-
Die
Erfindung betrifft ein Schloss, einen Sicherheitsbehälter
mit einem derartigen Schloss, ein System zur Transportüberwachung
des Schlosses, ein Verfahren zum Steuern des Schlosses und ein Verfahren
zum Transport des Sicherheitsbehälters. Weiter betrifft
die Erfindung ein Verfahren zur Sicherung eines Sicherungsraumes,
dessen Tür mit einem derartigen Schloss gekoppelt ist.
-
Im
Speditionswesen werden Transportgüter oder Gegenstände
von einem Absender zu einem Empfänger gesendet. Um das
Transportgut auf dem Transportweg gegen Beschädigung und/oder
vor unbefugtem Zugriff zu schützen, wird von den Logistik- und
Speditionsunternehmen ein hoher Aufwand betrieben. Beispielsweise
werden für den Transport von unterschiedlichsten Gütern
Sicherheitsbehälter verwendet, die je nach Ausführung
des Sicherheitsbehälters mit verschiedenen Schlössern
oder Verschlussvorrichtungen ausgestattet sind. Es gibt Sicherheitsbehälter
in unterschiedlichen Größen und mit verschiedenen
Sicherheitsstandards. Ein Sicherheitsbehälter nimmt das
Transportgut auf und wird vom Absender verschlossen. Zum Öffnen
muss der Empfänger im Besitz des richtigen Schlüssels
sein. Je nach Ausführung des Schlosses kann der Schlüssel
entweder ein herkömmlicher mechanischer Schlüssel
oder ein elektronischer Zugriffscode sein.
-
Ein
mechanischer Schlüssel muss entweder sowohl beim Absender
als auch beim Empfänger vorhanden sein oder der mechanische
Schlüssel muss zum Empfänger geschickt werden.
Dadurch wird der Schlüssel selbst zum Sicherheitsrisiko.
Der Absender kann den Sicherheitsbehälter zwar erst dann
versenden, wenn der Schlüssel beim Empfänger eingetroffen
ist, was aber mit einem erheblichen zeitlichen und wirtschaftlichen
Aufwand verbunden und daher für die Praxis ungeeignet ist.
Außerdem ist es möglich, einen mechanischen Schlüssel
zu kopieren.
-
Ein
elektronisches Schloss lässt sich mit einem elektronischen
Zugriffscode als Schlüssel öffnen. Dazu ist jedoch
im Schloss ein schaltungstechnischer Aufwand erforderlich, der eine
Stromversorgung voraussetzt. Damit wird sowohl der Aufwand für das
Schloss als auch für einen Sicherheitsbehälter mit
einem derartigen Schloss erhöht. Um einen Sicherheitsbehälter
mit einem derartigen elektronischen Schloss zu öffnen,
benötigt der Empfänger zunächst den Zugriffscode,
der vom Absender zum Empfänger übertragen werden
muss. Der Zugriffscode muss aber auch im elektronischen Schloss
des Sicherheitsbehälters gespeichert sein und ist somit prinzipiell
für Dritte sichtbar. Zur Speicherung des Zugriffscodes
kann zwar ein Verschlüsselungsverfahren eingesetzt werden.
Mit einem Verschlüsselungsverfahren kann dennoch kein ausreichender
Schutz vor unautorisiertem Zugriff erreicht werden, da allen Verschlüsselungsverfahren
ein Berechnungsalgorithmus zugrunde liegt, dessen Struktur ermittelbar ist.
-
Ein
weiterer Nachteil eines elektronischen Schlosses mit einem Zugangscode
besteht in der Notwendigkeit ein Benutzerinterface zur Eingabe des Zugangscodes
bereitzustellen. Dies ist kostspielig und platzintensiv. Wird der
Sicherheitsbehälter beim Transport Erschütterungen
ausgesetzt, kann das Benutzerinterface zerstört werden,
so dass eine Öffnung auf normalen Weg nicht mehr möglich
ist.
-
In
der
EP 1 391 579 A2 wird
ein Sicherheitsbehälter beschrieben, der zur Eingabe und
zum Übertragen des Zugriffscodes an einen Personalcomputer
angeschlossen wird. Dabei wird der Computer als Eingabe- und Anzeigemedium
verwendet. Der über den Computer einzugebende Zugangscode ist
jedoch in der Schaltung des Sicherheitsbehälters gespeichert
und kann somit auch von unberechtigten Personen mit entsprechendem
Aufwand während des Transports ausgeforscht werden.
-
Deshalb
stellt ein derartiger Schlüssel grundsätzlich
ein Sicherheitsrisiko dar und kann von Dritten mit geeigneten Kenntnissen über
die Struktur des Schlosses (beispielsweise die Verschlüsselung
des Zugangscodes im Speicher des elektronischen Schlosses) ermittelt
werden. Damit sind herkömmliche elektronische Schlösser
nicht sicher vor dem Zugriff Dritter. Außerdem kann ein
Schlüssel als einzig notwendiges Mittel zum Öffnen
eines Sicherheitsbehälters in falsche Hände geraten,
wodurch ein weiteres Sicherheitsrisiko entsteht. Weiter besteht
die grundlegende Gefahr, dass selbst bei sicherer Ablieferung eines
Sicherheitsbehälters beim Unternehmen des Empfängers,
auf dem Weg innerhalb des Unternehmens Unberechtigte Zugriff auf
den Sicherheitsbehälter bekommen.
-
Es
ist daher eine Aufgabe der Erfindung ein Schloss für einen
Sicherheitsbehälter, einen Sicherheitsbehälter
mit einem Schloss, ein System zur Überwachung eines Schlosses,
ein Verfahren zum Steuern eines Schlosses und ein Verfahren zum Transport
des Sicherheitsbehälters anzugeben, die jeweils effektiv
gegen Manipulation geschützt sind.
-
Die
Aufgabe wird durch die Gegenstände der unabhängigen
Ansprüche gelöst. Bevorzugte Ausführungsformen
sind Gegenstand der Unteransprüche.
-
Zur
Lösung der Aufgabe schlägt die Erfindung vor,
das Schloss des Sicherheitsbehälters mit einem Speicher
auszustatten und auf diesem Speicher nur Daten abzulegen, die den
Sicherheitsbehälter eindeutig identifizieren und mit denen
an einem Computer eine Benutzerschnittstelle dargestellt werden
kann. Wird das Schloss von einem Benutzer an einem Computer angeschlossen,
so werden diese Daten automatisch an den Computer gesendet und der
Benutzer kann das Schloss über das Benutzerinterface steuern.
Jedoch sind zum Steuern des Schlosses vorbestimmte Steuerdaten notwendig,
die der Benutzer von einer vorbestimmten Stelle, bspw. einem Sicherheitsserver
im Internet abfragen oder anfordern kann. D. h., dass selbst ein
unberechtigter Computer bzw. Benutzer am Computer zwar das Benutzerinterface
erkennen und über dieses auch Benutzerdaten eingeben kann.
Diese Benutzerdaten werden jedoch nicht vom Sicherheitsserver verifiziert und
erzeugen somit keine Steuerdaten, die ein Öffnen des Schlosses
ermöglichen.
-
Ein
Schloss gemäß der vorliegenden Erfindung enthält
daher eine mechanische oder elektromechanische Schließvorrichtung
zum Verriegeln bzw. Entriegeln eines Schlosses eines Sicherheitsbehälters
oder einer Tür eines Sicherheitsraumes. Das Schloss umfasst
eine Steuereinheit zum Steuern der Schließvorrichtung und
einen Speicher. Der Speicher speichert Programmdaten zum Darstellen
eines Benutzerinterfaces auf einem Bildschirm eines Computers, der
an das Schloss angeschlossen wird. Weiter sind im Speicher Identifizierungsdaten
gespeichert, die das Schloss kennzeichnen. Das Schloss enthält
eine Schnittstelle zum Senden der Programmdaten und der Identifizierungsdaten
an den angeschlossenen Computer. Über die Schnittstelle werden
auch die Steuerdaten zum Steuern des Schlosses empfangen, nachdem
diese im Sicherheitsserver erzeugt wurden.
-
Durch
das Anzeigen des Benutzerinterfaces auf dem angeschlossenen Computer
ist es möglich, das Schloss von außen zu steuern.
Dadurch wird ein Großteil der Intelligenz des Schlosses
nach außen verlagert. Somit kann das Schloss mit einfachsten elektronischen
Mitteln aufgebaut werden, so dass es sich kostengünstig
herstellen lässt. Ein derartiges Schloss eignet sich hervorragend
für die Massenproduktion. Insbesondere benötigt
das erfindungemäße Schloss keinen zusätzlichen
Schlüssel. Während der Benutzer von herkömmlichen
elektronischen Schlössern einen korrekten Zugriffscode
eingeben muss, der dann im Schloss intern verglichen wird, muss
der Benutzer beim erfindungsgemäßen Schloss nur Kenntnis über
seine korrekten Benutzerdaten haben, die er beispielsweise über
die Benutzerschnittstelle eingibt. Durch die Verteilung der einzelnen
Daten auf verschiedene Stellen muss ein unbefugter Dritter, die Steuerung
des Schlosses, die mechanische Schließvorrichtung, die
Verschlüsselung und insbesondere die Erzeugung der Steuerdaten
im Sicherheitsserver verstehen, um das Schloss zu öffnen.
Das heißt, wenn es der Dritte wirklich schafft, einen richtigen verschlüsselten
Befehl einzugeben, dann ist noch nicht gewährleistet, dass
dieser Befehl auch die richtige Aktion am Schloss auslöst.
Deshalb müsste der Unberechtigte den gesamten verschlüsselten
Befehlssatz und auch die Auswirkungen auf das Schloss verstehen.
Somit wird durch die erfindungsgemäße Verteilung
der zum Öffnen/Schließen erforderlichen Daten
die Sicherheit des Schlosses und damit des Sicherheitsbehälters
bzw. des mit dem Schloss verschlossenen Raumes erhöht.
-
Um
die Anwendung für besonders unerfahrene Benutzer einfach
zu gestalten, kann die Schnittstelle zum Empfang von Befehlsdaten
vorgesehen sein, wobei die Befehlsdaten in direkter und unverschlüsselter
Weise das Schloss zum Ausführen einer bestimmten Aktion
wie Verriegeln und Entriegeln anweisen. Basierend auf diesen Befehlsdaten
kann das Schloss eine Steuerdatenanforderung über den Computer
an den Sicherheitsserver senden, der dann die Steuerdaten basierend
auf den Identifizierungsdaten und Benutzerdaten erzeugt. Bei der Übertragung
der Identifizierungsdaten kann der angeschlossene Computer dann
die Steuerdatenanfrage basierend auf den Befehlsdaten umwandeln
bzw. weiterleiten. Somit muss der Benutzer nur seine Benutzerdaten
kennen und die entsprechenden Befehlsdaten, die einfachstenfalls Öffnen
und Schließen lauten.
