EP3486877B1

EP3486877B1 - Berechtigungssystem

Info

Publication number: EP3486877B1
Application number: EP17202793.0A
Authority: EP
Inventors: Andreas Bögl; Gerhard Mayr
Original assignee: Pascom Kommunikationssysteme GmbH
Current assignee: Pascom Kommunikationssysteme GmbH
Priority date: 2017-11-21
Filing date: 2017-11-21
Publication date: 2020-06-24
Anticipated expiration: 2037-11-21
Also published as: EP3486877A1

Description

Die Erfindung betrifft ein Berechtigungsmanagementsystem zur Erfassung von Zutritts- beziehungsweise Nutzungsanfragen und der Erteilung der benötigten Berechtigungen oder Erfassung der Buchungsvorgänge.
Als Berechtigungsmanagementsysteme werden elektronische Systeme bezeichnet, die für eine Vielzahl von Anwendungen die Userdaten per Server verwalten und eine Nutzungs- oder Zutrittserlaubnis an die jeweilige Hardware oder Hardware-Aktoren vor Ort übermitteln, um die Verwendung zu ermöglichen.
Folgende Beispiele zeigen die Bandbreite der Verwendung eines solchen Systems. Klassische Systeme zur Kontrolle von Zutritten in Gebäuden, Systeme zur Erlaubnis der Benutzung von Geräten und Einrichtungen und der Abrechnung von Services in Wellnesshotels oder im Wintersport.
Üblicherweise werden, insbesondere bei Zutrittsberechtigungssystemen, die benötigten Daten von einer zentralen Einheit über einzelne Kabelverbindungen zu den jeweiligen Hardwarekomponenten die über Aktoren die gewünschte Funktion ausführen, übertragen, wobei dies bei größeren Gebäuden rasch zu einem hohen Komplexitätsgrad ansteigt und ein hoher Ressourcenaufwand für die Einzelverkabelung mit Kabeln, Kabeltassen, Rohrleitungen, und so weiter führt.
Diese Architektur führt jedoch rasch zu Problemen im Falle eines Ausfalls der zentralen Einheit oder bei Brandfällen, wo die Leitungsführung betroffen ist. Hier ist dann der Zutritt zu Räumen in weiten Teilen des Gebäudes entweder unmöglich, oder aufgrund der Schaltlogik für jedermann frei zugänglich, was insbesondere bei Räumen in welchen gefährliche Stoffe gelagert werden problematisch ist.
Müssen diese Systeme bei Zubauten oder Umbauten erweitert oder verändert werden, ist über weite Bereiche ein Umbau der kompletten Leitungsarchitektur erforderlich mit großen Mengen von Altkabeln, welche entsorgt werden müssen und hohen Kosten für die Neuverkabelung.
Bei der Wartung derartiger Systeme zeigt sich auch das Problem, dass im Wartungsfall immer zwei Personen, eine am Server und eine lokal an den Berechtigungsmodulen anwesend sein und darüber hinaus die Kommunikation zwischen diesen beiden sichergestellt werden muss.
Im Falle von Systemen mit Offline-Modulen kann eine bessere Ausfallssicherheit erreicht werden, dabei stellt sich die Situation besonders im Fall der Erstinstallation in großen Gebäuden mit einer hohen Anzahl an Türen als ebenfalls problematisch dar. Dabei muss nämlich die Vielzahl der Geräte zuerst installiert und dann jeweils mit den erforderlichen Berechtigungsinformationen versorgt werden, wobei ein hoher Zeitaufwand für das Wartungspersonal entsteht und Umstellungen und Änderung nur sehr langsam vorgenommen werden können. Da diese Hardware in regelmäßigen Abständen Updates erfordert, fällt dieser Aufwand vielfach an.
Diese Art von Berechtigungsmodulen, insbesondere für Zutrittsberechtigungen, für die Offline-Anwendung muss dabei auch im Nahbereich der zu öffnenden Türen, insbesondere in Zwischendecken, installiert werden, wo der benötigte Platz zur Verfügung steht. Als Offline-Anwendung wird die Steuer- und Verwendung von Berechtigungsmodulen ohne direkte oder dauernde Anbindung an einen zentralen Server verstanden.
