用于授予访问权限的方法与流程

本发明涉及一种用于授予对受保护对象的访问权限的方法。尤其地，本发明涉及一种方法，其中，将关于受保护对象的属于个人的访问特权分配给个人的能移动的通信设备，并且由这些个人从他们的能移动的通信设备转发(授予)给其他个人的能移动的通信设备。

背景技术：

在许多技术领域中存在对访问权限或使用权限的管理。例如，在管理进入计算机系统中的访问特权中存在复杂的权限等级结构和架构。在那里，给通过例如隐秘的标识或生物统计学的数据来相对于计算机系统进行自身身份识别的个人授予对计算机系统的服务或数据的访问。如果指定的权限或特权不足以执行由个人所请求的操作，则通过技术上的措施阻止执行。

在本技术的其他的领域中公知有锁系统，其中，为进行访问查验，由个人携带锁器件并且进行身份识别以便访问功能，例如访问某一区域。这可以例如是具有电子通信部件的车辆钥匙或用于访问系统的钥匙卡。在属于个人的车辆使用领域中，例如可以在此提及无钥匙进入和无钥匙启动系统。在这些系统中，使用者随身携带被称为id发送器的车钥匙。该id发送器包含被编码的信息，这些信息将id发送器的携带者的权力相对于车辆确认合法以便实施功能。这种id发送器可以容易地被转发给其他的个人，从而使其他的个人也可以使用该id发送器来调用并操纵车辆功能。

此外公知的是，不仅使用随车辆交付的电子id发送器，而且使用其他的电子装置作为用于访问车辆并且触发车辆功能的确认合法器件。例如，us2013/0259232a1描述了一种用于将能移动电话与车辆关联或配对的系统，以便可以利用能移动电话来驱控车辆功能。

de102011078018a1描述了一种用于实施车辆功能的系统，其中，远程信息处理中心实施与车辆的其中一部分的通信。

由ep1910134b1公知有一种具有中央管理装置的系统，中央管理装置将数据包作为密钥分配给能移动访问装置。

最后，wo2015/176826公开了一种用于对权限进行管理和配属的系统，其中，中央管理单元不仅与能移动通信设备连接而且与受保护对象内的控制装置连接，并且协调访问权限的分配。

但是，所公知的方法仍没有以令人满意的程度充分利用访问权力的非实体性的优点。在车辆钥匙的情况中，钥匙的转发始终也意味着交出，而理论上从第一被授权者的能移动通信设备到第二被授权者的能移动通信设备的访问权限的复制可以为车辆使用带来明显的舒适性益处和使用益处。不必复制物理上的对象或储备地保留多个钥匙，而是可以将钥匙信息作为非实体的数据来转发。另一方面，这种权限授予带来了问题，这是因为随时要确保在对象应被保护的情况中可检验使用者是否实际上通过权限所有者的有意的授予已获得访问权限，还是该使用者通过对数据的复制进行非法的侵占。

技术实现要素：

本发明的任务是，提供改进的用于授予对受保护对象的访问权限的方法。

此任务通过具有权利要求1的特征的方法和具有权利要求7的特征的方法解决。

根据本发明，使用到由待受保护对象的使用者随身携带的能移动的通信设备，受保护对象例如为汽车，房屋，保险箱或任何其他受保护的设备。这些能移动的通信设备用于存储访问权限。能移动的通信设备在此被如下这样地构造，即，使其可以与待受保护对象进行数据交换，例如通过短距离无线连接(例如，蓝牙或wlan或nfc)进行数据交换。

根据本发明，首先将访问权限传送给第一级别的初级使用者，即传送给其能移动的第一通信设备。为此，中央管理单元，例如能经由互联网实现的作为权限管理器的受信任的服务器，提供第一级别的数据包。该第一级别的数据包包含有唯一的身份识别标识，该唯一的身份识别标识在由中央管理装置输出的所有数据包的情况下对该数据包进行唯一的身份识别。此外，将第一数据集引入到第一级别的数据包中，第一数据集包含对至少一个具体的受保护的设备的访问权限的列表。该第一数据集可以是一维的或多维的列表，其至少表示了该数据包的持有者可以激活哪些功能以及哪些功能被阻止。