-
Basierend
auf den Befehlsdaten erstellt das Schloss die Steuerdatenanforderung,
die dann zum Sicherheitsserver zusammen mit den Identifizierungsdaten
und Benutzerdaten gesendet werden. Dort wird die Steuerdatenanforderung
in die Steuerdaten umgewandelt, die dann an das Schloss gesendet
werden und mit denen sich das Schloss sicher öffnen lässt.
-
Die
Steuerdaten können zum Öffnen und zum Schließen
des Schlosses vorgesehen sein. Diese beiden Befehle sind besonders
im Speditionswesen wichtig. Ein Absender eines mit dem Schloss verschlossenen
Sicherheitsbehälters kann somit sicher sein, dass nur der
richtige Empfänger die korrekten Steuerdaten zum Öffnen
des Schlosses eingeben kann, die den Sicherheitsbehälter öffnen.
Damit ist auch die Sicherheitslücke innerhalb des Unternehmens
gegen unberechtigten Zugriff geschlossen.
-
Zur
Behandlung von Ausnahmesituationen kann am Computer ein erster Notzugangscode
eingegeben werden, wobei im Speicher ein zweiter Notzugangscode
gespeichert ist. Empfängt das Schloss den ersten Notzugangscode
und stimmt dieser mit dem zweiten Notzugangscode überein,
kann die Steuereinheit beispielsweise selbst Steuerdaten erzeugen,
um das Schloss zu öffnen. Eine weitere Möglichkeit
ist, dass mit dem ersten Notzugangscode auch Befehlsdaten empfangen
werden, die basierend auf dem Vergleich direkt ausgeführt
werden, ohne eine Steuerdatenanfrage zu erzeugen. Dadurch lässt
sich das Schloss auch öffnen, wenn bspw. keine Verbindung
zum Sicherheitsserver möglich ist und somit keine korrekten
Steuerdaten gesendet werden können. Mit dem Notzugangscode
lässt sich gewährleisten, dass ein mit dem Schloss
verschlossener Sicherheitsbehälter von Personen oder Behörden
geöffnet werden kann, die zwar vom Absender zur Öffnung
nicht autorisiert sind, die jedoch den Sicherheitsbehälter
für Kontrollzwecke oder in Notsituationen trotzdem öffnen
müssen. Beispielsweise ist es möglich, dass kein
geeigneter Computer zum Eingeben von Benutzerdaten und keine Sicherheitsserver
zum Umwandeln der Steuerdatenanforderung in die richtigen Steuerdaten
zur Verfügung stehen. Mit dem Notzugangscode lässt
sich der Sicherheitsbehälter bzw. ein mit dem Schloss verschlossener
Raum trotzdem öffnen. Vorzugsweise kann der Notzugangscode
nur zur einmaligen Verwendung vorgesehen sein. Somit ist das Schloss
vor mehrmaligen Versuchen Dritter geschützt, mit dem Notzugangscode
unbefugt Zugriff auf das Schloss zu erhalten.
-
Das
Schloss kann eine Verschlüsselungseinheit zum Verschlüsseln
der Steuerdatenanforderung und/oder der Identifikationsdaten vor
dem Senden und zum Entschlüsseln der Steuerdaten nach dem Empfangen über
die Schnittstelle enthalten. Zwar kann insbesondere die Steuerdatenanforderung
allein durch ihren Inhalt schon vor unbefugtem Zugriff schützten,
da normalerweise unter einer Vielzahl von Antwortmöglichkeiten
auf die Steuerdatenanforderung nur eine der Möglichkeiten
korrekt ist. Durch das Verschlüsseln wird der Datenverkehr
zwischen dem Schloss und dem angeschlossenen Computer jedoch zusätzlich
unlesbar gemacht, so dass weitere Schritte notwendig sind, das Schloss
zu verstehen und Zugriff auf das Schloss zu erlangen. Damit erhöht
die Verschlüsselung die Sicherheit weiter.
-
Das
Schloss kann vollständig passiv aufgebaut sein, so dass
im Schloss grundsätzlich keine Stromversorgung erforderlich
ist. Dadurch lässt sich ein Öffnen des Schlosses
sicherstellen, auch wenn der Sicherheitsbehälter mit dem
Schloss lange unterwegs ist oder das Schloss an der Tür
eines Raumes keinen Stromanschluss aufweist. Die Schnittstelle kann
vorzugsweise als USB-Schnittstelle ausgebildet sein. Jedoch kann
auch jede andere geeignete Schnittstelle verwendet werden. Über
diese Schnittstelle wird das Schloss, die Steuereinheit und der Speicher
usw. vom angeschlossenen Computer mit Strom versorgt. Somit kann
die Komplexität und das Gewicht des Schlosses reduziert
werden. Außerdem sind insbesondere USB-Schnittstellen an
modernen Personalcomputern weit verbreitet, so dass nahezu jeder
Computer in der Lage ist, an den Behälter bzw. an das Schloss
angeschlossen zu werden und das Schloss und seine Komponenten mit
Energie zu versorgen. Ein weiterer Vorteil besteht insbesondere
dadurch, dass die Programmdaten im Speicher des Schlosses gespeichert
sind und somit bei einem Anschluss an eine Stromversorgung abgerufen
werden können und an den angeschlossenen Computer übertragen
werden können. D. h. der Computer benötigt keine
besonderen Programme, um zum Öffnen bzw. Schließen
des Schlosses verwendet zu werden.
-
Um
die Position des Schlosses oder des Sicherheitsbehälters
während des Transportes zu ermitteln, ist das Schloss vorzugsweise
mit einem Ortungssystem zum Erfassen der Position ausgestattet. Die
Position wird zu vorbestimmten Zeitpunkten oder Ereignissen erfasst.
Ein derartiges Ortungssystem ermöglicht es, den Transportverlauf
des Schlosses und/oder Sicherheitsbehäl ters zwischen Absender und
Empfänger zu überwachen. Es können damit beispielsweise
Rückschlüsse gezogen werden, ob ein mit dem Schloss
verschlossener Sicherheitsbehälter eine vorbestimmte Route
bei seinem Transport eingehalten hat.
-
Der
Sicherheitsbehälter kann weiter einen Sender zum drahtlosen
Senden der Positionsdaten aufweisen, wodurch sich während
des Transports die Route des Sicherheitsbehälters überprüfen
lässt.
-
Weiter
kann der Sicherheitsbehälter einen Akkumulator zum Speichern
elektrischer Energie aufweisen. Mit einer eigenen Energieversorgung kann
in erster Linie das Ortungssystem mit Energie versorgt werden. Somit
kann das Ortungssystem die Positionsdaten während des Transportes
unabhängig von einer USB-Verbindung mit einem Computer übertragen.
-
Das
Ortungssystem kann die Position des Schlosses basierend auf einem
GPS-Signal bestimmen. GPS-Signale sind global verfügbar,
so dass das Ortungssystem bei der Positionserfassung fast keinen
Beschränkungen unterworfen ist. Um eine Positionserfassung
basierend auf GPS-Daten zu ermöglichen, ist ein GPS-Empfänger
und ein Sender erforderlich, der die Positionsdaten an einen vorbestimmten
Empfänger, bspw. den Absender des Sicherheitsbehälters, übermittelt.
-
Alternativ
oder zusätzlich kann das Ortungssystem die Position des
Schlosses und/oder Sicherheitsbehälters auch basierend
auf Informationen eines Mobilfunknetzwerkes bestimmen. Hierbei ist
der Sicherheitsbehälter bzw. das Schloss mit einem Mobilfunkterminal
ausgestattet, welches senden und empfangen kann. Dies hat den Vorteil,
dass das Schloss das Mobilfunkterminal bzw. -netzwerk auch zur Kommunikation
mit einem Benutzer verwenden kann, um beispielsweise die Positionsdaten
zu senden.
-
Der
Speicher kann weiterhin zum Speichern von Sicherheitszustandsdaten
vorgesehen sein, die anzeigen, ob das Schloss elektronisch oder
physisch manipuliert wurde. Durch diese Sicherheitszustandsdaten
kann ein Benutzer unbefugte Zugriffsversuche auf das Schloss und/oder
unbefugte Zugriffe auf den verriegelten Sicherheitsbehälter
erkennen, obwohl diese optisch nicht erkennbar sind.
-
Die
Sicherheitszustandsdaten können eine Zufallszahl enthalten,
die beispielsweise mit den Befehlsdaten empfangen wurde. Die Zufallszahl
kann aber auch beim Empfang der Befehlsdaten im Schloss selbst erzeugt
werden. Möglich ist auch, dass die Zufallszahl basierend
auf dem Empfang der Steuerdaten im Schloss erzeugt wird. In allen
Fällen ermöglicht diese Zufallszahl einen Zustand
im Schloss zu speichern, der abhängig von der Zufallsverteilung
der Zufallszahl praktisch nicht kopierbar ist. Ist beispielsweise
diese Zufallszahl im Speicher in Verbindung mit einem Schließbefehl
gespeichert worden, so kann beim Empfang und Öffnen des
Sicherheitsbehälters überprüft werden,
ob die Zufallszahl im Speicher nicht verändert worden ist,
die der Absender beim Verriegeln des Schlosses im Speicher gespeichert
hat. Ist dies nicht der Fall, so hat ein Dritter zumindest versucht
Befehlsdaten an das Schloss zu senden.
-
Die
Sicherheitszustandsdaten können alternativ oder zusätzlich
einen physischen Zustand des Schlosses und/oder seiner Schließvorrichtung
enthalten. Dies kann beispielsweise ein Zerstörungsgrad
des Schlosses sein, weil ein Dritter mit mechanischen Mitteln versucht
hat, dieses zu öffnen. Der Vorteil daran ist, dass selbst
dann mechanische Manipulationen am Schloss erkannt werden, wenn
diese mit bloßem Auge auf den ersten Blick nicht zu erkennen
sind.
-
Die
Sicherheitszustandsdaten können auch sicherheitsrelevante
Vorschriften zum Steuern des Schlosses selbst enthalten. Diese Vorschriften
sind insbesondere dann von Bedeutung, wenn das Schloss beim Empfang
auf besonders sicherheitsrelevante Weise hinsichtlich des richtigen
Empfängers überprüft werden soll. Dies
kann beispielsweise die Eingabe korrekter Daten sein, die die Person
genauer identifizieren und sicherstellen, dass selbst bei Empfängern
mit einem sehr großen Personenkreis, beispielsweise große
Firmen, immer nur die richtige Person den Sicherheitsbehälter öffnet.
-
Das
Schloss kann auch eine Uhr zum Erzeugen eines Zeitstempels enthalten,
wobei der Zeitstempel den Sicherheitszustandsdaten hinzugefügt wird.
Der Zeitstempel kann benutzt werden, um den Zeitpunkt eines unbefugten
Zugriffsversuches auf das Schloss zurück zu verfolgen.
