使用户拍摄的图像与访问控制设备参考匹配以用于物理访问控制

摘要

提供了一种用于使实现对由锁装置保护的物理空间的访问的访问控制的方法。该方法在安全装置中被执行并且包括以下步骤：获得使用便携式钥匙装置的第一相机捕获的至少一个图像，该至少一个图像在锁装置的附近被捕获；通过短距离通信链路从锁装置接收模板解密密钥；获得与锁装置相关联的凭证；使至少一个图像与多个模板匹配，每个模板与锁装置相关联，该匹配包括通过使用模板解密密钥对加密的模板进行解密来获得多个模板；以及其中，肯定匹配是打开锁装置的必要条件。

说明书

技术领域

本发明涉及一种用于将图像与用于访问控制的模板进行匹配的方法、安全装置、计算机程序和计算机程序产品。

背景技术

锁已经从传统的机械锁演变为电子锁。出于几个原因，例如灵活性、控制功能和审计功能，电子锁正变得越来越流行。

试图访问由机械锁保护的空间的攻击者当然需要靠近锁以例如试图开锁。

在与网络连接的电子锁的情况下，攻击在地理上不限于锁的附近。

WO 2009/128854 A1公开了使用来自便携式通信装置的动态输入的物理访问控制。WO 2016/092302 A1公开了一种用于在途现金(cash-in-transit)的灵活安全系统。EP1 693 801 A2公开了用于身份验证的基于生物统计的系统和方法。

发明内容

目的是降低异地攻击者或黑客控制对物理空间的访问的风险。

根据第一方面，提供了一种用于使实现对由锁装置保护的物理空间的访问的访问控制的方法。该方法在安全装置中被执行并且包括以下步骤：获得使用便携式钥匙装置的第一相机捕获的至少一个图像；通过短距离通信链路从锁装置接收模板解密密钥；获得与锁装置相关联的凭证；使至少一个图像与多个模板匹配，每个模板与锁装置相关联，所述匹配包括通过使用模板解密密钥对加密的模板进行解密来获得多个模板；以及其中，肯定匹配是打开锁装置的必要条件。

所述至少一个图像可以呈包括多个连续图像的视频的形式。

该方法还可以包括以下步骤：获得使用便携式钥匙装置的运动传感器捕获的运动数据；以及将从视频得出的一定时间段内的多个运动与同一时间段内所获得的运动数据进行比较；其中，在视频中检测到的运动与所获得的运动数据相对应是打开锁装置的必要条件。

该方法还可以包括以下步骤：从视频中识别连续的光代码；其中，光代码与预先确定的代码匹配是打开锁装置的必要条件。

该方法还可以包括以下步骤：存储所述至少一个图像的至少一部分以形成审计跟踪的一部分。

该方法还可以包括以下步骤：获得使用便携式钥匙装置的第二相机捕获的至少一个面部图像；以及基于所述至少一个面部图像来执行面部识别；其中，面部识别成功是打开锁装置的必要条件。

存储的步骤可以包括：存储所述至少一个面部图像的至少一部分。

该方法还可以包括以下步骤：对便携式钥匙装置进行认证。

当存在肯定匹配时，可以在匹配的步骤之后执行认证的步骤。

可以在匹配的步骤之前执行认证的步骤。

根据第二方面，提供了一种用于使实现对由锁装置保护的物理空间的访问的访问控制的安全装置。该安全装置包括：处理器；以及存储器，所述存储器存储指令，所述指令当由处理器执行时使安全装置执行以下操作：获得使用便携式钥匙装置的第一相机捕获的至少一个图像；通过短距离通信链路从锁装置接收模板解密密钥；获得与锁装置相关联的凭证；使所述至少一个图像与多个模板匹配，每个模板与锁装置相关联，所述匹配包括通过使用模板解密密钥对加密的模板进行解密来获得多个模板；以及其中，肯定匹配是打开锁装置的必要条件。

根据第三方面，提供了一种计算机程序，该计算机程序用于使实现对由锁装置保护的物理空间的访问的访问控制。所述计算机程序包括计算机程序代码，所述计算机程序代码当在安全装置上运行时使安全装置执行以下操作：获得使用便携式钥匙装置的第一相机捕获的至少一个图像；通过短距离通信链路从锁装置接收模板解密密钥；获得与锁装置相关联的凭证；使所述至少一个图像与多个模板匹配，每个模板与锁装置相关联，所述匹配包括通过使用模板解密密钥对加密的模板进行解密来获得多个模板；以及其中，肯定匹配是打开锁装置的必要条件。