Weiter zeigt sich bei bestehenden Systemen, dass der Bewegungsfluss für die Auslösung von Berechtigungen wegen der kurzen Reichweite der verwendeten Antennensysteme behindert wird, besonders bei Berechtigungssystemen im Umfeld von Spitälern führt dies regelmäßig dazu, dass die Verlegung von Patienten, insbesondere in Notfällen, vergleichsweise lange dauern kann.
Die EP 1,821,262 A2 offenbart ein System zur Kontrolle von Berechtigungen von Personen, zu autorisierenden Tätigkeiten durchzuführen. Ein Zentralserver ist mit mehreren Terminals verbunden, die wiederum mit einem oder mehreren Kontrollstellen verbunden sind.
Aus der US 2008/0216156 A1 geht ein fehlertolerantes Sicherheitssystem, Verfahren und Vorrichtung hervor. Ein Sicherheitssystem umfasst ein Hostsystem, eine Vielzahl von Master-Controllern und eine Vielzahl von Sub-Controllern, wobei jedem Sub-Controller eine spezifische Master-Steuerung sowie alternative Master-Controller für den Kommunikationszugriff bei Ausfall der primären Master-Steuerung zugeordnet sind.
In der US 2014/0070003 A1 ist ein System und eine Methode zur Integration und Anpassung von Sicherheitskontrollsystemen offenbart. Das System umfasst mindestens einen Zugangskartenleser und eine Steuerung, wobei jeder Zugangskartenleser und -controller in der Lage ist, den Zugang durch einen bestimmten Zugang zu einem bestimmten geschlossenen Bereich und einen Zugangskontrollserver in Verbindung mit dem mindestens einen Zugangskartenleser und -controller zu steuern. Der Zugangskontrollserver istin der Lage, den Betrieb des mindestens einen Zugangskartenlesers und -controllers zu steuern. Ein Signalwandler ist zwischen dem Zugangskartenleser und dem Zugangskontrollserver angeordnet.
Aus der US 2014/0044307 A1 geht ein System und eine Methode zur Sensor-Eingangserfassung und Übersetzung in menschliche Sprachform hervor. In einer Ausführungsform kann der Gegenstand, der einem Sensordatenstrom zugeordnet ist, einem Wort zugeordnet werden, und das Wort kann verwendet werden, um eine natürliche Sprache der narrativen Kommunikation für den Benutzer zusammenzustellen, wie beispielsweise eine schriftliche Nachricht.
Die Erfindung hat sich daher die Aufgabe gestellt, Berechtigungsmanagementsysteme der eingangs geschilderten Art derart zu gestalten, dass damit ein ausfallssicherer, erweiterbarer und in Notfällen rascher Betrieb gewährleistet und gegebenenfalls auch lokal autark gewährleistet werden kann.
Die Erfindung löst die gestellte Aufgabe dadurch, dass der Aufbau der Systemarchitektur mittels Server und Stichleitungen zu regionalen Steuerungsmodulen erfolgt, welche mit den lokalen Berechtigungsmodulen verbunden sind und diese wiederum mit den Lesegeräten und Aktoren. Die Lesegeräte im Berechtigungssystem sind mit mindestens zwei Antennentypen ausgestattet. Zumindest ein Antennentyp verfügt über eine verstärkende Anpassungsschaltung. Die verstärkende Anpassungsschaltung bewirkt eine Verstärkung des Signals um mindestens 30% und verschiebt den Peak des Signals um 500 kHz unterhalb der Arbeitsfrequenz von 13,56 MHz und verbreitert um 500 kHz bei 50 Ohm.
