを、確率論的な評価により提供することができる。
【0053】
さらなる改良において、受信装置は、アクセス認証データが完全に読み出され、および/または有効に定義される場合にのみ、動的な部分を生成するように構成されることができる。
【0054】
換言すれば、動的な部分は、アクセス認証データに添付されて、その存在および評価にリンクされる。アクセス認証データが読出されない場合、動的な部分も追加されず、利用可能なアクセス認証データが有効な場合であっても、アクセス制御は開放を生成しない。
【0055】
さらなる改良において、単一チャンネル上で、動的なアクセス認証データを受信装置はアクセス制御装置に伝送することができる。
【0056】
動的な部分に基づいてアクセス制御する確率論的な方法を用いることによって、伝送路は、保護を加える必要はなく、したがって、単一チャンネル伝送路であり得る。
【0057】
これは受信装置とアクセス制御装置との間の単純な配線で充分であるという効果をもたらす。このようにして、さらなる経費を保存する。
【0058】
このように、安全プロトコル(PROFIsafe、FSoE、CIP Safetyなど)を使用する必要がなく、計算機を使用するほどの複雑な符号化/復号化の必要性が除去される。
【0059】
さらなる改良において、受信設備は、無線インタフェースを介してモバイルデータ記憶媒体を読み込むための読出装置を含んでいてもよい。
【0060】
モバイルデータ記憶媒体は、このように非接触のデータキャリアである。
【0061】
さらにまた、受信装置とモバイルデータ記憶媒体との間の通信は、好ましくはRFID技術に基づいている。
【0062】
モバイルデータ記憶媒体として、それ自身の電源なしでワイヤレスで読み出されることができる受動トランスポンダを用いることができる。
【0063】
さらなる改良において、アクセス制御システムは、1つまたは複数の動作機能のユーザによる選択のためのセレクタをさらに含むことができる。この場合、アクセス制御システムは、認証された動作機能だけにユーザーのアクセスを許容するためにセレクタを制御するように、さらに構成される。
【0064】
アクセス制御装置は、このように直接、セレクタ(例えばコントロールパネル)上で動作することができて、アクセスを認証された機能だけに制限できる。
【0065】
さらなる改良において、アクセス制御装置は、動的な部分が所定の期間変化しない場合、セレクタをロックするように構成されることができる。
【0066】
したがって、セレクタのコントロールは、動的な部分およびその評価に直接依存する。
【0067】
アクセス制御装置は、加えて、セレクタがフェイルセーフな方法で制御されることを確実にする安全設備をさらに含むことができる。これは、アクセス制御に基づく安全機能をアクセス制御装置によって直接実施することができるという効果を奏する。
【0068】
さらなる改良において、アクセス制御システムは、技術的な設備のフェイルセーフ動作を確実にして安全機能を実施するように構成されたフェイルセーフ制御ユニットを備えていることもできる。この場合、アクセス制御装置は、フェイルセーフ制御ユニットが開放信号に基づいて技術的な設備を制御するように、開放信号をフェイルセーフ制御ユニットに伝送するように構成される。
【0069】
特に、開放信号が送られない場合、フェイルセーフ制御ユニットは、技術システムを安全な状態に移行させるように構成される。
【0070】
技術的な設備の通常のコントロールは、通常どおり、安全な制御システムによって行うことができる。安全な制御システムは、開放信号を考慮することによって、機械へのアクセスまたは機械の動作モードに対するアクセスを防ぐことができる。最後の手段として、フェイルセーフ制御ユニットは認証がもはや利用できない場合、機械を安全な状態に変えることもできる。
【0071】
さらなる改良において、アクセス制御装置は、フェイルセーフ制御ユニットの集積部分、部品および/またはモジュール、特にソフトウェアモジュールであってもよい。
【0072】
アクセス制御装置は、このようにスタンドアロン装置であり得るか、またはフェイルセーフ制御ユニットに集積されることができる。
【0073】
後者の場合、フェイルセーフ制御ユニットの安全設備がアクセス制御装置と共有されることに伴う、低コスト実装の効果がある。