此外，第一级别的数据包包含第一数据密码，该第一数据密码能被用于数据的加密和解密。例如，数据密码可以是用于加密的字符串。

该第一级别的数据包被指定给第一级别的使用者的能移动的第一通信设备。第一级别的使用者可以例如是待受保护对象的所有者或承租人，例如是租车公司的已经租用车辆的租赁人或客户。

第一级别的数据包被存储在第一级别的使用者的能移动的通信设备中，并且第一级别的使用者可以以该第一级别的数据包访问待受保护对象。根据本发明的第一方面，为此，也将第一级别的数据包从中央管理装置传送给受保护的设备的控制装置。该传送可以例如经由公共通信网络进行。第一级别的数据包被存储在控制装置中，并且因此可供使用者以其能移动通信设备以及供待受保护对象内的控制装置使用相同的信息。根据这些信息，使用者可以相对于待受保护对象的控制装置确认合法，尤其地这是因为对于待受保护对象的控制装置来说能够经由唯一的身份识别标识和另外的数据内容来检验数据包的内容。

本发明的主要的方面在于，在无中央管理机构协同作用的情况下，能将使用数据授予给次级级别的另外的人及其相应的通信设备。当在第一级别参与者无法利用能移动的第一通信设备与中央管理装置之间建立通信连接时，则这一点尤其重要。当能移动的第一通信设备无法接入公共通信网络时，则该离线权力授予可能例如变得必要。即使在这种情况中也应能实现的是，将这种指定给第一级别的使用者的访问权限(或其受限制的部分)转发给另外的使用者。

为此目的，根据本发明设置的是，在第一级别的使用者的能移动的第一通信设备中提供第二级别的数据包。该第二级别的数据包不仅包括第一数据包的数据而且还包括新创建的数据。尤其地，第二级别的数据包包括唯一的第二身份识别标识和第一参考数据，第一参考数据包含对第一级别的数据包的参考。因此，这些参考数据指示了该第二级别的数据包源自哪个第一级别的数据包。此外，第二级别的数据包中包含第二数据集，其具有对受保护的设备的访问权限的列表，其中第二数据集是第一数据集的子集(子集)。在本文中，子集应被理解为所包含的访问权限不能够超出第一级别的数据包中的第一数据集的访问权限所包含的权限。

此外，第二数据包中包含第二数据密码，第二数据密码能被用于数据的加密和解密。这些数据原则上可读取地包含在第二级别的数据包中。此外，在第二级别的数据包中包含被加密的数据容器，该数据容器至少具有唯一的第一身份识别标识以及第二数据密码。该容器的这些数据通过使用第一数据密码被加密，并且仅对第一数据密码的持有者进行解密。

此外，通过使用第一数据密码对第二级别的数据包签名。

将该经签名的第二级别的数据包从能移动的第一通信设备传送给配属于第二级别的使用者的能移动的第二通信设备。该传送尤其可以是通过蓝牙或nfc或wlan无线地进行。

由于对关于第二级别的访问权限的数据包的传递，使得第二通信设备在层级上处于第一通信设备下级。第二通信设备的访问权限来源于第一通信设备的访问权限的给予。根据本发明的方法能够实现将已从中央管理装置获得第一级别的数据包的被批准的使用者的使用权限导出。因为根据本发明的该方面，该数据包不仅被发送给第一级别的使用者的能移动的第一通信设备而且也被发送给受保护的设备的控制装置，所以这两个系统都拥有第一级别的数据包。但是应当注意的是，第二级别的数据包的创建是由能移动的第一通信设备进行的，而不是通过中央管理装置或受保护的设备中的控制装置进行的。具有能移动的第一通信设备的第一级别的使用者能够给予其自己的权限来促使向具有能移动的第二通信设备的第二级别的使用者进行受保护的并且可复核的权限的转发。根据本发明，该链可以继续，并且可以从第二级别的使用者导出给另外的次级的使用者。关键的是，对于受保护的设备的控制装置来说，仍然能对第一使用者的权限的正确导出进行复核。为此使用加密的容器，该容器随着权限转发的每个层面被添加。

从上文得知，尽管第一数据密码存在于第一级别的数据包中并因此存在于能移动的第一通信设备内以及待受保护对象的控制装置内，但是该数据密码并不包含在第二级别的数据包内。而是第一数据密码仅用于加密第二级别的数据包中的容器，并将该数据包签名。以此方式，能移动的第二通信设备拥有了本身无法由能移动的第二通信设备可读取地访问、但是对于待受保护对象却能够使用其所提供的第一数据密码进行解密的数据。数据容器内的数据于是被用于对权限等级的按规定的配属关系进行验证和可信度验证。因此使用第一级别的数据密码的签名确保了在第二级别的数据包内的数据结构不被改变或破坏。