根据第四方面，提供了一种计算机程序产品，所述计算机程序产品包括根据第三方面所述的计算机程序以及其上存储有所述计算机程序的计算机可读装置。

通常，除非在本文中另外明确限定，否则在权利要求中所使用的所有术语都要根据它们在技术领域中的普通含义来解释。除非另外明确说明，否则对“一个(a)/一个(an)/该元件、设备、部件、装置、步骤等”的所有提及要被公开地解释为指代元件、设备、部件、装置、步骤等的至少一个实例。除非明确说明，否则本文中公开的任何方法的步骤不一定按照所公开的确切顺序被执行。

附图说明

现在参照附图以示例的方式来描述本发明，在附图中：

图1是示出其中可以应用本文提出的实施方式的环境的示意图；

图2A至图2B是示出图1的便携式钥匙装置的示意图；

图3A至图3D是示出其中可以实现根据本文提出的实施方式的安全装置的实施方式的示意图；

图4A至图4B是示出根据各种实施方式的用于使实现对由锁装置保护的物理空间的访问的访问控制的方法的示意图；

图5是示出图3A至图3D的安全装置的部件的示意图；以及

图6示出了包括计算机可读装置的计算机程序产品90的一个示例。

具体实施方式

现在将参照附图在下文中更全面地描述本发明，在附图中示出了本发明的某些实施方式。然而，本发明可以以许多不同的形式被实施，而不应被被解释为限于本文中阐述的实施方式；更确切地，这些实施方式通过示例的方式被提供，使得本公开内容将是全面且完整的，并且将向本领域技术人员充分传达本发明的范围。在整个说明书中，相同的附图标记指代相同的要素。

本文提出的实施方式基于以下认识：可以使用来自相机的图像来验证用户在特定锁装置附近。这可以被用于减少异地攻击者或黑客控制对物理空间的访问的风险。可选地，图像还可以被用于极大改进的审计跟踪。

图1是示出其中可以应用本文提出的实施方式的环境的示意图。对物理空间16的访问受到物理屏障15的限制，该物理屏障15能够选择性地解锁。物理屏障15位于受限的物理空间16与可访问的物理空间14之间。注意，可访问的物理空间14以其本身而言可以是受限制的物理空间，但是关于该物理屏障15，可访问的物理空间14是可访问的。屏障15可以是门、大门、舱口、柜门、抽屉、窗等。为了控制对物理空间16的访问，通过选择性地解锁屏障15，提供了锁装置12。锁装置12是可电子控制的锁。

锁装置12可以被设置在围绕屏障15的结构17中(如所示)，或者锁装置12可以被设置在屏障15本身(未示出)中。锁装置12能够被控制成处于锁定状态或处于解锁状态。

为了评估用户5是否将被准许访问，锁装置12通过无线接口与便携式钥匙装置2进行通信。这允许基于与便携式钥匙装置2的通信来对锁装置12进行选择性解锁。以这种方式，当用户携带便携式钥匙装置2接近时，进行评估以确定是否应当准许访问。另外，如下所述，访问控制以用户在锁装置附近为条件，这通过使用便携式钥匙装置的相机被验证。当锁装置12准许访问时，锁装置12被设置为解锁状态。

可以以多种不同的方式来实现将锁装置12设置为解锁状态。在当锁装置12评估钥匙时的情况下，锁装置12可以将本身设置为解锁状态。如果在远程主机系统中评估钥匙，则这可能意味着通过基于有线的通信例如使用串行接口(例如，RS485、RS232)、通用串行总线(USB)、以太网或甚至简单的电连接或者另外地使用无线接口向锁控制器发送信号。当锁装置12处于解锁状态时，屏障15可以被打开，当锁装置12处于锁定状态时，屏障15不能被打开。以这种方式，通过锁装置12来控制对受限制的物理空间16的访问。

替选地或另外地，当访问被准许时，可以例如使用开门器来触发屏障15以打开屏障15。

便携式钥匙装置2可以被实现为在智能电话或其他便携式计算装置中执行的软件应用(也被称为app)。可选地，便携式钥匙装置2可以通过通信网络8与中央服务器6进行通信，该通信网络8可以是例如经由WiFi访问的广域网例如因特网或者蜂窝网络。

可选地，锁装置12还可以通过通信网络8与中央服务器6进行通信。

在本文提出的实施方式中，使用便携式钥匙装置2的相机来捕获锁装置12的环境的一个或更多个图像或视频。用户5指引便携式钥匙装置2的相机，使得其视场3包括锁装置12和/或屏障15。然后将所捕获的(一个或多个)图像与一个或更多个图像模板进行比较，其中每个图像模板与特定的锁装置12相关联。该匹配在本领域本身中是已知的，并且可以例如通过变换被执行以使图像与随后的相关性对准。替选地或另外地，该匹配基于以下：识别图像中的对象并对识别出的对象和/或识别出的对象之间的空间关系进行比较。

