EP1321901B1 - Verfahren zur Regelung des Zutrittsregimes zu einem Objekt - Google Patents

Verfahren zur Regelung des Zutrittsregimes zu einem Objekt Download PDF

Info

Publication number
EP1321901B1
EP1321901B1 EP02406101A EP02406101A EP1321901B1 EP 1321901 B1 EP1321901 B1 EP 1321901B1 EP 02406101 A EP02406101 A EP 02406101A EP 02406101 A EP02406101 A EP 02406101A EP 1321901 B1 EP1321901 B1 EP 1321901B1
Authority
EP
European Patent Office
Prior art keywords
unit
stationary
certificate
mobile
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
EP02406101A
Other languages
English (en)
French (fr)
Other versions
EP1321901A3 (de
EP1321901A2 (de
Inventor
Urs Dütschler
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaba AG
Original Assignee
Kaba AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaba AG filed Critical Kaba AG
Publication of EP1321901A2 publication Critical patent/EP1321901A2/de
Publication of EP1321901A3 publication Critical patent/EP1321901A3/de
Application granted granted Critical
Publication of EP1321901B1 publication Critical patent/EP1321901B1/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00571Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00896Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses
    • G07C9/00904Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses for hotels, motels, office buildings or the like
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/21Individual registration on entry or exit involving the use of a pass having a variable access code
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/215Individual registration on entry or exit involving the use of a pass the system having a variable access-code, e.g. varied as a function of time
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/27Individual registration on entry or exit involving the use of a pass with central registration
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00182Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with unidirectional data transmission between data carrier and locks
    • G07C2009/00238Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with unidirectional data transmission between data carrier and locks the transmittted data signal containing a code which is changed
    • G07C2009/00253Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with unidirectional data transmission between data carrier and locks the transmittted data signal containing a code which is changed dynamically, e.g. variable code - rolling code
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C2009/00634Power supply for the lock

Definitions

  • the invention relates to a method for controlling the access regime to an object, a locking system, a mobile unit, a stationary unit, a computer program and a computer program product according to the independent claims.
  • Such locking systems are certainly the best choice if many participants with centrally accessible access have access to an object that is protected by relatively few locks. This is the case, for example, in a company building, where some doors are used by many employees.
  • Variable assignments of access authorizations also increasingly relate to different systems. So there are applications where a few key owners should have access to different objects that belong to different systems. For example, a supplier might have access to warehouses of various companies, and of course each company has its own locking system.
  • Base stations of a, for example, contactless system act as a locking cylinder.
  • the base stations are updated via a communication medium, for example the Internet.
  • the mobile units can then be initialized via a base station.
  • this approach requires that the locks are networked and, depending on the design as a fixed station, are also technically complex in design and large.
  • the U.S. Patent 6,317,025 shows a security system for load transports with programmable locks and mobile electronic keys, wherein the authorization to access the transported load is assigned by a central shipping unit.
  • the European patent application EP 1 024 239 shows an electronic access control system in which data between the Locks are not transmitted through fixed data lines but through the keys.
  • the international Publication WO 93/21712 shows an electronic security system for payphones and other coin-operated machines.
  • the problem arises that different people are responsible for collecting the accumulated money.
  • key management is time-consuming. Therefore, according to the cited patent publication, a portable key is connected to the key Housing is presented, which is assigned via the public telephone network and a modem connection, a list of ID codes; If one of the ID codes corresponds to an ID code of a lock cylinder, a release takes place.
  • the transmission of the ID codes can be encrypted.
  • the memory in the key can be assigned a time window during which the key is authorized to operate the lock cylinder.
  • the key can be powered by the portable housing and also power the lock cylinders.
  • This system solves the problem of expensive key management. However, it is relatively cumbersome and primarily suitable only for telephone booths, but it requires the immediate presence of a public telephone line. In addition, the system is very susceptible to manipulation, and therefore not suitable for applications requiring higher security. A person who wants to manipulate the key only has to prevent once stored ID codes from being deleted again and then assigning the key a current time slot.
  • the invention selects a fundamentally different approach compared to the prior art.
  • the mobile units (“keys") are variably programmable and equipped with means of communication as well as with storage means. In them, the information, which decides on valid, missing or wrong authorization, can be stored and reprogrammed.
  • the mobile units are the active, communication-capable components and have, for example, even energy supply means.
  • the mobile units can be sent a certificate from a central office. This includes, for example, a code which is to be passed to the fixed unit and is verified by this on the basis of stored information.
  • the fixed units (“lock cylinders"), however, are relieved of the task of managing the information about access authorizations, etc.
  • the handover of a code, which decides on the access authorization, from the mobile unit to the stationary unit takes place offline. That it is not necessary for the fixed or mobile unit to be in communication with a control center during verification.
  • the invention thus includes security elements in three components involved: the central office, which manages the access authorizations, the key, which is provided with characteristic information and the lock cylinder, in which information is stored, on the basis of which consistency is checked. All these three security elements are relevant. For example, you can not proceed without the current authorization of the central office. You can not transfer a once transmitted certificate by manipulating another key and obtain access with this. Finally, one can not use a certificate in any way to obtain access to a locking cylinder other than the intended one. There must be coherence - not just of volatile codes, but of the physical elements - of all three components.
  • the invention combines maximum flexibility of systems with purely electronic keys - such as that of the international Publication WO 93/21712 - with a high security against manipulation attempts. Due to the requirement that release can only take place if the correct key is physically present, the invention also has, in particular, a security element of traditional mechanical locking systems. In contrast to these, however, the security element can not be circumvented by mechanical copying.
  • the offline regulation of the release has massive advantages.
  • a supply of the stationary unit with current data is not mandatory.
  • the whole system can easily be extended by additional units.
  • the stationary units also need not be connectable online to a central unit. Nevertheless, a dynamic management of the access authorizations adapted to the circumstances can be carried out. This is an advantage in view of the application examples mentioned at the outset, where access to possibly very many objects with possibly difficult accessibility has to be regulated.
  • the condition that the verification is key-specific is an important prerequisite for ensuring the security of the system.
  • the information present on one key can be copied to another data carrier and this information can then be manipulated, for example in order to overcome the "time window" condition.
  • a manipulator must have had access to a key at least once, in order to be able to carry out manipulations much later and undetected. This is not possible with an inventive approach. If the information on one key is copied to another, such as a stolen other key, it will be worthless.
  • the key-specific verification also allows unambiguous locking cylinder-side logging of access.
  • the keys are the active units of the system according to the invention
  • the security is not based solely on a code transmitted to the key which must be correct and then authorized by virtue of its consistency, as known in the art.
  • the lock cylinder must determine on the basis of data characteristic of the key and on the basis of a certificate whether authorization exists.
  • the security elements are either programmed unilaterally in the lock cylinder or unilaterally in the key
  • the concept of 'networked' or 'entangled' security applies here: there must be consistency between the key - as physically existing entity - certificate and Lock cylinder present: only then can be released.
  • the inventive method and the corresponding system bring advantages in terms of variability.
  • the system as a whole can be continuously adapted to the circumstances without any restructuring.
  • Access authorizations can also be assigned to mobile units that were not part of the system before. This immediately gives another advantage: scalability.
  • the system allows the management of very few or very many fixed and mobile units without having to change the system architecture.
  • the system also allows the transmission and management of very simple access certificates as well as of complex, hierarchical certificates.
  • the fixed units can be made very simple and always the same and programmed on the basis of always the same algorithms.
  • the system is inherently dynamic. Although, or just because the certification, ie the transfer of the certificate to the fixed unit, takes place offline, access permissions can be re-issued or revoked at any time.
  • Fixed units of the inventive system can be designed so that they are easily installed in existing doors or cabinets, which were previously provided with standard lock cylinders. This represents a major and decisive advantage compared to existing methods and systems that attempt to introduce a variable, dynamic control of the access regime.
  • the invention thus offers a solution that is very simple in terms of implementation and handling for its task.
  • the stationary units do not have to be updateable to current access authorization information and therefore not networked at all.
  • the mobile units are additionally equipped with energy supply means, for example a battery.
  • the power supply of the stationary units during the access control can then be done by the keys.
  • the mobile units do not even have to be connected to the power grid. Even a maintenance of the stationary units, for example, a replacement of batteries, etc. is hardly necessary.
  • the certificates to be transmitted by a central unit can be designed differently. In a simple version of the invention, they consist only of the code which the stationary unit must recognize, as well as, for example, a time slot or an access quota. A time window defines a certain time during which access is possible. An access contingent determines a certain number of entrances, which are granted (for example, a single access is granted). The code is bswp. Encrypted pass to the fixed unit, with key-specific data (ID) are used as the 'Seed Number' for decryption.
  • ID key-specific data
  • the certificate may contain additional information.
  • An example of such data is an authorization hierarchy for more complex systems, which, unlike conventional systems, is not implemented by the key mechanics.
  • an access authorization may also be automatically associated with assigned objects of a lower hierarchy level.
  • the certificate may also include an object identification and a key identification.
  • An object identification can be embodied as unchangeable and unique object identification character, which can be uniquely assigned to the object or the stationary unit. It is, for example, set so that it can not even be changed by a central unit.
  • the object identification symbol can serve to prevent manipulations of the locking cylinders which, for example, can not be monitored by a central unit.
  • a key identifier serves to identify the keys and to ensure that the certificates are transmitted to the desired mobile unit.
  • the key identification must not necessarily be transferred to the lock cylinder.
  • no information from the lock cylinder must flow to the key.
  • the key After receiving the certificate, the key then transmits an encrypted code associated with the lock cylinder and stored therein together with the key-specific data (ID).
