WO2013110407A1 - Access control - Google Patents

Access control Download PDF

Info

Publication number
WO2013110407A1
WO2013110407A1 PCT/EP2012/075361 EP2012075361W WO2013110407A1 WO 2013110407 A1 WO2013110407 A1 WO 2013110407A1 EP 2012075361 W EP2012075361 W EP 2012075361W WO 2013110407 A1 WO2013110407 A1 WO 2013110407A1
Authority
WO
WIPO (PCT)
Prior art keywords
resource
identification
user
access
code
Prior art date
Application number
PCT/EP2012/075361
Other languages
German (de)
French (fr)
Inventor
Roland Eckl
Marquart Franz
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2013110407A1 publication Critical patent/WO2013110407A1/en

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/215Individual registration on entry or exit involving the use of a pass the system having a variable access-code, e.g. varied as a function of time
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/27Individual registration on entry or exit involving the use of a pass with central registration

Definitions

  • the present invention relates to a technique for access ⁇ control.
  • the invention relates to a method, a system and a computer program product for controlling access to a resource ei ⁇ .
  • a resource for example a meeting room in a building
  • different mechanisms are known.
  • each user receives a physical passport and the device provides a reader for the passport.
  • the user is identified by the badge and it is checked if the user is authorized to access the resource. If this is the case, the resource can be released for the user, for example by activating an automatic door opener.
  • the disadvantage here is that each user must always carry an individual ID with him in order to access the resource can.
  • PIN personal identification number
  • the disadvantage here is that a sufficient granularity of access control ty a relatively long PIN code to ver ⁇ contact is that can be easily forgotten by the user.
  • the user passes ei ⁇ NEN assigned PIN code to another person.
  • the group of people using the resource can be so difficult to control.
  • a wireless device associated with a user may be used to provide information. NEN over the user and the resource to a central In ⁇ dance to send, whereupon the central authority can cause a release of the resource after an examination of the identifications.
  • the central authority can cause a release of the resource after an examination of the identifications.
  • the invention has the object of providing a technique to admit arrival, by means of which a resource is made available in a simple manner ei ⁇ NEM or more users.
  • the invention solves the problem by means of a method, Sys tems ⁇ and a computer program product having the features of the independent claims. Subclaims give preferred embodiments again.
  • An inventive method for controlling access to a resource comprising the steps of providing a Iden ⁇ fication of the resource to the resource, the Entussineh- mens the identification of the resource and an ID Case ⁇ on a user and releasing the access to the resource if the user is authorized is to access the Res ⁇ source.
  • the identification of the resource is renewed on a regular basis and includes an indication that allows the identification to be inferred from a time-dependent validity end of the identification.
  • This information can in particular include a creation time or display time of the identification or a validity period.
  • the time dependence of the validity of identifica tion ⁇ is realized by an instance which checks the Gul ⁇ ACTION the identification, performs a comparison of the identification with one or more known identification functions that have recently been created.
  • Storing the resource's identification for later use may thus result in a denial of access to the resource. This can ensure that the user is at the resource when the resource is released. Even a passing identifica ⁇ tion of the resource to another user may be complicated by the time limit on the validity of the identification of the resource. It can be ensured in an improved manner that the resource will be released exclusively to Be ⁇ use by authorized users.
  • the identification of the resource includes the location of the resource.
  • the resource may be stationary, for example a room or a facility of a building.
  • the indication of the location can be encoded in the identification of the resource or can be done separately from a clear reference to the resource.
  • the location of the resource is derivable from the unique identification.
  • the identification of the resource includes an address of an instance, wherein the identifications of the resource and the user are received by the instance.
  • the instance can be a central instance, for example in the form of a server, so that different resources can be managed by different central authorities and an assignment of the entity to the resource to be secured can be performed transparently.
  • An assignment of a resource to an instance can be done dynamically without requiring a user to recognize this, and without requiring the user to change his hand ⁇ development in any form. The user must so do not know the address or name of the managing instance or do not enter yourself.
  • the identification of the resource is embedded in a web address of the instance.
  • the authentication can thus be facilitated since the user does not first have to read off and enter the identification of the resource, but automatically receives it together with the address of the instance.
  • the identification of the user is not also embedded as an argument in the web address but is incorporated as an argument or parameter in the web address of the instance.
  • the identification of the resources is provided in machine-readable, graphical form.
  • the recording of the identification of the resource for example, by means of a portable computer or a Te ⁇ phone with additional functions (smartphone) are performed, which includes an optical interface, without special hardware or proprietary software would be required.
  • another transmission of the identification of the resource can be done, for example by means of an NFC or RFID tags.
  • the identification of the user is stored with or without the ge ⁇ heimen code in the portable computer or a smartphone.
  • the computer or smartphone can be protected against unauthorized use by means of a separate password or secret code.
  • a separate password or secret code In yet another embodiment, a
  • Password or a secret code may be required to release the stored code.
  • Such a function can For example, be provided by a browser on the computer or smartphone.
  • the method can be used, in particular, to secure a resource which comprises a section of a building, for example a room, a parking space, a device or another stationary installation.
  • a computer program product comprises program code means for carrying out the method described, when the computer program product runs on an execution device or is stored on a computer-readable medium.
  • An inventive system for securing access to a resource comprises an output device at the Res ⁇ source for providing an identification of the resource, an instance for receiving the identification of the resource, and an identification of a user, and a release device for release of the resource if the Be ⁇ user is authorized to access the resource.
  • system can be used to allow personal access to individual resources in an existing installation, for example a building.
  • the instance includes a memory for storing permissions for accessing multiple resources.
  • the instance can be a central instance by means of which access by one or more users to a plurality of different resources can be secured. A maintenance and management of, justifying ⁇ conditions of users on using the resource can be simplified possible.
  • the output device is adapted to a machine-readable, graphical representation of To provide identification.
  • the output device may in particular comprise a graphic output device.
  • the graphical output device preferably supports a high contrast ratio and is designed to represent a two-dimensional graphic code.
  • This code may in particular include a QR code.
  • the QR code can still wear ne ⁇ ben identifying the resource more Informatio ⁇ nen. Handling and operability of the system can thus be facilitated.
  • the system further comprises a user-controllable reader having a scanner for sensing the identification of the resource, an input device for receiving the user's identification, and a transmitter for communicating the identifications to the entity.
  • Such a reader may be formed in particular as a portable computer or a smartphone Com-, wherein the means for sampling the identification preferably a built-in optical interface, in particular a camera ⁇ sums.
  • a commercially available device can be used to use the described system for access control to one or more resources.
  • FIG. 1 shows a system for access control
  • FIG. 2 shows an exemplary identification of the resource
  • Figure 3 is an interpretation of the identification of Figure 2
  • Figure 4 is an exemplary representation of the output of the identification of Figure 2
  • Figure 5 illustrates a flow chart of a method for access control ⁇ in the system of FIG. 1 1 shows a system 100 for controlling access to a resource 105.
  • the resource 105 is through a door symboli ⁇ Siert that can allow or deny access to the resource 105, the resource 105 is also belie ⁇ bige other, preferably stationary resource for example, a room or an installation in a building.
  • a release device is being introduced ⁇ 110, by means of which can be effected 105 a machine-controlled release of the resource.
  • the release device 110 may include, for example, an automatic door opener, a barrier, or a controllable power supply.
  • an output device 115 is further attached.
  • the output device 115 includes ⁇ be vorzugtute a graphical output device for representation development of a two-dimensional machine-readable code.
  • Output device 115 is attached in the immediate vicinity of the resource 105 fixed or firmly connected to the resource 105. Furthermore, a processing device 120 is provided to control the output device 115. In particular, the processing device 120 is configured to illustrate on the off ⁇ display device 115 a QR code ( "quick response code"), which ce at least an identification of the resource represents the 105th This identification can beispielswei ⁇ se a unique identifier (UID) of the resource 105.
  • a timer 125 is provided which is connected to the processing device 120. Based on a time information of the timer 125, a time stamp or other indication of a creation timing of the QR code may be included in the QR code.
  • is carried out at preferably regular renewal of the displayed QR codes on the output device 115.
  • the renewal for example, time-controlled, carried ereignisgesteu ⁇ ert or randomly.
  • renewal of the displayed QR code on the output device 115 may occur approximately whenever an access attempt to the resource 105 has been detected.
  • the timer 125 may be omitted and the described generation and renewal of the information of the QR code may be performed by a separate entity, as described in more detail below.
  • the information provided by the instance can also be converted into the QR code by the processing device 120.