当(一个或多个)图像与锁装置12匹配时，确定便携式钥匙装置2在所讨论的锁装置12附近。这种图像匹配可以与如本领域本身中已知的常规访问控制过程相结合，例如与便携式钥匙装置的认证以及基于锁装置12与便携式钥匙装置2之间的通信的授权相结合。如下面图4A和图4B中分别示出的，认证可以在图像匹配之前或之后发生。

图2A至图2B是示出图1的便携式钥匙装置2的示意图。

在图2A中，示出了便携式钥匙装置2的前置相机10a。该前置相机10a可以被用来捕获用户的面部的图像，如下所述，所述图像可以用于面部识别。

在图2B中，示出了后置相机10b。后置相机10b可以被用来捕获锁装置的周围环境的图像，以验证用户位于特定锁装置的位置处。

图3A至图3D是示出其中可以实现根据本文提出的实施方式的安全装置1的实施方式的示意图。安全装置1是如下装置，该装置将捕获的图像与模板进行比较以确定便携式钥匙装置是否在锁装置附近。

在图3A中，安全装置1被示出为在便携式钥匙装置2中被实现。因此，在该实现中，便携式钥匙装置2是用于安全装置1的主机装置。

在图3B中，安全装置1被示出为在锁装置12中被实现。因此，在该实现中，锁装置12是用于安全装置1的主机装置。

在图3C中，安全装置1被示出为在服务器6中被实现。因此，在该实现中，服务器6是用于安全装置1的主机装置。

在图3D中，安全装置1被示出为作为独立的装置被实现。因此，在该实现中，安全装置1不具有主机装置。

图4A至图4B是示出根据各种实施方式的用于使实现对由锁装置保护的物理空间的访问的访问控制的方法的示意图。该方法在安全装置中被执行，该安全装置继而可以如图3A至图3D中所示的那样形成部分或各种主机装置或者是独立的装置。

在下文中，条件步骤是其中该方法分叉成两个可能不同的路径的步骤。可选步骤是不必被执行的步骤。

首先，将描述由图4A示出的实施方式。

在获得(一个或多个)图像步骤40中，安全装置获得使用便携式钥匙装置的第一相机捕获的至少一个图像。第一相机可以例如是图2B的后置相机10b。先前已经通知用户捕获包含锁装置和/或由锁装置保护的屏障的图像。因此，在锁装置附近已经捕获了至少一个图像。

所述至少一个图像可以是一个或更多个静止图像以及/或者所述至少一个图像可以呈包括多个连续图像的视频的形式。

在可选的获得运动数据步骤41中，安全装置获得使用便携式钥匙装置的运动传感器捕获的运动数据。仅在至少一个图像呈视频的形式的情况下才执行该步骤。可以例如使用加速度计和/或陀螺仪传感器来实现运动传感器。在捕获视频的同时，通过便携式钥匙装置捕获运动数据。

在可选的获得(一个或多个)面部图像步骤40’中，安全装置获得使用便携式钥匙装置的第二相机捕获的至少一个面部图像。第二相机可以例如是图2A的前置相机10a。在步骤40中捕获至少一个图像的同时，可以捕获(一个或多个)面部图像。

在接收模板解密密钥步骤42中，安全装置通过短距离通信链路从锁装置接收模板解密密钥。

在可选的存储步骤49中，安全装置存储至少一个图像的至少一部分以形成审计跟踪的一部分。当步骤40’被执行时，这可以包括存储至少一个面部图像的至少一部分。通过存储审计跟踪中的图像，极大提高了审计跟踪。于是每个审计跟踪条目形成存在的证明。此外，通过存储面部图像，审计跟踪中的条目也与实际的人相联系。

在条件(一个或多个)图像匹配步骤44中，安全装置使至少一个图像与多个模板匹配。每个模板是与锁装置相关联的图像模板。

条件(一个或多个)图像匹配步骤44包括：通过使用模板解密密钥对加密的模板进行解密来获得多个模板。换句话说，这包括使用从锁装置接收到的模板解密密钥对加密的模板数据进行解密。由于仅从锁装置接收解密密钥，因此加密的模板数据(即，加密的多个模板)可以安全地被存储在钥匙装置中，而攻击者不能够读取模板数据(即，多个模板的解密版本)。一旦解密的模板数据已经被使用，就可以将其删除，以防止访问便携式钥匙装置的攻击者访问解密的模板数据。解密的数据可以例如仅在暂态存储器(例如，RAM)中可用，以进一步提高安全性。