【0074】
加えて、アクセス制御装置とフェイルセーフ制御ユニットとの間の安全な通信が、このようにして確実に行われることができる。
【0075】
前述したおよび以下で説明される各特徴は、いずれの場合においても、示された組合せだけで使用されるのみならず、他の組合せでも、または、単独で使用される状況でも、本発明の範囲を出ることなく、採用され得るものと理解すべきである。
【0076】
本発明の実施例は、図面に示され、以下の説明において、さらに詳細に説明される。
【図面の簡単な説明】
【0077】
図1】本発明の実施の形態に係るアクセス制御システムの簡略図を示す。
図2a】インクリメンタルカウンタを有する動的なアクセス認証データの実施例を示す。
図2b】タイムスタンプを有する動的なアクセス認証データの実施例を示す。
図3】本発明の実施の形態に係るアクセス制御装置の簡略図を示す。
図4】本発明の実施の形態に係る、技術的な設備の1つまたは複数の動作機能へのユーザのアクセスを制御するためのアクセス制御方法のフローチャートを示す。
【発明を実施するための形態】
【0078】
図1は、技術的な設備12における1つまたは複数の動作機能へのユーザのアクセスを制御するためのアクセス制御システム10の実施の形態を簡略図において示す。
【0079】
この実施例では、ドライブ16を備えるロボット14が、技術的な設備12として示される。しかしながら、アクセス制御システム10はこの種の設計に限定されないものと理解されるべきであり、他のいかなる技術的な設備もアクセス制御システム10のために使うことができる。
【0080】
この好適な実施の形態において、アクセス制御システム10は、ユーザによる1つまたは複数の動作機能を選択するためのセレクタ18、技術的な設備のフェイルセーフ動作を保証できるフェイルセーフ制御ユニット20(FSコントロール)、モバイルデータ記憶媒体24からアクセス認証データ26を読み出すように構成される受信装置22、およびアクセス制御装置28を備える。
【0081】
アクセス制御装置28は、受信装置22からアクセス認証データ26を受け取って、それを確認する。すなわち、動作機能のためのアクセス認証データ26を基礎として、認証されたモバイルデータ記憶媒体の所有者を決定する。
【0082】
この認証は、アクセス認証データ26から直接に決定されることができる。または、この認証はアクセス制御装置28によって、アクセス認証データ26から導かれても良い。
【0083】
セレクタ18は、例えば、コントロールパネルであってもよい。それは技術的な設備12上に配置される。
【0084】
コントロールパネルは、ボタン30a-30dおよび付随する表示素子32a-32dを含むことができる。ボタン30a-30dによって、技術的な設備の1ユーザは、1つまたは複数の動作機能を選択できる。好ましくは、各ボタンは、技術付録(technical appendex)12の1つの動作機能を割り当てられる。
【0085】
表示素子32a-32dは、選択の後、選択された動作機能を表示することができる。
【0086】
受信装置22は、アクセス認証データ26として、モバイルデータ記憶媒体24からデータを読み込むように構成される。
【0087】
好ましくは、データは無線インタフェース36を備えた読出装置34を介して読み出される。
【0088】
例えば、読出装置34とモバイルデータ記憶媒体24との間の通信は、RFID技術を介して実現されることができる。この場合、モバイルデータ記憶媒体24は、それ自身へのエネルギー供給を必要とせず、読出装置の起動のみによって単に通信する受動トランスポンダ(例えば単純なトークン)であってもよい。
【0089】
読出装置34は、標準のRFID読出装置であることができ、とりわけ、認証ロジックを含むことができる。
【0090】
アクセス認証データ26は、受信装置22からアクセス制御装置28まで伝送される。その伝送は有線伝送であり得、特に、単純な1チャンネルのデータ転送リンク38を介した有線伝送であってもよい。
【0091】
伝送は、冗長性なしで、または特別なプロトコルなしで行うことができる。その代わりに、伝送は、動的なアクセス認証データに基づいた適切な信号処理によって、セキュアであり得る。