因此，本发明基于以下构思：形成具有等级结构的授权链，其中，给每个下级的使用者及其传送来自上级的层级的数据，但是这些数据并非全部地都能被下级的层级的参与者读取并且尤其是不能进行修改，这是因为这些数据载有上级的层级的签名。以此方式可以创建批准链，即使当权限的授予在待受保护对象及其控制装置不知情或不查验的情况下以及在中央管理装置不知情的情况下，该批准链对于待受保护对象的控制装置来说也都能随时进行复核。

根据需要，数据包的结构在此能与数据包的常规和通用的编码相匹配。尤其地，本发明的使用不限于特定类型的数据编码。因此，当提及数据集时，这尤其意指用于结构化数据传送的数据列表或数据阵列。术语“数据密码”通常应被理解为允许对数据包进行加密和签名的每个任意的字符串或数据结构。在此，数据密码可能非常复杂地构建，尤其是包含用于不同目的的数据的多个区段。

根据所创立的数据传输方法，一方面将数据从中央管理装置传送给一个能移动的通信设备和受保护的设备的控制装置，而另一方面将数据从一个能移动的通信设备传送给另外的能移动的通信设备。例如，可以经由公共数据网络或短距离无线连接进行传输。在此，可以随时使用已创立的方法对数据连接和数据传输进行加密，或者以其他方式进行保护。

在本发明的范围内，能移动的通信设备被理解为能由使用者携带的任何设备，尤其是能移动饿电话和便携式计算机以及其他具有通信能力的机器(例如可佩戴设备)。

在本发明的改进方案中，第一级别的数据包中的具有访问权限的列表的第一数据集包含与这些访问信息相配属的授予权力，授予权力表示了所列出的访问权限中的哪些能被授予给等级上处于下级的通信设备。

根据本发明的该设计方案设置的是，可以对访问权限转发到受保护的设备上进行限制，这通过第一数据集中的授予权力来呈现。如果受保护对象例如是车辆，则可以将用于进入车辆(例如打开驾驶员车门)的和用于打开尾盖的分开的访问权限分开地进行授予权力。例如，车辆的使用者可能有权限来授予用于打开尾盖的访问权力，但是没有权限授予用于打开驾驶员车门的访问权力。这同样适用于例如在一天中特定的时间启动发动机或驾驶车辆。以此方式，可以一方面对每个涉及权限授予中的能移动通信设备进行验证，并且另一方面受保护对象的控制装置验证了所传输的权限是否实际上已被传输。

根据本发明的优选的改进方案，第一数据密码和/或第二数据密码分别包含多个组成部分，从而对于通过使用数据密码的加密而言，该数据密码的另外的组成部分能用作通过使用各自的数据密码的签名。

如上所陈述地那样，通过使用第一数据密码来实施加密和签名。在此可以根据此处所描述的优选设计方案而设置的是，将第一数据密码的不同组成部分一方面用于签名，而另一方面用于加密。因此，在此意义上，数据密码包含被考虑用于加密和签名的多个组成部分。

根据本发明的优选实施方式，根据本发明的方法还包括另外的步骤，以便将权限从第二级别的使用者及其能移动的第二通信设备传输到第三级别的使用者和与之相配属的能移动的第三通信设备上。为此，在能移动的第二通信设备中提供(产生)第三级别的数据包，其中，第三级别的数据包至少包含唯一的第三身份识别标识和第二参考数据，第二参考数据包含至少针对第一级别的和/或第二级别的数据包中的一个数据包的参考。此外，在第三级别的数据包中包含具有对受保护的设备的访问权限的列表的第三数据集，其中，第三数据集是第二数据集的子集。此外，包含有以第一数据密码加密的第一数据容器，第一数据容器从第二级别的数据包中获取。此外，还包含有以第二数据密码加密的第二数据容器，该第二数据容器至少包含唯一的第二身份识别标识。通过使用第二数据密码在能移动的第二通信设备中对第三级别的数据包签名，并且将其作为被签名的第三级别的数据包传送给能移动的第三通信设备。该能移动的第三通信设备配属于第三级别的使用者，第三级别的使用者在受保护对象的使用权限方面在等级上处于第二级别的使用者下级。

