EP1955287B1

EP1955287B1 - Verfahren und zentrale einrichtung für zugangskontrollen zu gesicherten bereichen oder einrichtungen

Info

Publication number: EP1955287B1
Application number: EP06807774.2A
Authority: EP
Inventors: Bruno Bozionek; Dieter Klaus; Jürgen Luers; Hubert Niemeier
Original assignee: Siemens AG; Siemens Corp
Current assignee: Siemens AG
Priority date: 2005-11-30
Filing date: 2006-11-08
Publication date: 2017-11-01
Anticipated expiration: 2026-11-08
Also published as: DE102005057101A1; EP1955287A1; CN101317202A; US20090027159A1; US8736418B2; WO2007062965A1

Description

In Firmengeländen oder innerhalb eines Campus sind aus Sicherheitsgründen Zugangskontrollen vorgesehen. Diese Zugangskontrollen werden jeweils an den Orten durchgeführt, die zu einem gesicherten Bereich oder einer gesicherten Einrichtung führen. Hierfür sind zentrale Kontrollkomponenten zu installieren, die mit dezentral angeordneten Kontroll-Strukturen zusammenarbeiten.
Eine dezentrale Einrichtung für eine Zugangskontrolle stellt beispielsweise ein Kartenleser dar, mit dessen Hilfe der Code einer eingeführten Karte gelesen werden kann. Von dem Kartenleser wird üblicherweise der gelesene Code an eine Zentrale übertragen. In der Zentrale wird der Code hinsichtlich der Zulässigkeit des Codes für einen gesicherten bzw. einen geschützten Bereich überprüft und bei einer Zulässigkeit wird eine Information an ein Öffnungssystem übermittelt. Durch die übermittelte Information wird das Öffnungssystem, beispielsweise ein Türöffner, aktiviert und beispielsweise eine Person kann den geschützten Bereich betreten. Derartige Zugangskontrollen sind bei jedem Zugangspunkt oder Zugangsbereich wie beispielsweise an jeder Tür oder Schranke oder Lift erforderlich, die zu einem zu schützenden bzw. zu sichernden Bereich führen. Dies bedeutet, dass an jedem dieser Orte bzw. Bereiche erneut eine Zugangskontrolle beispielsweise mittels Anwenderkarte mit Zugangscode und Kartenleser durchzuführen ist.
Aus der Schrift WO 01/99378 ist eine Zugangskontrolle zu gesicherten Bereichen oder Einrichtungen über lokalisierte Zugangssysteme bekannt. Wird von einer Person mit Hilfe einer mobilen Einrichtung versucht Zugang über ein lokalisiertes Zugangssystem zu erhalten, dann wird mit Hilfe eines Anrufs der Person die Telefonnummer von der mobilen Einrichtung an ein zentrales Authentifizierungsgerät über PSTN/ISDN/PLMN gesendet. Die übermittelte Telefonnummer wird hinsichtlich einer Autorisierung für den Zugang überprüft. Das zentrale Authentifizierungsgerät umfasst ferner integrierte Ortungsdienste für die mobile Einrichtung, sodass die Lokalisierung der mobilen Einrichtung in einem Bereich des Zugangssystems, zu dem der Zugang verlangt wird, überprüft werden kann.
Die der Erfindung zugrunde liegende Aufgabe besteht darin, den Zugang zu geschützten bzw. zu sichernden Bereichen für den Anwender zu verbessern. Die Aufgabe wird durch die Merkmale der Ansprüche 1 und 8 gelöst.
Ein wesentlicher Vorteil der Erfindung ist darin zu sehen, dass der Zugang einer autorisierten Person zu gesicherten Bereichen oder Einrichtungen mit Hilfe einer meist mitgeführten drahtlosen Einrichtung - beispielsweise ein Mobilfunkendgerät oder ein DECT- Endgerät - ohne spezielle weitere Autorisierungsmittel wie beispielsweise Karten und Kartenleser einfach und komfortabel möglich ist.
Vorteilhafte Weiterbildungen des erfindungsgemäßen Verfahrens sowie eine erfindungsgemäße Ausgestaltung einer zentralen Einrichtung sind den weiteren Patentansprüchen zu entnehmen.
Im Folgenden wird die Erfindung anhand einer zeichnerischen Darstellung näher erläutert.