  • a mobile reader 130 operable by a user seeking access to the resource 105 includes a scanner 135, an input device 140, and a transmitter 145.
  • the reader 130 is preferably a portable computer, a smartphone, or similar device.
  • the scanning device 135 comprises in Darge ⁇ example presented a camera for receiving the QR code, which is displayed on the output device 115.
  • the input device 140 illustratively includes a touch screen on which the user can enter information and initiate the execution of commands.
  • the transmission device 145 includes a wireless interface, in particular ⁇ sondere a wireless GSM or Bluetooth interface. By means of the transmission device 145, a data connection to a central entity 150 can be established.
  • the reader 130 is configured to scan and recognize the QR code from the output device 115, that is to extract the information encoded into the QR code.
  • the extraction may also include, for example, a check of data coherency, a repair of non-detected or damaged parts of the QR code and a consistency check of the extra ⁇ hierten information.
  • a user identification can be input via the input device 140, which in FIG. 1 comprises by way of example an identifier 155 for the user as well as a secret code 160.
  • the identifier 155 and / or the code 160 may be managed by a browser running on the reader 130.
  • the instance 150 comprises a processing device 165, which has a first interface 170, a second interface 170
  • the first interface 170 is set up to enable communication with the transmission device 145 of the reading device 130.
  • the second interface 175 is connected to the release device 110. By a corresponding activation by the processing device 165, the resource 105 can be released by means of the second interface 175 and the release device 110.
  • the memory 180 receives one or more pieces of information describing a user's authorization to access the resource 105.
  • Each of this information may in particular comprise the resource 105, one or more users and a Benut ⁇ wetting time point or period of use.
  • the timer 185 is synchronized with the timer 125. This ensures that a time which is encoded into a QR code that Darge ⁇ is on the output device 115, and reduced by the scanning device 135 is transmitted by means of the transmission device 145 and the first interface 170 to the processing device 165, where it can be provided with the correct time reference.
  • the processing device 120 may be omitted if the
  • Output device 115 is controlled by the processing means 165 of the central entity 150.
  • the output device 115 can by means of another
  • Interface be connected to the processing device 165.
  • the QR code includes Minim ⁇ least an identification of the resource 105 and is time-coded Favor ⁇ ingly, that is, an indication of the position he ⁇ time of the QR code is part of the code shown.
  • the scanned QR code is decoded in reader 130 in a known manner.
  • an identification of the user here in the form of the identifier is ⁇ if the code provided 155 and 160 given in the reader 130, übli ⁇ chnote by entering by the user.
  • the collected information is then transmitted to the central entity 150 by means of the transmission device 145.
  • the central entity 150 can first take an examination before ⁇ whether the QR-code used is still valid. For this purpose, the reference to the creation time of the QR code can be evaluated and compared with a current time. If the QR code used is outdated, the release of the resource 105 can be denied. In one embodiment, a number of past QR codes may be provided by the central entity 150 be known and all QR codes whose creation time is before the QR code, which was current, for example, before two renewal ⁇ ments, can be discarded. There it is checked whether an authorization of the user, who is identifiable by the identifier 155 and optionally by the code 160, is presently available for the use of the resource 105. This check is made by comparison with an authorization in the memory 180. If the user is authorized, then the central entity 150 initiates the release of the resource 105 by means of the second interface 175 and the release device 110.
  • FIG. 2 shows an exemplary identification 200 of the resource 105 from FIG. 1.
  • FIG. 2 shows an exemplary identification 200 of the resource 105 from FIG. 1.
  • the identification 200 is embodied as a QR code and represents a web address 205, which can be ⁇ example by means of a browser by the reader 130 ⁇ selected.
  • Web address 205 includes at least one UID 210 identifying the resource.
  • Preferred ⁇ example is in the UID 210, a Note containing the Clearel ⁇ averaging time of identification 200th This may in particular be done in a non-obvious way, so that the time information can not be recognized or manipulated separately from the reference to the resource 105.
  • a cryptographic procedure here, example ⁇ as a hash function can be used.
  • the hash function may be based on a secret key of the item that created the identifier 200.
  • Optional 205 includes the web address of a location 215 of the resource 105. This is in particular ⁇ sondere useful if the location of the resource 105, not only by evaluating the UID 210, for example based on a table that is detectable.
  • FIG. 3 shows an interpretation 300 of the web address 205 of FIG. 2.
  • the QR code comprises a web address 305 which, in addition to the fields 210 and optionally 215 of FIG. that points to the Central Instance 150. In the Dar ⁇ position of Figure 3 is given if the time at which the interpreted QR code has been created, encoded in the data area of the field 210th
  • the interpretation represented 300 of the QR code which can be represented on the output device 115 of Figure 1 comprises in known manner a web address 305 may be automatic ⁇ table contacted by a browser of the reader 130 after using the scanner 135 the one shown on the display device 115 QR code tilltas ⁇ tet was.
  • the central entity 150 responds with a prompt, for example in the form of a web form, indicating an identification of loading user, for example in the form of the identifier 155 and, where ⁇ appropriate, the code 160.
  • the reader be configured to request or accept the identification of the user before the request is sent to the central entity 150.
  • the browser of the reading device 130 or the reading device 130 itself can store the identifier 155 and / or the code 160 locally after a first input and offer it to the user for acceptance or continue to use without further inquiry.
  • FIG. 4 shows an exemplary representation of the output of the identification 200 of the resource 105 of FIG. 2 on the output device 115.
  • the only mandatory element displayed on the display 115 is a QR code 405, as already discussed above, all other elements are optio ⁇ nal.
  • An access plan 410 may be provided to provide information about which user (s) are currently or at the next allocated time authorized to access the resource 105. In particular, this information may include a name or identifier 155 of a user and a usage period. Furthermore, usage instructions 415 may be given.
  • the groove ⁇ Zung notes for example, explain how to deal with the reader to gain access to the resource 105th
  • more information can be specified in one of the optional fields, if an authentication attempt by a user fails.
  • This information can, for example, include the identification 210 of the resource 105 in a form that can be read by the user.
  • a manual input of the identification 210 by the user into the reading device 130 is possible, so that the release of the resource 105 can take place even if, for example, the QR code which is displayed on the output device 115 can not be recognized or can not be recognized without error ,
  • location information 420 of resource 105 may be indicated.
  • the location information 420 may include, for example, a room number or a similar name.
  • FIG. 5 shows a flowchart of a method 500 for to ⁇ grip control in the system 100 of Figure 1.
  • the steps shown in Figure 5 are arranged to improve the presentation in three columns, the left column indicates operations generally by the processing means 120 in the region the resource 105 performed the ⁇ , the middle column indicates operations that are performed übli ⁇ chholder characterized by the reader 130, and the right column operations are generally carried out by the central entity 150th
  • a first step 505 one or more permissions are defined indicating which user (s) are authorized to access a resource 105 at a predetermined time or interval.
  • de authorization typically comprises the identification of the resource 105, an ID 155 of each user, and a time or period when the authorization is valid.
  • the identification 210 of the resource 105 is displayed on the output device 115.
  • the identification 210 is preferably individualized, that is, made dependent on a time of creation of the QR code. This can be done alternatively by the processing ⁇ device 120 in the region of the resource 105, or by the processing means 165 of the central entity 150th Step 510 is preferably performed at regular intervals. For example, a time-controlled, periodic updating of the illustrated, individualized UID 210 can take place. In other embodiments, the update can also be done randomly or ereignisgesteu ⁇ ert.
  • the identification of the resource 105 is scanned here by the output device 115 by way of example on the basis of the web address 205.
  • the UID 210 is extracted from the sampled information.
  • the central body 150 Transmitting the specific identification of the resource 105 to the central body 150.
  • the address of the central ⁇ eral instance 150 was automatically extracted in a preferred manner from the QR code.
  • the central authority responds 150 usual manner with a request to enter the identification of the user, for example in the form of the identifier 155 and, where appropriate, code 160.
  • About ⁇ mediation of user identification is then in egg nem step 530th
  • the identification of the user is automatic or upon approval by the user is appended to or encoded into the extracted web address 305 before the request is sent to the central entity 150. In both cases, the identifications of the resource
  • a following step 540 the accepted identifications are checked by comparing them with authorizations stored, for example, in the memory 180 of the central instance 150.
  • a Convention Stim ⁇ mung detected thereby, then a release of the resource 105, for example by means of Freigabeein- direction 110, carried by the central entity 150th
  • step 540 It can also be checked in step 540 whether the Ides ⁇ fication of the resource has its temporal validity over ⁇ exceeded by a time indication from the identifi- cation is determined and is compared with a current time based on the timer 185th If the indication differs by more than a predetermined amount from the current time, an invalidation of the identification is determined and the release of the resource 105 is denied.
  • one or more temporally successive identifications of the resource 105 are known by the central entity 150.
  • the identifications can include random or pseudo-random character strings without further decodable information content.
  • the oldest known identification is discarded. If the receiving identification does not correspond to one of the known, not discarded identifications, then again, an invalidation of the identification is determined and the release of the resource 105 is denied.

