EP1321901A2 - Verfahren zur Regelung des Zutrittsregimes zu einem Objekt - Google Patents

Verfahren zur Regelung des Zutrittsregimes zu einem Objekt Download PDF

Info

Publication number
EP1321901A2
EP1321901A2 EP02406101A EP02406101A EP1321901A2 EP 1321901 A2 EP1321901 A2 EP 1321901A2 EP 02406101 A EP02406101 A EP 02406101A EP 02406101 A EP02406101 A EP 02406101A EP 1321901 A2 EP1321901 A2 EP 1321901A2
Authority
EP
European Patent Office
Prior art keywords
unit
certificate
key
mobile
units
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
EP02406101A
Other languages
English (en)
French (fr)
Other versions
EP1321901B1 (de
EP1321901A3 (de
Inventor
Urs Dütschler
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaba AG
Original Assignee
Kaba AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaba AG filed Critical Kaba AG
Publication of EP1321901A2 publication Critical patent/EP1321901A2/de
Publication of EP1321901A3 publication Critical patent/EP1321901A3/de
Application granted granted Critical
Publication of EP1321901B1 publication Critical patent/EP1321901B1/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00571Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00896Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses
    • G07C9/00904Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses for hotels, motels, office buildings or the like
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/21Individual registration on entry or exit involving the use of a pass having a variable access code
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/215Individual registration on entry or exit involving the use of a pass the system having a variable access-code, e.g. varied as a function of time
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/27Individual registration on entry or exit involving the use of a pass with central registration
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00182Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with unidirectional data transmission between data carrier and locks
    • G07C2009/00238Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with unidirectional data transmission between data carrier and locks the transmittted data signal containing a code which is changed
    • G07C2009/00253Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with unidirectional data transmission between data carrier and locks the transmittted data signal containing a code which is changed dynamically, e.g. variable code - rolling code
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C2009/00634Power supply for the lock

Definitions

  • the invention relates to a method for regulating the access regime to one Object, a locking system, a mobile unit, a stationary unit, a Computer program and a computer program product according to the independent Claims.
  • Complicated and variable train access authorizations also result for the Authorization to access chemical cabinets (in hospitals, laboratories, etc.). The same applies - at a different security level - to schools where the Authorization to access classrooms and preparatory rooms frequently is subject.
  • Variable assignments of access authorizations also increasingly refer to different systems. So there are applications where a few key owners Should have access to different objects, the different systems belong. For example, a supplier might need access to Have storage rooms of different companies, of course each company has its own Locking system.
  • the international publication WO 93/21712 shows an electronic one Security system for payphones and other coin operated machines. at Such systems have the problem that different people for the Collecting the accumulated money are responsible. There is a danger from abuse, and key management is laborious. Therefore, according to the mentioned publication a portable connected to the key Housing presented, which over the public telephone network and a A list of ID codes can be assigned to the modem connection; if one of the ID codes An ID code for a locking cylinder is released. The ID codes can be transmitted encrypted.
  • the Memory in the key can be allocated a time window during which the key authorized to operate the locking cylinder.
  • the key can be on the portable Housing are supplied with energy and also the locking cylinder with energy supply. This system solves the problem of complex key management.
  • the invention basically chooses one compared to the prior art different approach.
  • the mobile units (“keys") are variably programmable and equipped with means of communication and storage means. Is in them the information can be stored and reprogrammed, which contains valid, missing information or wrong authorization decides. They are as the active ones communicative components trained and have, for example Energy supply. To release through the fixed units too received, the mobile units can obtain a certificate from a central office to transfer. This includes, for example, a code that is sent to the stationary unit passed and verified by this on the basis of stored information becomes.
  • Key-specific is meant to mean that everyone is physically present is verified differently, for example by adding data with one in a non-rewritable Key identification number stored in the data memory as 'seed number' is encrypted). Access authorizations are therefore not allowed in assigned on the basis of electronic data with the key as a data carrier, but the key is also physically a security element, and that individually.
  • the stationary units (“locking cylinders"), however, are exempt from the task manage the information about access authorizations etc.
  • the handover of a Codes that decide on access authorization from the mobile unit to the Fixed unit is done offline. That it is not necessary that during the Verification of the fixed or the mobile unit with a central in Communication connection is established.
  • the invention thus includes security elements in three components involved: The control center that manages the access authorizations, the key that is provided with characteristic information and the lock cylinder, in which information is stored, based on which consistency is checked becomes. All of these three security elements are relevant. One cannot, for example, without proceed to the current authorization of the head office. You can't even do it once Manipulated certificate transferred to another key and gain access with it. After all, even a certificate cannot be in any way of gaining access for someone other than that Use the lock cylinder provided. It has to be coherent - not just from volatile codes, but the physical elements - all three Components prevail.
  • the invention combines maximum flexibility of systems with purely electronic keys - such as that of international ones Publication WO 93/21712 - with a high degree of certainty Manipulation attempts.
  • purely electronic keys such as that of international ones Publication WO 93/21712 -
  • a security element of traditional, mechanical locking systems In contrast to these is the security element but cannot be avoided by mechanical copying.
  • the offline regulation of the release has massive advantages.
  • a supply of the Fixed unit with current data is not absolutely necessary.
  • the whole System can be easily expanded with additional units.
  • the stationary Units also do not have to be connectable online to a central unit. Nevertheless, a dynamic, constantly adapted to the circumstances Access authorizations are managed. This is an advantage in terms to the application examples mentioned at the beginning, where access to possibly very many objects with possibly difficult accessibility must be regulated.
  • the condition that the verification is key-specific is an important one Prerequisite for ensuring the security of the system. For example, at the electronic security systems described at the outset on a The existing information is copied to another data carrier and the latter are then manipulated, for example, around the 'time window' condition overcome. A manipulator only has to access at some point have had a key to then possibly much later and undetected To be able to make manipulations. This is the case with an inventive No action possible. If the information available on a key to another data carrier - e.g. to another stolen key - copied, they are worthless. In addition, the key-specific allows Verification also a clear logging of the lock cylinder side Access.
  • the keys are the active units of the system according to the invention
  • the security is not based solely on one Key transmitted code that must be correct and then by virtue of its coherence authorized to access, as is known from the prior art.
  • the locking cylinder must be based on Key characteristic data and based on a certificate determine whether there is an authorization.
  • the Security elements are either programmed on one side in the locking cylinder or one-sided in the key, the concept of 'networked' applies here 'entangled' security: there must be a coherence between key - as Physically existing entity - certificate and lock cylinder available: only then can be released.
  • the method according to the invention and the corresponding system bring advantages In terms of variability. As explained, the system as a whole can do without anything Restructuring continuously adapted to the circumstances. Access authorizations can also be easily assigned to mobile units which were not previously part of the system. It follows immediately another advantage: the scalability. The system enables the management of very few or very many fixed and mobile units without the System architecture needs to be changed.
  • the system also allows the Transmission and administration of very simple access certificates as well as of complex, hierarchical certificates.
  • the fixed Units designed very simply and always the same and on the basis of always be programmed using the same algorithms.
  • Fixed units of the system according to the invention can be designed such that they can be easily installed in existing doors or cupboards, which previously were provided with standard locking cylinders. This represents a major and decisive advantage in comparison to existing processes and systems, which introduce a variable, i.e. dynamic control of the access regime to attempt.
  • the invention thus offers an implementation and handling very simple solution for the task at hand.
  • the fixed units do not have up-to-date access authorization information upgradeable and therefore not networked at all.
  • the mobile units Energy supply means for example a battery.
  • the Power supply to the stationary units during access control can then done through the keys.
  • the mobile units don't even have to hang on the mains. Maintenance of the stationary units, for example Replacing batteries etc. is hardly necessary.
  • the certificates to be transmitted by a central unit can vary be designed. In a simple version of the invention, they only consist of the code which the stationary unit must recognize, as well as, for example Time window or an access quota.
  • a time window defines a certain time during which access is possible.
  • An access quota determines a certain one Number of accesses that are granted (for example, a single access ) Grants.
  • the code becomes bswp. transferred encrypted to the stationary unit, where a key-specific data (ID) for the decryption as, Seed Number 'can be used.
  • ID key-specific data
  • the certificate can also contain further information. Examples of such Data is an authorization hierarchy in more complex systems, but in the Contrast to conventional systems not through the key mechanism is implemented. For example, at the same time as an access authorization an access authorization for a certain object is automatically included associated objects of a lower hierarchical level.
  • the certificate can also include object identification and key identification.
  • An object identification can be used as an unchangeable and unique object identification symbol be formed, the object or the fixed unit can be clearly assigned. For example, it is set so that it doesn't even can be changed by a central unit.
  • the object identifier can serve to prevent tampering with the lock cylinders, e.g. cannot be monitored by a central unit.
  • a key identification mark is used to identify the keys and ensure that the certificates are transmitted to the desired mobile unit become.
  • the key identification sign does not have to be sent to the Lock cylinders are handed over.
  • no information has to flow from the locking cylinder to the key.
  • the key After receiving the certificate, the key then transmits an encrypted code, assigned to the locking cylinder and stored in it, together with the key-specific data (ID).
  • ID the key-specific data
  • the code to be transmitted can also be present instead of a fixed character as a function value f ID (A, t) of an essentially irreversible function of time and a function parameter A, where A characterizes the locking cylinder.
  • the key is only transmitted f ID (A, t), it has no possibility to determine A.
  • f ID (A, t) is also calculated for verification; if it is correct, it is released.
  • the Access regime in a two-step authorization process gets a certificate from the central unit, which gives him access to an object or a group of objects.
  • the certificate can also regulate that the key has only a limited access window or access quota is allocated. If the key comes into contact with a locking cylinder, in In a first step, a character identifying the locking cylinder from Lock cylinder transmitted to the key. This then checks against the in certificates available to him - he may have received more than one certificate and save - whether he has access to the object with this locking cylinder is justified. If this is not the case, the key remains passive and transmitted For example, no further information to the locking cylinder. If a certificate from If the key is in the affirmative, the key is transmitted as the second stage of the Proceed the code to the lock cylinder, whereupon the code is correct Approves access.
  • the central unit 1 is the control entity. For example, it can be identical to a control center of a monitoring company using the system according to the invention, a distribution company, etc. It can be operated by persons or implemented as software. It has means for communication with the mobile units 2 (hereinafter: keys).
  • the mobile units each have an energy source or an energy store as well as data processing and data storage means. In addition, they are equipped with communication means for transmitting data to the fixed units 3 (locking cylinders).
  • the term "stationary" means in the context of this application that the units are essentially stationary in operation in relation to an object to be secured. The term does not exclude that the locking cylinders are attached to a mobile object (vehicle, ship, etc.) nor that they can be transported from one object to another for assembly.
  • the object in which the stationary units are integrated is shown in the drawing symbolizes a box 4.
  • the stationary units 3 can, for example, externally as conventional lock cylinders should be designed and replace them. she have storage means and a data processing and transmission unit for Communication with the keys. However, both the integration of Energy sources or storage as well as the writeability of the storage optional and only available depending on the design of the system.
  • Each key 2 has, for example, an identification character K.
  • This Identification character K can also be used as a key-specific data record (ID) in of the type described above are used; but he can also from this to be different.
  • ID key-specific data record
  • the Key transmitted from this identifier.
  • the head office it is on determined or determined whether the holder of the key is authorized for has or should have access to the property. If access is to take place, then a certificate Z with the authorization code A (hereinafter mostly briefly called code) to the key.
  • code A in the certificate is always contained in a fixed package with the key identification character K included. (Then this is preferred not identical to the key-specific data record (ID)). This ensures that the code A only if the key identification for access is correct can justify. Code A is passed to the locking cylinder and there Verified. Then, if necessary, an approval is given.
  • the code is always accompanied by a Object identification O transmitted.
  • This serves as a clear and unchangeable Object identification mark and the lock cylinder together with the Pass code A for verification.
  • it is in the object implements that it cannot be changed by reprogramming.
  • the means of communication, via which data are transmitted between the central unit and the key, can be designed differently.
  • 2 shows a mobile communication apparatus 5 is shown schematically in addition to the components of FIG. 1
  • This has a modem or another means of communication for communication over a data network, for example the Internet. It can be designed, for example, as a battery-operated, portable device or installed in a vehicle or the like. It can exchange information with the key without contact via a radio frequency connection. Alternatively, there can also be a direct (cable, etc.) connection between the key 2 and the transmission device 5.
  • the transmission device can also be integrated in key 2.
  • FIG. 2 also shows how the above-mentioned object identification symbol O is handled, the transmission device of course not being able to be used only in systems that use the object identification symbol.
  • the key has a key blade 2.1, which can be worked out like conventional keys and has, for example, the mechanical coding of a passkey. It can also be configured differently and, for example, have no mechanical coding at all. Depending on the design of the locking cylinder, the locking system could also function without contact and the key therefore could have no key blade at all.
  • the key has a circuit board 2.2 on which processor means 2.3 and conductor tracks 2.4 and possibly additional electronic components are attached.
  • energy supply means 2.5 ie a battery, are arranged in the key. The battery, printed circuit board and conductor tracks are arranged so that the battery can supply the processor means with electrical energy.
  • the key also has a contact path 2.6 for communication, with a locking cylinder and / or for its energy supply. Furthermore, communication means 2.7 are also available, with which data can be exchanged without contact with a transmission device or cylinder.
  • FIG. 4 shows a diagram which shows some elements of a system according to the invention and their interaction.
  • a central unit 1, a transmission device 5, a key 2 and a locking cylinder 3 are shown in the figure.
  • the data transmission device, the key and the locking cylinder each have a processor unit 5.3, 2.3 or. 3.3. and a data storage and encryption unit 5.9, 2.9 respectively. 3.3.
  • the processor unit and / or the data storage and encryption unit can, for example, be manufactured in a manner known per se. For example, you can include a LEGIC® security module, which is only mentioned here as an example.
  • 3.3 are connected means 5.7, 2.7 respectively. 3.7 for contactless communication.
  • the key has energy supply means 2.5.
  • the energy supply means supply the microprocessor unit 2.3 and a timer 2.8 connected to it.
  • the transmission of data from the central unit to the transmission device takes place, for example, with known and common data transmission lines, Interface protocols, etc. with the help of the Internet.
  • the data transmission is preferably encrypted.
  • the channel for that Transfer of data between the software 1.1 of the central unit 1 and the Transmission device 5 is symbolized in the figure by a double arrow 11.
  • the microprocessor interface 12 is used for synchronization the microprocessors 5.3, 2.3 of the transmission device and the key.
  • the time is an important parameter in regulating the access regime, for example if only a time window for access is available. It can also be significant with regard to data and manipulation security, like that with examples will be explained.
  • the program interface 13 is used to exchange the mentioned data.
  • the program interface and the microprocessor interface need not to use physically different data transmission channels.
  • the data interface 14 is used to transfer data from the key to the Lock cylinder and possibly also in the opposite direction from Lock cylinder on the key. Via the power interface 15 Lock cylinder with the during the handover of the certificate to the Lock cylinder and electrical energy required during verification provided. This can be done continuously or at the beginning of the action in a short-term energy store of the locking cylinder.
  • FIG. 5 shows a central unit 1, some keys 2 and some objects 4 with locking cylinders 3.
  • the central unit 1 has information that is used to control the whole Enable the system.
  • two databases 1.1 and 1.2 are symbolic shown.
  • the first database contains updated information about the Objects, the second database 1.2 about the keys.
  • Each key and each lock cylinder can be identified using a corresponding identification symbol K i or P i .
  • the data about the objects can have a data structure which reflects the relationships between the objects.
  • a very simple example is shown in the figure:
  • the objects with the identification P 3 , P 4 and P 9 are, for example, parts of a superordinate structure.
  • the object P 9 is arranged in a simple model in an inner circle (superordinate), the objects P 3 and P 4 in an outer circle (subordinate).
  • the object P 9 can be a safe, which is in a room to be reached through doors P 3 and P 4 .
  • Access to the object in the inner circle requires access to an object in the outer circle, but not the other way around. This hierarchical relationship is reflected in the data in the central unit.
  • the key holders perform different functions and are therefore also equipped with different certificates: one security guard may only get access to subordinate objects, but in many different structures, a branch manager has access to all objects of a single Structure.
  • the object database 1.1 contains hierarchy archetypes B ;.
  • the hierarchy archetypes can, for example, directly contain the code A of the hierarchically subordinate objects.
  • Hierarchies corresponding to the hierarchy archetypes are adopted in the certificates.
  • the key database 1.2 contains certificate archetypes C i .
  • a security guard always has access to the same objects, but only once a night.
  • the certificates Z are produced on the basis of the archetypes and possibly current data.
  • the certificate archetypes contain, for example, references to hierarchy archetypes and not the entire content of the certificate archetypes.
  • individual elements of the archetypes can even be created in the key itself. But you definitely have to go through one of the central unit transmitted certificate can be activated.
  • Steps a, cf, i and j are the same as in example 1, but the certificate does not contain the actual code A but a value f ID (A, t 0 ), where t 0 is a point in time at which the key holder is authorized to access is.
  • the processor means of the locking cylinder are supplied with the current time t by a timer 2.8 in the key.
  • the comparison then takes place between f ID (A, t 0 ) and f ID (A, t).
  • the condition to be fulfilled for an approval can be that the difference between the values f ID (A, t 0 ) and f ID (A, t) does not exceed a certain threshold value, the function f then having to be continuous and standardized.
  • the authorization is given not only at a time t 0 (or in a time window surrounding it) but also periodically, for example daily at a certain time.
  • a value f ID (A, t 0 ) is transmitted, where n represents the number of times the key holder has had access so far.
  • this example works analogously to a strike list principle.
  • the certificate is issued by the central unit transmitted without a previous request signal. For example, be useful if the key holder is a security guard or a Suppliers heard and at the same time with the authorization from the headquarters Unit an order is issued.
  • the holder of the key goes to the object to which he has access would like to.
  • a first step he puts the key in the lock cylinder Object.
  • the key will not have a certificate that it authorized to access the property, and there is no release.
  • the locking cylinder passes on information that characterizes it - for example Object identification symbol O - to the key. This transmits the Characteristic information to the head office, for what if necessary Communication module as the mobile transmission device 5 is used.
  • the head office decides whether the key holder is at a time one-time access. This can be done in an unmanned headquarters based on table values or other characteristics.
  • the control center can provide additional security - possibly automated - to the suspected Call the holder of the key, e.g. on his cell phone, and his identity and Check intentions.
  • An unmanned control center can check the identity, by it and a certain statement - for example an agreed code word - from him polls and the voice of the called party with saved voice recordings compares. Then the head office sends a certificate to the key, and it is as in one of the examples discussed above.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Lock And Its Accessories (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

