EP3065110B1 - Modulares hochsicherheitsschloss und updateverfahren hierfür - Google Patents

Modulares hochsicherheitsschloss und updateverfahren hierfür Download PDF

Info

Publication number
EP3065110B1
EP3065110B1 EP16153262.7A EP16153262A EP3065110B1 EP 3065110 B1 EP3065110 B1 EP 3065110B1 EP 16153262 A EP16153262 A EP 16153262A EP 3065110 B1 EP3065110 B1 EP 3065110B1
Authority
EP
European Patent Office
Prior art keywords
lock
module
control module
data
lock module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
EP16153262.7A
Other languages
English (en)
French (fr)
Other versions
EP3065110A1 (de
Inventor
Detlef Lücke
Mario Bauer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Insys Microelectronics GmbH
Original Assignee
Insys Microelectronics GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from DE102015119606.9A external-priority patent/DE102015119606B4/de
Application filed by Insys Microelectronics GmbH filed Critical Insys Microelectronics GmbH
Publication of EP3065110A1 publication Critical patent/EP3065110A1/de
Application granted granted Critical
Publication of EP3065110B1 publication Critical patent/EP3065110B1/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00896Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses
    • G07C9/00912Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses for safes, strong-rooms, vaults or the like
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00817Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed
    • G07C2009/00841Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed by a portable device
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00658Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by passive electrical keys
    • G07C9/00674Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by passive electrical keys with switch-buttons
    • G07C9/0069Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by passive electrical keys with switch-buttons actuated in a predetermined sequence

Definitions

  • the invention relates to a modular high security lock concept and especially to a high security lock for a safe according to the preamble of claim 1.
  • High security locks are used, for example, for ATMs or ATM cabinets. There they secure access to the bins and can only be opened by special security mechanisms such as the entry of a code, which is known, for example, an employee of the financial institution or a value service provider (hereinafter referred to as an authorized user).
  • a code which is known, for example, an employee of the financial institution or a value service provider (hereinafter referred to as an authorized user).
  • One or more of these locks are located, for example, at the back of the ATM and are therefore not visible to the standard bank customer. In addition, they are usually inaccessible by additional security measures; For example, they can be covered by an additional metal sheet. Upon successful completion of the security measures, the authorized user can open the lock or locks and refill or withdraw money.
  • such a high-security lock thus has two functions: on the one hand, an interface function for communicating with the authorized user with regard to carrying out the required security measures and, on the other hand, a security function with regard to the value contents of the ATM.
  • the interface function is represented, for example, by an operator terminal (also called operating unit or operating unit) or an input unit as the second module or operating module.
  • operator terminal also called operating unit or operating unit
  • input unit as the second module or operating module.
  • the security function is mapped, for example, by at least one mechanical and / or electronic security element of access to the money compartment as the first module or lock module. Often two security elements are arranged.
  • the securing elements are advantageously present as mechanical closing devices or as mechanical and / or electronic or intelligent lock bolts.
  • the first and second modules in terms of structure and / or wiring and / or programming, form one unit, i. that these can not be laboriously and time-consuming separated from each other at the factory or at the customer's expense. So it must be replaced the complete unit consisting of the first and second module; even if, for example, actually only the software / firmware of the second module to be replaced. It will be understood that such an approach is expensive and cumbersome.
  • the EP 1 260 659 A2 a lock with display, keyboard and data line connection. It is described that additional functions of the lock can be activated later are by either installed over the port or already available in a data memory of the lock not shown and activated.
  • the aim of the invention is therefore to develop a concept to make the necessary exchange as cost-effective and as simple as possible.
  • the high-security lock for a safe is characterized in that it comprises at least one mechanically functioning lock module and a control module equipped with a data reception interface.
  • the lock module and the operating module are designed and intended to be separated from one another electronically and mechanically and / or connected to one another according to the plug-and-play principle.
  • the lock module and the operating module each comprise a separate program memory with preinstalled subprograms, which encode functions of the lock module and / or the operating module. It is provided that the subprograms preinstalled in the program memory of the operating module only code the functions of the operating module and the subroutines preinstalled in the program memory of the lock module only the functions of the lock module.
  • the data reception interface is set up and provided for transmitting a functionality code and separately a license key to the operating module and the lock module.
  • the lock module and the operating module each comprise an evaluation unit. Both evaluation devices are set up and provided for this purpose, a comparison of a comparison license key which can be generated by means of a license algorithm with the license key and an evaluation of the functionality code perform and transmit at least one confirmation record for enabling or blocking at least one sub-program of the lock module to the program memory of the lock module and at least one sub-program of the control module to the program memory of the control module.
  • the license key is a data record which is generated from at least three further data records, wherein among the further data records are a serial number of the operating module, a serial number of the lock module and the functionality code, the functionality code being dependent on the subroutines to be unlocked or disabled in the program memories ,
  • Subroutines are to be understood as pre-installed software blocks or software modules, which advantageously represent a closed functional unit of the operating software. They consist for example of a sequence of processing steps and data structures and advantageously represent a function or sub-function. They can be called, for example, via a module-specific interface. However, the exact procedure for saving and calling subroutines is well known in the art and will not be discussed further here.
  • the subroutines preinstalled in the program memory of the operating module only code the functions of the operating module.
  • the subroutines preinstalled in the program memory of the lock module code only the functions of the lock module.
  • An embodiment according to which the subprograms preinstalled in the program memory of the operating module code the functions of the operating module and of the lock module is therefore not part of the present invention.
  • an embodiment according to which the subroutines preinstalled in the program memory of the operating module code the functions of the operating module and of the lock module is not part of the present invention.
  • lock modules and operating modules can be used.
  • the second module it is conceivable, for example, that it is designed as an operator terminal similar to an ec card reader and thus comprises at least one number pad by means of which, for example, a security code can be entered.
  • Security measures for opening the high-security lock include, for example, opening with a specific key, entering a PIN or a security code or the use of tags or RFID ("radio-frequency identification", identification with the aid of electromagnetic waves ") in the form of an authorized user's own RFID card in question.