Abstract

A method for controlling access to a resource comprises steps for preparing a time-limited and regularly renewed identification of the resource on the resource, receiving the identification of the resource and an identification of a user, and enabling access, provided the user is authorised to access the resource. (Figure 1)

Description

Beschreibung description
Zugriffssteuerung Die vorliegende Erfindung betrifft eine Technik zur Zugriffs¬ steuerung. Insbesondere betrifft die Erfindung ein Verfahren, ein System und ein Computerprogrammprodukt zur Steuerung ei¬ nes Zugriffs auf eine Ressource. Um eine Ressource, beispielsweise einen Besprechungsraum in einem Gebäude, einem vorbestimmten Benutzerkreis zu einer vorbestimmten Zeit zugänglich zu machen, sind unterschiedliche Mechanismen bekannt. In einer Ausführungsform erhält jeder Benutzer einen physischen Ausweis und an der Ressource ist ein Lesegerät für den Ausweis vorgesehen. Der Benutzer wird durch den Ausweis identifiziert und es wird überprüft, ob der Benutzer zum Zugriff auf die Ressource berechtigt ist. Ist dies der Fall, so kann die Ressource für den Benutzer freigegeben werden, indem beispielsweise ein automatischer Türöffner aktiviert wird. Nachteilig hierbei ist, dass jeder Benutzer einen individuellen Ausweis stets bei sich führen muss, um auf die Ressource zugreifen zu können. Access control The present invention relates to a technique for access ¬ control. In particular, the invention relates to a method, a system and a computer program product for controlling access to a resource ei ¬ . In order to make a resource, for example a meeting room in a building, accessible to a predetermined group of users at a predetermined time, different mechanisms are known. In one embodiment, each user receives a physical passport and the device provides a reader for the passport. The user is identified by the badge and it is checked if the user is authorized to access the resource. If this is the case, the resource can be released for the user, for example by activating an automatic door opener. The disadvantage here is that each user must always carry an individual ID with him in order to access the resource can.
Andere Systeme sehen an der Ressource ein Eingabemittel vor, an dem der Benutzer eine Berechtigungsinformation eingeben kann. Eine solche Information kann beispielsweise durch eine persönliche Identifikationsnummer (PIN) gegeben sein, die der Ressource und einem Benutzungszeitpunkt zugeordnet sind. Other systems provide at the resource an input means at which the user can enter authorization information. Such information may be given, for example, by a personal identification number (PIN) associated with the resource and a time of use.
Nachteilig hierbei ist, dass für eine ausreichende Granulari- tät der Zugriffskontrolle ein relativ langer PIN-Code zu ver¬ wenden ist, der durch den Benutzer leicht vergessen werden kann. Außerdem besteht die Möglichkeit, dass der Benutzer ei¬ nen ihm zugeordneten PIN-Code an eine andere Person weitergibt. Der Personenkreis der die Ressource benutzenden Perso- nen kann so schwer zu kontrollieren sein. The disadvantage here is that a sufficient granularity of access control ty a relatively long PIN code to ver ¬ contact is that can be easily forgotten by the user. In addition, there is the possibility that the user passes ei ¬ NEN assigned PIN code to another person. The group of people using the resource can be so difficult to control.
In einem weiteren bekannten System kann ein drahtloses, einem Benutzer zugeordnetes Gerät verwendet werden, um Informatio- nen über den Benutzer und die Ressource an eine zentrale In¬ stanz zu übermitteln, woraufhin die zentrale Instanz nach einer Prüfung der Identifikationen eine Freigabe der Ressource veranlassen kann. Hierbei ist jedoch nicht ausgeschlossen, dass sich der Benutzer gar nicht an der Ressource befindet, und somit willentlich oder unwillentlich einer anderen Person die Benutzung der Ressource ermöglicht. In another known system, a wireless device associated with a user may be used to provide information. NEN over the user and the resource to a central In ¬ dance to send, whereupon the central authority can cause a release of the resource after an examination of the identifications. However, it is not excluded that the user is not at the resource, and thus willingly or unwillingly allows another person to use the resource.
Der Erfindung liegt die Aufgabe zu Grunde, eine Technik an- zugeben, mittels derer eine Ressource auf einfache Weise ei¬ nem oder mehreren Benutzern zugänglich gemacht wird. Die Erfindung löst die Aufgabe mittels eines Verfahrens, eines Sys¬ tems und eines Computerprogrammprodukts mit den Merkmalen der unabhängigen Ansprüche. Unteransprüche geben bevorzugte Aus- führungsformen wieder. The invention has the object of providing a technique to admit arrival, by means of which a resource is made available in a simple manner ei ¬ NEM or more users. The invention solves the problem by means of a method, Sys tems ¬ and a computer program product having the features of the independent claims. Subclaims give preferred embodiments again.
Ein erfindungsgemäßes Verfahren zur Zugriffssteuerung auf eine Ressource umfasst Schritte des Bereitstellens einer Iden¬ tifikation der Ressource an der Ressource, des Entgegenneh- mens der Identifikation der Ressource und einer Identifikati¬ on eines Benutzers und des Freigebens des Zugriffs auf der Ressource, falls der Benutzer berechtigt ist, auf die Res¬ source zuzugreifen. Durch das Bereitstellen der Identifikation der Ressource unmittelbar an der Ressource kann eine Ortsverifikation stattfinden, sodass sichergestellt ist, dass sich der Benutzer an der Ressource befindet, bevor die Ressource freigegeben wird. Ein irrtümliches oder missbräuchliches Freigeben der Ressour- ce an einen anderen Benutzer oder ein Freigeben einer anderen als der gewünschten Ressource können so unterbunden werden. An inventive method for controlling access to a resource comprising the steps of providing a Iden ¬ fication of the resource to the resource, the Entgegenneh- mens the identification of the resource and an ID Case ¬ on a user and releasing the access to the resource if the user is authorized is to access the Res ¬ source. By providing the identification of the resource immediately adjacent to the resource, location verification may occur to ensure that the user is at the resource before the resource is released. An erroneous or abusive release of the resource to another user or to release a resource other than the desired resource can thus be prevented.
In einer bevorzugten Ausführungsform wird die Identifikation der Ressource regelmäßig erneuert und umfasst einen Hinweis, der auf ein zeitabhängiges Gültigkeitsende der Identifikation rückschließen lässt. Dieser Hinweis kann insbesondere einen Erstellungszeitpunkt oder Anzeigezeitpunkt der Identifikation oder eine Gültigkeitsspanne umfassen. In einer Ausführungs- form wird die Zeitabhängigkeit der Gültigkeit der Identifika¬ tion dadurch realisiert, dass eine Instanz, welche die Gül¬ tigkeit der Identifikation überprüft, einen Vergleich der Identifikation mit einer oder mehreren bekannten Identifika- tionen durchführt, die zuletzt erstellt wurden. In a preferred embodiment, the identification of the resource is renewed on a regular basis and includes an indication that allows the identification to be inferred from a time-dependent validity end of the identification. This information can in particular include a creation time or display time of the identification or a validity period. In one implementation form the time dependence of the validity of identifica tion ¬ is realized by an instance which checks the Gul ¬ ACTION the identification, performs a comparison of the identification with one or more known identification functions that have recently been created.
Ein Abspeichern der Identifikation der Ressource zur späteren Verwendung kann so zu einer Verweigerung des Zugriffs auf die Ressource führen. Dadurch kann sichergestellt werden, dass sich der Benutzer zum Zeitpunkt der Freigabe der Ressource an der Ressource befindet. Auch eine Weitergabe der Identifika¬ tion der Ressource an einen anderen Benutzer kann durch die zeitliche Begrenzung der Gültigkeit der Identifikation der Ressource erschwert sein. So kann auf verbesserte Weise si- chergestellt sein, dass die Ressource ausschließlich zur Be¬ nutzung von berechtigten Benutzern freigegeben wird. Storing the resource's identification for later use may thus result in a denial of access to the resource. This can ensure that the user is at the resource when the resource is released. Even a passing identifica ¬ tion of the resource to another user may be complicated by the time limit on the validity of the identification of the resource. It can be ensured in an improved manner that the resource will be released exclusively to Be ¬ use by authorized users.
In einer besonders bevorzugten Ausführungsform umfasst die Identifikation der Ressource den Ort der Ressource. Insbeson- dere kann die Ressource ortsfest sein, beispielsweise ein Raum oder eine Einrichtung eines Gebäudes. Die Angabe des Orts kann in die Identifikation der Ressource kodiert sein oder separat von einem eindeutigen Hinweis auf die Ressource erfolgen. In einer Ausführungsform ist der Ort der Ressource aus der eindeutigen Identifikation ableitbar. In a particularly preferred embodiment, the identification of the resource includes the location of the resource. In particular, the resource may be stationary, for example a room or a facility of a building. The indication of the location can be encoded in the identification of the resource or can be done separately from a clear reference to the resource. In one embodiment, the location of the resource is derivable from the unique identification.
In einer Ausführungsform umfasst die Identifikation der Ressource eine Adresse einer Instanz, wobei die Identifikationen der Ressource und des Benutzers durch die Instanz entgegen genommen werden. Die Instanz kann insbesondere eine zentrale Instanz, beispielsweise in Form eines Servers, sein, sodass unterschiedliche Ressourcen durch unterschiedliche zentrale Instanzen verwaltet werden können und eine Zuordnung der Instanz an die zu sichernde Ressource transparent vorgenommen werden kann. Eine Zuordnung einer Ressource zu einer Instanz kann dynamisch vorgenommen werden, ohne dass ein Benutzer dies erkennen muss, bzw. ohne dass der Benutzer seine Hand¬ lungsweise in irgendeiner Form ändern muss. Der Benutzer muss so die Adresse bzw. Bezeichnung der verwaltenden Instanz nicht kennen bzw. nicht selbst eingeben. In one embodiment, the identification of the resource includes an address of an instance, wherein the identifications of the resource and the user are received by the instance. In particular, the instance can be a central instance, for example in the form of a server, so that different resources can be managed by different central authorities and an assignment of the entity to the resource to be secured can be performed transparently. An assignment of a resource to an instance can be done dynamically without requiring a user to recognize this, and without requiring the user to change his hand ¬ development in any form. The user must so do not know the address or name of the managing instance or do not enter yourself.
