DE69924349T2 - Elektronisches Zugangskontrollsystem und Verfahren - Google Patents

Elektronisches Zugangskontrollsystem und Verfahren Download PDF

Info

Publication number
DE69924349T2
DE69924349T2 DE69924349T DE69924349T DE69924349T2 DE 69924349 T2 DE69924349 T2 DE 69924349T2 DE 69924349 T DE69924349 T DE 69924349T DE 69924349 T DE69924349 T DE 69924349T DE 69924349 T2 DE69924349 T2 DE 69924349T2
Authority
DE
Germany
Prior art keywords
key
lock
locks
information
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69924349T
Other languages
English (en)
Other versions
DE69924349D1 (de
Inventor
Ceki Gülcü
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Application granted granted Critical
Publication of DE69924349D1 publication Critical patent/DE69924349D1/de
Publication of DE69924349T2 publication Critical patent/DE69924349T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00817Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00571Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00896Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses
    • G07C9/00904Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses for hotels, motels, office buildings or the like
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/21Individual registration on entry or exit involving the use of a pass having a variable access code
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/27Individual registration on entry or exit involving the use of a pass with central registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00817Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed
    • G07C2009/00849Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed programming by learning

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Erfindung betrifft ein elektronisches Schlossund-Schlüssel-Zugangskontrollsystem und beschreibt einen neuartigen und sehr flexiblen Ansatz zur Gewährleistung der physischen Sicherheit eines solchen Systems. Solche Systeme finden breite Anwendung in der Industrie, im Hotelwesen, in Banken sowie anderen Bereichen, in denen der Zugang zu Räumen oder Geräten kontrolliert oder eingeschränkt werden soll. Bei vielen dieser Systeme werden Karten verwendet, mitunter auch Smartcards mit integrierter Rechenleistung. Solche Karten können in der Regel durch eine mit jedem Schloss verbundene Lesevorrichtung magnetisch oder auf andere Weise gelesen werden. zum Freigeben oder zum Sperren der Nutzung bestimmter Schlüssel, zur zeitlichen Zugangsbeschränkung oder zur anderweitigen Änderung des Sicherheitssystems müssen Zugangsinformationen oder -nachrichten zu den Schlössern – und manchmal auch von den Schlössern – übertragen werden. Das geschieht oft über ein System von Kabeln, welche die Schlösser mit einer zentralen Zugangsverwaltung verbinden, jedoch werden auch andere Übertragungsmittel verwendet. Für Lösungsansätze nach dem Stand der Technik ist jedoch die mehr oder weniger direkte Verbindung zwischen der zentralen Zugangsverwaltung und den Schlössern kennzeichnend.
  • HINTERGRUND DER ERFINDUNG
  • Jeder Mensch ist täglich auf Schlüssel angewiesen, um Zugang zu Autos, Wohnungen und Büros zu erlangen bzw. das Fahrradschloss zu entriegeln oder den Briefkasten zu öffnen. Zweifellos stellen Schlüssel somit einen wesentlichen Bestandteil der modernen Gesellschaft dar. Die meisten dieser Schlüssel sowie die zugehörigen Schlösser beruhen heutzutage immer noch auf mechanischen Prinzipien.
  • Diese herkömmlichen mechanischen Schlüssel sind zwar weit verbreitet, weisen jedoch eine Reihe von Nachteilen auf. Erstens muss bei einem Sicherheitsbruch, wie beispielsweise beim Verlust eines Schlüssels, unberechtigter Kopie oder unsicherer Vertrauensgrundlage, das Schloss ausgetauscht werden. Zweitens ist ein Schlüssel so lange gültig, wie das entsprechende Schloss eingebaut bleibt. Wenn beispielsweise einer Person das Zugangsrecht durch Aushändigung eines Schlüssels erteilt wurde, kann dieses Recht nur durch Rückgabe des Schlüssels oder durch Verändern des Schlosses rückgängig gemacht werden. Aufgrund dieser Einschränkungen eignen sich herkömmliche Schloss-und-Schlüssel-Systeme nicht für die zeitliche Zugangskontrolle, zum Beispiel zum Gewähren des Zugangs ausschließlich während der Bürozeit oder zum Schützen bestimmter Bereiche während bestimmter Tageszeiten. In den vielen Bereichen mit derartigen Anforderungen reichen herkömmliche Schloss-und-Schlüssel-Systeme nicht mehr aus.
  • Es ist klar, dass herkömmliche Schlüssel unflexibel sind und nur eingeschränkte Möglichkeiten der Zugangsverwaltung bieten, aber sie stehen weit verbreitet zur Verfügung und sind sehr sicher und preiswert. Dennoch sind Austauschlösungen mit höherer Flexibilität und umfangreichen Möglichkeiten der Zugangsverwaltung entwickelt und auf den Markt gebracht worden. Zum Beispiel werden elektronische Schlösser und entsprechende elektronische Schlüssel in Hotels und Unternehmen in großem Umfang eingesetzt und gestatten eine sehr flexible und schnelle Verwaltung der Zugangsrechte.
  • Ein Beispiel eines Systems, das verschiedene Arten von Smartcards einsetzt, wird in der US-Patentschrift 5 204 663 von Lee, Applied Systems Institute, Inc., dargestellt, welche ein Zugangskontrollsystem über Karten mit integriertem Schaltkreis (Integrated Circuit-Card), d. h. Smartcards, beschreibt, von denen einige mit einem Speicher zum Speichern von Zugangsschlüsselinformationen und so genannten Transaktionsinformationen ausgestattet sind. Während sich die Zugangsschlüsselinformationen in diesem Falle auf die unmittelbare Verwendung des Schlüssels beziehen, z. B. auf den aktuellen Zugangscode der Karte, betreffen die Transaktionsinformationen andere Aktivitäten, z. B. ein im Speicher des Schlosses gespeichertes Protokoll über die frühere Nutzung des Schlosses, in spezielle Schlösser zu ladende spezielle neue Zugangscodes oder ein Protokoll über vergebliche Zugangsversuche des Kartenbenutzers. Manche dieser Transaktionsinformationen werden vom Schloss in den Kartenspeicher, manche von der Karte zum Schloss übertragen und manche Informationen lediglich in der Karte gespeichert, um später ausgelesen zu werden.
  • Ein Beispiel eines in einer solchen Umgebung einsetzbaren Schlosses ist das SaFixx-Smartlock der Firma ACOLA GmbH in villingen-Schwenningen, Deutschland, das im Internet unter http://acola.com beschrieben wird. Das SaFixx-Smartlock weist sogar einige (im Folgenden erörterte) spezielle Eigenschaften auf, aufgrund derer es in Verbindung mit der vorliegenden Erfindung genutzt werden kann.
  • In der Literatur finden sich weitere Beispiele. All diese Beispiele weisen jedoch einen Nachteil auf. Sie erfordern eine Art von „direktem" Zugang zu jedem einzelnen elektronischen Schloss des Systems, sei es, dass die Schlösser entweder über Kabel oder ein Funknetz mit einer zentralen Zugangsverwaltung verbunden sind oder dass sich jemand direkt zu allen Schlössern begeben muss, um diese manuell oder elektronisch „umzuprogrammieren", wie dies bei dem oben erwähnten SaFixx-Smartlock oder bei dem in der oben genannten US-Patentschrift 5 204 663 von Lee beschriebenen System der Fall ist. Beide Verfahren sind aufwendig: Ein zu allen Schlössern in einem Hotel oder einem Betrieb führendes Kabelnetz kostet im Allgemeinen mehr als die elektronischen Schlösser selbst, ein Funksystem erfordert einen Transceiver und eine Stromversorgung für jedes einzelne Schloss und kann somit sogar noch teurer (und störanfälliger) als ein Kabelnetz sein, und das persönliche Aufsuchen jedes einzelnen Schlosses kann innerhalb einer vertretbaren Zeit einfach unmöglich sein.
  • Die US-Patentschrift 4,800,255 betrifft eine elektronische Zugangskarte mit einer gedruckten Leiterplatte. Auf der Leiterplatte befindet sich ein Mikroprozessor. Zum Eingeben von Informationen in den Mikroprozessor befindet sich auf der Leiterplatte eine Tastatur, die mit dem Mikroprozessor verbunden ist. Ferner befindet sich auf der Leiterplatte eine mit dem Mikroprozessor verbundene Spule zum Empfangen der zum Mikroprozessor zu übertragenden Informationen und zum Übertragen von Informationen vom Mikroprozessor. Mit dem Mikroprozessor sind visuelle Anzeigemittel zur optischen Anzeige der im Mikroprozessor gespeicherten Informationen verbunden.