  • the input of the code may be possible only after a certain period of time after a performed action and then only for a certain period of time. For example, it is conceivable that the authorized user identifies himself to the machine and can enter the actual security code only 10 minutes after the successful identification, but the code again loses its validity 5 minutes later.
  • the number of authorized authorized users may be limited and / or assigned to a master user.
  • Some high-security locks also referred to as locks below additionally have network access or an alarm function in the event of unauthorized access, advantageously with an overrun message and subsequently blocking of the ATM by a suitable blocking device. Furthermore, it is advantageous if details of access such as time, location, user ID, etc. are logged.
  • the closing of the ATM, so the locking of the at least one securing element after filling the money can be done manually, but preferably automatically. Combinations of the named security measures and / or equipment are also possible.
  • the software of the lock is advantageously programmed so that different program modules are automatically loaded and / or retrievable, for example, depending on the time of day, depending on the default setting.
  • the power supply of the locks or high-security locks or the lock module and / or the operating module can be done via the ATM. Alternatively or additionally, a battery supply may be provided.
  • the lock can be used in online and offline mode.
  • a uniform configuration software can be used for all variants, in particular for all second modules.
  • the programming can advantageously be done via a PC and / or a laptop or via mobile devices such as smartphones and / or tablets.
  • the first module is compatible with all available second modules.
  • This compatibility refers to the electronics or the software and the mechanics or hardware. If, in fact, an exchange of individual modules, in particular of the second module, is necessary, this replacement can ideally take place in accordance with the Plug & Play principle (PnP), ie no further drivers are installed for commissioning the lock unit after the second module has been replaced or settings must be made.
  • PnP Plug & Play principle
  • the authorized user can now locally on the ATM, which is in operation and accordingly, for example, in a financial institution to carry out the necessary upgrade by electronically and mechanically disconnects the current second module from the first module and then install a new second module and connects mechanically and electronically with the first module.
  • the lock module and the operating module can be separated from one another electronically and / or mechanically and / or can be connected to one another according to the plug-and-play principle.
  • the lock module and the operating module each comprise at least one of the following units: the evaluation unit, a data encryption unit, a data transmission unit and a data storage unit.
  • data can be processed and signals or data records can be sent to another unit.
  • the type of processing or the transmission of data sets by the evaluation device can be done, for example, by means of a program or software are predetermined.
  • the evaluation device can be present, for example, in the form of a processor (Central Processing Unit, CPU).
  • records can be encrypted, for example by means of an algorithm, so as to contribute to increased security. It can be formed, for example, by the evaluation unit or a part of the evaluation unit. Alternatively, the data encryption unit can be formed by means of a separate unit from the evaluation unit.
  • data records which are encrypted can be transferred from one unit to another or from one module to another. It may, for example, be in the form of a data transmission cable together with the corresponding interfaces.
  • Data records can be stored by means of the data storage unit.
  • the data storage unit may be in the form of, for example, an Erasable Programmable Read-Only Memory (EPROM), Electrically Erasable Programmable Read-Only Memory (EEPROM), or flash memory.
  • EPROM Erasable Programmable Read-Only Memory
  • EEPROM Electrically Erasable Programmable Read-Only Memory
  • flash memory any type of flash memory.
  • a lock is obtained, which can be extended in terms of function by means of an intelligent upgrade procedure already at the initial configuration in the factory or later at the customer.
  • a standard lock bolt or standard lock module can be used as the first module, which is always installed ex works and no longer needs to be exchanged in the field for functional extensions.
  • this lock module also satisfies all common safety requirements such as the standards as well as the appropriate conversion regulations according to VdS and ECB-S, which in each case provide information on the defined security levels for safes. It should be mentioned in this context that an improper conversion in the worst case can lead to the loss of insurance coverage for the vault or its content. Of course, this is especially important if, after successful, improper conversion, the content of the safe or ATM is unlawfully stolen, for example, in the event of theft.
  • Another advantage is that even at the factory and at the ATM / safe manufacturer, the variety of variants is contained, whereby a huge cost savings is possible. Since high disassembly and assembly costs are eliminated on site, the price advantage can be passed directly to the customer, which is likely to increase the number of retrofit orders for the manufacturer. This in turn strengthens customer loyalty and increases market share.
  • An essential principle of the present invention is that advantageously in the lock bolt or lock module of the electronic high-security lock all currently known and necessary functionalities for current and future operation are already coded and stored in modular blocks in software; however, not all blocks but, for example, only the blocks currently required for the current functionality or operation are already activated.
  • This range of functions is determined by the currently used second module.
  • the activation of the necessary functionalities or software blocks is accomplished by calculating and entering a secure license key on the operating unit.
  • the license key is automatically created and transmitted to the customer on request, stating device-specific data, such as serial number of the operating unit and serial number of the intelligent lock bolt.
  • the customer can log on to the website of the manufacturer of the intelligent lock bolt in a personal area and enter the required data, after which a license key is generated automatically. For security reasons it is advantageous if the producer is subsequently informed of this generation query by e-mail.
  • the license key is a data record which is generated from at least three further data records, whereby among the further data records a serial number of the operating module, a serial number of the lock module and the functionality code are.
  • the data reception interface of the operating module can be, for example, a keyboard or a touchscreen, by means of which a manual input of the data or data records is possible.
  • the lock unit or the high-security lock has at least one communication interface on the first and / or second module.
  • a USB port is especially conceivable here, but the use of the Bluetooth function or an infrared interface is also possible.
  • at least one of the following functions is implemented on the hardware in the first and / or the second module: functions from the field of Near Field Communication (NFC), RFID or an integrated circuit such as the "iButton".
  • NFC Near Field Communication
  • RFID integrated circuit
  • the term "data reception” means the receipt of data by means of a manual input, but also by means of an electronic transmission.
  • the data reception interface is a device for manually entering data records or an electronic interface for the wired transmission of data records or an electronic interface for the wireless transmission of data records.
  • a supervisor code can be stored in the lock module, which is comparable by means of the evaluation device with a supervisor code which can be transmitted to the operating module and the lock module by means of the data reception interface. It should be noted that even with an exchange of the operating module, as described above, the stored in the lock module supervisor code can advantageously remain the same, which reduces the effort in data management.
