DE3327720A1

DE3327720A1 - Verfahren und vorrichtung zum betrieb einer elektronischen sicherheitseinrichtung

Info

Publication number: DE3327720A1
Application number: DE19833327720
Authority: DE
Inventors: Francis 92806 Anaheim Calif. Calvagna; Leonard 92705 Santa Ana Calif. Genest
Original assignee: GENEST LEONARD JOSEPH
Current assignee: GENEST LEONARD JOSEPH
Priority date: 1982-08-02
Filing date: 1983-08-01
Publication date: 1984-03-01
Also published as: GB8508115D0; AU1632383A; US4558175A; GB2159990A; GB2159991B; GB8314724D0; GB2125096B; GB2125096A; GB8508109D0; GB2159991A; GB2157467A; GB8508108D0; FR2531128A1; AU554053B2; GB2159990B; BE897269A; GB2157467B; FR2531128B1

Description

Die Erfindung betrifft Sicherheitseinrichtungen und insbesondere Vorrichtungen und Verfahren zur Daten-Übertragung zwischen einzelnen Komponenten der Sicherheitseinrichtung die nicht auf eine andere Weise verbunden sind.

Elektronische Sicherheitseinrichtungen zur Steuerung ^ des Zuganges zu einem oder mehreren Sicherheitsbereichen sind bekannt. Solche Sicherheitseinrichtungen haben zunächst ein oder mehrere elektronische Schlösser zur Sicherung des gewünschsten Bereichs und einen magnetisch, mechanisch oder elektronisch kodierten Schlüssel. Wenn ¹^ im Betrieb der Kode des Schlüssels mit dem im Schloß kodierten Kode übereinstimmt, dann öffnet das Schloß. Es ist im allgemeinen schwierig, den Kombinationskode des Schlosses in solchen Einrichtungen zu ändern, und die Erhöhung der Sicherheit für Hotels und dergleichen ist daher gering, wenn der Kombinationskode in dem elektrischen Schloß geändert werden soll, jedes Mal wenn der Raum einem neuen Gast zugewiesen wird.

Um dieses Problem zu lösen, wurden verschiedene Einrichtungen entworfen, die es ermöglichen, die Kombination des Schlosses in Abhängigkeit von der Kodierung einer neuen Schlüsselkarte zu ändern. Solche Sicherheitseinrichtungen sind in den US-PS 3821704 und Re 29259 beschrieben. Bei diesen Vorrichtungen ist eine zentrale

Konsole vorgesehen, um Schlüsselkarten mit zwei Datenfeldern zu kodieren. Jedes Schloß ist so programmiert, daß es die Daten in den beiden Feldern auf der Karte erfaßt und den Kombinationskode im Schloß ändert, wenn eine spezielle Ubereinstimmungsfolge zwischen dem alten Kombinationskode, der im Schloß gespeichert ist, und den beiden Feldern von Daten, die auf der Schlüsselkarte gespeichert ist, erfüllt wird. Alle Kombinationskodes für alle Schlösser in einer Einrichtung müssen auch im

JJZ / /ZU

Speicher der zentralen Konsole gespeichert werden, damit die Schlüsselkarten richtig kodiert werden.

Die bekannte Sicherheitseinrichtung zur praktischen Anwendung bei Anlagen wie Hotels hat verschiedene Nachteile. Z.B. ist das Problem nicht berücksichtigt, wie jedes der Schlösser so synchronisiert werden kann, daß der Kombinationskode in jedem Schloß dem Kombinationskode für das Schloß entspricht, das in der zentralen Konsole gespeichert ist.

Um dieses und andere Probleme zu überwinden wurde die

Sicherheitseinrichtung der US-PS 4283710 entwickelt, die 15

einen permanenten Sicherheitsübersteuerungsmodul und einen temporären Sicherheitsübersteuerungsmodul hat, die es ermöglichen, den Kombinationskode für ein spezielles Schloß von der Konsole in den Speicher im Modul einzugeben. Der Modul kann dann zu einem nicht synchronisierten

Schloß gebracht werden, so daß anstelle der unsynchronisieten Kodekombination die darin gespeicherten Daten zum Schloß übertragen und darin gespeichert werden. Die Übersteuerungsmodule ermöglichen es außerdem verschiedene

Funktionen durchzuführen, um den praktischen Einbau der 25

Sicherheitseinrichtung in eine Anlage wie ein Hotel zu gestatten.

Diese bekannte Sicherheitseinrichtung hat jedoch darin eine Sicherheitsschwäche, daß"die Nachrichtenverbindung

zwischen der Konsole und dem Programmgerät und zwischen dem Programmgerät und dem Schloß nicht sicher ist. Diese Schwäche ist darauf zurückzuführen, daß die Sicherheitsmodule einfache Leitungen für die Kombinationskodes sind, wobei ein spezieller Kombinationskode von der Konsole zum Sicherheitsmodul übetragcn und danach von dem Sicherheitsmodul zum Schloß übertragen wird. Eine nicht autorisierte Person kann daher die Daten im Sicherheitsmodul-

COPY

speicher lesen und ist in der Lage, den Kombinationskode eines speziellen Schlosses zu bestimmen.

ι- Um diese Sicherheitsschwäche zu überwinden, schafft die Erfindung eine Sicherheitseinrichtung, bei der das Programmiergerät ein kodiertes Datenwort von der Konsole empfängt und dann vor der übertragung des kodierten Datenwortes zum Schloß, jedoch nur nach dem Einsetzen

,Q des Programmiergerätes in die Verbindung mit dem Schloß das kodierte Datenwort dekodiert und in bestimmten Fällen weiterkodiert, das dann zum Schloß übertragen wird. Das Schloß wird dann vorprogrammiert, um die Kodierung umzukehren und den gewünschten Kombinationskode zu erhalten.

Eine nicht autorisierte Person, die den Speicher des Programmiergerätes liest, ist daher nicht in der Lage, den Kombinationskode abzuleiten, ohne zuerst das Kodierprogramm zu kennen, das an dem Datenwort von der Konsole vor der Übertragung des Datenwortes zum Programmie

₂Q gerät durchgeführt wird, und zweitens die üekodierung und in bestimmten Fällen den weiteren Kodiervorgang zu kennen, der von dem Programmgerät-Prozessor durchgeführt wird.

Das konsolenkodierte Programmgerät ist daher nicht nur 2g eine Leitung, sondern ist ein aktiver Prozessor, der die darin gespeicherten Datenwörter vor der übertragung zum Schloß auf eine oder mehrere vorbestimmte Arten verarbeitet .

Sei der Ausführungsform, bei der das Programmiergerät das Datenwort weiter ändert, sind die einzelnen Schlösser in der Einrichtung auch programmiert, um dai; geänderte Datenwort, das vom Programmgerät empfangen wird, durch Umkehr der Kodierung, die vom Programmiergerät durch-

gg geführt wird, und der Kodierung, die von der Konsole durchgeführt wird, zu dekodieren. Bei dieser Ausführungsform

"copy

ist eine nicht autorisierte Person, die in der Lage ist, ein Wort von dem Programmiergerät zu erhalten, nach dem

es seine Kodierungs- und Dekodierungsvorgänge durch-5

geführt hat, immer noch nicht in der Lage, den Wert des Kombinationskodes zu entziffern, da diese Person das Dekodierprogramm nicht ableiLon kann, das von dem Schloß durchzuführen ist. Dadurch wird daher die Sicherheit in der Datenübertragungsverbindung zwischen der Konsole, dem Programmgerät und den einzelnen Schlössern wesentlich erhöht.

Eine typische Einrichtung, bei der die Vorrichtung und das Verfahren der Erfindung eingesetzt werden können, hat eine zentrale Konsole mit einem Speicher zur Speicherung von Identifizierungskodes, die einen oder mehrere Schloßspeicher kennzeichnen, und von Kombinationskodes für jeden Speicher eines jeden Schlosses, eine Frontplatte zur Eingabe der von der Einrichtung durchzuführenden gewünschten Funktion, sowie einem Prozessor, der die empfangene Information vom Konsolenspeicher und von der Frontplatte zur Verwendung durch ein oder mehrere Schlösser angleicht.

Die Einrichtung kann Schlüssel aufweisen, die an der zen-25

tralen Konsole kodiert und die Gästen, Managern, Zimmermädchen oder anderen Personen gegeben werden, die berechtigt sind, einen speziellen Raum oder Gruppen von Räumen zu betreten. Die Schlüssel können in ein Schloß gesteckt werden, um das Schloß zu öffnen bzw. den Kombinationskode eines speziellen Schloßspeichers zu erneuern und dann das Schloß entsprechend dem Verfahren und der Einrichtung der DE-Patentanmeldung 33 13 609 zu öffnen.

COPY

Die Einrichtung hat ein aktives Datenwortänderungs-Programmiergerät, das wahlweise zum Empfang kodierter Daten-Wörter von dem zentralen Prozessor geschaltet und von

Hand zu einem oder mehreren Schlössern gebracht und in diese Schlösser zur übertragung von Datenwörtern gebracht wird, die von dem Programmiergerät geändert werden, um ein Schloß zur Durchführung einer oder mehrerer Funktionen freizugeben. Das System hat außerdem ein oder mehre-

' ·■ ■

re elektronische programmierbare Schlösser, von denen jedes einen oder mehrere Speicherpegel· hat, in denen ein Identifizierungskode, der diesen speziellen Speicher kennzeichnet, und ein Kombinationskode gespeichert sind. Jedes Schloß hat einen Prozessor, der die geänderten

Datenwörter von dem Programmiergerät empfängt und verschiedene Handhabungen und Vergleiche durchführt, um die von dem Schloß durchzuführende Funktion zu bestimmen, und dann diese Funktion richtig durchzuführen.

Die Erfindung kann außerdem ein Not- bzw. Freigabe-Programmiergerät aufweisen, das einen Steckanschluß zur Ausgabe von Datenwörtern zu einem Schloß, einen Speicher zur Speicherung von Datenwörter und einen Prozessor zur Handhabung der Datenwörter entsprechend einem vorprogrammier

ten System hat. Weiterhin hat das Freigabe-Programmiergerät einen Funktionswählschalter, der dem Prozessor Signale zuführt, der widerum Datenwörter und Befehlsinformationen für das Schloß erzeugt. Die Daten von dem Freigabe-Programmiergerät ermöglichen es dem Leser am Schloß, die kodierten Datenwörter des in den Schloßleser eingesetzten Schlüssels zu lesen. Das Schloß verwendet dann die Daten der Schlüsselkarte, um die von dem Freigabe-Programmiergerät befohlene Funktion durchzuführen. Das

von dem Freigabe-Programmiergerät erzeugte Datenwort, 35

das zum Schloß übertragen wird, enthält keine Kombina-

GOPY

tionskodes, sondern stattdessen nur den Anlagekode, der in dom Freigabe-Programmiergerät-Speicher gespeichert ist.

Bei der bevorzugten Ausführungsform wird der Anlagenkode, 5

der in dem Freigabe-Programmiergerät-Speicher gespeichert ist, in verwürfelter Form gespeichert, und der Prozessor des Freigabe-Programmiergerätes wird entsprechend einem vorbestimmten Entwurfelungsprogramm programmiert, um einen entwürfelten Anlagekode nur dann auszugeben, wenn das Freigabe-Programmiergerät in ein Schloß eingesetzt und eine Nachrichtenverbindung zwischen dem Schloß und dem Programmiergerät bestätigt ist.