【0092】
認証の符号化は、任意に選択されることができる。好ましくは認証の伝送および格納の高度な堅固性(robustness)を確実にするために、個々の表現間のハミング距離をできるだけ大きくとるという方法で、認証の2進数(binary)表示が選択される。
【0093】
例えば、認証は32ビット値で格納されることができる。そして、9のハミング距離が指定され得る。このことにより、最高8ビットまでなら、他のいかなる有効な認証も作り得ない。
【0094】
アクセス認証データ26に基づいて、アクセス制御装置28は好適な実施の形態でセレクタ18を制御できる。その結果、アクセス認証データ26に従った認証のあるユーザは、これらの動作機能だけを選択できる。
【0095】
例えばアクセス制御装置は、コントロールパネルの28個の個々のボタンを起動させることができるかまたは停止させることができる。その結果、それぞれのボタンは、ユーザがアクセス認証データ26にしたがってボタンに割り当てられたそれぞれの動作機能のための適切な認証を有する場合にのみ、反応する。
【0096】
好ましい実施の形態において、表示素子32a-32dは、そのとき選択されている動作機能に加えて、ユーザの認証に基づいてユーザにより選択されることができる動作機能を表示することができる。
【0097】
例えば、表示素子32a-32dは、その関連する動作機能がアクセス認証データ26にしたがって許容されたボタン30a-30dのためにのみ点灯できる。
【0098】
アクセス制御装置28は、決定ユニットを含むこともできる。受信装置22によって受け取られたアクセス認証データ26に基づいて、ロッキング装置40は、どの動作機能がユーザにより実行されることができるかを決定する。
【0099】
この判定を基礎として、アクセス制御装置28は、ユーザが実行するための認証を与えられた、これらの選択された動作機能の用途にのみユーザーのアクセスを許可することによって、技術的な設備へのアクセスを制御する。
【0100】
認証を決定するために、決定ユニット40は、通信インタフェース42、例えばローカルデータ網を介してサーバ44にアクセスすることができる。
【0101】
サーバは、ユーザIDに基づいて識別されたユーザの認証をアクセス制御装置28に提供できる。あるいは/さらに、認証はアクセス制御装置28自体に保存されてもよい。
【0102】
本発明によれば、受信装置22は、アクセス認証データ26に動的な部分46を追加して、アクセス制御装置28に動的なアクセス認証データ48を送るようにも構成される。
【0103】
特に受信装置22は、アクセス認証データ26を、読出すプロセスに応じて、すなわちアクセス制御プロセスチェーンの冒頭に直接応じて、動的にすることができる。
【0104】
例えば、受信装置22は、各読出しプロセスの間、アクセス認証データ26を動的な部分46によって増強する。
【0105】
また、増強が受信装置22の有効範囲のモバイルデータ記憶媒体の存在に関連付けられることも、考えられる。換言すれば、受信装置22は、モバイルデータ記憶媒体24が「接続されて(plugged in)」接点なしで動作することができる場合だけ、すなわちアクセス認証データ26が受信装置22によって取得される場合だけ、アクセス認証データ26を動的に作るように構成されることができる。
【0106】
動的な部分46は、時間とともに変化するアクセス認証データ26の一部であり得る。したがって、初期の時間の特定の認証のための動的なアクセス認証データ48は、他の時間の同じ認証のための動的なアクセス認証データ48と異なる。
【0107】
モバイルデータ記憶媒体24からアクセス認証データ26を継続的に読み込むときに、受信装置22は、例えば、読み込まれたアクセス認証データ26にタイムスタンプを追加できるか、または動的なアクセス認証データ48を生成するためにそれをタイムスタンプと結合することができる。
【0108】
特に、当該動的な部分は、モバイルデータ記憶媒体から読み込まれたアクセス認証データに関連付けられた所定のパターンであってもよい。
【0109】
例えばパターンは、許可、シリアル番号、カウンタ(counter)、現在のセッションのキー、1または複数の以前のセッションのキー、絶対時間および/または相対的な時間を含むことができる。