  • ID the key-specific data
  • the code may also be transmitted instead of a fixed character as a function value f ID (A, t) a substantially irreversible function of time and a functional parameter A may be present, wherein A characterizes the lock cylinder.
  • the key is only for ID (A, t) transmitted, he has no way of determining from A.
  • the verification ID f (A, t) calculated at a consistency release takes place.
  • the key-specific data (ID) - they are used here as a kind of 'seed number' for the data encryption - may have been determined by the central unit when the key was issued, but they are by no means changeable.
  • the regulation of the access regime is carried out in a two-stage authorization process.
  • the key gets a certificate from the central entity that authorizes it to access an object or group of objects.
  • the certificate can additionally regulate that the key is assigned only a limited access window or access quota. If the key has contact with a lock cylinder, in a first stage, a lock-identifying character is transmitted from the lock cylinder to the key. This then checks on the basis of the existing certificates in it - he can have received more than one certificate and save - if he is entitled to access the object with this lock cylinder. If this is not the case, the key remains passive and transmits, for example, no further information to the lock cylinder. If a certificate of the key affirms an authorization, the key transmits the code to the locking cylinder as the second stage of the procedure, whereupon the latter releases the access in case of consistency.
  • the system according to FIG. 1 has several components: the central unit 1 is the control instance. It may, for example, be identical to a control center of a surveillance company applying the system according to the invention, a distribution company, etc. It may be operated by persons or implemented as software. It has means of communication with the mobile units 2 (hereinafter: key).
  • the mobile units each have an energy source or energy storage as well as data processing and data storage means. In addition, they are equipped with communication means for transmitting data to the fixed units 3 (locking cylinders).
  • the term 'stationary' means Incidentally, in the context of this application, the units are substantially stationary in operation in relation to an object to be secured. The term does not exclude that the lock cylinders are attached to a mobile object (vehicle, ship, etc.) nor that they can be transported from one object to another for assembly.
  • the object in which the stationary units are integrated is symbolized by a box 4 in the drawing.
  • the stationary units 3 can, for example, be designed externally like conventional locking cylinders and take their place. They have storage means as well as a data processing and transmission unit for communication with the keys.
  • both the integration of energy sources or storage and the writability of the memory is optional and only depending on the design of the system available.
  • Each key 2 has, for example, an identification character K.
  • This identification character K can also be used as a key-specific data record (ID) in the manner described at the beginning; but he can also be different from this.
  • ID key-specific data record
  • this key is transmitted from the key.
  • At the headquarters it is determined or determined whether the owner of the key has or should be authorized to access the object. If access is to take place, then a certificate Z with the authorization code A (hereinafter referred to as code for short) is subsequently transmitted to the key.
  • the code A in the certificate is always contained in a fixed packet together with the key identifier K. (Then this is preferably not identical to the key-specific data record (ID)). This ensures that the code A can authorize access only if the key identification is consistent.
  • the code A is transferred to the locking cylinder and verified there. Then, if necessary, a release takes place.
  • the code is always transmitted together with an object identifier O.
  • This serves as a unique and unchangeable object identifier and is passed to the lock cylinder together with the code A for verification. It is hardware implemented in the object so that it can not be changed by reprogramming.
  • FIG. 2 is schematic in addition to the components of FIG. 1 a mobile transmission device 5 drawn.
  • This has a modem or other communication means for communication over a data network, such as the Internet. It may, for example, be designed as a battery-operated, portable device or be installed in a vehicle or the like. It can exchange information contactlessly with the key via a radio-frequency connection. Alternatively, there may also be direct (cable etc.) connection between the key 2 and the transmission device 5.
  • the transmission device can also be integrated in the key 2.
  • FIG. 2 It is also shown how the aforementioned object identifier O is handled, and of course the transmitter can not be used only in systems that use the object identifier.
  • FIG. 3 is yet another example of a key 2 shown schematically.
  • the key has a key blade 2.1, which can be worked out as in conventional keys and, for example, has the mechanical coding of a passkey. It can also be configured differently, and, for example, have no mechanical coding at all. Depending on the configuration of the lock cylinder, the locking system could also operate without contact and the key thus have no key blade.
  • the key has a printed circuit board 2.2, on which processor means 2.3 and traces 2.4 and possibly additional electronic components are attached.
  • the key power supply means 2.5 that is arranged a battery.
  • the battery, circuit board and the tracks are arranged so that the battery can supply the processor means with electrical energy.
  • the key still has a contact path 2.6 for communication, with a lock cylinder and / or its power supply. Furthermore, communication means 2.7 are still available with which data can be exchanged contactlessly with a transmission device or cylinder.
  • FIG. 4 a scheme is shown, which represents some elements of a system according to the invention and their interaction. Shown in the figure are a central unit 1, a transmission device 5, a key 2 and a lock cylinder 3.
  • the data transmission device, the key and the lock cylinder each have a processor unit 5.3, 2.3 respectively. 3.3. and a data storage and encryption unit 5.9, 2.9 resp. 3.3.
  • the processor unit and / or the data storage and encryption unit can, for example, be manufactured in a manner known per se. For example, you may want to include a LEGIC® security module, which is mentioned here as an example only.
  • To this data storage and encryption unit 5.9, 2.9 resp. 3.3 are connected means 5.7, 2.7 resp. 3.7 for contactless communication.
  • the key has power supply 2.5 as already described.
  • the power supply means supply the microprocessor unit 2.3 and a timer 2.8 connected thereto.
  • the transmission of data from the central unit to the transmission device takes place, for example, with known and common data transmission lines, interface protocols, etc. with the aid of the Internet.
  • the data transmission is preferably encrypted.
  • the channel for transferring data between the software 1.1 of the central unit 1 and the Transmission device 5 is symbolized in the figure by a double arrow 11.
  • the microprocessor interface 12 is used to synchronize the microprocessors 5.3, 2.3 of the transmission device and the key.
  • Time is an important parameter in the regulation of the access regime, for example if only one time slot is available for access. It can also be significant in terms of data and tamper resistance, as will be explained by way of examples.
  • the program interface 13 is used to exchange the mentioned data.
  • the program interface and the microprocessor interface need not physically use different data transmission channels.
  • the data interface 14 serves to transfer data from the key to the lock cylinder and possibly also in the reverse direction from the lock cylinder to the key.
  • About the power interface 15 of the lock cylinder is supplied with the required during the transfer of the certificate to the lock cylinder and during verification electrical energy. This can be done continuously or at the beginning of the action in a short-term energy storage of the lock cylinder.
  • FIG. 5 shows a central unit 1, some keys 2 and some objects 4 with lock cylinders 3.
  • the central unit 1 has information enabling it to control the whole system.
  • two databases 1.1 and 1.2 are shown symbolically.
  • the first database contains continuously updated information about the objects, the second database 1.2 about the keys.
  • Each key and each lock cylinder can be identified by means of a corresponding identification character K i or P i .
  • the data about the objects may have a data structure which reflects relationships of the objects with each other.
  • a very simple example is shown in the figure:
  • the objects with the identification P 3 , P 4 and P 9 are, for example, parts of a higher-level structure.
  • the object P 9 is arranged in a simple model an inner circle (parent), the objects P 3 and P 4 in an outer circle (subordinate).
  • the object P 9 may be a vault standing in a space to be reached by doors P 3 and P 4 .
  • An access to the object in the inner circle requires an access authorization to an object in the outer circle, but not vice versa. This hierarchical relationship is reflected in the data in the central unit.
  • a security service employee may only have access to subordinate objects, but in many different structures, a branch manager has access to all the objects in a single entity.
  • the object database 1.1 contains hierarchy archetypes B ;.
  • the hierarchy archetypes can, for example, directly contain the code A of the hierarchically subordinate objects.
  • Hierarchies corresponding to the hierarchy archetypes are transferred to the certificates.
  • the key database 1.2 contains certificate archetypes C i .
  • a security guard always gains access to the same items, but only once a night.
  • the certificates Z are produced on the basis of the archetypes and possibly current data. For example, the certificate archetypes contain references to hierarchy archetypes rather than the entire contents of the certificate archetypes.
  • individual elements of the archetypes may even be created in the key itself. However, they must be activated in any case by a certificate transmitted by the central unit.
  • Steps a, cf, i and j for example.
  • the certificate does not contain the actual code A but a value f ID (A, t 0) where t 0 is a time point to the right the key holder access is.
  • the processor means of the closing cylinder are supplied by a timer 2.8 in the key with the current time t. The adjustment then takes place between f ID (A, t 0 ) and f ID (A, t).
  • condition to be fulfilled for a release may be that the difference of the values f ID (A, t 0 ) and f ID (A, t) does not exceed a certain threshold value, wherein the function f must then be continuous and normalizable.
  • Example 2 but instead of a value f ID (A, t 0 ), a value f ID (A, n) is transmitted, where n represents the number of entries of the key holder so far.
  • f ID A, n
  • the certificate is transmitted from the central unit without a previous request signal. This may be useful, for example, if the key holder belongs to a security service or a supplier and an order is issued at the same time as the authorization from the central unit.
  • the owner of the key goes to the object to which he wants access.
  • a first step he puts the key in the lock cylinder of this object.
  • the key will not have a certificate that entitles it to access the object, and there will be no release.
  • the lock cylinder transfers an indication characterizing it - for example an object identification sign O - to the key.
  • This transmits the characterizing information to the control center, for which, if necessary, a communication module such as the mobile transmission device 5 is used.
  • a decision is made as to whether the key holder should be entitled to one-time access at this time. This can be done in an unmanned center based on table values or other characteristics.
  • control center can - possibly automatically - call the suspected owner of the key, for example on his mobile phone, and verify his identity and intentions.
  • An unmanned center can verify the identity by interrogating a certain statement - for example, an agreed code word - and comparing the voice of the called party with stored voice recordings.
  • the central office then sends a certificate to the key and it proceeds as in one of the examples explained above.
  • the access or attempt to access the object can be logged in any of the examples during the release / non-release or after this. This follows, for example, in a memory in the key.
  • the key can transmit the log to the central unit where it is stored and / or evaluated in a database.
  • Logs of successful access / access attempts can, of course, be used when creating new certificates.
  • an access / access attempt can also be logged in non-volatile data memories of the stationary units.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Lock And Its Accessories (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