Das Programmiergerät ist insbesondere dann zweckmäßig, 15

wenn die zentrale Konsole außer Betrieb ist. In diesem Falle werden die vorprogrammierten Schlüssel, die in einem Safe oder einem anderen sicheren Ort gehalten werden, herausgenommen und in Verbindung mit dem Freigabe-Programmiergerät verwendet, das von der zentralen Konsole nicht programmiert zu werden braucht, um Zugang zu einem oder mehreren Räumen in der Hotelanlage zu ermöglichen.

Bei einer Betriebsart unter Verwendung des konsolenkodierten Programmiergerätes wird das Programmiergerät-Daten-25

wort, das von der Konsole erzeugt wird, zuerst entwürfelt, um ein kodiertes Datenwort zu erhalten. Das kodierte Datenwort wird zum Programmiergerät übertragen, das dann zu einem speziellen Schloß gebracht wird. Nach Überprü-

fung, daß eine Nachrichtenverbindung zwischen dem Pro-30

grammiergerät und einem Schloß aufgebaut ist, entwürfelt das Programmiergerät das kodierte Datenwort und überträgt das sich ergebende geänderte Datonwort zum Schloß, wo es verwendet wird.

Bei dieser Ausführungsform sind die Dekodieroperationen, die sonst von dem Schloßprozessor durchgeführt werden, nicht erforderlich, da das Schloß keinen Kombinations-

COPY

-17-1

kode erfordert, um die befohlene Funktion durchzuführen.

_c Bei der Betriebsart, bei der ein Kombinationskode von b

dem Programmiergerät zu einem speziellen Schloß übertragen werden muß, hat das Programmiergerät-Datenwort, das von der Konsole erzeugt wird, einen Kombinationskode. Vor der Erzeugung des Programmiergerät-Datenwortes _n wird jedoch der darin enthaltene Kombinationskode entsprechend einer ersten Änderungsoperation geändert.

Die erste Änderungsoperation kann z.B. nur die Addition des Kombinationskodes zu einem Anlagekode sein, der ein

allen Elementen der Sicherheitseinrichtung gemeinsamer 15

Kode ist, einschließlich jedes Schlosses und der zentralen Konsole. Die sich ergebende Zahl ist ein erster Änderungskode, der von der Konsole verwendet wird, um einen Teil des Programmiergerät-Datenwortes zu bilden. Das Datenwort wird dann entsprechend einer ersten vorprogrammie ten Operation verwürfelt, wie zuvor beschrieben wurde, wobei das sich ergebende kodierte Datenwort zum Programmiei gerät übertragen wird. Das Programmiergerät wird dann aus der Konsole entfernt, und zu einem Schloß gebracht. Nach Überprüfung, daß eine Nachrichtenverbindung aufgebaut wurde, entwürfelt das Programmiergerät zuerst das kodierte Datenwort entsprechend einer zweiten vorprogrammierten Operation, und ändert dann den ersten Änderungskode entsprechend einer zweiten Änderungsoperation. Z.B. kann OQ die zweite Änderungsoperation eine weitere Addition des ersten Änderungskodes und des Anlagekodes sein, um einen zweiten Änderungskode zu erhalten. Der zweite Änderunqskode wird dann anstelle des ersten eingegeben, um das von dem Programmiergerät zum Schloß zu übertragende Daten-

_oc wort zu bilden,
ob

-18-

Das sich ergebende geänderte Datenwort wird dann zum Schloß übertragen. Das Schloß ist vorprogrammiert, um nicht nur die zweite Änderungsoperation, die von dem Programmiergerät durchgeführt wird, umzukehren, um den zweiten Änderungskode zu erhalten, sondern es ist auch so programmiert, daß es die eiste Änderungsoperation umkehrt, die von der zentralen Konsole verwendet wird, um den ersten Änderungskode zu erhalten. Durch aufeinanderfolgende Umkehr dieser beiden Änderungsoperationen ist der Schlüsselprozessor in der Lage, den richtigen Kombinationskode zu berechnen und zu erhalten, der dann in der von dem geänderten, von dem Schloß empfangenen Datenwort verwendet werden kann.

Die Erfindung wird nachstehend anhand der Figuren 1 bis 9 beispielsweise erläutert.

Es zeigt:

Fig. 1 ein Blockschaltbild einer Einrichtung mit einem konsolenkodierten Programmiergerät und einem Freigabe-Programmiergerät zur Herstellung einer oc sicheren Nachrichtenverbindung zu einem Schloß;

Fig. 2 ein Blockschaltbild der zentralen Konsole;

Fig. 3 ein Blockschaltbild des konsolenkodierten Pro-QQ grammiergerätes;

Fig. 4 ein Blockschaltbild des Schlosses;

Fig. 5 ein Blockschaltbild des Freigabe- Programmiergerätes;

Fig. 6 ein Flußdiagramm, aus dem das Verfahren der Kodierung eines Datenwortes in der Konsole zur

Vorbereitung der Übertragung zu dem konsolenko-5

dierten Programmiergerät hervorgeht;

Fig. 7 ein Flußdiagramm, aus dem die Dekodierung und Kodierung hervorgehen, die von dem konsolenkodierten Programmiergerät oder dem Freigabe-Programmiergerät durchgeführt werden;

Fig. 8 ein Flußdiagramm, aus dem die Dekodierfunktion hervorgeht, die von dem Schloß in der Einrichtung durchgeführt wird, und

Fig. 9 A und 9B Flußdiagramme verschiedener Beispiele des Betriebs der Einrichtung und der Durchführung des Verfahrens gemäß der Erfindung.

Die in Figur 1 gezeigte Einrichtung 10 der Erfindung besteht aus einer zentralen Konsole 12 und einem oder mehreren Schlüsseln 14, die magnetisch, mechanisch, elektrisch oder in anderer Weise von der Konsole 12 mit einem Datenwort kodiert werden können, um als Nachrichtenverbindung zwischen der Konsole 12 und einem oder mehreren Schlössern 16 in der Einrichtung zu dienen. Jedes Schloß 16 ist mit einem Schlüssel-ΙΟ leser 15 versehen, in den die Schlüssel 14 eingeschoben werden. Der Schlüsselleser erfaßt die auf dem Schlüssel 14 elektronisch kodierten Daten und überträgt diese Daten in den Schlüssel 16 zur Verarbeitung, um zu bestimmen, ob der Schlüssel eine vorbestimmte Funktion wie das Öffnen eines Verriegelungsmechanismus oder die Änderung eines Kombinationskodes durchführen soll.

Das Kodieren der Datenwörter auf den Schlüssel 14 durch die Konsole 12 wird zuerst durch das Einschieben eines Berechtigungsschlüssels 18 in die Konsole 12 von einer Bedienungsperson gesteuert. Die Konsole ermittelt die auf dem Berechtigungsschlüssel 18 gespeicherten Daten und verarbeitet die Daten, um zu bestimmen, nicht nur, ob der Schlüssel 18 gültig ist, sondern, ob er berechtigt ist, eine Karte zu erzeugen, die die Durchführung der geforderten Funktion einleiten kann. Zusätzlich zu dem Berechtigungsschlüssel 18 empfängt die Konsole 12 auch Daten von der Bedienungsperson über eine Tastatur 20. Die Befehle und Daten, die über die Tastatur 20 empfangen werden, werden verwendet, um den Inhalt jedes Datenwortes zu bestimmen, das auf einen Schlüssel 14 kodiert werden darf.

Die Sicherheitseinrichtung 10 hat außerdem ein aktives, von der Konsole kodiertes Programmiergerät 22, das ähnlich dem Schlüssel eine Nachrichtenverbindung zwischen der

COPY

" 332772C

Konsole 12 und einem oder mehreren Schlössern 16 herstellt. Nach Einschieben eines richtigen Bercchtigunqsschlüssels 18 in die Konsole 12 und nach Eingabe riehtiger Daten in die Konsole über die Tastatur 20 wird von der Konsole 12 ein Programmiergerät-Datenwort erzeugt und dann entsprechend einem vorbestimmten Operationssatz verwürfelt, um ein kodiertes Datenwort zu erhalten. Das kodierte Datenwort wird dann zu einem Speicher in dem Programmiergerät 22 übertragen und gespeichert.

Das Programmiergerät 22 kann dann von der Anschlußstelle in der Konsole 12 mechanisch entfernt und zu einem ausgewählten Schloß 16 gebracht werden, wo es in einen Steckanschluß 24 im Schloß 16 eingesetzt wird. Nachdem das Programmiergerät 22 elektronisch überprüft hat, daß es mit dem Schloß 16 in Verbindung steht, entwürfelt ein Prozessor im Programmiergerät 2 2 das kodierte Datenwort und überträgt das sich ergebende geänderte Datenwort zum Schloß 16, das das geänderte Datenwort verwen- , det, um eine oder mehrere von der Konsole 12 in das Programmiergerät kodierte Funktionen durchzuführen. Bei einigen Ausführungsformen kann das geänderte Datenwort das gleiche wie das Programmiergerät-Datenwort sein, bei anderen jedoch muß das geänderte Datenwort von dem Schloß entsprechend dem vorprogrammierten Operationssatz weiter modifiziert werden.

Um die Einrichtung in die Lage zu versetzen, zu arbeiten ^O wenn an der Konsole eine Unterbrechung auftritt, erzeugt eine Freigabe-Programmiergerät 26 den vorgespeicherten Anlagekode als Teil eines Datenwortes, das über den Steckanschluß 24 zu dem Schloß übertragen wird. Nach Empfang des Anlagekodes und des Befehlskodes vom Frei- ^ gabe-Programmiergerät 26, wird das Schloß 16 freigegeben um einen speziellen Schlüssel 14 zu lesen, der in den

COPY

Schlüsselleser 15 des Schlosses eingeschoben wird. Das kodierte Datenwort, das an dem Schlüssel 14 vorgespeichert ist, wird dann von dem Schlüsselleser 15 ausgelesen und wird danach vom Schloß 16 verwendet, um den Kombinationskode des Schlosses zu ändern oder in anderer Weise das Schloß in der gewünschten Weise zu betätigen.

Jeder geeignete Schlüssel 14, Schlüsselleser 15 in den Schlössern 16 und Schlüsselkodierer in der Konsole können verwendet werden. Z.B. kann die Art von Schlüsseln-Nachrichtenverbindung, wie sie in den US-PS 3,906,447, 3,622,991, 4,177,657 und 3,221,304 beschrieben ist, _χ oder jedes andere geeignete mechanische, magnetische, elektronische oder dergleichen Schlüssel-Ubertragungsgcrät verwendet werden. Bei der später beschriebenen Ausführungsform ist die Schlüssel-Nachrichtenverbindung magnetisch und arbeitet entsprechend dem in der US-PS 3,845,361 beschriebenen Prinzip.

Wie die Figur' 2 zeigt, besteht die Konsole 12 im wesentlichen aus einem Speicher, einem Prozessor, verschiede_oc. nen Ein- und Ausgabegeräten, durch die dem Prozessor Daten und Befehle zugeführt werden, und verschiedenen Ausgabegeräten, um von der Konsole Informationen auszugeben.

