Die Erfindung betrifft ein Zutrittskontrollverfahren für Geräte, welche erst nach Identifikation des Benutzers die Durchführung gewisser geschützter Operationen, bzw. den Zutritt zu geschützten Dateien ermöglichen und eine Vorrichtung zur Durchführung des Verfahrens.
In der modernen Datenverwaltung und der Datenübermittlung besteht sehr oft das Bedürfnis und/oder die Notwendigkeit, den Zutritt zu bestimmten Dateien und Daten bzw. den Zugriff auf bestimmte Funktionen des Gerätes auf einen bestimmten Anwenderkreis zu beschränken. Insbesondere im Bereich der Sicherheitstechnik (z.B. Chiffriergeräte) stellt sich häufig das Problem, dass Geräte bzw. Apparate installiert sind, welche zwei oder mehrere Klassen von Manipulationen erfordern: einerseits sind Operationen nötig, welche vom sicherheitstechnischen Standpunkt aus gesehen unkritisch sind, wie z.B. die Überwachung und Kontrolle des Zustandes der Datenleitungen, andererseits muss auch die Möglichkeit gegeben sein, sensitive Operationen, wie z.B. das Umschalten vom Chiffrierbetrieb auf Klarbetrieb, durchzuführen, also Operationen, deren Durchführung bzw.
Aktivierung verständlicherweise nur einem begrenzten Anwenderkreis nach Identifikation des Benützers zugänglich sein soll.
Es existieren viele verschiedene Möglichkeiten, eine solche Identifikation durchzuführen. Die klassische Methode besteht in der Verriegelung der entsprechenden Funktion durch ein mechanisches Schloss. Ein Benützer identifiziert sich dann durch den Besitz des dazugehörigen Schlüssels. Der Nachteil dieses klassischen Zutrittskontrollsystems aus Schlüssel und mechanischem Schloss besteht in der einfachen Reproduzierbarkeit von Schlüsseln, wodurch auch nichtautorisierte Benutzer Zutritt zu geschützt geglaubten Bereichen des Gerätes erlangen können.
Darüber hinaus kommt es oft auch vor, dass ein Benützer oft mehrere verschiedene derartige oder ähnliche Geräte bedienen muss, was im Falle des mechanischen Schlosses mit zugehörigen Schlüsseln dazu führt, dass der Benützer immer eine Vielzahl verschiedener Schlüssel bei sich tragen muss, was wiederum ein beträchtliches zusätzliches Sicherheitsrisiko beinhaltet. Der Ausweg, einen Hauptschlüssel zu verwenden, ist nicht praktikabel, da oft mehrere Benützer verschiedene Teilmengen einer Menge von Geräten gemeinsam benützen, bzw. verschiedene Klassen von Zutrittsberechtigungen für gleiche Geräte besitzen.
Neuerdings kommen oft auch elektronische Zutrittskontrollsysteme zum Einsatz, in welchen der elektronische Schlüssel als sogenanntes Token ausgebildet ist. Es handelt sich dabei um ein kleines, mobiles, portables elektronisches Gerät, welches gewisse Funktionen eines Kleinrechners übernehmen kann. Ein solches Token kann z.B. als Chipkarte realisiert sein. Die Identifikation des Benützers eines derartigen Token erfolgt auf Basis von geheimen Chiffrierschlüsseln, welche im Gerät und im Token implementiert sein müssen. Derartige bekannte elektronische Zutrittskontrollsysteme weisen die gleichen Nachteile auf, wie die bekannten klassischen.
Zusätzlich besteht die Gefahr, dass bei der Einstellung weiterer Tokens für Zutrittsberechtigungen neuer Personen, durch Umkopieren von geheimen Chriffrierschlüsseln auf diese Token diese Chriffrierschlüssel auch nichtautorisierten Personen bekannt werden können.
Es besteht daher die Aufgabe, ein Zutrittskontrollverfahren zu schaffen, welches in einfacher und sicherheitstechnisch verlässlicher Weise zwei Aufgaben erfüllt: Einerseits soll einem begrenzten Personenkreis der Zutritt zu einem Gerät, bzw. zu verschiedenen Funktionen eines Gerätes ermöglicht werden. Andererseits soll ein Token Zutritt zu mehreren Geräten verschaffen. Das Verfahren soll es erlauben, auf einfache (ohne Umweg über eine Zentrale) und sicherheitstechnisch unbedenkliche Art zusätzliche Zutrittberechtigungen entweder einer Person auf weitere Geräte auszudehnen oder einer neuen Person zu bestehenden Geräten zu schaffen. Darüber hinaus soll für jedes Gerät-Token-System nur ein einziger geheimer Chiffrierschlüssel existieren.