  • the object of the invention is further achieved by a method for software activation or deactivation of functions of modules of a high security lock for a safe, wherein the high security lock comprises at least one mechanically functioning lock module and equipped with a data receiving interface control module.
  • the lock module and the operating module has its own program memory with preinstalled subprograms which code the functions. It is further provided according to the invention that the lock module and the operating module are set up and intended to be separated electronically and mechanically from each other and / or connected to each other according to the plug-and-play principle, and that the preinstalled in the program memory of the operating module subroutines only the functions of the operating module and the subroutines preinstalled in the program memory of the lock module only code the functions of the lock module.
  • the lock module and the operating module each comprise an evaluation unit.
  • Safety is increased if certain process steps are carried out not only in the operating module or in the lock module, but also in the other module. It is therefore provided, as mentioned above, that all three of steps b), c) and d) are carried out in both of the modules. It is also advantageous if the execution of the steps in each case in the order b), c) and d) follows one another and / or the execution of steps b), c) and / or d) takes place first in the lock module and then in the operating module.
  • step a0 an input of a supervisor code takes place, which is compared in step a2) before step b) by means of the evaluation device with a further data record stored in the lock module.
  • the license key is a data record which is generated from at least three further data records, whereby among the further data records a serial number of the operating module, a serial number of the lock module and the functionality code are.
  • the input of the data records in step a) and / or step a0) can be wired, such as via a hardware interface or wirelessly as by radio transmission.
  • Fig. 1 is shown in a perspective view of an ATM 1, as it is available to bank customers, for example, in a financial institution for withdrawing funds.
  • the control terminal for the bank customer with compartment for inserting the ec card, the numeric keypad for entering the PIN and the display for entering additional functions are arranged here as usual on the front side 1a of the ATM and play no role in the further invention.
  • the back 1b of the ATM 1 is in Fig. 1 not to be seen.
  • the lock systems can also be mounted on the front side 1a under a covering door.
  • FIG. 2a A possible configuration of a back side 1b of the ATM 1 shows Fig. 2a , There, a door 2 with door handle 2a can be seen, which is equipped with two locking units 6 as the first modules 3 and with these ensures access to the bins.
  • the mechanical and / or electronic connection of the closing units 6 to the door 2 is illustrated here by way of example only. In the present case, the closing units 6 are designed as intelligent lock bolts 6.
  • Fig. 2b shows the closing unit 6 according to Fig. 2a in an enlarged view.
  • An electronic high-security lock system consists inter alia of an input unit (see control panel 5 according to Fig. 3a / 3b ), at least one evaluation unit 18a and an actuating unit 17 (locking element).
  • An evaluation unit 18a and the actuating unit 17 are combined, for example, in the lock bolt 6, which is why this is also referred to as intelligent lock bolt 6.
  • the door 2 can be unlocked and locked.
  • neither the mechanism of this lock bolt 6 or the operating unit or the locking element 17 nor play the sequence of steps that allow the closing and opening of the door 2, for the present invention, a role. You will therefore learn in the further description no further consideration.
  • FIGS. 3a and 3b show various second modules 4, which map the interface function to the user and in the present case are each designed as a control terminal or operating unit 5.
  • Fig. 3a shows the standard model 7a of the second module 4, which via a numeric keypad 8 with number keys 8a (here exemplified by a number key), a confirmation key 8b and a clear key 8c.
  • Fig. 3b 2 shows an expanded model of the second module 4 which, in addition to the elements 8, 8a, 8b, 8c present in the standard model 7a, has a display 9 and scroll or cursor keys 8d by means of which a user menu can be called up and displayed by means of the display 9 ,
  • the hardware equipment of the in Fig. 3b The extended model shown corresponds to the hardware configuration of models 7b, 7c and 7d.
  • FIG. 4 By way of example, four second modules 4 are shown as models 7a, 7b, 7c, 7d, wherein the modules 7b, 7c, 7d each show the same hardware equipment, but differ in terms of their software equipment.
  • the models or modules of FIGS. 7a to 7d have increasing functionalities.
  • the module 7a is installed, for example, in the factory. In order to exchange module 7a for module 7b, ie to carry out an upgrade 10a from model 7a to 7b, an exchange of the entire keyboard or numeric keypad 8 is therefore necessary.
  • an exchange of the module 7b against 7c or 7d or 7c against 7d requires only one software upgrade with the help of a license key 15 (see Fig. 5 ).
  • the illustrated first module 3 may be used in combination with all four second modules 7a, 7b, 7c, 7d shown.
  • Fig. 5 illustrates the generation 100 of a license key 15.
  • the data relating to the serial number 12 of the smart lock bar 6, the serial number 13 of the operating unit 5 and a functionality code 14 are combined (step 101) and generated by using a suitable license algorithm, for example, an 8-digit license key 15 (Step 102).
  • Fig. 6 describes the entire upgrade process 200, for example from model 7b to 7c in individual process steps 201 to 214, wherein the individual steps are depicted in a preferred chronological order.
  • this upgrade process no exchange of the control panel 5, but only an activation of coded software blocks 36a, 36b, 36c and 46a, 46b, 46c.
  • the authorized user at the operating unit 5 enters the supervisor code 57 (step 201) in a specific menu item of the operating menu and then the function code 14 and the license key 15 (step 202).
  • a request to enter these data 57, 14 and / or 15 can be displayed on the display 9, for example.
  • These data are buffered in the operating unit 5 and encrypted (step 203) and encrypted in step 204 transmitted to the lock latch 6.
  • This decrypts the data (step 205) evaluates the supervisor code (step 206) and compares the calculated license key to the received license key (step 207). If this comparison is satisfactory, the appropriate function blocks are enabled (step 208). There is a confirmation of the activation (step 209) and an encryption of the data (step 210).
  • the encrypted data is then transmitted to the operating unit 5 (step 211) and decrypted there (step 212). Thereafter, the corresponding function block is unlocked in the keypad 5 (step 213), completing the upgrade process (illustrated at 214).
  • supervisor codes 39 may be changed upon installation of a system by the operator or the authorized user. Due to the fact that only the operating unit 5 must be exchanged, however, the code 39 can advantageously remain the same.