Die Erfindung betrifft Schliesssysteme mit mobilen Einheiten (2) ("Schlüsseln") und ortsfesten Einheiten ("Schliesszylindern"), wobei die ortsfesten Einheiten ein Objekt in Abhängigkeit von einem Informationsaustausch mit einer mit ihnen in Verbindung stehenden ortsfesten Einheit freigeben können. Die mobilen Einheiten (2) sind variabel programmierbar und mit Kommunikationsmitteln sowie mit Speichermitteln ausgestattet. In ihnen ist die Information speicher- und umprogrammierbar, welche über gültige Berechtigung bzw. fehlende oder falsche Berechtigung entscheidet. Sie sind als die aktiven, intelligenten, kommunikationsfähigen Komponenten ausgebildet und weisen bspw. selbst Energieversorgungsmittel auf. Um eine Freigebe durch die ortsfesten Einheiten zu erhalten, lassen sich die mobilen Einheiten von einer Zentrale ein Zertifikat übermitteln. Dieses beinhaltet bspw. einen Code, welcher an die ortsfeste Einheit zu übergeben ist. Die ortsfesten Einheiten ("Schliesszylinder") sind hingegen von der Aufgabe befreit, die Information über Zugangsberechtigungen etc. zu verwalten. Die Übergabe eines Codes, der über die Zutrittsberechtigung entscheidet, von der mobilen Einheit an die ortsfeste Einheit erfolgt offline und es ist nicht notwendig, dass während der Verifikation die ortsfeste oder die mobile Einheit mit einer Zentrale in Kommunikationsverbindung steht. <IMAGE>