当匹配未被确定时，该方法以否定状态结束。否则，该方法以肯定状态结束或继续至可选的步骤45、46、47、43或50中的任意步骤。

在可选的条件运动匹配步骤45中，安全装置将从视频得出的一定时间段内的多个运动与同一时间段内所获得的运动数据进行比较。这种比较涉及在该时间段内的几个运动。当在视频中检测到的运动与所获得的运动数据不对应时，方法以否定状态结束。否则，方法以肯定状态结束或继续至可选的步骤46、47、43或50中的任意步骤。两种来源的移动数据的这种比较极大地提高了便携式钥匙装置是否实际上在锁装置的附近的确定性。可选地，从使用第二相机捕获的视频得出的运动数据被用于进一步确保视频数据不是假的。

在可选的条件连续光代码匹配步骤46中，安全装置从视频中识别连续光代码。当光代码与预先确定的代码不匹配时，方法以否定状态结束。否则，方法以肯定状态结束或继续至可选的步骤47、43或50中的任意步骤。可以由锁装置例如使用LED(发光二极管)或其他光源提供光代码。以这种方式，进一步提高了通过便携式钥匙装置实时捕获视频的确定性。光代码可以是随时间变化的任何合适的光调制，例如闪烁模式，该光代码能够被记录在由便携式钥匙装置捕获的视频中。可选地，光代码表示还通过无线电从锁装置被提供至便携式钥匙装置的字母数字或二进制代码。可选地，对于关于锁的每个密钥交换会话，该代码可以是唯一的，以防止该光代码的重放攻击(replay attack)。

在可选的条件面部识别匹配步骤47中，安全装置基于至少一个面部图像来执行面部识别。当面部识别不成功时，方法以否定状态结束。否则，方法以肯定状态结束或继续至可选的步骤43或40中的任意步骤。使用面部识别还使人与锁装置的位置相联系，以进一步提高安全性。

在获得凭证步骤43中，安全装置获得与锁装置相关联的凭证。如果该步骤被执行，则安全装置可以形成便携式钥匙装置或服务器的一部分。当用于多个锁装置的多个凭证由便携式钥匙装置使用时，在步骤44中识别的锁允许获得适当的凭证，以匹配所讨论的锁装置。当安全装置形成服务器的一部分时，可以从便携式钥匙装置的存储器或从服务器获得适当的凭证。当安全装置形成服务器的一部分时，可以从服务器本身或从服务器可以与之通信的另一数据库中获得适当的凭证。

在可选的认证步骤50中，如本领域本身已知的，安全装置例如使用BLE、NFC或任何其他合适的当前或将来的认证过程对便携式钥匙装置进行认证。认证基于在步骤43中获得的凭证。

当该方法以肯定状态结束时，可以以在该方法之前或之后的常规访问控制为条件打开锁。换句话说，肯定匹配是打开锁装置的必要条件。

当该方法以否定状态结束时，锁无法被打开。

要注意的是，可能存在用于例如用电子和/或机械万能钥匙代替本文中描述的方法打开锁的可替选过程。换句话说，每当在本文中使用术语“必要”时，应将其解释为仅适用于所提出的方法的上下文。

现在参看图4B，将仅描述与图4A中示出的步骤相比而言新的步骤或经修改的步骤。

在图4B中，在匹配步骤44至47之前执行可选的认证步骤50。具体地，在此，认证步骤50在获得(一个或多个)图像步骤40之前进行。

图5是示出图3A至图3D的安全装置1的部件的示意图。要注意的是，当存在时，一个或更多个所提及的部件可以被与主机装置共享。使用能够执行存储在存储器64中的软件指令67的合适的中央处理单元(CPU)、多处理器、微控制器、数字信号处理器(DSP)等中的一个或更多个的任意组合来提供处理器60，存储器64因此可以是计算机程序产品。替选地，可以使用专用集成电路(ASIC)、现场可编程门阵列(FPGA)等来实现处理器60。处理器60可以被配置成执行以上参照图4A至图4B描述的方法。

存储器64可以是随机存取存储器(RAM)和/或只读存储器(ROM)的任意组合。存储器64还包括永久性存储装置，其例如可以是磁存储器、光存储器、固态存储器或甚至远程安装的存储器中的任何单独的一个或者磁存储器、光存储器、固态存储器或甚至远程安装的存储器的组合。