  • Die Erfindung betrifft ein Verfahren zur Regelung des Zutrittsregimes zu einem Objekt, ein Schliesssystem, eine mobile Einheit, eine ortsfeste Einheit, ein Computerprogramm und ein Computerprogrammprodukt gemäss den unabhängigen Ansprüchen.
  • Traditionelle Schliesssysteme beruhen, auch wenn sie mit neusten Technologien verwirklicht sind, auf einem einheitlichen Prinzip. Mit mobilen Einheiten ("Schlüsseln") wird eine Freigabe in festen Einheiten ("Schliesszylindern") erwirkt. Die mobilen Einheiten besitzen eine fixe mechanische oder elektronische Codierung, während die festen Einheiten mechanisch oder elektronisch programmiert sind, so dass nur bei mobilen Einheiten mit bestimmten Codierungen eine Freigabe durch die ortsfesten Einheiten erfolgt. Moderne, elektronische Schliesssysteme sehen dabei vor, dass die Programmierung der ortsfesten Einheiten immer wieder abgeändert und aktualisiert werden kann.
  • Traditionelle Schliesssysteme bieten einen guten Schutz für einzelne Objekte mit klar geregelten Zugangsberechtigungen. Es können aber Probleme entstehen, wenn die zu schützenden, mit einem bestimmten Schlüssel zugänglichen Objekte territorial verteilt sind. Ebenfalls können Probleme entstehen, wenn die Gruppe der Zugangsberechtigten nicht von vornherein definiert ist und rasche und wiederholte Änderungen der Zutrittsberechtigungen zu erwarten sind. Dies gilt insbesondere auch, wenn die Freigabe jeweils nur für kurze Zeitabschnitte erfolgen soll.
  • Solche Schliesssysteme sind sicher die beste Wahl wenn viele Partizipienten mit zentral zu vergebenden Zugangsberechtigungen Zugang zu einem Objekt haben, das durch verhältnismässig wenige Schlösser geschützt ist. Dies ist bspw. bei einem Firmengebäude der Fall, wo einige Türen von vielen Angestellten benutzt werden.
  • Es gibt aber immer mehr Anwendungen, wo Zutrittsberechtigungen variabel vergeben werden sollen. Auch gibt es Anwendungen, wo viele potentielle Zylinder, die auch räumlich verteilt sein können, durch wenige Schlüsselbesitzer bedient werden sollen.
  • Ein Beispiel: Im Mobiltelefonbereich werden Anlagen in bisher durch staatliche oder halbstaatliche Institutionen kontrollierten Objekten zunehmend von Mobiltelefonbetreibern gewartet. Es kommt auch vor, dass die Anlagen Dritten gegen Miete zur Verfügung gestellt werden. Die Objekte, bspw. Tunnelanlagen, Kirchtürme, Gemeindehäuser etc. sind auf einem grossen territorialen Gebiet verteilt und lassen sich aus wirtschaftlichen oder technischen Gründen nicht durch Kabel oder Funk in ein Netz einbinden. Sie weisen eine Vielzahl von Systemen auf, welche von externen und internen Technikern gewartet werden müssen. Das Schlüsselmanagement wird daher zunehmend schwieriger. Auch muss eine Vielzahl von Schliesszylindern ausgewechselt werden, wenn eine einzige Person einen Schlüssel oder gar einen Generalschlüssel verliert. Die Absicherung von unter Sicherheitsaspekten kritischen Anlagen ist nicht vollständig gewährleistet, insbesondere in der Zeit zwischen einem Schlüsselverlust und dem Abschluss des Schliesszylinder-Austauschs.
  • Weitere Beispiele für Zugangsberechtigungen zu territorial weit verteilten Objekten finden sich bei der Tätigkeit von Überwachungsfirmen und Transportunternehmen, im Tiefbau etc. Eine ähnliche Problemstellung ist im Bereich Online-Shopping mit Hauslieferung denkbar. Es wäre wünschenswert, wenn bei Abwesenheit des Belieferten die Lieferung in ein abschliessbares Objekt erfolgen könnte.
  • Ebenfalls komplizierte und variable Zugansberechtigungen ergeben sich für die Zugangsberechtigung zu Chemieschränken (in Spitälern, Laboratorien etc.). Ähnliches gilt - auf einer anderen Sicherheitsstufe - für Schulen, wo die Zugangsberechtigung zu Klassen- und Vorbereitungszimmern häufigen Wechseln unterworfen ist.
  • Variable Vergaben von Zutrittsberechtigungen beziehen sich auch immer öfter auf verschiedene Systeme. So gibt es Anwendungen, wo einige wenige Schlüsselbesitzer Zugang zu verschiedenen Objekten haben sollten, die verschiedenen Systemen angehören. So sollte beispielsweise ein Lieferant möglicherweise Zugang zu Lagerräumen verschiedener Firmen haben, wobei natürlich jede Firma ein eigenes Schliesssystem hat.
  • Bereits existieren Ansätze zu technischen Lösungen, die diesen geänderten Umständen Rechnung tragen. Beispielsweise gibt es Systeme mit elektronischen Schlüsseln und elektronischen Schlössern, bei denen der Schlüssel eine unter Umständen zeitlich begrenzte Freigabe erhalten kann. Jeder Zugang zum geschützten Objekt wird schloss- und schlüsselseitig on-line protokolliert. Aspekte eines solchen Systems sind bspw. in der US-Patentschrift 4,988 , 987 beschrieben. Sowohl die Zylinder als auch die Schlüssel müssen in diesen Systemen von einer Zentrale programmiert werden. Das ist nachteilig in den Fällen der oben erwähnten Anwendungen, wo die mit Schlössern versehenen Objekte geografisch weit verstreut und unter Umständen auch schwer zugänglich sind. Ausserdem stellt ein solcher online-Ansatz hohe Anforderungen an Kommunikationsverbindungen, deren Verfügbarkeit, Protokolle etc.
  • Eine weiterer Ansatz wird bspw. in der nach dem Prioritätstag des vorliegenden Schutzrechts veröffentlichten internationalen Offenlegungsschrift WO 02/05225 beschrieben. Feststationen eines bspw. berührungslosen Systems fungieren als Schliesszylinder. Die Feststationen werden über ein Kommunikationsmedium, bspw. das Internet, aufdatiert. Die mobilen Einheiten können dann über eine Feststation initialisiert werden. Dieser Ansatz bedingt aber, dass die Schlösser vernetzt sind und je nach Ausgestaltung als Feststation auch technisch aufwändig konstruiert und gross sind.
  • Lösungen dieser Art stellen eine Erweiterung des konventionellen Konzepts durch Sicherheits- und Überwachungsfeatures dar. Durch einen erheblichen technischen Aufwand erlauben sie eine verbesserte Kontrolle über erfolgte Zugänge. Sie sind aber in der Herstellung relativ kompliziert und daher teuer. Auch ist ihre Bedienung umständlich, wodurch sie wenig geeignet sind für einen alltäglichen Gebrauch durch Nicht-Fachleute. Ausserdem bedingen Sie, dass die ortsfesten Einheiten Energiequellen besitzen. Wenn solche durch Batterien gebildet werden, benötigen sie viel Platz, wenn die Funktionsfähigkeit über eine längere Zeit gewährleistet werden soll und viele Zutritte zu erwarten sind.
  • Die US-Patentschrift 6,317,025 zeigt ein Sicherheitssystem für Lasttransporte mit programmierbaren Schlössern und mobilen elektronischen Schlüsseln, wobei die Berechtigung zum Zugriff zu der transportierten Last von einer zentralen Versandeinheit vergeben wird. Die europäische Offenlegungsschrift EP 1 024 239 zeigt ein elektronisches Zugangskontrollsystem, bei welchem Daten zwischen den Schlössern nicht durch feste Datenleitungen, sondern durch die Schlüssel übertragen werden.
  • Die internationale Offenlegungsschrift WO 93/21712 zeigt ein elektronisches Sicherheitssystem für Münztelefone und andere Automaten mit Münzeinwurf. Bei solchen Systemen stellt sich das Problem, dass verschiedene Personen für das Einsammeln des angesammelten Geldes verantwortlich sind. Es besteht die Gefahr von Missbrauch, und die Schlüsselverwaltung ist aufwändig. Daher wird gemäss der genannten Offenlegungsschrift ein mit dem Schlüssel verbundenes tragbares Gehäuse vorgestellt, welchem über das öffentliche Telefonnetz und eine Modemverbindung eine Liste von ID-Codes zugeteilt werden; wenn einer der ID-Codes einem ID-Code eines Schliesszylinders entspricht erfolgt eine Freigabe. Die Übermittlung der ID-Codes kann verschlüsselt geschehen. Ausserdem kann dem Speicher im Schlüssel ein Zeitfenster zugeteilt werden, während dem der Schlüssel zum Betätigen des Schliesszylinders berechtigt ist. Der Schlüssel kann über das tragbare Gehäuse mit Energie versorgt werden und auch die Schliesszylinder mit Energie versorgen. Dieses System löst das Problem der aufwendigen Schlüsselverwaltung. Es ist aber verhältnismässig umständlich und in erster Linie nur für Telefonkabinen geeignet, bedingt es doch das unmittelbare Vorhandensein eines öffentlichen Telefonanschlusses. Ausserdem ist das System sehr anfällig für Manipulationen, und daher nicht geeignet für Anwendungen, welche eine höhere Sicherheit erfordern. Eine Person, die den Schlüssel manipulieren will muss lediglich verhindern, dass einmal gespeicherte ID-Codes wieder gelöscht werden und dann dem Schlüssel ein aktuelles Zeitfenster zuteilen.
  • Weitere elektronische Sicherheitssysteme sind in der französischen Offenlegungsschrift 2 722 596 und in der europäischen Offenlegungsschrift 0 282 339 offenbart. Beide diese Systeme beruhen darauf, dass ein Code auf einen als Schlüssel dienenden Datenträger geladen wird; die französische Offenlegungsschrift 2 722 596 zeigt ausserdem Verfahren auf, wie ein solcher Code durch Kryptographiemittel im Schliesszylinder verifiziert werden kann.
  • Alle diese Sicherheitssysteme haben die Eigenschaft, dass der Schlüssel im Wesentlichen nur noch aus einem elektronischen Code (ID-Code, "Fingerabdruck") besteht. Wenn ein korrekter solcher Code an den Schliesszylinder übergeben wird, erfolgt Freigabe. Dies hat Nachteile, wenn die Sicherheitsanforderungen hoch sind. So ist bekannt, dass elektronische Daten mit geeigneten Mitteln kopiert oder manipuliert werden können.
  • Es ist daher eine Aufgabe der Erfindung, ein Verfahren zur Regelung eines ZutrittsRegimes sowie ein entsprechendes Schliesssystem und entsprechende Hardware- und Softwarekomponenten zur Verfügung zu stellen, welches Nachteile von konventionellen Verfahren und Systemen überwinden und welches insbesondere eine variablere Regelung von Zutrittsberechtigungen ermöglichen und dabei hohen Sicherheitsanforderungen genügen soll.
  • Diese Aufgabe wird gelöst durch die Erfindung, wie sie in den Patentansprüchen definiert ist.
  • Die Erfindung wählt einen im Vergleich zum Stand der Technik grundsätzlich anderen Ansatz. Die mobilen Einheiten ("Schlüssel") sind variabel programmierbar und mit Kommunikationsmitteln sowie mit Speichermitteln ausgestattet. In ihnen ist die Information, welche über gültige, fehlende oder falsche Berechtigung entscheidet, speicher- und umprogrammierbar. Die mobilen Einheiten sind die aktiven, kommunikationsfähigen Komponenten und weisen bspw. selbst Energieversorgungsmittel auf. Um eine Freigabe durch die ortsfesten Einheiten zu erhalten, lassen sich die mobilen Einheiten von einer Zentrale ein Zertifikat übermitteln. Dieses beinhaltet bspw. einen Code, welcher an die ortsfeste Einheit zu übergeben ist und von dieser anhand von gespeicherten Informationen verifiziert wird.
  • Diese Verifikation erfolgt aber mit schlüsselspezifischen Algorithmen (wobei mit 'schlüsselspezifisch' gemeint ist, dass bei jeder physisch vorhandenen ortsfesten Einheit anders verifiziert wird, bspw. indem Daten mit einer in einem nicht überschreibbaren Datenspeicher gespeicherten Schlüssel-Identifikationsnummer ID als ,Seed-Nummer' verschlüsselt werden). Zugangsberechtigungen werden also nicht rein aufgrund von elektronischen Daten mit dem Schlüssel als Datenträger vergeben, sondern der Schlüssel ist auch physisch ein Sicherheitselement, und zwar individuell.