  • Fig. 7 illustrates a sub-process 200a of the upgrade process 200 according to FIG Fig. 6 and the involvement of various units in the expiration of the activation of the function blocks 36a, 36b, 36c in the program memory 36 of the intelligent lock bolt 6.
  • the encrypted in step 203 data 31 are transmitted according to step 204 to a receiving device 32 of the lock bolt 6 and step 204a to the decryption device 33 transmitted.
  • the data 31 are decrypted in plain text 40a (step 205), whereby they can be compared again with the received license key 15 and the functionality code 14.
  • the plaintext data 40a are transmitted to the evaluation device 18a in step 205b.
  • a comparison license key 38a is calculated (step 205a) and transmitted to the evaluation device 18a in step 205c. Also, starting from the code memory 34, the supervisor code 39 is transmitted to the evaluation device 18a (step 205d). In the evaluating device 18a, the received data 38a, 39, 40a or 38a, 39, 14, 15 are processed and compared on the basis of the device-specific data stored in the intelligent lock latch 6.
  • the corresponding software function block here three blocks 36a, 36b, 36c in the program memory 36 via a transfer of one or more confirmation records 48a, 48b, 48c or signals from the Evaluation unit 18a to the program memory 36 permanently enabled.
  • the confirmation of the activation is encrypted by means of confirmation data 41 sent back to the control unit 5 (see Fig. 8 ).
  • confirmation data 41 are received by a receiving device 42 of the operating part 5 in step 210a or transmitted encrypted in step 211 to a decryption device 43 of the operating unit 5.
  • the rest of the following steps are analogous to those Fig. 7
  • each of the control unit 5 associated separate units such as evaluation 18b or license generator 37b are used: 212 analogous to 205, 212a analogous to 205a, 212b analogous to 205b (with plain text data 40b), 212c analogous to 205c, 212d analogous to 207, 213rd analogous to 208.
  • the new functionality is accordingly enabled accordingly (via a transmission of one or more confirmation data sets 49a, 49b, 49c or signals from the evaluation unit 18b to the program memory 46).

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Lock And Its Accessories (AREA)

Description

  • Die Erfindung betrifft ein modulares Hochsicherheitsschlosskonzept und speziell ein Hochsicherheitsschloss für ein Wertbehältnis gemäß dem Oberbegriff des Anspruchs 1.
  • Hochsicherheitsschlösser werden zum Beispiel für Geldautomaten bzw. Geldautomatenschränke verwendet. Dort sichern sie den Zugang zu den Geldfächern und können nur durch spezielle Sicherheitsmechanismen wie etwa der Eingabe eines Codes geöffnet werden, welcher beispielsweise einem Mitarbeiter des Geldinstituts bzw. einem Wertdienstleister (im Folgenden als autorisierter Benutzer bezeichnet) bekannt ist.
  • Eines oder mehrere dieser Schlösser befinden sich beispielsweise an der Hinterseite des Geldautomaten und sind somit für den Standard-Bankkunden nicht sichtbar. Zusätzlich sind sie meist durch zusätzliche Sicherheitsmaßnahmen unzugänglich angeordnet; so können sie zum Beispiel durch ein zusätzliches Blech abgedeckt sein. Nach erfolgreichem Passieren der Sicherheitsmaßnahmen kann der autorisierte Benutzer das Schloss bzw. die Schlösser öffnen und Geld nachfüllen bzw. entnehmen.
  • Generell weist ein derartiges Hochsicherheitsschloss also zwei Funktionen auf: zum einen eine Schnittstellenfunktion zur Kommunikation mit dem autorisierten Benutzer in Bezug auf Durchführung der erforderlichen Sicherheitsmaßnahmen, und zum anderen eine Sicherungsfunktion bezüglich der Wertinhalte des Geldautomaten.
  • Die Schnittstellenfunktion wird zum Beispiel durch ein Bedienterminal (auch Bedieneinheit oder Bedienteil genannt) bzw. einer Eingabeeinheit als zweitem Modul oder Bedienmodul abgebildet.
  • Ferner wird die Sicherungsfunktion beispielsweise durch mindestens ein mechanisches und/oder elektronisches Sicherungselement des Zugangs zum Geldfach als erstem Modul oder Schlossmodul abgebildet. Oft sind zwei Sicherungselemente angeordnet. Die Sicherungselemente liegen hierbei vorteilhaft als mechanische Schließeinrichtungen oder auch als mechanische und/oder elektronische bzw. intelligente Schlossriegel vor.
  • Bei der Ausstattung der Geldautomaten und anderen Wertbehältnissen arbeiten die Hersteller generell mit einer hohen Anzahl von verschiedenen Hochsicherheitsschlosssystemen bzw. Schlosstypen unterschiedlicher Einbau- und Funktionsvielfalt. Dadurch entsteht ein hoher Pflege-, Logistik- bzw. Kostenaufwand. Es werden auch elektronische Hochsicherheitsschlosssysteme im Markt als Nachrüstungen vertrieben. Beim nachträglichen Einbau entstehen wiederum nicht unerhebliche Kosten für den Einbau, welche beispielsweise über externe Service-und Installationsdienstleister sowie über Wertdienstleister und Wachdienste an den Endkunden weitergegeben werden müssen. Bei der Herstellung der Geldautomaten wird seitens des Herstellers aus Kostengründen beispielsweise nur das Standardmodell des zweiten Moduls eingebaut, welches nur die geringste Anzahl an technischer Ausstattung bezogen auf seine Hardware und/oder Software aufweist.
  • Möchte ein Kunde erweiterte Funktionalitäten am Hochsicherheitsschlosssystem erst zu einem späteren Zeitpunkt einsetzen, ist die Nachrüstung oft schwierig. Stellt der Kunde im Betrieb beispielsweise fest, dass das eingebaute Modell seinen Anforderungen nicht gerecht wird, muss dieses notwendigerweise ausgetauscht werden. Allerdings bilden das erste und das zweite Modul gemäß derzeitigem Stand der Technik hinsichtlich des Aufbaus und/oder der Verdrahtung und/oder der Programmierung eine Einheit, d.h. dass diese nicht oder nur werksseitig bzw. beim Kunden mühsam und zeitintensiv voneinander getrennt werden können. Es muss also die komplette Einheit bestehend aus erstem und zweitem Modul ausgetauscht werden; auch wenn beispielsweise eigentlich nur die Software/Firmware des zweiten Moduls getauscht werden soll. Es versteht sich, dass eine derartige Vorgehensweise teuer und umständlich ist.