Diese Aufgabe wird durch ein erfindungsgemässes Verfahren, welches im Kennzeichen des Patentanspruches 1 beschrieben ist, gelöst.
Die zweite Aufgabe, eine Vorrichtung zur Durchführung des erfindungsgemässen Verfahrens zu schaffen, wird durch eine Vorrichtung gemäss Kennzeichen des Patentanspruches 2 gelöst.
Im folgenden wird eine beispielsweise Ausführungsform der Erfindung anhand der Zeichnungen näher erläutert. Es zeigen:
Fig. 1 eine symbolische Darstellung eines beispielsweise als Chipkarte ausgebildeten Tokens,
Fig. 2 den Teil des einem Token zugeordneten Gerätes, welcher die Identifizierungsfunktionen durchführt mit schematischer Blockdarstellung seiner internen Funktionen.
Fig. 3 eine schematische Blockdarstellung des Tokens und seiner internen Funktionen.
Das beispielsweise betrachtete Zutrittskontrollsystem besteht einerseits aus einem oder mehreren Geräten mit als Schloss dienenden Teilbereichen S des Gerätes, durch welches gewisse Funktionen des (der) Geräte(s) vor nicht autorisierten Benutzern geschützt werden sollen. Andererseits stehen zur Benutzeridentifikation ein oder mehrere als Schlüssel dienende Tokens T zur Verfügung.
In Fig. 1 ist ein Token T dargestellt, welches als Chipkarte 20 mit einer mehrere Speicherplätze 8 umfassenden Rechen- und Speichereinheit ausgebildet ist.
Fig. 2 zeigt schematisch den als Schloss dienenden Widerpart S zu dem Token zugeordneten Gerät mit schematischer Blockdarstellung der internen Funktionseinheiten dieses Geräteteils S.
Er umfasst einen Permanentspeicher 2, einen Zufallsgenerator 3, einen Chriffrierblock 4 und eine Vergleichseinheit 5. Übergeordnet über die zentralen Funktionseinheiten wacht und steuert eine Kontrolleinheit 1. Zusätzlich ist dieser Teil S des Gerätes mit einem Interface 6 ausgestattet, welches als Andock-port und Schnittstelle für das zugeordnete Token T dient.
Fig. 3 zeigt schematisch das Token T und seine wichtigsten Funktionsblöcke. Es umfasst in Entsprechung zu seinem Widerpart S aus zugeordnetem Gerät eine Speichereinheit 8 und einen Chiffrierblock 10, welche von einer Token-Kontrolleinheit 9 gesteuert und überwacht werden. Als Kommunikationsschnittstelle dient ein Interface 7, über welches Informationen an den zugeordneten Geräteteil S übermittelt bzw. von diesem empfangen werden können.
Die Zutrittskontrolle in dem hier betrachteten System geschieht grundsätzlich nach dem bekannten "challenged response"-Prinzip, dessen Schema durch Pfeile in Fig. 2 und 3 angedeutet ist. Die Kontrolleinheiten 1, 9 stehen in Wechselwirkung mit allen jeweils zugeordneten Funktionsblöcken. Aus Gründen einer besseren Übersichtlichkeit wurde darauf verzichtet, diese Wechselwirkung in den Fig. durch Pfeile anzudeuten.
Teil S des Gerätes und Token T verfügen über gemeinsame Geheimschlüssel in ihren (nichtflüchtigen) jeweiligen Speichern 2 bzw. 8. Zuerst wird im Teil S des Gerätes in einem Zufallsgenerator 3 ein Zufallsmuster erzeugt, welches über die Schnittstellen 6 und 7 an das Token T gesendet wird. Anschliessend wird das Zufallsmuster in Gerät und Token in einem Chiffrier-Block 4 bzw. 10 unter der Steuerung durch den aus den Speichern 2 bzw. 8 bezogenen Schlüsseln chiffriert. Das im Token T erzeugte Resultat wird über das Interface 7 bzw. 6 an das Gerät gesendet. Im Gerät geschieht ein Vergleich (Block 5). Ist der Vergleich positiv, so steuert der Vergleichsblock (5) den Kontroll-Mechanismus (1) des Gerätes, so dass die gewünschte Funktion ausgeführt wird. Die gesamten Funktionsabläufe werden in Gerät bzw. Token durch die Kontrolleinheiten 1 bzw. 9 gesteuert.