  • Die ortsfesten Einheiten ("Schliesszylinder") sind hingegen von der Aufgabe befreit, die Information über Zugangsberechtigungen etc. zu verwalten. Die Übergabe eines Codes, der über die Zutrittsberechtigung entscheidet, von der mobilen Einheit an die ortsfeste Einheit erfolgt offline. D.h. es ist nicht notwendig, dass während der Verifikation die ortsfeste oder die mobile Einheit mit einer Zentrale in Kommunikationsverbindung steht.
  • Die Erfindung beinhaltet also Sicherheitselemente in drei beteiligten Komponenten: Der Zentrale, welche die Zugangsberechtigungen verwaltet, den Schlüssel, welcher mit charakteristischen Informationen versehen ist und den Schliesszylinder, in welchem Informationen gespeichert sind, anhand derer Stimmigkeit überprüft wird. Alle diese drei Sicherheitselemente sind relevant. Man kann bspw. nicht ohne die aktuelle Autorisierung der Zentrale vorgehen. Man kann auch nicht ein einmal übermitteltes Zertifikat durch Manipulation auf einen anderen Schlüssel übertragen und mit diesem den Zugang erwirken. Schliesslich kann man auch nicht ein Zertifikat in irgend einer Weise für die Erwirkung des Zugangs für einen anderen als den vorgesehenen Schliesszylinder verwenden. Es muss Stimmigkeit - nicht nur von flüchtig gespeicherten Codes, sondern der physischen Elemente - aller drei Komponenten herrschen.
  • Auf diese Weise kombiniert die Erfindung eine maximale Flexibilität von Systemen mit rein elektronischen Schlüsseln - wie bspw. demjenigen der internationalen Offenlegungsschrift WO 93/21712 - mit einer hohen Sicherheit gegenüber Manipulationsversuchen. Durch die Voraussetzung, dass nur beim physischen Vorhandensein des richtigen Schlüssels überhaupt eine Freigabe erfolgen kann, hat die Erfindung insbesondere auch ein Sicherheitselement von traditionellen, mechanischen Schliessystemen. Im Gegensatz zu diesen ist das Sicherheitselement aber nicht durch mechanisches Kopieren umgehbar.
  • Die offline-Regelung der Freigabe hat massive Vorteile. Eine Versorgung der ortsfesten Einheit mit aktuellen Daten ist nicht zwingend erforderlich. Das ganze System kann sehr einfach um zusätzliche Einheiten erweitert werden. Die ortsfesten Einheiten müssen auch nicht online mit einer zentralen Einheit verbindbar sein. Trotzdem kann ein dynamisches, laufend den Begebenheiten angepasstes Management der Zutrittsberechtigungen erfolgen. Dies ist ein Vorteil im Hinblick auf die eingangs erwähnten Anwendungsbeispiele, wo der Zugang zu möglicherweise sehr vielen Objekten mit eventuell schwieriger Zugänglichkeit geregelt werden muss.
  • Die Bedingung, dass die Verifikation schlüsselspezifisch erfolgt, ist eine wichtige Voraussetzung für die Gewährleistung der Sicherheit des Systems. So kann bspw. bei den eingangs beschriebenen elektronischen Sicherheitssystemen die auf einem Schlüssel vorhandene Information auf einen anderen Datenträger kopiert und dieser anschliessend manipuliert werden, bspw. um die ,Zeitfenster'-Bedingung zu überwinden. Ein Manipulierender muss sich lediglich irgend wann einmal Zugang zu einen Schlüssel gehabt haben, um dann möglicherweise viel später und unerkannt Manipulationen vornehmen zu können. Dies ist bei einem erfindungsgemässen Vorgehen nicht möglich. Wenn die auf einem Schlüssel vorhandenen Informationen auf einen anderen Datenträger - bspw. auf einen gestohlenen anderen Schlüssel - kopiert werden, sind sie wertlos. Ausserdem erlaubt die schlüsselspezifische Verifikation auch eine eindeutige schliesszylinderseitige Protokollierung des Zugangs.
  • Obwohl also wie erwähnt die Schlüssel die aktiven Einheiten des erfindungsgemässen Systems sind, beruht die Sicherheit nicht einzig auf einem dem Schlüssel übermittelten Code, der stimmen muss und dann kraft seiner Stimmigkeit zum Zugang berechtigt, wie das aus dem Stand der Technik bekannt ist. Vielmehr muss gemäss der Anmeldung der Schliesszylinder auf Basis von für den Schlüssel charakteristischen Daten und auf Basis eines Zertifikates bestimmen, ob eine Berechtigung vorliegt. Im Gegensatz zum Stand der Technik, wo die Sicherheitselemente entweder einseitig im Schliesszylinder programmiert sind oder einseitig im Schlüssel vorliegen, gilt hier das Konzept der 'vernetzten' oder 'verschränkten' Sicherheit: es muss eine Stimmigkeit zwischen Schlüssel - als physisch vorhandene Entität - Zertifikat und Schlosszylinder vorliegen: nur dann kann eine Freigabe erfolgen.
  • Das erfindungsgemässe Verfahren und das entsprechende System bringen Vorteile in Punkto Variabilität. Wie erläutert kann das System als Ganzes ohne jegliches Umstrukturieren laufend den Begebenheiten angepasst werden. Zutrittsberechtigungen können ohne Weiteres auch an mobile Einheiten vergeben werden, welche bisher noch nicht Teile des Systems waren. Daraus ergibt sich sofort ein weiterer Vorteil: die Skalierbarkeit. Das System ermöglicht die Verwaltung von sehr wenigen oder sehr vielen ortsfesten und mobilen Einheiten, ohne dass die Systemarchitektur geändert werden muss.
  • Damit verbunden ist der Vorteil der Mobilität. Im Gegensatz zu auch elektronischen Schiesssystemen gemäss dem Stand der Technik sind keine Komponenten des Systems - auch nicht die ,ortsfesten' Einheiten - an bestimmte Standorte gebunden.
  • Ein weiterer Vorteil ist die Vielseitigkeit. Das System erlaubt gleichermassen die Übermittlung und Verwaltung von sehr einfachen Zugangs-Zertifikaten wie auch von komplexen, hierarchischen Zertifikaten. In jedem Fall können die ortsfesten Einheiten sehr einfach und immer gleich ausgestaltet und auf der Basis von immer den gleichen Algorithmen programmiert sein.
  • Schliesslich ist das System inhärent dynamisch. Obwohl, oder gerade weil die Zertifzierung, also die Übergabe des Zertifikats an die ortsfeste Einheit, offline erfolgt, können Zugangsberechtigungen jederzeit neu erteilt oder aufgehoben werden.
  • Ortsfeste Einheiten des erfindungsgemässen Systems können so ausgestaltet sein, dass sie einfach in vorhandene Türen oder Schränke eingebaut werden, welche bisher mit Standard- Schliesszylindern versehen waren. Dies stellt einen grossen und entscheidenden Vorteil im Vergleich zu bestehenden Verfahren und Systemen dar, die eine variable, also dynamische Kontrolle des Zutrittsregimes einzuführen versuchen. Die Erfindung bietet damit eine in der Implementation und Handhabung sehr einfache Lösung für die sich ihr stellende Aufgabe.
  • Dadurch, dass die Regelung des Zutritts-Regimes offline erfolgt, müssen die ortsfesten Einheiten nicht auf aktuelle Zugangsberechtigungsinformationen aufdatierbar und daher gar nicht vernetzt sein. Vorzugsweise und in konsequenter Weiterentwicklung sind zusätzlich die mobilen Einheiten mit Energieversorgungsmitteln, bspw. einer Batterie, ausgestattet. Die Energieversorgung der ortsfesten Einheiten während der Zugangskontrolle kann dann durch die Schlüssel erfolgen. Die mobilen Einheiten müssen damit nicht einmal am Stromnetz hängen. Auch eine Wartung der ortsfesten Einheiten, bspw. ein Auswechseln von Batterien etc. ist kaum nötig.
  • Die von einer zentralen Einheit zu übermittelnden Zertifikate können verschieden ausgestaltet sein. In einer einfachen Version der Erfindung bestehen sie lediglich aus dem Code, welchen die ortsfeste Einheit erkennen muss, sowie bspw. einem Zeitfenster oder einem Zutrittskontingent. Ein Zeitfenster legt eine gewisse Zeit fest, während der der Zutritt möglich ist. Ein Zutrittskontingent bestimmt eine gewisse Anzahl von Zutritten, welche gewährt werden (bspw. wird ein einziger Zutritt gewährt). Der Code wird bswp. verschlüsselt an die ortsfeste Einheit übergeben, wobei für die Entschlüsselung schlüsselspezifische Daten (ID) als ,Seed Number' verwendet werden.
  • Das Zertifikat kann zusätzlich weitere Informationen beinhalten. Ein Beispiel für solche Daten ist eine Berechtigungs-Hierarchie bei komplexeren Systemen, die aber im Kontrast zu konventionellen Systemen nicht durch die Schlüssel-Mechanik implementiert ist. Beispielsweise kann gleichzeitig mit einer Zugangsberechtigung zu einem bestimmten Objekt automatisch auch eine Zugangsberechtigung mit zugeordneten Objekten einer tieferen Hierarchiestufe verbunden sein. Das Zertifikat kann auch eine Objekt-Identifikation und eine Schlüssel-Identifikation beinhalten.
  • Eine Objekt-Identifikation kann als unveränderbares und einmaliges Objekt-Identifikationszeichen ausgebildet sein, das dem Objekt bzw. der ortsfesten Einheit eindeutig zugeordnet werden kann. Es ist bspw. so festgelegt, dass es nicht einmal von einer zentralen Einheit geändert werden kann. Das Objekt-Identifikationszeichen kann dazu dienen, Manipulationen an den Schliesszylindem zu verhindern, die bspw. nicht von einer zentralen Einheit überwacht werden können.
  • Schliesslich können mit dem Zertifikat je nach Ausgestaltung des Systems und dessen Hardware-Komponenten auch noch individuell abgestimmte Daten wie zu hinterlegende PINs, Informationen für den Benützer etc. übermittelt werden. Auf diese Weise ermöglicht die Erfindung ,Sicherheit nach Mass'.
  • Ein Schlüssel-Identifikationszeichen dient dazu, die Schlüssel zu identifizieren und sicherzustellen, dass die Zertifikate an die gewünschte mobile Einheit übermittelt werden. Das Schlüssel-Identifikationszeichen muss nicht zwingend an den Schliesszylinder übergeben werden.
  • Gemäss einem ersten Ausführungsbeispiel muss keine Information vom Schliesszylinder an den Schlüssel fliessen. Der Schlüssel übermittelt dann nach Erhalt des Zertifikats einen verschlüsselten, dem Schliesszylinder zugeordneten und in diesem gespeicherten Code zusammen mit den schlüsselspezifischen Daten (ID) an diesen. In diesem wird die Stimmigkeit überprüft und es erfolgt ggf. eine Freigabe. Der zu übermittelnde Code kann auch anstelle eines festen Zeichens als Funktionswert fID(A, t) einer im Wesentlichen unumkehrbaren Funktion der Zeit und eines Funktionsparameters A vorhanden sein, wobei A den Schliesszylinder charakterisiert. Dem Schlüssel wird nur fID(A, t) übermittelt, er hat keine Möglichkeit zur Bestimmung von A. Im Schliesszylinder wird zur Verifikation ebenfalls fID(A, t) berechnet, bei Stimmigkeit erfolgt eine Freigabe. Zur zusätzlichen Sicherheit kann hardwaremässig sichergestellt sein, dass keine Information vom Schliesszylinder an den Schlüssel fliesst, womit ein ,Datenklau' - ein schlüsselseitiges Bestimmen von A - verunmöglicht wird. Die schlüsselspezifischen Daten (ID) - sie werden hier als eine Art ,Seed number' für die Datenenverschlüsselung verwendet - können bei der Herausgabe des Schlüssels von der zentralen Einheit bestimmt worden sein, sie sind aber keinesfalls veränderbar.
  • Gemäss einem weiteren Ausführungsbeispiel erfolgt die Regelung des Zutrittsregimes in einem zweistufigen Autorisierungsverfahren. Der Schlüssel erhält ein Zertifikat von der zentralen Einheit, welches ihn zum Zutritt zu einem Objekt oder einer Gruppe von Objekten berechtigt. Das Zertifikat kann zusätzlich regeln, dass dem Schlüssel nur ein beschränktes Zutrittsfenster bzw. Zutrittskontingent zugeteilt wird. Wenn der Schlüssel Kontakt mit einem Schliesszylinder hat, wird in einer ersten Stufe ein den Schliesszylinder identifizierendes Zeichen vom Schliesszylinder an den Schlüssel übermittelt. Dieser überprüft dann anhand der in ihm vorhandenen Zertifikate - er kann ja mehr als ein Zertifikat erhalten haben und speichern - ob er zu einem Zugang zum Objekt mit diesem Schliesszylinder berechtigt ist. Wenn das nicht der Fall ist, bleibt der Schlüssel passiv und übermittelt bspw. keine weiteren Informationen an den Schliesszylinder. Wenn ein Zertifikat des Schlüssels eine Berechtigung bejaht, übermittelt der Schlüssel als zweite Stufe des Verfahrens den Code an den Schliesszylinder, worauf dieser bei Stimmigkeit den Zugang freigibt.