Description

Die Erfindung betrifft ein Verfahren zur Regelung des Zutrittsregimes zu einem Objekt, ein Schliesssystem eine mobile Einheit, eine ortsfeste Einheit, ein Computerprogramm und ein Computerprogrammprodukt gemäss den unabhängigen Ansprüchen.
Traditionelle Schliesssysteme beruhen, auch wenn sie mit neusten Technologien verwirklicht sind, auf einem einheitlichen Prinzip. Mit mobilen Einheiten ("Schlüsseln") wird eine Freigabe in festen Einheiten ("Schliesszylindern") erwirkt. Die mobilen Einheiten besitzen eine fixe mechanische oder elektronische Codierung, während die feste Einheiten mechanisch oder elektronisch programmiert sind, so dass nur bei mobilen Einheiten mit bestimmten Codierungen eine Freigabe durch die ortsfesten Einheiten erfolgt. Moderne, elektronische Schliesssysteme sehen dabei vor, dass die Programmierung der ortsfesten Einheiten immer wieder abgeändert und aktualisiert werden kann.
Traditionelle Schliesssysteme bieten einen guten Schutz für einzelne Objekte mit klar geregelten Zugangsberechtigungen. Es können aber Probleme entstehen, wenn die zu schützenden, mit einem bestimmten Schlüssel zugänglichen Objekte territorial verteilt sind. Ebenfalls können Probleme entstehen, wenn die Gruppe der Zugangsberechtigten nicht von vornherein definiert ist und rasche und wiederholte Änderungen der Zutrittsberechtigungen zu erwarten sind. Dies gilt insbesondere auch, wenn die Freigabe jeweils nur für kurze Zeitabschnitte erfolgen soll.
Solche Schliesssysteme sind sicher die beste Wahl wenn viele Partizipienten mit zentral zu vergebenden Zugangsberechtigungen Zugang zu einem Objekt haben, das durch verhältnismässig wenige Schlösser geschützt ist. Dies ist bspw. bei einem Firmengebäude der Fall, wo einige Türen von vielen Angestellten benutzt werden.
Es gibt aber immer mehr Anwendungen, wo Zutrittsberechtigungen variabel vergeben werden sollen. Auch gibt es Anwendungen, wo viele potentielle Zylinder, die auch räumlich verteilt sein können, durch wenige Schlüsselbesitzer bedient werden sollen.
Ein Beispiel: Im Mobiltelefonbereich werden Anlagen in bisher durch staatliche oder halbstaatliche Institutionen kontrollierten Objekten zunehmend von Mobiltelefonbetreibern gewartet. Es kommt auch vor, dass die Anlagen Dritten gegen Miete zur Verfügung gestellt werden. Die Objekte, bspw. Tunnelanlagen, Kirchtürme, Gemeindehäuser etc. sind auf einem grossen territorialen Gebiet verteilt und lassen sich aus wirtschaftlichen oder technischen Gründen nicht durch Kabel oder Funk in ein Netz einbinden. Sie weisen eine Vielzahl von Systemen auf, welche von externen und internen Technikern gewartet werden müssen. Das Schlüsselmanagement wird daher zunehmend schwieriger. Auch muss eine Vielzahl von Schliesszylindern ausgewechselt werden, wenn eine einzige Person einen Schlüssel oder gar einen Generalschlüssel verliert. Die Absicherung von unter Sicherheitsaspekten kritischen Anlagen ist nicht vollständig gewährleistet, insbesondere in der Zeit zwischen einem Schlüsselverlust und dem Abschluss des Schliesszylinder-Austauschs.
Weitere Beispiele für Zugangsberechtigungen zu territorial weit verteilten Objekten finden sich bei der Tätigkeit von Überwachungsfirmen und Transportunternehmen, im Tiefbau etc. Eine ähnliche Problemstellung ist im Bereich Online-Shopping mit Hauslieferung denkbar. Es wäre wünschenswert, wenn bei Abwesenheit des Belieferten die Lieferung in ein abschliessbares Objekt erfolgen könnte.
Ebenfalls komplizierte und variable Zugansberechtigungen ergeben sich für die Zugangsberechtigung zu Chemieschränken (in Spitälern, Laboratorien etc.). Ähnliches gilt - auf einer anderen Sicherheitsstufe - für Schulen, wo die Zugangsberechtigung zu Klassen- und Vorbeiteitungszimmern häufigen Wechseln unterworfen ist.
Variable Vergaben von Zutrittsberechtigungen beziehen sich auch immer öfter auf verschiedene Systeme. So gibt es Anwendungen, wo einige wenige Schlüsselbesitzer Zugang zu verschiedenen Objekten haben sollten, die verschiedenen Systemen angehören. So sollte beispielsweise ein Lieferant möglicherweise Zugang zu Lagerräumen verschiedener Firmen haben, wobei natürlich jede Firma ein eigenes Schliesssystem hat.
Bereits existieren Ansätze zu technischen Lösungen, die diesen geänderten Umständen Rechnung tragen. Beispielsweise gibt es Systeme mit elektronischen Schlüsseln und elektronischen Schlössern, bei denen der Schlüssel eine unter Umständen zeitlich begrenzte Freigabe erhalten kann. Jeder Zugang zum geschützten Objekt wird schloss- und schlüsselseitig on-line protokolliert. Aspekte eines solchen Systems sind bspw. in der US-Patentschrift 4,988, 987 beschrieben. Sowohl die Zylinder als auch die Schlüssel müssen in diesen Systemen von einer Zentrale programmiert werden. Das ist nachteilig in den Fällen der oben erwähnten Anwendungen, wo die mit Schlössern versehenen Objekte geografisch weit verstreut und unter Umständen auch schwer zugänglich sind. Ausserdem stellt ein solcher online-Ansatz hohe Anforderungen an Kommunikationsverbindungen, deren Verfügbarkeit, Protokolle etc.
Eine weiterer Ansatz wird bspw. in der schweizerischen Patentanmeldung 01365/00 beschrieben. Feststationen eines bspw. berührungslosen Systems fungieren als Schliesszylinder. Die Feststationen werden über ein Kommunikationsmedium, bspw. das Internet, aufdatiert. Die mobilen Einheiten können dann über eine Feststation initialisiert werden. Dieser Ansatz bedingt aber, dass die Schlösser vernetzt sind und je nach Ausgestaltung als Feststation auch technisch aufwändig konstruiert und gross sind.
Lösungen dieser Art stellen eine Erweiterung des konventionellen Konzepts durch Sicherheits- und Überwachungsfeatures dar. Durch einen erheblichen technischen Aufwand erlauben sie eine verbesserte Kontrolle über erfolgte Zugänge. Sie sind aber in der Herstellung relativ kompliziert und daher teuer. Auch ist ihre Bedienung umständlich, wodurch sie wenig geeignet sind für einen alltäglichen Gebrauch durch Nicht-Fachleute. Ausserdem bedingen Sie, dass die ortsfesten Einheiten Energiequellen besitzen. Wenn solche durch Batterien gebildet werden, benötigen sie viel Platz, wenn die Funktionsfähigkeit über eine längere Zeit gewährleistet werden soll und viele Zutritte zu erwarten sind.
Die internationale Offenlegungsschrift WO 93/21712 zeigt ein elektronisches Sicherheitssystem für Münztelefone und andere Automaten mit Münzeinwurf. Bei solchen Systemen stellt sich das Problem, dass verschiedene Personen für das Einsammeln des angesammelten Geldes verantwortlich sind. Es besteht die Gefahr von Missbrauch, und die Schlüsselverwaltung ist aufwändig. Daher wird gemäss der genannten Offenlegungsschrift ein mit dem Schlüssel verbundenes tragbares Gehäuse vorgestellt, welchem über das öffentliche Telefonnetz und eine Modemverbindung eine Liste von ID-Codes zugeteilt werden; wenn einer der ID-Codes einem ID-Code eines Schliesszylinders entspricht erfolgt eine Freigabe. Die Übermittlung der ID-Codes kann verschlüsselt geschehen. Ausserdem kann dem Speicher im Schlüssel ein Zeitfenster zugeteilt werden, während dem der Schlüssel zum Betätigen des Schliesszylinders berechtigt. Der Schlüssel kann über das tragbare Gehäuse mit Energie versorgt werden und auch die Schliesszylinder mit Energie versorgen. Dieses System löst das Problem der aufwendigen Schlüsselverwaltung. Es ist aber verhältnismässig umständlich und in erster Linie nur für Telefonkabinen geeignet, bedingt es doch das unmittelbare Vorhandensein eines öffentlichen Telefonanschlusses. Ausserdem ist das System sehr anfällig für Manipulationen, und daher nicht geeignet für Anwendungen, welche eine höhere Sicherheit erfordern. Eine Person, die den Schlüssel manipulieren will muss lediglich verhindern, dass einmal gespeicherte ID-Codes wieder gelöscht werden und dann dem Schlüssel ein aktuelles Zeitfenster zuteilen.
Weitere elektronische Sicherheitssysteme sind in der französischen Offenlegungsschrift 2 722 596 und in der europäischen Offenlegungsschrift 0 282 339 offenbart. Beide diese Systeme beruhen darauf, dass ein Code auf einen als Schlüssel dienenden Datenträger geladen wird; die französische Offenlegungsschrift 2 722 596 zeigt ausserdem Verfahren auf, wie ein solcher Code durch Kryptographiemittel im Schliesszylinder verifiziert werden kann.
Alle diese Schicherheitssysteme haben die Eigenschaft, dass der Schlüssel im Wesentlichen nur noch aus einem elektronischen Code (ID-Code, "Fingerabdruck" bestehen) Wenn ein korrekter solcher Code an den Schliesszylinder übergeben wird, erfolgt Freigabe. Dies hat Nachteile, wenn die Sicherheitsanforderungen hoch sind. So ist bekannt, dass elektronische Daten mit geeigneten Mitteln kopiert oder manipuliert werden können.
Es ist daher eine Aufgabe der Erfindung, ein Verfahren zur Regelung eines Zutritts-Regimes sowie ein entsprechendes Schliesssystem und entsprechende Hardware- und Softwarekomponenten zur Verfügung zu stellen, welches Nachteile von konventionellen Verfahren und Systemen überwinden und welches insbesondere eine variablere Regelung von Zutrittsberechtigungen ermöglichen und dabei hohen Sicherheitsanforderungen genügen.
Diese Aufgabe wird gelöst durch die Erfindung, wie sie in den Patentansprüchen definiert ist.
Die Erfindung wählt einen im Vergleich zum Stand der Technik grundsätzlich anderen Ansatz. Die mobilen Einheiten ("Schlüssel") sind variabel programmierbar und mit Kommunikationsmitteln sowie mit Speichermitteln ausgestattet. In ihnen ist die Information speicher- und umprogrammierbar, welche über gültige, fehlende oder falsche Berechtigung entscheidet. Sie sind als die aktiven, kommunikationsfähigen Komponenten ausgebildet und weisen bspw. selbst Energieversorgungsmittel auf. Um eine Freigebe durch die ortsfesten Einheiten zu erhalten, lassen sich die mobilen Einheiten von einer Zentrale ein Zertifikat übermitteln. Dieses beinhaltet bspw. einen Code, welcher an die ortsfeste Einheit zu übergeben ist und von dieser anhand von gespeicherten Informationen verifiziert wird.
Diese Verifikation erfolgt aber mit schlüsselspezifischen Algorithmen (wobei mit "schlüsselspezifisch" gemeint ist, dass bei jeder physisch vorhandenen ortsfesten anders verifiziert wird, bspw. indem Daten mit einer in einem nicht überschreibbaren Datenspeicher gespeicherten Schlüssel-Identifikationsnummer ID als ,Seed-Nummer' verschlüsselt wird). Zugangsberechtigungen werden also nicht rein aufgrund von elektronischen Daten mit dem Schlüssel als Datenträger vergeben, sondern der Schlüssel ist auch physisch ein Sicherheitselement, und das individuell.
Die ortsfesten Einheiten ("Schliesszylinder") sind hingegen von der Aufgabe befreit, die Information über Zugangsberechtigungen etc. zu verwalten. Die Übergabe eines Codes, der über die Zutrittsberechtigung entscheidet, von der mobilen Einheit an die ortsfeste Einheit erfolgt offline. D.h. es ist nicht notwendig, dass während der Verifikation die ortsfeste oder die mobile Einheit mit einer Zentrale in Kommunikationsverbindung steht.
Die Erfindung beinhaltet also Sicherheitselemente in drei beteiligten Komponenten: Der Zentrale, welche die Zugangsberechtigungen verwaltet, dem Schlüssel, welcher mit charakteristischen Informationen versehen ist und der Schliesszylinder, in welchem Informationen gespeichert sind, anhand welcher Stimmigkeit überprüft wird. Alle diese drei Sicherheitselemente sind relevant. Man kann bspw. nicht ohne die aktuelle Autorisierung der Zentrale vorgehen. Man kann auch nicht ein einmal übermitteltes Zertifikat durch Manipulation auf einen anderen Schlüssel übertragen und mit diesem den Zugang erwirken. Schliesslich kann auch nicht ein Zertifikat in irgend einer Weise für die Erwirkung des Zugangs für einen anderen als den vorgesehenen Schliesszylinder verwenden. Es muss Stimmigkeit - nicht nur von flüchtig gespeicherten Codes, sondern der physischen Elemente - aller drei Komponenten herrschen.
Auf diese Weise kombiniert die Erfindung eine maximale Flexibilität von Systemen mit rein elektronischen Schlüsseln - wie bspw. demjenigen der internationalen Offenlegungsschrift WO 93/21712 - mit einer hohen Sicherheit gegenüber Manipulationsversuchen. Durch die Voraussetzung, dass nur beim physischen Vorhandensein des richtigen Schlüssels überhaupt eine Freigabe erfolgen kann, hat die Erfindung insbesondere auch ein Sicherheitselement von traditionellen, mechanischen Schliessystemen. Im Gegensatz zu diesen ist das Sicherheitselement aber nicht durch mechanisches Kopieren umgehbar.
Die offline-Regelung der Freigabe hat massive Vorteile. Eine Versorgung der ortsfesten Einheit mit aktuellen Daten ist nicht zwingend erforderlich. Das ganze System kann sehr einfach um zusätzliche Einheiten erweitert werden. Die ortsfesten Einheiten müssen auch nicht online mit einer zentralen Einheit verbindbar sein. Trotzdem kann ein dynamisches, laufend den Begebenheiten angepasstes Management der Zutrittsberechtigungen erfolgen. Dies ist ein Vorteil im Hinblick auf die eingangs erwähnten Anwendungsbeispiele, wo der Zugang zu möglicherweise sehr vielen Objekten mit eventuell schwieriger Zugänglichkeit geregelt werden muss.
Die Bedingung, dass die Verifikation schlüsselspezifisch erfolgt, ist eine wichtige Voraussetzung für die Gewährleistung der Sicherheit des Systems. So kann bspw. bei den eingangs beschriebenen elektronischen Sicherheitssystemen die auf einem Schlüssel vorhandene Information auf einen anderen Datenträger kopiert und dieser anschliessend manipuliert werden, bspw. um die ,Zeitfenster'-Bedingung zu überwinden. Ein Manipulierender muss sich lediglich irgend wann einmal Zugang zu einen Schlüssel gehabt haben, um dann möglicherweise viel später und unerkannt Manipulationen vornehmen zu können. Dies ist bei einem erfindungsgemässen Vorgehen nicht möglich. Wenn die auf einem Schlüssel vorhandenen Informationen auf einen anderen Datenträger - bspw. auf einen gestohlenen anderen Schlüssel - kopiert werden, sind sie wertlos. Ausserdem erlaubt die schlüsselspezifische Verifikation auch eine eindeutige schliesszylinderseitige Protokollierung des Zugangs.
Obwohl also wie erwähnt die Schlüssel die aktiven Einheiten des erfindungsgemässen Systems sind, beruht die Sicherheit nicht einzig auf einem dem Schlüssel übermittelten Code, der stimmen muss und dann kraft seiner Stimmigkeit zum Zugang berechtigt, wie das aus dem Stand der Technik bekannt ist. Vielmehr muss gemäss dem Stand der Technik der Schliesszylinder auf Basis von für den Schlüssel charakteristischen Daten und auf Basis eines Zertifikates bestimmen, ob eine Berechtigung vorliegt. Im Gegensatz zum Stand der Technik, wo die Sicherheitselemente entweder einseitig im Schliesszylinder programmiert sind oder einseitig im Schlüssel vorliegen, gilt hier das Konzept der 'vernetzten' oder 'verschränkten' Sicherheit: es muss eine Stimmigkeit zwischen Schlüssel - als physisch vorhandene Entität - Zertifikat und Schlosszylinder vorliegen: nur dann kann eine Freigabe erfolgen.
