上分布。在图1中所示的实施例中,访问控制模块130是移动控制器120的部分。然而这不是必要的;访问控制模块130还可以是可控设备110或分尚设备的部分。
[0067]控制可控设备! 10可以经由建筑物管理系统(BMS)的控制来完成。BMS连接到可控设备110并且可以控制它。BMS从移动控制器120或访问控制模块130接收命令并且执行它们。例如,BMS可以响应于从移动控制器120或访问控制模块130接收到对其的命令而增加照明器的光强度。另一可能性是在可控设备110将接受它的命令之前,智能电话要求来自BMS的证书。例如,移动控制器120可以从BMS接收数字证书,例如X.509证书,并且将其用于对数字命令进行数字签名。可控设备110可以核实签名并且如果签名核实失败则将拒绝命令。
[0068]同样选择性地允许或阻止控制可以以多个方式完成:通过阻止命令在可控设备110处的执行,通过拒绝发送或转发数字命令使得其从未到达可控设备110或者通过禁用用户接口控制器128提供的用户接口的部分使得用户不能制定命令。如果需要高安全性,可以一起使用这些选项中的一些或全部。
[0069]其中访问控制模块130是移动控制器120的部分的系统一般稍微更易于制作:不需要其中可以合并访问控制模块130的建筑物管理系统。同样可控设备110可以保持更简化,并且因而更便宜,因为其不需要运行访问控制模块130。然而,使访问控制模块130在移动控制器120内部也被视为不太安全。
[0070]安全性可以以各种方式解决。例如,人们可以向系统添加附加访问控制,例如要求验证数字命令,例如通过移动控制器120的私钥,使得仅经授权的用户可以发送有效命令。人们可以可替换地接受更低安全性要求并且依赖于社交控制或法律威慑。
[0071]系统要求移动控制器120靠近电子标签140,例如在50cm或甚至10cm内,或者甚至触碰电子标签140以制作第一无线信道。在该点处移动控制器120可以开始控制可控设备110。控制将维持一段时间但是系统具有内置控制释放。控制释放条件可以取决于各种参数来限定,各种参数取决于要实现的效果。两个特定参数已经证实非常有效,即移动控制器120的位置和自移动控制器120接触电子标签140开始而流逝的时间。
[0072]例如,控制释放条件可以限定地理区域。访问控制模块配置成获得指示移动控制器的地理位置的位置信息并且如果移动控制器的地理位置在地理区域之外则终止控制周期。例如,地理区域可以选择成靠近标签。例如,地理区域可以在电子标签140的100cm内,或者在电子标签140的范围内。后一选择避免了诸如定位器126之类的定位器的需要。使用位置来模仿常规墙壁开关的操作。为了控制比方说常规灯,人们需要物理地去往控制该灯的墙壁开关。该控制释放条件给出类似效果,只要用户在物理上靠近电子标签140,他就可以控制可控设备110。该控制释放条件还自然地解决了访问冲突。如果两个用户试图(几乎)同时控制灯,他们在物理上靠近彼此。这立即允许他们以社交设置而不是通过技术解决方案解决访冋冲突。
[0073]地理区域还可以设置得更大,比方说到房间的尺寸。这良好地适合于会议室。只要用户正在开会,他就可以控制可控设备110。然而,一旦他离开会议室,他还交出可控设备110的控制。
[0074]地理区域还可以设置得再更大,比方说到建筑物的尺寸。这良好地适合于个人房间。只要用户留在建筑物中,他就可以控制可控设备110。然而,一旦他离开建筑物,他还交出可控设备110的控制。这避免用户可以从他的家庭来控制比方说办公室灯,但是避免无论何时用户离开他的办公室都释放控制。