  • Dieser Austausch kann selbstverständlich wiederum nur nach Durchlauf verschiedener Sicherheitsmaßnahmen getätigt werden, die gleich bzw. ähnlich zu denen beim Öffnen des Geldfachs ausfallen können.
  • Beispielsweise offenbart die EP 1 260 659 A2 ein Schloss mit Display, Tastatur und Datenleitungsanschluss. Es ist beschrieben, dass Zusatzfunktionen des Schlosses nachträglich aktivierbar sind, indem diese entweder über den Anschluss installiert oder in einem nicht gezeigten Datenspeicher des Schlosses bereits zur Verfügung stehen und aktiviert werden.
  • Aus der US 2012/216726 A1 ist ebenfalls eine Möglichkeit bekannt, mittels einer Steuereinheit eines Geldautomats Zusatzfunktionen freischalten zu lassen. Dabei werden im Laufe des Verfahrens verschiedene Codes generiert, deren Zeichen unter anderem von der Seriennummer des Schlosses und dem freizuschaltenden Funktionsumfang abhängen. Auch die US 7 234 636 B1 offenbart Verfahren zur Steuerung des Funktionsumfangs eines Geldautomaten.
  • Gemäß der US 2010/057703 A1 und der US 2011/061047 A1 ist jeweils ein Lizenzmanagementsystem beschrieben.
  • Ziel der Erfindung ist es daher, ein Konzept zu entwickeln, den notwendigen Austausch so kostengünstig und so einfach wie möglich zu gestalten.
  • Diese Aufgabe wird durch ein Hochsicherheitsschloss (gemäß Anspruch 1) und ein Verfahren zur softwareseitigen Aktivierung oder Deaktivierung von Funktionen von Modulen eines Hochsicherheitsschlosses (gemäß Anspruch 5) gelöst.
  • Erfindungsgemäß ist das Hochsicherheitsschloss für ein Wertbehältnis dadurch gekennzeichnet, dass es mindestens ein mechanisch funktionierendes Schlossmodul und ein mit einer Datenempfangsschnittstelle ausgestattetes Bedienmodul umfasst. Das Schlossmodul und das Bedienmodul sind dafür eingerichtet und dazu vorgesehen, elektronisch und mechanisch voneinander getrennt und/oder nach dem Plug-&-Play-Prinzip miteinander verbunden zu werden. Ferner umfassen das Schlossmodul und das Bedienmodul jeweils einen eigenen Programmspeicher mit vorinstallierten Unterprogrammen umfassen, welche Funktionen des Schlossmoduls und/oder des Bedienmoduls codieren. Dabei ist vorgesehen, dass die im Programmspeicher des Bedienmoduls vorinstallierten Unterprogramme nur die Funktionen des Bedienmoduls und die im Programmspeicher des Schlossmoduls vorinstallierten Unterprogramme nur die Funktionen des Schlossmoduls codieren. Ferner ist die Datenempfangsschnittstelle dafür eingerichtet und dazu vorgesehen, einen Funktionalitätscode und separat davon einen Lizenzkey an das Bedienmodul und das Schlossmodul zu übertragen. Außerdem umfassen das Schlossmodul und das Bedienmodul jeweils eine Auswerteeinheit. Beide Auswerteeinrichtungen sind dafür eingerichtet und dazu vorgesehen, einen Vergleich eines mittels eines Lizenzalgorithmus' erzeugbaren Vergleichslizenzkey mit dem Lizenzkey und eine Auswertung des Funktionalitätscodes durchzuführen und mindestens einen Bestätigungsdatensatz zur Freischaltung oder Sperrung mindestens eines Unterprogramms des Schlossmoduls an den Programmspeicher des Schlossmoduls und mindestens eines Unterprogramms des Bedienmoduls an den Programmspeicher des Bedienmoduls zu übertragen. Dabei ist der Lizenzkey ein Datensatz, welcher aus mindestens drei weiteren Datensätzen generiert ist, wobei unter den weiteren Datensätzen eine Seriennummer des Bedienmoduls, eine Seriennummer des Schlossmoduls und der Funktionalitätscode sind, wobei der Funktionalitätscode abhängig ist von den freizuschaltenden oder zu sperrenden Unterprogrammen in den Programmspeichern.
  • Damit ist es bei einem Hochsicherheitsschloss erstmals möglich, bei gleichbleibender Hardware unterschiedliche bzw. erweiterte Funktionsumfänge, insbesondere für das Bedienmodul und für das Schlossmodul freizuschalten. Im umgekehrten Fall können die Funktionsumfänge natürlich auch gesperrt werden. Ein umständlicher Ausbau beider Komponenten entfällt somit; der Austausch ist also wesentlich kostengünstiger als bisher.
  • Unterprogramme sind dabei als vorinstallierte Softwareblöcke bzw. Softwaremodule zu verstehen, welche vorteilhaft eine abgeschlossene funktionale Einheit der Betriebssoftware darstellen. Sie bestehen beispielsweise aus einer Folge von Verarbeitungsschritten und Datenstrukturen und stellen vorteilhaft eine Funktion oder Unterfunktion dar. Sie können beispielsweise über eine modulspezifische Schnittstelle aufgerufen werden. Die genaue Vorgehensweise beim Abspeichern und Aufrufen von Unterprogrammen ist allerdings aus dem Stand der Technik bestens bekannt und wird vorliegend nicht weiter erörtert.
