[发明专利]用于授予访问权限的方法

说明书

本发明公开了用于授予对受保护对象的访问权限的方法。首先，在受信任的中央管理装置中生成第一级别的数据包，第一级别的数据包包含第一身份识别标识(ID_A)、具有对受保护的设备的访问权限的第一数据集(Perm_1)以及用于加密和签名的第一数据密码(Key_A)。在能移动的第一通信设备中创建以第一数据密码签名的第二级别的数据包，并且第二级别的数据包包含唯一的身份识别标识(ID_B)、参考数据(Ref_A)、具有访问权限的第二数据集(Perm_2)、用于加密的第二数据密码(Key_B)和以第一数据密码(Key_A)加密的第一数据容器，第一数据容器包含第一身份识别标识(ID_A)和第二数据密码(Key_B)。被签名的第二级别的数据包被发送给第二使用者的能移动的第二通信设备。

技术领域

本发明涉及一种用于授予对受保护对象的访问权限的方法。尤其地，本发明涉及一种方法，其中，将关于受保护对象的属于个人的访问特权分配给个人的能移动的通信设备，并且由这些个人从他们的能移动的通信设备转发(授予)给其他个人的能移动的通信设备。

背景技术

在许多技术领域中存在对访问权限或使用权限的管理。例如，在管理进入计算机系统中的访问特权中存在复杂的权限等级结构和架构。在那里，给通过例如隐秘的标识或生物统计学的数据来相对于计算机系统进行自身身份识别的个人授予对计算机系统的服务或数据的访问。如果指定的权限或特权不足以执行由个人所请求的操作，则通过技术上的措施阻止执行。

在本技术的其他的领域中公知有锁系统，其中，为进行访问查验，由个人携带锁器件并且进行身份识别以便访问功能，例如访问某一区域。这可以例如是具有电子通信部件的车辆钥匙或用于访问系统的钥匙卡。在属于个人的车辆使用领域中，例如可以在此提及无钥匙进入和无钥匙启动系统。在这些系统中，使用者随身携带被称为ID发送器的车钥匙。该ID发送器包含被编码的信息，这些信息将ID发送器的携带者的权力相对于车辆确认合法以便实施功能。这种ID发送器可以容易地被转发给其他的个人，从而使其他的个人也可以使用该ID发送器来调用并操纵车辆功能。

此外公知的是，不仅使用随车辆交付的电子ID发送器，而且使用其他的电子装置作为用于访问车辆并且触发车辆功能的确认合法器件。例如，US 2013/0259232 A1描述了一种用于将能移动电话与车辆关联或配对的系统，以便可以利用能移动电话来驱控车辆功能。

DE 10 2011 078 018 A1描述了一种用于实施车辆功能的系统，其中，远程信息处理中心实施与车辆的其中一部分的通信。

由EP 1 910 134 B1公知有一种具有中央管理装置的系统，中央管理装置将数据包作为密钥分配给能移动访问装置。

最后，WO 2015/176826公开了一种用于对权限进行管理和配属的系统，其中，中央管理单元不仅与能移动通信设备连接而且与受保护对象内的控制装置连接，并且协调访问权限的分配。

但是，所公知的方法仍没有以令人满意的程度充分利用访问权力的非实体性的优点。在车辆钥匙的情况中，钥匙的转发始终也意味着交出，而理论上从第一被授权者的能移动通信设备到第二被授权者的能移动通信设备的访问权限的复制可以为车辆使用带来明显的舒适性益处和使用益处。不必复制物理上的对象或储备地保留多个钥匙，而是可以将钥匙信息作为非实体的数据来转发。另一方面，这种权限授予带来了问题，这是因为随时要确保在对象应被保护的情况中可检验使用者是否实际上通过权限所有者的有意的授予已获得访问权限，还是该使用者通过对数据的复制进行非法的侵占。

发明内容

本发明的任务是，提供改进的用于授予对受保护对象的访问权限的方法。

此任务通过具有权利要求1的特征的方法和具有权利要求7的特征的方法解决。