-
Die
Schnittstelle kann die Sicherheitszustandsdaten zusammen mit den
Identifizierungsdaten beispielsweise an einen Sicherheitsserver
senden. Damit kann das Schloss sofort nach dem Verbinden mit einem
Computer auf seine Unversehrtheit überprüft werden,
so dass eventuell unbefugte Zugriffsversuche frühzeitig
erkannt werden. Die Sicherheitszustandsdaten können bei
der Erzeugung der Steuerdaten im Sicherheitsserver verwendet werden. Durch
den Zeitstempel kann beispielsweise überprüft werden,
ob der Empfänger den Sicherheitsbehälter zum richtigen
Zeitpunkt öffnet. Damit kann der Zeitstempel bei der Erzeugung
der Steuerdaten verwendet werden. Dies kann beispielsweise bei einem
Absender der Fall sein, der dem Empfänger eine bestimmte
Frist zum Öffnen des Behälters setzen möchte.
Entriegelt der Empfänger nach Ablauf der Frist das Schloss,
dann werden selbst bei Berechtigung des Empfängers keine
Steuerdaten an das Schloss gesendet, die das Schloss öffnen.
-
Das
Schloss kann wenigstens einen Sensor zum Erfassen seines physischen
Zustandes aufweisen. Das Erfassen des physischen Zustandes erhöht somit
weiter die Sicherheit des Schlossen bzw. des Sicherheitsbehälters,
so dass es möglich ist zu erkennen, ob ein Dritter auf
mechanischen Weg versucht hat, unbefugt auf das Schloss zuzugreifen.
-
Der
Sensor kann zusätzlich oder alternativ das Schloss überwachen
und somit mechanische Zugriffsversuche von unbefugten Dritten registrieren.
-
Außerdem
kann der Sensor zusätzlich oder alternativ die Steuereinheit überwachen
und somit unbefugte Zugriffsversuche Dritter auf elektrischem Weg
registrieren.
-
Der
Sensor kann ein GPS-Sensor zum Erfassen einer Transportroute sein.
-
Alternativ
oder zusätzlich können die Sicherheitszustandsdaten über
den Sender bzw. die Schnittstelle an den Absender und/oder den Sicherheitsserver
versendet werden. Dies kann vorzugsweise während des Transports
geschehen, um unbefugte Zugriffsversuche und/oder Transportschäden unmittelbar
zu ermitteln.
-
Die
Aufgabe wird weiter mit einem Sicherheitsbehälter mit einem
Innenraum zum Aufnehmen eines Gegenstandes gelöst. Der
Innenraum ist mit einer Abdeckung oder einem Deckel verschließbar, beispielsweise
Türen und Tore bei großen Sicherheitsbehältern
für Europaletten oder bei Schiffscontainern. Der Deckel
bzw. die Abdeckung ist dabei am Sicherheitsbehälter mit
mindestens einem Schloss gemäß der Erfindung verriegelbar.
Statt eines Behälters kann das Schloss auch an einer Tür
eines Raumes angebracht sein, der strengen Sicherheitsauflagen unterliegt.
Bis auf die Positionserfassung und -übermittlung lassen
sich die oben angeführten besonderen Ausgestaltungen auch
auf den Raum mit einem erfindungsgemäßen Schloss
anwenden.
-
Der
Sicherheitsbehälter bzw. -raum kann ebenfalls einen oder
mehrere Sensoren aufweisen, mit denen der physische Zustand überwacht
werden kann. Dieser Sensor kann seine Daten dann im Speicher des
Schlosses speichern und/oder über den Sender und/oder die
Schnittstelle versenden. Damit wird nicht nur der Sicherheitszustand
des Schlosses allein sondern auch des Sicherheitsbehälters
bzw. -raumes überwacht, der das Transportgut bzw. zu verwahrende
Gegenstände enthält.
-
Der
Sensor kann auch ein Bewegungssensor zum Erfassen einer Bewegung
des Sicherheitsbehälters sein. Damit kann festgestellt
werden, ob der Sicherheitsbehälter ungewöhnlichen
Belastungen durch zu schnelle Bewegungen ausgesetzt ist, wie sie
beispielsweise bei einem Sturz entstehen können. Der Bewegungssensor
kann auch mit dem GPS-Sensor im Schloss kombiniert werden, so dass nicht
nur der Transportweg des Sicherheitsbehälters sondern auch
sein physische Zustand überwacht werden kann.
-
Der
Sensor kann den Innenraum des Sicherheitsbehälters überwachen
und damit Rückschlüsse auf den Zustand des Transportgutes
selbst ermöglichen.
-
Der
Sensor kann zusätzlich oder alternativ mindestens eine
Wand des Sicherheitsbehälters überwachen und somit
unbefugte Zugriffsversuche und/oder Transportschäden der
Hülle des Sicherheitstransportbehälters ermitteln.
-
Der
Sensor kann auch ein Temperatursensor zum Erfassen einer Umgebungstemperatur
und/oder einer Innenraumtemperatur des Sicherheitsbehälters sein
und somit beispielsweise schädliche Temperatureinflüsse
auf den Sicherheitsbehälter und/oder das Transportgut registrieren.
-
Ein
Feuchtigkeitssensor als Sensor kann zum Erfassen einer Feuchtigkeit
innerhalb und/oder außerhalb des Sicherheitsbehälters
dienen, um festzustellen, ob der Sicherheitsbehälter und/oder
das Transportgut unvorhergesehen feucht oder sogar nass geworden
ist.
-
Ein
Flächenschutzsensor als Sensor kann eine Beschädigung
einer Hülle des Sicherheitsbehälters erkennen
und damit insbesondere unberechtigte mechanische Zugriffsversuche
Dritter erfassen und registrieren. Der Flächenschutzsensor
kann ein kapazitiver Sensor zum Ermitteln einer Permittivitätsänderung
der Hülle oder ein Widerstandssensor zum Ermitteln einer
Widerstandänderung der Hülle sein.
-
Die
Erfindung gibt auch ein System zur Transportüberwachung
des Sicherheitsbehälters oder des Schlosses an. Das System
enthält mindestens das Schloss, einen Computer und einen
Sicherheitsserver. Der Computer wird mit dem Schloss verbunden und
empfängt Identifizierungs- und Programmdaten vom Schloss.
Der Computer stellt das Benutzerinterface basierend auf den Programmdaten
dar und empfängt Benutzerdaten vom Benutzer, die er zusammen
mit Identifizierungsdaten an den Sicherheitsserver sendet. Der Sicherheitsserver
erzeugt Steuerdaten und sendet diese an das Schloss. Durch dieses
System ist es möglich, den Benutzer des Computers auf einfache
Weise zu identifizieren und über eine übergeordnete Überwachungsinstanz (Sicherheitsserver),
als berechtigten Empfänger eines mit dem Schloss verriegelten
Sicherheitsbehälters zu identifizieren. Wie oben dargestellt,
lässt sich nicht nur der berechtigte Benutzer sondern auch
Ort, Zeit und Zustand bei der Erzeugung der Steuerdaten berücksichtigen,
wodurch die Sicherheit weiter verbessert wird.
-
Der
Computer kann vom Benutzer eingegebene Befehlsdaten über
das Benutzerinterface empfangen und diese ans Schloss senden, um
die Schließvorrichtung des Schlosses zu öffnen
bzw. zu schließen. Der Vorteil an dieser Ausführung
liegt darin, dass der Benutzer des Computers das Schloss auf einfache
Weise steuern kann.
-
Wie
bereits gezeigt, kann das Schloss basierend auf den Befehlsdaten
eine Steuerdatenanforderung senden. Diese Anfrage kann vom Sicherheitsserver
und/oder vom Computer empfangen werden. Mit dem Sicherheitsserver
können mehrere Schlösser zentral überwacht
werden, so dass feststellbar ist, wann ein bestimmtes Schloss geöffnet,
geschlossen oder anderweitig angesteuert werden soll. Der Computer
ist dabei vorzugsweise zum Empfang und zur Weiterleitung einer Steuerdatenanforderung
an den Sicherheitsserver vorgesehen. Diese Ausführung ist
besonders vorteilhaft für die Erfindung, da der Computer
eine Netzwerkschnittstelle für eine Netzwerkverbindung
zum Sicherheitsserver ins Internet aufweist. Die Schnittstelle im
Schloss kann dagegen äußerst einfach aufgebaut
sein. Dadurch kann selbst mit einfachsten Mitteln eine zentrale
Benutzerverifizierung über einen zentralen Sicherheitsserver, und
damit ein hoher Sicherheitsstandart erreicht werden.
-
Der
Sicherheitsserver kann die Steuerdaten basierend auf den Identifizierungsdaten
und/oder den Benutzerdaten und/oder Angaben in einer Datenbank des
Sicherheitsserver erzeugen. Damit ist eine rudimentäre
Erkennung des Benutzers und/oder des Schlosses beim Ausführen
eines Befehls gewährleistet.
-
Der
Sicherheitsserver kann aber auch die Steuerdatenanforderung mit
in die Erzeugung der Steuerdaten einbeziehen. Damit ist garantiert,
dass jeder ausgeführte Befehl am Schloss vorher authentifiziert
wird.
-
Der
Sicherheitsserver kann einen vom Schloss gesendeten Zeitstempel
zum Erzeugen der Steuerdaten verwenden. Dies ermöglicht
eine verbesserte Benutzerüberwachung, da mit dem Zeitstempel
sogar zeitabhängige Zugriffsrechte auf den Sicherheitsbehälter
möglich sind.
-
Für
die Erzeugung der Steuerdaten kann die Eingabe von Benutzerdaten
von zwei oder mehr Benutzern (Vier-Augen-Prinzip) erforderlich sein.
Dies hat den Vorteil, dass beispielsweise der Empfänger des
Sicherheitsbehälters gezwungen ist, eine zweite Person
zum Öffnen des Sicherheitsbehälters hinzuzuziehen.
Dadurch wird beispielsweise gewährleistet, dass das Transportgut
im Sicherheitsbehälter durch mindestens zwei Personen auf
Schäden untersucht wird und hilft damit Transportschäden
und Korruption besser zu erkennen.
-
Zur
Erzeugung von Steuerdaten im Sicherheitsserver kann es vorteilhaft
sein, dass ein weiterer Benutzer seine Benutzerdaten von einem weiteren, mit
dem Sicherheitsserver verbundenen Computer eingibt. Dies kann bspw.
der Absender sein oder auch eine weitere Aufsichtsperson, die an
einem weiteren Ort sitzt. Der Sicherheitsserver kann dann die Steuerdaten
basierend auf den Benutzerdaten vom Benutzer am lokalen Computer
und basierend auf den Benutzerdaten vom weiteren Benutzer am weiteren
Computer erzeugen. Dieses Prinzip wird Distanzöffnung genannt
und ermöglicht, dass beispielsweise ein Absender mitbestimmen
kann, ob und wann ein Empfänger den Sicherheitsbehälter öffnen
darf. Dies ist insbesondere für Vertragsverhandlungen interessant,
wenn der Absender einen Vertragsentwurf an zwei verschiedene potentielle
Vertragspartner schickt, aber abhängig vom Ausgang der
Vertragsverhandlungen nur einem der beiden Vertragspartner letztlich
den Zugriff auf den Vertragsentwurf gestatten möchte.