  • Das erfindungsgemässe Schliesssystem bzw. seine Ausführungsformen erfüllen folgende Anforderungen:
    • Flexible Erteilung des Zutritts, und zwar als einmaliger Zutritt, als periodischer (täglicher, wöchentlicher etc.) Zutritt, als Zutritt während eines definierbaren Zeitfensters (Zutrittsfenster) oder als Zutritt ohne zeitliche Beschränkungen.
    • Jeder Zutritt kann registriert werden, und zwar nach Person resp. Schlüssel, Objekt, Zylinder und Zeit.
    • Der Zutritt ist kurzfristig fernkonfigurierbar, d.h. einer Person, welche ein Schlüsselmedium besitzt, kann sofort ein Zutritt zugeteilt werden.
    • Innerhalb eines Objektes können im Rahmen einer Berechtigungs-Hierarchie verschiedene Zonen definierbar sein, bspw. Hochspannungen, Leitsystem, Lager etc.. Innerhalb der Zonen kann auch die Zutrittsberechtigung von einzelnen Teilobjekten (Schränken, Räumen etc.) flexibel zuteilbar sein.
    • Das Schliesssystem kann einfach in vorhandene Türen oder Schränke eingebaut werden, welche bisher mit Standard- Schliesszylindern versehen waren.
    • Die ortsfesten Einheiten benötigen keine Energieversorgung.
    • Der Dialog mit einer zentralen Einheit, welche den Zutritt zum Objekt gewähren kann, kann mit modernen Standard-Kommunikationsmittel erfolgen, bspw. mit Internet-basierenden Kommunikationseinheiten. Auch die Übertragung der Zutritt verschaffenden Signale selbst kann in standardisierter Form erfolgen, z.B. mit dem TCP/IP-Protokoll und ggf. verschlüsselt.
    • Die zentrale Einheit kann die Möglichkeit haben, vorbereitete Zutrittsprofile zu erstellen.
    • Die zentrale Einheit kann ihrerseits in ein übergeordnetes System eingebunden sein, über welches Konfigurationen und Zuständigkeitsbereiche von mehreren zentralen Systemen verwaltet werden, wobei aber bspw. vom übergeordneten System keine direkten Zutritte gewährbar sind.
    • Eine Fluchtwegfunktion von Innen nach Aussen kann auch bei Energieausfall gewährleistet werden.
    • Der Inhaber des Objekts hat die Kontrolle über die zentrale Einheit und kann selbst entscheiden, dass ein beliebiger anderer System-Partizipient oder auch ein Partizipient eines anderen Systems Zugang erhält, er muss das nicht vordefinieren.
  • Im Folgenden werden noch Ausführungsbeispiele der Erfindung anhand von Figuren etwas detaillierter beschrieben. In den Figuren zeigen:
    • Figur 1 ein Schema erfindungsgemässen Verfahrens anhand von Komponenten des erfindungsgemässen Systems in einer ersten Ausführungsform.
    • Figur 2 ein analoges Schema mit Komponenten einer weiteren Ausführungsform des erfindungsgemässen Systems.
    • Figur 3 eine Ansicht einer mobilen Einheit für die Ausführung des erfindungsgemässen Verfahrens.
    • Figur 4 ein Schema von Einheiten des erfindungsgemässen Systems im Zusammenspiel.
    • Figur 5 ein Schema eines erfindungsgemässen Systems.
  • Das System gemäss Figur 1 besitzt verschiedene Komponenten: die zentrale Einheit 1 ist die Kontrollinstanz. Sie kann bspw. identisch sein mit einer Zentrale einer das erfindungsgemässe System anwendenden Überwachungsfirma, einer Verteilerfirma etc. Sie kann durch Personen bedient oder als Software implementiert sein. Sie besitzt Mittel zur Kommunikation mit den mobilen Einheiten 2 (im Folgenden: Schlüssel). Die mobilen Einheiten besitzen je eine Energiequelle bzw. einen Energiespeicher sowie Datenverarbeitungs- und Datenspeicherungsmittel. Ausserdem sind sie mit Kommunikationsmitteln zum Übermitteln von Daten an die ortsfesten Einheiten 3 (Schliesszylinder) ausgestattet. Der Begriff ,ortsfest' bedeutet im Kontext dieser Anmeldung übrigens, dass die Einheiten im Betrieb in Relation zu einem zu sichernden Objekt im wesentlichen stationär sind. Der Begriff schliesst weder aus, das die Schliesszylinder an einem mobilen Objekt (Fahrzeug, Schiff etc.) befestigt sind noch dass sie zur Montage von einem Objekt zum anderen transportierbar sind.
  • Das Objekt, in das die ortsfesten Einheiten integriert sind, ist in der Zeichnung durch einen Kasten 4 symbolisiert. Die ortsfesten Einheiten 3 können bspw. äusserlich wie konventionelle Schliesszylinder ausgebildet sein und an deren Stelle treten. Sie besitzen Speichermittel sowie eine Datenverarbeitungs- und Übertragungseinheit zur Kommunikation mit den Schlüsseln. Hingegen ist sowohl die Integration von Energiequellen bzw. -speichern als auch die Beschreibbarkeit des Speichers fakultativ und nur je nach Ausgestaltung des Systems vorhanden.
  • Jeder Schlüssel 2 besitzt bspw. ein Identifikationszeichen K. Dieses Identifikationszeichen K kann gleichzeitig als schlüsselspezifischer Datensatz (ID) in der eingangs geschilderten Art verwendet werden; er kann aber auch von diesem verschieden sein. Wenn Zugang zu einem Objekt 4 gewünscht wird, so wird vom Schlüssel aus dieses Identifikationszeichen übermittelt. In der Zentrale wird darauf hin festgestellt oder festgelegt, ob der Inhaber des Schlüssels die Berechtigung für einen Zugang zum Objekt hat oder erhalten soll. Wenn ein Zutritt erfolgen soll, wird anschliessend ein Zertifikat Z mit dem Autorisierungs-Code A (im Folgenden meist kurz Code genannt) an den Schlüssel übermittelt. Gemäss einer Ausführungsform des Verfahrens ist der Code A im Zertifikat immer in einem festen Paket zusammen mit dem Schlüssel-Identifikationszeichen K enthalten. (Dann ist dieses vorzugsweise nicht identisch mit dem schlüsselspezifischen Datensatz (ID)). So wird sichergestellt, dass der Code A nur bei Stimmigkeit der Schlüssel-Identifikation zum Zugang berechtigen kann. Der Code A wird an den Schliesszylinder übergeben und dort verifiziert. Dann erfolgt gegebenenfalls eine Freigabe.
  • Gemäss einer speziellen Ausführungsform wird der Code immer zusammen mit einer Objekt-Identifikation O übermittelt. Dieser dient als eindeutiges und unveränderbares Objekt-Identifikationzeichen und wird dem Schliesszylinder zusammen mit dem Code A zur Verifikation übergeben. Er ist hardwaremässig im Objekt so implementiert, dass er nicht durch Umprogrammieren abgeändert werden kann.
  • Die Kommunikationsmittel, über welche Daten zwischen der zentralen Einheit und dem Schlüssel übermittelt werden, können verschieden ausgestaltet sein. In der Figur 2 ist schematisch zusätzlich zu den Komponenten der Figur 1 ein mobiles Übermittlungsgerät 5 gezeichnet. Dieses besitzt ein Modem oder ein anderes Kommunikationsmittel zur Kommunikation über ein Datennetzwerk, bspw. das Internet. Es kann bspw. als batteriebetriebenes, tragbares Gerät ausgebildet sein oder in einem Fahrzeug oder dergleichen installiert sein. Es kann über eine Radiofrequenz-Verbindung berührungslos mit dem Schlüssel Informationen austauschen. Alternativ dazu kann auch direkte (Kabel- etc.) Verbindung zwischen dem Schlüssel 2 und dem Übermittlungsgerät 5 vorhanden sein. Schliesslich kann das Übermittlungsgerät auch im Schlüssel 2 integriert sein. In der Figur 2 ist auch dargestellt, wie das vorstehend erwähnte Objekt-Identifikationszeichen O gehandhabt wird, wobei das Übermittlungsgerät natürlich nicht nur in Systemen benutz werden kann, die sich des Objekt-Identifikationszeichens bedienen.
  • In der Figur 3 ist noch ein Beispiel für einen Schlüssel 2 schematisch dargestellt. Der Schlüssel besitzt eine Schlüsselblatt 2.1, welcher wie bei konventionellen Schlüsseln ausgearbeitet sein kann und bspw. die mechanische Kodierung eines Passschlüssels besitzt. Er kann auch anders ausgestaltet sein, und bspw. gar keine mechanische Kodierung aufweisen. Je nach Ausgestaltung des Schliesszylinders könnte das Schliesssystem auch berührungslos funktionieren und der Schlüssel also gar kein Schlüsselblatt aufweisen. Zusätzlich besitzt der Schlüssel eine Leiterplatte 2.2, auf welcher Prozessormittel 2.3 und Leiterbahnen 2.4 sowie eventuell zusätzliche elektronische Komponenten angebracht sind. Weiter sind im Schlüssel Energieversorgungsmittel 2.5, also eine Batterie angeordnet. Die Batterie, Leiterplatte sowie die Leiterbahnen sind so angeordnet, dass die Batterie die Prozessormittel mit elektrischer Energie versorgen kann. Ausserdem besitzt der Schlüssel noch einen Kontaktpfad 2.6 zur Kommunikation, mit einem Schliesszylinder und/oder zu dessen Energieversorgung. Ferner sind noch Kommunikationsmittel 2.7 vorhanden, mit welchen berührungslos mit einem Übermittlungsgerät oder Zylinder Daten ausgetauscht werden können.
  • In der Figur 4 ist ein Schema dargestellt, welches einige Elemente eines erfindungsgemässen Systems und ihr Zusammenspiel darstellt. In der Figur dargestellt sind eine zentrale Einheit 1, ein Übermittlungsgerät 5, ein Schlüssel 2 und ein Schliesszylinder 3. Das Datenübertragungsgerät, der Schlüssel und der Schliesszylinder besitzen je eine Prozessoreinheit 5.3, 2.3 resp. 3.3. und eine Datenspeicher- und Verschlüsselungseinheit 5.9, 2.9 resp. 3.3. Die Prozessoreinheit und/oder die Datenspeicher- und Verschlüsselungseinheit können bspw. in an sich bekannter Art gefertigt sein. Sie können bspw., was hier lediglich als Beispiel zur Illustration erwähnt sei, ein LEGIC® -Sicherheitsmodul enthalten. An diese Datenspeicher- und Verschlüsselungseinheit 5.9, 2.9 resp. 3.3 angeschlossen sind Mittel 5.7, 2.7 resp. 3.7 zur berührungslosen Kommunikation. Der Schlüssel besitzt wie bereits beschrieben Energieversorgungsmittel 2.5. Die Energieversorgungsmittel versorgen den die Mikroprozessoreinheit 2.3 sowie einen daran angeschlossenen Zeitgeber 2.8.
  • Das Übermitteln von Daten von der zentralen Einheit an das Übertragungsgerät erfolgt bspw. mit bekannten und gängigen Datenübertragungsleitungen, Schnittstellen Protokollen, etc. unter Zuhilfenahme des Internets. Selbstverständlich erfolgt die Datenübertragung vorzugsweise verschlüsselt. Der Kanal für das Übermitteln von Daten zwischen der Software 1.1 der zentralen Einheit 1 und dem Übertragungsgerät 5 ist in der Figur durch einen Doppelpfeil 11 symbolisiert. Zwischen dem Übertragungsgerät 5 und dem Schlüssel 2 sind zwei Interfaces eingerichtet: Das Mikroprozessorinterface 12 als Kontaktinterface und das Programminterface 13. Das Mikroprozessorinterface 12 dient der Synchronisation der Mikroprozessoren 5.3, 2.3 der Übertragungsgerätes und des Schlüssels. Die Zeit ist ein bedeutender Parameter bei der Regelung des Zutrittsregimes, bspw. wenn nur ein Zeitfenster für einen Zutritt zur Verfügung steht. Sie kann auch bedeutend sein bezüglich Daten- und Manipulationssicherheit, wie das anhand von Beispielen noch erläutert werden wird. Das Programminterface 13 dient dem Austausch der erwähnten Daten. Das Programminterface und das Mikroprozessorinterface brauchen sich nicht physisch verschiedener Datenübertragungskanäle zu bedienen.