Das erfindungsgemässe Verfahren und das entsprechende System bringen Vorteile in Punkto Variabilität. Wie erläutert kann das System als Ganzes ohne jegliches Umstrukturieren laufend den Begebenheiten angepasst werden. Zutrittsberechtigungen können ohne Weiteres auch an mobile Einheiten vergeben werden, welche bisher noch nicht Teile des Systems waren. Daraus ergibt sich sofort ein weiterer Vorteil: die Skalierbarkeit. Das System ermöglicht die Verwaltung von sehr wenigen oder sehr vielen ortsfesten und mobilen Einheiten, ohne dass die Systemarchitektur geändert werden muss.
Damit verbunden ist der Vorteil der Mobilität. Im Gegensatz zu auch elektronischen Schiesssystemen gemäss dem Stand der Technik sind keine Komponenten des Systems - auch nicht die ,ortsfesten' Einheiten - an bestimmte Standorte gebunden.
Ein weiterer Vorteil ist die Vielseitigkeit. Das System erlaubt gleichermassen die Übermittlung und Verwaltung von sehr einfachen Zugangs-Zertifikaten wie auch von komplexen, hierarchischen Zertifikaten. In jedem Fall können die ortsfesten Einheiten sehr einfach und immer gleich ausgestaltet und auf der Basis von immer den gleichen Algorithmen programmiert sein.
Schliesslich ist das System inhärent dynamisch. Obwohl, oder gerade weil die Zertifzierung, also die Übergabe des Zertifikats an die ortsfeste Einheit, offline erfolgt, können Zugangsberechtigungen jederzeit neu erteilt oder aufgehoben werden.
Ortsfeste Einheiten des erfindungsgemässen Systems können so ausgestaltet sein, dass sie einfach in vorhandene Türen oder Schränke eingebaut werden, welche bisher mit Standard- Schliesszylindern versehen waren. Dies stellt einen grossen und entscheidenden Vorteil im Vergleich zu bestehenden Verfahren und Systemen dar, die eine variable, also dynamische Kontrolle des Zutrittsregimes einzuführen versuchen. Die Erfindung bietet damit eine in der Implementation und Handhabung sehr einfache Lösung für die sich ihr stellende Aufgabe.
Dadurch, dass die Regelung des Zutritts-Regimes offline erfolgt, müssen die ortsfesten Einheiten nicht auf aktuelle Zugangsberechtigungsinformationen aufdatierbar und daher gar nicht vernetzt sein. Vorzugsweise und in konsequenter Weiterentwicklung sind zusätzlich die mobilen Einheiten mit Energieversorgungsmitteln, bspw. einer Batterie, ausgestattet. Die Energieversorgung der ortsfesten Einheiten während der Zugangskontrolle kann dann durch die Schlüssel erfolgen. Die mobilen Einheiten müssen damit nicht einmal am Stromnetz hängen. Auch eine Wartung der ortsfesten Einheiten, bspw. ein Auswechseln von Batterien etc. ist kaum nötig.
Die von einer zentralen Einheit zu übermittelnden Zertifikate können verschieden ausgestaltet sein. In einer einfachen Version der Erfindung bestehen sie lediglich aus dem Code, welchen die ortsfeste Einheit erkennen muss, sowie bspw. einem Zeitfenster oder einem Zutrittskontingent. Ein Zeitfenster legt eine gewisse Zeit fest, während der der Zutritt möglich ist. Ein Zutrittskontingent bestimmt eine gewisse Anzahl von Zutritten, welche gewährt werden (bspw. wird ein einziger Zutritt gewährt). Der Code wird bswp. verschlüsselt an die ortsfeste Einheit übergeben, wobei für die Entschlüsselung eine schlüsselspezifische Daten (ID) als ,Seed Number' verwendet werden.
Das Zertifikat kann zusätzlich weitere Informationen beinhalten. Beispiele für solche Daten sind eine Berechtigungs-Hierarchie bei komplexeren Systemen, die aber im Kontrast zu konventionellen Systemen nicht durch die Schlüssel-Mechanik implementiert ist. Beispielsweise kann gleichzeitig mit einer Zugangsberechtigung zu einem bestimmten Objekt automatisch auch eine Zugangsberechtigung mit zugeordneten Objekten einer tieferen Hierarchiestufe verbunden sein. Das Zertifikat kann auch eine Objekt-Identifikation und eine Schlüssel-Identifikation beinhalten.
Eine Objekt-Identifikation kann als unveränderbares und einmaliges Objekt-Identifikationszeichen ausgebildet sein, das dem Objekt bzw. der ortsfesten Einheit eindeutig zugeordnet werden kann. Es ist bspw. so festgelegt, dass es nicht einmal von einer zentralen Einheit geändert werden kann. Das Objekt-Identifikationszeichen kann dazu dienen, Manipulationen an den Schliesszylindem zu verhindern, die bspw. nicht von einer zentralen Einheit überwacht werden können.
Schliesslich können mit dem Zertifikat je nach Ausgestaltung des Systems und dessen Hardware-Komponenten auch noch individuell abgestimmte Daten wie zu hinterlegende PINs, Informationen für den Benützer etc. übermittelt werden. Auf diese Weise ermöglicht die Erfindung ,Sicherheit nach Mass'.
Ein Schlüssel-Identifikationszeichen dient dazu, die Schlüssel zu identifizieren und sicherzustellen, dass die Zertifikate an die gewünschte mobile Einheit übermittelt werden. Das Schlüssel-Identifikationszeichen muss nicht zwingend an den Schliesszylinder übergeben werden.
Gemäss einem ersten Ausführungsbeispiel muss keine Information vom Schliesszylinder an den Schlüssel fliessen. Der Schlüssel übermittelt dann nach Erhalt des Zertifikats einen verschlüsselten, dem Schliesszylinder zugeordneten und in diesem gespeicherten Code zusammen mit den schlüsselspezifischen Daten (ID) an diesen. In diesem wird die Stimmigkeit überprüft und es erfolgt ggf. eine Freigabe. Der zu übermittelnde Code kann auch anstelle eines festen Zeichens als Funktionswert fID(A, t) einer im Wesentlichen unumkehrbaren Funktion der Zeit und eines Funktionsparamters A vorhanden sein, wobei A den Schliesszylinder charakterisiert. Dem Schlüssel wird nur fID(A, t) übermittelt, er hat keine Möglichkeit zur Bestimmung von A. Im Schliesszylinder wird zur Verifikation ebenfalls fID(A, t) berechnet, bei Stimmigkeit erfolgt eine Freigabe. Zur zusätzlichen Sicherheit kann hardwaremässig sichergestellt sein, dass keine Information vom Schliesszylinder an den Schlüssel fliesst, womit ein ,Datenklau' - ein schlüsselseitiges Bestimmen von A - verunmöglicht wird. Die schlüsselspezifischen Daten (ID) - sie werden hier als eine Art ,Seed number' für die Datenenverschlüsselung verwendet - können bei der Herausgabe des Schlüssels von der zentralen Einheit bestimmt worden sein, sie sind aber keinesfalls veränderbar.
Gemäss einem weiteren Ausführungsbeispiel erfolgt die Regelung des Zutrittsregimes in einem zweistufigen Autorisierungsverfahren. Der Schlüssel erhält ein Zertifikat von der zentralen Einheit, welches ihn zum Zutritt zu einem Objekt oder einer Gruppe von Objekten berechtigt. Das Zertifikat kann zusätzlich regeln, dass dem Schlüssel nur ein beschränktes Zutrittsfenster bzw. Zutrittskontingent zugeteilt wird. Wenn der Schlüssel Kontakt mit einem Schliesszylinder hat, wird in einer ersten Stufe ein den Schliesszylinder identifizierendes Zeichen vom Schliesszylinder an den Schlüssel übermittelt. Dieser überprüft dann anhand der in ihm vorhandenen Zertifikate - er kann ja mehr als ein Zertifikat erhalten haben und speichern - ob er zu einem Zugang zum Objekt mit diesem Schliesszylinder berechtigt ist. Wenn das nicht der Fall ist, bleibt der Schlüssel passiv und übermittelt bspw. keine weiteren Informationen an den Schliesszylinder. Wenn ein Zertifikat des Schlüssels eine Berechtigung bejaht, übermittelt der Schlüssel als zweite Stufe des Verfahrens den Code an den Schliesszylinder, worauf dieser bei Stimmigkeit den Zugang freigibt.
Das erfindungsgemässe Schliesssystem bzw. seine Ausführungsformen erfüllen folgende Anforderungen:
  • Flexible Erteilung des Zutritts, und zwar als einmaliger Zutritt, als periodischer (täglicher, wöchentlicher etc.) Zutritt, als Zutritt während eines definierbaren Zeitfensters (Zutrittsfenster) oder als Zutritt ohne zeitliche Beschränkungen.
  • Jeder Zutritt kann registriert werden, und zwar nach Person resp. Schlüssel, Objekt, Zylinder und Zeit.
  • Der Zutritt ist kurzfristig fernkonfigurierbar, d.h. einer Person, welche ein Schlüsselmedium besitzt, kann sofort ein Zutritt zugeteilt werden.
  • Innerhalb eines Objektes können im Rahmen einer Berechtigungs-Hierarchie verschiedene Zonen definierbar sein, bspw. Hochspannungen, Leitsystem, Lager etc.. Innerhalb der Zonen kann auch die Zutrittsberechtigung von einzelnen Teilobjekten (Schränken, Räumen etc.) flexibel zuteilbar sein.
  • Das Schliesssystem kann einfach in vorhandene Türen oder Schränke eingebaut werden, welche bisher mit Standard- Schliesszylindern versehen waren.
  • Die ortsfesten Einheiten benötigen keine Energieversorgung.
  • Der Dialog mit einer zentralen Einheit, welche den Zutritt zum Objekt gewähren kann, kann mit modernen Standard-Kommunikationsmittel erfolgen, bspw. mit Internet-basierenden Kommunikationseinheiten. Auch die Übertragung der Zutritt verschaffenden Signale selbst kann in standardisierter Form erfolgen, z.B. mit dem TCP/IP-Protokoll und ggf. verschlüsselt.
  • Die zentrale Einheit kann die Möglichkeit haben, vorbereitete Zutrittsprofile zu erstellen.
  • Die zentrale Einheit kann ihrerseits in ein übergeordnetes System eingebunden sein, über welches Konfigurationen und Zuständigkeitsbereiche von mehreren zentralen Systemen verwaltet werden, wobei aber bspw. vom übergeordneten System keine direkten Zutritte gewährbar sind.
  • Eine Fluchtwegfunktion von Innen nach Aussen kann auch bei Energieausfall gewährleistet werden.
  • Der Inhaber des Objekts hat die Kontrolle über die zentrale Einheit und kann selbst entscheiden, dass ein beliebiger anderer System-Partizipient oder auch ein Partizipient eines anderen Systems Zugang erhält, er muss das nicht vordefinieren.
Im Folgenden werden noch Ausführungsbeispiele der Erfindung anhand von Figuren etwas detaillierter beschrieben. In den Figuren zeigen:
  • Figur 1 ein Schema erfindungsgemässen Verfahrens anhand von Komponenten des erfindungsgemässen Systems in einer ersten Ausführungsform.
  • Figur 2 ein analoges Schema mit Komponenten einer weiteren Ausführungsform des erfindungsgemässen Systems.
  • Figur 3 eine Ansicht einer mobilen Einheit für die Ausführung des erfindungsgemässen Verfahrens.
  • Figur 4 ein Schema von Einheiten des erfindungsgemässen Systems im Zusammenspiel.
  • Figur 5 ein Schema eines erfindungsgemässen Systems.
Das System gemäss Figur 1 besitzt verschiedene Komponenten: die zentrale Einheit 1 ist die Kontrollinstanz. Sie kann bspw. identisch sein mit einer Zentrale einer das erfindungsgemässe System anwendenden Überwachungsfirma, einer Verteilerfirma etc. Sie kann durch Personen bedient oder als Software implementiert sein. Sie besitzt Mittel zur Kommunikation mit den mobilen Einheiten 2 (im Folgenden: Schlüssel). Die mobilen Einheiten besitzen je eine Energiequelle bzw. einen Energiespeicher sowie Datenverarbeitungs- und Datenspeicherungsmittel. Ausserdem sind sie mit Kommunikationsmitteln zum Übermitteln von Daten an die ortsfesten Einheiten 3 (Schliesszylinder) ausgestattet. Der Begriff ,ortsfest' bedeutet im Kontext dieser Anmeldung übrigens, dass die Einheiten im Betrieb in Relation zu einem zu sichernden Objekt im wesentlichen stationär sind. Der Begriff schliesst weder aus, das die Schliesszylinder an einem mobilen Objekt (Fahrzeug, Schiff etc.) befestigt sind noch dass sie zur Montage von einem Objekt zum anderen transportierbar sind.
Das Objekt, in das die ortsfesten Einheiten integriert sind, ist in der Zeichnung durch einen Kasten 4 symbolisiert. Die ortsfesten Einheiten 3 können bspw. äusserlich wie konventionelle Schliesszylinder ausgebildet sein und an deren Stelle treten. Sie besitzen Speichermittel sowie eine Datenverarbeitungs- und Übertragungseinheit zur Kommunikation mit den Schlüsseln. Hingegen ist sowohl die Integration von Energiequellen bzw. -speichern als auch die Beschreibbarkeit des Speichers fakultativ und nur je nach Ausgestaltung des Systems vorhanden.
Jeder Schlüssel 2 besitzt bspw. ein Identifikationszeichen K. Dieses Identifikationszeichen K kann gleichzeitig als schlüsselspezifischer Datensatz (ID) in der eingangs geschilderten Art verwendet werden; er kann aber auch von diesem verschieden sein. Wenn Zugang zu einem Objekt 4 gewünscht wird, so wird vom Schlüssel aus dieses Identifikationszeichen übermittelt. In der Zentrale wird darauf hin festgestellt oder festgelegt, ob der Inhaber des Schlüssels die Berechtigung für einen Zugang zum Objekt hat oder erhalten soll. Wenn ein Zutritt erfolgen soll, wird anschliessend ein Zertifikat Z mit dem Autorisierungs-Code A (im Folgenden meist kurz Code genannt) an den Schlüssel übermittelt. Gemäss einer Ausführungsform des Verfahrens ist der Code A im Zertifikat immer in einem festen Paket zusammen mit dem Schlüssel-Identifikationszeichen K enthalten. (Dann ist dieses vorzugsweise nicht identisch mit dem schlüsselspezifischen Datensatz (ID)). So wird sichergestellt, dass der Code A nur bei Stimmigkeit der Schlüssel-Identifikation zum Zugang berechtigen kann. Der Code A wird an den Schliesszylinder übergeben und dort verifiziert. Dann erfolgt gegebenenfalls eine Freigabe.
Gemäss einer speziellen Ausführungsform wird der Code immer zusammen mit einer Objekt-Identifikation O übermittelt. Dieser dient als eindeutiges und unveränderbares Objekt-Identifikationzeichen und wird dem Schliesszylinder zusammen mit dem Code A zur Verifikation übergeben. Er ist hardwaremässig im Objekt so implementiert, dass er nicht durch Umprogrammieren abgeändert werden kann.
Die Kommunikationsmittel, über welche Daten zwischen der zentralen Einheit und dem Schlüssel übermittelt werden, können verschieden ausgestaltet sein. In der Figur 2 ist schematisch zusätzlich zu den Komponenten der Figur 1 ein mobiles Übermittlungsgerät 5 gezeichnet. Dieses besitzt ein Modem oder ein anderes Kommunikationsmittel zur Kommunikation über ein Datennetzwerk, bspw. das Internet. Es kann bspw. als batteriebetriebenes, tragbares Gerät ausgebildet sein oder in einem Fahrzeug oder dergleichen installiert sein. Es kann über eine Radiofrequenz-Verbindung berührungslos mit dem Schlüssel Informationen austauschen. Alternativ dazu kann auch direkte (Kabel- etc.) Verbindung zwischen dem Schlüssel 2 und dem Übermittlungsgerät 5 vorhanden sein. Schliesslich kann das Übermittlungsgerät auch im Schlüssel 2 integriert sein. In der Figur 2 ist auch dargestellt, wie das vorstehend erwähnte Objekt-Identifikationszeichen O gehandhabt wird, wobei das Übermittlungsgerät natürlich nicht nur in Systemen benutz werden kann, die sich des Objekt-Identifikationszeichens bedienen.