In der Figur ist ein gesicherter Raum R sowie eine gesicherte Einrichtung E dargestellt, wobei der Raum R über eine erste gesicherte Türe und die Einrichtung E mit einer Verriegelungseinrichtung gesichert ist. Die Einrichtung E kann beispielsweise eine Maschine sein, die nur von autorisierten Personen betrieben werden darf. Die gesicherte Tür kann über ein als Türöffner ausgestaltetes erstes Zugangssystem Z1 geöffnet werden, das von einer zentralen Einrichtung ZE entweder über eine Drahtverbindung oder über eine drahtlose Verbindung gesteuert wird - in der Figur durch gestrichelte Linen angedeutet. Die ebenfalls von der zentralen Einrichtung ZE gesteuerte Verriegelungseinrichtung stellt das zweite Zugangssystem Z2 dar, wobei durch das zweite Zugangssystem Z2 nur autorisierten Personen ermöglicht wird, die Einrichtung E zu bedienen.
Die autorisierten Personen sind jeweils mit einer mobilen Einrichtung ME ausgestattet, mit der es möglich ist, über ein als Wireless Local Area Network ausgestaltetes drahtloses Netz WLAN eine Kommunikationsbeziehung zu der zentralen Einrichtung ZE herzustellen. Das drahtlose Netz WLAN kann beispielsweise auch als DECT-Netz oder als Mobilfunknetz realisiert sein, wobei die mobilen Einrichtungen ME entsprechend dem jeweiligen drahtlosen Netz beispielsweise als Mobilfunkendgerät oder DECT-Endgerät ausgestaltet sind. In der zentralen Einrichtung ZE ist für den Anschluss an das drahtlose Netz WLAN eine WLAN-Funkeinheit WFE vorgesehen, mit deren Hilfe von und zu den mobilen Einrichtungen ME zu übermittelnde Informationen übertragen werden.
Für das Ausführungsbeispiel sei angenommen, dass die Lokalitäten bzw. die geographischen Positionen des ersten und zweiten Zugangssystems Z1, Z2 bekannt sind und diese Positionen durch eine Positionsinformation pr,pe zusammen mit einer Information über den Raum R und der Einrichtung E in einem Speicher SP der zentralen Einrichtung ZE gespeichert sind. Die Positionsinformationen pr,pe können auch einen ersten und zweiten geographischen Bereich GB1, GB2 definieren, in dem das erste und zweite Zugangssystem Z1, Z2 angeordnet ist - in der Figur durch jeweils einen strichpunktierten Kreis mit der Bezeichnung GB1 und GB2 angedeutet -, wobei dann zusätzlich oder anstelle der Positionsinformation pr,pe der erste und zweite geographische Bereich GB1, GB2 im Speicher SP der zentralen Einrichtung ZE gespeichert ist.
Des Weiteren ist in der zentralen Einrichtung ZE eine Lokalisierungseinrichtung LE vorgesehen, mit deren Hilfe zumindest die Lokalisierung der in dem drahtlosen Netz WLAN befindlichen aktiven mobilen Einrichtungen ME eingeleitet werden kann. Die Einleitung kann darin bestehen, dass eine Anforderung an das drahtlose Netz WLAN übermittelt wird - nicht dargestellt -, die Position oder den geographischen Bereich einer mobilen Einrichtung ME mit netzinternen Verfahren zu ermitteln. Derartige netzinternen Positionsbestimmungs- oder Bereichsbestimmungsverfahren sind insbesondere aus den mobilen Funknetzen wie beispielsweise GSM, UMTS oder DECT-Netzen bekannt. Die ermittelte Position oder der ermittelte geographische Bereich, an dem sich die betroffene mobile Einrichtung ME aktuell befindet, wird durch eine Positionsinformation von dem drahtlosen Netz WLAN an die zentrale Einrichtung ZE gemeldet.
Alternativ kann die Position oder der geographische Bereich der mobilen Einrichtung ME durch eine GPS-Funktion - nicht dargestellt - in der mobilen Einrichtung ME nach einer Anforderung a von der zentralen Einrichtung ZE ermittelt werden. Nach einer Anforderung a durch die zentrale Einrichtung ZE wird die aktuelle Position bzw. der geographische Bereich der mobilen Einrichtung ME mit Hilfe der GPS-Funktion ermittelt und eine gebildete Positionsinformation pme über das drahtlose Netz WLAN an die zentrale Einrichtung ZE übertragen.