-
Der
Sicherheitsserver kann ferner basierend auf den Sicherheitszustandsdaten
Siegeldaten erzeugen, die über den Zustand des Sicherheitsbehälters
Auskunft geben. Diese Siegeldaten werden dann an den Computer gesendet
und auf diesem dargestellt. Vorzugsweise enthalten diese Siegeldaten Farbdaten
zum farblichen Kennzeichnen einer Manipulation des Sicherheitsbehälters.
Dies stellt eine besonders effektive Möglichkeit dar, dem
Benutzer einen schnellen Überblick darüber zu
verschaffen, in welchem Zustand sich der Sicherheitsbehälter
bzw. das Schloss am Raum befindet.
-
Die
Erfindung gibt auch ein Verfahren zum Steuern des Sicherheitsbehälters
an. Die Programmdaten werden zur Darstellung eines Benutzerinterfaces
auf dem Computer vom Sicherheitsbehälter an einen Computer übertragen,
der dann das Benutzerinterface darstellt. Weiter werden die Identifizierungsdaten
an den Computer übermittelt. Danach werden Benutzerdaten über
das Benutzerinterface in den Computer eingegeben und zusammen mit
den Identifizierungsdaten an einen Sicherheitsserver gesendet. Im
Sicherheitsserver werden basierend auf den empfangenen Benutzerdaten
und Identifizierungsdaten Steuerdaten erzeugt, die zum Steuern des
Sicherheitsbehälters geeignet sind und an diesen zurückgesendet
werden. Der Vorteil ist, dass die Steuerung vom Sicherheitsserver
selbst übernommen wird. Damit kann für jede Aktion,
die vom Sicherheitsbehälter ausgeführt wird, immer
verglichen werden, ob ein Benutzer die Erlaubnis zum Ausführen
dieser Aktion hat.
-
Zusätzlich
können Befehlsdaten vom Computer an den Sicherheitsbehälter
gesendet werden. Die Befehlsdaten werden dann vom Sicherheitsbehälter
in eine Anforderung für die Steuerdaten umgewandelt und
an den Sicherheitsserver gesendet. Im Sicherheitsserver werden dann
basierend auf dieser Anforderung die Steuerdaten erzeugt. Der Vorteil
dieses Verfahrens ist, dass der Sicherheitsbehälter über den
Computer gesteuert werden kann. Jedoch verbleibt die Umwandlung
eines Befehls, wie Öffnen oder Schließen des Sicherheitsbehälters,
in eine reale Aktion beim Sicherheitsserver, so dass für
jeden Befehl einzeln überwacht werden kann, ob ein Benutzer
zur Ausführung eines Befehls auch wirklich berechtigt ist.
-
Die
Identifizierungsdaten, die Anforderung der Steuerdaten und/oder
die Benutzerdaten können vorm Senden vom Schloss an den
Sicherheitsserver verschlüsselt und nach dem Empfangen
im Schloss entschlüsselt werden. Dies erhöht weiter
die Sicherheit des Verfahrens, da unbefugte Dritte den Datenverkehr
nicht auswerten können, um die erforderlichen Steuerdaten
künstlich zu erzeugen.
-
Der
Sicherheitsserver kann einen Zeitstempel erzeugen und diesen Zusammen
mit Anforderung der Steuerdaten an den Sicherheitsserver senden. Die
Steuerdaten können dabei basierend auf dem empfangenen
Zeitstempel erzeugt werden. Dadurch kann die Benutzerüberprüfung
auch in zeitlicher Hinsicht erfolgen, um beispielsweise ein bestimmtes Zeitfenster
vorzugeben, in dem ein Benutzer den Sicherheitsbehälter
bzw. das Schloss öffnen darf.
-
Vorm
Senden der Befehlsdaten vom Sicherheitsbehälter an den
Sicherheitsserver kann eine Zufallszahl ermittelt und mit den Befehlsdaten
zusammen an den Sicherheitsserver gesendet werden. Weiter können
die ermittelte Zufallszahl zusammen mit einem physischen Zustand
des Schlosses, einem Zeitstempel und/oder Vorschriften zum Steuern
des Schlosses im Speicher des Sicherheitsbehälters als Sicherheitszustandsdaten
gespeichert werden. Gerade die Zufallszahl, die dem Sicherheitsserver
und dem Sicherheitsbehälter beispielsweise zum Schließen
des Sicherheitsbehälters bekannt ist, kann beim Öffnen
des Sicherheitsbehälters verwendet werden, um festzustellen,
ob der Sicherheitsbehälter andere Befehlsdaten oder sogar
Steuerdaten empfangen hat, die nicht vom Sicherheitsserver autorisiert
worden sind. Auf die gleiche Weise kann der Zeitstempel an den Sicherheitsserver
gesendet werden, um festzustellen, ob der Zeitstempel im Speicher
des Schlosses mit dem letzten gesendeten Zeitstempel im Sicherheitsserver übereinstimmt.
Eine solche Verifikation ist basierend auf allen Sicherheitszustandsdaten
möglich und erhöht die Möglichkeit Manipulationsversuche
zu erkennen.
-
Die
Sicherheitszustandsdaten können zusammen mit den Identifizierungsdaten
an den Sicherheitsserver gesendet werden. Dieser erstellt basierend
auf den Sicherheitszustandsdaten Siegeldaten mit einer Farbe, die
eine Manipulation des Sicherheitsbehälters anzeigen. Die
Siegeldaten werden dann an den Computer gesendet und dargestellt. Durch
die Farbdaten erhält der Benutzer eine leicht verständliche
Information über den Zustand des Schlosses.
-
Die
Erfindung gibt weiter ein Verfahren zum Transport eines Sicherheitsbehälters
an. Dabei wird der Sicherheitsbehälter mit einem ersten
Computer verbunden, der wiederum mit einem Sicherheitsserver verbunden
ist. Der Sicherheitsbehälter wird gemäß dem
vorangegangenen Verfahren mit einem Schließbefehl verriegelt,
vom ersten Computer getrennt und zu einem zweiten Computer transportiert, der
ebenfalls mit dem Sicherheitsserver verbunden wird. Der zweite Computer
wird mit dem Sicherheitsbehälter verbunden und nach dem
oben beschriebenen Verfahren mit einem Öffnungsbefehl entriegelt. Das
Verfahren hat den Vorteil, dass über den Sicherheitsserver
genau nachvollzogen werden kann, wann, wo und/oder von wem der Sicherheitsbehälter geöffnet
und verschlossen wird.
-
Die
Erfindung wird anhand nicht einschränkender Ausführungsbeispiele
näher beschrieben. In den Zeichnungen zeigen:
-
1 zeigt
eine Struktur eines erfindungsgemäßen Sicherheitssystems;
-
2 zeigt
Komponenten eines Sicherheitsbehälters gemäß einem
ersten Ausführungsbeispiel der Erfindung;
-
3 zeigt
ein Blockschaltbild eines Sicherheitsbehälters gemäß einem
zweiten Ausführungsbeispiel der Erfindung;
-
4 zeigt
ein Blockschaltbild eines Sicherheitsservers;
-
5 zeigt
eine Struktur einer Datenbank im Sicherheitsserver;
-
6 zeigt
ein Ablaufdiagramm eines Verfahrens beim Schließen des
Schlosses;
-
7 zeigt
ein Ablaufdiagramm eines Verfahrens beim Öffnen des Schlosses
am Sicherheitsbehälter;
-
8 zeigt
ein Ablaufdiagramm eines Verfahrens zum Überwachen des
Sicherheitsbehälters während des Transports im
Sicherheitsbehälter; und
-
9 zeigt
ein Ablaufdiagramm eines Verfahrens zum Überwachen des
Sicherheitsbehälters während des Transports.
-
1 zeigt
eine Struktur eines Sicherheitssystems 100 der vorliegenden
Erfindung. Das System weist einen Sicherheitsbehälter 110 mit
einem Schloss 120 auf. Das Schloss 120 ist elektronisch
mit einem ersten Computer 130 verbunden. Der erste Computer 130 ist über
das Internet mit einem Sicherheitsserver 140 verbunden.
Ein zweiter Computer 150 ist ebenso über das Internet
mit einem Sicherheitsserver 140 verbunden. Der Sicherheitsbehälter 110 ist
zum Transport von Gütern vorgesehen, deren Empfang von
bestimmten Bedingungen abhängig gemacht werden soll. Im
einfachsten Fall kann dies der richtige Empfänger sein,
der sich durch bestimmte Benutzerdaten auszeichnet. Weitere Bedingungen sind
möglich, beispielsweise ob das Transportgut bezahlt ist.
Der Vorteil der vorliegenden Erfindung ist, dass ein Absender eine
Vielzahl von Bedingungen für den Sicherheitsbehälter 110 aufstellen
kann, die beim Transport und beim Öffnen des Sicherheitsbehälters 110 eingehalten
werden müssen. Ein weiterer Vorteil ist, dass das Schloss 120 des
Sicherheitsbehälters 110 vom Absender und/oder
dem Betreiber des Sicherheitsservers 140 oder anderen Personen oder
Firmen oder Institutionen überwacht werden kann. Durch
eine geeignete Konfiguration des Schlosses 120 wird sichergestellt,
dass nur diejenige Person Zugriff auf das Schloss 120 und
damit auf das Transportgut hat, die wirklich vom Absender des Sicherheitsbehälters 110 als
Empfänger ausgewählt worden ist. Diese und weitere
Vorteile der vorliegenden bevorzugten Ausführung der Erfindung
werden im Folgenden genauer beschrieben.
-
Wenn
der Sicherheitsbehälter 110 bei einem Empfänger
angekommen ist, wird das Schloss 120 elektronisch mit dem
ersten Computer 130 verbunden. Nach dem Verbinden werden
automatisch alle notwendigen Daten zum Steuern des Schlosses 120 vom
Schloss 120 an den ersten Computer 130 übertragen
und installiert bzw. angezeigt. Dies ist vorzugsweise ein grafisches
Benutzerinterface 131 basierend auf Programmdaten, wodurch
dem Empfänger eine Eingabe von Benutzerdaten bzw. eines
Befehles für das Schloss 120 ermöglicht
wird. Dieser Befehl heißt beim Empfang des Sicherheitsbehälters 110 „Schloss
entriegeln”. Bevor der Empfänger diesen Befehl über
den ersten Computer 130 an das Schloss 120 senden
kann, muss das Schloss 120 über den ersten Computer 130 zunächst
mit dem Sicherheitsserver 140 verbunden werden. Dies wird
in der vorliegenden Ausführungsform dadurch realisiert,
dass sich der Benutzer am Sicherheitsserver 140 mit entsprechenden
Benutzerdaten anmeldet. Sendet der Empfänger nun über
den ersten Computer 130 den Befehl „Schloss entriegeln”,
so erstellt das Schloss 120 eine Anforderung für
entsprechende Steuerdaten und sendet diese an den Computer 130. Diese
Steuerdatenanforderung kann nur vom Sicherheitsserver 140 beantwortet
bzw. bearbeitet werden. Daher sendet der erste Computer 130 die
Steuerdatenanforderung an den Sicherheitsserver 140 weiter. Dieser
wandelt die Steuerdatenanforderung basierend auf vorbestimmten Bedingungen
in Steuerdaten um und sendet sie an den ersten Computer 130 zurück.