OQ Eine typische verwendbare Konsole 12 hat einen Prozessor 30, der über eine Zweiwegverbindung mit einem Speicher 32 verbunden ist. Der Prozessor kann ein handelsüblicher Prozessor sein, wie der Hoster (TM) Z80 Prozessor, und kann programmierbar sein, um Daten in der später zu

₃g beschreibenden Weise zu verarbeiten. In gleicher Weise kann der Speicher 32 ein handelsüblicher Speicher sein,

-2J-

wie der National Semiconductor NMC9716 Speicher, dor einen allen Einrichtungsschlösser gemeinsamen Anlagen— kode und jeden Kombinationskodc und in jedem Schloß gespeicherten Identifizierungskode ebenso wie gewählte, zuvor gültige Kombinationskodes elektrisch speichern. Der Speicher 32 kann zusätzlich zur Speicherung irgendwelcher anderer einschlägiger Daten verwendet werden, die vom Prozessor benötigt werden. —

Der Prozessor 30 empfängt Operationsbefehle von einem Dreh-Wählschalter 34, einem Bercchtigungskartenleser 36, der die Berechtigungsschlüsscl 18 lesen kann, und einem Ausführungsschalter 38, der die Durchführung der

Funktion entsprechend den ausgegebenen Befehlen veranlaßt. Der Prozessor 30 empfängt Daten vom Speicher 32 und einer Tastatur 40. Wenn Daten über die Tastatur 40 eingegeben werden, werden diese entweder in einem linken Anzeigegerät 4 6 oder einem rechten Anzeigegerät 48 nach Wahl der Bedienungsperson wiedergegeben, jedoch entsprechend den vorprogrammierten Erfordernissen des Prozessors 30. Das Anzeigegerät, auf dem die eingegebenen Daten erscheinen, kann von der Bedienungsperson durch

„_ bloses Drücken der Taste 41 (#) auf der Tastatur 40 geändert werden. Das Anzeigegerät kann durch Drücken der Taste 43 (*) auf der Tastatur 40 geändert werden.

Nach der Überprüfung, daß ein Berechtigungsschlüssel „_ 18 gültig ist, erhält die Konsole die Daten und die Operationsbefehle und arbeitet nach diesen, wenn der Ausführungschalter 38 gedruckt wird. Datenwörter zum Kodieren eines Schlüssels 14 über einen Schlüsselkod Lerer 4 2 oder Datenwörter zur Übertragung zu dem Pro- »p. grammiergerät 22 über einen Kodierer 44 worden dann orzougt

Dcr Prozessor kann auch Daten zu einem Drucker 50 übertragen, der alle von der zentralen Konsole 12 durchgeführten Vorgänge auszeichnet. Die Verbindungen

zwischen den verschiedenen Ein- und Ausgabe- und Anzeigegeräten sind bekannt und können vom Fachmann leicht hergestellt werden.

Figur 3 zeigt ein vereinfachtes, von der Konsole kodiertes Programmiergerät 22, das einen Prozessor 60, einen Speicher 62, einen aktiven Schalter 64, einen Steckanschluß 66 und ein Anzeigegerät 68 aufweist. Der Steckanschluß 66 kann mit einem ähnlichen Steckanschluß im Kodiercr 44 (Figur 2) und dem Steckanschluß 24 (Figur 1) in einem Schloß 16 zusammenwirken, so daß Daten von der zentralen Konsole 12 zum Programmiergerät 22 und danach vom Programmiergerät 22 zu einem Schloß 16 übertragen werden können.

Im Betrieb wird, wenn der Steckanschluß 66 des Programmiergerätes 2 2 in den Kodierer 4 4 eingeschoben ist, und nach . dem die zentrale Konsole 12 richtig betätigt wurde, ein Datenwort von der Konsole 12 über den Steckanschluß 66 zum Programmiergerät 22 übertragen, wo es im Speicher 62 gespeichert wird- Danach wird das Programmiergerät 22 zu einem Schloß 16 gebracht und in den Leser 24 eingesetzt. Der Prozessor 60 prüft zunächst, ob eine elektronische Nachrichtenverbindung zwischen dem Programmiergerät 22 und dem Schloß 16 hergestellt wurde. Das Anzeige-

gerät 68 zeigt dann an, ob die elektronische Nachrichtenverbindung hergestellt wurde oder nicht. Danach wird nach Drücken des aktiven Schalters 64 das kodierte Datenwort im Speicher 62 zum Prozessor 60 übertragen, wo es entsprechend einem vorprogrammierten, später zu beschrei-

benden Operationssatz verarbeitet wird. Das geänderte Datenwort wird dann über den Steckanschluß 66 in das Schloß 16 übertragen, wo es verwendet wird, um dem Pro-

zes'sor im Schloß 16 zu befohlen, eine oder mehrere vorprogrammierte Funktionen durchzuführen.

Wie Figur 4 zeigt, kann ein vereinfachtes Schloß 16 in der Einrichtung verwendet werden, das einen Prozessor 70, der handelsüblich sein kann, und einen Speicher 72 zur Speicherung eines Anlagenkodes, eines oder mehrerer Kodes und eines oder mehrere Idontifizierungskodes aufweist. Datenwörter werden entweder von einer Taste 14 über einen Tastenleser 15 und von einem Programmiergerät (entweder ein von einer Konsole kodiertes Programmiergerät oder ein später zu beschreibendes Freigabe-Programmier-

._ gerät) über den Programmierqerät-Steckanschluß 24 eingelb ■ .

geben. Der Prozessor 70 wird programmiert, um verschiedene Verarbeitungsschritte wie Dekodieren oder Vergleichen entweder von dem Tastenleser oder dem Steckanschluß 24 empfangener Datenwörter durchzuführen. Die speziellen Verarbeitungsstufen zur Handhabung der von den Tasten 14 stammenden Datenwörter ist in der deutschen Patentanmeldung 33 13 609 beschrieben.

Der Prozessor 70 ist so vorprogrammiert, daß er geänderte Datenwörten von einem Programmiergerät 22 aufnimmt und

sie in vorprogrammierter Weise handhabt, um Kombinationskode- und Identifizierungskodedaten zu erhalten. Die sich ergebenden Daten können mit Daten des Speichers 72 verglichen und zur Betätigung eines Schloßrieqelmechanismus ng 74 oder zur Durchführung irgendeiner anderen geeigneten Funktion entsprechend den programmierten Kriterien, wie sie in der Software des Prozessors 70 festgelegt sind, verwendet werden.

Wie Figur 5 zeigt, hat die Einrichtung auch ein Freigabe-Programmiergerät 26 mit einem Prozessor 80, einem Speicher .- 82, einem Betätigungsschal· ter 84, ninom Funktionswüh1-schalter 86, einer Anzeige 90 und liinnm Steckanschluß 88.

Zunächst wird ein Anlagekode im Speicher 82 gespeichert. Danach kann das Freigabe-Programmiergerät 26 verwendet werden, ohne das es mit der Konsole 12 verbunden ist oder Daten von dieser empfängt. Dor im Speicher 82 gespeicherte /inlagekode wird zunächst entweder in der Hersteller£abrik oder durch Kodieren an der zentralen Konsole erhalten. Wie zuvor i." Verbindung mit dem von der Konsole kodierten Programmiergerät der Figur 3 erläutert, kann der Anlagekode im Speicher 82 in einem verwürfelten Format gespeichert werden, wobei der Prozessor 8 0 so vorprogrammiert ist, daß er das richtige Entwurfein durchführt, jedoch nur, nach dem das Freigabe-Programmiergerät eine Verbindung zu einem Schloß hergestellt hat. Die Herstellung einer Nachrichtenverbindung zwischen dem Freigabe-Programmiergerät und einem Schloß über den Steckanschluß 88 wird an der Anzeige 90 angezeigt. Wenn das Schloß eine angezeigte Funktion erfolgreich beendet oder nicht, gibt die Anzeige in ähnlicher Weise den Grund des Schloßausfalls oder seine erfolgreiche Durchführung der angezeigten Funktion an.

Im Betrieb kann das Freigabe-Programmiergerät, sobald es mit einem Anlagekode programmiert ist, verwendet werden, in dem zuerst eine von dem Schloß durchzuführende spezielle Funktion wie das öffnen des Schlosses gewählt wird, ein neuer Kombinationskode in dem Schloß gespeichert oder eine andere gewünschte Operation durchgeführt und dann diese Funktion an dem Funktionswählschalter 82 gewählt wird. Sobald die Funktion an dem Schalter 86 gewählt worden ist, wird der Betätigungsschalter 84 gedrückt und leitet das Programm im Prozessor 80 ein. Der Prozessor erzeugt dann ein Datenwort, das den Anlagekode 8 2 ebenso wie einen Kriterien-Aktions-Kode aufweist, der die spezielle Funktion angibt, daß das Schloß arbeiten soll.

COPY

Der Prozessor überprüft dann, ob eine Nachrichtenverbindung mit einem Schloß über den Steckanschluß 88 hergestellt wurde, wonach das Datenwort zum Schloß übertragen wird. Das Schloß liest dann die in den Schloßleser eingegebene Karte, um den Kombinationskode oder andere erforderliche Daten zu erhalten.

Die Prozessoren in dem von der Konsole kodierten Programmie: gerät, das Freigabe-Programmiergerät und das Schloß sind handelsübliche Prozessoren. Derartige Prozessoren wurden jedoch bisher nicht so eingesetzt, daß sie sichere Verbindungen in einer Sicherheitseinrichtung schaffen. Z.B. hat die in dem US-Patent 4 283710 beschriebene Verriegelungseinrichtung Sicherheits-Ubersteuerungsmodule, die eine Datennachrichtenverbindung zwischen einer zentralen Konsole und einem oder mehreren Schlössern in einer Sicherheitseinrichtung herstellen. Dieser Sichorhcitsübersteuerungsmodul ist jedoch eine passive Leitung für Daten in dem Sinne, daß die Datenwörter von der Konsole zu dem Sicherheitsübersteucrungsmodul übertragen und dann von diesem zum Schloß ohne Änderung übertragen werden.

Dagegen werden, wie später näher erläutert wird, Daten, die in das von der Konsole kodierte oder den Freiaabe-Programmierer übertragen werden, worden zunächst verwürfelt oder in anderer Weise gehandhabt, um die Daten für eine nicht autorisierte Person unlesbar zu machen.

Der Programmiergerät-Prozessor ist so programmiert, daß er das kodierte Datenwort .'ίο handhabt, daß er das kodierte Datenwort insgesamt oder teilweise entsprechend einem programmierten Operationssatz, der mit dem Operationssatz der Konsole koordiniert ist, entwurf elf oder in anderer Weise verarbeitet. Das sich ergebende geänderte. Datenwort, das zum Sch]oß übertragen wird, ist daher nicht das gleiche wie es in dem Prograiiuniergcrüt-Sue icher ge- Λ_ηον speichert wurde, und wird nicht; e Lnni.il erdung I , bjy _cj_um

Programmiergerät vom Prozessor bestätigt wird, daß es mit dem Schloß in elektronischer Verbindung steht.

Der von der Konsole kodierte Programmierer und der Freib

gabeurocjrammie.rer haben sichere Nachrichtenverbindungen zwischen der Konsole oder einer Tastenkarte, und die Schlösser erhöhen dadurch die Sicherheit der Einrichtung erheblich.

Unter Bezugnahme auf; die Figur G wird der Betrieb der Konsole 12 durch das Einsetzen einer Berechtigungskarte 18 in den Berechtigungskartenleser 36 eingeleitet, worauf der Leser 36 von dem Prozessor 30 einen Befehl erhält,

um die Daten auf den Berechtigunqsschlüssel (Block 100) 15

zu lesen. Der Prozessor 30 empfängt dann die Daten von dem Berechtigungsschlüssel und vergleicht sie z.B. mit gespeicherten Daten, um zu besLImmen, ob der Berechtigunqsschlüssel gültig ist oder nicht (Block 102). Ein spezielles Verfahren zum Pr.üfen der Daten des Berechtigungsschlüssels gegenüber Berechtigungsschlüsseldaten, die im Speicher 32 gespeichert sind, ist in dem US-Patent 4 283710 be- - schrieben. Es kann jede geeignete Einrichtung zum Auswerten der Daten eines Berechtigungsschlüssels verwendet werden, um zu bestimmen, ob die Daten einen gültigen 25

oder einen ungültigen Berechtigungsschlüssel darstellen; derartige Methoden sind bekannt. Wenn der Berechtigungsschlüssel ungültig ist, dann wird die Konsole abgeschaltet (Block 104). Wenn der Uerechtigungsschlüssel gültig ist, dann wird der Prozessor 30 freigegeben und empfängt Daten von der Tastatur 40 und Befehle von dem Wählschalter 34 und dem Ausführungsschalter 38 (Block 106).