[0075]另一可能性是使控制释放条件限定时间周期。访问控制模块130配置成在控制周期持续至少该时间周期之后终止控制周期。例如,访问控制模块130可以开始配置成当时间周期已经流逝时给出中断的定时器。当接收到中断时,访问控制模块130终止控制周期。访问控制模块130可以在移动控制器120接触电子标签140时或者在接触被打断时启动定时器。后一选项避免在用户站立在电子标签140前方时释放控制,这可能是违反直觉的。另一方面,当电子标签140集成在诸如书桌之类的工作区域中时,当做出接触时开始倒数可能更好。否则用户可以将他的移动控制器120放置在电子标签140上以保持控制至少直到他再次拾起移动控制器120。
[0076]例如,时间周期可以设置成大约30秒,在打断第一无线信道152时开始。这也模仿常规墙壁开关的行为但是以不同的方式实现效果。在用户具有接触或靠近电子标签140的移动控制器120时,他可以控制可控设备110。当他离开电子标签140时,比方说他走过,他可以在简短间隔内继续他的控制。因为间隔是短暂的,因此他不能行走离开电子标签140太远而不释放控制。
[0077]时间周期可以是预限定的周期。在该情况下,电子标签140仅需要指定使用时间周期;访问控制模块130配置有其长度。时间周期可以小于一分钟,比方说30秒,或者大于一分钟,比方说2小时或8小时。
[0078]取代于时间周期,电子标签140还可以限定绝对时间。例如,控制可以在一天的结束时释放,比方说19:00。用于释放控制的绝对时间可以用于启动建筑物管理系统以接管可控设备110以及可能地建筑物中的许多其它可控设备的控制。用于释放控制的绝对时间还可以与办公室空间调度软件一起使用,例如控制可以在所调度的会议结束时释放。
[0079]当控制释放条件更加灵活时,尤其是在使用绝对时间时,系统更好地适合于使用双重接口标签,除了通过第一无线信道152读出之外,其可以从服务器(比方说建筑物管理系统)编程。
[0080]另一可能性是使控制释放条件限定地理区域和时间周期。这两个条件可以以“与”方式或以“或”方式组合。例如,为了实现“与”选项,访问控制模块130可以配置成获得指示移动控制器的地理位置的位置信息并且如果移动控制器的地理位置在地理区域之外并且控制周期持续至少该时间周期则终止控制周期。例如,为了实现“或”选项,访问控制模块130可以配置成获得指示移动控制器的地理位置的位置信息并且如果移动控制器的地理位置在地理区域之外或者控制周期持续至少该时间周期或者二者均发生则终止控制周期。这还适合于其中出于某种原因移动控制器不能获得或确定其位置的情形,例如如果GPS和/或另一位置构件关断,或者如果其位置不可靠的话。
[0081]例如,时间周期可以良好地利用“或”选项组合,当后者对应于建筑物时。这将暗示一旦他的时间结束或者他离开建筑物,用户就释放控制。例如,用户可以在会议的持续时间内具有控制(使用周期或绝对释放时间)。控制将在会议结束时或者用户离开建筑物时释放。如果用户离开会议,比方说小憩时间,但是在会议结束之前返回,则不释放控制。有趣的是,访问控制模块配置成在控制周期终止之后不开始新的控制周期,直到标签读取器再次无线连接到电子标签。
[0082]访问控制模块130可以通过电子标签读取器从电子标签接收控制释放条件。这意味着不同的控制释放条件可以针对不同的可控设备来设置。
[0083]访问控制策略限定在NFC标签中而不是在比方说中央建筑物管理系统中。提供给移动控制器120的智能电话应用可以施行访问控制策略。例如,电子标签140可以根据位置和时间将访问策略存储在存储装置142中。
[0084]图1还示出可选的配置服务器150。配置服务器配置成在电子标签140中存储标识信息和/或控制释放条件。标签140的配置可以使用与配置服务器150不同的构件,例如在制造期间。电子标签140和配置服务器150配置成通过第三信道与彼此通信。第三信道是有线信道,即至少在与标签140的接口处是有线的。第三信道可以是I2C信道。当使用配置服务器时,标签140包括用于通过第三信道与配置服务器连接的有线接口。配置服务器150可以与BMS和/或与访问控制模块130组合。