  • Es ist wie oben erwähnt vorgesehen, dass die im Programmspeicher des Bedienmoduls vorinstallierten Unterprogramme nur die Funktionen des Bedienmoduls codieren. Analog dazu ist wie oben erwähnt vorgesehen, dass die im Programmspeicher des Schlossmoduls vorinstallierten Unterprogramme nur die Funktionen des Schlossmoduls codieren. Eine Ausführungsform, wonach die im Programmspeicher des Bedienmoduls vorinstallierten Unterprogramme die Funktionen des Bedienmoduls und des Schlossmoduls codieren, ist demnach nicht Teil der vorliegenden Erfindung. Ebenfalls ist eine Ausführungsform, wonach die im Programmspeicher des Bedienmoduls vorinstallierten Unterprogramme die Funktionen des Bedienmoduls und des Schlossmoduls codieren, nicht Teil der vorliegenden Erfindung.
  • Je nach Anforderung bzw. Kundenwunsch können nämlich verschiedene Schlossmodule und Bedienmodule zum Einsatz kommen.
  • Beim zweiten Modul ist es beispielsweise denkbar, dass es als Bedienterminal ähnlich wie bei einem ec-Kartenlesegerät ausgebildet ist und somit zumindest einen Ziffernblock umfasst, mittels dem beispielsweise ein Sicherheitscode eingegeben werden kann. Es gibt zweite Module ohne Display bzw. Touchscreen; allerdings ist vorteilhaft am zweiten Modul zusätzlich ein Display und/oder ein Touchscreen angeordnet. Die zweiten Module können sich also untereinander bezüglich der Hardware und/oder der Software/Firmware unterscheiden.
  • Als Sicherheitsmaßnahmen zum Öffnen des Hochsicherheitsschlosses kommen beispielsweise das Öffnen mit einem bestimmten Schlüssel, die Eingabe einer PIN bzw. eines Sicherheits- bzw. Einmalcodes oder die Nutzung von Tags oder RFID (engl. "radio-frequency identification", "Identifizierung mit Hilfe elektromagnetischer Wellen") in Form einer dem autorisierten Benutzer eigenen RFID-Karte in Frage. Darüber hinaus kann zusätzlich die Eingabe des Codes erst nach einer bestimmten Zeitspanne nach einer durchgeführten Aktion und dann nur für eine bestimmte Zeitspanne möglich sein. Beispielsweise ist es denkbar, dass der autorisierte Benutzer sich dem Automaten gegenüber identifiziert und den eigentlichen Sicherheitscode erst 10 Minuten nach der erfolgreichen Identifikation eingeben kann, wobei der Code aber wiederum 5 Minuten später seine Gültigkeit verliert. Weiterhin kann die Anzahl der zugelassenen autorisierten Benutzer begrenzt und/oder ein Masterbenutzer zugewiesen sein. Manche Hochsicherheitsschlösser (im Folgenden auch Schlösser genannt) verfügen zusätzlich über einen Netzwerkzugang bzw. über eine Alarmfunktion bei unautorisiertem Zugang, wobei vorteilhaft eine Überfallmeldung und anschließend eine Sperrung des Geldautomaten durch eine geeignete Sperreinrichtung erfolgen. Weiterhin ist es vorteilhaft, wenn Details des Zugangs wie Uhrzeit, Ort, Benutzer-ID usw. protokolliert werden. Das Verschließen des Geldautomaten, also das Verriegeln des mindestens einen Sicherungselementes nach Befüllen der Geldfächer kann manuell, bevorzugt allerdings automatisch erfolgen. Es sind auch Kombinationen aus den genannten Sicherheitsmaßnahmen und/oder -ausstattungen möglich. Vorteilhaft ist die Software des Schlosses so programmiert, dass automatisch nach Voreinstellung beispielsweise abhängig von der Tageszeit unterschiedliche Programmmodule geladen werden und/oder abrufbar sind.
  • Die Spannungsversorgung der Schlösser bzw. Hochsicherheitsschlösser bzw. des Schlossmoduls und/oder des Bedienmoduls kann über den Geldautomaten erfolgen. Alternativ oder zusätzlich kann eine Batterieversorgung vorgesehen sein. Vorteilhaft ist das Schloss im Online- und im Offlinebetrieb nutzbar. Zur Konfiguration der Schlosseinheiten ist bevorzugt für alle Varianten, insbesondere für alle zweiten Module eine einheitliche Konfigurationssoftware verwendbar. Die Programmierung kann vorteilhaft über einen PC und/oder einen Laptop oder über mobile Endgeräte wie Smartphones und/oder Tablets erfolgen.
  • Gemäß einer bevorzugten Ausführungsform ist beim Hochsicherheitsschloss das erste Modul mit allen verfügbaren zweiten Modulen kompatibel. Diese Kompatibilität bezieht sich auf die Elektronik bzw. die Software und die Mechanik bzw. Hardware. Sollte also tatsächlich ein Austausch einzelner Module, insbesondere des zweiten Moduls notwendig sein, kann idealerweise dieser Austausch nach dem Plug & Play-Prinzip (PnP) erfolgen, das heißt, dass zur Inbetriebnahme der Schlosseinheit nach Hardware-Austausch des zweiten Moduls keine weiteren Treiber installiert oder Einstellungen vorgenommen werden müssen. Insofern kann nun der autorisierte Benutzer direkt vor Ort am Geldautomaten, welcher in Betrieb ist und dementsprechend beispielsweise in einem Geldinstitut steht, das notwendige Upgrade durchführen, indem er das derzeitige zweite Modul elektronisch und mechanisch vom ersten Modul trennt und anschließend ein neues zweites Modul einbaut und mit dem ersten Modul mechanisch und elektronisch verbindet.
  • Insofern ist es wie oben erwähnt vorgesehen, dass das Schlossmodul und das Bedienmodul elektronisch und/oder mechanisch voneinander trennbar und/oder nach dem Plug-&-Play-Prinzip miteinander verbindbar sind.
  • Wenn nur die Firmware bzw. Software getauscht bzw. deren Umfang erweitert werden muss, ist es denkbar, dass aus Zeitgründen dennoch ein neues zweites Modul mit vorinstallierter Firmware eingebaut wird. Wesentlich kostengünstiger ist jedoch, wenn auf das derzeitige zweite Modul vor Ort eine neue Firmware aufgespielt wird.