Weist der Aufbau der Systemarchitektur einen Server und Stichleitungen zu regionalen Steuerungsmodulen auf, welche wiederum mit den lokalen Berechtigungsmodulen verbunden sind, wobei diese jeweils die Lesegeräte und die Aktoren steuern, kann dadurch ein sehr ressourcenschonendes und sehr leicht zu erweiterndes Berechtigungsmanagement aufgebaut werden, da nur jeweils eine Stichleitung bis zu den regionalen Steuerungsmodulen geführt werden muss und eine weitere Verzweigung zu lokalen Berechtigungsmodulen erfolgen kann, welche sich insbesondere bei Erweiterungen der Gesamtanlage, zum Beispiel, bei Gebäudeerweiterungen als sehr vorteilhaft erweisen kann.
Dadurch, dass die Lesegeräte im Berechtigungssystem mit mindestens zwei Antennentypen ausgestattet sind, kann damit eine Auswahl in unterschiedlichen Frequenzbereichen welche an unterschiedliche ID-Tokens angepasst sind erreicht werden.
Die ID-Tokens können unterschiedlicher Natur sein, wie zum Beispiel Smart Cards, RFIDchip, mobile Geräte wie Telefon oder Tablet, Fernsteuerungen und können verschiedene Übertragungstechnologien nutzen, wie zum Beispiel RFID, NFC, Bluetooth, IR. Damit kann eine Erfassung in einem Bereich bis zu 30m erreicht werden, wodurch der Bewegungsfluss, zum Beispiel der Verlegung von Patienten mit Betten, erhalten bleiben kann.
Dadurch, dass mindestens eine der Antennen mit einer, insbesondere dynamischen, verstärkenden Anpassungsschaltung kombiniert wird, kann damit die Funktion des Lesegeräts auch in einer Umgebung mit Störungen durch metallische Bauteile oder Gehäuse gewährleistet bleiben, wobei das ursprüngliche enge Signal verstärkt und glockenförmig verbreitert und verschoben werden kann, sodass trotz der eintretenden Verschiebung der Trägerfrequenz noch immer ausreichende Signalstärke und Leistung zum ID-Token gesendet werden kann, um einen Kryptoprozessor zu betreiben. Dadurch kann in vorteilhafter Weise auch die Übertragungsreichweite und Übertragungsgeschwindigkeit der Berechtigungsinformationen erhöht werden und Wartezeit vor Zugängen kann dadurch verhindert werden.
Durch die verstärkenden Anpassungsschaltung mit einer Verstärkung des Signals um mindestens 30%, der Verschiebung des Peaks des Signals um 500 kHz unterhalb der Arbeitsfrequenz von 13,56 MHz und der Verbreiterung um 500 kHz bei 50 Ohm kann bei der Arbeitsfrequenz von 13,56 MHz noch immer ausreichend Leistung bei 50 Ohm vom Lesegerät auf den ID-Token übertragen werden, um die Funktion eines Kryptoprozessors zu ermöglichen.
Wird die Stichleitung zu den Steuerungsmodulen als Ethernet-Uplink ausgeführt, kann dadurch eine besonders standfeste und ausfallsichere Verbindung hergestellt werden. Alternativ ist eine Verbindung über Funkwellen möglich, wodurch ein besonders schneller und baulich einfacher Aufbau der Verbindung temporär auch zu Testzwecken möglich sein kann.
Werden mehrere lokale Berechtigungsmodule in einem Wartungsschrank zusammengefasst, kann dadurch eine effiziente Wartung und Instandhaltung ermöglicht werden, ohne dass für die Berechtigungsmodule eine Montage in unmittelbarer Nähe der Anlage, oder des Zugangs - zum Beispiel in Zwischendecken - erforderlich wäre.
Wird ein Steuerungsmodul gemeinsam mit zumindest einem Berechtigungsmodul in einem regionalem Wartungsschrank montiert, kann dadurch die Erstinstallation und die Anbindung des Berechtigungsmoduls sehr effizient gestaltet werden. Besonders vorteilhaft ist die Anbindung von bis zu 10 Berechtigungsmodulen.