  • Zwischen dem Schlüssel und dem Schliesszylinder sind zwei Interfaces vorgesehen. Das Dateninterface 14 dient der Übergabe von Daten vom Schlüssel an den Schliesszylinder und eventuell auch in die umgekehrte Richtung vom Schliesszylinder an den Schlüssel. Über das Leistungsinterface 15 wird der Schliesszylinder mit der während der Übergabe des Zertifikats an den Schliesszylinder und während der Verifikation benötigten elektrischen Energie versorgt. Dies kann kontinuierlich oder zu Beginn der Aktion in einen Kurzzeit-Energiespeicher des Schliesszylinders erfolgen.
  • Das Schema von Figur 5 zeigt eine zentrale Einheit 1, einige Schlüssel 2 und einige Objekte 4 mit Schliesszylindern 3.
  • Wie vorstehend erwähnt gibt es - durch Pfeile symbolisiert - einen Informationsfluss zwischen der zentralen Einheit und den Schlüsseln sowie von der zentralen Einheit autorisiert und eingeschränkt von den Schlüsseln zu den Schliesszylindern und je nach dem zurück. Zwischen der zentralen Einheit und den Schliesszylindern muss keine Information fliessen. Ebenso ist ein Informationsfluss zwischen den Schliesszylindern zwar nicht ausgeschlossen, aber im Allgemeinen nicht nötig. Zwischen den Schlüsseln untereinander darf keine Information fliessen.
  • Die zentrale Einheit 1 besitzt Informationen, die zur Kontrolle über das ganze System befähigen. In der Figur sind zwei Datenbanken 1.1 und 1.2 symbolisch dargestellt. Die erste Datenbank enthält laufend aufdatierte Informationen über die Objekte, die zweite Datenbank 1.2 über die Schlüssel.
  • Jeder Schlüssel und jeder Schliesszylinder ist anhand eines entsprechenden Identifikationszeichens Ki bzw. Pi identifizierbar. Die Daten über die Objekte können eine Datenstruktur aufweisen, welche Beziehungen der Objekte untereinander widerspiegeln. Ein sehr simples Beispiel ist in der Figur dargestellt: Die Objekte mit den der Identifikation P3, P4 und P9 sind bspw. Teile eines übergeordneten Gebildes. Das Objekt P9 ist dabei in einem einfachen Modell einem inneren Kreis angeordnet (übergeordnet), die Objekte P3 und P4 in einem äusseren Kreis (untergeordnet). Als Beispiel zur Illustration kann das Objekt P9 ein Tresor sein, der in einem durch Türen P3 und P4 zu erreichenden Raum steht. Ein Zugang zum Objekt im inneren Kreis bedingt eine Zugangsberechtigung zu einem Objekt im äusseren Kreis, umgekehrt aber nicht. Diese hierarchische Beziehung findet in den Daten in der zentralen Einheit ihren Niederschlag.
  • Die Schlüsselinhaber erfüllen unterschiedliche Funktionen und werden daher auch mit unterschiedlichen Zertifikaten ausgestattet: Ein Sicherheitsdienstmitarbeiter erhält vielleicht Zugang nur zu untergeordneten Objekten, dafür aber in vielen verschiedenen Gebilden, ein Filialleiter hat Zugang zu allen Objekten eines einzigen Gebildes.
  • Entsprechend sind in den Datenbanken Archetypen angelegt. Die Objekt-Datenbank 1.1 enthält Hierarchie-Archetypen B;. So kann bspw. mit einer Zugangsberechtigung zu einem Objekt inhärent oder zumindest defaultmässig eine Zugangsberechtigung zu einem hierarchisch untergeordneten Objekt verbunden sein. Die Hierarchie-Archetypen können bspw. den Code A der hierarchisch untergeordneten Objekte direkt enthalten. Den Hierarchie-Archetypen entsprechende Hierarchien werden in die Zertifikate übernommen. Die Schlüssel-Datenbank 1.2 enthält Zertifikat-Archetypen Ci. Typischerweise erhält ein Sicherheitsdienstmitarbeiter immer wieder Zugang zu denselben Objekten, aber nur einmal pro Nacht. Die Zertifikate Z werden anhand der Archetypen und ggf. aktuellen Daten gefertigt. Die Zertifikat-Archetypen enthalten bspw. Verweise auf Hierarchie-Archetypen und nicht den gesamten Inhalt der Zertifikat-Archetypen.
  • Gemäss einem Ausführungsbeispiel können einzelne Elemente der Archetypen sogar im Schlüssel selbst angelegt sein. Sie müssen aber auf jeden Fall durch ein von der zentralen Einheit übermitteltes Zertifikat aktiviert werden.
  • Es folgen einige Beispiele für das erfindungsgemässe Verfahren:
    • Beispiel 1:
    1. a. Der Schlüssel wird von seinem Inhaber aktiviert und fragt bei der Zentrale um einen Berechtigung an. Diese Anfrage in der Form eines Request-Signals kann individuell auf einen einzelnen Zugang hin oder pauschal (bspw. morgens, wenn der Inhaber als Monteur die Arbeit aufnimmt und eine Zugangsberechtigung für sämtliche an diesem Tag zugänglichen Objekte erhalten möchte) erfolgen. Das Request-Signal beinhaltet ein Schlüssel-Identifikationszeichen K.
    2. b. Der in der zentralen Einheit vorhandene Computer prüft anhand einer laufend aktualisierbaren Datenbank die Berechtigung und stellt ein Zertifikat zusammen. Dieses beinhaltet für jedes Objekt einen für dieses charakteristischen Code A sowie ein Zeitfenster bzw. ein Zutrittskontingent. Zusätzlich enthält das Zertifikat das Schlüssel-Identifikationszeichen des Empfängers.
    3. c. Der zentrale Computer übersendet das Zertifikat an das Übermittlungsgerät bzw. an die mobile Einheit verschlüsselt.
    4. d. Die mobile Einheit empfängt das Zertifikat ggf. vom Übermittlungsgerät (in dem es zwischengespeichert sein kann, bis zwischen dem Übermittlungsgerät und der mobilen Einheit eine Verbindung besteht) und speichert es auf ihrem Speicherchip ab.
    5. e. Der Inhaber des Schlüssels begibt sich zum Objekt und steckt den Schlüssel in den Schliesszylinder.
    6. f. Der Schlüssel versorgt den Schliesszylinder mit elektrischer Energie. Dies kann in einen Kurzzeit-Energiespeicher oder kontinuierlich während der folgenden Verfahrensschritte erfolgen.
    7. g. Der Schlüssel übergibt den im Zertifikat enthaltenen Code, bspw. weitere Informationen wie ein Schlüssel-Identifikationszeichen K über die Datenschnittstelle 14 an den Schliesszylinder. Die Übergabe ist bspw. ebenfalls verschlüsselt, wobei die ,Seed Number' von der zur Übersendung des Zertifikats verwendeten ,Seed Number' verschieden ist und bspw. dem schlüsselspezifischen Datensatz ID entspricht.
    8. h. Die im Schliesszylinder enthaltenen Prozessormittel führen eine Verifikation durch, d.h. einen Abgleich zwischen dem übermittelten und einem gespeicherten Code durch. Ggf. wird der übermittelte Code vorher entschlüsselt. Entsprechende Verfahren, wie das Public Key/Private Key-System, welche bspw. gleichzeitig auch noch eine nicht manipulierbare Verifikation des Absenders der verschlüsselten Botschaft (hier des Schlüssels) erlauben, sind an sich bekannt und werden hier nicht weiter im Detail erläutert.
    9. i. Durch die Prozessormittel des Schliesszylinders wird bei Stimmigkeit eine Freigabe ausgelöst. Nach der Freigabe hat der Schlüsselinhaber eine gewisse Zeit, typischerweise einige Sekunden, zur Verfügung um den Schlüssel zu drehen. Durch Kontakte im Zylinder wird festgestellt, in welcher Stellung sich der Schlüssel befindet. Damit Schlüssel und Schliesszylinder erkennen können, wann der Kontakt unterbrochen wird, sendet der Schlüssel bspw. dauernd Testbits.
    10. j. Bei fehlender Stimmigkeit (entsprechend einer fehlenden oder falschen Berechtigung) erfolgt ein nicht-Freigabe-Ereignis. Dieses kann bspw. einfach ein akustisches Signal sein. Ein dem nicht-Freigabe-Ereignis ähnliches Ereignis kann auch ausgelöst werden, wenn innerhalb einer bestimmten Schwellenzeit keine Kommunikationsverbindung zwischen Schlüssel und Schliesszylinder aufgebaut werden konnte oder wenn bspw. die Batterie 2.5 entladen ist und die Energie nicht ausreicht.
    Beispiel 2:
  • Schritte a, c-f, i und j bspw. gleich wie beim Beispiel 1, aber das Zertifikat enthält nicht den eigentlichen Code A sondern einen Wert fID(A,t0), wobei t0 ein Zeitpunkt ist, um den Schlüsselinhaber zum Zugang berechtigt ist. Beim Kontakt zwischen Schlüssel und Schliesszylinder, d.h. nach dem Schritt e werden die Prozessormittel des Schliessszylinders durch einen Zeitgeber 2.8 im Schlüssel mit der aktuellen Uhrzeit t versorgt. Der Abgleich erfolgt dann zwischen fID(A,t0) und fID(A, t). Dabei kann die für eine Freigabe zu erfüllende Bedingung diejenige sein, dass die Differenz der Werte fID(A,t0) und fID(A, t) einen gewissen Schwellwert nicht überschreitet, wobei die Funktion f dann stetig und normierbar sein muss.
    • Beispiel 3:
  • Wie Beispiel 2, aber die Berechtigung erfolgt nicht nur zu einem Zeitpunkt t0 (bzw. in einem diesen umgebenden Zeitfenster) sondern periodisch wiederkehrend, bspw. täglich um eine bestimmte Zeit. Dies kann damit bewirkt werden, dass das Zertifikat eine Reihe von Funktionswerten fID(A,ti) enthält mit i=1, 2, ... oder mit der Verwendung einer speziellen, in t periodischen Funktion.
    • Beispiel 4:
  • Wie Beispiel 2, aber anstelle eines Wertes fID(A,t0) wird ein Wert fID(A,n) übermittelt, wobei n die Zahl der bisher erfolgten Zutritte des Schlüsselinhabers darstellt. Dieses Beispiel funktioniert gewissermassen analog zu einem Streichlisten-Prinzip.
    • Beispiel 5:
  • Wie Beispiel 1 bis 4, aber anstelle des Schrittes a wird das Zertifikat von der zentralen Einheit ohne ein vorgängiges Request-Signal übermittelt. Das kann bspw. sinnvoll sein, wenn der Schlüssel-Inhaber einem Sicherheitsdienst oder einem Lieferanten angehört und gleichzeitig mit der Berechtigung von der Zentralen Einheit ein Auftrag ausgegeben wird.
    • Beispiel 6:
  • Der Inhaber des Schlüssels begibt sich zum Objekt, zu dem er Zugang erhalten möchte. In einem ersten Schritt steckt er den Schlüssel in den Schliesszylinder dieses Objekts. Im Allgemeinen wird der Schlüssel kein Zertifikat aufweisen, welches ihn zum Zugang des Objektes berechtigt, und es erfolgt auch keine Freigabe. Der Schliesszylinder übergibt aber eine ihn charakterisierende Angabe - bspw. ein Objekt-Identifikationszeichen O - an den Schlüssel. Dieser übermittelt die charakterisierende Angabe an die Zentrale, wofür noch gegebenenfalls ein Kommunikationsmodul wie das mobile Übermittlungsgerät 5 eingesetzt wird. In der Zentrale wird entschieden, ob der Schlüsselträger zu diesem Zeitpunkt zu einem einmaligen Zugang berechtigt sein soll. Dies kann in einer unbemannten Zentrale anhand von Tabellenwerten oder anderen Charakteristika geschehen. Zur zusätzlichen Sicherheit kann die Zentrale - ggf. automatisiert - den vermuteten Inhaber des Schlüssels anrufen, bspw. auf seinen Mobiltelefon , und seine Identität und Absichten überprüfen. Eine unbemannte Zentrale kann die Identität überprüfen, indem sie eine bestimmte Aussage - bspw. ein vereinbartes Codewort - von ihm abfragt und die Stimme des Angerufenen mit gespeicherten Stimmaufnahmen vergleicht. Dann übermittelt die Zentrale ein Zertifikat an den Schlüssel, und es wird wie in einem der vorstehend erläuterten Beispiele vorgegangen.
  • Je nach Ausgestaltung des Systems kann in irgendeinem der Beispiele bei der Freigabe/nicht-Freigabe oder nach dieser der Zutritt bzw. Zutrittsversuch zum Objekt protokolliert werden. Dies folgt bspw. in einen Speicher im Schlüssel. Beim nächsten Kontakt mit der zentralen Einheit oder direkt von sich aus kann der Schlüssel das Protokoll an die zentrale Einheit übermitteln, wo es in einer Datenbank gespeichert und/oder ausgewertet wird. Protokolle von erfolgten Zutritten/Zutrittsversuchen können natürlich bei der Erstellung von neuen Zertifikaten verwendet werden. Alternativ oder als Ergänzung dazu kann ein Zutritt/Zutrittsversuch auch in nichtflüchtigen Datenspeichern der ortsfesten Einheiten protokolliert werden.
  • Natürlich gehören auch beliebige Kombinationen von Merkmalen der vorstehend Beschriebenen Beispiele, sofern sie im Rahmen der Definition der unabhängigen Ansprüche und nicht widersprüchlich sind.