In der Figur 3 ist noch ein Beispiel für einen Schlüssel 2 schematisch dargestellt. Der Schlüssel besitzt eine Schlüsselblatt 2.1, welcher wie bei konventionellen Schlüsseln ausgearbeitet sein kann und bspw. die mechanische Kodierung eines Passschlüssels besitzt. Er kann auch anders ausgestaltet sein, und bspw. gar keine mechanische Kodierung aufweisen. Je nach Ausgestaltung des Schliesszylinders könnte das Schliesssystem auch berührungslos funktionieren und der Schlüssel also gar kein Schlüsselblatt aufweisen. Zusätzlich besitzt der Schlüssel eine Leiterplatte 2.2, auf welcher Prozessormittel 2.3 und Leiterbahnen 2.4 sowie eventuell zusätzliche elektronische Komponenten angebracht sind. Weiter sind im Schlüssel Energieversorgungsmittel 2.5, also eine Batterie angeordnet. Die Batterie, Leiterplatte sowie die Leiterbahnen sind so angeordnet, dass die Batterie die Prozessormittel mit elektrischer Energie versorgen kann. Ausserdem besitzt der Schlüssel noch einen Kontaktpfad 2.6 zur Kommunikation, mit einem Schliesszylinder und/oder zu dessen Energieversorgung. Ferner sind noch Kommunikationsmittel 2.7 vorhanden, mit welchen berührungslos mit einem Übermittlungsgerät oder Zylinder Daten ausgetauscht werden können.
In der Figur 4 ist ein Schema dargestellt, welches einige Elemente eines erfindungsgemässen Systems und ihr Zusammenspiel darstellt. In der Figur dargestellt sind eine zentrale Einheit 1, ein Übermittlungsgerät 5, ein Schlüssel 2 und ein Schliesszylinder 3. Das Datenübertragungsgerät, der Schlüssel und der Schliesszylinder besitzen je eine Prozessoreinheit 5.3, 2.3 resp. 3.3. und eine Datenspeicher- und Verschlüsselungseinheit 5.9, 2.9 resp. 3.3. Die Prozessoreinheit und/oder die Datenspeicher- und Verschlüsselungseinheit können bspw. in an sich bekannter Art gefertigt sein. Sie können bspw., was hier lediglich als Beispiel zur Illustration erwähnt sei, ein LEGIC® -Sicherheitsmodul enthalten. An diese Datenspeicher- und Verschlüsselungseinheit 5.9, 2.9 resp. 3.3 angeschlossen sind Mittel 5.7, 2.7 resp. 3.7 zur berührungslosen Kommunikation. Der Schlüssel besitzt wie bereits beschrieben Energieversorgungsmittel 2.5. Die Energieversorgungsmittel versorgen den die Mikroprozessoreinheit 2.3 sowie einen daran angeschlossenen Zeitgeber 2.8.
Das Übermitteln von Daten von der zentralen Einheit an das Übertragungsgerät erfolgt bspw. mit bekannten und gängigen Datenübertragungsleitungen, Schnittstellen Protokollen, etc. unter Zuhilfenahme des Internets. Selbstverständlich erfolgt die Datenübertragung vorzugsweise verschlüsselt. Der Kanal für das Übermitteln von Daten zwischen der Software 1.1 der zentralen Einheit 1 und dem Übertragungsgerät 5 ist in der Figur durch einen Doppelpfeil 11 symbolisiert. Zwischen dem Übertragungsgerät 5 und dem Schlüssel 2 sind zwei Interfaces eingerichtet: Das Mikroprozessorinterface 12 als Kontaktinterface und das Programminterface 13. Das Mikroprozessorinterface 12 dient der Synchronisation der Mikroprozessoren 5.3, 2.3 der Übertragungsgerätes und des Schlüssels. Die Zeit ist ein bedeutender Parameter bei der Regelung des Zutrittsregimes, bspw. wenn nur ein Zeitfenster für einen Zutritt zur Verfügung steht. Sie kann auch bedeutend sein bezüglich Daten- und Manipulationssicherheit, wie das anhand von Beispielen noch erläutert werden wird. Das Programminterface 13 dient dem Austausch der erwähnten Daten. Das Programminterface und das Mikroprozessorinterface brauchen sich nicht physisch verschiedener Datenübertragungskanäle zu bedienen.
Zwischen dem Schlüssel und dem Schliesszylinder sind zwei Interfaces vorgesehen. Das Dateninterface 14 dient der Übergabe von Daten vom Schlüssel an den Schliesszylinder und eventuell auch in die umgekehrte Richtung vom Schliesszylinder an den Schlüssel. Über das Leistungsinterface 15 wird der Schliesszylinder mit der während der Übergabe des Zertifikats an den Schliesszylinder und während der Verifikation benötigten elektrischen Energie versorgt. Dies kann kontinuierlich oder zu Beginn der Aktion in einen Kurzzeit-Energiespeicher des Schliesszylinders erfolgen.
Das Schema von Figur 5 zeigt eine zentrale Einheit 1, einige Schlüssel 2 und einige Objekte 4 mit Schliesszylindern 3.
Wie vorstehend erwähnt gibt es - durch Pfeile symbolisiert - einen Informationsfluss zwischen der zentralen Einheit und den Schlüsseln sowie von der zentralen Einheit autorisiert und eingeschränkt von den Schlüsseln zu den Schliesszylindern und je nach dem zurück. Zwischen der zentralen Einheit und den Schliesszylindern muss keine Information fliessen. Ebenso ist ein Informationsfluss zwischen den Schliesszylindern zwar nicht ausgeschlossen, aber im Allgemeinen nicht nötig. Zwischen den Schlüsseln untereinander darf keine Information fliessen.
Die zentrale Einheit 1 besitzt Informationen, die zur Kontrolle über das ganze System befähigen. In der Figur sind zwei Datenbanken 1.1 und 1.2 symbolisch dargestellt. Die erste Datenbank enthält laufend aufdatierte Informationen über die Objekte, die zweite Datenbank 1.2 über die Schlüssel.
Jeder Schlüssel und jeder Schliesszylinder ist anhand eines entsprechenden Identifikationszeichens Ki bzw. Pi identifizierbar. Die Daten über die Objekte können eine Datenstruktur aufweisen, welche Beziehungen der Objekte untereinander widerspiegeln. Ein sehr simples Beispiel ist in der Figur dargestellt: Die Objekte mit den der Identifikation P3, P4 und P9 sind bspw. Teile eines übergeordneten Gebildes. Das Objekt P9 ist dabei in einem einfachen Modell einem inneren Kreis angeordnet (übergeordnet), die Objekte P3 und P4 in einem äusseren Kreis (untergeordnet). Als Beispiel zur Illustration kann das Objekt P9 ein Tresor sein, der in einem durch Türen P3 und P4 zu erreichenden Raum steht. Ein Zugang zum Objekt im inneren Kreis bedingt eine Zugangsberechtigung zu einem Objekt im äusseren Kreis, umgekehrt aber nicht. Diese hierarchische Beziehung findet in den Daten in der zentralen Einheit ihren Niederschlag.
Die Schlüsselinhaber erfüllen unterschiedliche Funktionen und werden daher auch mit unterschiedlichen Zertifikaten ausgestattet: Ein Sicherheitsdienstmitarbeiter erhält vielleicht Zugang nur zu untergeordneten Objekten, dafür aber in vielen verschiedenen Gebilden, ein Filialleiter hat Zugang zu allen Objekten eines einzigen Gebildes.
Entsprechend sind in den Datenbanken Archetypen angelegt. Die Objekt-Datenbank 1.1 enthält Hierarchie-Archetypen B;. So kann bspw. mit einer Zugangsberechtigung zu einem Objekt inhärent oder zumindest defaultmässig eine Zugangsberechtigung zu einem hierarchisch untergeordneten Objekt verbunden sein. Die Hierarchie-Archetypen können bspw. den Code A der hierarchisch untergeordneten Objekte direkt enthalten. Den Hierarchie-Archetypen entsprechende Hierarchien werden in die Zertifikate übernommen. Die Schlüssel-Datenbank 1.2 enthält Zertifikat-Archetypen Ci. Typischerweise erhält ein Sicherheitsdienstmitarbeiter immer wieder Zugang zu denselben Objekten, aber nur einmal pro Nacht. Die Zertifikate Z werden anhand der Archetypen und ggf. aktuellen Daten gefertigt. Die Zertifikat-Archetypen enthalten bspw. Verweise auf Hierarchie-Archetypen und nicht den gesamten Inhalt der Zertifikat-Archetypen.
Gemäss einem Ausführungsbeispiel können einzelne Elemente der Archetypen sogar im Schlüssel selbst angelegt sein. Sie müssen aber auf jeden Fall durch ein von der zentralen Einheit übermitteltes Zertifikat aktiviert werden.
Es folgen einige Beispiele für das erfindungsgemässe Verfahren:
Beispiel 1:
  • a. Der Schlüssel wird von seinem Inhaber aktiviert und fragt bei der Zentrale um einen Berechtigung an. Diese Anfrage in der Form eines Request-Signals kann individuell auf einen einzelnen Zugang hin oder pauschal (bspw. morgens, wenn der Inhaber als Monteur die Arbeit aufnimmt und eine Zugangsberechtigung für sämtliche an diesem Tag zugänglichen Objekte erhalten möchte) erfolgen. Das Request-Signal beinhaltet ein Schlüssel-Identifikationszeichen K.
  • b. Der in der zentralen Einheit vorhandene Computer prüft anhand einer laufend aktualisierbaren Datenbank die Berechtigung und stellt ein Zertifikat zusammen. Dieses beinhaltet für jedes Objekt einen für dieses charakteristischen Code A sowie ein Zeitfenster bzw. ein Zutrittskontingent. Zusätzlich enthält das Zertifikat das Schlüssel-Identifikationszeichen des Empfängers.
  • c. Der zentrale Computer übersendet das Zertifikat an das Übermittlungsgerät bzw. an die mobile Einheit verschlüsselt.
  • d. Die mobile Einheit empfängt das Zertifikat ggf. vom Übermittlungsgerät (in dem es zwischengespeichert sein kann, bis zwischen dem Übermittlungsgerät und der mobilen Einheit eine Verbindung besteht) und speichert es auf ihrem Speicherchip ab.
  • e. Der Inhaber des Schlüssels begibt sich zum Objekt und steckt den Schlüssel in den Schliesszylinder.
  • f. Der Schlüssel versorgt den Schliesszylinder mit elektrischer Energie. Dies kann in einen Kurzzeit-Energiespeicher oder kontinuierlich während der folgenden Verfahrensschritte erfolgen.
  • g. Der Schlüssel übergibt den im Zertifikat enthaltenen Code, bspw. weitere Informationen wie ein Schlüssel-Identifikationszeichen K über die Datenschnittstelle 14 an den Schliesszylinder. Die Übergabe ist bspw. ebenfalls verschlüsselt, wobei die ,Seed Number' von der zur Übersendung des Zertifikats verwendeten ,Seed Number' verschieden ist und bspw. dem schlüsselspezifischen Datensatz ID entspricht.
  • h. Die im Schliesszylinder enthaltenen Prozessormitteln führen eine Verifikation durch, d.h. einen Abgleich zwischen dem übermittelten und einem gespeicherten Code durch. Ggf. wird der übermittelte Code vorher entschlüsselt. Entsprechende Verfahren, wie das Public Key/Private Key-System, welche bspw. gleichzeitig auch noch eine nicht manipulierbare Verifikation des Absenders der verschlüsselten Botschaft (hier des Schlüssels) erlauben, sind an sich bekannt und werden hier nicht weiter im Detail erläutert.
  • i. Durch die Prozessormittel des Schliesszylinders wird bei Stimmigkeit eine Freigabe ausgelöst. Nach der Freigabe hat der Schlüsselinhaber eine gewisse Zeit, typischerweise einige Sekunden, zur Verfügung um den Schlüssel zu drehen. Durch Kontakte im Zylinder wird festgestellt, in welcher Stellung sich der Schlüssel befindet. Damit Schlüssel und Schliesszylinder erkennen können, wann der Kontakt unterbrochen wird, sendet der Schlüssel bspw. dauernd Testbits.
  • j. Bei fehlender Stimmigkeit (entsprechend einer fehlenden oder falschen Berechtigung) erfolgt ein nicht-Freigabe-Ereignis. Dieses kann bspw. einfach ein akustisches Signal sein. Ein dem nicht-Freigabe-Ereignis ähnliches Ereignis kann auch ausgelöst werden, wenn innerhalb einer bestimmten Schwellenzeit keine Kommunikationsverbindung zwischen Schlüssel und Schliesszylinder aufgebaut werden konnte oder wenn bspw. die Batterie 2.5 entladen ist und die Energie nicht ausreicht.
    • Beispiel 2:
    Schritte a, c-f, i und j bspw. gleich wie beim Beispiel 1, aber das Zertifikat enthält nicht den eigentlichen Code A sondern einen Wert fID(A,t0), wobei t0 ein Zeitpunkt ist, um den Schlüsselinhaber zum Zugang berechtigt ist. Beim Kontakt zwischen Schlüssel und Schliesszylinder, d.h. nach dem Schritt e werden die Prozessormittel des Schliessszylinders durch einen Zeitgeber 2.8 im Schlüssel mit der aktuellen Uhrzeit t versorgt. Der Abgleich erfolgt dann zwischen fID(A,t0) und fID(A, t). Dabei kann die für eine Freigabe zu erfüllende Bedingung diejenige sein, dass die Differenz der Werte fID(A,t0) und fID(A, t) einen gewissen Schwellwert nicht überschreitet, wobei die Funktion f dann stetig und normierbar sein muss.
    Beispiel 3:
    Wie Beispiel 2, aber die Berechtigung erfolgt nicht nur zu einem Zeitpunktes t0 (bzw. in einem diesen umgebenden Zeitfenster) sondern periodisch wiederkehrend, bspw. täglich um eine bestimmte Zeit. Dies kann damit bewirkt werden, dass das Zertifikat eine Reihe von Funktionswerten fID(A,ti) enthält mit i=1, 2, ... oder mit der Verwendung einer speziellen, in t periodischen Funktion.
    Beispiel 4:
    Wie Beispiel 2, aber anstelle eines Wertes fID(A,t0) wird ein Wert fID(A,n) übermittelt, wobei n die Zahl der bisher erfolgten Zutritte des Schlüsselinhabers darstellt. Dieses Beispiel funktioniert gewissermassen analog zu einem Streichlisten-Prinzip.
    Beispiel 5:
    Wie Beispiel 1 bis 4, aber anstelle des Schrittes a wird das Zertifikat von der zentralen Einheit ohne ein vorgängiges Request-Signal übermittelt. Das kann bspw. sinnvoll sein, wenn der Schlüssel-Inhaber einem Sicherheitsdienst oder einem Lieferanten angehört und gleichzeitig mit der Berechtigung von der Zentralen Einheit ein Auftrag ausgegeben wird.
    Beispiel 6:
    Der Inhaber des Schlüssels begibt sich zum Objekt, zu dem er Zugang erhalten möchte. In einem ersten Schritt steckt er den Schlüssel in den Schliesszylinder dieses Objekts. Im Allgemeinen wird der Schlüssel kein Zertifikat aufweisen, welches ihn zum Zugang des Objektes berechtigt, und es erfolgt auch keine Freigabe. Der Schliesszylinder übergibt aber eine ihn charakterisierende Angabe - bspw. ein Objekt-Identifikationszeichen O - an den Schlüssel. Dieser übermittelt die charatkterisierende Angabe an die Zentrale, wofür noch gegebenenfalls ein Kommunikationsmodul wie das mobile Übermittlungsgerät 5 eingesetzt wird. In der Zentrale wird entschieden, ob der Schlüsselträger zu diesem Zeitpunkt zu einem einmaligen Zugang berechtigt sein soll. Dies kann in einer unbemannten Zentrale anhand von Tabellenwerten oder anderen Charakteristika geschehen. Zur zusätzlichen Sicherheit kann die Zentrale - ggf. automatisiert - den vermuteten Inhaber des Schlüssels anrufen, bspw. auf sein Mobiltelefon , und seine Identität und Absichten überprüfen. Eine unbemannte Zentrale kann die Identität überprüfen, indem es und eine bestimmte Aussage - bspw. ein vereinbartes Codewort - von ihm abfragt und die Stimme des angerufenen mit gespeicherten Stimmaufnahmen vergleicht. Dann übermittelt die Zentrale ein Zertifikat an den Schlüssel, und es wird wie in einem der vorstehend erläuterten Beispiele vorgegangen.
    Je nach Ausgestaltung des Systems kann in irgendeinem der Beispiele bei der Freigabe/nicht-Freigabe oder nach dieser der Zutritt bzw. Zutrittsversuch zum Objekt protokolliert werden. Dies folgt bspw. in einen Speicher im Schlüssel. Beim nächsten Kontakt mit der zentralen Einheit oder direkt von sich aus kann der Schlüssel das Protokoll an die zentrale Einheit übermitteln, wo es in einer Datenbank gespeichert und/oder ausgewertet wird. Protokolle von erfolgten Zutritten/Zutrittsversuchen können natürlich bei der Erstellung von neuen Zertifikaten verwendet werden. Alternativ oder als Ergänzung dazu kann ein Zutritt/Zutrittsversuch auch in nichtflüchtigen Datenspeichern der ortsfesten Einheiten protokolliert werden.
    Natürlich gehören auch beliebige Kombinationen von Merkmalen der vorstehend Beschriebenen Beispiele, sofern sie im Rahmen der Definition der unabhängigen Ansprüche und nicht widersprüchlich sind.
    Es versteht sich, dass die Erfindung noch unzählige andere Ausführungsformen umfasst und sich nicht auf die vorstehend beschriebenen Beispiele beschränkt.