Für das Ausführungsbeispiel sei angenommen, dass die einer ersten mobilen Einrichtung ME1 zugeordnete Person autorisiert ist, den gesicherten Raum R zu betreten und die einer zweiten mobilen Einrichtung ME2 zugeordnete Person autorisiert ist, die Einrichtung E zu bedienen. Diese Zuordnung wird dadurch angezeigt, dass der ersten mobilen Einrichtung ME1 eine erste Identifikation ID1 und der zweiten mobilen Einrichtung ME2 eine zweite Identifikation ID2 zugeordnet ist und in dem Speicher SP der zentralen Einrichtung ZE die erste Identifikation ID1 der Information über den Raum R und die zweite Identifikation ID2 der Information über die Einrichtung E zugeordnet ist.
Für das Ausführungsbeispiel sei angenommen, dass die autorisierte Person mit Hilfe der ersten mobilen Einrichtung ME1 über das erste Zugangssystem Z1 den Raum R aufsuchen bzw. betreten möchte. Hierzu begibt sich die autorisierte Person bzw. die erste mobile Einrichtung ME1 in den ersten geographischen Bereich GB1 bzw. in die Nähe des ersten Zugangssystems Z1. Dort wird mit Hilfe der ersten mobilen Einrichtung ME1 eine Kommunikationsbeziehung über das drahtlose Netz WLAN zur zentralen Einrichtung ZE hergestellt und hierbei die zugeordnete erste Identifikation ID1 übermittelt. Diese erste Identifikation ID1 kann beispielsweise die Adresse bzw. die Rufnummer der ersten mobilen Einrichtung ME1 des drahtlosen Netzes WLAN oder eine spezielle Service-Adresse oder Service-Nummer sein, mit der ein spezieller Service - beispielsweise Zugangsservice - in der zentralen Einrichtung ZE angefordert wird. In der zentralen Einrichtung ZE ist der Zugangsservice beispielsweise durch eine Zugangsroutine ZR realisiert.
Mit Hilfe der programmtechnisch ausgestalteten Zugangsroutine ZR wird zuerst die Lokalisierung der ersten mobilen Einrichtung ME1 eingeleitet. Dies erfolgt gemäß dem Ausführungsbeispiel dadurch, dass eine Anforderung a von der zentralen Einrichtung ZE über das drahtlose Netz WLAN an die erste mobile Einrichtung ME1 übertragen wird. Nach Empfang der Anforderung a in der ersten mobilen Einrichtung ME1 wird die GPS-Funktion aktiviert - nicht dargestellt -, die aktuelle Position der ersten mobilen Einrichtung ME1 ermittelt und eine entsprechende erste Positionsinformation pme1 an die zentrale Einrichtung ZE über das drahtlose Netz WLAN übertragen.
Durch eine Bewertung der ersten Positionsinformation pme1 wird mit Hilfe der im Speicher SP gespeicherten Information über den ersten geographischen Bereich GB1 und dem zugeordneten ersten Zugangssystem Z1 festgestellt, dass sich die erste mobile Einrichtung ME1 in dem ersten geographischen Bereich GB1 befindet, in dem das erste Zugangssystem Z1 angeordnet ist, über das der Zugang zum Raum R möglich ist.
Anschließend wird mit Hilfe der Zugangsroutine ZR überprüft, ob aufgrund der übermittelten ersten Identifikation ID1 ein Zugang zu dem Raum R zugelassen werden kann. Da im Speicher SP eine Zuordnung der ersten Identifikation ID1 zum Raum R gespeichert ist, kann der Zugang zu dem Raum R freigegeben werden. Dies wird dadurch bewirkt, dass in der zentralen Einrichtung ZE eine Aktivierungsinformation ai gebildet und an das erste Zugangssystem Z1 übermittelt wird. Hierdurch wird das erste Zugangssystem Z1 bzw. der Türöffner aktiviert und die Tür für einen Zutritt der autorisierten Person zu dem Raum R geöffnet. Hierdurch wird auf bequeme und einfache Weise einer autorisierten Person mit Hilfe der mitgeführten mobilen Einrichtung ME1 ein Zugang zu einem gesicherten Raum R möglich.
Analog zu dem vorhergehend geschilderten erfindungsgemäßen Verfahren kann der Zugang zu einer gesicherten Einrichtung erfolgen - beispielsweise eine Maschine, die nur durch autorisierte Personen bedient werden darf. Hierbei wird wiederum durch die autorisierte Person mit Hilfe der ihr zugeordneten zweiten mobilen Einrichtung ME2 der durch die Zugangsroutine ZR realisierte Zugangsservice aktiviert und die seine zweite Identifikation ID2 an die zentrale Einrichtung ZE übermittelt, sofern sich die autorisierte Person im zweiten geographischen Bereich GB2 befindet, dem das zweite Zugangssystem Z2 zugeordnet ist.