Sind in einem Berechtigungssystem die kompletten Berechtigungsdaten auch in den Steuerungsmodulen und in den Berechtigungsmodulen gespeichert, kann sich hieraus eine große Ausfallssicherheit, unabhängig vom denkbaren Schadensereignis ergeben, da die einzelnen Module für die von ihnen gesteuerten Anlagen oder Zugänge weiterhin die Funktionalität aufrecht erhalten, bis Notfallmaßnahmen oder Reparaturen abgeschlossen sind.
Können Information von einem Berechtigungsmodul zu einem anderen Berechtigungsmodul über eine ID-Token übertragen werden, kann dadurch auch bei Modulen die planmäßig, wegen ihrer Insellage, nicht mit dem zentralen Server verbunden sind, oder wegen einer Störung temporär von diesem getrennt arbeiten, eine Übertragung von Buchungsinformationen von Anlagen oder neue Berechtigungsinformationen vom Server an die Offline-Module übertragen werden. Als Offline wird ein Zustand bezeichnet bei dem die Module nicht oder nicht dauerhaft mit dem zentralen Server verbunden sind, unter Online versteht man den Systemzustand bei dem Module mit dem Server über Kabelverbindungen oder Funk in Verbindung stehen. Die Bezeichnung ID-Token wird hier verwendet für eine Vielzahl von Berechtigungs- und Speicherkarten, wie zum Beispiel smart cards, insbesondere jedoch solche mit Kryptoprozessoren.
Wird zum Betrieb des Berechtigungssoftware Linux mit einem Hardware Abstraction Layer (HAL) eingesetzt, kann dadurch der generische Programmieraufwand wesentlich vereinfacht werden und das Berechtigungssystem kann mit den gleichen Hardwarekomponenten als Zutrittsberechtigungssystem, zum Beispiel in Krankenhäusern oder Pflegeheimen, aber auch als Abrechnungssystem für Dienstleistungen zum Beispiel in Wellnessressorts oder Skigebieten verwendet werden, da eine Anpassung auf die spezifischen Erfordernisse leicht programmiert werden kann. Als HAL - Hardware Abstraction Layer wird eine Schicht eines Betriebssystems bezeichnet, die den Kernel und alle übrige Software von der Hardware isoliert.
Wird die Verbindung zwischen dem Steuermodul und den Berechtigungsmodulen durch eine 485-Bus-Leitung hergestellt, kann damit im Vergleich mit anderen Bus-Systemen, eine besonders lange Verbindung, insbesondere über 15m Länge, hergestellt werden, wodurch eine noch größere Unabhängigkeit der Montageposition der Berechtigungsmodule erreicht werden kann.
Ist ein Steuermodul mit bis zu 10 Berechtigungsmodulen über eine kaskadierende Schaltung verbunden, kann damit ein besonders kostengünstiges Berechtigungssystem geschaffen und eine hohe Flexibilität der Montageorte erreicht werden.
Wird das Funksignals, durch die verstärkende Anpassungsschaltung (14) dynamisch optimiert, kann dadurch die abgestrahlte Leistung erhöht werden. Erfolgt die Messung für die dynamische Anpassung insbesondere durch Strommessung im Antennenschaltkreis, kann dadurch eine besonders einfache dynamische Anpassung erreicht werden.
Erfolgt beim Berechtigungssystem eine Buchung von Nutzungen für die Verwendung von Anlagen auf den ID-Token, kann damit in besonders vorteilhafter Weise eine Abrechnung für diese Nutzungen erfolgen, besonders in Krankenhäusern kann so gleichzeitig die Berechtigung für den Zutritt zu Gebäudeteilen, als auch die Verrechnung von Konsumationen oder Nutzungen ermöglicht werden. Aber auch bei der Erweiterung bestehender Berechtigungssysteme kann in einfacher weise und mit derselben Hardware eine Erweiterung um ein ausfallssicheres Abrechnungssysteme erfolgen wodurch die Wartung und Instandhaltung innerhalb eines gesamten Ressorts oder Gebäudekomplexes wesentlich vereinfacht werden kann. Eine erfindungsgemäße Systemarchitektur eines Berechtigungssystems kann beispielhaft in folgender Weise aufgebaut sein.