    Claims (22)

    1. Verfahren zur Regelung des Zutrittsregimes zu einem Objekt, oder zu einer Gruppe von Objekten, wobei eine mobile Einheit (2) mit einer ortsfesten Einheit (3) in Kontakt tritt und diese in Abhängigkeit von einer Verifikation das Objekt freigibt oder ein nicht-Freigabe-Ereignis auslöst, wobei vorgängig zum Kontakt zwischen der ortsfesten und der mobilen Einheit eine zentrale Einheit ein Zertifikat an die mobile Einheit übermittelt und die Verfikation auf Basis von im Zertifikat enthaltenen Daten und offline erfolgt, dadurch gekennzeichnet, dass die mobile Einheit einen spezifischen Identitätscode (ID) aufweist, und dass ein zur Freigabe eines bestimmten Objekts berechtigender Code auf Basis dieses spezifischen Identitätscodes und des Zertifikates ermittelt wird.
    2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der spezifische Identitätscode (ID) als ,Seed Number' bei einer Verschlüsselung von im Zertifikat enthaltenen Daten dient.
    3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Zertifikat einen Code enthält, welcher von der mobilen Einheit (2) an die ortsfeste Einheit (3) übergeben wird, und dass die Verifikation eine Prüfung des Codes auf Übereinstimmung mit Daten ist, welche auf Basis von in Speichermitteln der ortsfesten Einheit (3) fest gespeicherten Daten ermittelt werden.
    4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass zwischen der zentralen Einheit und der ortsfesten Einheit kein direkter Informationsfluss stattfindet.
    5. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Freigabe/nicht-Freigabe von einem im Zertifikat enthaltenen Zutritts-Zeitfenster oder eine Zutrittskontingent abhängig gemacht werden kann.
    6. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass der zur Freigabe eines bestimmten Objekts berechtigende Code von der Zeit und/oder von einer Statusinformation abhängig ist.
    7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass das Zertifikat einen Funktionsparameter enthält, dass der Code als im Wesentlichen unumkehrbare Funktion der Zeit und dieses Funktionsparameters berechnet wird, und dass in der ortsfesten Einheit durch Prozessormittel der Code durch Evaluation einer ebenfalls im Wesentlichen unumkehrbaren Funktion der Zeit verifiziert wird.
    8. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass keine für das Zertifikat nützlichen Information von den ortsfesten Einheiten (3) an die mobilen Einheiten fliesst.
    9. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Übermittlung des Zertifikats an die mobile Einheit online erfolgt.
    10. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass das Zertifikat an ein Übertragungsgerät (5) übermittelt und von diesem an die mobile Einheit weiter übermittelt wird.
    11. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass vorgängig zur Verifikation und/oder während der Verifikation Energie von der mobilen Einheit an die ortsfeste Einheit übertragen wird.
    12. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass zur Autorisierung die ortsfeste Einheit ein das Objekt identifizierendes Zeichen an die mobile Einheit übergibt und dass eine Verifikation auf Basis des Zertifikates durch Prozessormittel der mobilen Einheit erfolgt.
    13. Elektronisches Schliesssystem mit ortsfesten Einheiten (3) und mobilen Einheiten (2), wobei die mobilen Einheiten codierbar sind und die ortsfesten Einheiten Freigabemittel besitzen, um ein Objekt freizugeben, wenn eine mobile Einheit mit ihnen Verbindung steht und nachdem eine Verifikation als Abgleich zwischen Daten durchgeführt wurde, wobei die mobilen Einheiten mit Kommunikationsmitteln zur Kommunikation mit einer zentralen Einheit (1) und mit Speichermitteln zum Speichern eines von der zentralen Einheit übermittelten Zertifikats ausgestattet sind, dass in den mobilen Einheiten und den ortsfesten Einheiten Mittel zur offline-Durchführung der Verifikation als Abgleich von im Zertifikat enthaltenen und mit in Speichermitteln der ortsfesten Einheiten vorhandenen Daten vorhanden sind dadurch gekennzeichnet, dass jede mobile Einheit einen spezifischen Identitätscode (ID) aufweist, und dass ein zur Freigabe eines bestimmten Objekts berechtigender Code auf Basis dieses spezifischen Identitätscodes und des Zertifikates ermittelbar ist.
    14. Schliesssystem nach Anspruch 13, dadurch gekennzeichnet, dass die mobilen Einheiten Energieversorgungsmittel (2.5) besitzen, und dass eine Leistungsschnittstelle (15) zur Übertragung von Energie an die ortsfesten Einheiten vorhanden ist, während die ortsfesten Einheiten und die mobilen Einheiten in Verbindung stehen, so dass für die Verfikation die ortsfesten Einheiten (3) von den mobilen Einheiten (2) mit elektrischer Energie versorgt werden können.
    15. Schliesssystem nach Anspruch 13 oder 14, dadurch gekennzeichnet, dass die ortsfesten Einheiten frei von fest installierten Kommunikationsleitungen und frei von Energieversorgungsmitteln sind.
    16. Mobile Einheit (2) zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 12 als Teil eines Systems nach einem der Ansprüche 13 bis 15, gekennzeichnet durch Kommunikations- und Prozessormittel zum Austausch von Informationen mit einer zentralen Einheit, durch Speichermittel zum Speichern von von der zentralen Einheit empfangenen Zertifikaten und durch eine Schnittstelle (14, 15) zum offline-Austausch von Informationen mit einer ortsfesten Einheit (3), und durch einen fest gespeicherten Identitätscode (ID).
    17. Mobile Einheit nach Anspruch 16, gekennzeichnet durch Energieversorgungsmittel (2.5) sowie eine Leistungsschnittstelle (15) zum Übertragen von Energie auf eine ortsfeste Einheit.
    18. Ortsfeste Einheit (3) zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 12 als Teil eines Systems nach einem der Ansprüche 13 bis 15, gekennzeichnet durch Speichermitteln zum nichtflüchtigen Speichern von für die ortsfeste Einheit charakteristischen Informationen, eine Schnittstelle (14) zum offline-Austausch von Informationen mit einer mit ihr in Verbindung stehenden mobilen Einheit, und durch Mittel zum Betätigen eines Freigabemechanismus in Abhängigkeit von einer Verifikation von mit der Schnittstelle ausgetauschten und in den Speichermitteln gespeicherten Informationen.
    19. Ortsfeste Einheit nach Anspruch 18, gekennzeichnet durch eine Leistungsschnittstelle (15) zum Empfangen von elektrischer Energie von einer mobilen Einheit für das Durchführen der Verfikation.
    20. Ortsfeste Einheit nach Anspruch 19, dadurch gekennzeichnet, dass die Mittel zum Betätigen eines Freigabemechanismus so ausgebildet und verschaltet sind, dass sie ebenfalls mit von der ortsfesten Einheit empfangener elektrischer Energie betätigt werden können.
    21. Computerprogramm mit Mitteln, einen über Kommunikationsmittel mit einer mobilen Einheit eines Systems nach einem der Ansprüche 13 bis 15 verbindbaren Computer eine Zentrale Einheit im Verfahren nach einem der Ansprüche 1 bis 12 bilden zu lassen, mit Mitteln, den Computer in Abhängigkeit eines von einer mobilen Einheit abgesandten Request-Signals ein Zertifikat auszustellen und verschlüsselt an die mobile Einheit zu versenden.
    22. Computerprogrammprodukt enthaltend computerlesbare Programmcodemittel, einen über Kommunikationsmittel mit einer mobilen Einheit eines Systems nach einem der Ansprüche 13 bis 15 verbindbaren Computer eine Zentrale Einheit im Verfahren nach einem der Ansprüche 1 bis 12 bilden zu lassen, wobei die computerlesbaren Programmcodemittel Mittel beinhalten, den Computer in Abhängigkeit eines von einer mobile Einheit abgesandten Request-Signals ein Zertifikat auszustellen und verschlüsselt an die mobile Einheit zu versenden
    EP02406101A 2001-12-21 2002-12-16 Verfahren zur Regelung des Zutrittsregimes zu einem Objekt Expired - Lifetime EP1321901B1 (de)