Bei der bevorzugten Ausführungsform ist der Prozessor ,,,. 30 so programmiert, daß or die Da Lon des Berechtigungsschlüsseln im flinbl ick auf die Befehle auswertet, die von dem Wählschalter 34 und von der Tastatur 4 0 eingegeben werden, um zu bestimmen, ob die Bedienungsperson, die den

COPY

Berechtigungsschlüsscl CiHg(¹KcIiObOn hat, im Besitz ausreichender Berechtigung war, um es zuzulassen, die geforderte Operation durchzuführen (Block 108). Z.B. wird ein Berechtigungsschlüssel im Besitz eines Ilotelmanagers als Schlüsselkartc des Managers anerkannt. Die Konsole kann daher z.B. einen Hauptschlüssel bei geeigneter Dateneingabe in die Tastatur 40 und geeigneter Positionierung IQ des Wählschalters 34 erstellen. Wenn dagegen der Berechtigungsschlüssel einem Angestellt gehört, würde die gleiche Operation durch die Konsole zurückgewiesen werden, und ein Hauptschlüssel würde nicht kodiert werden.

!5 Der Prozessor 30 wertet daher den angeforderten Befehl und die eingegebenen Daten gegenüber den Daten des Berechtigungsschlüssels aus, und wenn der Berechtigungspegel nicht richtig ist, befiehlt der Prozessor der Konsole, abzuschalten (Block 110). Der Prozessor 30 kann vor dem Abschalten den Drucker 50 veranlassen, den Vorgang aufzuzeichnen. Alternativ kann die Konsole die Zurückweisung der angeforderten Operation nur anzeigen und auf einen weiteren Befehl vom Wählschalter 34 warten.

Wenn der Berechtigungspegel richtig .ist, so daß der Pro- ^; zessor die angeforderte Operation durchführen kann, bestimmt er als nächstes,· ob es sich dabei um das Kodieren eines von der Konsole kodierten Programmgerätes oder das Kodieren eines Schlüssels (Block 112) handelt. Wenn ein Schlüssel zu kodieren ist, dann leitet der Prozessor 30 ein geeignetes Schlüsselkodierprogramin (Block 114) ein.

Wenn dagegen Daten zu übertragen zu einem von der Konsolo kodierten Programmgerät übertragen werden solion, erzeugt der Prozessor 30 einen Kr Lter Lon/Ho-tä I i ([iiU'is-Kodc (13 Lock 11-auf der Grundlage der von dem Wähl schal tor .3 4 einqegobencn Befehle, des Berechtigungspegels dos Ue räch L i crirvj.sschJ.üssol * 18, der im Konsolenspeicher gespeicherten Daten und der

COPY

-3ü-

übor dio Tastatur 4 0 eingegebenen und am linken oder rechten Anzeigegerät 46 oder 4 8 wiodergegebonen Daten, wie anhand der Figur 9 näher beschrieben wird.

Der Prozessor bestimmt dann auf der Grundlage der vom Wählschalter 34 angegebenen Operation und der über die Tastatur 40 eingegebenen Dat'Mi, ob ein erster Änderungskode berechnet werden muß oder nicht (Block 116). Im allgemeinen ist ein erster Änderungskode nur erforderlich, wenn ein Schloß mit einem Kombinationskode entweder vom Speicher 32 oder mit einem Kombinationskode, der von dem Prozessor 30 erzeugt wird, erforderlich ist. Wenn bestimmt wird, daß ein erster Änderungskode (N1) nicht berechnet werden soll, dann beginnt der Prozessor 30 sofort die Bildung eines Programmiergerät-Datenwortes (Block 122) auf der Grundlage der Daten vom Wählschalter und der Daten vom Speicher 32, wie anhand der Figur 9 näher erläutert wird. Wenn ein Kombinationskode in einem oder mehreren Schlössern erzeugt werden soll, dann muß ein erster Änderungskode von dem Prozessor 30 berechnet werden. Der Prozessor wählt daher zunächst einen Kombinationskode aus dem Speicher 32 auf der Grundlage der über die Tastatur 40 eingegebenen Daten (118). Wenn ein Programmiergerät kodiert wird, werden nur vorhandene Kombinationskodes im Speicher 3 2 verwendet. Wenn dagegen ein Schlüssel 14 kodiert wird, dann ist es möglich, diesen Schlüssel mit einem neuen Kombinationskode zu kodieren; der Prozessor erzeugt dann einen neuen Kombinationskode und verwendet dabei ein vorbostinimtes Kombinationskode-Er zeugungsprogramni.

Zurückkehrend auf Figur 6 wähl I. dor Prozessor 30 zusätzlich zur Wahl eines Kombinationskodes auch einen Identifiy.ierungskode ebenso wie dem Anlagenkode der Einrichtung aus dem Speicher 32. Der erste Änderungskode (Ml)

COPY

-.3 1-

wird dann durch "Kombinat Lon drs qewählten Kombinationskodes (CC) und dos Anlagenkodes (IC) entsprechend einer oder mehrerer vorprogrammierter Operationen (Block 120) berechnet. Die vorprogrammierte Operation kann z.B. aus einer Addition bestehen, in welchem Falle der Kombinationskode und der Anlagenkode addiert werden, um den ersten Ä'nderungskode zu erhalten.

An dieser Stelle ist zu beachten, daß bei der bevorzugten Einrichtung jedes Schloß einen oder mehrere SDe icherpegel hat. Ein Kombinationskode und ein Identifizierungskode ist in jedem solchen Pegel gespeichert. Jeder Peqel stellt vorzugsweise einen unterschiedlichen Pegel für den Zugang zum Schloß dar, so daß z.B. der Kombinationskode und der Identifizierunqskode, die im Pegel 3 eines Schlosses gespeichert sind, nur einmal an diesem speziellen Schloß vorhanden sind, und ein Programmgerät oder eine Schlüsselkarte, die mit solch einem Kombinationskode und einem Identifizierungskode proqrammiert sind, nur dieses Schloß öffnen. Der Pegel-2-Speicher mehrerer Schlösser kann dagegen mit dem gleichen Kombinat ions- und Identifizierungskode so kodiert werden, diiß eine Schi üsselkar t-o oder ein Programmiergerät, die die entsprechenden Kombinations- und Identifizierungskodedaten gespeichert haben, in der Lage sind, irgendeines von mehreren verschiedenen Schlössern bei positiver Korrespondenz zwischen den Daten im Schloß und den Daten des Programmiergeräts oder der Schlüsselkarte zu öffnen.

Zurückkehrend zu Figur 6 wird der erste Änderungskode zunächst mit dem Kriterien/Betät iqunqs-Kode und dem Anlagenkode und möglicherweise einem oder mehreren Identifizierungskodes kombiniert, um ein spezielles .Schloß oder einen speziellen Speichcrpcgc:! im Schloß oder boidi.· identifizieren und ein Programmi orqorä t-Dat.c-nwort zu bilden, das ein später anhand der Figur 9 (Block 122)

COPY

beschriebenes Format hat.

[Jm eine erhöhte Sicherheit zu schaffen, wird das Programmierb

gerät-Datenwor I. zunächst entsprechend einem vorbestimmten

Vorwurfelungsschema von der zentralen Konsole 12 (Block 124) verwürfelt, um das kodierte Datenwort zu erhalten. Irgend ein geeignetes Verwürfelungsschema kann dabei verwendet werden. Z.B. kann die Verwürfelung nur aus der Inver-10

ticrung der Daten in dem Programmiergerät-Datenwort bestehen, üο daß alle "Einsen" "Nullen" und alle "Nullen" "Einsen" sind. Alternativ kann die Verwürfelung durch irgendeine gewünschte mathematische oder logische Operation

erreicht werden.
15

Das sich ergebende kodierte Datenwort wird schließlich in den Speicher 6 2 des von der Konsole kodierten Programmiergeräts (Block 126) eingegeben und die Konsole 12 kehrt in den Ruhe- bzw. Abschaltzustand (128) zurück.

Figur 7 zeigt ein ProgramriiFlußdiagranim in dem von der Konsole kodierten Programmiergerät. Das Programmiergerät 22 empfängt zunächst ein kodiertes Datenwort von der Konsole 12 und speichert dieses in seinem Speicher 62

(Block 140).Der Prozessor 60 in dem Programmiergerät 22 wartet dann, bis der Betätigunqsschalter 64 gedrückt wird (Block 142). Sobald der Betätigungsschalter gedrückt wird, prüft der Prozessor 60 zuerst, ob das Programmiergerät

22 in elektronischer Verbindung mit einem Schloß 16 steht. 30

Wenn keine elektronische Verbindung festgestellt wird, dann informiert der Prozessor 60 die Bedienungsperson über eine Anzeige oder einen anderen geeigneten Mechanismus (nicht gezeigt). Wenn der Prozessor 60 feststellt, daß das Programmiergerät mit dem Schloß (Block 144) in Verbindung steht, dann kehrt der Prozessor zunächst den Verwürfelungsprozeß um, der an dem Proqrammiergerät-Datenwort in der zentralen Konsole (Block 146) durchgeführt wird,

COPY

so daß das'ursprüngliche Datenwort wiedergewonnen wird, das von der Konsole (Block 122) der Figur 6 erzeugt wurde.

Der Prozessor 60 des Programm Lorgeräts 22 bestimmt dann, ob erster Änderungskode (M1) im Datenwort (Block 148) vorhanden ist. Wenn ein erster Änderungskode (M1) erzeugt wurde und als Teil des entwürfelten Datenwortes vorhanden ist, dann berechnet der Prozessor 60 einen '/.weiten Änderungskode (M2) durch Korabination des ersten Änderungskodes (M1) mit einem Anlagenkode (JC) aus dem entwürfelten Datenwort. Der sich ergebende zweite Änderungskode (M2) wird in das entwürfelte Datenwort anstelle des ersten Änderungskodes (Block 150) eingegeben. Das sich ergebende geänderte Datenwort wird dann an das Schloß (Block 152) ausgegeben.

Wenn ein erster Änderungskode nicht berechnet wurde, dann wird das entwürfelto Datenwort ohne weitere Änderung als das geänderte Datenwort zum Schloß übertragen.

Wenn das geänderte Datenwort zum Schloß übertragen worden ist, wartet das Programmiergerät auf die Bestätigung vom Schloß, daß das übertragene Datenwort angenommen, verwondet und die befohlene Funktion durchgeführt worden ist (Block 154). Wenn das geänderte Datenwort nicht angenommen wurde, dann kann das Programmiergerät eine Signallampe an der Anzeige 68 einschalten, die angibt, warum das geänderte Datenwort nicht verwendet wurde, um es der Bedienungsperson zu ermöglichen, den richtigen Korrekturvorgang durchzuführen. Wenn das goänder I c Datenwori- von dem Schloß verwendet und die rich ti go J-'uiil; I. Lor. 'iurrhgoführt wurde, dann teilt das Schloß auch diunr: information dem Programmiergerät 22 mit. Der Prozessoi GO bestimmt dann auf der Grundlage dos Kr iter ion /Bo tat iquiigti-Kodos und der Anzeige vom Schloß, daß das M'-.'indfi ! r Dulionwurl. angenommen wurde, ob das kodierte Datenwort im Speichor 6 2 gelöscht werden soll oder nicht (Blöckr 1 ^r>6 und 158)

"copy

- ΜΙ

Das Programm im Programmiergerät endet dann (Blöcke und 162).