Figur 1 zeigt den schematischen Aufbau eines Berechtigungssystems (100), bei dem der zentrale Server (1) über ein Ethernet-Uplink (31) oder eine Funkverbindung (50) mit einem oder mehreren regionalen Steuerungsmodulen (2) verbunden ist, welche wiederum über einen RS485-Bus (32) mit den Berechtigungsmodulen (3A) (3B) verbunden sind, die sich in regionalen Wartungsschränken (7) oder lokalen Wartungsschränken (10) befinden.
Die Berechtigungsmodule (3) sind mit den Lesegeräten (4A) (4B) (4C) und den Aktoren (6A), zum Beispiel Türschließmechanismen, in einer Tür (5) verbunden.
Denkbar sind auch andere Aktoren in Form von Einrichtungen, wie zum Beispiel eine Waschmaschine (6B) deren Nutzungsdaten auf ein ID-Token (9) zur späteren Abrechnung übertragen werden kann.
Der Zugang zu Gebäudebereichen kann aber auch über ein offline-Berechtigungsmodul (4C) in Insellage erfolgen, welches eine weitere Einrichtung wie einen Schranken (6C) steuert.
Das Lesegeräte (4A) wird hier gezeigt mit zwei verschiedenen Typen von Antennen (8A) und (8B) und einer Anpassungsschaltung (14) für unterschiedliche Typen von Übertragungssystemen wie zum Beispiel RFID, NFC zur Identifikation der ID-Token (9), möglich ist aber auch die Erfassung von biometrischen Parametern wie Irismuster oder Fingerabdrücken mit dem Lesegerät (4A).
Figur 2 zeigt das Schema im Falle einer Unterbrechung einer Anbindung (31), bei dem der regionale Wartungsschrank (7A) mit dem Steuermodul und die damit verbundenen lokalen Wartungsschränke (10A) mit den Berechtigungsmodulen trotz Trennung vom Server (1) weiterhin in Funktion bleiben und mit dem ID-Token (9) Türen geöffnet werden können.
Dabei können auch Informationen, wie zum Beispiel neue Berechtigungslisten aus dem online-Teil des Systems auf die temporär vom Server (1) getrennten Systemteile übertragen werden, oder auch auf Systemteile in Insellage (13), oder eine Waschmaschine (6B), oder einen anderen Aktor wie eine Schrankenanlage (6C) - wie in Figur 1 dargestellt. Nutzungsinformationen können jedoch auch von der Waschmaschine (6B) auf den ID-Token (9) gespeichert werden, welcher dann diese Information über ein Abrechnungsterminal (12) zur weiteren Bearbeitung an den zentralen Server (1) übermittelt, von wo eine Abrechnung erfolgen kann.
Figur 3 zeigt die Signalveränderung in Luftumgebung, wo das ursprüngliche enge Signal (61) mit dem Peak bei der Arbeitsfrequenz (60) von 13,56 MHz bei der 50 Ohm Linie im Smithdiagramm zu liegen kommt. Im Vergleich dazu das durch die verstärkende Anpassungsschaltung (14) veränderte Signal (62), dessen Leistung um zumindest 30 % verstärkt wurde und mit dem Peak um 500 kHz unterhalb der Arbeitsfrequenz (60) zu liegen kommt. Zusätzlich erkennt man die Verbreiterung der Bandbreite des Signals (62) bei der 50 Ohm Linie um 500 kHz.
Figur 4 zeigt die Situation der Signalverschiebung in einer Umgebung mit Störfaktoren, wie zum Beispiel einem Metallgehäuse. Hier kommt es zu einer Verschiebung des nicht angepassten Signals (63) um mehr als 1 MHz über der benötigten Arbeitsfrequenz (60), wodurch die übertragene Leistung bei der Arbeitsfrequenz (60) nicht mehr für die Aktivierung des Kryptoprozessors ausreicht. Wohingegen das durch die verstärkende Anpassungsschaltung (14) veränderte Signal (64) ebenso eine Verschiebung oberhalb der Arbeitsfrequenz (60) erfährt, jedoch noch immer ausreichend Leistung übertragen kann, um einen Kryptoprozessor am ID-Token (9) zu aktivieren.