    Applications Claiming Priority (2)

    Application Number Priority Date Filing Date Title
    CH23472001 2001-12-21
    CH234701 2001-12-21

    Publications (3)

    Publication Number Publication Date
    EP1321901A2 true EP1321901A2 (de) 2003-06-25
    EP1321901A3 EP1321901A3 (de) 2005-09-07
    EP1321901B1 EP1321901B1 (de) 2010-04-07

    Family

    ID=4568704

    Family Applications (1)

    Application Number Title Priority Date Filing Date
    EP02406101A Expired - Lifetime EP1321901B1 (de) 2001-12-21 2002-12-16 Verfahren zur Regelung des Zutrittsregimes zu einem Objekt

    Country Status (3)

    Country Link
    EP (1) EP1321901B1 (de)
    AT (1) ATE463810T1 (de)
    DE (1) DE50214332D1 (de)

    Cited By (14)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    EP1643457A1 (de) * 2004-10-04 2006-04-05 SimonsVoss Technologies AG Schliessanlagensystem und Verfahren zum Betreiben einer elektronischen Schliessanlage
    EP1699019A2 (de) * 2005-03-03 2006-09-06 EVVA Sicherheitssysteme GmbH Zutrittskontrollanlage
    EP2821970A1 (de) * 2013-07-05 2015-01-07 Assa Abloy Ab Kommunikationsvorrichtung zur Zugriffssteuerung, Verfahren, Computerprogramm und Computerprogrammprodukt
    CN105556575A (zh) * 2013-07-05 2016-05-04 亚萨合莱有限公司 钥匙装置和关联的方法、计算机程序以及计算机程序产品
    EP3300036A1 (de) * 2016-09-26 2018-03-28 Aug. Winkhaus GmbH & Co. KG Elektronische schliessanlage und verfahren zum betrieb einer elektronischen schliessanlage
    EP3506216A1 (de) * 2017-12-28 2019-07-03 Netatmo Inteligentes Schloss mit Energiesparfunktion und elektromechanischem Schlüssel
    EP2348490B1 (de) * 2009-12-22 2020-03-04 9Solutions Oy Zugangskontrollsystem
    EP3716230A1 (de) 2019-03-29 2020-09-30 Antoine Decayeaux Türöffnungs- und schliessvorrichtung mit zugangskontrolle, system, das eine solche vorrichtung umfasst, und entsprechendes verfahren
    EP3739554A1 (de) * 2019-05-16 2020-11-18 EVVA Sicherheitstechnologie GmbH Verfahren zum betreiben eines zutrittskontrollsystems sowie zutrittskontrollsystem
    NL2024201B1 (en) * 2019-11-08 2021-07-20 Kibba Ip B V Space access control module and remote key provisioning system
    FR3132374A1 (fr) 2022-02-03 2023-08-04 Cogelec Procédé de contrôle d’accès à des bâtiments
    FR3132373A1 (fr) 2022-02-03 2023-08-04 Cogelec Procédé de contrôle d’accès à des bâtiments
    FR3132372A1 (fr) 2022-02-03 2023-08-04 Cogelec Procédé de contrôle d’accès à des bâtiments
    EP4038583A4 (de) * 2019-10-03 2023-11-08 Swedlock AB Elektromechanische schlossanordnung

    Citations (4)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US5506905A (en) * 1994-06-10 1996-04-09 Delco Electronics Corp. Authentication method for keyless entry system
    EP0723251A2 (de) * 1995-01-20 1996-07-24 Tandem Computers Incorporated Verfahren und Gerät für einen Benützer und Sicherheitsauthentisierungseinrichtung
    EP1024239A1 (de) * 1999-01-28 2000-08-02 International Business Machines Corporation Elektronisches Zugangskontrollsystem und Verfahren
    US6317025B1 (en) * 1996-12-03 2001-11-13 E. J. Brooks Company Programmable lock and security system therefor

    Patent Citations (4)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US5506905A (en) * 1994-06-10 1996-04-09 Delco Electronics Corp. Authentication method for keyless entry system
    EP0723251A2 (de) * 1995-01-20 1996-07-24 Tandem Computers Incorporated Verfahren und Gerät für einen Benützer und Sicherheitsauthentisierungseinrichtung
    US6317025B1 (en) * 1996-12-03 2001-11-13 E. J. Brooks Company Programmable lock and security system therefor
    EP1024239A1 (de) * 1999-01-28 2000-08-02 International Business Machines Corporation Elektronisches Zugangskontrollsystem und Verfahren