  • Die US-Patentschrift 4,887,292 betrifft ein elektronisches Schließsystem mit einer „Ausschlussliste", in welcher Schlüssel angegeben sind, denen das Öffnen von Systemschlössern verwehrt werden soll. In den Speichern der Schlösser und der Schlüssel des Systems befinden sich datumscodierte Ausschlusslisten. Wenn ein Schlüssel in ein Schloss gesteckt wird, werden die Datumscodes der Listen von Schloss und Schlüssel miteinander verglichen, um die aktuellste Liste zu ermitteln. Diese Liste wird dann zur anderen Einheit übertragen und überschreibt dort deren veraltete Liste. Durch das weitere Zusammenwirken mit anderen Schlössern bzw. Schlüsseln werden die Daten der aktuellsten Ausschlussliste weiter verbreitet. Durch diese Anordnung können neue Ausschlusslisten in einem Schließsystem verbreitet werden, indem sie einfach in einen oder mehrere Schlüssel geladen werden. Da diese Schlüssel zusammen mit Schlössern und diese wiederum zusammen mit anderen Schlüsseln verwendet werden, verbreitet sich die Liste im ganzen System.
  • Die Aufgabe der vorliegenden Erfindung besteht darin, Lösungen bereitzustellen. Zusammenfassend gesagt, besteht eine Aufgabe der vorliegenden Erfindung darin, die oben beschriebenen Nachteile zu vermeiden und ein zuverlässiges und flexibles elektronisches Schloss-und-Schlüssel-System vorzuschlagen, welches keine (im obigen Sinne) „direkten" Verbindungen zwischen den Schlössern und einer zugehörigen zentralen Zugangsverwaltung zur Kontrolle der Sicherheit des Systems benötigt.
  • Eine weitere Aufgabe besteht darin, die Erweiterung eines bestehenden Systems zu vereinfachen, wenn zusätzliche Schlösser oder andere Zugangs- oder Sicherheitskontrolleinrichtungen installiert werden, oder Änderungen an einem bestehenden System zu erleichtern, wenn neue Schlösser installiert und/oder vorhandene Schlösser ausgetauscht werden.
  • Eine weitere Aufgabe besteht darin, eine Architektur vorzuschlagen, die eine praktisch unbegrenzte Flexibilität bei Protokolländerungen oder Sicherheitsaktualisierungen zwischen der zentralen Zugangsverwaltung und den Schlössern ermöglicht. Solche Aktualisierungen sind nach einem „erfolgreichen" Angriff oder nach dem Verlust oder Diebstahl von Kartenschlüsseln erforderlich, oder wenn Sicherheitsaspekte des System geändert werden, z. B. wenn bestimmte physische Bereiche in einem Betrieb oder einem Laboratorium zu Bereichen mit „eingeschränktem Zugang" erklärt werden.
  • Eine besondere Aufgabe besteht darin, eine Architektur vorzuschlagen, bei der eine Erweiterung eines solchen Systems bei laufendem Betrieb (on the fly) möglich ist.
  • DIE ERFINDUNG
  • Der neuartige Ansatz gemäß der Erfindung konzentriert sich im Wesentlichen auf die Verwendung insbesondere von Hardwaremitteln, wie es sie bei einem herkömmlichen elektronischen Schloss-und-Schlüssel-System bereits gibt. Zugangskontrollinformationen sowie andere zu aktualisierende oder zu ändernde Informationen werden mittels vorhandener Smartcardschlüssel oder ähnlicher Schlüssel und der vorhandenen Schlösser weiter verbreitet, ohne dass Letztere mit einer zentralen oder einer verteilten Zugangsverwaltung zum Kontrollieren dieser Informationen verbunden sein müssen. Zu diesem Zweck wird ein in geeigneter Weise angepasstes Netzwerkprotokoll und, wenn erforderlich, ein kryptographisches Verfahren zum Schutz des Systems vor möglichen Angriffen verwendet.
  • Im Folgenden wird die zugrunde liegende Neuheit, d. h. die Weiterverbreitung von Zugangskontrollinformationen in kabellosen Umgebungen, ausführlich erörtert. Desgleichen wird beschrieben, wie ganz allgemein kostengünstige und einfach zu bedienende elektronische Schlösser implementiert werden können. Anschließend werden Angriffe auf ein solches System sowie dessen grundlegende Sicherheitsvoraussetzungen erörtert.
  • Im Gegensatz zu den meisten modernen elektronischen Sicherheitssystemen erfordert das im vorliegenden Dokument beschriebene System keinerlei fest installierte Netzwerkkonnektivität, weder per Draht noch per Funk. Dadurch entfallen die Kosten für Kabel- und Funkanlagen. Erfahrungsgemäß können diese Kosten um eine Größenordnung höher als die Kosten für die eigentlichen Schlösser sein. Dabei ist zu erwähnen, dass im vorliegenden Dokument unter dem Begriff „Schlüssel" nicht der herkömmliche Metallschlüssel, sondern jeder beliebige Informationsträger, z. B. Smartcards oder die JavaCard von IBM, und unter dem Begriff „Schloss" üblicherweise ein elektronisches Schloss zu verstehen ist.
  • Anstatt die Schlösser über ein fest installiertes Kabel mit elektrischem Strom zu versorgen, kann die zum Bedienen des Schlosses erforderliche Energie entweder durch den Schlüssel des Benutzers oder durch eine in das Schloss oder in die Tür integrierte Batterie zugeführt werden. Es ist klar, dass der Stromverbrauch bei einer solchen Konstruktion äußerst gering gehalten werden muss, damit die Batterien mindestens einige Jahre halten. Es gibt auf dem Markt bereits elektronische Schlösser mit den gewünschten physikalischen Eigenschaften wie Sicherheit gegen physikalische Angriffe (Tamper Resistance), Betriebssicherheit und lange Batterielebensdauer. Das oben erwähnte SaFixx-Smartlock ist ein Beispiel für ein Schloss mit diesen Eigenschaften. Die vorliegende Erfindung betont allerdings nicht so sehr das physische Design, sondern legt mehr Wert auf die logischen Aspekte von kabellosen Schlosskonstruktionen.
  • BESCHREIBUNG EINER AUSFÜHRUNGSART
  • Im Folgenden wird die Erfindung in Verbindung mit einer Zeichnung genauer beschrieben, die ein Blockschaltbild eines typischen Zugangskontrollsystems gemäß der Erfindung und insbesondere das Prinzip der Weiterleitung von Nachrichten oder Informationen in einem solchen System zeigt.
  • Die Figur zeigt als Einheit, welche über die Berechtigung über eine Gruppe von Schlössern 2 verfügt, einen Türbereichs-Zugangsmanager 1 (Door Domain Access Manager, DDAM). Zur Vereinfachung sind nur einige der Schlösser mit Bezugsnummern 2a, 2b usw. versehen. Der DDAM 1 und die Gruppe der Schlösser 2 bilden gemeinsam eine Verwaltungsdomäne 4. Es wird davon ausgegangen, dass der DDAM 1, wie dargestellt, aus einer einzelnen Einheit besteht. Diese Einschränkung kann durch Einsatz von Schwellenwertsignaturen, wie sie von Douglas R. Stinson in „Cryptography – Theory and Practice", CRC Press, 1996, beschrieben wurden, und durch einige mehr oder weniger einfache Erweiterungen des im vorliegenden Dokument vorgestellten Kommunikationsprotokoll aufgehoben werden.
  • Ferner ist eine Vielzahl von Schlüsseln 3 gezeigt, von denen ebenfalls zur Vereinfachung nur einige mit Bezugsnummern 3a, 3b usw. versehen sind.
  • Jedes Schloss 2, das normalerweise zu einer Tür gehört, weist entsprechend dem oben Gesagten einen Schlüssel- oder Kartenleser der üblichen Art sowie einen Speicher auf. Der Speicher ist so aufgebaut, dass er zwei unterschiedliche Sätze von Daten oder Informationen speichert; einen ersten Satz, der aus einem oder mehreren Token besteht (deren Anzahl von der Gesamtorganisation des Schloss-und-Schlüssel-Systems abhängt), und einen zweiten Satz, der eine Nachricht so genannter zugeordneter Daten umfasst, d. h. für andere Schlüssel oder Schlösser reservierte Daten. Die letzteren Daten bilden eine temporäre Nachricht, die nur eine bestimmte Zeit lang im temporären Speicherbereich des Schlosses gespeichert bleibt.
  • Die Schlüssel 3 sind hinsichtlich ihres Speichers sehr ähnlich aufgebaut. Ihr Speicher ist ebenfalls in der Lage, zwei unterschiedliche Daten- oder Informationssätze zu speichern. Ein erster Satz besteht wiederum aus einem oder mehreren Token (deren Anzahl von der Gesamtkonstruktion des Schloss-und-Schlüssel-Systems abhängt) und kann als „Schlüsselaktivierungs"-Satz bezeichnet werden. Der zweite Satz besteht wiederum aus einer Nachricht reservierter Daten, d. h. einer für andere Schlüssel oder Schlösser reservierten temporären Nachricht, die nur eine bestimmte Zeit lang im temporären Speicher des Schlüssels gespeichert bleibt. Dieser letztere Teil des Schlüsselspeichers stellt, einfach gesagt, den Informationstransportpfad im Gesamtsystem dar.
  • Aus der Figur ist zu erkennen, dass es bei Verwendung der Schlüssel als Transportmittel für die reservierten Daten üblicherweise eine Vielzahl von Wegen zu jedem Schloss und Schlüssel gibt. Ein sehr einfaches Beispiel soll dies erläutern.