[0085]在实施例中,用于个人灯控制的智能电话应用从NFC标签读取策略。智能电话应用确保照明控制命令仅在用户的智能电话在策略内(从位置和/或时间的角度来看)时发送至照明器或BMS(建筑物管理系统)。例如,当用户的智能电话过于远离照明器时用户失去灯的控制。在实施例中,应用配置成获得密码密钥。例如,应用可以包括例如嵌入在应用中的密钥,或者应用可以从BMS获得密钥。应用可以将密钥用于解密和/或验证从标签获得的信息。
[0086]图2图示了用于远程控制可控设备110的系统102。在许多方面中系统102可以与系统100相同,然而在系统102中,访问控制模块130在移动控制器120外部。发送器124配置成通过第二无线信道154向访问控制模块130无线发送数字命令。访问控制模块130配置成核实移动通信设备的控制周期已经开始并且并未终止并且如果是这样则向可控设备发送数字命令。
[0087]图2示出作为分离设备的访问控制模块130。访问控制模块130可以集成在BMS中。访问控制模块130还可以集成在可控设备110中。后一选项避免BMS但是可能增加可控设备110的价格。
[0088]在实施例中,电子标签140b用于电子标签140并且访问控制模块130配置成经由标签读取器122利用电子标签140执行挑战-响应协议。例如,访问控制模块130可以生成随机数,例如序列号或随机数。访问控制模块130然后可以通过使用第二无线信道154从访问控制模块130向移动控制器120并且然后使用第一无线信道152向电子标签140发送随机数而向电子标签发送随机数作为挑战。访问控制模块130可以从电子标签接收取决于随机数的响应。例如,处理器146可以通过在私有存储装置144和随机数上进行操作来生成响应。例如,处理器146可以使用存储在私有存储装置144中的密钥来对随机数进行签名或加密。访问控制模块130可以经由第一无线信道152、标签读取器122、发送器124和(部分的)第二无线信道154接收随机数。访问控制模块130配置成然后核实与随机数有关的响应的真实性。如果所述真实性核实失败,访问控制模块130阻止控制周期的开始,或者如果控制周期已经开始则终止它。
[0089]如果访问控制模块130位于可控设备110中则使用完整的第二无线信道154。如果访问控制模块130位于移动控制器120中则不需要第二无线信道154以在访问控制模块130与电子标签140之间进行通信。
[0090]挑战响应协议提供移动控制器120实际上靠近电子标签140的高置信水平。尽管潜在地中间人攻击仍旧是可能的,但是这不被视为严重的威胁,因为其仍旧要求某人在物理上靠近电子标签140。
[0091]典型地,在系统100和102二者中,设备120和110每一个包括微处理器(未示出),其执行存储在设备120和110处的适当软件。例如,软件可以已经下载并且存储在对应存储器中,例如RAM或闪存(二者均未示出)。设备140和130也可以配备有微处理器和存储器(未示出)。
[0092]在基于位置的控制释放条件在系统102中使用的情况下,则可以使用定位器126并且将其包括在移动控制器120中。移动控制器120可以配置成从移动控制器120向访问控制模块130发送位置信息。然而,定位器还可以在移动控制器120外部。例如,移动控制器120还可以基于在多个接入点中的一个或多个处检测到的其W1-Fi信号而定位。在后一情况中,移动控制器120不需要提供位置信息。这增加安全性,因为其阻止攻击者不合法地修改移动控制器120所报告的位置信息。
[0093]图4示出访问控制模块130的可能实现。访问控制模块130包括存储装置132,比方说存储器,处理器134和发送器/接收器(收发器)136。收发器136配置成通过第二信道与移动控制器120和可控设备110通信。在可控设备110与访问控制模块130之间可以存在BMS。如果访问控制模块130包括在另一系统中,则其可以与其它系统共享处理器、存储器和通信能力。
[0094]在操作期间,系统10