Claims

Berechtigungssystem (100) für die Zutrittsberechtigung bei Zugängen oder die Abrechnung der Benutzung von Anlagen, das aus einer Systemarchitektur mit einem Server (1), einem regionalen Steuerungsmodul (2), mindestens einem lokalen Berechtigungsmodul (3) und mit diesem verbundenen zumindest einem Lesegerät (4) und zumindest einem Aktor (6A), insbesondere Schließmechanismus, besteht, dadurch gekennzeichnet, dass das Lesegerät (4A) mit mindestens zwei Antennentypen (8A) (8B) ausgestattet ist, wobei zumindest ein Antennentyp (8A) über eine verstärkende Anpassungsschaltung (14) verfügt und wobei die verstärkende Anpassungsschaltung (14) eine Verstärkung des Signals um mindestens 30% bewirkt und den Peak des Signals um 500 kHz unterhalb der Arbeitsfrequenz von 13,56 MHz verschiebt und um 500 kHz bei 50 Ohm verbreitert.
Berechtigungssystem nach Anspruch 1, dadurch gekennzeichnet, dass das Berechtigungssystem so adaptiert ist, dass die Anbindung des Steuerungsmoduls (2) an den Server (1) über ein Ethernet-Uplink (31), oder eine Funkverbindung (50) erfolgt.
Berechtigungssystem nach Anspruch 1 bis 2, dadurch gekennzeichnet, dass mehrere Berechtigungsmodule (3) in regionalen Wartungsschränken (7), oder lokalen Wartungsschränken (10) positioniert sind.
Berechtigungssystem (100) nach Ansprüchen 1 bis 3, dadurch gekennzeichnet, dass in regionalen Wartungsschränken (7) auch die Steuerungsmodule (2) positioniert sind.
Berechtigungssystem nach Anspruch 1 bis 4, dadurch gekennzeichnet, dass die kompletten Berechtigungsdaten in den Steuerungsmodulen (2) und den Berechtigungsmodulen (3A) (3B) gespeichert sind.
Berechtigungssystem nach Anspruch 1 bis 5, dadurch gekennzeichnet, dass das Berechtigungssystem so adaptiert ist, dass Informationen von einem Berechtigungsmodul (3A) zu mindestens einem weiteren Berechtigungsmodul (3B) mittels ID-Token (9) übertragen werden.
Berechtigungssystem nach Anspruch 1 bis 6, dadurch gekennzeichnet, dass das Berechtigungssystem so adaptiert ist, dass als Betriebssoftware Linux mit einem Hardware Abstraction Layer verwendet wird.
Berechtigungssystem nach Anspruch 1 bis 7, dadurch gekennzeichnet, dass das Berechtigungssystem so adaptiert ist, dass die Verbindung zwischen Steuermodul (2) und zumindest einem Aktor (6A) durch RS 485-Bus-Verbindungen erfolgt, insbesondere über Leitungen mit über 15m Länge.
Berechtigungssystem nach Anspruch 1 bis 2, dadurch gekennzeichnet, dass ein Steuerungsmodul (2) mit bis zu 10 Berechtigungsmodule (3) über kaskadierende Schaltung verbunden ist.
Berechtigungssystem nach Anspruch 1 bis 9, dadurch gekennzeichnet, dass das Berechtigungssystem so adaptiert ist, dass die verstärkende Anpassungsschaltung (14) eine dynamische Optimierung des Funksignals, insbesondere mittels Strommessung, ausführt.
Berechtigungssystem nach Anspruch 1, dadurch gekennzeichnet, dass das Berechtigungssystem so adaptiert ist, dass bei der Verwendung von Aktoren wie den Einrichtungen (6B) (6C) über die Berechtigungsmodule (3) eine Nutzungsbuchung auf dem ID-Token (9) erfolgt.