Die vorbestimmten Bedingungen können vielfältig
sein. Eine Bedingung kann sein, dass der Empfänger auch
in einer Datenbank des Sicherheitsservers 140 vorhanden
ist. Eine weitere Bedingung kann sein, dass ein Benutzer des zweiten
Computers 150 sein Einverständnis zum Entriegeln
des Schlosses gegeben hat. Es kann noch eine Vielzahl alternativer und/oder
zusätzlicher Bedingungen vorgegeben sein, die teilweise
aus der folgenden Beschreibung hervorgehen. Der erste Computer 130 empfängt
die Steuerdaten und leitet sie an das Schloss 120 weiter. Dieses
führt dann den Befehl des Empfängers basierend
auf den Steuerdaten vom Sicherheitsserver 140 aus.
-
Der
Vorteil der vorliegenden Ausführung der Erfindung ist,
dass das Schloss 120 und damit der mit dem Schloss 120 verriegelte
Sicherheitsbehälter 110 zwar durch den Empfänger
steuerbar aber dennoch durch den Absender oder andere Dritte überwachbar ist.
Damit kann dem Empfänger beispielsweise jederzeit die Berechtigung
zum Öffnen des Sicherheitsbehälters 110 entzogen
werden. Auch kann sichergestellt werden, dass beispielsweise in
großen Fir men wirklich der richtige Empfänger
den Sicherheitsbehälter 110 öffnet und
nicht beispielsweise ein Pförtner. Auch ist es möglich,
dass die Öffnung des Sicherheitsbehälters 110 vom
Zustand abhängig gemacht werden kann. Ist der Sicherheitsbehälter 110 beispielsweise
großen Belastungen beim Transport ausgesetzt gewesen, so
ist dies ein Indiz, dass das Transportgut defekt ist. Aus garantierechtlichen Gründen
kann dann dem Empfänger die Erlaubnis zum Öffnen
entzogen werden. Derartige Belastungen beim Transport können
durch geeignete Sensoren, wie später beschrieben, erkannt
werden.
-
Im
Folgenden werden zwei Ausführungsbeispiele für
den Sicherheitsbehälter 110 mit dem Schloss 120 gegeben.
Zwar wird in den beiden Ausführungsbeispielen der Sicherheitsbehälter 110 und das
Schloss 120 als eine Einheit dargestellt, dies ist jedoch
nicht erfindungswesentlich. Das Schloss 120 allein kann
ebenso gut die Erfindung verwirklichen. Beispielsweise kann es in
Form eines gewöhnlichen Vorhängeschlosses oder
in Form einer anderen entfernbaren Schließmechanik ausgebildet
sein, um gängige Transportbehälter oder Räume
zu verschließen. Nur in der bevorzugten Ausführung
der Erfindung sind Sicherheitsbehälter 110 und
Schloss 120 miteinander verbunden, um die Sicherheit beim Transport
des Sicherheitsbehälters 110 weiter zu erhöhen.
-
2 zeigt
ein Blockschaltbild eines Sicherheitsbehälters 110 mit
dem Schloss 120 gemäß einem ersten Ausführungsbeispiel
der Erfindung. Der Sicherheitsbehälter 110 enthält
weiter einen Akkumulator 250, eine Alarmeinheit 260 und
Sensoren 270. Der Akkumulator 250 speichert elektrische
Energie, die er vom Schloss 120 erhält. Die gespeicherte
elektrische Energie kann er dann an das Schloss 120 und
an die Alarmeinheit 260 abgeben, um diese zu betreiben.
Die Alarmeinheit 260 erhält weiter Daten von den
Sensoren 270, um diese auszuwerten und basierend auf der
Auswertung festzustellen, ob der Sicherheitsbehälter 110 ungewöhnlichen
Belastungen ausgesetzt war oder ist. Diese Belastungen können
ein Manipulationsversuch sein, wenn beispielsweise Dritte versuchen,
mechanisch durch Aufbrechen einer Hülle Zugriff auf den
Sicherheitsbehälter 110 zu erlangen. Diese Belastungen
können durch einen Flächenschutzsensor erkannt
werden, der an späterer Stelle genauer beschrieben wird.
Die Belastungen können aber auch umweltbedingt sein, wie
beispielsweise extreme Temperaturen oder Feuchtigkeiten, die dem
Transportgut schaden. Derartige Belastungen können mit
geeigneten Temperatur- und/oder Feuchtigkeitssensoren erkannt werden. Diese
Belastungen können aber auch durch den Transport selbst
entstehen, wenn der Sicherheitsbehälter 110 beispielsweise
aus großer Höhe herunterfällt. All diese
Belastungen können mit den Sensoren 270 ermittelt
und an die Alarmeinheit 260 übertragen werden.
Die Alarmeinheit 260 wertet die Belastungen beispielsweise
hinsichtlich eines Gefährlichkeitsgrades aus und stellt
sie zur Weiterverarbeitung zur Verfügung. Die Alarmeinheit 260 kann
auch einen internen Speicher enthalten, der die Belastungsdaten speichert,
und der zu einem späteren Zeitpunkt ausgelesen werden kann.
Vorzugsweise stellt die Alarmeinheit 260 die Belastungsdaten
dem Schloss 120 zur Verfügung.
-
Das
Schloss 120 weist eine Vielzahl von Schaltern 210,
einen Motor 220, eine Steuereinheit 230 und eine
Schnittstelle 240 auf. Die Schnittstelle 240 ist
vorzugsweise eine USB-Schnittstelle, so dass darüber die
gesamte Energieversorgung des Schlosses 120 stattfinden
kann. Außerdem kann der Akkumulator 250 außerhalb
des Schlosses 120 über die USB-Schnittstelle zum
Laden mit Energie versorgt werden. In der einfachsten Ausgestaltung
kann das Schloss sogar ohne jeglichen Akkumulator aufgebaut werden.
Der Vorteil dieser Ausführung ist, dass keine weiteren
Energiespeicher für das Schloss 120 notwendig
sind, so dass das Schloss 120 sehr leicht, technisch einfach
und kostengünstig realisierbar ist. Die Hauptaufgabe der
Schnittstelle 240 ist der Datenaustausch mit einem angeschlossenen
Computer 130. Über die Schnittstelle 240 werden
Daten, wie Befehls- und Steuerdaten zum Steuern des Schlosses 120,
Identifizierungsdaten, Befehlsdaten, Zeitstempel, Sicherheitszustandsdaten
usw. ausgetauscht. Erhält das Schloss 120 über
die Schnittstelle 240 Befehlsdaten beispielsweise zum Entriegeln oder
Verriegeln, so werden diese an die Steuereinheit 230 weitergeleitet.
Diese generiert basierend auf den Befehlsdaten eine Steuerdatenanforderung,
die dann über die Schnittstelle 240 an den angeschlossenen
Computer 130 zurückgesendet wird. Danach wartet
die Steuereinheit 230 auf die Steuerdaten. Nach dem Empfang
der Steuerdaten vom Sicherheitsserver wird der Motor 220 in
Abhängigkeit der Steuerdaten und der Stellung der Schalter 210 so
gesteuert, dass die empfangenen Befehlsdaten ausgeführt
werden, so dass ein Öffnen des Sicherheitsbehälters
möglich ist.
-
Die
Steuereinheit 230 enthält einen Speicher 231,
einen Controller 232, eine Motorsteuerung 233, eine
Uhr 234, einen Sicherheitschip 235, einen Spannungswandler 236 und
einen Spannungsschalter 237. Der Controller 232 weist
eine Datenverbindung zum Speicher 231 und zur Schnittstelle 240 auf.
Aus dem Speicher 231 erhält der Controller 232 alle
Daten zur Ausführung seiner Funktionen. Diese können Überwachungsfunktionen
und Steuerungsfunktionen sein. Die Steuerungsfunktionen dienen der
Steuerung des Motors 230 über die Motorsteuerung 233. Dazu
erhält der Controller 232 die Befehlsdaten von der
Schnittstelle 240. Aus den Befehlsdaten wird die Steuerdatenanforderung
erstellt, indem an die Befehlsdaten Identifikationsdaten aus dem
Speicher 231 angehängt werden, die das Schloss 120 des
Sicherheitsbehälters identifizieren.
-
Weiter
können an die Befehlsdaten ein Zeitstempel aus der Echtzeituhr 234 angehängt
werden, durch den der Sendezeitpunkt der Steuerdatenanfrage eindeutig
nachvollziehbar ist. Ist die Steuerdatenanfrage fertig aufgebaut,
so wird sie über den Sicherheitschip 235 verschlüsselt.
Der Vorteil eines eigenen Sicherheitschips 235 zur Verschlüsselung
und Entschlüsselung liegt darin, dass der elektronische Schlüssel
für Dritte nicht nachvollziehbar ist. Er ist im Sicherheitschip 235 fest
eingegossen und kann von Dritten nicht ausgelesen werden. Der Sicherheitschip 235 hat
lediglich einen Eingang zum Empfang von Daten und einen Ausgang
zur Ausgabe von Daten. Mit ihm können daher nur Daten ver-
oder entschlüsselt werden. Ist die Steuerdatenanforderung
verschlüsselt, so wird sie über die Schnittstelle 240 beispielsweise
an den ersten Computer 130 versendet. Der Controller 232 erwartet
nun eine Antwort auf die Anfrage. Empfängt er nach einer
vorbestimmten Zeit keine Antwort, so kann er dies als Fehler erkennen und
diesen in seinem Speicher 231 speichern. Im Normalfall
wird die Steuerdatenanforderung jedoch nach einer vorbestimmten
Zeit mit den Steuerdaten beantwortet. Diese sind ebenfalls verschlüsselt
und müssen vom Sicherheitschip 235 entschlüsselt
werden. Danach kann der Controller 232 beispielsweise den
Motor 220 über die Motorsteuerung 233 basierend
auf den Steuerdaten steuern.