Claims (22)

  1. Verfahren zur Regelung des Zutrittsregimes zu einem Objekt, oder zu einer Gruppe von Objekten, wobei eine mobile Einheit (2) mit einer ortsfesten Einheit (3) in Kontakt tritt und diese in Abhängigkeit von einer Verifikation das Objekt freigibt oder ein nicht-Freigabe-Ereignis auslöst, wobei vorgängig zum Kontakt zwischen der ortsfesten und der mobilen Einheit eine zentrale Einheit ein Zertifikat an die mobile Einheit übermittelt und die Verifikation auf Basis von im Zertifikat enthaltenen Daten und offline erfolgt, dadurch gekennzeichnet, dass die mobile Einheit einen mobile-Einheit-spezifischen, fest gespeicherten Identitätscode (ID) aufweist, und dass ein zur Freigabe des Objekts bzw. der Gruppe von Objekten berechtigender Code auf Basis dieses spezifischen Identitätscodes und des Zertifikates ermittelt wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der spezifische Identitätscode (ID) als ,Seed Number' bei einer Verschlüsselung von im Zertifikat enthaltenen Daten dient.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Zertifikat einen Code enthält, welcher von der mobilen Einheit (2) an die ortsfeste Einheit (3) übergeben wird, und dass die Verifikation eine Prüfung des Codes auf Übereinstimmung mit Daten ist, welche auf Basis von in Speichermitteln der ortsfesten Einheit (3) fest gespeicherten Daten ermittelt werden.
  4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass zwischen der zentralen Einheit und der ortsfesten Einheit kein direkter Informationsfluss stattfindet.
  5. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Freigabe/nicht-Freigabe von einem im Zertifikat enthaltenen Zutritts-Zeitfenster oder einem Zutrittskontingent abhängig gemacht werden kann.
  6. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass der zur Freigabe des Objekts bzw. der Gruppe von Objekten berechtigende Code von der Zeit und/oder von einer Statusinformation abhängig ist.
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass das Zertifikat einen Funktionsparameter enthält, dass der Code als im Wesentlichen unumkehrbare Funktion der Zeit und dieses Funktionsparameters berechnet wird, und dass in der ortsfesten Einheit durch Prozessormittel der Code durch Evaluation einer ebenfalls im Wesentlichen unumkehrbaren Funktion der Zeit verifiziert wird.
  8. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass keine für das Zertifikat nützliche Information von den ortsfesten Einheiten (3) an die mobilen Einheiten fliesst.
  9. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Übermittlung des Zertifikats an die mobile Einheit online erfolgt.
  10. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass das Zertifikat an ein Übertragungsgerät (5) übermittelt und von diesem an die mobile Einheit weiter übermittelt wird.
  11. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass vorgängig zur Verifikation und/oder während der Verifikation Energie von der mobilen Einheit an die ortsfeste Einheit übertragen wird.
  12. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass zur Autorisierung die ortsfeste Einheit ein das Objekt bzw. die Gruppe von Objekten identifizierende Zeichen an die mobile Einheit übergibt und dass eine Verifikation auf Basis des Zertifikates durch Prozessormittel der mobilen Einheit erfolgt.
  13. Elektronisches Schliesssystem mit ortsfesten Einheiten (3) und mobilen Einheiten (2), wobei die mobilen Einheiten codierbar sind und die ortsfesten Einheiten Freigabemittel besitzen, um ein Objekt oder eine Gruppe von Objekten freizugeben, wenn eine mobile Einheit mit ihnen Verbindung steht und nachdem eine Verifikation als Abgleich zwischen Daten durchgeführt wurde, wobei die mobilen Einheiten mit Kommunikationsmitteln zur Kommunikation mit einer zentralen Einheit (1) und mit Speichermitteln zum Speichern eines von der zentralen Einheit übermittelten Zertifikats ausgestattet sind, dass in den mobilen Einheiten und den ortsfesten Einheiten Mittel zur offline-Durchführung der Verifikation als Abgleich von im Zertifikat enthaltenen und mit in Speichermitteln der ortsfesten Einheiten vorhandenen Daten vorhanden sind dadurch gekennzeichnet, dass jede mobile Einheit einen mobile-Einheit-spezifischen, fest abgespeicherten Identitätscode (ID) aufweist, und dass ein zur Freigabe des Objekts bzw. der Gruppe von Objekten berechtigender Code auf Basis dieses spezifischen Identitätscodes und des Zertifikates ermittelbar ist.
  14. Schliesssystem nach Anspruch 13, dadurch gekennzeichnet, dass die mobilen Einheiten Energieversorgungsmittel (2.5) besitzen, und dass eine Leistungsschnittstelle (15) zur Übertragung von Energie an die ortsfesten Einheiten vorhanden ist, während die ortsfesten Einheiten und die mobilen Einheiten in Verbindung stehen, so dass für die Verfikation die ortsfesten Einheiten (3) von den mobilen Einheiten (2) mit elektrischer Energie versorgt werden können.
  15. Schliesssystem nach Anspruch 13 oder 14, dadurch gekennzeichnet, dass die ortsfesten Einheiten frei von fest installierten Kommunikationsleitungen und frei von Energieversorgungsmitteln sind.
  16. Mobile Einheit (2) zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 12 als Teil eines Systems nach einem der Ansprüche 13 bis 15, aufweisend Kommunikations- und Prozessormittel zum Austausch von Informationen mit einer zentralen Einheit, Speichermittel zum Speichern von von der zentralen Einheit empfangenen Zertifikaten, eine Schnittstelle (14, 15) zum offline-Austausch von Informationen mit einer ortsfesten Einheit (3), und einen fest gespeicherten, mobile-Einheit-spezifischen Identitätscode (ID), dadurch gekennzeichnet, dass die mobile Einheit Programmcodemittel aufweist, die sie befähigen, zusammen mit der ortsfesten Einheit ein Verfahren nach einem der Patentansprüche 1-12 durchzuführen.
  17. Mobile Einheit nach Anspruch 16, gekennzeichnet durch Energieversorgungsmittel (2.5) sowie eine Leistungsschnittstelle (15) zum Übertragen von Energie auf eine ortsfeste Einheit.
  18. Ortsfeste Einheit (3) zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 12 als Teil eines Systems nach einem der Ansprüche 13 bis 15, aufweisend Speichermittel zum nichtflüchtigen Speichern von für die ortsfeste Einheit charakteristischen Informationen, eine Schnittstelle (14) zum offline-Austausch von Informationen mit einer mit ihr in Verbindung stehenden mobilen Einheit (2), und Mittel zum Betätigen eines Freigabemechanismus in Abhängigkeit von einer Verifikation von mit der Schnittstelle ausgetauschten und in den Speichermitteln gespeicherten Informationen dadurch gekennzeichnet, dass die ortsfeste Einheit Programmcodemittel aufweist, die sie befähigen, zusammen mit der mobilen Einheit ein Verfahren nach einem der Patentansprüche 1-12 durchzuführen..
  19. Ortsfeste Einheit nach Anspruch 18, gekennzeichnet durch eine Leistungsschnittstelle (15) zum Empfangen von elektrischer Energie von einer mobilen Einheit für das Durchführen der Verfikation.
  20. Ortsfeste Einheit nach Anspruch 19, dadurch gekennzeichnet, dass die Mittel zum Betätigen eines Freigabemechanismus so ausgebildet und verschaltet sind, dass sie ebenfalls mit von der ortsfesten Einheit empfangener elektrischer Energie betätigt werden können.
  21. Computerprogramm mit Programmcodemitteln, die einen über Kommunikationsmittel mit einer mobilen Einheit eines Systems nach einem der Ansprüche 13 bis 15 verbindbaren Computer befähigen, eine zentrale Einheit in einem Verfahren nach einem der Ansprüche 1 bis 12 zu bilden , und mit Programmcodemitteln, die den Computer befähigen, in Abhängigkeit eines von einer mobilen Einheit (2) abgesandten Request-Signals ein Zertifikat auszustellen und verschlüsselt an die mobile Einheit zu versenden.
  22. Computerprogrammprodukt enthaltend computerlesbare Programmcodemittel, die einen über Kommunikationsmittel mit einer mobilen Einheit eines Systems nach einem der Ansprüche 13 bis 15 verbindbaren Computer befähigen, eine Zentrale Einheit im Verfahren nach einem der Ansprüche 1. bis 12 zu bilden, wobei die computerlesbaren Programmcodemittel den Computer auch befähigen, in Abhängigkeit eines von einer mobilen Einheit abgesandten Request-Signals ein Zertifikat auszustellen und verschlüsselt an die mobile Einheit zu versenden.
EP02406101A 2001-12-21 2002-12-16 Verfahren zur Regelung des Zutrittsregimes zu einem Objekt Expired - Lifetime EP1321901B1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CH234701 2001-12-21
CH23472001 2001-12-21