  • Die meisten Vorteile bietet jedoch schließlich die Vorgehensweise, wenn die neue Firmware bereits auf dem derzeitigen zweiten Modul blockiert vorhanden ist und nur freigeschalten werden muss, wie oben beschrieben. Dafür ist beispielsweise mindestens die Eingabe eines Lizenzkeys, also einem Buchstaben- oder Zahlencode, notwendig, wie oben beschrieben.
  • Gemäß einer bevorzugten Ausführungsform umfassen das Schlossmodul und das Bedienmodul jeweils mindestens eine der folgenden Einheiten: die Auswerteeinheit, eine Datenverschlüsselungseinheit, eine Datenübertragungseinheit und eine Datenspeichereinheit.
  • Mittels der Auswerteeinheit bzw. der Auswerteeinrichtung sind Daten verarbeitbar und Signale bzw. Datensätze an eine andere Einheit sendbar. Die Art der Verarbeitung bzw. des Sendens von Datensätzen durch die Auswerteeinrichtung kann zum Beispiel mittels eines Programms oder Software vorbestimmt werden. Die Auswerteeinrichtung kann beispielsweise in Form eines Prozessors (Central Processing Unit, CPU) vorliegen.
  • Mittels der Datenverschlüsselungseinheit sind, beispielsweise mittels eines Algorithmus, Datensätze verschlüsselbar, um so zu einer erhöhten Sicherheit beizutragen. Sie kann beispielsweise durch die Auswerteeinheit bzw. einen Teil der Auswerteeinheit ausgebildet werden. Alternativ kann die Datenverschlüsselungseinheit mittels einer von der Auswerteeinheit separaten Einheit ausgebildet sein.
  • Mittels der Datenübertragungseinheit sind Datensätze, welche beispielsweise verschlüsselt vorliegen, von einer Einheit zu einer anderen bzw. von einem Modul zum anderen übertragbar. Sie kann beispielsweise in Form eines Datenübertragungskabels zusammen mit den entsprechenden Schnittstellen vorliegen.
  • Mittels der Datenspeichereinheit sind Datensätze abspeicherbar. Die Datenspeichereinheit kann beispielsweise in Form eines EPROMS (Erasable Programmable Read-Only Memory), EEPROMS (Electrically Erasable Programmable Read-Only Memory) oder eines Flashspeichers vorliegen.
  • Aus dem Stand der Technik sind weitere Details zum Einsatz und Funktion von Auswerteeinheiten, Datenverschlüsselungseinheiten, Datenübertragungseinheiten und auch Datenspeichereinheiten bestens bekannt und werden daher hier nicht weiter erörtert.
  • Insgesamt wird ein Schloss erhalten, welches mittels eines intelligenten Upgrade-Verfahrens bereits bei der Erstausstattung im Werk oder später beim Kunden funktionserweiterbar ist. Gleichzeitig kann als erstes Modul ein Standard-Schlossriegel bzw. Standard-Schlossmodul verwendet werden, das ab Werk immer eingebaut wird und bei Funktionserweiterungen im Feld nicht mehr getauscht werden muss. Dieses Schlossmodul erfüllt vorteilhaft gleichzeitig auch alle gängigen Sicherheitsanforderungen wie den Normen sowie der sachgerechten Umrüstungsvorschriften nach VdS und ECB-S, welche jeweils Hinweise zu den festgelegten Sicherheitsstufen für Tresore geben. Es sei in diesem Zusammenhang erwähnt, dass eine unsachgerechte Umrüstung im schlimmsten Fall zum Verlust des Versicherungsschutzes für den Tresor bzw. für dessen Inhalt führen kann. Dies kommt natürlich vor allem dann zum Tragen, wenn nach erfolgter, unsachgerechter Umrüstung der Inhalt des Tresors bzw. Geldautomats etwa bei einem Diebstahl widerrechtlich entwendet wird.
  • Weiterhin kann vorteilhaft auf bewährte Technik beim Schlossriegel als erstem Modul zurückgegriffen werden.
  • Ein weiterer Vorteil ist, dass bereits im Werk und beim Geldautomaten-/Tresorhersteller die Variantenvielfalt eingedämmt wird, wodurch eine enorme Kostenersparnis möglich ist. Da hohe Demontage- und Montagekosten vor Ort entfallen, kann der Preisvorteil direkt an den Kunden weitergegeben werden, wodurch sich vorteilhaft die Anzahl der Nachrüstaufträge für den Hersteller erhöhen dürfte. Dies stärkt wiederum die Kundenbindung und erhöht den Marktanteil.
  • Insgesamt können durch das intelligente Schlosskonzept neue und interessantere Kostenmodelle für Software und Wartungsverträge entwickelt werden. Außerdem sinkt die Abhängigkeit von zertifizierten Tresortechnikern für die Umrüstung, wodurch die Flexibilität erhöht wird.
  • Ein wesentliches Prinzip der vorliegenden Erfindung ist, dass vorteilhaft im Schlossriegel bzw. Schlossmodul des elektronischen Hochsicherheitsschlosses alle derzeit bekannten und notwendigen Funktionalitäten für den aktuellen und zukünftigen Betrieb bereits softwaremäßig in modularen Blöcken codiert und hinterlegt sind; jedoch sind nicht alle Blöcke, sondern beispielsweise nur die zum derzeitig aktuellen Funktionsumfang bzw. Betrieb notwendigen Blöcke bereits aktiviert.
  • Gleichzeitig sind in der Bedieneinheit bzw. im Bedienmodul des elektronischen Hochsicherheitsschlosses ebenso alle derzeit bekannten und gängigen Funktionalitäten und Prozesse der Kundenanwendungen des Marktes softwaremäßig in modularen Blöcken codiert und hinterlegt; auch hier sind jedoch nur die Blöcke aktiviert, die zum derzeitig aktuellen Funktionsumfang notwendig sind.
  • Dieser Funktionsumfang wird durch das jeweils aktuell verwendete zweite Modul bestimmt.