Mit Hilfe der Zugangsroutine ZR wird wieder die Lokalisierung der zweiten mobilen Einrichtung ME2 eingeleitet, wobei wie bei der Lokalisierung der ersten mobilen Einrichtung ME1 von der GPS-Funktion in der zweiten mobilen Einrichtung ME2 dessen aktuelle Position ermittelt und eine entsprechende zweite Positionsinformation pme2 gebildet und an die zentrale Einrichtung ZE über das drahtlose Netz WLAN übertragen wird.
Durch eine Bewertung der zweiten Positionsinformation pme2 wird mit Hilfe der im Speicher SP gespeicherten Information über den zweiten geographischen Bereich GB2 und dem zugeordneten zweiten Zugangssystem Z2 festgestellt, dass sich die zweite mobile Einrichtung ME2 in dem zweiten geographischen Bereich GB2 befindet, in dem das zweite Zugangssystem Z2 angeordnet ist.
Anschließend wird mit Hilfe der Zugangsroutine ZR überprüft, ob aufgrund der übermittelten zweiten Identifikation ID2 ein Zugang zu der Einrichtung E zugelassen werden kann. Da im Speicher SP eine Zuordnung der zweiten Identifikation ID2 zur Einrichtung E gespeichert ist, kann der Zugang zu der Einrichtung E freigegeben werden. Dies wird dadurch bewirkt, dass in der zentralen Einrichtung ZE eine Aktivierungsinformation ai gebildet und an das zweite Zugangssystem Z2 übermittelt wird, wodurch das zweite Zugangssystem Z2 bzw. eine Verriegelungseinrichtung aktiviert wird und der autorisierten Person die Bedienung der Einrichtung E ermöglicht wird. Die Aktivierung einer Verriegelungseinrichtung kann auch darin bestehen, dass eine programmtechnische Verriegelung durch die Aktivierungsinformation ai aufgehoben wird. Hierdurch wird auf bequeme und einfache Weise einer autorisierten Person mit Hilfe der mitgeführten mobilen Einrichtung ME2 ein Zugang zu einer gesicherten Einrichtung, beispielsweise eine Maschine, freigegeben.
Befindet sich eine mobile Einrichtung ME in einem geographischen Bereich GB mit einem zugeordneten Zugangssystem Z, bei dem es zu dem gesicherten Raum oder der gesicherten Einrichtung E aufgrund einer nicht zugelassenen Identifikation ID keine Autorisierung für einen Zugang besitzt, wird das jeweilige Zugangssystem Z nicht aktiviert, d.h. der Zugang bleibt versperrt. In diesem Fall stimmt die übermittelte Identifikation ID und die ermittelte Position der jeweiligen mobilen Einrichtung ME mit der gespeicherten Identifikation ID und das zugeordnete Zugangssystem Z des jeweiligen Raums oder der Einrichtung nicht überein.
In diesem Fall kann der mobilen Einrichtung ME eine die Sperrung anzeigende Information, beispielsweise "nicht autorisiert für den Zugang zu diesem Raum oder dieser Einrichtung", übermittelt und dort visualisiert, d.h. der nicht autorisierten Person angezeigt werden. Im Fall eines ermittelten autorisierten Zugangs kann an die mobile Einrichtung eine den Zugang anzeigende Information, beispielsweise "Tür wird geöffnet oder Einrichtung kann bedient werden", übermittelt und dort visualisiert werden.
Die Komponenten der zentralen Einrichtung ZE können vorteilhaft durch ein Mikroprozessorsystem oder einen Personalcomputer realisiert werden, wobei die Zugangsroutine ZR und die Lokalisierungseinrichtung LE vorteilhaft programmtechnisch ausgestaltet sind und der Speicher SP durch einen dem Mikroprozessorsystem oder Personalcomputer zugeordneten Speicher wie beispielsweise EPROMs realisiert sind.
Die Erfindung ist nicht auf das Ausführungsbeispiel beschränkt, sondern kann in allen Situationen eingesetzt werden, wo komfortabel und einfach ein gesicherter Zugriff auf unterschiedlichste Einrichtungen wie beispielsweise kommunikations- oder informationstechnische Einrichtungen, Gebäude oder Gebäudeteile aber auch auf gesicherte bzw. geschützte geographische Bereiche vorgesehen ist, wobei die mobilen Einrichtungen und die zentrale Einrichtung auf möglichst vorhandene drahtlose Netze und Zugangssysteme anzupassen sind.