In einer besonders bevorzugten Ausführungsform ist die Iden- tifikation der Ressource in eine Web-Adresse der Instanz eingebettet. Die Authentifikation kann somit erleichtert sein, da der Benutzer die Identifikation der Ressource nicht erst ablesen und eingeben muss, sondern automatisch zusammen mit der Adresse der Instanz erhält. Bevorzugterweise ist die Identifikation des Benutzers nicht ebenfalls als Argument in die Web-Adresse eingebettet sondern wird als Argument oder Parameter in die Web-Adresse der Instanz eingearbeitet. In a particularly preferred embodiment, the identification of the resource is embedded in a web address of the instance. The authentication can thus be facilitated since the user does not first have to read off and enter the identification of the resource, but automatically receives it together with the address of the instance. Preferably, the identification of the user is not also embedded as an argument in the web address but is incorporated as an argument or parameter in the web address of the instance.
In einer Ausführungsform wird die Identifikation der Ressour- ce in maschinenlesbarer, grafischer Form bereitgestellt. Dadurch kann die Aufnahme der Identifikation der Ressource beispielsweise mittels eines tragbaren Computers oder eines Te¬ lefons mit Zusatzfunktionen (Smartphone) durchgeführt werden, das eine optische Schnittstelle umfasst, ohne dass besondere Hardware oder proprietäre Software erforderlich wäre. In an¬ deren Ausführungsformen kann jedoch auch eine andere Übermittlung der Identifikation der Ressource erfolgen, beispielsweise mittels eines NFC- oder RFID-Tags. Bevorzugterweise umfasst die Identifikation des Benutzers ei¬ nen geheimen Code. Dadurch kann sich der Benutzer als rechtmäßiger Träger seiner Identifikation ausweisen. Eine Bindung der Identifikation des Benutzers an den Benutzer kann so verbessert werden. In einigen Ausführungsformen ist es möglich, dass die Identifikation des Benutzers mit oder ohne den ge¬ heimen Code in dem tragbaren Computer bzw. dem Smartphone zwischengespeichert ist. In diesem Fall kann eine Absicherung des Computers bzw. Smartphones gegenüber unberechtigter Benutzung mittels eines eigenen Passwortes bzw. geheimen Codes erfolgen. In noch einer weiteren Ausführungsform kann einIn one embodiment, the identification of the resources is provided in machine-readable, graphical form. Thereby, the recording of the identification of the resource, for example, by means of a portable computer or a Te ¬ phone with additional functions (smartphone) are performed, which includes an optical interface, without special hardware or proprietary software would be required. In ¬ other embodiments, however, another transmission of the identification of the resource can be done, for example by means of an NFC or RFID tags. Preferably includes the identification of the user ei ¬ NEN secret code. This allows the user to identify himself as the legitimate bearer of his identification. A binding of the identification of the user to the user can be improved. In some embodiments, it is possible that the identification of the user is stored with or without the ge ¬ heimen code in the portable computer or a smartphone. In this case, the computer or smartphone can be protected against unauthorized use by means of a separate password or secret code. In yet another embodiment, a
Passwort bzw. ein geheimer Code erforderlich sein, um den abgespeicherten Code freizugeben. Eine derartige Funktion kann beispielsweise von einem Browser auf dem Computer bzw. Smart- phone bereitgestellt sein. Password or a secret code may be required to release the stored code. Such a function can For example, be provided by a browser on the computer or smartphone.
Das Verfahren kann insbesondere zur Absicherung einer Res- source verwendet werden, die einen Abschnitt eines Gebäudes umfasst, beispielsweise einen Raum, einen Parkplatz, eine Einrichtung oder eine sonstige ortsfeste Installation. The method can be used, in particular, to secure a resource which comprises a section of a building, for example a room, a parking space, a device or another stationary installation.
Ein erfindungsgemäßes Computerprogrammprodukt umfasst Pro- grammcodemittel zur Durchführung des beschriebenen Verfahrens, wenn das Computerprogrammprodukt auf einer Ausführungs¬ einrichtung abläuft oder auf einem computerlesbaren Medium gespeichert ist. Ein erfindungsgemäßes System zur Sicherung des Zugriffs auf eine Ressource umfasst eine Ausgabeeinrichtung an der Res¬ source zur Bereitstellung einer Identifikation der Ressource, eine Instanz zur Entgegennahme der Identifikation der Ressource und einer Identifikation eines Benutzers, und eine Freigabeeinrichtung zur Freigabe der Ressource, falls der Be¬ nutzer berechtigt ist, auf die Ressource zuzugreifen. A computer program product according to the invention comprises program code means for carrying out the method described, when the computer program product runs on an execution device or is stored on a computer-readable medium. An inventive system for securing access to a resource comprises an output device at the Res ¬ source for providing an identification of the resource, an instance for receiving the identification of the resource, and an identification of a user, and a release device for release of the resource if the Be ¬ user is authorized to access the resource.
Das System kann insbesondere dazu verwendet werden, in einer vorhandenen Installation, beispielsweise einem Gebäude, einen personenbezogenen Zugriff auf einzelne Ressourcen zu erlauben . In particular, the system can be used to allow personal access to individual resources in an existing installation, for example a building.
In einer Ausführungsform umfasst die Instanz einen Speicher zur Ablage von Berechtigungen zum Zugriff auf mehrere Res- sourcen. Die Instanz kann insbesondere eine zentrale Instanz sein, mittels derer ein Zugriff durch einen oder mehrere Benutzer auf eine Vielzahl unterschiedlicher Ressourcen gesichert werden kann. Eine Pflege und Verwaltung von Berechti¬ gungen von Benutzern zur Benutzung der einzelnen Ressourcen kann so vereinfacht möglich sein. In one embodiment, the instance includes a memory for storing permissions for accessing multiple resources. In particular, the instance can be a central instance by means of which access by one or more users to a plurality of different resources can be secured. A maintenance and management of, justifying ¬ conditions of users on using the resource can be simplified possible.
Bevorzugterweise ist die Ausgabeeinrichtung dazu eingerichtet, eine maschinenlesbare, grafische Repräsentation der Identifikation bereitzustellen. Hierfür kann die Ausgabeeinrichtung insbesondere eine grafische Ausgabeeinrichtung umfassen. Die grafische Ausgabeeinrichtung unterstützt bevorzugterweise ein hohes Kontrastverhältnis und ist dazu einge- richtet, einen zweidimensionalen grafischen Code darzustellen. Dieser Code kann insbesondere einen QR-Code umfassen. Wie oben bereits beschrieben wurde, kann der der QR-Code ne¬ ben der Identifikation der Ressource noch weitere Informatio¬ nen tragen. Eine Handhabbarkeit und Bedienbarkeit des Systems können so erleichtert sein. Preferably, the output device is adapted to a machine-readable, graphical representation of To provide identification. For this purpose, the output device may in particular comprise a graphic output device. The graphical output device preferably supports a high contrast ratio and is designed to represent a two-dimensional graphic code. This code may in particular include a QR code. As described above, the QR code can still wear ne ¬ ben identifying the resource more Informatio ¬ nen. Handling and operability of the system can thus be facilitated.
In einer Ausführungsform umfasst das System ferner ein durch den Benutzer steuerbares Lesegerät mit einer Abtasteinrichtung zum Abtasten der Identifikation der Ressource, einer Eingabeeinrichtung zur Entgegennahme der Identifikation des Benutzers und eine Übermittlungseinrichtung zur Übermittlung der Identifikationen an die Instanz. In one embodiment, the system further comprises a user-controllable reader having a scanner for sensing the identification of the resource, an input device for receiving the user's identification, and a transmitter for communicating the identifications to the entity.
Ein derartiges Lesegerät kann insbesondere als tragbarer Com- puter oder Smartphone ausgebildet sein, wobei die Einrichtung zum Abtasten der Identifikation bevorzugterweise eine eingebaute optische Schnittstelle, insbesondere eine Kamera, um¬ fasst. So kann ein marktübliches Gerät dazu verwendet werden, das beschriebene System zur Zugriffssteuerung auf eine oder mehrere Ressourcen zu verwenden. Such a reader may be formed in particular as a portable computer or a smartphone Com-, wherein the means for sampling the identification preferably a built-in optical interface, in particular a camera ¬ sums. Thus, a commercially available device can be used to use the described system for access control to one or more resources.
Die beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden Beschreibung der Ausführungsbeispiele, die im Zusammenhang mit den Zeichnungen näher erläutert werden, wobei auf The described characteristics, features and advantages of this invention and the manner in which they are achieved will become clearer and more clearly understood in connection with the following description of the exemplary embodiments, which are explained in more detail in connection with the drawings
Figur 1 ein System zur Zugriffssteuerung; FIG. 1 shows a system for access control;