  • Angenommen, der DDAM 1 gibt eine Nachricht für das Schloss 2e (unten) aus, z. B. dass einem bestimmten Schlüssel, beispielsweise dem Schlüssel 3d, der Zugang zu dem Raum hinter der Tür mit dem Schloss 2e verwehrt wird. Diese für das Schloss 2e vorgesehene Nachricht wird über die Leitung 5, bei der es sich um eine Kabelverbindung, einen mobilen Datenträger, eine beliebige drahtlose Verbindung usw. handeln kann, in das Netzwerk „eingegeben". Sobald das Schloss 2a die Nachricht erhalten hat, empfängt jeder in diesem Schloss 2a benutzte Schlüssel eine Kopie dieser Nachricht und speichert sie in seinem temporären Speicherbereich. Der Schlüssel 3a transportiert die Nachricht zum Schloss 2b, der Schlüssel 3b liest und speichert sie, transportiert sie zum Schloss 2c (und zu anderen Schlössern), von wo aus die Daten über den Schlüssel 3c, das Schloss 2d, den Schlüssel 3d und/oder den Schlüssel 3e zu ihrem Ziel, dem Schloss 2e transportiert werden. Man beachte, dass auch der Schlüssel 3d, der durch die transportierte Nachricht negativ beeinflusst würde, diese Nachricht zu dem festgelegten Schloss 2e befördern kann.
  • Sobald das Schloss 2e die zugeordnete Nachricht empfangen hat, sendet es eine Bestätigung, die nunmehr in derselben Weise wie die ursprüngliche Nachricht durch das System wandert, bis sie den DDAM 1 erreicht, womit sich der Kreis schließt. Da sich die Bestätigung erkennbar auf die Nachricht bezieht, löscht sie die noch gespeicherte (ursprüngliche) Nachricht in allen Schlüsseln und Schlössern, durch welche sie gelangt. Diese Gesamtfunktion des elektronischen Schließsystems gemäß der Erfindung ist wiederum stark vereinfacht dargestellt; Einzelheiten werden aus der nachfolgenden Beschreibung deutlich, in der auch die einigen Lösungen zugrunde liegende Theorie behandelt wird.
  • Einem Benutzer wird, wie oben erwähnt, der Zugang durch ein Schloss 2 (oder eine Tür, wobei im vorliegenden Dokument beide Begriffe austauschbar verwendet werden) nur dann gewährt, wenn sein Schlüssel ein entsprechendes vom DDAM ausgegebenes Token aufweist. Alle Token sind mit einem Verfallsdatum versehen. Der DDAM kann sich jederzeit dazu entschließen, die Zugangsrechte eines Benutzers zu widerrufen.
  • Schlüssel sind so aufgebaut, dass sie mehrere Token sowie andere Datentypen aufnehmen können. Ob die Token mit öffentlichen Schlüsseln verschlüsselt sind oder auf gemeinsam genutzten geheimen Schlüsseln oder anderen Arten von Sicherheitsgrundelementen beruhen, ist in dieser Phase unbedeutend.
  • Zusätzlich zur Speicherkapazität können Türen auch über Rechenfähigkeiten verfügen, mit denen sie die vom DDAM ausgegebenen Token verarbeiten können. Zwischen dem DDAM und den Türen/Schlössern 2 besteht eine Master-Slave-Beziehung. Das dem DDAM vorbehaltene Recht besteht darin, festzulegen, wer und bis zu welcher Uhrzeit und bis zu welchem Datum durch welche Tür treten darf. Folglich müssen sich die Türen in einer Verwaltungsdomäne 4 vollständig auf den DDAM verlassen und seine Anweisungen blind befolgen. Allerdings befolgen Türen keine Anweisungen, die durch einen DDAM außerhalb ihrer Verwaltungsdomäne erteilt wurden. Es gibt keine Kabel, welche die Türen untereinander oder mit dem erforderlichen DDAM verbinden. Dies macht den oben angegebenen alternativen Kommunikationsmechanismus erforderlich, sodass der DDAM und die Schlösser dennoch Informationen austauschen können. Dazu ist jedoch anzumerken, dass die Möglichkeit des Austauschs von Nachrichten zwischen den Türen nicht notwendigerweise ausgeschlossen ist; es kann auch einzelne ausgewählte „direkte" Verbindungen zwischen dem DDAM und einem oder mehreren ausgewählten Schlössern geben.
  • Eignungsbetrachtungen
  • Da Benutzer für den Zugang durch eine Tür konstruktionsbedingt ein gültiges Token vorzeigen müssen, stellt die Weiterverbreitung von positiven Zugangsrechten kein Thema dar. Der DDAM kann einem bestimmten Benutzer ein Token über ein (sicheres) Terminal zuteilen, oder das Token kann einfach an einer Tür deponiert werden, z. B. am Schloss 2a, bis der Benutzer das Token unwissentlich aufnimmt. Die Erneuerung von Token, die bald ungültig werden, kann in ähnlicher Weise erfolgen.
  • Andererseits stellt sich die Frage, wie sichergestellt werden kann, dass ein negatives Token (d. h. die Aufhebung einer Zugangsberechtigung) das betreffende Schloss ohne zu große Verzögerung erreicht.
  • Die Lösung dieses Problems ist besonders dann gegeben, wenn alle Benutzer normalerweise bestimmte zentrale Türen passieren, beispielsweise eine Hauseingangstür, einen Aufzug oder Garagenschranken. Bei einem anderen vorteilhaften Szenario, das für Geschäftsumgebungen typisch ist, sorgen Arbeiter, die morgens den Betrieb betreten, oder das Wartungs-/Sicherheitspersonal, das oft viele Türen passiert, für die rasche Weiterleitung der Information. Zu diesem Zweck eignet sich in der Figur insbesondere Tür/Schloss 2a.
  • Wie später erläutert wird, empfängt die Quelle der Information, normalerweise der DDAM, keine Bestätigung, wenn die Zugangskontrollinformation den Zielknoten, d. h. das vorgesehene Schloss 2, nicht erreicht. Der DDAM kann somit einen Fehler feststellen. Daraus folgt, dass in Fällen, in denen es keine bevorzugte Zentraltür gibt und die Zieltür nur selten aufgesucht wird, der Bediener des DDAM gewarnt wird und sich zu der fraglichen Tür begeben kann. Kritische Türen, an welche die Information sofort weitergeleitet werden muss, können auch über ein dediziertes Kabel oder andere „direkte" Mittel mit dem DDAM verbunden werden.
  • Netzwerkmodell
  • Wie bereits oben erwähnt, können die physischen Schlüssel 3 des Benutzers Nachrichten zwischen den Schlössern 2 und dem DDAM 1 hin- und hertransportieren, um sicherzustellen, dass Informationen schnell genug weitergeleitet werden. Darüber hinaus dienen die Schlösser 2 als temporäre Speicher (Repositories) für Nachrichten, die für andere Schlösser gedacht sind. Türen und/oder Schlösser stellen die Knoten eines Netzwerks und Benutzer die diese Knoten verbindenden Kanäle dar. Zum Beispiel wird zwischen dem Schloss 2a und dem Schloss 2b ein temporärer Kanal hergestellt, wenn ein Benutzer unter Verwendung des Schlüssels 3a diese beiden Türen passiert. Zur Verbesserung der Konnektivität müssen Zwischenschlösser und Benutzerschlüssel als Repositories dienen. Eine Benutzerin Alice kann, wie oben erläutert, von der Tür 2a eine Nachricht aufnehmen und diese an der Tür 2b hinterlassen. Dann kann es passieren, dass der Benutzer Bob mit dem Schlüssel 3e durch die Tür 2a geht und die Nachricht zu ihrem eigentlichen Ziel, zum Beispiel zur Tür 2e, befördert.
  • Allgemeiner gesagt, bewahren sowohl die Schlüssel als auch die Türen eine Momentaufnahme des gesamten aktuellen anstehenden Verkehrs auf, das heißt, alle gesendeten, aber noch nicht bestätigten Pakete. Das gilt für alle Zieladressen innerhalb der jeweiligen Verwaltungsdomäne. Wenn ein Schlüssel in eine Tür gesteckt wird, aktualisieren sowohl der Schlüssel als auch die Tür/das Schloss ihr jeweiliges Bild des Netzwerks. Diese Aktualisierung muss natürlich nicht interaktiv erfolgen, da sie offline wirksam durchgeführt werden kann. Auf diese Weise ist es nicht nötig, dass der Benutzer auf die Synchronisierung zwischen Schlüssel und Schloss wartet, wenn er durch eine Tür geht. Für Offline-Aktualisierungen ist es erforderlich, dass jede Einheit über ihre eigene Stromquelle verfügt.
  • Netzwerkprotokoll
  • Das wohl bekannte TCP/IP-Protokoll, das von W. Richard Stevens in „TCP/IP Illustrated", Bd. 1, Addison-Wesley, 1994, beschrieben wurde, dient als Grundlage und ist für die neuartige Anwendung vereinfacht und etwas optimiert worden. Abstrakt lässt sich das Problem so formulieren, dass ein Übertragungskontrollprogramm (z. B. TCP) auf ein LAN (lokales Netz) mit hoher Verlustrate und veränderlicher Topologie aufgesetzt wird.
  • Zunächst wird davon ausgegangen, dass jeder Knoten des Netzwerks, das heißt, ein Schlüssel, eine Tür/ein Schloss oder der DDAM, einzeln adressiert werden kann. Im Folgenden kann sich der Begriff „Knoten" auf eine Tür/ein Schloss, einen Schlüssel oder den DDAM beziehen. Das lässt sich durch die Verwendung des Adressierungsschemas eines beliebigen Vermittlungsschichtprotokolls erreichen, insbesondere durch das Internetprotokoll, das von J. Postel in „Internet Protocol" in der Veröffentlichung der Internet Engineering Task Force vom September 1981, RFC 791, beschrieben wurde.
  • Jeder Knoten ist, wie bereits oben erwähnt, auch dann, wenn er selbst nicht der vorgesehene Empfänger ist, für die Weiterleitung von Nachrichten oder Paketen verantwortlich, bis das Paket bestätigt worden ist, denn dann wird das Paket aus dem Speicher des Knotens gelöscht.