Publications (3)

Publication Number Publication Date
EP1321901A2 EP1321901A2 (de) 2003-06-25
EP1321901A3 EP1321901A3 (de) 2005-09-07
EP1321901B1 true EP1321901B1 (de) 2010-04-07

Family

ID=4568704

Family Applications (1)

Application Number Title Priority Date Filing Date
EP02406101A Expired - Lifetime EP1321901B1 (de) 2001-12-21 2002-12-16 Verfahren zur Regelung des Zutrittsregimes zu einem Objekt

Country Status (3)

Country Link
EP (1) EP1321901B1 (de)
AT (1) ATE463810T1 (de)
DE (1) DE50214332D1 (de)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1643457A1 (de) * 2004-10-04 2006-04-05 SimonsVoss Technologies AG Schliessanlagensystem und Verfahren zum Betreiben einer elektronischen Schliessanlage
AT502458B1 (de) * 2005-03-03 2010-10-15 Evva Sicherheitssysteme Gmbh Zutrittskontrollanlage
EP2348490B1 (de) * 2009-12-22 2020-03-04 9Solutions Oy Zugangskontrollsystem
EP2821972B1 (de) 2013-07-05 2020-04-08 Assa Abloy Ab Schlüsselvorrichtung und zugehöriges Verfahren, Computerprogramm und Computerprogrammprodukt
PL2821970T5 (pl) * 2013-07-05 2019-12-31 Assa Abloy Ab Urządzenie komunikacyjne kontroli dostępu, sposób, program komputerowy i produkt programu komputerowego
DE102016218473A1 (de) * 2016-09-26 2018-03-29 Aug. Winkhaus Gmbh & Co. Kg Elektronische Schließanlage und Verfahren zum Betrieb einer elektronischen Schließanlage
EP3506216A1 (de) * 2017-12-28 2019-07-03 Netatmo Inteligentes Schloss mit Energiesparfunktion und elektromechanischem Schlüssel
FR3094389B1 (fr) 2019-03-29 2021-07-09 Antoine Decayeux Dispositif d’ouverture et de fermeture de porte avec contrôle d’accès, système intégrant un tel dispositif, et procédé correspondant
AT522608A1 (de) * 2019-05-16 2020-12-15 Evva Sicherheitstechnologie Verfahren zum Betreiben eines Zutrittskontrollsystems sowie Zutrittskontrollsystem
SE1951130A1 (en) * 2019-10-03 2021-04-04 Swedlock Ab Electromechanical lock assembly
NL2024201B1 (en) * 2019-11-08 2021-07-20 Kibba Ip B V Space access control module and remote key provisioning system
FR3132373B1 (fr) 2022-02-03 2024-01-05 Cogelec Procédé de contrôle d’accès à des bâtiments
FR3132374B1 (fr) 2022-02-03 2024-02-16 Cogelec Procédé de contrôle d’accès à des bâtiments
FR3132372B1 (fr) 2022-02-03 2023-12-22 Cogelec Procédé de contrôle d’accès à des bâtiments

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5506905A (en) * 1994-06-10 1996-04-09 Delco Electronics Corp. Authentication method for keyless entry system
EP0723251A3 (de) * 1995-01-20 1998-12-30 Tandem Computers Incorporated Verfahren und Gerät für einen Benützer und Sicherheitsauthentisierungseinrichtung
AU5687798A (en) * 1996-12-03 1998-06-29 E.J. Brooks Company Programmable lock and security system therefor
DE69924349T2 (de) * 1999-01-28 2006-02-09 International Business Machines Corp. Elektronisches Zugangskontrollsystem und Verfahren

Also Published As

Publication number Publication date
EP1321901A3 (de) 2005-09-07
DE50214332D1 (de) 2010-05-20
ATE463810T1 (de) 2010-04-15
EP1321901A2 (de) 2003-06-25

Similar Documents

Publication Publication Date Title
EP2238576B1 (de) Verfahren und vorrichtung zur steuerung der zutrittskontrolle
EP2691940B1 (de) Verwaltung von zugriffsrechten auf betriebs- und/oder steuerungsdaten von gebäuden oder gebäudekomplexen
EP1321901B1 (de) Verfahren zur Regelung des Zutrittsregimes zu einem Objekt
EP2991045B1 (de) Intelligentes zustellsystem
DE102014101495B4 (de) Verfahren zum Zugang zu einem physisch abgesicherten Rack sowie Computernetz-Infrastruktur
EP1942466A2 (de) Zugangs-, Überwachungs- und Kommunikationseinrichtung sowie Zugangs-, Überwachungs- und Kommunikationsverfahren
EP3649625A1 (de) Verfahren zur delegation von zugriffsrechten
DE102014202637A1 (de) Anordnung zum autorisierten Ansprechen mindestens eines in einem Gebäude befindlichen Bauelements
EP3009992B1 (de) Verfahren und vorrichtung zum verwalten von zutrittsberechtigungen
DE4230281C2 (de) Personen-Identifikationssystem
WO2018166942A1 (de) Verfahren zur zugangskontrolle
AT503783B1 (de) System zur kontrolle von berechtigungen von personen, zu autorisierende tätigkeiten durchzuführen
DE102018114253A1 (de) Verfahren zur Regelung eines Zugangsregimes zu einem Objekt, Schließeinheit und Schließsystem
DE102010019467A1 (de) Kontaktlos arbeitendes Zugangssystem
EP1828993A1 (de) Zutrittskontrollanlage mit mehreren schliessvorrichtungen
DE2635180B2 (de) Verfahren zur elektronisch gesteuerten Freigabe von Tür-, Safe- und Funktionsschlössern unter Verwendung elektronisch codierter Schlüssel sowie Schaltungsanordnung zur Durchführung des Verfahrens
AT502458B1 (de) Zutrittskontrollanlage
BE1030391B1 (de) Dienstleister-Kunden-Kommunikationssystem mit zentraler Datenspeicherung und -verwaltung, integriertem-synchronisiertem Zeiterfassungssystem sowie lokalen Terminals
EP4050545A1 (de) Verfahren zur installation von mehreren türkomponenten
DE19903105A1 (de) Verfahren zur Sicherung des Zugangs zu einer Datenverarbeitungseinrichtung und entsprechende Vorrichtung
WO2022180088A1 (de) Verfahren zur installation von mehreren türkomponenten
DE102017123671B4 (de) System und Verfahren zum Verwalten von personenbezogenen Daten
AT13608U1 (de) Verfahren und Vorrichtung zur Steuerung der Zutrittskontrolle
DE10220866A1 (de) Verfahren und Einrichtung zum automatischen Entriegeln und Verriegeln von Möbelschlössern
EP4195171A1 (de) Werkzeugausgabesystem, verfahren zur verwaltung und ausgabe von werkzeugen und verwendung eines elektronischen schlosses

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

AK Designated contracting states

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR IE IT LI LU MC NL PT SE SI SK TR

AX Request for extension of the european patent

Extension state: AL LT LV MK RO

PUAL Search report despatched

Free format text: ORIGINAL CODE: 0009013

AK Designated contracting states

Kind code of ref document: A3

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR IE IT LI LU MC NL PT SE SI SK TR

AX Request for extension of the european patent

Extension state: AL LT LV MK RO

17P Request for examination filed

Effective date: 20060306

AKX Designation fees paid

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR IE IT LI LU MC NL PT SE SI SK TR

17Q First examination report despatched

Effective date: 20060724

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

GRAS Grant fee paid

Free format text: ORIGINAL CODE: EPIDOSNIGR3

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR IE IT LI LU MC NL PT SE SI SK TR

REG Reference to a national code

Ref country code: GB

Ref legal event code: FG4D

Free format text: NOT ENGLISH

REG Reference to a national code

Ref country code: CH

Ref legal event code: EP

REG Reference to a national code

Ref country code: IE

Ref legal event code: FG4D

Free format text: LANGUAGE OF EP DOCUMENT: GERMAN

REF Corresponds to:

Ref document number: 50214332

Country of ref document: DE

Date of ref document: 20100520

Kind code of ref document: P

REG Reference to a national code

Ref country code: CH

Ref legal event code: NV

Representative=s name: FREI PATENTANWALTSBUERO AG

REG Reference to a national code

Ref country code: NL

Ref legal event code: T3

REG Reference to a national code

Ref country code: SE

Ref legal event code: TRGR

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20100407

REG Reference to a national code

Ref country code: IE

Ref legal event code: FD4D

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: ES

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20100718

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: GR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20100708

Ref country code: CY

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20100407

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20100407

Ref country code: DK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20100407

Ref country code: EE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20100407

Ref country code: PT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20100809

PLBE No opposition filed within time limit

Free format text: ORIGINAL CODE: 0009261

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: CZ

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20100407

Ref country code: SK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20100407

26N No opposition filed

Effective date: 20110110

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20100407

BERE Be: lapsed

Owner name: KABA A.G.

Effective date: 20101231

REG Reference to a national code

Ref country code: NL

Ref legal event code: V1

Effective date: 20110701

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: MC

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20101231

GBPC Gb: european patent ceased through non-payment of renewal fee

Effective date: 20101216

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: FI

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20101216

REG Reference to a national code

Ref country code: FR

Ref legal event code: ST

Effective date: 20110831

REG Reference to a national code

Ref country code: SE

Ref legal event code: EUG

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20101217

Ref country code: BE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20101231

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: FR

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20110103

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: GB

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20101216

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: NL

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20110701

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: BG

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20100407

Ref country code: LU

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20101216

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: TR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20100407

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: CH

Payment date: 20121114

Year of fee payment: 11

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: AT

Payment date: 20121212

Year of fee payment: 11

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: BG

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20100707

REG Reference to a national code

Ref country code: CH

Ref legal event code: PL

REG Reference to a national code

Ref country code: AT

Ref legal event code: MM01

Ref document number: 463810

Country of ref document: AT

Kind code of ref document: T

Effective date: 20131216

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LI

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20131231

Ref country code: CH

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20131231

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: AT

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20131216

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: DE

Payment date: 20211210

Year of fee payment: 20

REG Reference to a national code

Ref country code: DE

Ref legal event code: R071

Ref document number: 50214332

Country of ref document: DE