Claims

Verfahren für Zugangskontrollen zu gesicherten Bereichen (R) oder Einrichtungen (E) über lokalisierte Zugangssysteme, wobei das Zugangssysteme (Z1,Z2) zu einem gesicherten Bereich (R) oder einer gesicherten Einrichtung (E) durch ein Öffnungssystem, eine Verriegelungseinrichtung oder ein Schrankensystem oder eine Verschlüsselungseinrichtung realisiert ist, wobei der gesicherte Bereich (R) durch einen gesicherten Raum oder gesicherte Bereiche in einem Gebäude oder durch gesicherte geographische Bereiche repräsentiert wird,
- bei dem von einer mobilen Einrichtung (ME1,ME2) eine Identifikation (ID1,ID2) an eine zentrale Einrichtung (ZE) über ein als Wireless Local Area Network, WLAN, ausgestaltetes Netz übermittelt wird,

- bei dem in der zentralen Einrichtung (ZE) eine Lokalisierung der mobilen Einrichtung (ME1,ME2) über das WLAN eingeleitet wird, wobei eine Positionsinformation durch die mobile Einrichtung (ME1, ME2) über das WLAN an die zentrale Einrichtung (ZE) übertragen wird,

- bei dem nach einer Lokalisierung der mobilen Einrichtung (ME1,ME2) in einem Bereich (pr,pe,GB1,GB2) eines Zugangssystems (Z1,Z2) die Identifikation (ID1,ID2) hinsichtlich einer Autorisierung für den Zugang über das Zugangssystem (Z1,Z2) überprüft wird, und

- bei dem in Abhängigkeit vom Überprüfungsergebnis entweder der Zugang über das Zugangssystem (Z1,Z2) zugelassen wird oder gesperrt bleibt, wobei bei einem zugelassenen Zugang eine Aktivierungsinformation (ai) an das nächstgelegene Zugangssystem (Z1,Z2) über das WLAN übermittelt wird, mit der der Zugang zu dem lokalisierten, gesicherten Bereich (R) oder Einrichtung (E) bewirkt wird.
Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Lokalisierung einer mobilen Einrichtung (ME1,Me2) oder eines lokalisierten Zugangssystems (Z1,Z2) jeweils den geographischen Bereich (GB1,GB2) oder die geographische Position (pe1,pe2,pr,pe,) der mobilen Einrichtung (ME1,ME2) oder des Zugangssystems (Z1,Z2) angeben.
Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass der geographische Bereich oder die geographische Position (pme1,pme2) der mobilen Einrichtung (ME1,ME2)
- bei einem funkzellenorientierten mobilen Netz durch die Funkzelle bestimmt ist, in der die mobile Einrichtung aktuell registriert ist, oder