  • Ebenso wie beim Übertragungsprotokoll TCP, das von J. Postel in „Transmission Control Protocol" in der Veröffentlichung der Internet Engineering Task Force vom September 1981, RFC 793, beschrieben wurde, wird jedes Paket, für das eine Bestätigung erforderlich ist, mit einer monoton steigenden Folgenummer gesendet. Während das TCP die von der IP-Schicht verursachte Paketfragmentierung behandelt, unterliegen die Pakete bei der vorliegenden homogenen Konfiguration nicht der Fragmentierung. Daher entsprechen die Folgenummern nicht der Anzahl gesendeter Bytes, sondern der Anzahl gesendeter Pakete. Dies besitzt im Gegensatz zum TCP den Vorteil, dass das Verfahren einfacher ist und weniger Speicherplatz beansprucht.
  • Sobald eine Nachricht empfangen wurde, gibt der Empfänger eine Bestätigung aus, die zum Absender zurück gesendet wird, und bestätigt dadurch den Empfang des Paketes. Diese Bestätigung besteht aus der üblichen Adressinformation und mindestens zwei weiteren Feldern: einer kumulativen Folgenummer n und einem Bitfeld der Länge von w Bits.
  • Der aktuelle Wert von n zeigt an, dass Pakete mit einer niedrigeren Folgenummer (einschließlich) korrekt und ohne Lücken empfangen wurden. Das Bitfeld liefert Informationen über Pakete außer der Reihe. Das Bitfeld entspricht ungefähr dem so genannten „gleitenden Fenster" (Sliding Window) im TCP.
  • Ebenso wie im TCP werden Pakete außerhalb des gleitenden Fensters, das heißt, Pakete mit einer Folgenummer außerhalb des Bereichs n+1 bis n+w, gelöscht. Wenn jedoch ein eintreffendes Paket eine lückenlose Folge ergänzt, wird n erhöht und eine Bestätigung zur Quelle zurückgesendet. Jedes empfangene Paket, das außer der Reihe, jedoch innerhalb des gleitenden Fensters liegt, wird gezählt, indem im Bitfeld ein entsprechendes Bit aktiviert wird.
  • Nachdem die Bestätigung zum Absender des Pakets zurückgesendet wurde, kann die Quelle somit verloren gegangene Pakete selektiv erneut senden. Pakete, die zwar korrekt empfangen wurden, aber deren Nummern außer der Reihe sind, brauchen nicht noch einmal gesendet zu werden. Desgleichen werden Pakete, die selektiv bestätigt worden sind, unabhängig davon, ob die Quelle die Bestätigung erhalten hat, in den Zwischenknoten gelöscht sodass an jedem Zwischenknoten wertvoller Speicherplatz eingespart wird.
  • Es ist zu beachten, dass die hier beschriebenen Bestätigungen eine absolute Reihenfolge aufweisen, wie dies bei kumulativen Bestätigungen der Fall ist. Auf diese Weise ist es möglich, die Bestätigungen miteinander zu vergleichen. Folglich braucht von den Zwischenknoten nur die neueste Bestätigung gespeichert zu werden, da diese alle vorangehenden Bestätigungen überschreibt.
  • Fenstergröße
  • Es kann davon ausgegangen werden, dass normalerweise nur wenige Nachrichten zum Zurückziehen der Zugangsberechtigung zu einer bestimmten Tür bzw. einem bestimmten Schloss gesendet werden müssen. Daher reichen bereits sehr geringe Fenstergrößen (zum Beispiel 2) aus, um die Anforderungen selbst großer Organisationen zu erfüllen.
  • In Ausnahmefällen kann die Fenstergröße jedoch nach Belieben erweitert werden. Das lässt sich dadurch erreichen, dass der DDAM eine Rundsendenachricht absendet, in welcher er alle Türen anweist, die Fenstergröße für ein bestimmtes Quelle/Ziel-Paar anzupassen. Rundsendenachrichten weisen eine feste Zieladresse auf, die von allen erkannt wird.
  • Taktinformation
  • Der DDAM kann für alle anderen Einheiten in der Verwaltungsdomäne den Takt vorgeben. Der DDAM sendet so oft wie möglich (d. h. jedes Mal, wenn er mit einem Benutzer oder einer Tür in Kontakt steht) Taktaktualisierungen. Ebenso wie bei den Bestätigungen wird von den Zwischenknoten nur die neueste Taktinformation gespeichert, um auch dadurch wertvollen Speicherplatz einzusparen. Auf diese Weise besteht keine Notwendigkeit, dass die Türen über eigene Taktgeber verfügen.
  • Verschlüsselungsaspekte
  • Die kryptographische Darstellung eines Tokens kann weitreichende Folgen für das Sicherheitsmanagement haben. Zuerst werden die sicherheitsrelevanten Folgen einer Architektur auf der Basis eines geheimen Schlüssels erörtert. Anschließend werden die Folgen einer Architektur auf Basis eines öffentlichen Schlüssels beschrieben.
  • Gemeinsam genutzter geheimer Schlüssel
  • Token können auf einem vom DDAM und den Schlössern gemeinsam genutzten geheimen Schlüssel beruhen. Angenommen, der DDAM und das Schloss 1; nutzen gemeinsam den geheimen Schlüssel sj. Um dem Benutzer ui den Zugang durch lj zu erlauben, würde der DDAM die Zugangszeichenfolge aij authentifizieren, wobei gilt: aij = „ui bis zum 1.1.2001 durch lj hindurchlassen". (1)
  • Die Authentifizierung kann auf einer beliebigen Authentifizierungsfunktion für sicher verschlüsselte Nachrichten beruhen, wie beispielsweise der Funktion HMAC, die von R. Canetti et al. in „HMAC: Keyed-Hashing for Message Authentification", Engineering Task Force, Februar 1997, RFC 2104, beschrieben wurde. Dann lautet der Ausdruck tij = HMAC (sj, aij)''∥ aij,wobei tij das Zugangstoken ist und ∥ die Verkettung der Zeichenfolge bedeutet. Dabei ist zu beachten, dass Token je nach Art der Authentifizierung auch andere Darstellungen aufweisen können. Dem Benutzer ui würde nun der Zugang durch lj bis zum 1. Januar 2001 gewährt, wenn er das Token tij vorweist.
  • Wie bei jeder digitalen Informationsdarstellung kann ein Token einfach dupliziert werden. Bei dieser Konfiguration mit gemeinsam genutztem geheimem Schlüssel ist das Token definitiv gestohlen, wenn es durch ein falsches Schloss oder andere unberechtigte Dritte „erkannt" werden kann. Der Angreifer kann dann nämlich das gestohlene Token dem entsprechenden Schloss vorweisen und unberechtigten Zugang erlangen.
  • Um diese Gefahr zu verringern, muss die Sicherheit durch andere Mittel erhöht werden. Zum Beispiel können in jeden physischen Schlüssel, d. h. in eine Smartcard oder Ähnliches, eine universell einmalige Seriennummer eingebrannt und Token für eine bestimmte Seriennummer ausgegeben werden. Dies bewirkt einen so hohen Sicherheitsgrad, dass weniger gewiefte Angreifer abgewehrt werden. Ein zielstrebiger Angreifer kann allerdings seinen eigenen physischen Schlüssel mit gefälschten Seriennummern bedrucken.
  • Bei Anwendungen mit hohen Sicherheitsanforderungen ist es wichtig, dass der physische Schlüssel Informationen nur selektiv freigibt. Wenn ein physischer Schlüssel in ein Schloss gesteckt wird, muss überprüfbar sein, ob der Benutzer über ein bestimmtes Token verfügt, welches den Durchgang durch die Tür erlaubt. Das betreffende Schloss darf jedoch keine Token (auf dem Schlüssel) lesen können, die für andere Schlösser, möglicherweise in anderen Verwaltungsdomänen, gelten. Aber auch dann, wenn ein physischer Schlüssel Informationen nur selektiv freigibt, kann sich ein Schloss lx als Schloss ly ausgeben und das Token (für ly) stehlen.
  • Der Angriff durch Duplizierung von Token stellt eine ernste Bedrohung dar, insbesondere wenn elektronische Schlösser wirklich weit verbreitet sind. Ein universeller Einsatz bedeutet nämlich, dass physische Schlüssel in gegenseitig ungesicherten Domänen eingesetzt werden.
  • Ein Schutz gegen diesen Angriff kann darin bestehen, dass sich das Schloss dem physischen Schlüssel gegenüber identifizieren muss; erst dann gibt der Schlüssel das Token für das erkannte Schloss frei.
  • Wenn diese Identifizierung auf einem von den Türen und den Benutzern gemeinsam genutzten geheimen Schlüssel beruht, kommt es selbst bei Organisationen mittlerer Größe zu einem explosionsartigen Anwachsen der Anzahl der gemeinsam genutzten geheimen Schlüssel, da jedes Schloss mit jedem durch diese Tür tretenden Benutzer einen geheimen Schlüssel gemeinsam nutzen muss. Somit eignen sich von Schloss und Benutzer gemeinsam genutzte geheime Schlüssel nur für kleine Konfigurationen.
  • Alternativ kann ein Verfahren zur Authentifizierung von Dritten nach der Art des KryptoKnight-Verfahrens eingesetzt werden, das von P. Janson et al. in „Scalability and flexibility in authentication services: The KryptoKnight Approach) in IEEE INFOCOM '97, Tokio, Japan, April 1997, und von R. Bird et al. in „The KryptoKnight family of light-weight protocols for authentication and key distribution" in IEEE Transactions on Networking, 1995 beschrieben wird. Auch ein Verfahren zur Authentifizierung von Dritten nach Art des Kerberos-Verfahrens kann eingesetzt werden, das von J. Kohl et al. in „The Kerberos Network Authentication Service", V5, Internet Engineering Task Force, September 1993, RFC 1510, und von B. Clifford Neuman et al. in „Kerberos: An authentication service for computer networks", IEEE Communications Magazine, 32(9), S. 33 bis 38, September 1994, beschrieben wurde. Bei einem solchen Schema nutzen alle Benutzer und Schlösser einen geheimen Schlüssel gemeinsam mit dem DDAM. Da der DDAM einen geheimen Schlüssel gemeinsam mit allen Knoten nutzt, kann er jeden Knoten von der Identität eines anderen Knoten überzeugen.