还设置了数据存储器66以在处理器60中执行软件指令期间读取和/或存储数据。数据存储器66可以是RAM和/或ROM的任意组合。

安全装置1还包括I/O接口62以用于与外部实体和/或内部实体进行通信。可选地，I/O接口62还包括用户接口。

省略了安全装置1的其他部件，以免模糊本文提出的概念。

图6示出了包括计算机可读装置的计算机程序产品90的一个示例。在该计算机可读装置上，可以存储计算机程序91，该计算机程序可以使处理器执行根据本文描述的实施方式的方法。在该示例中，计算机程序产品是光盘例如CD(致密盘)或DVD(数字多功能盘)或蓝光盘。如上所述，也可以在装置的存储器中实施该计算机程序产品，例如图5的计算机程序产品64。虽然计算机程序91在此被示意性地示出为所描绘的光盘上的轨道，但是计算机程序可以以适合于计算机程序产品的任何方式例如可移除固态存储器(例如，通用串行总线(USB)驱动器)被存储。

现在，在此接着是从另一个角度用罗马数字枚举的实施方式的列表。

i.一种用于使实现对由锁装置保护的物理空间的访问的访问控制的方法，所述方法在安全装置中被执行并且包括以下步骤：

获得使用便携式钥匙装置的第一相机捕获的至少一个图像；

使所述至少一个图像与多个模板匹配，每个模板与所述锁装置相关联；以及

其中，肯定匹配是打开所述锁装置的必要条件。

ii.根据实施方式i所述的所述方法，其中，所述至少一个图像呈包括多个连续图像的视频的形式。

iii.根据实施方式ii所述的方法，还包括以下步骤：

获得使用所述便携式钥匙装置的运动传感器捕获的运动数据；以及

将从所述视频得出的运动与所获得的运动数据进行比较；

其中，在所述视频中检测到的所述运动与所获得的运动数据相对应是打开所述锁装置的必要条件。

iv.根据实施方式ii或iii所述的方法，其中，所述方法还包括以下步骤：

从所述视频中识别连续的光代码；

其中，所述光代码与预先确定的代码匹配是打开所述锁装置的必要条件。

v.所述方法还可以包括以下步骤：

获得与所述锁装置相关联的凭证。

vi.根据实施方式v所述的方法，还包括以下步骤：

通过短距离通信链路从所述锁装置接收模板解密密钥；

其中，所述匹配的步骤包括使用所述模板解密密钥对加密的模板数据进行解密。

vii.根据前述实施方式中任一项所述的方法，还包括以下步骤：

存储所述至少一个图像的至少一部分以形成审计跟踪的一部分。

viii.根据前述实施方式中任一项所述的方法，还包括以下步骤：

对所述便携式钥匙装置进行认证。

ix.根据实施方式viii所述的方法，其中，当存在肯定匹配时，在所述匹配的步骤之后执行所述认证的步骤。

x.根据实施方式viii所述的方法，其中，在所述匹配的步骤之前执行所述认证的步骤。

xi.根据前述实施方式中任一项所述的方法，还包括以下步骤：

获得使用所述便携式钥匙装置的第二相机捕获的至少一个面部图像；以及

基于所述至少一个面部图像来执行面部识别；

其中，所述面部识别成功是打开所述锁装置的必要条件。

xii.根据在依赖于实施方式vii时的实施方式xi所述的方法，其中，所述存储的步骤包括：存储所述至少一个面部图像的至少一部分。

xiii.一种用于使实现对由锁装置保护的物理空间的访问的访问控制的安全装置，所述安全装置包括：

处理器；以及

存储器，所述存储器存储指令，所述指令当由所述处理器执行时使所述安全装置：

获得使用便携式钥匙装置的第一相机捕获的至少一个图像；

使所述至少一个图像与多个模板匹配，每个模板与所述锁装置相关联；以及

其中，肯定匹配是打开所述锁装置的必要条件。

xiv.一种计算机程序，所述计算机程序用于使实现对由锁装置保护的物理空间的访问的访问控制，所述计算机程序包括计算机程序代码，所述计算机程序代码当在安全装置上运行时使所述安全装置：

获得使用便携式钥匙装置的第一相机捕获的至少一个图像；

使所述至少一个图像与多个模板匹配，每个模板与所述锁装置相关联；以及

其中，肯定匹配是打开所述锁装置的必要条件。

xv.一种计算机程序产品，所述计算机程序产品包括根据实施方式xiv所述的计算机程序以及其上存储有所述计算机程序的计算机可读装置。

上面主要参照几个实施方式描述了本发明。然而，如本领域技术人员容易理解的，除了上面公开的实施方式以外的其他实施方式同样可能在如由所附专利权利要求限定的本发明的范围内。