- durch netzinterne Ortungsverfahren

- oder mit Hilfe einer GPS-Funktion in der mobilen Einrichtung (ME1,ME2)
ermittelt wird.
Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Lokalisierung der mobilen Einrichtung (ME1,ME2) mit Hilfe eines Lokalisierungsdienstes innerhalb eines mobilen Netzes (WLAN) durchgeführt wird.
Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass an die mobile Einrichtung (ME1,ME2) eine Information über die Überprüfung der Identifikation (ID1,ID2) übertragen und dort visualisiert wird.
Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die mobile Einrichtung (ME1,ME2) autorisierten Personen zugeordnet ist, wobei die Identifikation (ID1,ID2) die Autorisierung zu dem jeweiligen gesicherten Bereich (R) oder zu der jeweiligen gesicherten Einrichtung (E) anzeigt.
Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Identifikation (ID1,ID2) eine Netzadresse, eine logische Adresse, eine Serviceadresse und/oder eine Sicherungsinformation ist.
Zentrale Einrichtung für Zugangskontrollen zu gesicherten Bereichen oder Einrichtungen über lokalisierte Zugangssysteme, wobei das Zugangssystem (Z1,Z2) zu einem gesicherten Bereich (R) oder einer gesicherten Einrichtung (E) durch ein Öffnungssystem, eine Verriegelungseinrichtung oder ein Schrankensystem oder eine Verschlüsselungseinrichtung realisiert ist, wobei der gesicherte Bereich (R) durch einen gesicherten Raum oder gesicherte Bereiche in einem Gebäude oder durch gesicherte geographische Bereiche repräsentiert wird,
- mit Mitteln zum Empfang einer Identifikation (ID1,ID2), die von einer mobilen Einrichtung (ME1,ME2) über ein als Wireless Local Area Network, WLAN, ausgestaltetes Netz übermittelt wird,

- mit Mitteln zum Einleiten einer Lokalisierung der mobilen Einrichtung (ME1,ME2) über das WLAN,

- mit Mitteln zum Empfangen einer von der mobilen Einrichtung (ME1,ME2) über das WLAN übertragenen Positionsinformation der mobilen Einrichtung (ME1,ME2) an die zentrale Einrichtung (ZE),

- mit Mitteln zur Überprüfung der Identifikation (ID1,ID2) hinsichtlich einer Autorisierung für den Zugang über ein lokalisiertes Zugangssystem (Z1,Z2), in dessen Bereich die mobile Einrichtung (ME1,ME2) lokalisiert ist, und

- derart ausgestaltet, dass in Abhängigkeit vom Überprüfungsergebnis(pme1,pme2) entweder der Zugang über das Zugangssystem zugelassen wird oder gesperrt bleibt, wobei bei einem zugelassenen Zugang Mittel für die Übermittlung einer Aktivierungsinformation (ai) über das WLAN an das nächstgelegene Zugangssystem (Z1,Z2) vorgesehen sind, mit der der Zugang zu dem lokalisierten, gesicherten Bereich (R) oder Einrichtung (E) bewirkt wird.
Zentrale Einrichtung nach Anspruch 8, dadurch gekennzeichnet, dass Mittel zum Einleiten der Lokalisierung der jeweiligen mobilen Einrichtung (ME1,ME2) und zum Empfang einer Lokalisierung (pme1,pme2), und
dass Mittel zum Einbeziehen der Lokalisierung (pme1,pme2) der mobilen Einrichtung (ME1,ME2) in die Ermittlung des Bereichs der lokalisierten Zugangssysteme (Z1,Z2) vorgesehen sind.
Zentrale Einrichtung nach Anspruch 8 oder 9, dadurch gekennzeichnet,
dass Mittel zum Bilden einer das Überprüfungsergebnis repräsentierenden Information (iv) und zum Übertragen der Information (iv) an die mobile Einrichtung vorgesehen sind.