  • si möge den geheimen Langzeitschlüssel darstellen, den der Benutzer ui gemeinsam mit dem DDAM nutzt, und sj den geheimen Schlüssel, den das Schloss 1; gemeinsam mit dem DDAM nutzt. Dann wählt der DDAM nach dem Zufallsprinzip einen Chiffrierschlüssel k. Die Zugangszeichenfolge aij lautet dann: aij = „bis zum 1.1.2001 denjenigen Benutzer durch lj hindurchlassen, der k kennt" (2)
  • Dann gibt der DDAM eine Zugangsberechtigung Tij aus, die als Tij = {HMAC(sj, aij)∥aij}sj∥{k}si (3)definiert ist, wobei {m}x eine symmetrische Verschlüsselung der Nachricht m mittels des Chiffrierschlüssels x bezeichnet und aij durch Gleichung (2) gegeben ist.
  • Der Benutzer ui entfernt die Verschlüsselung {k}si von der Zugangsberechtigung Tij um das Token tij zu erhalten. Dann erhält er k aus {k}si durch Entschlüsselung mittels des gemeinsam mit dem DDAM genutzten geheimen Langzeitschlüssels si.
  • Um durch die Tür lj zu gelangen, weist der Benutzer tij vor. Das Schloss 1; ermittelt durch Entschlüsselung von tij mittels seines gemeinsam genutzten geheimen Langzeitschlüssels sj den in aij enthaltenen Chiffrierschlüssel k. Die Tür fragt dann den Benutzer, ob er den Chiffrierschlüssel k kennt. Wenn die Antwort mit dem verlangten Wert übereinstimmt, wird dem Benutzer der Zugang gewährt.
  • Dabei ist zu beachten, dass der DDAM die Zugangsberechtigung Tij für eine bestimmte Nachricht aij und bestimmte Knoten ui und lj vorausberechnen muss. Das liegt daran, dass es keinen direkten Kanal (Verbindungskabel oder Ähnliches) zum DDAM gibt. Folglich eignet sich die Kerberos-Konfiguration nicht für Situationen, bei denen entweder die zu authentifizierende Nachricht oder die Beteiligten nicht im Voraus bekannt sind. Das stellt eine wichtige Einschränkung dar, wenn bei der Anwendung erforderlich ist, dass zu Unterbrechungen führende Angriffe abgewehrt werden müssen.
  • Die Ausführlichkeit der Zugangszeichenfolge aij soll dem Leser anzeigen, dass das soeben beschriebene Protokoll nicht optimiert ist, sondern im Wesentlichen zur Veranschaulichung dient.
  • Konfiguration mit öffentlichem Schlüssel
  • Bei einer alternativen Konfiguration besitzen der DDAM und alle Benutzer innerhalb einer Verwaltungsdomäne ein Paar aus einem öffentlichen und einem geheimen Schlüssel. In jedem Schloss innerhalb einer Verwaltungsdomäne ist dann der öffentliche Schlüssel des DDAM installiert. Der DDAM bestätigt dann die Gültigkeit der öffentlichen Schlüssel aller Benutzer innerhalb seiner Verwaltungsdomäne.
  • Das Zugangstoken für den Benutzer ui durch die Tür lj entspricht der Signatur des DDAM in der Nachricht aij entsprechend Gleichung. (1). Sobald ein Benutzer durch eine Tür gehen will, weist er dem Schloss das Token vor, welches die Signatur des DDAM prüft. Um ein Vortäuschen der Identität zu verhindern, fordert die Tür vom Benutzer, die Kenntnis des Chiffrierschlüssels nachzuweisen, der dem (vom DDAM bestätigten) öffentlichen Schlüssel des Benutzers entspricht.
  • Dieser Nachweis kann auf einem beliebigen Protokoll vom Abfrage-/Antworttyp basieren, wie es beispielsweise von C. P. Schnorr in „Efficient signature generation by smart cards", Journal of Cryptology, 4(3), S. 161 bis 174, 1991, oder von Uriel Feige et al. in „Zero-knowledge proofs of identity", Journal of Cryptology: the journal of the International Association for Cryptologic Research, 1(2), S. 77 bis 94, 1988, oder von Jean-Jacques Quisquater und Louis Guillou in „A practical zero-knowledge protocol fitted to security microprocessor minimizing both transmission and memory" in Christoph G. Gunther (Herausgeber), Advances in Cryptology – EUROCRYPT88, Lecture Notes in Computer Science, Band 330, S. 123 bis 128, Springer-Verlag, Mai 1988, beschrieben wurde.
  • Die oben dargelegte Lösung trennt den Berechtigungsnachweis des Benutzers von seinem öffentlichen Schlüssel. Somit kann Alices Berechtigungsnachweis zur betreffenden Tür transportiert werden, ohne dass Alice eingreifen muss. Um einen neuen Berechtigungsnachweis nutzen zu können, muss Alice lediglich ihre Identität nachweisen. Sie muss weder einen neuen geheimen Schlüssel vom DDAM erhalten noch ihren öffentlichen Schlüssel ändern. Der neue Berechtigungsnachweis ist für Alice transparent. Wenn hingegen jeder Berechtigungsnachweis von Alice mit einem ihrer entsprechenden geheimen Schlüssel verknüpft worden wäre, müsste sie bei jeder Änderung ihres Berechtigungsnachweises über einen sicheren Kanal Verbindung zum DDAM aufnehmen.
  • Bei dem Quisquater-Guillou-Protokoll (siehe oben) beispielsweise würde der DDAM Alice ihren neuen Berechtigungsnachweis in Form der Zeichenfolge J und einen entsprechenden geheimen Schlüssel B zusenden, sodass JBv = 1 mod n (4)ist, wobei n ein öffentlicher Modul und v ein öffentlicher Exponent ist. Mit φ werde die Eulersche Funktion φ bezeichnet. Nur der DDAM kennt die Umkehrfunktion von v mod φ(n) und kann effektiv den Wert B berechnen und die Gleichung (4) überprüfen.
  • Um die durch J gewährten Zugangsrechte zu ermöglichen, fragt das jeweilige Schloss von Alice eine Zufallszahl ab und überprüft, ob sie die dem Wert J entsprechende Geheimzahl B kennt. Auch hier gibt Alice im Ergebnis des Abfrage-/Antwortprotokolls den geheimen Schlüssel B nicht preis. Man beachte, dass der DDAM den geheimen Schlüssel B über einen sicheren Kanal zu Alice senden muss.
  • Eingabe falscher Bestätigungen
  • Wenn es einem Angreifer gelingt, eine Bestätigungsnachricht mit einer hohen Folgenummer einzugeben, löschen alle Zwischenknoten die Pakete mit einer niedrigeren Folgenummer. Obwohl dieser Unterbrechungsangriff letztlich entdeckt wird, unterbricht er kurzzeitig sämtliche Datenübertragungen zwischen dem DDAM und den Schlössern.
  • Bei einer anderen Angriffsvariante kann ein Angreifer unter der Voraussetzung, dass neuere Nachrichten eine höhere Priorität besitzen, Schlösser mit Nachrichten überfluten, indem er gefälschte Pakete mit hohen Folgenummern sendet. Die Zwischenknoten sehen solche Pakete als neuere Pakete an und löschen echte Nachrichten mit niedrigeren Folgenummern. Auch dies führt zu einer Unterbrechung der Datenübertragung.
  • Anwendungen mit hohen Sicherheitsanforderungen, insbesondere solche für einen weit verbreiteten Einsatz, erfordern die Authentifizierung aller Nachrichten, einschließlich der Bestätigungen. Das bedeutet, dass alle Knoten, d. h. alle Türen/Schlösser, Benutzer und der DDRM, über einen vom DDAM bestätigten öffentlichen Schlüssel verfügen.
  • Die Konfiguration vom Kerberos-Typ mit dem gemeinsam genutzten geheimen Schlüssel ermöglicht nicht die Authentifizierung von Nachrichten für zwei dynamisch ausgewählte Partner. Somit können Unterbrechungsangriffe nur bei der Konfiguration mit dem öffentlichen Schlüssel verhindert werden.
  • Aus der obigen Erörterung der unterschiedlichen Auswirkungen einer Architektur mit gemeinsam genutztem bzw. mit öffentlichem Schlüssel auf die Sicherheit sollte klar sein, dass sich wegen der explosionsartig zunehmenden Anzahl von Schlüsseln eine Architektur mit gemeinsam genutztem Schlüssel nur für Anwendungen mit geringen Sicherheitsanforderungen oder für Systeme im kleineren Maßstab eignet, während bei Anwendungen mit hohen Sicherheitsanforderungen oder für universell eingesetzte Systeme eine Verschlüsselung mit öffentlichen Schlüsseln erforderlich ist.
  • Aus der Beschreibung sollte auch klar sein, dass die oben im vorliegenden Dokument beschriebene erfindungsgemäße flexible Architektur zur Gewährleistung der physischen Sicherheit mittels elektronischer Schlösser und physischer Schlüssel keinen permanenten Kanal zwischen den Schlössern und einer zentralen Zugangsverwaltung erfordert. Das sich infolge der fehlenden permanenten Verbindung ergebende Problem der rechtzeitigen Weiterverbreitung von Zugangskontrollinformationen wird dadurch gelöst, dass die Benutzer als Übertragungskanäle und die Schlösser als Nachrichtenspeicher fungieren.