Figur 2 eine beispielhafte Identifikation der Ressource; Figur 3 eine Interpretation der Identifikation von Figur 2; Figur 4 eine beispielhafte Darstellung der Ausgabe der Identifikation von Figur 2, und Figur 5 ein Ablaufdiagramm eines Verfahrens zur Zugriffs¬ steuerung im System von Figur 1 darstellt . Figur 1 zeigt ein System 100 zur Zugriffssteuerung auf eine Ressource 105. Die Ressource 105 ist durch eine Tür symboli¬ siert, die einen Zugriff auf die Ressource 105 ermöglichen oder verwehren kann, wobei die Ressource 105 auch eine belie¬ bige andere, vorzugsweise ortsfeste Ressource sein kann, bei- spielsweise ein Raum oder eine Installation in einem Gebäude. An der Ressource 105 ist eine Freigabeeinrichtung 110 ange¬ bracht, mittels derer eine maschinengesteuerte Freigabe der Ressource 105 erfolgen kann. Die Freigabeeinrichtung 110 kann beispielsweise einen automatischen Türöffner, eine Schranke oder eine steuerbare Stromversorgung umfassen. FIG. 2 shows an exemplary identification of the resource; Figure 3 is an interpretation of the identification of Figure 2; Figure 4 is an exemplary representation of the output of the identification of Figure 2, and Figure 5 illustrates a flow chart of a method for access control ¬ in the system of FIG. 1 1 shows a system 100 for controlling access to a resource 105. The resource 105 is through a door symboli ¬ Siert that can allow or deny access to the resource 105, the resource 105 is also belie ¬ bige other, preferably stationary resource for example, a room or an installation in a building. On the resource 105, a release device is being introduced ¬ 110, by means of which can be effected 105 a machine-controlled release of the resource. The release device 110 may include, for example, an automatic door opener, a barrier, or a controllable power supply.
Im Bereich der Ressource 105 ist ferner eine Ausgabeeinrichtung 115 angebracht. Die Ausgabeeinrichtung 115 umfasst be¬ vorzugterweise eine grafische Ausgabeeinrichtung zur Darstel- lung eines zweidimensionalen, maschinenlesbaren Codes. DieIn the area of the resource 105, an output device 115 is further attached. The output device 115 includes ¬ be vorzugterweise a graphical output device for representation development of a two-dimensional machine-readable code. The
Ausgabeeinrichtung 115 ist in unmittelbarer Nähe der Ressource 105 ortsfest angebracht oder mit der Ressource 105 fest verbunden . Ferner ist eine Verarbeitungseinrichtung 120 vorgesehen, um die Ausgabeeinrichtung 115 anzusteuern. Insbesondere ist die Verarbeitungseinrichtung 120 dazu eingerichtet, auf der Aus¬ gabeeinrichtung 115 einen QR-Code („Quick Response Code") darzustellen, der wenigstens eine Identifikation der Ressour- ce 105 repräsentiert. Diese Identifikation kann beispielswei¬ se eine eindeutige Kennung (UID) der Ressource 105 umfassen. In einer Ausführungsform ist ein Zeitgeber 125 vorgesehen, der mit der Verarbeitungseinrichtung 120 verbunden ist. Auf der Basis einer Zeitinformation des Zeitgebers 125 kann ein Zeitstempel oder ein anderer Hinweis auf einen Erstellungs- Zeitpunkt des QR-Codes in den QR-Code aufgenommen werden. Da¬ bei erfolgt bevorzugterweise eine regelmäßige Erneuerung des dargestellten QR-Codes auf der Ausgabeeinrichtung 115. Die Erneuerung kann beispielsweise zeitgesteuert, ereignisgesteu¬ ert oder zufallsgesteuert erfolgen. In einer Ausführungsform kann eine Erneuerung des dargestellten QR-Codes auf der Ausgabeeinrichtung 115 etwa immer dann erfolgen, wenn ein Zugriffsversuch auf die Ressource 105 erfasst wurde. Output device 115 is attached in the immediate vicinity of the resource 105 fixed or firmly connected to the resource 105. Furthermore, a processing device 120 is provided to control the output device 115. In particular, the processing device 120 is configured to illustrate on the off ¬ display device 115 a QR code ( "quick response code"), which ce at least an identification of the resource represents the 105th This identification can beispielswei ¬ se a unique identifier (UID) of the resource 105. In one embodiment, a timer 125 is provided which is connected to the processing device 120. Based on a time information of the timer 125, a time stamp or other indication of a creation timing of the QR code may be included in the QR code. Since ¬ is carried out at preferably regular renewal of the displayed QR codes on the output device 115. The renewal, for example, time-controlled, carried ereignisgesteu ¬ ert or randomly. In one embodiment, renewal of the displayed QR code on the output device 115 may occur approximately whenever an access attempt to the resource 105 has been detected.
In einer anderen Ausführungsform kann der Zeitgeber 125 ent- fallen und die beschriebene Erzeugung und Erneuerung der Informationen des QR-Codes kann durch eine separate Instanz durchgeführt werden, wie unten genauer beschrieben wird. Dabei kann eine Umsetzung der durch die Instanz bereitgestellten Informationen in den QR-Code auch durch die Verarbei- tungseinrichtung 120 erfolgen. In another embodiment, the timer 125 may be omitted and the described generation and renewal of the information of the QR code may be performed by a separate entity, as described in more detail below. In this case, the information provided by the instance can also be converted into the QR code by the processing device 120.
Ein mobiles Lesegerät 130, das von einem Benutzer bedienbar ist, der Zugriff auf die Ressource 105 begehrt, umfasst eine Abtasteinrichtung 135, eine Eingabeeinrichtung 140 und eine Übermittlungseinrichtung 145. Das Lesegerät 130 ist in bevorzugterweise ein tragbarer Computer, ein Smartphone oder ein ähnliches Gerät. Die Abtasteinrichtung 135 umfasst im darge¬ stellten Beispiel eine Kamera zur Aufnahme des QR-Codes, der auf der Ausgabeeinrichtung 115 angezeigt wird. Die Eingabe- einrichtung 140 umfasst in beispielhafter Weise einen Touch- screen, auf dem der Benutzer Informationen eingeben und die Ausführung von Befehlen veranlassen kann. Die Übermittlungseinrichtung 145 umfasst eine drahtlose Schnittstelle, insbe¬ sondere eine WLAN- GSM- oder Bluetooth-Schnittstelle. Mittels der Übermittlungseinrichtung 145 kann eine Datenverbindung zu einer zentralen Instanz 150 hergestellt werden. Das Lesegerät 130 ist dazu eingerichtet, den QR-Code von der Ausgabeeinrichtung 115 abzutasten und zu erkennen, das heißt, die in den QR-Code encodierten Informationen zu extrahieren. Das Extrahieren kann beispielsweise auch eine Überprüfung von Datenkohärenz, ein Reparieren nicht erfasster oder beschädigter Teile des QR-Codes und eine Konsistenzprüfung der extra¬ hierten Informationen umfassen. Ferner kann über die Eingabeeinrichtung 140 eine Benutzeridentifikation eingegeben werden, die in Figur 1 exemplarisch einen Bezeichner 155 für den Benutzer sowie einen geheimen Code 160 umfasst. Wie später noch ausführlicher gezeigt werden wird, können der Bezeichner 155 und/oder der Code 160 von einem Browser verwaltet werden, der auf dem Lesegerät 130 abläuft. Die Instanz 150 umfasst eine Verarbeitungseinrichtung 165, die mit einer ersten Schnittstelle 170, einer zweiten A mobile reader 130 operable by a user seeking access to the resource 105 includes a scanner 135, an input device 140, and a transmitter 145. The reader 130 is preferably a portable computer, a smartphone, or similar device. The scanning device 135 comprises in Darge ¬ example presented a camera for receiving the QR code, which is displayed on the output device 115. The input device 140 illustratively includes a touch screen on which the user can enter information and initiate the execution of commands. The transmission device 145 includes a wireless interface, in particular ¬ sondere a wireless GSM or Bluetooth interface. By means of the transmission device 145, a data connection to a central entity 150 can be established. The reader 130 is configured to scan and recognize the QR code from the output device 115, that is to extract the information encoded into the QR code. The extraction may also include, for example, a check of data coherency, a repair of non-detected or damaged parts of the QR code and a consistency check of the extra ¬ hierten information. Furthermore, a user identification can be input via the input device 140, which in FIG. 1 comprises by way of example an identifier 155 for the user as well as a secret code 160. As will be shown in more detail later, the identifier 155 and / or the code 160 may be managed by a browser running on the reader 130. The instance 150 comprises a processing device 165, which has a first interface 170, a second interface 170
Schnittstelle 175, sowie bevorzugterweise einem Speicher 180 und ebenfalls bevorzugterweise mit einem Zeitgeber 185 ver¬ bunden ist. Die erste Schnittstelle 170 ist dazu eingerich- tet, eine Kommunikation mit der Übermittlungseinrichtung 145 des Lesegerätes 130 zu ermöglichen. Die zweite Schnittstelle 175 ist mit der Freigabeeinrichtung 110 verbunden. Durch eine entsprechende Ansteuerung durch die Verarbeitungseinrichtung 165 kann mittels der zweiten Schnittstelle 175 und der Frei- gabeeinrichtung 110 die Ressource 105 freigegeben werden. Interface 175, and preferably a memory 180 and also preferably with a timer 185 ver ¬ prevented. The first interface 170 is set up to enable communication with the transmission device 145 of the reading device 130. The second interface 175 is connected to the release device 110. By a corresponding activation by the processing device 165, the resource 105 can be released by means of the second interface 175 and the release device 110.
Der Speicher 180 nimmt eine oder mehrere Angaben auf, die ei¬ ne Berechtigung eines Benutzers zum Zugriff auf die Ressource 105 beschreiben. Jede dieser Angaben kann insbesondere die Ressource 105, einen oder mehrere Benutzer sowie einen Benut¬ zungszeitpunkt bzw. Benutzungszeitraum umfassen. Eine The memory 180 receives one or more pieces of information describing a user's authorization to access the resource 105. Each of this information may in particular comprise the resource 105, one or more users and a Benut ¬ wetting time point or period of use. A
Schnittstelle bzw. ein Terminal zum Verwalten der Berechti¬ gungen ist nicht in Figur 1 dargestellt. Der Zeitgeber 185 ist mit dem Zeitgeber 125 synchronisiert. So ist sichergestellt, dass eine Zeit, die in einen QR-Code hineincodiert ist, der auf der Ausgabeeinrichtung 115 darge¬ stellt, mittels der Abtasteinrichtung 135 aufgenommen und mittels der Übermittlungseinrichtung 145 sowie der ersten Schnittstelle 170 an die Verarbeitungseinrichtung 165 übermittelt wird, dort mit der korrekten zeitlichen Referenz versehen werden kann. Interface or a terminal for managing the conditions, justifying ¬ is not shown in FIG. 1 The timer 185 is synchronized with the timer 125. This ensures that a time which is encoded into a QR code that Darge ¬ is on the output device 115, and reduced by the scanning device 135 is transmitted by means of the transmission device 145 and the first interface 170 to the processing device 165, where it can be provided with the correct time reference.
In einer anderen Ausführungsform erfolgt die Codierung einer Zeit in den QR-Code seitens der zentralen Instanz 150. In diesem Fall ist der Zeitgeber 125 nicht erforderlich, wie oben bereits angedeutet wurde. In einer Ausführungsform kann auch die Verarbeitungseinrichtung 120 entfallen, wenn dieIn another embodiment, the coding of a time in the QR code by the central entity 150. In this case, the timer 125 is not required, as already indicated above. In one embodiment, the processing device 120 may be omitted if the