Die Funktionsfähigkeit des Tokens T und auch der Geräteteile S kann im Sinne einer weiteren Erhöhung der Sicherheit von einem einzugebenden Codewort (PIN für Personal Identification Number) abhängig gemacht werden. Dieser Mechanismus ist aus Gründen der Übersichtlichkeit in den Blockschaltbildern von Fig. 2 und 3 nicht eingezeichnet.
In Gerät S und Token T wird eine Menge von n (z.B. n=16) Schlüsseln für die Zutrittskontrolle definiert. Jeder dieser Schlüssel ist durch einen Identifikator (KID für Key Identifier) bezeichnet. Für jede Kombination Token T, Gerät S wird ein eigener Schlüssel erzeugt und in beiden Systemteilen auf korrespondierenden Speicherplätzen in Tabellenform abgelegt. Diese Tabelle ordnet insbesondere jedem KID den Inhalt des Schlüssels (z.B. 64 Bit) und eine Flagge, welche die Gültigkeit bezeichnet ("Present Flag") enthält.
Der Zustand solcher Tabellen kann nach einigen Operationen z.B. wie folgt aussehen:
<tb><TABLE> Columns=7
<tb>
<tb>Title: Schlüsseltabelle im Gerät 1
<tb>Title: Schlüsseltabelle im Gerät 2
<tb>Head Col 01 AL=L: KID
<tb>Head Col 02 AL=L: Inhalt
<tb>Head Col 03 AL=L: Present-flag
<tb>Head Col 05 AL=L: KID
<tb>Head Col 06 AL=L: Inhalt
<tb>Head Col 07 AL=L: Present-flag
<tb> <SEP>1 <SEP>...... <SEP>not present <SEP>1 <SEP>...... <SEP>not present
<tb> <SEP>2 <SEP>...... <SEP>not present <SEP>2 <SEP>...... <SEP>not present
<tb> <SEP>. <SEP>.
<tb> <SEP>. <SEP>.
<tb> <SEP>5 <SEP>abcd <SEP>present <SEP>.
<tb> <SEP>. <SEP>.
<tb> <SEP>. <SEP>7 <SEP>igkl <SEP>present
<tb> <SEP>. <SEP>.
<tb> <SEP>. <SEP>.
<tb> <SEP>n <SEP>...... <SEP>not present <SEP>10 <SEP>efgh <SEP>present
<tb> <SEP>.
<tb> <SEP>n <SEP>......
<SEP>not present
<tb></TABLE>
<tb><TABLE> Columns=7
<tb>
<tb>Title: Schlüsseltabelle im Token A:
<tb>Title: Schlüsseltabelle im Token B:
<tb>
<tb>Head Col 01 AL=L: KID
<tb>Head Col 02 AL=L: Inhalt
<tb>Head Col 03 AL=L: Present flag <SEP>KID
<tb>Head Col 06 AL=L: Inhalt
<tb>Head Col 07 AL=L: Present flag
<tb> <SEP>1 <SEP>...... <SEP>not present <SEP>1 <SEP>...... <SEP>not present
<tb> <SEP>2 <SEP>...... <SEP>not present <SEP>2 <SEP>...... <SEP>not present
<tb> <SEP>. <SEP>.
<tb> <SEP>. <SEP>.
<tb> <SEP>5 <SEP>abcd <SEP>present <SEP>.
<tb> <SEP>. <SEP>.
<tb> <SEP>. <SEP>.
<tb> <SEP>7 <SEP>ijkl <SEP>present <SEP>10 <SEP>efgh <SEP>present
<tb> <SEP>. <SEP>.
<tb> <SEP>. <SEP>.
<tb> <SEP>n <SEP>...... <SEP>not present <SEP>n <SEP>...... <SEP>not present
<tb></TABLE>
Bei einem neuen Gerät ist die Funktion, welche die Erzeugung eines Tokens T erlaubt, nicht sicherheitssensitiv, d.h. sie kann ohne Identifikation durchgeführt werden. Nach der Erzeugung des ersten Tokens wird die Funktion als sicherheitssensitiv betrachtet, d.h. sie kann nur nach einer Identifikation mit einem früher erzeugten Token T ausgeführt werden.