Claims (16)

  1. Zugangskontrollsystem mit einer Vielzahl von Schlössern und Schlüsseln, wobei mindestens ein Teil der Schlösser und Schlüssel über Speichermittel verfügt, dadurch gekennzeichnet, dass – die Speichermittel eines Schlüssels so beschaffen sind, dass sie Informationen über Zugangsrechte des Schlüssels sowie für andere Schlüssel und/oder Schlösser vorgesehene Informationen empfangen und speichern, – die Speichermittel eines Schlosses so beschaffen sind, dass sie Informationen über Zugangsrechte für dieses Schloss sowie für andere Schlüssel und/oder Schlösser vorgesehene Informationen empfangen und speichern, – das Zugangskontrollsystem Mittel zum Austauschen der Informationen zwischen den Schlössern und Schlüsseln umfasst, und – es des Weiteren eine Bestätigungsnachricht umfasst, welche durch ein n-tes Schloss oder einen n-ten Schlüssel erzeugt werden kann und den Empfang einer Originalnachricht bestätigt sowie zum Steuern des Löschens von Kopien der Originalnachricht in den Speichern der Schlösser und Schlüssel dient.
  2. Zugangskontrollsystem nach Anspruch 1, bei welchem – die Informationen über die Zugangsrechte eines Schlüssels ein oder mehrere Token beinhalten und/oder die für andere Schlüssel und/oder Schlösser vorgesehenen Informationen eine oder mehrere Nachrichten für diese Schlüssel und/oder Schlösser beinhalten.
  3. Zugangskontrollsystem nach einem der vorangehenden Ansprüche, bei welchem – die Speichermittel im Schlüssel und/oder im Schloss mindestens ein Teilbild des Systems speichern und – die Austauschungsmittel eine Aktualisierung dieses Bildes auslösen.
  4. Zugangskontrollsystem nach Anspruch 3, bei welchem – die von den Austauschungsmitteln ausgelöste Aktualisierung offline erfolgt, insbesondere unmittelbar nachdem die Austauschmittel ihre Funktion vollständig ausgeführt haben.
  5. Zugangskontrollsystem nach einem der vorangehenden Ansprüche, bei welchem – die für andere Schlüssel und/oder Schlösser vorgesehenen Informationen eine oder mehrere Nachrichten für diese anderen Schlüssel und/oder Schlösser beinhalten und offline zwischen einem Schlüssel und einem Schloss ausgetauscht werden.
  6. Zugangskontrollsystem nach einem der vorangehenden Ansprüche, bei welchem – die Mittel für den Informationsaustausch zwischen einem Schloss und einem Schlüssel aktiviert werden, wenn der Schlüssel in das Schloss gesteckt wird.
  7. Benutzung eines Schlüssels in einem Zugangskontrollsystem nach einem der vorangehenden Ansprüche, wobei – die Speichermittel einen Lese-/Schreibabschnitt beinhalten, der den für andere Schlüssel und/oder Schlösser vorgesehenen Informationen vorbehalten ist.
  8. Benutzung des Schlüssels nach Anspruch 7, gekennzeichnet durch – eine Stromquelle, die vorzugsweise wieder aufgeladen werden kann, wenn dieser Schlüssel in Verbindung mit einem Schloss benutzt wird.
  9. Benutzung eines Schlosses in einem Zugangskontrollsystem nach einem der Ansprüche 1 bis 6, wobei – die Speichermittel einen Lese-/Schreibabschnitt beinhalten, der den für andere Schlüssel und/oder Schlösser vorgesehenen Informationen vorbehalten ist.
  10. Benutzung des Schlosses nach Anspruch 9, gekennzeichnet durch – eine Stromquelle, die vorzugsweise wieder aufgeladen werden kann, wenn ein Schlüssel in Verbindung mit diesem Schloss benutzt wird.
  11. Verfahren zum Weitergeben von Informationen in einem elektronischen Schloss-und-Schlüssel-System, dadurch gekennzeichnet, dass – eine zu einem n-ten Schloss oder Schlüssel weiterzuleitende Originalnachricht in einen Speicher eines ersten Schlüssels bzw. eines ersten Schlosses eingegeben wird, – die Originalnachricht bei jeder Benutzung des ersten Schlüssels oder des ersten Schlosses in einen Speicher eines zweiten Schlosses bzw. Schlüssels kopiert wird, aber weiterhin im Speicher des ersten Schlüssels bzw. des ersten Schlosses verbleibt, – die Originalnachricht bei jeder folgenden Benutzung des ersten und/oder zweiten Schlüssels und/oder des ersten und/oder zweiten Schlosses in einen Speicher eines nächsten Schlosses bzw. Schlüssels kopiert wird, aber in den Speichern der zuvor benutzten Schlösser und/oder Schlüssel verbleibt, – bis die nach dem beschriebenen Schneeballprinzip weitergeleitete Originalnachricht ihr Ziel, d. h. das n-te Schloss oder den n-ten Schlüssel, erreicht, und – das n-te Schloss oder der n-te Schlüssel eine Bestätigungsnachricht zur Bestätigung des Empfangs der Originalnachricht erzeugt, wobei die Bestätigungsnachricht zum Steuern des Löschens der Kopien der Originalnachricht in den Speichern der Schlösser und Schlüssel dient.
  12. Verfahren zum Weitergeben von Informationen nach Anspruch 11, welches ferner dadurch gekennzeichnet ist, dass – die Bestätigungsnachricht in derselben Weise wie die Originalnachricht durch das System weitergeleitet wird, und – die Bestätigungsnachricht, wenn sie von einem Schloss oder einem Schlüssel, dessen Speicher noch eine Kopie der Originalnachricht enthält, empfangen wird, insbesondere bewirkt, dass die Originalnachricht gelöscht wird.
  13. Verfahren zum Weiterleiten von Informationen nach einem der Ansprüche 11 bis 12, welches ferner dadurch gekennzeichnet ist, dass – nach Überschreitung eines ausgewählten oder allgemeinen Zeitlimits Kopien der Originalnachricht selektiv oder allgemein gelöscht werden.
  14. Verfahren zum Weiterleiten von Informationen nach einem der Ansprüche 11 bis 13, bei welchem – Originalnachrichten und/oder Bestätigungsnachrichten, insbesondere solche, die dasselbe Schloss oder denselben Schlüssel betreffen, geordnet und insbesondere der Reihe nach nummeriert werden.
  15. Verfahren zum Weiterleiten von Informationen nach Anspruch 14, welches ferner dadurch gekennzeichnet ist, dass – jede Nachricht mit niedrigerer Ordnung, insbesondere mit einer niedrigeren Folgenummer, im jeweiligen Speicher gelöscht wird, wenn während der Weiterleitung eine Nachricht mit höherer Ordnung, insbesondere mit einer höheren Folgenummer, von einem Schloss oder einem Schlüssel empfangen wird.
  16. Verfahren zum Weiterleiten von Informationen nach einem der vorangehenden Ansprüche 11 bis 15, bei welchem – Originalnachrichten und/oder Bestätigungsnachrichten vollständig oder teilweise verschlüsselt werden, wobei insbesondere ein Verschlüsselungsschema mit einem gemeinsam genutzten geheimen Schlüssel und/oder mit einem öffentlichen Schlüssel verwendet wird.
DE69924349T 1999-01-28 1999-01-28 Elektronisches Zugangskontrollsystem und Verfahren Expired - Lifetime DE69924349T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP99101806A EP1024239B1 (de) 1999-01-28 1999-01-28 Elektronisches Zugangskontrollsystem und Verfahren