根据本发明的此进一步扩展阶段能够实现的是，在没有第一级别的使用者及其能移动的第一通信设备的进一步辅助的情况中授予权限，此外无需中央管理装置的辅助，并且也无需受保护对象的控制装置的协同作用。在此显见，被加密的数据容器从上级的等级层面，即能移动的第二通信设备被转发，其中，该数据容器被附着，并且因此能移动的第三通信设备获取了来自上一层级的被加密的数据容器。在此，应该注意的是，这些数据容器分别以不同的数据密码被加密，并且对于能移动的第三通信设备来说都是不可读取的。

但是在访问受保护对象时，控制单元在传送数据包之后在与每个能移动的通信设备进行数据交换之后能够至少首先将以第一数据密码加密的容器解密，该第一数据密码也已被传送给受保护的设备的控制装置。因为在该容器中又存在有将下一个下级层级的容器加密的第二数据密码，所以能够对容器逐步解密并且检查签名。待受保护对象的控制装置仅需知道在开始时其具有哪个数据包的内容，对此可以考虑使用数据包中的参考。

根据本发明的优选的设计方案，利用第二通信设备来实现对受保护对象的访问。第二通信设备已从初级的使用者的第一通信设备获得了第二级别的数据包。第二级别的使用者以其能移动的第二通信设备接近受保护的设备的控制装置，尤其是与控制装置进行数据通信。在此，将第二级别的数据包从能移动的第二通信设备传输给受保护的设备的控制装置。控制装置从第二级别的数据包中读出第一参考数据，并且在控制装置内调用通过此第一参考数据所参考的第一级别的数据包的内容。应记得，第一级别的数据包从中央管理装置被传输给待受保护对象的控制装置。在调用该数据包之后，待受保护对象的控制装置尤其拥有了第一数据密码，并且因此验证其从能移动的第二通信设备获得的第二级别的数据包的签名。在成功验证之后，通过使用第一数据密码在控制装置内将源自第二级别的数据包的第一数据容器解密。随后，如果应提供超过一个层面的分等级的授予，则可以对来自经解密的容器的唯一的身份识别标识进行验证，并且也将第二数据密码存储在待受保护对象的控制装置中。最后，根据来自第一数据集的访问权限验证来自第二级别的数据包的第二数据集的访问权限，因此检查了访问权限是否在第一级别的数据包的可授予的权限的范围内。

如果所有这些检查都成功，则待受保护对象的控制装置将来自第二数据集的访问权限保护为第二通信设备的访问权限。以此，已经以安全的方式授予了第二级别的使用者对待受保护的对象的访问，而在访问对象之前无需发生连接。

类似地，在本发明的优选实施方式中，对待受保护的对象的访问通过第三级别的使用者以能移动的第三通信设备来进行。又在能移动的第三通信设备与受保护的设备的控制装置之间建立了连接。第三级别的数据包从能移动的第三通信设备被传输给受保护的设备的控制装置。因为参考数据是未加密的可读取的参考数据，所以受保护对象的控制装置可以读取这些参考数据，并且找到存储在控制装置内的更高级别的数据包。在此很可能的是，第一级别的数据包和第二级别的数据包都已存在于控制装置内，但是无论如何都存在第一级别的数据包，第一级别的数据已从中央管理装置被传输给受保护对象的控制装置。随后，通过使用来自第一级别的数据包的第一数据密码在控制装置中解密第一数据容器。在该数据包中包含有第二数据密码，现在以该第二数据密码来检验第三级别的数据包的签名。如果该签名检查成功，则从已解密的第一数据容器中检查身份识别标识。这可以针对身份识别标识进行测试，在第一级别的数据包中的该身份识别标识在受保护对象的控制装置中从中央管理单元获得。

最后，根据来自第一数据集的访问权限验证来自第三数据集的访问权限，尤其是验证访问权限是否不超过根据第一级别的数据包的可授予的访问权限。如果结果为肯定，则将来自第三数据集的访问权限作为第三通信设备的访问权限存储在受保护对象的控制装置中。

根据以上描述显见的是，根据本发明的方法的逐级解密和检查成为可能，即通过对数据容器逐步的解密并且以在先前已解密的数据容器中包含的数据密码对下级的数据容器的解密而成为可能。该数据容器的链允许受保护的设备的控制装置验证使用权限。