-
Der
Empfänger benötigt im vorliegenden Ausführungsbeispiel
eine Verbindung mit dem Internet. Falls diese nicht vorhanden ist,
kann im Speicher 231 ein Notzugangscode hinterlegt werden. Überträgt
der Empfänger über den Computer 130 den gleichen
Notzugangscode zur Schnittstelle 240, können die
Befehlsdaten unmittelbar und ohne Generierung einer Steuerdatenanforderung
ausgeführt werden. Die Ausführung eines Befehls
basierend auf einem Notzugangscode kann in besonderer Weise gesichert
sein. Beispielsweise kann der Controller 232 nur einmal
einen Notzugangscode akzeptieren unabhängig davon, ob der
empfangene Notzugangscode korrekt oder falsch war. Der Vorteil des
Notzugangscodes ist, dass damit eine ausnahmsweise Steuerung des
Schlosses 120 und damit ein Zugriff auf den Sicherheitsbehälter 110 ermöglicht
wird, wenn keine Möglichkeit besteht die korrekten Steuerdaten
zu generieren. Dies ist beispielsweise der Fall, wenn keine Verbindung
zum Internet vorhanden ist, oder keine Benutzerdaten zur Verfügung
stehen, um sich mit dem Sicherheitsserver zu verbinden.
-
Eine
weitere Möglichkeit außerplanmäßig Steuerdaten
zu generieren besteht darin, beispielsweise den Versender als verantwortliche
Person zu informieren. Dies kann beispielsweise dadurch geschehen,
dass die Person, die Sicherheitsbehälter 110 außerplanmäßig öffnen
möchte, bspw. ein Mitarbeiter der Zollbehörden,
den Versender über die Notöffnung informiert.
Dazu gibt dieser einen Entriegelungswunsch für das Schloss 120 über
das Benutzerinterface ein. Daraufhin wird der Versender per E-Mail über
den Entriegelungswunsch informiert. Der Versender wiederum kann
nun einen Zugangscode zum Entriegeln des Schlosses 120 am
Sicherheitsserver 140 generieren und diesen dem Mitarbeiter beim
Zoll mitteilen. Der Mitarbeiter kann dann das Schloss 120 mit
dem generierten Zugangscode entriegeln und den Sicherheitsbehälter 110 öffnen. Nachdem
der Mitarbeiter beim Zoll den Inhalt des Sicherheitsbehälters 110 überprüft
hat, kann er diesen wieder verschließen und das Schloss 120 verriegeln. Am
Sicherheitsserver 140 wird der Zustand des Schlosses 120 dann
mit dem Zustand, den das Schloss 120 vor dem Entriegeln
aufwies, weitergeführt. Alternativ oder zusätzlich
kann der Versender auch verschiedene Zugangscodes für verschiedene Personen
generieren. Unter diesen Personen kann sich beispielsweise ein Mitarbeiter
des Transportunternehmens befinden, der den Mitarbeiter der Zollbehörden
kontrollieren kann. Alternativ kann der Zollmitarbeiter aber auch
als ganz normaler Benutzer, wie der Versender und der Empfänger,
im Sicherheitsserver 140 aufgenommen werden, um das Schloss 120 zu
entriegeln.
-
Wie
bereits gezeigt, kann der Controller 232 auch zur Ausführung
von Überwachungsfunktionen vorgesehen sein. Die Überwachungsfunktionen
können zum Ermitteln eines Manipulationsverdachtes des
Schlosses 120 und/oder des Sicherheitsbehälters 110 erforderlich
sein. Dies kann wie bereits gezeigt eine Funktion sein, die einen
Zugriffszustand bestimmt, indem sie die Anzahl an gesendeten aber nicht
beantworteten Steuerdatenanforderungen zählt und im Speicher 231 hinterlegt.
Eine andere Funktion kann beim Ausführen eines empfangenen
Befehls basierend auf den empfangenen Steuerdaten einen Manipulationszustand
des Schlosses 120 bestimmen. Ein derartiger Zustand kann
basierend auf der Echtzeituhr 234 bestimmt werden. Weiter
könnte in den Manipulationszustand eine vom Controller 232 ausgewürfelte
Zufallszahl oder die Steuerdatenanfrage selbst eingehen. In diesen
Manipulationszustand können auch die Identifikationsdaten
des Schlosses 120 sowie die Benutzerdaten des Benutzers
eingehen, der die Befehlsdaten gesendet hat. Ist der Manipulationszustand
erstellt, so kann dieser im Speicher 231 gespeichert werden.
Zur Sicherung sendet der Controller 232 diesen aber auch
an den Sicherheitsserver 140. Bei der Ausführung
eines neuen Befehls kann dann geprüft werden, ob der Manipulationszustand
im Speicher 231 des Schlosses mit dem Manipulationszustand
im Sicherheitsserver 140 übereinstimmt. Sollten
Abweichungen auftreten, so deuten diese auf einen unautorisierten
Zugriff hin.
-
Weitere Überwachungsfunktionen
werden aus dem zweiten Ausführungsbeispiel ersichtlich, dass
in 3 erklärt wird.
-
Die
Steuereinheit 230 weist einen Spannungsschalter 237 auf,
der zwischen der Energieversorgung von der Schnittstelle 240 oder
der Energieversorgung vom Akkumulator 250 wählen
kann. Beispielsweise kann der Spannungsschalter 237 standardmäßig
auf die Energieversorgung der Schnittstelle 240 zugreifen
und nur im Notfall auf den Akkumulator 250 umschalten.
Außerdem ist es möglich, das der Spannungsschalter 237 im
Falle einer Energieversorgung aus der Schnittstelle 240 alle
Elemente der Steuereinheit 230 und im Falle einer Energieversorgung
aus dem Akkumulator nur ausgewählte Elemente, wie den Controller 232 und
den Speicher 231, mit Energie versorgt, um Energie zu sparen
und den Akkumulator 250 nicht unnötig zu belasten.
-
Der
Spannungswandler 236 ist zusätzlich vorgesehen,
um die Spannung für leistungsarme Elemente wie den Sicherheitschip 235 und
die Motorsteuerung 233 umzuwandeln.
-
3 zeigt
ein Strukturbild eines Sicherheitsbehälters 110 gemäß einem
zweiten Ausführungsbeispiel der Erfindung. In dieser Ausführung werden
der Akkumulator 250, die Alarmeinheit 260 und
die Sensoren 270 im Sicherheitsbehälter 110 näher
beschrieben. Alle anderen Elemente aus 3 sind wirkungsgleich
zu den Elementen aus 2 und werden daher nicht noch
einmal erläutert.
-
Der
Akkumulator 250 kann eine Ladeelektronik 351 und
eine Speichereinheit 352 aufweisen. Die Ladeelektronik 351 kann
so ausgebildet sein, dass sie nicht nur die Speichereinheit 352 mit
elektrischer Energie lädt sondern auch die Alarmeinheit 260 mit elektrischer
Energie versorgt. Die Alarmeinheit 260 weist einen Spannungswandler 361,
einen Spannungsschalter 362, einen Mikrocontroller 363 und eine
Sendeeinheit 364 auf. Der Spannungsschalter 362 erhält
seine elektrische Energie von der Ladeelektronik 351 und
von der Speichereinheit 352 des Akkumulators 250.
Ansonsten funktioniert er genau wie der Spannungsschalter 237 in
der Steuereinheit 230 und soll daher nicht weiter beschrieben
werden. Der Spannungswandler 361 wandelt die Spannung aus
dem Spannungsschalter 362 in der gleichen Weise um, wie
der Spannungswandler 236 in der Steuereinheit 230.
Damit können die energieintensiven Sensoren 270 mit
einer hohen Spannung und der fast leistungslose Mikrocontroller 363 mit
einer niedrigen Spannung betrieben werden.
-
Die
Sensoren 270 erfassen einen Zustand des Sicherheitsbehälters 110 und/oder
des Schlosses 120, um Rückschlüsse auf
Manipulationsversuche und/oder auf unerwartete Belastungen auf den Sicherheitsbehälter 110 und/oder
das Schloss 120 zuzulassen. Die Alarmeinheit 260 im
Sicherheitsbehälter 110 kann jedoch auch selbst
Zustände wie eine Position des Sicherheitsbehälters 110 ermitteln. Dazu
weist die Alarmeinheit 260 einen Transceiver 364 auf,
der Signale empfangen oder senden kann. Vorzugsweise weist der Transceiver
eine GPS-Einheit 330, eine Mobilfunkeinheit 320 und/oder
eine WLAN-Einheit 310 auf, über die geeignete
Positionssignale empfangen werden können. Der Vorteil der GPS-Einheit 330 ist,
dass weltweit eine Positionsbestimmung möglich ist, da
GPS-Signale extraterrestrisch übertragen und somit empfangen
werden können. Dies ist vor allem bei interkontinentalen
Schiffstransporten von Vorteil, da auf diesen Strecken GPS-Signale
die einzigen Signale sind, mit denen eine Positionsbestimmung möglich
ist. Alternativ kann die Positionsbestimmung in der Alarmeinheit 260 aber
auch mit der Mobilfunkeinheit 320 erfolgen. Dabei wird
die Position basierend auf einem örtlich vorhandenen Mobilfunknetz
bestimmt. Unter diesem örtlich vorhandenen Mobilfunk netz
ist prinzipiell eine vorhandene Netzwerkstruktur zu verstehen, die
beispielsweise auch ein WLAN-Netz sein kann. Dabei ist es unerheblich,
ob das WLAN-Netz ad-hoc oder mit einer festen Basisstation aufgebaut
ist. Somit kann die Position nicht nur über ein Mobilfunknetzwerk sondern über
jegliche Netzstruktur erfolgen, aus der Positionsinformationen abgeleitet
werden können. Der Vorteil dieser Ausführung ist
die bidirektionale Datenverbindung, wobei mit dem empfangenen Positionssignal
gleichzeitig auch Daten beispielsweise an den Sicherheitsserver
gesendet werden können. Dies wird im Folgenden näher
beschrieben.
-
Der
Mikrocontroller 363 empfängt die Zustandssignale
von den Sensoren 270 und die Positionssignale vom Transceiver 364.
Die empfangenen Signale werden in digitale Zustandsdaten mit einem Analog-Digital-Wandler
umgewandelt und an die Steuereinheit 230 gesendet, die
diese in ihren Speicher 231 schreibt. Alternativ können
diese Zustandsdaten aber auch an den Transceiver 364 gegeben werden,
der die Zustandsdaten an den Sicherheitsserver 140 senden
kann. Vorzugsweise erfolgt das Senden drahtlos, da dadurch eine
völlig unabhängige Übertragung der Messdaten
von irgendeiner Infrastruktur möglich ist. Außerdem
braucht der Transceiver 364 bei der Datenübertragung über
das Mobilfunknetz nicht zusätzlich erweitert werden, da
die Mobilfunkeinheit 320 im Transceiver 364 bereits
zur Positionsbestimmung vorhanden ist. Zur Datenübertragung
an den Sicherheitsserver 140 können alle gängigen
Protokolle wie GPRS, GSM oder UTMS herangezogen werden. Auch die
Form der Datenübertragung ist beliebig. Beispielsweise
kann die Mobilfukeinheit 320 eine SMS (short message service)
an den Sicherheitsserver 140 senden, in der die Zustandsdaten
enthalten sind. Alternativ kann eine Telefonverbindung aufgebaut
werden, wobei die Mobilfunkeinheit 320 wie ein Modem arbeitet.