Publications (2)

Publication Number Publication Date
DE69924349D1 DE69924349D1 (de) 2005-04-28
DE69924349T2 true DE69924349T2 (de) 2006-02-09

Family

ID=8237455

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69924349T Expired - Lifetime DE69924349T2 (de) 1999-01-28 1999-01-28 Elektronisches Zugangskontrollsystem und Verfahren

Country Status (10)

Country Link
US (1) US6981142B1 (de)
EP (1) EP1024239B1 (de)
JP (1) JP3485254B2 (de)
AU (1) AU1793400A (de)
CA (1) CA2323146A1 (de)
DE (1) DE69924349T2 (de)
ES (1) ES2236973T3 (de)
MY (1) MY125905A (de)
TW (1) TW462173B (de)
WO (1) WO2000045016A1 (de)

Families Citing this family (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7716486B2 (en) 1995-10-02 2010-05-11 Corestreet, Ltd. Controlling group access to doors
US8015597B2 (en) 1995-10-02 2011-09-06 Corestreet, Ltd. Disseminating additional data used for controlling access
US8732457B2 (en) 1995-10-02 2014-05-20 Assa Abloy Ab Scalable certificate validation and simplified PKI management
US7822989B2 (en) 1995-10-02 2010-10-26 Corestreet, Ltd. Controlling access to an area
US8261319B2 (en) 1995-10-24 2012-09-04 Corestreet, Ltd. Logging access attempts to an area
US9230375B2 (en) 2002-04-08 2016-01-05 Assa Abloy Ab Physical access control
SE517465C2 (sv) * 2000-03-10 2002-06-11 Assa Abloy Ab Metod för att auktorisera en nyckel- eller låsanordning, elektromekanisk nyckel- och låsanordning och nyckel- och låssystem
CA2324679A1 (en) 2000-10-26 2002-04-26 Lochisle Inc. Method and system for physical access control using wireless connection to a network
ATE463810T1 (de) * 2001-12-21 2010-04-15 Kaba Ag Verfahren zur regelung des zutrittsregimes zu einem objekt
ES2190762B1 (es) * 2002-01-15 2004-06-01 Universitat Politecnica De Catalunya Procedimiento de expedicion y validacion de documentos.
WO2003088166A2 (en) * 2002-04-08 2003-10-23 Corestreet, Ltd. Physical access control
US20040107345A1 (en) * 2002-10-21 2004-06-03 Brandt David D. System and methodology providing automation security protocols and intrusion detection in an industrial controller environment
US9009084B2 (en) 2002-10-21 2015-04-14 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis and network intrusion protection in an industrial environment
US20040153171A1 (en) * 2002-10-21 2004-08-05 Brandt David D. System and methodology providing automation security architecture in an industrial controller environment
US8909926B2 (en) * 2002-10-21 2014-12-09 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis, validation, and learning in an industrial controller environment
AU2004239780B2 (en) 2003-05-13 2009-08-27 Assa Abloy Ab Efficient and secure data currentness systems
WO2005001653A2 (en) 2003-06-24 2005-01-06 Corestreet, Ltd. Access control
WO2005010685A2 (en) * 2003-07-18 2005-02-03 Corestreet, Ltd. Controlling access to an area
AU2004294164B2 (en) 2003-11-19 2010-06-10 Assa Abloy Ab Distributed delegated path discovery and validation
US20050154879A1 (en) 2004-01-09 2005-07-14 David Engberg Batch OCSP and batch distributed OCSP
US20050154878A1 (en) * 2004-01-09 2005-07-14 David Engberg Signature-efficient real time credentials for OCSP and distributed OCSP
US20110140838A1 (en) * 2004-02-05 2011-06-16 Salto Systems, S.L. Access control system
ES2253971B1 (es) * 2004-02-05 2007-07-16 Salto Systems, S.L. Sistema de control de acceso.
WO2006021047A1 (en) * 2004-08-27 2006-03-02 Honeywell Limited An access control system and a method of access control
AT502458B1 (de) * 2005-03-03 2010-10-15 Evva Sicherheitssysteme Gmbh Zutrittskontrollanlage
WO2007002196A2 (en) * 2005-06-21 2007-01-04 Corestreet, Ltd. Preventing identity theft
US20080077976A1 (en) * 2006-09-27 2008-03-27 Rockwell Automation Technologies, Inc. Cryptographic authentication protocol
US8271642B1 (en) 2007-08-29 2012-09-18 Mcafee, Inc. System, method, and computer program product for isolating a device associated with at least potential data leakage activity, based on user input
PT2043055T (pt) 2007-09-28 2020-09-29 Iloq Oy Sistema de administração de fechaduras
US8052060B2 (en) * 2008-09-25 2011-11-08 Utc Fire & Security Americas Corporation, Inc. Physical access control system with smartcard and methods of operating
US8319606B2 (en) 2009-10-29 2012-11-27 Corestreet, Ltd. Universal validation module for access control systems
EP2348490B1 (de) * 2009-12-22 2020-03-04 9Solutions Oy Zugangskontrollsystem
PL2821970T5 (pl) 2013-07-05 2019-12-31 Assa Abloy Ab Urządzenie komunikacyjne kontroli dostępu, sposób, program komputerowy i produkt programu komputerowego
EP2821972B1 (de) 2013-07-05 2020-04-08 Assa Abloy Ab Schlüsselvorrichtung und zugehöriges Verfahren, Computerprogramm und Computerprogrammprodukt
DE102014105241A1 (de) 2013-12-05 2015-06-11 Deutsche Post Ag Verriegelungseinheit, Gehäuse mit Verriegelungseinheit und Verfahren zum Entriegeln von ein oder mehreren Türen des Gehäuses
CN104299307B (zh) * 2014-11-11 2016-08-31 国网冀北电力有限公司廊坊供电公司 锁群管理系统
ES2611784B1 (es) * 2015-11-10 2018-03-05 Jma Alejandro Altuna, S.L.U. Sistema y método de duplicado de elementos de apertura de cerraduras
DE102016104530A1 (de) 2016-03-11 2017-09-14 Huf Hülsbeck & Fürst Gmbh & Co. Kg Verfahren zur Kontrolle des Zugriffs auf Fahrzeuge
FR3073998B1 (fr) * 2017-11-23 2019-11-01 In Webo Technologies Procede numerique de controle d'acces a un objet, une ressource ou service par un utilisateur
AT522608A1 (de) 2019-05-16 2020-12-15 Evva Sicherheitstechnologie Verfahren zum Betreiben eines Zutrittskontrollsystems sowie Zutrittskontrollsystem
US11776341B2 (en) 2019-09-11 2023-10-03 Carrier Corporation Intruder detection through lock reporting
CN111243135A (zh) * 2020-01-09 2020-06-05 武汉天喻聚联网络有限公司 一种智能锁离线开锁系统
CN111899380A (zh) * 2020-07-07 2020-11-06 广东臣家智能科技股份有限公司 一种智能锁管理方法及智能锁管理系统
FR3132374B1 (fr) 2022-02-03 2024-02-16 Cogelec Procédé de contrôle d’accès à des bâtiments
FR3132373B1 (fr) 2022-02-03 2024-01-05 Cogelec Procédé de contrôle d’accès à des bâtiments
FR3132372B1 (fr) 2022-02-03 2023-12-22 Cogelec Procédé de contrôle d’accès à des bâtiments
EP4332920A1 (de) * 2022-08-30 2024-03-06 dormakaba Schweiz AG Verfahren und vorrichtungen zum verwalten des zugangs für ein verwaltetes wohnhaus