【0110】
NFCの場合、セッションのキーは、例えば、現在のNFCセッションのキーおよび/または以前のサイクルからの1つまたは複数のNFCセッションのキーであってもよい。
【0111】
特に、パターンは、前掲した素子のいくつかの所定の組合せであってもよい。パターンがより複雑であるほど、確率論的評価に基づく達成可能な信頼水準をより高くすることができる。
【0112】
動的なアクセス認証データ48はアクセス制御装置28に伝送され、その中に含まれるアクセス認証データ26が前述したようにアクセス制御のために用いられる。
【0113】
動的な部分46は、アクセス認証データ48が最新のものであることを確認するために使用されて、安全機能を実施するために用いることができる。
【0114】
特に、動的な部分は、最新のアクセス認証データが利用できる場合、技術的な設備または技術的な設備の特定の動作機能に対するアクセスが発行されることを保証することができる。
【0115】
動的な部分の評価は、それを予想と比較することによってなされる。換言すれば、所定のパターンは、期待されるパターンと一致していなければならない。
【0116】
例えば、そのパターンの範囲内で、カウンタ(counter)は、前回の値から始まっている特定の範囲の中になければならない。
【0117】
さらにまた、読出された間隔および離れた(separate)FSサイクルタイムに基づいて、特定の期待値を定めることが可能である。その期待値は、動的な部分の予想を定める。
【0118】
比較は時間とともに、非常に低い、非常に高い、および/または、等距離である値を識別できる。セッションのキーが時間とともに変化するかどうかについても調べることができる。
【0119】
動的な部分は、上記実施例に限られなくて、他の継続的に変更する情報を含むことができるものと理解される。
【0120】
動的な部分、特に所定のパターンがどのよう形成されたかに応じて、誤識別率が所定のレベルまで低下するように、異なる検証オプションを結合することができる。
【0121】
特に、受信装置自体がフェイルセーフデバイスでなくても、システムが高い安全カテゴリにしたがって保証されることができるレベルに、誤識別率を減少できる。
【0122】
動的な部分が所定の期間不変のままである場合、または、動的な部分が所定の期待値に対応しない場合、技術的な設備に対するアクセスまたは技術的な設備の個々の動作機能をブロックすることができる。そして、必要ならば、安全機能が、機械を安全な状態に変えるために実行される。
【0123】
しかしながら、後者は最後の手段である。都合のよいことに、技術的な設備は運転を続け、技術的な設備の可用性がアクセス制御によって不必要に制限されないように、特定の動作機能だけがブロックされるかまたは制限される。
【0124】
ある具体例では、アクセス制御装置28は、動的なアクセス認証データ48から決定される開放信号(release signal)を、フェイルセーフ制御ユニット20まで送り届けることもできる。動作機能の実際のブロッキングまたはリリースを行って、必要に応じて、機械から出る危険率を許容可能レベルまで低下させる安全機能を実行できる。
【0125】
フェイルセーフ制御ユニット20が、アクセス制御装置28に代わって、全体または一部のパターン検証プロセスを実行することも考えられる。
【0126】
フェイルセーフ制御ユニット20は、それ自体が公知の方法で技術的な設備12を制御することができて、冗長な処理ユニット50a、50bおよび安全な出力52の存在によって特徴付けられる。冗長な処理ユニット50a、50bは互いに監視することができて、安全な出力52上でそれぞれ独立して実行することができる。
【0127】
実施例において、アクセス制御装置28は、フェイルセーフ制御ユニット20に集積されたユニットであってもよい。しかしながらアクセス制御装置28は、別々のユニットとして、または、フェイルセーフ制御ユニット20のためのモジュールとして制作されることもできる。それによって、アクセス制御は、安全制御と独立して行われる。
【0128】