Figur 8 zeigt ein vereinfachtes Flußdiaqramm des ein-5

schLägigen Teils des Programms das Sohloßprozessors. Insbesondere wenn ein geändertes Datenwort von einem schlüssel- oder einem konsolcnkodiorten Proqrammgerät (Block 170) empfangen wurde, wartet der Prozessor zunächst den Kriterien/Betätigunqs-Kode aus, um zu bestimmen, ob eine Kodekombination erforderlich ist, die spezielle Funktion (Block 172) durchzuführen. Wenn ein Kombinationskode erforderlich ist, dann berechnet der Prozessor 70 den Kombinationskode aus dem zweiten Änderungskode (M2) der ein Teil des geänderten Datenwortes 15

ist, das von dem Schloß ompfanqen wird, und dem Anlagenkode (IC), der in dem Sch]oßspoicher gespeichert ist.

Die speziellen Berechnungen, die von dem Schloß durchgeführt werden, um den Kombinationskode zu erhalten, sind im wesentlichen Umkohrberochnungen der vorprogrammierten Operation in dem konsolankodierten Programmgerät, die den zweiten Änderungskode und die vorprogrammierte Operation in der Konsole ergaben, die verwendet wurde,

um den ersten Änderungskode zu erhalten. Das Schloß 25

16 kombinierte daher den zweiten Änderungskode (M2) und den Anlagenkode (IC) entsprechend einem vorbestimmten Operationssatz, der die Inversion des vorbestimmten Operationssatzes ist, dor in dom konsolenkodierten Programm_on gerät gespeichert ist, um den orsten Änderungskode (M1)

zu erhalten. Der sich ergebende Änderungskode (M1) wird dann mit dem Anlagenkode (IC) der Schlosses entsprechend einem zweiten Operationssatz kombiniert, der die Inversion des Operat ionssatzos; ist, dor in dem Prozessor der Konsolo programmLort ist, dor verwendet wird, um ur-

sprünglich den ersten Ärulorunqnkodo (M1 ) zu erzeugen. Das Ergebnis ist der Kombinntionskodo (CC) der ursprünglich von dem Konsolenspeichor (Block 174) erhalten wird.

COPV

-3 "3-1

Nach dem der Kombinationskodc berechnet worden ist, führt das Schloß die Funktion durch, die durch den Kriterien/Betätigungs-Kode (Block 176) angegeben ist. Nach erfolgreicher Beendigung dieser Funktion sendet das Schloß einen Bestätigungskode zu dem Kodiergerät (Block 178), den es zum Abschalten, zur Veranlassung einer Speicherlöschung oder zur Veranlassung irgend einer anderen vorprogrammierten Funktion verwenden kann, die durchzuführen ist, und das Programm endet dann (Block 180).

Als spezielles Ausführungsbcispiel sei angenommen, daß die Sicherheitseinrichtung eine zentrale KonsoJe, ein konsolenkodiertes Proqraimnqorät: und ein oder mehrere Schlösser aufweist. Jedes Schloß hat vier Speicherpegel, in jedem von denen ein Kombinationskode und ein Identifizierungskode gespeichert sind. Der Speicherpegel 0 des Schlosses enthält einen Kombinationskode und einen Identifizicrungskode, der dom Kombinationskode und dem Identifizierungskode, die in dem Speicherpegel 0 aller anderen Schlösser in der Sicherheitseinrichtung gespeichert sind, gemeinsam Ist. Jeder Kombinations- und Identifizierungskode, der einem Speicherpegel 1 zugeordnet ist, ist einer großen Gruppe von Schlössern, jedoch nicht allen in der Sicherheitseinrichtun gemeinsam. Jeder Kombinat ions- und Identifizierungskode, der einem Speicherpegel 2 zugeordnet ist, ist den Speicherpegeln 2 einer kleineren Gruppe von Schlössern gemeinsam.

Schließlich ist der Kombinat ions- und Idonlifizicrungskode, der in dem Speicherpegel 3 jedes Schlosses gemeinsam ist, nur bei diesem Schloß allein vorhanden. IiLn konsolonkodiertes Programmiergerät mit einem Kombinat ions- und I-dentifizierungskode entsprechend dem im I'ogol 0 eines Schlosses gespeicherten öffnet daher tatsächlich al Iu Schlösser in der Sicherheitseinrichtung und isL im wesentlichen ein Hauptschlüssel. In gleicher Weise öffnet ein konsolenkodiertes Programmiergerät, in dem ein Konibi-

COPY

-.JO-

nations- und Identifizierungskode entsprechend dem im

L^Jecjel 1 odor 2 gespeicherton gespeichert ist, alle Schlösser in diesen speziellen Gruppierungen, und schließlich öffnet ein konsolenkodiertes Programmiergerät, in 5

dem ein Kombinations- und ein Identifizierungskode entsprechend dem im Speicherpegel 3 eines Schlosses gespeicherten gespeichert int, nur dieses Schloß.

Die Figuren 9Λ und 9B -/eigen eine Tabelle, aus der spezielle Operationsbeispiele der Einrichtung hervorgehen. Der Zweck des Beispieles; 1 ist es , ein konsolenkodiertes Programmiergerät zu veranlassen, ein Schloß eines speziellen Raumes zu öffnen. Es genügt daher,

zu fordern, daß die Ident i f izierungs- und Anlagenkodes 15

in dem Programmiergerät und dem Schloß zusammenpassen.

Um das richtige DatenworL in der Komiole zu erzeugen, wird der Wählschalter 34 in die Stellung "SCHLOSSÖFFNEN" (Spalte 3) gedreht, und dor Idontifizierungskode, der bei der bevorzugten Ausführungsform nur die Raumnummer ist, wird über die Tastatur 40 (Spalte 1) eingestanzt. Da die Raumnummer bzw. der Pegel 3 -Identifizierungskode über die Tastatur eingegeben wird, wird er von dem linken Anzeigegerät 46 an der Tastatur angezeigt. Wenn der

eingegebene Identifizierungskode in dem rechten Anzeige-25

gerät 48 ist, dann ist es nur notwendig, die Anzeige durch Drücken der Taste 43 (*) und anschließend der Taste 41 ("weitere Anzeigen") zu löschen.

Nach Eingeben der Daten wird din Ausführungstaste 38 gedrückt. Der vorprogrammierte Prozessor 30 in der Konsole veranlaßt dann die Erzeugung eines Programmiergerät-Datenwortes. Diese Funktion kann von irgend einem gültigen Berechtigungsschlüssel (Spalte 4) durchgeführt werden. Da nur ein einziges Schloß geöffnet werden soll, brauchen keine anderen Identifizierungskodes eingegeben v/erden. Das rechte Anzeigegerät öl zeugt daher keine Anzeige (Spalte 2) .

COPY

- 3 Ί -

Nach Eingabe der obigen Daten erzeugt der Prozessor 30 in der Konsole 12 ein Programmgerät-Datenwort mit einem Format, wie es in den Spalten 5 bis 9 angegeben ist. Die Konsole erzeugt einen Kriterien/Betätigungs-Kode (Spalte 5), der bei dem vorliegenden Ausführungsbeispiel ein 3-ziffriger Hexadezimal-Kode ist. Dieser Kode enthält die Information, welche Kriterien erfüllt werden

"LQ müssen, damit das Schloß die Funktion durchführt, die auch von den Kriterien/Betätigungs-Kode angegeben ist. Der Wert des Kriterien/Betätigungs-Kodes wird von einem Schloß erfaßt, das programmiert wird, um eine unterschiedliche Funktion für jeden der festgelegten Kriterien/

2g Betätigungs-Kodes durchzufuhren, die von dem Prozessor 30 erzeugt und Teil des Programmiergerät-Datenwortes werden. Bei dem speziellen Beispiel wird der Kriterien-Betätigungs-Kode von dem Prozessor zu C8 3 definiert.

I^m allgemeinen enthält das Programmiergerät-Datenwort auch einen 6-ziffrigen A'nderungskode (Spalte 6) einen 4-ziffrigen sekundären ID-Kode (Spalte I)₁ einen 6-ziffrigen Anlagenkode (Spalte 8) und einen 4-ziffrigen Haupt-ID-Kode (Spalte 9). Bei dem vorliegenden Beispiel, bei dem nur ein Schloß geöffnet werden soll, ist weder ein Änderungskode noch ein sekundärer ID-Kode erforderlich, so daß die Daten in den Spalten 6 und 7 unbesetzt bleiben. Um jedoch sicherzustellen, daß ein Programmgerät einer anderen Sicherheitseinrichtung kein Schloß in der vorliegenden Sicherheitseinrichtung öffnen kann, gibt die Hauptkonsole den Anlagenkode für die Einrichtung in Spalte 8 ein. Wie zuvor erwähnt, ist dor Anlagenkode in der Konsole ebenso wie in jedem Schloß der Sicherheitseinrichtung gespeichert.

Da das Schloß-Sicherungsglied 105 geöffnet werden soll,

.wird der Identifizierungskode (01.05) für dLoson Raum, der über die Tastatur 40 eingegeben wird, -in den vier

COPY

- .1 H -

Sto L I ι·η der Spalte 9 gespeichert.

DciH ProcirniiimiergeräL-DatL-nworL (C83000 000000000 2248760105) ^ wird dann ent sprechend oineiu vorprogrammierten Operationssatz wie einer binären Jnvcrsiuii, einer Bit-Verschiebung, der Addition einer konstanten oder irgendeiner anderen geeigneten Verwürfelungsopera.. ion verwürfelt. Da bei diesem Beispiel keine Kodekoinb ination erforderlich ist, ist kein Änderungskode orforderlich, und die oben beschriebene Änderung des Programmiergerüt-Datonwortes im Schloß (Blöcke 118 und 120 in Figur (3) ist η Lcht erforderlich.

Das sich ergebende kodierte Programmiergerät-Datenwort wird dann in das Progranimjergerät eingegeben, das zu dem Schloß de« Raumes 105 mitgenommen wird, wo es eingeschoben wird. Nach Drücken der Betätigungstaste an dem Programmiergerät und bei Hestät igung der elektronischen Verbindung mit dem Schloß wird da.y kodierte Datenwort ^O entwürfelt und dann zu dem Schloß übertragen. Der Prozessor im Schloß ließt dann dein Kr it:er Len/Betätigungs-Kode, um zu bestimmen, daß der gewünschLi.- Vorgang das öffnen des Schlosses ist. (Spalte IG), und u;i:j die Kriterien, die für das Öffnen des Schlosses erfüllt werden müssen, darm bestehen, daß der Hauptidentifizierungskode gleich dem im Speicherpegel J des Schlosses gespeicherten Identifizierungskode ist, und daß weilerhin der Anlagenkode (Spalte 8) dem Anlagenkode entspiechen muß, der in dem Schloß gespeichert LsL (Spalte 10 und Spalte 14) der Schloßprozessor vergleicht den AnLagenkode des Datenwortes (Spalte 8) mit dem im Schloßspe icher gespeicherten Anlagenkode. Wenn Übereinstimmung auftritt, dann vergleicht der Schloßprozessor den Haupt" ident if izierungskode mit dem Peqc'l λ LdonL i fiz Lorungr.kode (Soaltc 9) gegenüber dem Schloß-Identifizierungskode der im Pegel 3 -Speicher gespeichert LsL. Wenn .sich bei diesem Vergleich Übereinstimmung ergibt, dann betätigt der Prozessor den

COPY

Schloßriegel und das Schleiß öffnet.