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4677284A (en) * 1985-08-22 1987-06-30 Genest Leonard Joseph Multi-access security system
US6822553B1 (en) * 1985-10-16 2004-11-23 Ge Interlogix, Inc. Secure entry system with radio reprogramming
US4887292A (en) * 1985-12-30 1989-12-12 Supra Products, Inc. Electronic lock system with improved data dissemination
US4837822A (en) * 1986-04-08 1989-06-06 Schlage Lock Company Cryptographic based electronic lock system and method of operation
US4800255A (en) * 1986-08-22 1989-01-24 Datatrak, Inc. Electronic access card with visual display
JPH01299972A (ja) 1988-05-25 1989-12-04 Mirai Biru Kenkyu Kaihatsu Kk 入退室管理方式
JP2559520B2 (ja) 1990-03-26 1996-12-04 株式会社日立製作所 出入管理方法および出入管理システム
US6005487A (en) * 1990-05-11 1999-12-21 Medeco Security Locks, Inc. Electronic security system with novel electronic T-handle lock
US5204663A (en) 1990-05-21 1993-04-20 Applied Systems Institute, Inc. Smart card access control system
US5506575A (en) * 1991-09-25 1996-04-09 Ormos; Zoltan S. Key-lock system and method using interchange of system-originated codes
ES2106883T3 (es) * 1992-01-09 1997-11-16 Supra Prod Inc Sistema de entrada segura con comunicacion por radio.
US6552650B1 (en) * 1992-02-14 2003-04-22 Asil T. Gokcebay Coin collection lock and key
NL9300566A (nl) * 1993-03-31 1994-10-17 Nedap Nv Toegangsverleningssysteem met decentrale autorisaties.
US5485628A (en) * 1993-06-23 1996-01-16 Clements; Jay S. Renewal management system
US5397884A (en) * 1993-10-12 1995-03-14 Saliga; Thomas V. Electronic kay storing time-varying code segments generated by a central computer and operating with synchronized off-line locks
US5749253A (en) * 1994-03-30 1998-05-12 Dallas Semiconductor Corporation Electrical/mechanical access control systems and methods
JPH07233663A (ja) 1994-02-23 1995-09-05 Citizen Watch Co Ltd 電子錠システム
US5629981A (en) * 1994-07-29 1997-05-13 Texas Instruments Incorporated Information management and security system
US5709114A (en) * 1994-11-21 1998-01-20 Mas-Hamilton Group Keypad entry electronic combination lock with self-generated combination
FR2747813B1 (fr) 1996-04-19 1998-06-05 Poste Systeme securise de controle d'acces permettant l'invalidation automatique de cles electroniques volees ou perdues et/ou le transfert d'habilitation a produire des cles
US6097306A (en) * 1996-12-03 2000-08-01 E.J. Brooks Company Programmable lock and security system therefor
FR2760281B3 (fr) * 1997-03-03 1999-05-14 Working Services Procede de gestion electronique d'acces et cle a puce adaptee
US6212635B1 (en) * 1997-07-18 2001-04-03 David C. Reardon Network security system allowing access and modification to a security subsystem after initial installation when a master token is in place
US6318137B1 (en) * 1998-04-08 2001-11-20 David Chaum Electronic lock that can learn to recognize any ordinary key
US6347375B1 (en) * 1998-07-08 2002-02-12 Ontrack Data International, Inc Apparatus and method for remote virus diagnosis and repair

Also Published As

Publication number Publication date
EP1024239B1 (de) 2005-03-23
TW462173B (en) 2001-11-01
AU1793400A (en) 2000-08-18
WO2000045016A1 (en) 2000-08-03
EP1024239A1 (de) 2000-08-02
MY125905A (en) 2006-08-30
CA2323146A1 (en) 2000-08-03
JP3485254B2 (ja) 2004-01-13
DE69924349D1 (de) 2005-04-28
ES2236973T3 (es) 2005-07-16
JP2000224163A (ja) 2000-08-11
US6981142B1 (en) 2005-12-27

Similar Documents

Publication Publication Date Title
DE69924349T2 (de) Elektronisches Zugangskontrollsystem und Verfahren
DE60221880T2 (de) System und verfahren zur erzeugung eines gesicherten netzes unter verwendung von beglaubigungen von verfahrensgruppen
DE60029217T2 (de) Verfahren und vorrichtung zum initialisieren von sicheren verbindungen zwischen und nur zwischen zueinandergehörenden schnurlosen einrichtungen
DE69433509T2 (de) Verfahren und einrichtung zur sicheren identifizierung eines mobilen teilnehmers in einem kommunikationsnetz
DE60114986T2 (de) Verfahren zur herausgabe einer elektronischen identität
EP0063794B1 (de) Gerät und Verfahren zur Identitätsüberprüfung
EP1336937A1 (de) Zutrittskontrollsystem, Zutrittskontrollverfahren und dafur geeignete Vorrichtungen
WO2016008659A1 (de) Verfahren und eine vorrichtung zur absicherung von zugriffen auf wallets in denen kryptowährungen abgelegt sind
DE69734757T2 (de) Inhaltübertragungskontrollverfahren mit Benutzerauthentifizierungsfunktionen
DE69823334T2 (de) Gesichertes paketfunknetzwerk
DE10124427A1 (de) System und Verfahren für einen sicheren Vergleich eines gemeinsamen Geheimnisses von Kommunikationsgeräten
AT512419A1 (de) Verfahren und vorrichtung zur zutrittskontrolle
AT504634B1 (de) Verfahren zum transferieren von verschlüsselten nachrichten
AT506735A2 (de) Verteilte datenspeicherungseinrichtung
EP1721235B1 (de) Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes
EP3114600B1 (de) Sicherheitssystem mit zugriffskontrolle
WO2018166942A1 (de) Verfahren zur zugangskontrolle
DE102010019467A1 (de) Kontaktlos arbeitendes Zugangssystem
DE102018002466A1 (de) Verfahren und Anordnung zum Herstellen einer sicheren Datenübertragungsverbindung
EP4080473A1 (de) Verfahren und vorrichtung zum gewähren von zugang zu fächern einer fachanlage
EP0304547A2 (de) Gerät zur Identitätsüberprüfung, Verfahren zur kryptografischen Identitätsüberprüfung und Verfahren zum Feststellen einer Unterbrechung zwischen einem Endgerät und einem Kommunikationssystem
EP1675298A1 (de) Verfahren zur Überprüfung der Identität einer ersten Entität gegenüber einer anderen Entität in einem System sowie System zum Durchführen des Verfahrens
EP1248432B1 (de) Verfahren und System zum Abfragen von Zertifikatsinformationen unter Verwendung von dynamischen Zertifikatsreferenzen
DE102013010171A1 (de) Rechnernetz, Netzknoten und Verfahren zur Bereitstellung von Zertifizierungsinformationen
DE102022000857B3 (de) Verfahren zur sicheren Identifizierung einer Person durch eine Verifikationsinstanz

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8320 Willingness to grant licences declared (paragraph 23)
8328 Change in the person/name/address of the agent

Representative=s name: DUSCHER, R., DIPL.-PHYS. DR.RER.NAT., PAT.-ANW., 7