例えば、フェイルセーフ制御ユニット20によって監視される技術的な設備は、技術的な設備のハードウェアを変更もしくは交換することなくまたはフェイルセーフ制御ユニット20を適応させることなく、アクセス制御システムによって容易に補完(supplement)されることができる。
【0129】
本発明に従うアクセス制御システムは、このように改造されることができて、既存のシステムにさえも特に容易に補完されることができる。
【0130】
図2aおよび2bは、動的な部分がどのように構成されるかという、2つの実施例を示すが、前述したとおり、伝達された情報を動的化するためにさらなる変形例が考えられることは、言うまでもない。
【0131】
図2aは、動的な部分が、順次増えていくカウンタ(incremental counter)46aから成る場合のデータの流れを示す。
【0132】
アクセス認証データ26が読み込まれるたびに、カウンタは1ビットインクリメントされる。カウンタの現在の値はアクセス認証データ26に付加される。
【0133】
アクセス認証データ26を送信するパケットは、カウンタの現在の値が格納される付加的なフレームによって、このように延長される。このことにより、各データパケットは、アクセス認証データがサイクル内で不変のままであっても、以前のものとは異なったものとなる。
【0134】
図2bにおいて、タイムスタンプ46bが、カウンタの代わりに動的な部分としてアクセスデータ26に追加されている。
【0135】
特に、タイムスタンプ46bは、関係するアクセス認証データ26がモバイルデータ記憶媒体24から完全に読み出された時点を記録できる。このことにより、アクセス認証データを動的化できる。
【0136】
動的な部分46を追加することは、送信された情報を動的にする1つの方法である。
【0137】
代替方法として、アクセス認証データ26は、他の方法の動的な部分にリンクされることもできる。例えばアクセス認証データ26を動的な素子にリンクするのに、符号(coding)を用いることができる。この場合、ある具体例では、キーIDがカウンタにリンクされる。
【0138】
各サイクルの同一データから異なる暗号化されたデータを生成する周期的な暗号化も考えられる。
【0139】
しかしながら、動的情報を単純に追加することは、動的なアクセス認証データを生成して切り離すときに、信号処理が特に単純になり得るという効果がある。
【0140】
図2aおよび図2bに示す、動的な部分のための値としてのカウンタおよびタイムスタンプの使用は例示的なものである。
【0141】
大量の動的および非動的なデータが関連していて、できるだけ多くのパラメータに依存する複雑なパターンをつくるために、組み合わせられることが好ましい。それらは等しくないもしくは異なる動的挙動(例えば異なる変化サイクル)に基づく。
【0142】
パターンが複雑になるほど、達成可能な信頼水準はより高くなる。
【0143】
図3はアクセス制御装置28の簡略図を示す。それは独立モジュールとして設計されて、それ自身のハウジング54内に搭載される。
【0144】
アクセス制御装置28は、この実施例に従った既存のシステム内でも、特に容易に改造されることができる。
【0145】
本実施例において、アクセス制御装置28は、処理ユニット56およびいくつかのインタフェース42、58、60、62を有する。
【0146】
処理ユニット56は第1のインタフェース58を介してアクセス認証データを受信でき、それは処理ユニット56により確認される。
【0147】
第2のインターフェイス60を経て、アクセス制御装置28は、有効なアクセス認証データに基づいて、それに接続しているセレクタを制御できる。
【0148】
制御は、アクセス認証データが有効である技術的な設備のこれらの動作機能へのユーザーアクセスのみを認めるようにセレクタを起動させる制御を含むことができる。
【0149】
処理ユニット56は、認証がもしアクセス認証データ26内で符号化されていれば、当該アクセス認証データ26から認証を抽出する決定ユニットを含んでいても良い。
【0150】
その代わりに、または、それに加えてアクセス認証データは、決定ユニット40が関連する認証を決定するために使用できる参照情報(例えば利用者ID)を含んでいてもよい。
【0151】
アクセス制御装置28は、このために、それを介して決定ユニットがデータ記憶装置に接続できる追加のインタフェース42を備えていてもよい。