Nach Beendigung dieses t)f f nungsvorganges sendet das Schloß ein Signal zum Programmiorgernt, das so programmiert ist, daß es ein oder mehrere Bits dos Kriterien/Betätigungs-Kodes erfaß I , dor anzeigt, daß alle Berechtigungsschlüssel vi.-rwcndi'L wurden können, um diesen Vorgang durchzuführen, lsi dies der Fall, wird das Programmiergerät, kodiert, um nur ein einziges Schloß öffnen zu können, ohne zur erneuten Kodierung wieder zur zentralen Konsole zurückzukehren. Das Programmiergerät löscht daher, wenn es die Boendigung der vom Schloß durchzuführenden Funktion fest -stellt, die Programm] gerät-Datcn, so daß keine wo i tieren Operationen von dem Programmiergerät durchgeführt werden können.

Bei dem Beispiel 2 in Figur 9 ist ein Seil loß erneut zu öffnen. In dieser Situation .solion jedoch mehrere Schi ös:;· ·

geöffnet werden, ohne das zur erneuton Programmierung de:: Programmgeräts zur Konsole zurückgekehrt wird. Ein konsolenkodiertes Programmiergerät, kann in diesem Falle nur vom Manager kodiert werden, ein Schloß zum öffnen freizugeben. Der Berechtigungspegol (Spalte 4) muß daher auf nur die jen igen Berecht igungssehl üssol begrenzt r;oin, die im Besitz vom Managern sind. Zusätzlich wird, da mehrere Räume geöffnet worden müssen, keine spezielle Raumnummer über die Tastatur οingogoben, und daher zeigen das linke (Spalte 1) und das rechte' Ληζο i gegerät (Spall f.-

nicht an.

Die Einstellung des Wähl schalter:·, an der Konsole wird wieder in die Schloßöffnungsst e I I ung (Spali.e 3) gebracht. Das sich ergebende Programmicrgorät-Datenwort enthält eine Kr iterien/Betät i gungs-Kode (Spalte T>) und einen Anlagenkwd (Spalte 8). Die Daten in ilen Spalten 6, 7 und 9 bleiben außer Betracht. Wenn das Dutonworl danach entwürfelt und

' COPY

in ein Schloß einqeqebcn wird, .stellt das Schloß fest, dal' der einzige Vergleich, der erforderlich ist, um

das Schlf)ß zum Öffnen zu veranlassen, ein positiver b

Vergleich zwis'cheii dom Anlagckodc des geänderten Datenwortes und dem Anlagekode dor im Schloß gespeichert ist. Zusätzlich erfaßt das Programmiergerät, daß der Wert der Kriterien/Betätigungs-Kodes derart ist, daß mehrere

Schlösser geöffnet werden sollen, und das kodierte Daten-10

wort im Programmiergerät-Speicher wird daher nach einer Eingabe in ein Schloß nicht gelöscht.

Bei dem Beispiel 3 ist die durchzuführende Funktion die Synchronisierung der Daten in einem speziellen Speicher-

pegel in einem speziellen .Schloß mit den für diesen SpeLcherpegel in der Konsole gospeicherten Daten.

Wie zuvor angegeben, müssen alle Kombinations- und Identifizierungskodes für al Le :ichlösser in einem oder mehreren 20

Schlössern und in der Konsole gespeichert sein. Eine Synchroni sierungsoperat ion ist erforderlich, wenn die in einem speziellen Speicherpegel in einem speziellen Schloß gespeicherten Dillen au;; irgende i nein Grund geändert werden

sollen, so daß sie nicht mit den für dieses Schloß ge-25

speicherten Daten und denn Speicherpegel in der zentralen Konsole übereinstimmen.

Es sei angenommen, daß der Kombinationskode im Pegel 3

des Raumes 105 mit dem Kombinationskode, der in der 30

zentralen Konsole für diesen Speicherpegel und dieses Schloß gespeichert ist, nicht synchronisiert ist. Um das Schloß mit der Konsole zu synchronisieren, wird das Programmiergerät zunächst in die zentrale Konsole eingesetzt,

die Rauiunumiiier wird über die Tastatur in das linke Anzeige-35

gerät eingegeben, die Wählscheibe wird auf "Synch" eingestellt und eine Bereehtiqungskarte wird in die zentrale Konsole eingegeben. Hei dicsu-ui speziellen Beispiel ist

COPY

die Konsole so programmiert, daß sio diese Funktion beim Einsetzen irgend eines Pegels des Berechtigungsschlüsseis durchführt. Nach Drücken der Ausführungstaste 38 erzeugt dann der Konsolenprozcjssor 30 ein Datenwort, das einen Kriterien/Betätigung 3-Kode C2B <Spalte 5) enthält. Der Anlagenkode wird dann in die 6 Stellen der Spalte 8 und der Pegel 3 Tdent if izierungskode (die !■ 2Q Raumnummer) in die 4 Stellen der Spalte 9 eingegeben. j Um eine erhöhte Sicherheit zu schaffen, wird jedoch j

der Kombinationskode nicht in die Stellen des Programmiergerät-Datenwortes eingegeben. Statt dessen wird, wie in den Blöcken 118 und 120 der Figur 6 angegeben ist, ;

jg ein erster Änderungskode (M1) aus dem Kombinationskode (CC) und dem Anlagenkode (IC) berechnet. Wenn z.B. der , Kombinationskode die 6-ziffrige Zahl 232323 und der Anlagenkode die 6-ziffrige Zahl 224876 ist, und die in ; die Konsole programmierte Kombinationsoperation die Acidition des Kombinationskode und des Anlagenkodes ist, dann ist der erste Änderungskode, der in die 6 Stellen der Spalte 6 eingegeben wird gleich 4 57199. Der sekundäre Identifizierungskode in Spalte 7 wird nicht verwendet, und diese Stellen bleiben daher außer Betracht. Das sich ergebende Datenwort wird dann verwürfelt und in den Programmiergerät-Speicher übertragen.

Das Programmiergerät wird dann zu einem speziellen Schloß gebracht, und das kodierte Datenwort wird entwürfelt, nach dem eine passende Nachrichtenverbindung mit dem Schloß hergestellt und die Betätigungstaste 84 an der Konsole gedrückt wurde. Vor der Ausgabe der entwurfeltcn kodierten Datenwortes jedoch wird der erste Änderungskode in Spalt*.· 6 wieder entsprechend einer zweiten Operation geändert, die z.B. nur die erste Addition des ersten Änderungskodes mit dem Anlagenkode sein kann. Der sich ergebende zwoit-o Änderungskode der auf diese Woiso erzeugt wird, ist dic

' COPY

6-zi£fr*ige Zahl 682075. Di ο ye /.ah.l wird in die Spalte 6 anstelle des ersten Änderungskodcr. eingegeben, und das sich ergebende geänderte Datenwort wird zum Schloß über- ° tragen. Das Schloß ermittelt den Wert des Kriterien/Betätigungs-Kodes und erkennt, daß das Datenwort einen Änderungskode hat, der dekod'crt werden muß, um den richtigen Kombinationskode zu erhuLten. Das Schloß wurde daher vorprogrammiert, um die οΙη.ίι beschriebenen Additions-

^ 0 operationen dadurch umzukehren, daß zuerst der in dem.

Schloß gespeicherte Anlagenkode von dem zweiten Änderungskodewert subtrahiert wird. Dies bedeutet, daß der Anlagenkodewert 224876 von dem zweiten Änderungskodewert 682075 subtrahiert wird, um den ersten Änderungskodewert 457199 zu erhellten. Der Anlagenkodcwert wird dann wieder von dem ersten Änderungskodewert—subtrahiert, um den ursprünglichen Kombinationskode 232323 zu erhalten. Das Schloß vergleicht dann den Anlagekodo mit dem dekodierten Datenwort gegenüber dem im Schloß qai;f>?*.ichertcn Anlagekode, und

^⁰ wenn ein Vergleich auftritt, wird der Änderungskode der Spalte 9 im Datenwort mj.1. dem Änuerungskode des Pegel 3 Speichers des Schlosses very]Jchen. Stattfindet, dann besteht der von dem Kr Lter ien/Betcitigungs-Kode angezeigte Vorgang darin, den Kombinat.ion:;kodc in den Pegel 3 Speicher des Schlosses anstelle des zuvor- in diesem Speicherpegel gespeicherten Kombinationskodes zu speichern.

/
Ein ähnlicher Synchron i:; icrunasvorganq kann für jeden Speicherpegcil durchgeführt we'rdrn, wie bei den Beispielen

¹C*

4 und 5 der I'igur 3 angegeben kt. Wenn jedoch solch eine Operation von einer Angestul 1 telp-ilerechtigungskarte durchgeführt werden soll, dann wird d.ts Programmiergerät auf eine Operation gMeichzeitig begrenzt, so daß es zur zentralen Konsole zurückgebracht werden muß, um erneut programiniert zu werden, wenn der Kombinationskode des speziellen SpoicherpogoU; eines speziellen Schlosses synchronisiert worden Lnt.

-4 i-

Es ist daher eroichtlich, daß dor llauptidentif i/. ierunqskode, der Neben-Ldentifizinrungskode und der Beroichs-

Identifizierunqskode, die(als die Ziffern 5000, 8000 5

und 700 0 in Figur 9 angegeben sind) ebenso wie der Pegel

3 Identifizierungskode (Raurnnummer) über die Tastatur eingegeben werden müssen. HeL dein vorliegendem Beispiel wird der Pegel 3 !dentif 1 ν, Lerunqskodc in das linke Anzeigegerät 4 6 (Figur 2) eingegeben und von diesem ange-

"

zeigt, nach dem die ZahlensymboLtaste 41 an der Tastatur gedrückt wurde, so daß die Jdenl: i f izierungskodcpcgel 0,1 oder 2 eingegeben und in dem rechten Anzeigegerät angezeigt werden können. Das Haupt: identif izierungskodewort

in den 4 Stellen der Spalte 9 de:; Datenwortes enthält 15

den Identifizierungskode für die Pegel 0, 1 oder 2, während der sekundäre Identi f i /. iorungskodo in den ersten

4 Stellen der Spalte 7 enthalten ist. Das Datenwort wird dann geändert und entsprechend der oben beschriebenen

Methode verwürfelt. Wenn das geänderte Datenwort in dar. 20

Schloß eingegeben wird, erfaßt das Schloß den Wert des Kriterien/Betätiqungs-Kodes und wird so programmiert, daß der Anlagenkode in dem geänderten Datenwort mit dem Anlagekode des Schlosses überein::, ti minen muß. Der Identifizierungskode des Pegel 3 Speichers stimmt mit dem

sekundären Identifizierungskode des geänderten Datenwortes überein, und der Pegel 0,1 oder 2 Idcntifizierunqskode stimmt mit dem Hauptidentifizierungskodo in Spalte überein. Wenn alle obigen Übereinstimmungen auftreten, dann wird der von dem zweiten Änderungskode in Spalte abgeleitete Kombinationskode in dem Pegel 0,1 odor 2 Speicher, wie durch den Kriterien/Botätigungs-Kodo angogoben ist, anstelLc des in diesem Speicherpegel qespc· i eher Lon Kombinationskodes gespeichert.

Nach dem richtigen Kodieren und VerwürfeLn, wio oben beschrieben, wird das kodierte Datenwort ::u dem Programmier" gerät übertragen, das dann zu einem der Schlösser in der

- 4 Λ -

Gruppe von zu synchronesicrenden Schlössern gebracht wird, wo es in den Stcckan.schluß eingeschoben wird.