-
Alternativ
kann der Transceiver 364 an vorbestimmten Wegpunkten auf
seinem Transport mit einem Kabel an ein Netzwerk oder an einen Computer
angeschlossen werden und auf diese Weise die Zustandsdaten übermitteln.
-
Die
Sensoren 270 können eine Vielzahl unterschiedlicher
Einzelsensoren 371, 372 enthalten. Diese können
die bereits beschriebenen Flächenschutz-, Temperatur- und/oder
Feuchtigkeitssensoren für den Sicherheitsbehälter
sein. Es können beispielsweise auch Sensoren eingesetzt
werden, die das Schloss 120 überwachen und mechanische
Zugriffsversuche wie ein Aufsägen des Schlosses 120 erkennen.
-
Daher
müssen die Sensoren nicht zwangsläufig am Sicherheitsbehälter 110 angebracht
werden, sondern können auch im Schloss 120 vorhanden
sein. Dasselbe gilt für die Alarmeinheit, die ebenfalls
im Schloss 120 untergebracht sein kann.
-
Nachstehend
wird nun der Sicherheitsserver 140 näher beschrieben. 4 zeigt
ein Strukturbild des Sicherheitsservers 140. Dieser kann
zweigliedrig aufgebaut sein. Ein ganz normaler Personalcomputer 510 dient
dabei zum Ausführen bestimmter Applikationen, die später
näher beschrieben werden. Mit dem Personalcomputer 510 verbunden
ist eine Hardwarekopie 520 eines Schlosses 120 gemäß der
Erfindung.
-
Diese
Hardwarekopie 520 wird dazu benötigt, die Funktionalität
des Sicherheitschips 235 des Schlosses 120 zu
kopieren und die Verschlüsselung und Entschlüsselung
des Nachrichtenverkehrs zwischen Sicherheitsserver 140 und
Schloss 120 zu gewährleisten. Wie bereits beschrieben,
ist der Sicherheitschip 235 des Schlosses 120 eine
elektronische Schaltung, die in einem Gehäuse des Sicherheitschips 235 fest
eingegossen ist. Damit kann die Funktionalität der Schaltung
des Sicherheitschips 235 auf normalem technischen Weg nicht
nachvollzogen werden. Deshalb ist für den Sicherheitsserver 140 besonders
einfach, wenn die Funktionalität des Sicherheitschips 235 des
Schlosses 120 als Hardwarekopie in die Architektur des
Sicherheitsservers 140 eingebaut ist. Dadurch kann die
Verschlüsselung des Nachrichtenverkehrs zwischen Sicherheitsserver 140 und
Schloss 120 selbst dann nicht nachvollzogen werden, wenn
der Sicherheitsserver durch Hacker angegriffen wird. Da die Hardwarekopie 520 des Schlosses 120 keine
weiteren Funktionen des Schlosses 120 realisieren muss,
weist diese lediglich eine Schnittstelle 521 und eine Steuereinheit 522 auf. Die
Steuereinheit 522 enthält einen Controller 524 zum
Empfangen von Daten über die Schnittstelle 521 und
die Sicherheitschipkopie 525, die von einem Spannungswandler 523 mit
Strom versorgt wird. Die Elemente arbeiten in genau derselben Art
und Weise zusammen wie im Schloss 120.
-
Für
eine Vielzahl von Schlössern 120, die alle mit
dem Sicherheitsserver 140 überwacht werden, reicht
es aus, eine einzige Hardwarekopie 520 eines Schlosses 120 zu
verwenden. Wird der Datenverkehr oder der Verwaltungsaufwand für
alle Schlösser 120 mit der einzigen Hardwarekopie 520 jedoch
zu groß, dann können auch mehrere Hardwarekopien
gleichzeitig zum Verwalten und Verschlüsseln des Datenverkehrs
eingesetzt werden. Diese Anforderungen sind systemspezifisch.
-
Der
Personalcomputer 510 des Sicherheitsservers 140 weist
weiter eine Internet-Schnittstelle 511, einen Nachrichtenfilter 512,
eine Serverapplikation 513, eine Datenbank 514 und
eine Netzwerkschnittstelle 515 auf.
-
Die
Internetschnittstelle 511 empfängt Daten vom ersten
Computer 130, wobei diese Daten zur Anmeldung des Benutzers
am Sicherheitsserver oder zur Anforderung von Steuerdaten vorgesehen sein
können. Die empfangenen Daten werden dem Nachrichtenfilter 512 zugeführt,
der eine Überprüfung vornimmt, ob die Daten auch
wirklich vom ersten Computer 130 stammen. Damit wird bereits
eine Vorprüfung unternommen, um eventuelle Manipulationsversuche
schon frühzeitig zu erkennen. Zu sendende Daten können
durch das Nachrichtenfilter 512 ebenfalls gesichert werden,
so dass der erste Computer 130 überprüfen
kann, ob die Daten vom Sicherheitsserver 140 gesendet wurden.
-
Der
Nachrichtenfilter 512 sendet die Empfangsdaten an die Serverapplikation 513 und
erhält zu versendende Daten von dieser. Die Serverapplikation 513 unterscheidet
jetzt, ob es sich um Daten handelt, mit denen sich ein Benutzer
am Sicherheitsserver 140 anmelden möchte oder
ob es sich um eine Steuerdatenanforderung handelt.
-
Im
Falle einer Benutzeranmeldung überprüft die Serverapplikation 513 den
Zustand des betreffenden Schlosses 120 und/oder Sicherheitsbehälters 110.
Der Zustand kann aus dem Speicher 231 des Schlosses 120 abgefragt
werden, indem der Sicherheitsserver 140 über den
ersten Computer 130 eine entsprechende Anfrage für
die Zustandsdaten sendet. Alternativ können die Zustandsdaten
auch sofort mit der Anmeldung des Benutzers am Sicherheitsserver 140 an
diesen übertragen werden. Eine weitere Alternative besteht
darin, dass der Sicherheitsserver diese bereits intern gespeichert
hat, da das Schloss 120 und/oder der Sicherheitsbehälter 110 diese
Daten über den Transceiver 364 übertragen hat.
-
Basierend
auf den Sicherheitsdaten erzeugt die Serverapplikation 513 ein
Sicherheitssiegel. Dieses Sicherheitssiegel sind Daten, mit Angaben,
wie der Sicherheitszustand des Schlosses 120 und/oder des
Sicherheitsbehälters 110 auf einem Bildschirm darzustellen
sind. Diese Daten können beispielsweise ein bestimmtes
Bild oder eine bestimmte Farbe enthalten. Das Sicherheitssiegel
wird dann über die Internet-Schnittstelle 511 an
den ersten Computer 130 gesendet und von diesem im Benutzerinterface 131 dargestellt.
Damit hat Benutzer einen schnellen Überblick über
den Sicherheitszustand des Sicherheitsbehälter 110 und/oder
des Schlosses 120.
-
Zusätzlich
vergleicht die Serverapplikation 513 die Benutzerdaten
mit den Benutzerdaten, die er in seiner Datenbank 514 gespeichert
hat und meldet den Benutzer basierend auf diesem Vergleich am Sicherheitsserver
an.
-
Erhält
die Serverapplikation 513 eine Steuerdatenanforderung, überprüft
sie zuerst, ob der entsprechende Benutzer angemeldet ist. Ist dies
nicht der Fall, kann sie entweder eine negative Antwort liefern
oder aber auch einfach nur die Steuerdatenanforderung als Manipulationsversuch
in der Datenbank 514 speichern.
-
Ist
der entsprechenden Benutzer angemeldet, so leitet die Serverapplikation 513 die
Steuerdatenanforderung an die Hardwarekopie 520 weiter,
um diese zu entschlüsseln. Dies geschieht auf demselben
Weg, wie die Ver- und Entschlüsselung im Schloss 120.
Die entschlüsselte Steuerdatenanforderung wird dann an
die Serverapplikation 513 zurückgeliefert, die
basierend auf einer vorbestimmten Anzahl an Vergleichen die entsprechenden
Steuerdaten generiert.
-
Die
Vergleiche können ein Berechtigungsvergleich sein, ob der
entsprechende angemeldete Benutzer, der die Steuerdatenanfrage weitergeleitet hat,
zum Ausführen des entsprechenden Befehls berechtigt ist.
Diese Berechtigung kann beispielsweise auch vom zweiten Computer 150 aus
erteilt werden. Dazu kann die Serverapplikation 513 einerseits
eine Rückfrage an den zweiten Computer 150 senden
mit der ein Benutzer des zweiten Computers 150 die Erzeugung
der Steuerdaten freigeben kann. Diese Freigabe kann aber auch im
Vorfeld vom zweiten Computer 150 aus erfolgen und in der
Datenbank 514 des Sicherheitsservers 140 hinterlegt
werden. In beiden Fällen, wenn ein zweiter oder mehr Benutzer
die Erzeugung der Steuerdaten von einem anderen als dem ersten Computer 130 aus
freigeben müssen, so spricht man von Distanzöffnung.
Alternativ kann die Serverapplikation 513 auch überprüfen,
ob sich mindestens zwei Benutzer am ersten Computer 130 angemeldet
haben und/oder ob von mindestens zwei angemeldeten Benutzern jeweils
eine gültige Steuerdatenanfrage empfangen worden ist, bevor
die Steuerdaten erzeugt werden. In diesem Fall spricht man vom Vier-Augen-Prinzip.
Es kann auch mit der Distanzöffnung kombiniert werden.
-
Weitere
möglich Vergleiche vor der Erzeugung der Steuerdaten können
der Abgleich des Sicherheitszustandes des Behälters oder
ein Zeitvergleich sein, mit dem bestimmt wird, zu welchem Zeitpunkt
der Benutzer am ersten Computer 130 den Sicherheitsbehälter öffnen
kann. Dies ist besonders dann relevant, wenn ein Absender des Sicherheitsbehälters 110 einem
Empfänger nur in einem ganz bestimmten Zeitfenster Zugriff
auf das Transportgut gewähren möchte.
-
Sind
alle notwendigen Vergleiche in der Serverapplikation 513 positiv,
so erzeugt diese die entsprechenden Steuerdaten, verschlüsselt
sie wieder mit der Hardwarekopie 520 des Schlosses 120 und schickt
die verschlüsselten Steuerdaten über den ersten
Computer 130 an das Schloss 120.
-
Vorzugsweise
wird vom Schloss 120 nach dem Ausführen des jeweiligen
Befehls noch eine Bestätigung gesendet. Diese Bestätigung
enthält einen Zustand des Schlosses 120, der für
den Sendezeitpunkt vom Schloss 120 zum Sicherheitsserver 140 eindeutig
ist. Mit dieser Bestätigung kann, wie bereits beschrieben,
der Manipulationszustand des Schlosses 120 ermittelt werden.
Dazu enthält die Bestätigung eine Sendezeit, eine
Zufallszahl und Identifikationsdaten des Schlosses 120.