【0152】
決定ユニットは処理ユニット56に集積されることができ、または、決定ユニットは処理ユニット56によってソフトウェアモジュールとして実行されることができる。
【0153】
前述したように、アクセス制御装置28が第1のインタフェース58を介して受信するアクセス認証データは、動的な部分46によって、さらに強化される(enriched)。当該動的な部分46は処理ユニット56によって抽出され評価され、所定の予想と関係付けられることができる。
【0154】
アクセス認証データ26の動的な部分46に基づいて、アクセス制御装置28は、受信装置自体がいかなる安全に関連した機器を有しなくても、アクセス認証データ26が受信装置によって正しく読み込まれ、かつ現在まだ最新であるかどうかの確率的評価をこのようにすることができる。
【0155】
アクセス制御装置28は、一方では、安全装置として都合よく構成されることができて、この目的のために処理ユニット56と並列に追加の処理ユニット64を備えていることができる。
【0156】
並列に動作する処理ユニット56、64は、アクセス制御装置28のフェイルセーフ動作を確実にするために、各々を監視するように構成されることができる。
【0157】
さらなる実施の形態において、アクセス認証装置28は、技術的な設備のフェイルセーフ制御をそれ自身が実行するというような態様で、追加的な安全出力66を介して構成されることもできる。
【0158】
これはアクセス制御を既存の安全技術と独立して行うことができるという効果がある。
【0159】
しかしながら、アクセス認証装置28が、既存のフェイルセーフ制御ユニット20と相互作用するように構成され、必要ならば、動的なデータの評価を、完全にもしくは部分的に、このフェイルセーフ制御ユニット20に委任するように構成されることは、有利である。このことにより、アクセス認証装置28の構成を必要最小限の部品に縮小でき、その結果、特に容易に、そして、費用対効果が高い状態で実施されることができる。
【0160】
最後に、図4のとおり、ユーザが技術的な設備の1つまたは複数の動作機能にアクセスするのを制御するためのアクセス制御方法の実施の形態をフローチャートに示す。
【0161】
第1ステップS101は、受信装置からアクセス認証データを読み込むことを含む。受信装置は、モバイルデータ記憶媒体からアクセス認証データを読込み、それに動的な部分を継続的に追加する。
【0162】
第2ステップS102は、処理ユニットによりアクセス認証データを評価することを含む。処理ユニットは、動作機能が認証されることになっているアクセス認証データから情報を取得する。ある具体例では、当該情報は、アクセス認証データから直接に得られるか、または外部ユニットを介して決定される。
【0163】
第3ステップS103は、動的なアクセス認証データが所定の予想に対応する場合に、アクセス認証データが有効であるこれらの動作機能のための開放信号(release signal)を生成することを含む。
【0164】
したがって、開放信号は、アクセス認証データとともに送信される動的な部分が所定の予想に対応するかどうかに関わる。
【0165】
前述のとおり、動的な部分は、アクセス認証データが適切に読み込まれて伝送されたかどうかという確率的な評価がなされ得るような方法で、選択される。
【0166】
アクセス認証データが読み込まれて正しく送信されたという可能性を決定するために、複雑なパターンを用いることができる。その結果、受信装置自体が安全装置でない場合であっても、全体として、高いセキュリティカテゴリの要件は満たされる。
【0167】
ここで例示された方法は、さらなるステップを含むことができて、ここで示されたシーケンスに限られるものでないと理解されるべきである。
【0168】
さらなる方法ステップは、上で概説したアクセス制御システムの構成から生じる場合がある。
【0169】
本発明の保護の範囲は以下の請求項で特定され、その保護の範囲は、発明の詳細な説明において説明されまたは図示された特徴によって、制限されない。
図1
図2a
図2b
図3
図4
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.