根据本发明的另一方面设置的是，也实现了将第一数据包从中央管理装置经由能移动通信设备传输给受保护对象的控制装置。

当在中央管理装置和待受保护的对象的控制装置之间无法进行数据传输时，例如由于暂时无法到达待受保护的对象，则本发明的此方面尤其有益。在车辆的情况中，这例如可以是车辆停在地下停车场中的情况。

根据本发明的此方面，第一数据包的传输在加密的数据容器中进行，该数据容器从中央管理装置被传输给能移动的第一通信设备。与本发明的第一方面不同的是，该数据容器包含在第一数据包中，但是该数据容器已使用与受保护对象中的控制装置相配属的密码被加密。该数据容器的内容相应地也对于能移动的第一通信设备来说是无法解密的，并且因此不可访问。取代地，该容器贯穿权限授予的所有继承级别地被容纳到数据包中。

于是当在受保护对象的控制装置中从能移动通信设备传输有第二级别或第三级别或进一步下级的级别的数据包时，则受保护对象的控制装置能够利用其存储的特殊的密钥来解密数据容器，并且紧跟着执行根据本发明的第一方面的方法。本发明的此方面因此与本发明的第一方面的不同之处在于，没有进行将第一数据包从中央管理装置直接传输给受保护对象的控制装置，而是该数据传输与其余的数据包一起实现，而在其间任何人都无法获得对所运输的数据容器的访问。

根据本发明第二方面的方法进行如下：

首先，在受信任的中央管理装置中创建第一级别的数据包，其中，第一级别的数据包首先包含唯一的第一身份识别标识以及具有对受保护的设备的访问权限的列表的第一数据集。此外，第一级别的数据还包含第一数据密码，第一数据密码能被用于加密和解密数据。

该第一级别的数据包在受信任的中央管理装置中被加密，其中为了进行加密使用到对于受保护对象的控制装置来说确定的第一对象数据密码。该第一对象数据密码与受保护对象的控制装置相匹配，其中，将至少一个第二对象数据密码存储在该控制装置上，其中，第一对象数据密码和第二对象数据密码如下这样地相互协调，即，使得对于受保护对象的控制装置来说以第一对象数据密码加密的第一级别的数据包能通过使用第二对象数据密码被解密。

原则上在对称加密的情况中，第一对象数据密码与第二对象数据密码之间可以存在一致性，但是加密也可以是使用不同的数据密码的非对称加密。

未加密的第一级别的数据包与被加密的第一级别的数据包一起被传送到指定给第一级别的使用者的能移动的通信设备。

因此，能移动的第一通信设备拥有了经加密和解密形式的相同的信息，其中，能移动的第一通信设备无法访问被加密的信息本身，这是因为能移动的第一通信设备缺少用于解密的第二目标数据密码。如果第一级别的使用者希望授予对受保护的设备的访问权限，则第一级别的使用者在能移动的第一通信设备中提供第二级别的数据包。第二级别的数据包又包含唯一的第二身份识别标识以及第一参考数据，该第一参考数据被证明源于尤其是第一级别的数据包的数据包。此外，获得了包含对受保护的设备的访问权限的列表的第二数据集，其中，第二数据集是第一数据集的子集。最后，又包含第二数据密码，该第二数据密码能被用于数据的加密和解密。

此外，第二级别的数据包包含以第一对象数据密码加密的第一级别的数据包。因此，该数据包以对于所有能移动的通信设备都是不可读取的方式被添加到第二级别的数据包内。最后，还包括以第一数据密码加密的第一数据容器，第一数据容器至少获得唯一的第一身份识别标识和第二数据密码。通过使用第一数据密码对第二级别的数据包签名。最后，将被签名的第二级别的数据包传送给配属于第二级别的使用者的能移动的第二通信设备，其中，第二通信设备在等级上处于第一通信设备下级

根据本发明的此方面，在第二通信设备中，在数据包内存在不同的数据容器，其中，这些数据容器中的一个数据容器仅通过受保护对象中的控制装置可读取。该容器于是又包含用于将以第一数据密码加密的另外的数据容器解密所要求的信息。