Den Inhalt der Bestätigung speichern Schloss 120 und
Sicherheitsserver 140 jeweils im Speicher 231 und
in der Datenbank 514 ab. Bei der nächsten Verbindung
zwischen Schloss 120 und Sicherheitsserver 140 über
einen beliebigen Computer kann der Inhalt dieser Bestätigung
abgefragt und verglichen werden. Sind Sendezeit, Zufallszahl und
Iden tifikationsdaten unverändert, so kann von einem manipulationsfreien
Schloss ausgegangen werden.
-
Im
Folgenden soll die Datenbank 514 näher beschrieben
werden. 5 zeigt ein Strukturbild der Datenbank 514 im
Sicherheitsserver 140. Danach weist die Datenbank 514 verschiedene
Strukturen 610–690 auf, mit denen verschiedene
Variablen 611–613, 641–643 gespeichert
werden können.
-
Die
Struktur Benutzer 610 kennzeichnet einen Benutzer des Schlosses
eindeutig, indem beispielsweise sein Name 611 und seine
Adresse 612 gespeichert ist. Weiter kann ebenfalls gespeichert sein,
welche Rechte 613 der Benutzer besitzt. Diese Rechte 613 können
administrative Rechte zum Einrichten des Sicherheitsservers 140,
Rechte zum Einrichten des Schlosses 120 oder Anwendungsrechte zum
Verriegeln und/oder Entriegeln des Schlosses sein.
-
Die
Struktur Benutzergruppe 620 kann beispielsweise eine einfachere
Verwaltung unterschiedlicher Benutzerkreise erlauben, um einheitliche Rechte
für diese Benutzerkreise zu verwalten. Beispielsweise können
den Mitarbeitern einer gesamten Abteilung in einem Großunternehmen
das Recht zum Entriegeln des Schlosses 120 des Sicherheitsbehälters
eingeräumt werden, wenn beispielsweise ein bestimmter Mitarbeiter
dieser Abteilung als Empfänger benannt ist.
-
Die
Struktur Server-Log 630 und Behälter-Log 650 kann
zum zeitlichen Aufzeichnen der Zustandsdaten des Schlosses 120 oder
des Sicherheitsservers 140 verwendet werden, um eventuelle Probleme
wie Manipulationsversuche nachvollziehen zu können.
-
Die
Struktur Behälter 640 kann die Identifikationsdaten 641 des
Schlosses, wie eine bestimmte Schlossnummer speichern. Mit der Variable
Empfänger 642 kann beispielsweise beim Versenden
des Sicherheitsbehälters 110 mit dem Schloss 120 ein
Benutzer aus der Struktur Benutzer 610 als Empfänger hinterlegt
werden, so dass beim Empfang einer Steuerdatenanfrage ein schneller
Vergleich möglich ist, ob der Benutzer, der die Steuerdatenanfrage
zum Entriegeln des Schlosses 120 gesendet hat auch zum
Entriegeln des Schlosses 120 berechtigt ist. Ferner kann
in der Variable Zustand 643 der Si cherheitszustand des
Schlosses 120 nach dem Ausführen von Steuerdaten
gespeichert werden.
-
Mit
der Struktur VSeal 660 lässt sich der Sicherheitszustand
für alle Schlösser 120 übersichtlich verwalten.
Damit kann dann von der Variable Zustand 643 in der Struktur
Behälter 640 auf die Struktur VSeal 660 verwiesen
werden.
-
Die
Strukturen Transaktionen 670 und Protokolle 680 erlauben
ebenfalls einen Überblick über bestimmte Vorgänge,
die am Sicherheitsserver 140 oder zwischen dem Sicherheitsserver 140 und
dem Schloss 120 abgelaufen sind.
-
Die
Variablen innerhalb der einzelnen Strukturen müssen nicht
eindeutig vergeben werden. Vielmehr ist es möglich, die
einzelnen Variablen mehrmals zu vergeben und zwischen den einzelnen
Strukturen zu verweisen.
-
Mit
Bezug auf 6 wird ein Verfahren zum Verriegeln
des Schlosses 120 gezeigt. Die Verriegelung erfolgt dabei
am Ort des zweiten Computers 150, der mit dem Sicherheitsserver über
das Internet verbunden ist. Im Schritt S710 bereitet ein Benutzer den
Sicherheitsbehälter 110 vor, in dem er das Transportgut
in den Sicherheitsbehälter 110 einfüllt.
Danach verbindet er in Schritt S720 das Schloss 120 mit dem
Computer 150 über eine USB-Verbindung. In Schritt
S730 werden dann automatisch alle Daten vom Schloss 120 an
den Computer 150 übertragen, die zum Darstellen
eines Benutzerinterfaces notwendig sind, wobei der Computer 150 dieses
Benutzerinterface nach Empfang automatisch auf dem Bildschirm darstellt.
Im Schritt S740 meldet sich der Benutzer am Sicherheitsserver 140 an.
Danach wählt er im Schritt S750 eine Sicherheitskonfiguration,
mit der das Schloss verschlossen werden soll. Wie gezeigt, kann
diese Konfiguration sehr vielfältig sein. Unter anderem
kann sie das vier-Augen-Prinzip oder die Distanzöffnung
enthalten. Ist die Sicherheitskonfiguration gewählt, so
befielt der Benutzer in Schritt S760 dem Schloss 120 sich
zu „verriegeln”. Das Schloss authentifiziert in
Schritt S770 den Befehl in bereits beschriebener Weise. Zusammenfassend
gehören zur Authentifizierung, dass der Befehl an das Schloss 120 in
Schritt S771 gesendet wird, dass das Schloss 120 in Schritt
S772 eine Steuerdatenanforderung an den Sicherheitsserver 140 sendet,
das der Sicherheitsserver die Anfrage in Schritt S773 prüft
und in Schritt S774 basierend auf der Prüfung Steuerda ten zum
Schloss 120 sendet, mit denen sich das Schloss 120 in
Schritt S775 verriegeln kann. Im Schritt S780 erzeugt das Schloss 120 Zustandsdaten,
die an den Sicherheitsserver 140 zur Erzeugung des Sicherheitssiegels
gesendet werden. Auch dies läuft in bereits beschriebener
Weise ab. In Schritt S781 sendet das Schloss 120 seine
Zustandsdaten an den Sicherheitsserver 140. Dort aktualisiert
der Sicherheitsserver 140 im Schritt S782 seine Zustandsdaten
und prüft zusätzlich ob die Zustandsdaten beispielsweise auf
eine physische Manipulation des Sicherheitsbehälters 110 und/oder
des Schlosses 120 hinweisen. Aus den aktualisierten Zustandsdaten
erzeugt der Sicherheitsserver in Schritt S783 ein Sicherheitssiegel und
sendet es in Schritt S784 an den Computer 150, der es in
Schritt S785 mit dem Benutzerinterface anzeigt. Ist das Sicherheitssiegel
frei von Warnungen oder Fehlern, so versendet der Benutzer den Sicherheitsbehälter 110 im
Schritt S780 beispielsweise an den Ort des ersten Computers 130.
-
7 zeigt
ein Ablaufdiagramm eines Verfahrens beim Entriegeln des Schlosses
am Sicherheitsbehälter. Am Ort des ersten Computers 130 in Schritt
S810 angekommen, wird in den Schritten S820 und S830 das Schloss 120 in
bereits beschriebener Weise an den Computer 130 angeschlossen und
das Benutzerinterface auf diesem angezeigt. In Schritt S840 findet
nun wieder ein Zustandsabgleich des Schlosses 120 mit dem
Sicherheitsserver statt. Dazu werden in Schritt S841 die Zustandsdaten
des Schlosses 120 an den Sicherheitsserver übertragen. Hier
werden nun die Zustandsdaten aus dem Schloss 120 im schritt
S842 vollständig mit den Zustandsdaten im Sicherheitsserver 140 verglichen.
Basierend auf diesem Vergleich wird dann in Schritt S843 das Sicherheitssiegel
erzeugt, das anzeigt, ob die verglichenen Zustände gleich
sind. Das Sicherheitssiegel wird schließlich in bereits
gezeigter Weise in den Schritten S844, S845 an den Computer 130 übertragen
und an diesem angezeigt. Nach dem Anzeigen des Sicherheitssiegels
am Computer 130 kann sich der Empfänger in Schritt
S850 über den Computer 130 am Sicherheitsserver 140 mit
seinen Benutzerdaten anmelden. Wurde die Anmeldung akzeptiert, so
kann der Empfänger in Schritt S860 dem Schloss 120 die
Entriegelung befehlen. Die Ausführung des Befehls findet
in Schritt S870 auf dieselbe Weise wie beim Verriegeln in Schritt
S770 statt. Ist das Schloss 120 entriegelt kann der Empfänger
in Schritt S880 das Transportgut prüfen und im Schritt
S890 den Empfang bestätigen. Damit ist der Transport abgeschlossen.
-
In 8 wird
das Verfahren zum Überwachen des Sicherheitsbehälters 110 während
des Transports näher beschrieben. Dazu wird das Schloss 120 im
Schritt S910 zu Beginn des Transportes vom Computer 150 getrennt.
Im Schritt S920 prüft die Steuereinheit 230 des
Schlosses 120 alle Zustände der Schalter 210 und
der Sensoren 270. Im nächsten Schritt wird bestimmt,
ob das Schloss S120 wieder an einem Computer 130, 150 angeschlossen
ist. In diesem Fall wird die Routine in Schritt 970 beendet.
Im anderen Fall wird in Schritt S940 die Position des Schlosses 120 und
damit des Sicherheitsbehälters 110 ermittelt.
Die ermittelte Position und die Zustände der Schalter und
Sensoren werden dann im Schritt S950 an den Sicherheitsserver 140 übertragen.
Zuletzt geht das Schloss in Schritt S960 für eine vorbestimmte
Zeit in stand-by bevor es die Routine in Schritt S920 erneut startet.
-
9 zeigt
ein Ablaufdiagramm des Verfahrens für den Sicherheitsserver 140,
der die Zustandsdaten während des Transports des Sicherheitsbehälters 110 überwacht.
Empfängt der Sicherheitsserver 140 im Schritt
S1010 die Daten vom Schloss 120, so aktualisiert er in
Schritt S1020 seine Position. Danach prüft er die Schalter-
und Sensorenzustände in Schritt S1030 und entscheidet in
Schritt S1040 ob die Prüfung einen Manipulationsverdacht
ergeben hat. Wenn nein, dann beendet der Sicherheitsserver die Routine
in Schritt S1050, wobei der optional die Zustandsdaten noch in der
Struktur Behälter-Log 650 hinterlegen kann. Ergibt
sich ein Manipulationsverdacht, so kann in Schritt S1060 eine Präventionsroutine
gestartet werden. Diese kann beispielsweise darin bestehen, dass
der Sicherheitsserver 140 alle Administratoren, den Empfänger
und den Absender des Sicherheitsbehälters per E-Mail von
diesem Manipulationsverdacht unterrichtet.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste
der vom Anmelder aufgeführten Dokumente wurde automatisiert
erzeugt und ist ausschließlich zur besseren Information
des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen
Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt
keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-