Bei der Erzeugung von neuen Zutritts-Token T stellt sich das Problem der Bestimmung des für das neue Token T zu verwendenden Schlüssels bzw. seines KID's. Dieser KID wird nach folgendem Algorithmus bestimmt:
- Wähle den ersten KID in der Menge (1..n), so dass kein entsprechender Schlüssel im Gerät oder im Token "present" ist (d.h. dass der entsprechende Platz in Gerät und Token frei ist).
- Ist dies nicht möglich, so wähle den ersten KID in der Menge (1..n), so dass im Token der entsprechende Schlüssel nicht "present" ist (d.h. dass der entsprechende Platz im Token frei ist).
Ist dies nicht möglich, so erzeuge eine Fehlermeldung, welche besagt, dass das Token schon maximal ausgenützt ist.
Ist ein solcher KID gefunden worden, so wird im Geräteteil S ein Zufallsmuster erzeugt und unter diesem KID in Geräteteil S und Token T abgespeichert.
Der Ablauf der Zutrittskontrolle wird im folgenden beschrieben. Nach Verbinden von Geräteteil S und Token T über die Interfaces 6 und 7 erfolgt einfach eine Suche durch die Menge der KID (1..n) nach einem Wert, so dass
- ein entsprechender Schlüssel in Gerät und Token "present" ist und
- ein Challenged Response - Verfahren gemäss "State of Art" einen gültigen Vergleichswert liefert.
Hat dieses Verfahren Erfolg, so wird Zutritt gewährt, andernfalls nicht.
Im vorstehend genannten Beispiel ermöglicht Token A den Zutritt zu Gerät 1, Schlüssel abcd auf KID 5 stimmt überein, und zu Gerät 2, Schlüssel igkl auf KID 7 stimmt überein. Token B hingegen erlaubt nur den Zutritt zu Gerät 2, Schlüssel efgh auf KID 10 stimmt überein, welches aber auch dem Benutzer des Token A Zutritt gewährt, Schlüssel igkl auf KID 7 stimmt überein.
Dieses neue Zutrittskontrollsystem zusammen mit dem erfindungsgemässen Verfahren zur Erzeugung von Token T, d.h. zur Generierung von Zutrittsberechtigungen, sowie der neuartige Ablauf der Zutrittskontrolle eines Benutzers weist viele Vorteile gegenüber dem Bekannten auf.
Für ein Gerät können ohne zentrale Verwaltung bis zu n verschiedene Zutritts-Tokens erzeugt werden.
Ein Token kann ohne zentrale Verwaltung für bis zu n verschiedene Geräte als Zutritts-Token verwendet werden.
Der Besitzer eines gültigen Tokens kann weitere gültige Tokens erzeugen.
Die Geheimschlüssel werden nur für ein einziges Gerät/Token Paar verwendet bzw. für jedes Paar wird ein neuer Schlüssel erzeugt.
Die Erzeugung neuer Tokens verlangt kein Umkopieren von Geheimschlüsseln, welche für andere Tokens verwendet werden (Sicherheitsrisiko!).
Das Verfahren ist sehr einfach und kann deshalb auch in einer einfachen Zutrittskontrollsystemkonfiguration Gerät mit schlossartigem Geräteteil S - Token T effizient durchgeführt werden.
The invention relates to an access control method for devices which only allow certain protected operations or access to protected files to be carried out after the user has been identified, and a device for carrying out the method.
In modern data management and data transmission, there is very often the need and / or the need to restrict access to certain files and data or access to certain functions of the device to a specific group of users. Particularly in the field of security technology (e.g. encryption devices), the problem often arises that devices or apparatuses are installed which require two or more classes of manipulation: on the one hand, operations are necessary which are not critical from a security point of view, such as the monitoring and control of the status of the data lines, on the other hand, there must also be the possibility of sensitive operations such as switching from cipher mode to clear mode, i.e. operations, their execution or
Activation should understandably only be accessible to a limited group of users after identification of the user.
There are many different ways to do this. The classic method is to lock the corresponding function using a mechanical lock. A user then identifies himself by possessing the associated key. The disadvantage of this classic access control system consisting of a key and a mechanical lock is the simple reproducibility of keys, which means that even unauthorized users can gain access to areas of the device that are believed to be protected.