Ausgabeeinrichtung 115 durch die Verarbeitungseinrichtung 165 der zentralen Instanz 150 angesteuert wird. In diesem Fall kann die Ausgabeeinrichtung 115 mittels einer weiteren Output device 115 is controlled by the processing means 165 of the central entity 150. In this case, the output device 115 can by means of another
Schnittstelle mit der Verarbeitungseinrichtung 165 verbunden sein. Interface be connected to the processing device 165.
Damit ein Benutzer Zugriff auf die Ressource 105 erhält, be¬ gibt er sich zu der Ressource 105, wo die Ausgabeeinrichtung 115 angeordnet ist, und tastet den dort angezeigten QR-Code mittels des Lesegerätes 130 ab. Der QR-Code umfasst mindes¬ tens eine Identifikation der Ressource 105 und ist bevorzug¬ terweise zeitcodiert, das heißt, dass ein Hinweis auf die Er¬ stellungszeit des QR-Codes Teil des dargestellten Codes ist. Der abgetastete QR-Code wird im Lesegerät 130 auf bekannte Art und Weise decodiert. Ferner wird eine Identifikation des Benutzers, hier in Form des Bezeichners 155 und gegebenen¬ falls des Codes 160 im Lesegerät 130 bereitgestellt, übli¬ cherweise durch Eingabe durch den Benutzer. Die gesammelten Informationen werden dann mittels der Übermittlungseinrich- tung 145 an die zentrale Instanz 150 übermittelt. In order for a user to have access to the resource 105, he ¬ be to the resource 105, where the output device 115 is arranged, and scans the displayed there QR code by means of the reader 130. The QR code includes Minim ¬ least an identification of the resource 105 and is time-coded Favor ¬ ingly, that is, an indication of the position he ¬ time of the QR code is part of the code shown. The scanned QR code is decoded in reader 130 in a known manner. Furthermore, an identification of the user, here in the form of the identifier is ¬ if the code provided 155 and 160 given in the reader 130, übli ¬ cherweise by entering by the user. The collected information is then transmitted to the central entity 150 by means of the transmission device 145.
Die zentrale Instanz 150 kann zunächst eine Überprüfung vor¬ nehmen, ob der verwendete QR-Code noch gültig ist. Dazu kann der Hinweis auf die Erstellungszeit des QR-Codes ausgewertet und mit einer aktuellen Zeit verglichen werden. Ist der verwendete QR-Code veraltet, so kann die Freigabe der Ressource 105 verweigert werden. In einer Ausführungsform kann eine Anzahl zurückliegender QR-Codes seitens der zentralen Instanz 150 bekannt sein und alle QR-Codes, deren Erstellungszeit vor der des QR-Codes liegt, der beispielsweise vor zwei Erneue¬ rungen aktuell war, kann verworfen werden. Dort wird überprüft, ob eine Berechtigung des Benutzers, der durch den Bezeichner 155 und gegebenenfalls durch den Code 160 identifizierbar ist, zum aktuellen Zeitpunkt zur Benutzung der Ressource 105 vorliegt. Diese Überprüfung erfolgt durch Vergleich mit einer Berechtigung im Speicher 180. Ist der Benutzer berechtigt, so veranlasst die zentrale Instanz 150 mittels der zweiten Schnittstelle 175 und der Freigabe¬ einrichtung 110 die Freigabe der Ressource 105. The central entity 150 can first take an examination before ¬ whether the QR-code used is still valid. For this purpose, the reference to the creation time of the QR code can be evaluated and compared with a current time. If the QR code used is outdated, the release of the resource 105 can be denied. In one embodiment, a number of past QR codes may be provided by the central entity 150 be known and all QR codes whose creation time is before the QR code, which was current, for example, before two renewal ¬ ments, can be discarded. There it is checked whether an authorization of the user, who is identifiable by the identifier 155 and optionally by the code 160, is presently available for the use of the resource 105. This check is made by comparison with an authorization in the memory 180. If the user is authorized, then the central entity 150 initiates the release of the resource 105 by means of the second interface 175 and the release device 110.
Figur 2 zeigt eine beispielhafte Identifikation 200 der Res- source 105 aus Figur 1. In der dargestellten, bevorzugtenFIG. 2 shows an exemplary identification 200 of the resource 105 from FIG. 1. In the illustrated preferred embodiment
Ausführungsform ist die Identifikation 200 als QR-Code ausgeführt und repräsentiert eine Web-Adresse 205, die beispiels¬ weise mittels eines Browsers durch das Lesegerät 130 ange¬ wählt werden kann. Die Web-Adresse 205 umfasst wenigstens ei- ne UID 210, welche die Ressource identifiziert. Bevorzugter¬ weise ist in der UID 210 auch ein Hinweis auf die Erstel¬ lungszeit der Identifikation 200 enthalten. Dies kann insbesondere auf eine nicht offensichtliche Weise erfolgen, sodass die Zeitinformation nicht getrennt von dem Hinweis auf die Ressource 105 erkennbar bzw. manipulierbar ist. Bevorzugterweise kann dabei ein kryptografisches Verfahren, beispiels¬ weise eine Hashfunktion verwendet werden. Die Hashfunktion kann auf einem geheimen Schlüssel des Elements beruhen, das die Identifikation 200 erstellt. Optional umfasst die Web- Adresse 205 einen Ort 215 der Ressource 105. Dies ist insbe¬ sondere dann sinnvoll, wenn der Ort der Ressource 105 nicht allein durch Auswertung der UID 210, etwa anhand einer Tabelle, feststellbar ist. Figur 3 zeigt eine Interpretation 300 der Web-Adresse 205 aus Figur 2. In der dargestellten Ausführungsform umfasst der QR- Code eine Web-Adresse 305, die zusätzlich zu den Feldern 210 und gegebenenfalls 215 aus Figur 2 eine Serveradresse 310 um- fasst, die auf die Zentrale Instanz 150 hinweist. In der Dar¬ stellung von Figur 3 ist gegebenenfalls die Zeit, zu der der interpretierte QR-Code erstellt wurde, im Datenbereich des Feldes 210 codiert. Embodiment, the identification 200 is embodied as a QR code and represents a web address 205, which can be ¬ example by means of a browser by the reader 130 ¬ selected. Web address 205 includes at least one UID 210 identifying the resource. Preferred ¬ example is in the UID 210, a Note containing the Erstel ¬ averaging time of identification 200th This may in particular be done in a non-obvious way, so that the time information can not be recognized or manipulated separately from the reference to the resource 105. Preferably, a cryptographic procedure here, example ¬ as a hash function can be used. The hash function may be based on a secret key of the item that created the identifier 200. Optional 205 includes the web address of a location 215 of the resource 105. This is in particular ¬ sondere useful if the location of the resource 105, not only by evaluating the UID 210, for example based on a table that is detectable. FIG. 3 shows an interpretation 300 of the web address 205 of FIG. 2. In the illustrated embodiment, the QR code comprises a web address 305 which, in addition to the fields 210 and optionally 215 of FIG. that points to the Central Instance 150. In the Dar ¬ position of Figure 3 is given if the time at which the interpreted QR code has been created, encoded in the data area of the field 210th
Die dargestellte Interpretation 300 des QR-Codes, der auf der Ausgabeeinrichtung 115 aus Figur 1 dargestellt werden kann, umfasst in bekannter Weise eine Web-Adresse 305, die automa¬ tisch durch einen Browser des Lesegerätes 130 kontaktiert werden kann, nachdem mittels der Abtasteinrichtung 135 der auf der Anzeigeeinrichtung 115 dargestellte QR-Code abgetas¬ tet wurde. In einer Ausführungsform antwortet die zentrale Instanz 150 mit einer Aufforderung, beispielsweise in Form eines Web-Formulars, zur Angabe einer Identifikation des Be- nutzers, beispielsweise in Form des Bezeichners 155 und gege¬ benenfalls des Codes 160. In einer anderen Ausführungsform kann das Lesegerät dazu eingerichtet sein, die Identifikation des Benutzers zu erfragen bzw. zu übernehmen, bevor die Anfrage an die zentrale Instanz 150 abgeschickt wird. In be- kannter Weise können der Browser des Lesegerätes 130 oder das Lesegerät 130 selbst den Bezeichner 155 und/oder den Code 160 nach einer erstmaligen Eingabe lokal speichern und dem Benutzer zur Übernahme anbieten oder ohne Rückfrage weiterverwenden . The interpretation represented 300 of the QR code, which can be represented on the output device 115 of Figure 1 comprises in known manner a web address 305 may be automatic ¬ table contacted by a browser of the reader 130 after using the scanner 135 the one shown on the display device 115 QR code abgetas ¬ tet was. In one embodiment, the central entity 150 responds with a prompt, for example in the form of a web form, indicating an identification of loading user, for example in the form of the identifier 155 and, where ¬ appropriate, the code 160. In another embodiment, the reader be configured to request or accept the identification of the user before the request is sent to the central entity 150. As is known, the browser of the reading device 130 or the reading device 130 itself can store the identifier 155 and / or the code 160 locally after a first input and offer it to the user for acceptance or continue to use without further inquiry.
Figur 4 zeigt eine beispielhafte Darstellung der Ausgabe der Identifikation 200 der Ressource 105 von Figur 2 auf der Ausgabeeinrichtung 115. Als einziges verpflichtendes Element ist auf der Anzeige 115 ein QR-Code 405 angezeigt, wie er oben bereits diskutiert wurde, alle anderen Elemente sind optio¬ nal. Eine Zugangsplanung 410 kann bereitgestellt sein, um Aufschluss darüber zu geben, welcher bzw. welche Benutzer gegenwärtig oder zum nächsten vergebenen Zeitpunkt dazu berechtigt bzw. dazu vorgesehen sind, auf die Ressource 105 zu- zugreifen. Diese Informationen können insbesondere einen Namen bzw. einen Bezeichner 155 eines Benutzers und einen Benutzungszeitraum umfassen. Ferner können Nutzungshinweise 415 gegeben sein. Die Nut¬ zungshinweise können beispielsweise erläutern, wie mit dem Lesegerät zu verfahren ist, um Zugang zu der Ressource 105 zu erlangen. In einer weiteren Ausführungsform können in einem der optionalen Felder, beispielsweise dem der Nutzungshinwei¬ se 415, genauere Informationen angegeben werden, falls ein Authentisierungsversuch eines Benutzers scheitert. Diese In¬ formationen können beispielsweise die Identifikation 210 der Ressource 105 in einer durch den Benutzer lesbaren Form um- fassen. Dadurch ist eine manuelle Eingabe der Identifikation 210 durch den Benutzer in das Lesegerät 130 möglich, sodass die Freigabe der Ressource 105 auch dann erfolgen kann, wenn beispielsweise der QR-Code, der auf der Ausgabeeinrichtung 115 dargestellt wird, nicht oder nicht fehlerfrei erkannt werden kann. FIG. 4 shows an exemplary representation of the output of the identification 200 of the resource 105 of FIG. 2 on the output device 115. The only mandatory element displayed on the display 115 is a QR code 405, as already discussed above, all other elements are optio ¬ nal. An access plan 410 may be provided to provide information about which user (s) are currently or at the next allocated time authorized to access the resource 105. In particular, this information may include a name or identifier 155 of a user and a usage period. Furthermore, usage instructions 415 may be given. The groove ¬ Zung notes, for example, explain how to deal with the reader to gain access to the resource 105th In another embodiment, for example, where the Nutzungshinwei ¬ se 415, more information can be specified in one of the optional fields, if an authentication attempt by a user fails. This information can, for example, include the identification 210 of the resource 105 in a form that can be read by the user. As a result, a manual input of the identification 210 by the user into the reading device 130 is possible, so that the release of the resource 105 can take place even if, for example, the QR code which is displayed on the output device 115 can not be recognized or can not be recognized without error ,