    Cited By (30)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    EP1643457A1 (de) * 2004-10-04 2006-04-05 SimonsVoss Technologies AG Schliessanlagensystem und Verfahren zum Betreiben einer elektronischen Schliessanlage
    EP1699019A2 (de) * 2005-03-03 2006-09-06 EVVA Sicherheitssysteme GmbH Zutrittskontrollanlage
    EP1699019A3 (de) * 2005-03-03 2006-11-29 EVVA Sicherheitssysteme GmbH Zutrittskontrollanlage
    EP2348490B1 (de) * 2009-12-22 2020-03-04 9Solutions Oy Zugangskontrollsystem
    AU2014286214B2 (en) * 2013-07-05 2018-08-30 Assa Abloy Ab Access control communication device, method, computer program and computer program product
    US9858740B2 (en) 2013-07-05 2018-01-02 Assa Abloy Ab Access control communication device, method, computer program and computer program product
    CN105556575A (zh) * 2013-07-05 2016-05-04 亚萨合莱有限公司 钥匙装置和关联的方法、计算机程序以及计算机程序产品
    JP2016527779A (ja) * 2013-07-05 2016-09-08 アッサ アブロイ アーベーAssa Abloy Ab アクセス制御通信装置、方法、コンピュータプログラムおよびコンピュータプログラム製品
    US9595148B2 (en) 2013-07-05 2017-03-14 Assa Abloy Ab Access control communication device, method, computer program and computer program product
    US9704321B1 (en) 2013-07-05 2017-07-11 Assa Abloy Ab Key device and associated method, computer program and computer program product
    AU2014286137B2 (en) * 2013-07-05 2017-10-12 Assa Abloy Ab Key device and associated method, computer program and computer program product
    EP2821970A1 (de) * 2013-07-05 2015-01-07 Assa Abloy Ab Kommunikationsvorrichtung zur Zugriffssteuerung, Verfahren, Computerprogramm und Computerprogrammprodukt
    EP2821970B1 (de) 2013-07-05 2016-04-27 Assa Abloy Ab Kommunikationsvorrichtung zur Zugriffssteuerung, Verfahren, Computerprogramm und Computerprogrammprodukt
    US10019861B2 (en) 2013-07-05 2018-07-10 Assa Abloy Ab Access control communication device, method, computer program and computer program product
    WO2015001009A1 (en) * 2013-07-05 2015-01-08 Assa Abloy Ab Access control communication device, method, computer program and computer program product
    US10192380B2 (en) 2013-07-05 2019-01-29 Assa Abloy Ab Key device and associated method, computer program and computer program product
    US10282930B2 (en) 2013-07-05 2019-05-07 Assa Abloy Ab Access control communication device, method, computer program and computer program product
    EP3300036A1 (de) * 2016-09-26 2018-03-28 Aug. Winkhaus GmbH & Co. KG Elektronische schliessanlage und verfahren zum betrieb einer elektronischen schliessanlage
    EP3506216A1 (de) * 2017-12-28 2019-07-03 Netatmo Inteligentes Schloss mit Energiesparfunktion und elektromechanischem Schlüssel
    CN110029881A (zh) * 2017-12-28 2019-07-19 尼特莫公司 具有带有省电的电动机械钥匙的智能锁
    EP3716230A1 (de) 2019-03-29 2020-09-30 Antoine Decayeaux Türöffnungs- und schliessvorrichtung mit zugangskontrolle, system, das eine solche vorrichtung umfasst, und entsprechendes verfahren
    EP3739554A1 (de) * 2019-05-16 2020-11-18 EVVA Sicherheitstechnologie GmbH Verfahren zum betreiben eines zutrittskontrollsystems sowie zutrittskontrollsystem
    EP4038583A4 (de) * 2019-10-03 2023-11-08 Swedlock AB Elektromechanische schlossanordnung
    NL2024201B1 (en) * 2019-11-08 2021-07-20 Kibba Ip B V Space access control module and remote key provisioning system
    FR3132374A1 (fr) 2022-02-03 2023-08-04 Cogelec Procédé de contrôle d’accès à des bâtiments
    FR3132373A1 (fr) 2022-02-03 2023-08-04 Cogelec Procédé de contrôle d’accès à des bâtiments
    FR3132372A1 (fr) 2022-02-03 2023-08-04 Cogelec Procédé de contrôle d’accès à des bâtiments
    EP4224442A1 (de) 2022-02-03 2023-08-09 Cogelec Verfahren zur steuerung des zugangs zu gebäuden
    EP4224441A1 (de) 2022-02-03 2023-08-09 Cogelec Verfahren zur steuerung des zugangs zu gebäuden
    EP4224443A1 (de) 2022-02-03 2023-08-09 Cogelec Verfahren zur steuerung des zugangs zu gebäuden

    Also Published As

    Publication number Publication date
    EP1321901B1 (de) 2010-04-07
    ATE463810T1 (de) 2010-04-15
    EP1321901A3 (de) 2005-09-07
    DE50214332D1 (de) 2010-05-20

    Similar Documents

    Publication Publication Date Title
    EP2691940B1 (de) Verwaltung von zugriffsrechten auf betriebs- und/oder steuerungsdaten von gebäuden oder gebäudekomplexen
    EP1321901B1 (de) Verfahren zur Regelung des Zutrittsregimes zu einem Objekt
    EP2238576B1 (de) Verfahren und vorrichtung zur steuerung der zutrittskontrolle
    DE102006062306A1 (de) Zugangs-, Überwachungs- und Kommunikationseinrichtung sowie Zugangs-, Überwachungs- und Kommunikationsverfahren
    DE60306627T2 (de) Dynamisches sicherheitssystem
    DE10025626A1 (de) Verschlüsseln von abzuspeichernden Daten in einem IV-System
    DE102011108003A1 (de) Prozessleitsystem
    DE102007005638A1 (de) Verfahren zur Autorisierung des Zugriffs auf mindestens eine Automatisierungskompente einer technischen Anlage
    DE4230281C2 (de) Personen-Identifikationssystem
    WO2018166942A1 (de) Verfahren zur zugangskontrolle
    EP1299817A2 (de) Informationsdienstsystem
    AT503783B1 (de) System zur kontrolle von berechtigungen von personen, zu autorisierende tätigkeiten durchzuführen
    DE102010019467A1 (de) Kontaktlos arbeitendes Zugangssystem
    EP1828993A1 (de) Zutrittskontrollanlage mit mehreren schliessvorrichtungen
    DE4436605A1 (de) Verfahren zur sicheren Ver- und Entriegelung von Schlössern mit einer Authentisierung
    DE2635180B2 (de) Verfahren zur elektronisch gesteuerten Freigabe von Tür-, Safe- und Funktionsschlössern unter Verwendung elektronisch codierter Schlüssel sowie Schaltungsanordnung zur Durchführung des Verfahrens
    DE10144936A1 (de) Verfahren zur Prüfung der Zugangsberechtigung
    AT502458B1 (de) Zutrittskontrollanlage
    BE1030391B1 (de) Dienstleister-Kunden-Kommunikationssystem mit zentraler Datenspeicherung und -verwaltung, integriertem-synchronisiertem Zeiterfassungssystem sowie lokalen Terminals
    DE102018005873A1 (de) Verfahren und System zur zentralisierten Authentifizierung von Unterstützungsdiensten bei einer Karten-Sofortausgabeeinrichtung
    DE102017123671B4 (de) System und Verfahren zum Verwalten von personenbezogenen Daten
    DE19903105A1 (de) Verfahren zur Sicherung des Zugangs zu einer Datenverarbeitungseinrichtung und entsprechende Vorrichtung
    EP4050545A1 (de) Verfahren zur installation von mehreren türkomponenten
    DE102019127784A1 (de) Verfahren zur sicheren Datendistribution und/oder zum sicheren Datenaustausch
    EP4195171A1 (de) Werkzeugausgabesystem, verfahren zur verwaltung und ausgabe von werkzeugen und verwendung eines elektronischen schlosses

    Legal Events

    Date Code Title Description
    PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

    Free format text: ORIGINAL CODE: 0009012

    AK Designated contracting states

    Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR IE IT LI LU MC NL PT SE SI SK TR

    AX Request for extension of the european patent

    Extension state: AL LT LV MK RO

    PUAL Search report despatched

    Free format text: ORIGINAL CODE: 0009013

    AK Designated contracting states

    Kind code of ref document: A3

    Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR IE IT LI LU MC NL PT SE SI SK TR

    AX Request for extension of the european patent

    Extension state: AL LT LV MK RO

    17P Request for examination filed

    Effective date: 20060306

    AKX Designation fees paid

    Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR IE IT LI LU MC NL PT SE SI SK TR

    17Q First examination report despatched

    Effective date: 20060724

    GRAP Despatch of communication of intention to grant a patent

    Free format text: ORIGINAL CODE: EPIDOSNIGR1

    GRAS Grant fee paid

    Free format text: ORIGINAL CODE: EPIDOSNIGR3

    GRAA (expected) grant

    Free format text: ORIGINAL CODE: 0009210

    AK Designated contracting states

    Kind code of ref document: B1

    Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR IE IT LI LU MC NL PT SE SI SK TR

    REG Reference to a national code

    Ref country code: GB

    Ref legal event code: FG4D

    Free format text: NOT ENGLISH

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: EP

    REG Reference to a national code

    Ref country code: IE

    Ref legal event code: FG4D

    Free format text: LANGUAGE OF EP DOCUMENT: GERMAN

    REF Corresponds to:

    Ref document number: 50214332

    Country of ref document: DE

    Date of ref document: 20100520

    Kind code of ref document: P

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: NV

    Representative=s name: FREI PATENTANWALTSBUERO AG

    REG Reference to a national code

    Ref country code: NL

    Ref legal event code: T3

    REG Reference to a national code

    Ref country code: SE

    Ref legal event code: TRGR

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: SI

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20100407

    REG Reference to a national code

    Ref country code: IE

    Ref legal event code: FD4D

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: ES

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20100718

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: GR

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20100708

    Ref country code: CY

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20100407

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: IE

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20100407

    Ref country code: DK

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20100407

    Ref country code: EE

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20100407

    Ref country code: PT

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20100809

    PLBE No opposition filed within time limit

    Free format text: ORIGINAL CODE: 0009261

    STAA Information on the status of an ep patent application or granted ep patent

    Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: CZ

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20100407

    Ref country code: SK

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20100407

    26N No opposition filed

    Effective date: 20110110

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: IT

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20100407

    BERE Be: lapsed

    Owner name: KABA A.G.

    Effective date: 20101231

    REG Reference to a national code

    Ref country code: NL

    Ref legal event code: V1

    Effective date: 20110701

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: MC

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20101231

    GBPC Gb: european patent ceased through non-payment of renewal fee

    Effective date: 20101216

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: FI

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20101216

    REG Reference to a national code

    Ref country code: FR

    Ref legal event code: ST

    Effective date: 20110831

    REG Reference to a national code

    Ref country code: SE

    Ref legal event code: EUG

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: SE

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20101217

    Ref country code: BE

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20101231

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: FR

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20110103

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: GB

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20101216

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: NL

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20110701

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: BG

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20100407

    Ref country code: LU

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20101216

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: TR

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20100407

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: CH

    Payment date: 20121114

    Year of fee payment: 11

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: AT

    Payment date: 20121212

    Year of fee payment: 11

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: BG

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20100707

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: PL

    REG Reference to a national code

    Ref country code: AT

    Ref legal event code: MM01

    Ref document number: 463810

    Country of ref document: AT

    Kind code of ref document: T

    Effective date: 20131216

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: LI

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20131231

    Ref country code: CH

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20131231

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: AT

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20131216

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: DE

    Payment date: 20211210

    Year of fee payment: 20

    REG Reference to a national code

    Ref country code: DE

    Ref legal event code: R071

    Ref document number: 50214332

    Country of ref document: DE