In addition, it often happens that a user often has to operate several different such or similar devices, which in the case of the mechanical lock with associated keys means that the user always has to carry a large number of different keys, which in turn is a considerable one includes additional security risk. The way out to use a master key is not practical, since often several users share different subsets of a set of devices or have different classes of access rights for the same devices.
Recently, electronic access control systems have also been used, in which the electronic key is designed as a so-called token. It is a small, mobile, portable electronic device that can perform certain functions of a small computer. Such a token can e.g. be implemented as a chip card. The identification of the user of such a token is based on secret encryption keys, which must be implemented in the device and in the token. Such known electronic access control systems have the same disadvantages as the known classic ones.
In addition, there is the risk that when additional tokens are set for access authorization for new people, by copying secret encryption keys to these tokens, these encryption keys can also become known to unauthorized persons.
There is therefore the task of creating an access control method which, in a simple and reliable manner, fulfills two tasks: on the one hand, access to a device or to various functions of a device is to be made possible for a limited group of people. On the other hand, a token is supposed to give access to several devices. The method is intended to make it possible (in a simple manner (without going through a control center) and in a manner that is not harmful to security) to extend additional access authorizations either to a person to other devices or to create a new person for existing devices. In addition, there should only be one secret encryption key for each device token system.
This object is achieved by a method according to the invention, which is described in the characterizing part of patent claim 1.
The second object of creating a device for carrying out the method according to the invention is achieved by a device according to the characterizing part of patent claim 2.
An exemplary embodiment of the invention is explained in more detail below with reference to the drawings. Show it:
1 is a symbolic representation of a token designed, for example, as a chip card,
2 shows the part of the device assigned to a token, which carries out the identification functions with a schematic block diagram of its internal functions.
Fig. 3 is a schematic block diagram of the token and its internal functions.
The access control system considered, for example, consists on the one hand of one or more devices with partial areas S of the device serving as a lock, by means of which certain functions of the device (s) are to be protected against unauthorized users. On the other hand, one or more tokens T serving as keys are available for user identification.
1 shows a token T, which is designed as a chip card 20 with a computing and storage unit comprising a plurality of storage locations 8.
2 schematically shows the counterpart S serving as a lock to the token, with a schematic block diagram of the internal functional units of this device part S.
It comprises a permanent memory 2, a random number generator 3, a encryption block 4 and a comparison unit 5. Superordinate over the central functional units, it monitors and controls a control unit 1. In addition, this part S of the device is equipped with an interface 6, which acts as a docking port and interface serves for the assigned token T.
3 schematically shows the token T and its most important functional blocks. Corresponding to its counterpart S from an assigned device, it comprises a storage unit 8 and an encryption block 10, which are controlled and monitored by a token control unit 9. An interface 7 is used as the communication interface, via which information can be transmitted to or received from the assigned device part S.
The access control in the system considered here basically takes place according to the known "challenged response" principle, the diagram of which is indicated by arrows in FIGS. 2 and 3. The control units 1, 9 interact with all respectively assigned function blocks. For reasons of better clarity, this interaction was not indicated by arrows in the figures.
Part S of the device and token T have common secret keys in their (non-volatile) memories 2 and 8, respectively. First, part S of the device generates a random pattern 3 in a random generator, which is sent to token T via interfaces 6 and 7 becomes. The random pattern in the device and token is then encrypted in a cipher block 4 or 10 under the control of the keys obtained from the memories 2 or 8. The result generated in token T is sent to the device via interface 7 or 6. A comparison is made in the device (block 5). If the comparison is positive, the comparison block (5) controls the control mechanism (1) of the device so that the desired function is carried out. The entire functional sequences are controlled in the device or token by control units 1 and 9, respectively.
The functionality of the token T and also of the device parts S can be made dependent on a code word to be entered (PIN for Personal Identification Number) in the sense of a further increase in security. For the sake of clarity, this mechanism is not shown in the block diagrams of FIGS. 2 and 3.
A set of n (e.g. n = 16) keys for access control is defined in device S and token T. Each of these keys is identified by an identifier (KID for key identifier). A separate key is generated for each combination of token T and device S and is stored in table form in both system parts on corresponding storage locations. In particular, this table assigns each KID the content of the key (e.g. 64 bits) and a flag that indicates the validity ("present flag").