Ferner kann eine Ortsinformation 420 der Ressource 105 angegeben sein. Die Ortsinformation 420 kann beispielsweise eine Raumnummer oder eine ähnliche Bezeichnung umfassen. Furthermore, location information 420 of resource 105 may be indicated. The location information 420 may include, for example, a room number or a similar name.
Figur 5 zeigt ein Ablaufdiagramm eines Verfahrens 500 zur Zu¬ griffssteuerung im System 100 von Figur 1. Die in Figur 5 dargestellten Schritte sind zur verbesserten Darstellung in drei Spalten angeordnet, wobei die linke Spalte Operationen kennzeichnet, die im Allgemeinen durch die Verarbeitungseinrichtung 120 im Bereich der Ressource 105 durchgeführt wer¬ den, die mittlere Spalte Operationen kennzeichnet, die übli¬ cherweise durch das Lesegerät 130 gekennzeichnet ausgeführt werden, und die rechte Spalte Operationen, die im Allgemeinen durch die zentrale Instanz 150 ausgeführt werden. 5 shows a flowchart of a method 500 for to ¬ grip control in the system 100 of Figure 1. The steps shown in Figure 5 are arranged to improve the presentation in three columns, the left column indicates operations generally by the processing means 120 in the region the resource 105 performed the ¬, the middle column indicates operations that are performed übli ¬ cherweise characterized by the reader 130, and the right column operations are generally carried out by the central entity 150th
In einem ersten Schritt 505 werden eine oder mehrere Berechtigungen definiert, die angeben, welcher bzw. welche Benutzer zu einem vorbestimmten Zeitpunkt bzw. in einem Zeitintervall dazu berechtigt sind, auf eine Ressource 105 zuzugreifen. Je¬ de Berechtigung umfasst üblicherweise die Identifikation der Ressource 105, eine Identifikation 155 jedes Benutzers sowie einen Zeitpunkt bzw. eine Zeitspanne, zu der die Berechtigung gültig ist. In a first step 505, one or more permissions are defined indicating which user (s) are authorized to access a resource 105 at a predetermined time or interval. Depending ¬ de authorization typically comprises the identification of the resource 105, an ID 155 of each user, and a time or period when the authorization is valid.
In einem Schritt 510 wird die Identifikation 210 der Ressour- ce 105 auf der Ausgabeeinrichtung 115 dargestellt. Dazu wird bevorzugterweise die Identifikation 210 individualisiert, das heißt, von einem Zeitpunkt der Erstellung des QR-Codes abhängig gemacht. Dies kann alternativ seitens der Verarbeitungs¬ einrichtung 120 im Bereich der Ressource 105, oder durch die Verarbeitungseinrichtung 165 der zentralen Instanz 150 erfolgen. Der Schritt 510 wird vorzugsweise in regelmäßigen Intervallen durchgeführt. Beispielsweise kann eine zeitgesteuerte, periodische Aktualisierung der dargestellten, individualisierten UID 210 erfolgen. In anderen Ausführungsformen kann die Aktualisierung auch zufallsgesteuert oder ereignisgesteu¬ ert erfolgen. In a step 510, the identification 210 of the resource 105 is displayed on the output device 115. For this purpose, the identification 210 is preferably individualized, that is, made dependent on a time of creation of the QR code. This can be done alternatively by the processing ¬ device 120 in the region of the resource 105, or by the processing means 165 of the central entity 150th Step 510 is preferably performed at regular intervals. For example, a time-controlled, periodic updating of the illustrated, individualized UID 210 can take place. In other embodiments, the update can also be done randomly or ereignisgesteu ¬ ert.
In einem Schritt 515 wird die Identifikation der Ressource 105 hier beispielhaft anhand der Web-Adresse 205, von der Ausgabeeinrichtung 115 abgetastet. In einem anschließenden Schritt 520 wird aus den abgetasteten Informationen die UID 210 extrahiert. In a step 515, the identification of the resource 105 is scanned here by the output device 115 by way of example on the basis of the web address 205. In a subsequent step 520, the UID 210 is extracted from the sampled information.
In einer Ausführungsform erfolgt nun in einem Schritt 525 un- mittelbar bzw. nach Bestätigung durch einen Benutzer eineIn one embodiment, a step 525 immediately or after confirmation by a user now takes place
Übermittlung der bestimmten Identifikation der Ressource 105 an die zentrale Instanz 150. Dabei ist die Adresse der zent¬ ralen Instanz 150, wie oben mit Bezug auf die Figuren 2 und 3 erläutert wurde, in bevorzugter Weise automatisch aus dem QR- Code extrahiert worden. In diesem Fall antwortet die zentrale Instanz 150 üblicher Weise mit einer Aufforderung zur Eingabe der Identifikation des Benutzers, beispielsweise in Form des Bezeichners 155 und gegebenenfalls des Codes 160. Die Über¬ mittlung der Identifikation des Benutzers erfolgt dann in ei- nem Schritt 530. Transmitting the specific identification of the resource 105 to the central body 150. Here, the address of the central ¬ eral instance 150, as explained above with reference to Figures 2 and 3, was automatically extracted in a preferred manner from the QR code. In this case, the central authority responds 150 usual manner with a request to enter the identification of the user, for example in the form of the identifier 155 and, where appropriate, code 160. About ¬ mediation of user identification is then in egg nem step 530th
In einer anderen Ausführungsform wird die Identifikation des Benutzers automatisch oder nach Freigabe durch den Benutzer an die extrahierte Web-Adresse 305 angehängt bzw. in diese hineincodiert, bevor die Anfrage an die zentrale Instanz 150 abgeschickt wird. In beiden Fällen werden die Identifikationen der RessourceIn another embodiment, the identification of the user is automatic or upon approval by the user is appended to or encoded into the extracted web address 305 before the request is sent to the central entity 150. In both cases, the identifications of the resource
105 und des Benutzers in einem Schritt 535 durch die zentrale Instanz 150 entgegen genommen. 105 and the user in a step 535 by the central entity 150 received.
In einem folgenden Schritt 540 werden die entgegen genommenen Identifikationen überprüft, indem sie mit Berechtigungen verglichen werden, die beispielsweise im Speicher 180 der zentralen Instanz 150 abgelegt sind. Wird dabei eine Übereinstim¬ mung festgestellt, so kann in einem Schritt 545 eine Freigabe der Ressource 105, beispielsweise mittels der Freigabeein- richtung 110, durch die zentrale Instanz 150 erfolgen. In a following step 540, the accepted identifications are checked by comparing them with authorizations stored, for example, in the memory 180 of the central instance 150. In a step 545, a Convention Stim ¬ mung detected thereby, then a release of the resource 105, for example by means of Freigabeein- direction 110, carried by the central entity 150th
Dabei kann im Schritt 540 auch überprüft werden, ob die Iden¬ tifikation der Ressource ihre zeitliche Gültigkeit über¬ schritten hat, indem ein zeitlicher Hinweis aus der Identifi- kation bestimmt und mit einer aktuellen Zeit auf der Basis des Zeitgebers 185 verglichen wird. Unterscheidet sich der Hinweis um mehr als ein vorbestimmtes Maß von der aktuellen Zeit, so wird eine Ungültigkeit der Identifikation bestimmt und die Freigabe der Ressource 105 wird verweigert. It can also be checked in step 540 whether the Ides ¬ fication of the resource has its temporal validity over ¬ exceeded by a time indication from the identifi- cation is determined and is compared with a current time based on the timer 185th If the indication differs by more than a predetermined amount from the current time, an invalidation of the identification is determined and the release of the resource 105 is denied.
In einer alternativen Ausführungsform besteht nur eine implizite zeitliche Codierung der Identifikation. Dabei sind seitens der zentralen Instanz 150 eine oder mehrere zeitlich aufeinander folgende Identifikationen der Ressource 105 be- kannt . Dazu werden erstellte Identifikationen zwischen der zentralen Instanz 150 und der Verarbeitungseinrichtung 120 entsprechend ausgetauscht. Die Identifikationen können in diesem Fall zufällige bzw. pseudo-zufällige Zeichenketten oh¬ ne weiteren decodierbaren Informationsgehalt umfassen. Mit Bekanntwerden einer neuen Identifikation seitens der zentralen Instanz 150 wird die älteste bekannte Identifikation verworfen. Entspricht die empfangende Identifikation nicht einer der bekannten, nicht verworfenen Identifikationen, so wird wieder eine Ungültigkeit der Identifikation bestimmt und die Freigabe der Ressource 105 wird verweigert. In an alternative embodiment, there is only one implicit temporal coding of the identification. In this case, one or more temporally successive identifications of the resource 105 are known by the central entity 150. For this purpose, created identifications between the central entity 150 and the processing device 120 are exchanged accordingly. In this case, the identifications can include random or pseudo-random character strings without further decodable information content. Upon becoming aware of a new identification by the central entity 150, the oldest known identification is discarded. If the receiving identification does not correspond to one of the known, not discarded identifications, then again, an invalidation of the identification is determined and the release of the resource 105 is denied.
Obwohl die Erfindung im Detail durch das bevorzugte Ausfüh- rungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele einge¬ schränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen . Although the invention in detail has been illustrated approximately example in more detail by the preferred execution and described, the invention is not ¬ limited by the disclosed examples and other variations can be derived by those skilled thereof, without departing from the scope of the invention.