以此方式，即使在中央管理装置与受保护对象的控制装置之间不存在连接的情况中，也能传递受保护对象的控制装置所要求的信息。

如果第二级别的或第三级别的使用者带着其能移动的第二通信设备或能移动的第三通信设备接近受保护对象以用于进行访问，则将各自的数据包传输给受保护对象的控制装置。然后，受保护对象的控制装置首先以所存储的第二对象数据密码将已用第一对象数据密码加密的容器解密。如果发生这种情况，则将受保护对象的控制装置在其数据储量方面置于如下状态中，即如同根据本发明的第一方面在中央管理装置与受保护对象的控制装置之间存在连接时所具有的状态。因此，后续的验证阶段也相应于上述方法。

附图说明

现在将根据附图更详细地解释本发明。

图1示意性地示出根据本发明的第一实施例的传送路径和授予流程；

图2在示意图中示出根据第一实施例的对数据包的创建和传送；

图3示意性地示出根据本发明第二实施例的传送路径和授予流程；

图4在示意图中示出根据第二实施例的对数据包的创建和传送。

具体实施方式

在图1中示意性地示出了具有三个使用者的访问权限的授予流程。中央管理装置1通过与通信网络连接的服务器形成。通信网络可以例如是经由有线连接的和无线的网络连接创立的互联网。在此示例中，受保护的设备是车辆2，在车辆中布置有控制装置3。控制装置3与车辆2的车载系统关联，以便启用或禁用对特定的车辆功能、例如门和翻盖的解锁或发动机的启动的访问。控制装置3可以例如经由无线的gsm连接与中央管理装置1连接。

图1中此外还示出了不同层级的三个使用者。使用者a为第一级别的使用者，使用者b为第二级别的使用者，而使用者c为第三级别的使用者。这意味着使用者a将使用车辆2的权限授予给使用者b。使用者b其本身又将使用车辆2的权限授予给使用者c。相应地，使用者b和c在等级上处于使用者a下级，这是因为他们的权限来源于使用者a的授予。使用者c处于两个使用者a和b下级，这是因为他的权限来源于使用者a的权限和使用者b的所得授予的权限。

在图1中示意性地示出了通信路径的流程。根据此实施例，首先，在受信任的中央管理装置1中生成第一级别的数据包，并且将其经由路径5传送给使用者a。在此，该传送不是发生在使用者a的人身上，而是在使用者a所使用的能移动的第一通信设备上发生，即在此情况中在能移动电话上发生。此外，经由连接路径6将第一数据包传送给车辆2，更确切而言是传送给车辆2的控制装置3。现在，使用者a经由其能移动的第一通信设备并且控制装置3都拥有了关于访问权限的相应的信息。

原则上，使用者a现在为了访问而可以使用其能移动的第一通信设备与车辆的控制装置3进行接触，其中，于是，在使用者的能移动的第一通信设备上存储的信息与经由路径6获得的信息在控制装置3中进行比较，并且授予访问权限。这种过程在本领域中是众所周知的。但是根据本发明能够让使用者a实现的是，将其权限全部或部分地转发给具有能移动的第二通信设备的使用者b。为此，使用者a创建数据包并且将该数据包经由数据路径7传送给能移动的第二通信设备。尤其地，数据路径7可以尤其是使用者a的能移动的第一通信设备与使用者b的能移动的第二通信设备之间的蓝牙连接。如前文描述中所陈述地，使用者b现在原则上也可以访问车辆2。在该实施例中，第二级别的使用者，即使用者b获得了将其部分的访问权限授予给使用者c的可能性。为此，使用者b以其能移动的第二通信设备将由能移动的第二通信设备创建的数据包经由数据连接8传送给使用者c的能移动的第三通信设备。然后，使用者c经由例如也是蓝牙连接的数据连接9在其能移动的第三通信设备与控制装置3之间实现关联，并且传送其拥有的数据包。控制装置3能够验证使用者c的权限是否来源于使用者b和a，如下图所示。重要的是，在此实施例中，仅经由连接6向控制装置3通知关于将权限指定给使用者a的信息，而不通知关于从a向b或从b向c的权限授予。