The state of such tables can be e.g. look like this:
<tb> <TABLE> Columns = 7
<tb>
<tb> Title: Key table in device 1
<tb> Title: Key table in device 2
<tb> Head Col 01 AL = L: KID
<tb> Head Col 02 AL = L: content
<tb> Head Col 03 AL = L: Present-flag
<tb> Head Col 05 AL = L: KID
<tb> Head Col 06 AL = L: content
<tb> Head Col 07 AL = L: Present-flag
<tb> <SEP> 1 <SEP> ...... <SEP> not present <SEP> 1 <SEP> ...... <SEP> not present
<tb> <SEP> 2 <SEP> ...... <SEP> not present <SEP> 2 <SEP> ...... <SEP> not present
<tb> <SEP>. <SEP>.
<tb> <SEP>. <SEP>.
<tb> <SEP> 5 <SEP> abcd <SEP> present <SEP>.
<tb> <SEP>. <SEP>.
<tb> <SEP>. <SEP> 7 <SEP> igkl <SEP> present
<tb> <SEP>. <SEP>.
<tb> <SEP>. <SEP>.
<tb> <SEP> n <SEP> ...... <SEP> not present <SEP> 10 <SEP> efgh <SEP> present
<tb> <SEP>.
<tb> <SEP> n <SEP> ......
<SEP> not present
<tb> </TABLE>
<tb> <TABLE> Columns = 7
<tb>
<tb> Title: Key table in token A:
<tb> Title: Key table in token B:
<tb>
<tb> Head Col 01 AL = L: KID
<tb> Head Col 02 AL = L: content
<tb> Head Col 03 AL = L: Present flag <SEP> KID
<tb> Head Col 06 AL = L: content
<tb> Head Col 07 AL = L: Present flag
<tb> <SEP> 1 <SEP> ...... <SEP> not present <SEP> 1 <SEP> ...... <SEP> not present
<tb> <SEP> 2 <SEP> ...... <SEP> not present <SEP> 2 <SEP> ...... <SEP> not present
<tb> <SEP>. <SEP>.
<tb> <SEP>. <SEP>.
<tb> <SEP> 5 <SEP> abcd <SEP> present <SEP>.
<tb> <SEP>. <SEP>.
<tb> <SEP>. <SEP>.
<tb> <SEP> 7 <SEP> ijkl <SEP> present <SEP> 10 <SEP> efgh <SEP> present
<tb> <SEP>. <SEP>.
<tb> <SEP>. <SEP>.
<tb> <SEP> n <SEP> ...... <SEP> not present <SEP> n <SEP> ...... <SEP> not present
<tb> </TABLE>
In the case of a new device, the function which permits the generation of a token T is not security-sensitive, i.e. it can be carried out without identification. After the first token has been generated, the function is considered to be security-sensitive, i.e. it can only be carried out after identification with a previously generated token T.
When generating new access tokens T, the problem arises of determining the key to be used for the new token T or its KID. This KID is determined according to the following algorithm:
- Choose the first KID in the set (1..n) so that no corresponding key is "present" in the device or in the token (i.e. the corresponding space in the device and token is free).
- If this is not possible, select the first KID in the set (1..n) so that the corresponding key is not "present" in the token (i.e. the corresponding space in the token is free).
If this is not possible, generate an error message stating that the token has already been used to the maximum.
If such a KID has been found, a random pattern is generated in device part S and stored under this KID in device part S and token T.
The procedure for access control is described below. After connecting device part S and token T via interfaces 6 and 7, a search is simply carried out by the set of KID (1..n) for a value such that
- A corresponding key is present in the device and token and
- a challenged response procedure according to the "state of art" provides a valid comparison value.
If this procedure is successful, access will be granted, otherwise not.
In the above example, token A allows access to device 1, key abcd on KID 5 matches, and device 2, key igkl on KID 7 matches. Token B, on the other hand, only allows access to device 2, key efgh on KID 10 matches, which also grants access to token A user, key igkl on KID 7 matches.
This new access control system together with the inventive method for generating token T, i.e. for the generation of access authorizations, as well as the novel process of access control of a user has many advantages over the known.
Up to n different access tokens can be generated for a device without central administration.
A token can be used as an access token for up to n different devices without central administration.
The owner of a valid token can create other valid tokens.
The secret keys are only used for a single device / token pair or a new key is generated for each pair.
The generation of new tokens does not require the copying of secret keys that are used for other tokens (security risk!).
The process is very simple and can therefore be carried out efficiently even in a simple access control system configuration device with a lock-like device part S-Token T.