Das kodierte DaLenwort wird in dor oben beschriebenen b

Art. Ln geeigneter Weise geändert und zu dem Schloß übertragen, wo es wieder geändert wird, um den richtigen Koinbinationskode zu erhalten. Das Schloß überprüft den KrlterLen/Betätigungs-Kode und bestimmt, das der Anlagenkode in dem geänderten Datenwort' mit dem Anlagenkode des Schlosses und der Pegel 1 Icient Li: Lzierungskode, der in dem Schloß gespeichert ist, mit dem Identifizierungskode, der in der Spalte 9 des üatenwortos gespeichert ist, übereinstimmen muß. Wenn diese beiden Übereinstimmungen auftreten, dann speichert der Prozessor des Schlosses den Koinbinationskode, der von dem geänderten Datenwort in dem Pegel 1 Speicher des Schlosser; abgeleitet wird, anstelle des darin gespeicherten Kombinationskodes. Das Programmiergerät wird dann vom Schloß entfernt, und der gleiche Vorgang wird für das nächste Schloß wiederholt, das den gleichen Pegel 1 Ident i f i .:icrungskode hat.

Die obigen Beispiele zeigen eino Methode, nach der die Sicherheitseinrichtung betrieben werden kann, jedoch

kann das Schloß auch so programmLort werden, daß es eine 25

Reihe von zusätzlichen Funktionen durchführen kann, einschließlich der Änderung der Identifizierungskodes, der Änderung eines Anlagenkodes, eine doppelte Verriegelung eines speziellen Schlosses oder iigendeine andere ge-

wünschte Funktion. Jede solche Funktion hat einen eino υ

zigen zugeordneten Kriterien/Botätigungs-Kode, der dem Schloß die Kriterien zuführt, die erfüllt werden müssen, bevor das Schloß einen speziellen Vorgang durchführt. Das konsolenkodierto Programmiorqcrät hat auch einen

Prozessor, der dio einzelnen BiI κ des kodierten Datenwortes 35

in vorbest imrutor Wei.se ändert., bevor das geänderte Datenwort erzeugt und an ein spezielle::; Schloß ausgegeben wird.

-4Ί-

Ein spezieller Kriterien/Botät j gungs-Kodo , Kombinationskode, Anlagenkode oder jdentifiζierungskode ist daher nicht dnterscheidbar, wenn cine nicht autorisierte Person den Inhalt des Speichers des Programmiergerätes liest.

Die Sicherheit wird daher gegenüber bekannten Sicherheitseinrichtungen erheblich erhöht".

Entsprechend einem wo iteren· Merkmal, der Erfindung kann auch ein Not-bzw. Freigabe-Programmiergerät als Teil ^; der Sicherheitseinrichtung vorgesehen sein, um Schlösser öffnen zu können, wenn die Konsole betriebsunfähig wird. Alternativ kann für kleinere Einrichtungen das Froigabeprogrammiergerät ohne die Notwendigkeit einer Konsole in der Einrichtung verwendet werden. Bei solch einer Ausführungsform arbeitet das Freigabeprogrammiergerät im wesentlichen ebenso wie das zuvor beschriebene konsolenkodierte Programmiergerät, mil. doi Ausnahme, daß die kodierten Datenwörter in ein Schloß über einen Schlüssel eingegeben werden, der an dor zentralen Konsole in der Sicherheitseinrichtung oder von einer dem Hersteller gehörenden Konsole vorprogrammiert wurde. Das Lesen der Daten auf dem Schlüssel und die durchzuführende Funktion ■ wird von dem Freigabeprogrammierer gesteuert, jedoch nur, j wenn der Anlagcnkode in dem verwürfelten Datenwort dem : in dem Schloß gespeicherten Anlagekode entspricht. Die Schlüssel sind mit kodierton Programmgerät-Datenwörtern programmiert, wie sie von einer zentralen Konsole erzeugt und ausgegeben werden würden, wie zuvor für jede Karte beschrieben wurde, wobei geeignete Markierungen die Funktion angeben, die beim Hinsetzen des Freigaboprogrammiergerätcs und des Schlüssels in ein gewähltes Schloß durchgeführt wird. Das kodierte Daionwort, das in das Schloß übertragen wird, kann ein Vorwurfel Los Programmgerät-Datenwort enthalten, das einen eis.ten Αικκμίιπμ:;-kode enthalten kann oder nicht . Wenn das Fn.? igabcprng ram:, i·' gerät in ein Schloß eingesetzt, wird, entwürfelt das Fi.<igabeprogrammiergerät zunächst das Kodierte Datenwort, das

den Anlagckode und den Kr i I er i on/Betätigungs-Kode ent hält. Danach wird das sieh ergebende geänderte Datenwüi'L zum SchJoß übertragen, wo es verwendet wird, um j._; die gewünsehste Schloßoperaf ion du i~chzu führen, wenn die Anlagokodes iü/erc- i nstimiuen .

F. α ist: ΙΤΠ i eh t I ich, daß das kodierte Datonwort in den Freigabeprogrammierqerät e inen Kr i terien/Betätigungs-

^q Kode haben kann, der da;; .Schloß anweist, eine spezielle Funktion ohne Änderung der vorhandenen gespeicherten Kombinat ions- und !dent ifizierungskodcs durchzuführen, so daß eine Synchronisierung zwischen den Schlössern und der nicht, im Betrieb befindlichen zentralen Konsole

je durch Verwendung des Fre igabeprogreimmiergcrätes nicht geändert., wird. Wenn soldi eine Betriebsart gewünscht ist, kann das Programmiergerät-ImIonwort z.B. ähnlich dem des Beispiels 1 oder 2 in Figur 9 sein.

Zusammenfassend ergibt sich somit:, damit die Erfindung eine aktive Programmiergerä L-Li rl.' in du ng zu einem oder mehreren Schlössern ebenso wie ein Verfahren zur Datenübertragung von einer zentralen Konsole oder einer anderen Quelle zu einer entfernton Stelle wie einem Schloß über ein«; aktives Programmiergerät schafft. Es wird somit eine Einrichtung erheblich erhöhter Sicherheit gegenüber bekannten Einrichtungen geschaffen, bei denen von einer zentralen Konsole ausgegebene IJaI en leicht lesbar sind, so daß sich eine schwache Verbindung in der Einrichtung an der Stelle der Übertragung von Deiten zwischen einem zentralen Ort und einem oder mehreren entfernten Orten ergibt. Durch die Erfindung wird dieser Nachteil überwunden und dadurch die Sicherheit, eilioblich erhöht, in dem der Kombinat ionskodo ebenso wie die Verwürfelung in geeigneter Weise ausgeblendet oder auf andere Art geändert wird, um dadurch das gesamte¹ Pi ogrammgerät-Datenwort an der zentralen Konsole und im Programmiergerät selbst zu ändern. Alle Komponenten der Einrichten stehen daher

COPY

- 4 γ -.

funktionell so in Verbindung, daß jede derart programmiert werden muß,, daß die Verwüi/iolunq und Ausblendung, die entweder in der Konsole odor in einem Programmiergerät durchgeführt wird, im Schloß umgekehrt; wurden kann.

, W.

Leerseite

Claims

Patentanwälte European Patent Attorneys Hansmann & Vogeser Albert - RoChaupter - Str. 65 D-8?r0 M nchen 70 ί Tel. C0S9J 7-JoO 91 Verfahren und Vorrichtung zum Betrieb einer elektronischen Sicherheitseinrichtung PATENTANSPRÜCHE

1. Verfahren zur sicheren Datenübertragung zu einem Schloß in einer Einrichtung, die eine zentrale Konsole, ein konsolenkodiertes Programmiergerät mit einem Speicher und eine Datenwort-Änderungsvorrichtung hat, und wenigstens einem Schloß, wobei die Konsole einen Speicher hat, in dem wenigstens ein Kombinationskode für jedes Schloß in der Einrichtung gespeichert ist, dadurch gekennzeichnet, daß

a) ein Kombinationskode für ein spezielles Schloß aus dem Speicher der zentralen Konsole gewählt wird,

b) ein erster Änderungskode aus dem ausgewählten .Kombinationskode entsprechend einem ersten vorbestimmten Operationssatz erzeugt wird,

c) ein Programmiergerät-Datenwort in der zentralen Konsole erzeugt wird, das den ersten Änderungskode als Teil

enthält,
30

d) der Inhalt des Programmiergcrüt-Datenwortes entsprechend einem zweiten vorbestimmten Operationssatz verv;ürfelt wird, um ein kodiertes Datenwort zu erhalten,

e) das kodierte Datenwort von der zentralen Konsole zu dem konsolenkodierten Programmiergerät übertragen und in dem Speicher des Programmiergerätes gespeichert wird,

COPY

f) das kodierte Datenwort der Änderungsvorrichtung eritwürfelt wird, um das Programmiergerät-Datenwort wieder zu gewinnen,

g) ein zweiter Änderungskode in der Änderungsvorrichtung durch Änderung des ersten Änderungskodes entsprechend einem dritten vorbestimmten Operationssatz erzeugt wird, um ein geändertes Datenwort in dem Programmiergerät zu erhalten,

h) das geänderte Datenwort von dem konsolenkodierten Programmiergerät zum Schluß übertragen wird, und

i) der Kombinationskode im Schloß zur Verwendung darin durch Verarbeitung des zweiten Änderungskodes entsprechend einem vierten vorbestimmten Operationssatz erzeugt wird, um den ersten Änderungskode zu erhalten, und dann der erste Änderungskode entsprechend einem fünften vorbestimmten Operationssatz geändert wird, um den Kombinationskode zu erhalten.

2. Verfahren nach Anspruch 1,
dadurch gekennzeichnet,

daß der vierte Operationssatz die Umkehrung des dritten, und der Fünfte die Umkehrung des Ersten ist.

3. Verfahren nach Anspruch T oder 2, dadurch gekennzeichnet,

daß jedes Schloß und die zentrale Konsole einen darin gespeicherten Anlagekode haben, wobei der erste vorbestimmte Operationssatz die Kombination des ausgewählten Kombinationskodes und des Anlagenkodes, der in der Konsole gespeichert ist, entsprechend ersten vorbestimmten Kriterien, und der dritte vorbestimmte Operationssatz die Kombination des ersten Änderunqskodes und des Anlagenkodes aus dem wiedergewonnenen Proqrammiergerät-Datenwort in

COPY ,

dem Programmiergerät entsprechend zweiten vorbestimmten Kriterien umfaßt.

4 . Verfahren nach Anspruch 3 ,
dadurch gekennzeichnet,

daß der zweite Anlagekode, der bei der Erzeugung des Kombinationskodes im Schloß verwendet wird, der im

Schloß gespeicherte Anlagekode ist. 10

5, Verfahren zur sicheren Datenübertragung zu einem Schloß in einer Einrichtung mit einem Programmiergerät mit einem Speicher und einer Datenwort-Änderungsvorrichtunr und wenigstens einem Schloß, wobei in jedem Schloß der Anlagekode gespeichert ist,
dadurch gekennzeichnet,
daß

a) ein Programmiergerät-Datenwort erzeugt wird, das wenigstens einen Anlagekode enthält,

b) das Programmiergerät-Datenwort entsprechend einem ersten vorbestimmten Operationssatz verwürfelt wird,

um ein kodiertes Datenwort zu erhalten, 25

c) das kodierte Datenwort zu dem Programmiergerät übertragen und in dessen Speicher gespeichert wird,

d) das Programmiergerät in eine Schloß eingesetzt wird, 30

e) die Änderungsvorrichtung des Programmiergerätes veranlaßt wird, das kodierte Datenwort entsprechend einem zweiten vorbestimmten Operationssatz zu verarbeiten, um ein geändertes Datenwort in Abhängigkeit von dem Einsetzen des Programmiergerätes in das Schloß zu crhalLon, und

COPY

f) das geänderte Datenwort von dem Programmiergerät zum Schloß zu übertragen, um eine vorbestimmte Funktion durch das Schloß durchzuführen.