图2示意性地示出了在图1中以箭头所示的数据包的内容。

数据包5a是第一级别的数据包，并且在受信任的中央管理装置1中生成，并且经由传输路径5被传送给使用者a的能移动的第一通信设备。此数据包5a由受信任的中央管理装置用以证书p_t签名，从而使用者a的能移动的第一通信设备可以验证数据包5a的来源和完好性。数据包5a包含明确的第一身份识别标识id_a以及第一数据集perm_1，第一数据集包含对车辆2的访问权限的列表。对应于第一数据集perm_1地此外还包含具有授予权力dlg_1的数据集。该具有授予权力的数据集确定了，能够将访问权限perm_1中的哪些授予给下级的使用者。以此方式，中央管理装置1原则上可以限制用于转发使用权限的权限。最后，数据包5a包含第一数据密码key_a(密钥)。数据包5a经由数据路径6从中央管理装置1还被传送给车辆2的控制装置3。在此方面应注意到，尽管两个单元(即一方面是控制装置3，并且另一方面是使用者a的能移动的第一通信设备)获得相同的使用数据，但是这些使用数据很可能被包括在不同的较大数据单元中。例如，在周期性的、例如一天多次发生的中央管理装置1到控制装置3的更新信息传送的范围内，传送可以在路径5上进行。

使用者a现在原则上能够在其能移动的第一通信设备上以数据包5a访问车辆2。但是这不是本发明的主题，这是因为这相当于根据现有技术的访问。

根据本发明，使用者a将其部分权限授予给使用者b。为此，在能移动的第一通信设备中生成数据包7a，并且将其传送给使用者b，更确切而言，传送给使用者b的能移动的第二通信设备。在能移动的第一通信设备中生成的数据包7a包含明确的第二身份识别标识id_b以及对数据包5a的参考ref_a。参考指示了权限授予来源于哪个数据包。另外，在数据包7a中包含有第二数据集perm_2和所配属的授予限制dlg_2，授予限制指示了拥有数据包7a的使用者b应该对车辆2具有何种访问权限。最后，增补了第二个数据密码key_b，当使用者b想要继续授予其权限则需要该数据密码。

此外，数据包7a包含数据容器7b，数据容器以数据密码key_a加密。数据容器7b因此对于使用者b的能移动的第二通信设备是不可读取的，这是因为能移动的第二通信设备不具有该密钥key_a。在被加密的数据容器7b内包含有第一数据包5a的唯一的身份识别标识id_a和第二数据密码key_b。整个数据包7a以数据密码key_a被签名。

使用者b现在又想要将其对车辆2的部分访问权限授予给使用者c。为此，使用者b以其能移动的第二通信设备生成数据包8a，并且经由数据连接8将该数据包传输给使用者c的能移动的第三通信设备。数据包8a包含有明确的第三身份识别标识id_c以及包含对第一数据包5a和第二数据包7a的参考。因此，参考数据以等级列表序列的构造方式显示权限的来源。此外，在第三数据集perm_3中限定了使用者c对车辆2的访问权限，以及与访问权限相配属的授予权力dlg_3和数据密码key_c。

数据包8a此外还包含有数据容器7b和新的数据容器8b，数据容器很大程度上不改变地从数据包7a延承，而新的数据容器以第二数据密钥key_b被加密并且包含有第二身份识别标识id_b和数据密码key_c。整个数据包8a以第二数据密钥key_b被签名。

在此实施例中，使用者c现在以其能移动的第三通信设备接近车辆2，并且经由数据连接9将数据包8a传输给控制装置3。

控制装置3拥有数据包5a，该数据包事先由中央管理装置经由数据连接6传送。控制装置3首先无法验证数据包8a的签名，这是因为控制装置3不拥有第二数据密钥key_b。但是第一数据密码key_a存在于控制装置3中。因为在图2中在数据包8a中以上阐述的数据虽然被签名但是未被加密，所以控制装置3可以读出参考ref_a和ref_b。因此，控制装置3相应地调用数据包5a的内容，这是因为该数据包由参考信息ref_a被明确地参考。然后，控制装置3使用来自经参考的数据包5a的第一数据密码key_a的信息来解密数据容器7b。然后可以验证被加密的数据包内的明确的身份识别标识是否相应于数据包5a的唯一的身份识别标识id_a。如果是此情况，则可以使用来自数据容器7a的第二数据密码key_b来解密数据容器8b。又可以检查，唯一的身份识别标识id_b与参考值ref_b是否指示了相同的数据包。此外，可以以数据密码key_b来验证数据包8a的签名。

因为以此方式已创立了可信的加密，所以控制装置3然后就信任了数据包8a的内容，并且将访问权限perm_3作为使用者c的访问权限以他的能移动的第三通信设备来输入。但是，这仅在访问权限与授予列表dlg_1中存在被允许的访问权限的授予相一致的情况下才进行。