Claims

Patentansprüche 1. Verfahren (500) zur Zugriffssteuerung auf eine Ressource (105), folgende Schritte umfassend: Claims 1. A method (500) for controlling access to a resource (105), comprising the steps of:
Bereitstellen (510) einer Identifikation (210) der Ressource an der Ressource (105),  Providing (510) an identification (210) of the resource at the resource (105),
Entgegennehmen (535) der Identifikation (210) der Res- source (210) und einer Identifikation (155) eines Be¬ nutzers, und Accepting (535) the identification (210) of the resource (210) and an identification (155) of a Be ¬ user, and
Freigeben (545) des Zugriffs, falls der Benutzer be¬ rechtigt ist, auf die Ressource (105) zuzugreifen. Releasing (545) the access, if the user is ¬ be entitled to access the resource (105).
2. Verfahren (500) nach Anspruch 1, wobei die Identifikation (210) der Ressource regelmäßig erneuert (510) wird und einen Hinweis umfasst, der auf ein zeitabhängiges Gültig¬ keitsende der Identifikation rückschließen lässt. 2. The method (500) according to claim 1, wherein said identification (210) of the resource regularly renewed (510) and comprises an indication, which can infer a time-dependent Valid ¬ keitsende of identification.
3. Verfahren (500) nach Anspruch 1 oder 2, wobei die Identifikation (210) der Ressource den Ort (215) der Ressource umfasst . The method (500) of claim 1 or 2, wherein the resource identification (210) comprises the location (215) of the resource.
4. Verfahren (500) nach einem der vorangehenden Ansprüche, wobei die Identifikation (210) der Ressource eine AdresseThe method (500) of one of the preceding claims, wherein the identification (210) of the resource is an address
(310) einer Instanz (150) umfasst und die Identifikatio¬ nen der Ressource (210) und des Benutzers (155) durch die Instanz (150) entgegengenommen werden. (310) an instance (150) and the ID Case ¬ NEN of the resource (210) and the user (155) by the instance (150) are received.
5. Verfahren (500) nach Anspruch 4, wobei die Identifikation (210) der Ressource in eine Web-Adresse (305) der Instanz (105) eingebettet ist. The method (500) of claim 4, wherein the resource identification (210) is embedded in a web address (305) of the entity (105).
6. Verfahren (500) nach einem der vorangehenden Ansprüche, wobei die Identifikation (210) der Ressource in maschinenlesbarer, graphischer Form bereitgestellt (510) wird. A method (500) according to any one of the preceding claims, wherein the identification (210) of the resource is provided in machine readable, graphical form (510).
7. Verfahren (500) nach einem der vorangehenden Ansprüche, wobei die Identifikation (155) des Benutzers einen gehei¬ men Code (160) umfasst. 7. The method (500) according to any one of the preceding claims, wherein said identification (155) of the user comprises a behest ¬ men code (160).
8. Verfahren (500) nach einem der vorangehenden Ansprüche, wobei die Ressource (105) einen Abschnitt eines Gebäudes umfasst . The method (500) of any one of the preceding claims, wherein the resource (105) comprises a portion of a building.
9. Computerprogrammprodukt mit Programmcodemitteln zur 9. Computer program product with program code means for
Durchführung des Verfahrens (500) nach einem der vorange¬ henden Ansprüche, wenn das Computerprogrammprodukt auf einer Ausführungseinrichtung (120, 165) abläuft oder auf einem computerlesbaren Medium gespeichert ist. Carrying out the method (500) according to one of vorange ¬ Henden claims, when the computer program product runs on an execution means (120, 165) or stored on a computer readable medium.
10. System (100) zur Sicherung des Zugriffs auf eine Ressour¬ ce (105), wobei das System (105) folgendes umfasst: 10. System (100) for securing the access to a Resource ¬ ce (105), said system (105) comprises:
eine Ausgabeeinrichtung (115) an der Ressource (105) zur Bereitstellung einer Identifikation (210) der Ressource ;  an output device (115) at the resource (105) for providing an identification (210) of the resource;
- eine Instanz (150) zur Entgegennahme der Identifikati¬ on (210) der Ressource und einer Identifikation (155) eines Benutzers, und - an instance (150) for receiving the ID Case ¬ one (210) of the resource, and an identification (155) of a user, and
eine Freigabeeinrichtung (120) zur Freigabe der Ressource (105), falls der Benutzer berechtigt ist, auf die Ressource (105) zuzugreifen.  a release device (120) for releasing the resource (105) if the user is authorized to access the resource (105).
11. System (100) nach Anspruch 10, wobei die Instanz (150) einen Speicher (180) zur Ablage von Berechtigungen zum Zugriff auf mehrere Ressourcen (105) umfasst. The system (100) of claim 10, wherein the entity (150) comprises a memory (180) for storing permissions to access multiple resources (105).
12. System (100) nach Anspruch 10 oder 11, wobei die Ausgabeeinrichtung (115) dazu eingerichtet ist, eine maschinen¬ lesbare, graphische Repräsentation (405) der Identifika¬ tion (210) bereitzustellen. 12. System (100) according to claim 10 or 11, wherein said output means (115) is adapted to a machine-readable ¬, graphical representation (405) of the identifica tion ¬ (210) provide.
13. System (100) nach einem der Ansprüche 10 bis 12, ferner umfassend ein durch den Benutzer steuerbares Lesegerät (130) mit: einer Abtasteinrichtung (135) zum Abtasten der Identifikation (210) der Ressource; The system (100) of any of claims 10 to 12, further comprising a user-controllable reader (130) having: a scanner (135) for sampling the identification (210) of the resource;
einer Eingabeeinrichtung (140) zur Entgegennahme der Identifikation (155) des Benutzers, und  an input device (140) for accepting the identification (155) of the user, and
- einer Übermittlungseinrichtung (145) zur Übermittlung der Identifikationen (155, 210) an die Instanz (150) . - A transmission device (145) for transmitting the identifications (155, 210) to the entity (150).
PCT/EP2012/075361 2012-01-25 2012-12-13 Access control WO2013110407A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102012201040.8 2012-01-25
DE102012201040 2012-01-25

Publications (1)

Publication Number Publication Date
WO2013110407A1 true WO2013110407A1 (en) 2013-08-01

Family

ID=47561546

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2012/075361 WO2013110407A1 (en) 2012-01-25 2012-12-13 Access control

Country Status (1)

Country Link
WO (1) WO2013110407A1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105612775A (en) * 2013-08-05 2016-05-25 Nextek电力系统公司 Method of and system for authenticating a user to operate an electrical device
US9614849B2 (en) 2010-11-25 2017-04-04 Ensygnia Ip Ltd (Eipl) Handling encoded information
EP3584769A1 (en) * 2018-06-20 2019-12-25 Detec AS Improved access control system and a method thereof controlling access of persons into restricted areas

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090324025A1 (en) * 2008-04-15 2009-12-31 Sony Ericsson Mobile Communicatoins AB Physical Access Control Using Dynamic Inputs from a Portable Communications Device
US20100005156A1 (en) * 2006-10-06 2010-01-07 Philip Wesby System and method for data acquisition and process and processing
EP2166697A1 (en) * 2008-09-17 2010-03-24 GMV Soluciones Globales Internet S.A. Method and system for authenticating a user by means of a mobile device
GB2481663A (en) * 2010-11-25 2012-01-04 Richard H Harris Handling encoded information and identifying user

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100005156A1 (en) * 2006-10-06 2010-01-07 Philip Wesby System and method for data acquisition and process and processing
US20090324025A1 (en) * 2008-04-15 2009-12-31 Sony Ericsson Mobile Communicatoins AB Physical Access Control Using Dynamic Inputs from a Portable Communications Device
EP2166697A1 (en) * 2008-09-17 2010-03-24 GMV Soluciones Globales Internet S.A. Method and system for authenticating a user by means of a mobile device
GB2481663A (en) * 2010-11-25 2012-01-04 Richard H Harris Handling encoded information and identifying user

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9614849B2 (en) 2010-11-25 2017-04-04 Ensygnia Ip Ltd (Eipl) Handling encoded information
US10530769B2 (en) 2010-11-25 2020-01-07 Ensygnia Ip Ltd (Eipl) Handling encoded information
US11146561B2 (en) 2010-11-25 2021-10-12 Ensygnia Ip Ltd (Eipl) Handling encoded information
CN105612775A (en) * 2013-08-05 2016-05-25 Nextek电力系统公司 Method of and system for authenticating a user to operate an electrical device
JP2016534445A (en) * 2013-08-05 2016-11-04 ネクステック パワー システムズ インコーポレイテッド Method and system for authenticating a user to operate an electronic device
EP3030999A4 (en) * 2013-08-05 2017-03-08 Nextek Power Systems, Inc. Method of and system for authenticating a user to operate an electrical device
CN105612775B (en) * 2013-08-05 2019-04-30 Nextek电力系统公司 User is verified to operate electric device
EP3584769A1 (en) * 2018-06-20 2019-12-25 Detec AS Improved access control system and a method thereof controlling access of persons into restricted areas
WO2019245383A1 (en) * 2018-06-20 2019-12-26 Detec As Improved access control system and a method thereof controlling access of persons into restricted areas
EP3811339A4 (en) * 2018-06-20 2022-06-01 Detec AS Improved access control system and a method thereof controlling access of persons into restricted areas

Similar Documents

Publication Publication Date Title
EP2898483B1 (en) Method and system for the configuration of small locking systems
DE102018007534A1 (en) Time-bound secure access
EP2777309B1 (en) Method and system for enabling a technical apparatus
DE102014101495B4 (en) Method of access to a physically secure rack and computer network infrastructure
WO2016128446A1 (en) Computer-implemented method for access control
EP2646940B1 (en) Method for displaying readable contents on a mobile reading device in a location-restricted manner
EP3215974B1 (en) Method for providing an access code in a portable device, and portable device
EP2820587B1 (en) Method for controlling access to a computer using a mobile terminal
EP2732398B1 (en) Method for operating a network device
WO2013110407A1 (en) Access control
EP3254432B1 (en) Method for authorization management in an arrangement having multiple computer systems
IT201900011634A1 (en) Access release system of a structure and associated method
EP3657750B1 (en) Method for the authentication of a pair of data glasses in a data network
WO2017032452A1 (en) Transaction system
WO2016173994A1 (en) Method for generating an electronic signature
DE102013001733A1 (en) Method for accessing a service of a server via an application of a terminal
WO2014124765A1 (en) Device and method for the secure management of access codes
EP3300037B1 (en) Access management device, device for evaluating access information and method for access management
DE102017000514B3 (en) DEVICES, SYSTEMS AND METHOD FOR UNLOCKING A LOCK OF A LOCK SYSTEM
DE102007053736A1 (en) Authentication method for authentication of persons upon usage of services, involves generating authentication code and information is provided about authentication code to user
EP3312753B1 (en) Physical security element for resetting a password
DE102012006013A1 (en) Access control of a door communication device or building system technology device
WO2017032453A1 (en) Management, authentication and activation of a data carrier
DE202020101289U1 (en) Non-transferable identification system with two-dimensional encryption code
DE102022114588A1 (en) Method and system for authenticating a person

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12816035

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 12816035

Country of ref document: EP

Kind code of ref document: A1