6. Verfahren nach Anspruch 5, wobei die Einrichtung wenigstens einen mit Daten kouierten Schlüssel und jedes Schloß wenigstens einen Schlüsselleser zum Lesen der

Daten des Schlüssels und zum Übertragen der gelesenen Daten zum Schloß aufweist,
dadurch gekennzeichnet,

daß ein Schlüssel in den Schlüsselleser des Schlosses gleichzeitig mit dem Einsetzen des Programmiergerätes in

^5 das Schloß eingesetzt wird, und daß das Lesen der Daten vom Schlüssel in das Schloß in Abhängigkeit vom Lesen des kodierten Datenwortes vom Programmiergerät gelesen werden.

7. Verfahren nach Anspruch 5 oder 6,
dadurch gekennzeichnet,

daß das kodierte Datenwort des Programmiergerätes verwendet wird, um die vorbestimmte Funktion durch das
Schloß nur dann durchzuführen, wenn der Anlagekode des Programmiergerät-Datenwortes mit dem Anlagekode des
Schlosses übereinstimmt.

8. Verfahren nach Anspruch 5, wobei die Einrichtung eine zentrale Konsole aufweist,

dadurch gekennzeichnet,

daß das Programmiergerät-Datenwort in der zentralen
Konsole erzeugt wird, und daß das kodierte Datenwort
wahlweise gelöscht wird, wenn das Programmiergerät in ein Schloß eingesetzt und das geänderte Datenwort zu dem Schloß übertragen und die Durchführung der vorbestimmten Funktion eingeleitet wird.

COPY

9. Einrichtung zur sicheren Datenübertragung, gekennzeichnet durch eine zentrale Konsole (12) mit einem Datenspeicher (32), einem ersten Datenprozessor (30), einer Dateneingabeeinrichtung und einem Steckanschluß, wobei kodierte Datenwörter von dem ersten Datenprozessor in Abhängigkeit von Befehlen und Daten von der Dateneingabeeinrichtung und Daten von dem Datenspeicher zur Ausgabe über den Steckanschluß erzeugt werden, wenigstens ein Programmiergerät (22) zum Empfang kodierter Datenwörter über den Steckanschluß, bestehend aus einem ersten Speicher (62) zur Speicherung jedes empfangenen kodierten Datenwortes, einer ersten Datenwort-Änderungsvorrichtung zur Verarbeitung des kodierten Datenwortes entsprechend einem ersten vorbestimmten Operationssatz, um ein geändertes Datenwort zu erhalten, und einer Vorrichtung zur wahlweisen Verbindung des Programmiergerätes mit wenigstens einem elektronischen Schloß (16), und wenigstens ein elektronisches Schloß (16) entfernt \von der Konsole (12) zum Empfang des geänderten Datenwortes vom ersten Programmiergerät, wobei das geänderte Datenwort zur Durchführung eines oder mehrerer Operationen an dem Schloß verwendet wird.

10. Einrichtung nach Anspruch 9, dadurch gekennzeichnet,

daß wenigstens eines der Programmiergeräte (22) in die Konsole (12) einsetzbar ist, um wahlweise die kodierton ^ow Datenwörter von diesen zu empfangen und zum Schloß (16) zu übertragen, wobei das Schloß die kodierten Daten wahlweise aus dem Programm löscht.

11. Einrichtung nach Anspruch 9 oder 10, wobei jedes

Schloß einen Schlüsselleser aufweist, j

gekennzeichnet durch einen Schlüssel (14), an Ίπΐη wen i ■ ).· ut. j ein Datenwort gespeichert ist, wobei wenigstens eines dor ;

"copy

Prograramiergaräte ein Freigabe-Programmiergerät (26) mit einem in einem ersten Speicher gespeicherten Anlage-

kode ist und in ein Schloß (16) einsetzbar ist, um den 5

Schlüsselleser .(15) des Schlosses freizugeben und das Datenwort vom eingesetzten schlüssel nur dann zu lesen, wenn der Anlagekode des Freigabe-Programmiergerätes mit dem Anlagekode des Schlosses übereinstimmt.

12. Programmiergerät zur Herstellung einer Datenwortverbindung von einer Datenquelle zu einem Datenempfänger, wobei die Datenquelle Datenwörter, die entsprechend einem ersten vorbestimmten Änderungsoperationssatz kodiert sind, dem Programmiergerät zuführt,
dadurch gekennzeichnet,

daß das Programmiergerät einen ersten Datenwortspeicher zum Empfang und zur Speicherung kodierter Datenwörter von der Datcnwortquelle, eine Anschlußeinrichtung zur Verbindung des Programmiergerätes mit der Datenwortquelle zum Empfang kodierter Datenwörter von dieser und zur Verbindung mit dem Datenempfänger, eine Datenwort-Änderungsvorrichtung zur Änderung des kodierten Datenwortes in dem Datenwortspeicher entsprechend einem zweiten

vorbestimmten Änderungsoperationssatz, um ein geändertes 25

Datenwort zu erhalten, das von dem Datenempfänger erkennbar und diesem verwendbar ist, und eine Übertragunseinrichtung aufweist, um das geänderte Datenwort von dem Programmiergerät zu dem Datenempfänger zu übertragen,

wobei das geänderte Datenwort zu dem Datenempfänger über 30

die Anschlußeinrichtung in Abhängigkeit von der Betätigung der übertragungseinrichtung übertragen wird.

COPY

13. Programmiergerät nach Anspruch 12, dadurch gekennzeichnet,

daß die Datenquelle eine erste Änderungsvorrichtung zur Änderung eines ausgewählten Teils eines darin gebildeten \

i Datenwortes entsprechend einem ersten Kodieroperations- ] satz aufweist, um ein Programmiergerät-Datenwort zu erhal- j ten, und eine zweite Änderungsvorrichtung, um den Inhalt des Programmiergerät-Datenwortes entsprechend einem zweiten Kodieroperationssatz zu verwürfein, und das kodierte Datenwort für das Programmiergerät zu erzeugen, und daß die Datenwort-Änderungsvorrichtung des Programmiergerätes eine Entwurfelungseinrichtung zur Umkehr der Verwürfelung der Konsolen-Verwürfelungseinrichtung aufweist, um das Programmiergerät-Datenwort wiederzugewinnen, sowie eine dritte Änderungsvorrichtung zur weiteren Änderung des geänderten Anteils dos Programmiergerät-Datonwortes entsprechend einem dritten Kodieroperationssatz, um das geänderte Datenwort zu erhalten, wobei der Daten-

empfänger eine Einrichtung zur Umkehr des dritten Kodieroperationssatzes und dann des ersten Kodieroperat ion.s-. satzes aufweist, um die von der Konsole erzeugte dekodierte Datenwortinformation zu erhalten.

14. Sicherheitseinrichtung,

gekennzeichnet durch eine Datenquelle zur Erzeugung οines kodierten Datenwortes, das entsprechend einer ersten Änderungsoperation geändert wird, ein Programmiergerät, bestehend aus einer Einrichtung zum Empfang eines kodierten

Datenwortes von der Datenquelle, eine Einrichtung zur Speicherung des empfangenen kodierten Datenwortes, einer Einrichtung zur Änderung des kodierten in der Speichereinrichtung gespeicherten Datonwortcs vor der Übertragung des kodierten Datenwortes vom Programraicrgcräl: entsprechend

einer zweiten vorbestimmten Änderunq.sopern I. i on zur BoriHnmur eines geänderten Datenworter;, und einer Eirir i rhtunn ::ur Übertragung des geänderten Datenwortes vom Programmiergerät,

'copy

und eine Datenempfangseinrichtung entfernt von der Datenquelle, bestehend aus einer Einrichtung zum Empfang der geänderten Datenwörter vom Programmiergerät und einer Einrichtung zur Interpretation des geänderten Datenwortes zur Verwendung in der Datenempfangseinrichtung.

15. Einrichtung nach Anspruch 14, dadurch gekennzeichnet,

¹^ daß die Datenquelle eine DatenworterZeugungseinrichtung zur wahlweisen Bildung von Datenwörtern, eine erste Änderung se in richtung zur Änderung einer ersten Kodieroperation eines jeden Datenwortes entsprechend einer ersten Kodieroperation zum Erhalt eines Programmiergerät-Daten-

I^ Wortes, eine Verwürfelungseinrichtung zur Verwürfelung des Inhaltes des Programmiergerät-Datenwortes entsprechend einer zweiten Kodieroperation zur Bestimmung des kodierten Datenwortes, und eine Einrichtung zur Übertragung des kodierten Datenwortes zu dem Programmiergerät aufweist, und daß die Einrichtung zur Änderung des kodierten Datenwortes in dem Programmiergerät eine Einrichtung zum Entwürfein des kodierten Datenwortes zum Erhalt des Pro- j grammiergerät-Datenwortes und eine zweite Änderungseinrichtung zur Änderung eines zweiten ausgewählten Anteils !

²^ des erhaltenen Programmiergerät-Datenwortes entsprechend j einer dritten Kodieroperation zur Bestimmung des geänder- ' ten Datenwortes aufweist, und daß die Einrichtung zur Interpretation eine Einrichtung zur Umkehr der zweiten und ersten Kodieroperation zum Erhalt des ursprünglich

kodierten Datenwortes aufweist.

16. Verfahren zur sicheren Datenübertragung von einer Datenquelle zu einem Datenempfänger,

dadurch gekennzeichnet,
daß

a) ein Datenwort entsprechend einer ersten Änderungsopera-

GOPY

_g _

tion kodiert wird, um ein kodiertes Datenwort an der Datenquelle zu erhalten,

b) ein Programmiergerät mit der Datenquelle verbunden wird,

c) das kodierte Datenwort von der Datenquelle zu einem Speicher in einem Programmiergerät übertragen wird,

d) das Programmiergerät von der Datenquelle getrennt wird,

e) das Programmiergerät mit dem Datenempfänger verbunden wird,

f) das kodierte Datenwort zur Eingabe in den Datenempfän-*- ger geändert wird, wenn das Programmiergerät mit dem Datenempfänger verbunden ist, und

g) das geänderte Datenwort zu dem Datenempfanger zur Verwendung in diesem übertragen wird.

1 7.. Verfahren nach Anspruch 16 ,
dadurch gekennzeichnet,

daß das geänderte, zu dem Datenempfänger übertragene Datewort und das Datenwort, das zur Erzeugung des kodierten Datenwortes kodiert wurde, gleich sind.

18. Verfahren nach Anspruch 16,
dadurch gekennzeichnet,

daß beim Kodieren eine Datenwort erzeugt wird, wenigstens ein erster ausgewählter Anteil des Datenwortes entsprechend einer ersten vorbestimmten Kodieroperation geändert wird, um ein Programmiergerät-Datenwort zu erhalten, und das Programmiergerät-Datenwort entsprechend einer vorbestimmten Entwürfelungsoperation entwürfelt wird, um

CQP^V'

das kodierte Datenwort zu erhalten, daß bei der Änderung des kodierten Datenwortes dieses entwürfelt wird, um das Programmiergerät-Datenwort zu erhalten und wenigstens ein zweiter ausgewählter Anteil des erhaltenen Programmiergerät-Datenwortes entsprechend einer zweiten vorbestimmten Kodieroperation geändert wird, um das geänderte Datenwort zu erhalten, und daß das geänderte Datenwort im Datenempfänger durch Umkehr der zweiten und ersten Kodieroperation dekodiert wird, um das ursprünglich kodierte Datenwort zur Verwendung in dem Datenempfänger zu erhalten.