鉴于该图示显见的是，在权限授予的每个阶段中添加了加密的容器，容器的内容不能被较低层级的使用者查看或更改，但是该容器被考虑用于通过控制装置3进行对权限的验证。只有当表示权限等级的起源的其中一个数据容器应通过控制装置3的从受信任的中央管理装置1获得的数据被解密时，在此才通过控制装置3方可成功验证整个数据包的签名。

此外显见的是，在没有中央管理装置1的协同作用并且也没有控制装置3的协同作用的情况下，进行将使用者a的权限给予使用者b并且从使用者b给予使用者c。

图3示出了根据本发明的第二实施例和方面的本发明的实施方案。在此方案中显见的是，权限授予仅从一个使用者到另一使用者进行，但是其中，在此在受信任的中央管理装置1与具有其控制装置3的车辆2之间无数据连接。车辆2例如处在地下停车场中并且不能访问通信网络。

在此示例中，数据包经由数据传输路径10从中央管理装置1被传送给使用者a的能移动的第一通信设备。使用者a从其能移动的第一通信设备经由数据传输路径11向使用者b及其能移动的第二通信设备授予使用权限。然后，使用者b以其能移动的第二通信设备经由数据路径12访问车辆2的控制装置3。

图4示出了根据本发明第二方面的实施例的包内容。

如在尤其是图2的第一实施例中的情况中，使用者a利用其能移动的第一通信设备经由数据路径10从中央管理装置1获得数据包10a。该数据包包含如上述的实施例中的数据集，即包含有唯一的第一身份识别标识id_a、访问权限perm_1的第一列表和所属的授予权力dlg_1和第一数据密码key_a。这些信息设有受信任的中央管理装置1的签名p_t。

但是除去前述实施例之外，在数据包10a内还包含有被加密的数据容器10b。该被加密的数据容器10b对于使用者a的能移动的第一通信设备来说是不可读取地被与车辆2的控制装置3相协调的第一对象数据密码p_so加密。该密钥例如是已存储在控制装置3内的并且被受信任的中央管理装置1已知的但不被能移动的第一通信设备已知的密钥。当在中央管理装置1与控制装置3之间无法实现直接连接时，该数据容器10b被用于向控制装置3提供数据包的内容。在此情况中，在第一实施例中所示的数据路径5相应地不可用，从而使用于控制装置3的数据包的内容以加密的方式被整合到数据包10a内。经由例如蓝牙连接的数据路径11，使用者a及其能移动的第一通信设备可以向使用者b让予对车辆2的访问权限。为此创建数据包11a，该数据包包含有由能移动的第一通信设备所生成的值。尤其地，包括有唯一的第二身份识别标识id_b。此外，参考ref_a存在于第一数据包10a上。此外，又包含有访问权力perm_2的列表和所属的授予权限dlg_2、以及第二数据密码key_b。在数据包11a包含有以第一对象数据密码p_so加密的数据容器10b，以及包含有数据容器11b，该数据容器以第一数据密码key_a被加密并且包含有唯一的第一身份识别标识id_a和第二数据密码key_b。整个数据包11a以第一数据密码key_a签名。

使用者b现在以其能移动的第二通信设备与控制器3进行通信连接12。控制装置3此刻完全不知道使用者a的权限授予以及使用者a现有的访问权限，这是因为数据包10a在此尚未被接收。现在，控制装置3分析数据包10a的内容。为此，利用已存在于控制装置3内的包含有密钥p_so的第二对象数据密码将数据容器10b解密。如果成功解密，则控制装置3就拥有了数据包10a的内容，并且现在可以处理其余的信息，如在先前实施例中陈述了这一情况。因此，控制装置3现在能够通过容器运输来存储使用者a的权限。但是通过所存储的并且从数据容器10b解密的第一数据密码key_a也能够实现的是，解密第二容器11b以及检查数据包11a的签名。在以上示例中，然后可以在控制装置3中检查使用者a向使用者b的权限授予，并且可以向使用者b让予相应的访问权限。

显见的是，在根据图1和2的实施例中以及在根据图3和4的实施例中仍可以跟随任何另外的等级，其中，然后分别添置具有不同的数据密码的被加密的数据容器。但是，为了清楚起见，在这种情况中的图示仅限于三个使用者或两个使用者的情况。