  • Das Freischalten der notwendigen Funktionalitäten bzw. Softwareblöcke wird über die Berechnung und Eingabe eines sicheren Lizenzkeys an der Bedieneinheit vollzogen. Der Lizenzkey wird auf Kundenanforderung unter Angabe von gerätespezifischen Daten, wie Seriennummer der Bedieneinheit und Seriennummer des intelligenten Schlossriegels automatisiert erstellt und dem Kunden übermittelt. Alternativ kann sich der Kunde auf der Website des Herstellers des intelligenten Schlossriegels in einem persönlichen Bereich einloggen und die erforderlichen Daten eingeben, woraufhin ein Lizenzkey automatisiert erzeugt wird. Aus Sicherheitsgründen ist es vorteilhaft, wenn dem Hersteller diese Generierungsabfrage anschließend per E-Mail mitgeteilt wird.
  • Zusätzlich ist zur Berechnung des Lizenzkeys vorteilhaft ein Funktionalitätscode notwendig, der abhängig ist von dem Upgradeprozess, der im speziellen Fall durchgeführt werden soll, und somit abhängig von den freizuschaltenden Funktionsblöcken im Programmspeicher.
  • Es ist also vorgesehen, dass der Lizenzkey ein Datensatz ist, welcher aus mindestens drei weiteren Datensätzen generiert ist, wobei unter den weiteren Datensätze eine Seriennummer des Bedienmoduls, eine Seriennummer des Schlossmoduls und der Funktionalitätscode sind.
  • Die Datenempfangsschnittstelle des Bedienmoduls kann dabei zum Beispiel eine Tastatur oder ein Touchscreen sein, mittels welcher eine manuelle Eingabe der Daten bzw. Datensätze möglich ist. Es ist aber insbesondere vorteilhaft, wenn die Schlosseinheit bzw. das Hochsicherheitsschloss am ersten und/oder am zweiten Modul mindestens eine Kommunikationsschnittstelle aufweist. Denkbar ist hier vor allem ein USB-Anschluss, aber auch die Nutzung der Bluetooth-Funktion oder eine Infrarotschnittstelle sind möglich. Vorteilhaft ist am ersten und/oder am zweiten Modul mindestens eine der folgenden Funktionen hardwaremäßig realisiert: Funktionen aus dem Bereich Near Field Communication (NFC), RFID oder die eines integrierten Schaltkreises wie dem "iButton". Somit ist unter dem Ausdruck "Datenempfang" das Empfangen von Daten mittels einer manuellen Eingabe, aber auch mittels einer elektronischen Übermittlung zu verstehen.
  • Es ist also vorteilhaft, wenn die Datenempfangsschnittstelle eine Einrichtung zur manuellen Eingabe von Datensätzen oder eine elektronische Schnittstelle zur drahtgebundenen Übermittlung von Datensätzen oder eine elektronische Schnittstelle zur drahtlosen Übermittlung von Datensätzen ist.
  • Zur Erhöhung der Sicherheit ist es weiterhin vorteilhaft, wenn im Schlossmodul ein Supervisorcode hinterlegbar ist, welcher mittels der Auswerteeinrichtung mit einem mittels der Datenempfangsschnittstelle an das Bedienmodul und das Schlossmodul übertragbaren Supervisorcode vergleichbar ist. Dabei ist anzumerken, dass auch bei einem Tausch des Bedienmoduls, wie er oben beschrieben ist, der im Schlossmodul abgespeicherte Supervisorcode vorteilhaft gleich bleiben kann, was den Aufwand bei der Datenverwaltung reduziert.
  • Die Aufgabe der Erfindung wird weiterhin gelöst von einem Verfahren zur softwareseitigen Aktivierung oder Deaktivierung von Funktionen von Modulen eines Hochsicherheitsschlosses für ein Wertbehältnis, wobei das Hochsicherheitsschloss mindestens ein mechanisch funktionierendes Schlossmodul und ein mit einer Datenempfangsschnittstelle ausgestattetes Bedienmodul umfasst. Das Schlossmodul und das Bedienmodul umfassen jeweils einen eigenen Programmspeicher mit vorinstallierten Unterprogrammen, welche die Funktionen codieren. Es ist ferner erfindungsgemäß vorgesehen, dass das Schlossmodul und das Bedienmodul dafür eingerichtet und dazu vorgesehen sind, elektronisch und mechanisch voneinander getrennt und/oder nach dem Plug-&-Play-Prinzip miteinander verbunden zu werden, und dass die im Programmspeicher des Bedienmoduls vorinstallierten Unterprogramme nur die Funktionen des Bedienmoduls und die im Programmspeicher des Schlossmoduls vorinstallierten Unterprogramme nur die Funktionen des Schlossmoduls codieren. Außerdem umfassen das Schlossmodul und das Bedienmodul jeweils eine Auswerteeinheit.
  • Das erfindungsgemäße Verfahren weist die folgende Verfahrensschritte auf:
    1. a) Eingabe eines Funktionalitätscodes, welcher abhängig ist von freizuschaltenden oder zu sperrenden Unterprogrammen in den Programmspeichern, und separat davon Eingabe eines Lizenzkeys an der Datenempfangsschnittstelle, wobei der Lizenzkey ein Datensatz ist, welcher aus mindestens drei weiteren Datensätzen generiert wird, wobei unter den weiteren Datensätzen eine Seriennummer des Bedienmoduls, eine Seriennummer des Schlossmoduls und der Funktionalitätscode sind,
    2. b) Vergleich eines mittels eines Lizenzalgorithmus' erzeugbaren Vergleichslizenzkeys mit dem Lizenzkey mittels beider Auswerteeinrichtungen,
    3. c) Auswertung des Funktionalitätscodes mittels beider Auswerteeinrichtungen,
    4. d) Übertragung mindestens eines Bestätigungsdatensatzes an den Programmspeicher des Schlossmoduls und an den Programmspeicher des Bedienmoduls, wenn Schritt b) eine Übereinstimmung der verglichenen Datensätze ergibt,
    5. e) Freischaltung oder Sperrung mindestens eines Unterprogramms des Schlossmoduls und mindestens eines Unterprogramms des Bedienmoduls.
  • Die Sicherheit wird erhöht, wenn bestimmte Verfahrensschritte nicht nur im Bedienmodul bzw. im Schlossmodul, sondern auch im jeweils anderen Modul durchgeführt werden. Es ist also wie oben erwähnt vorgesehen, dass alle drei der Schritte b), c) und d) in beiden der Module ausgeführt werden. Es ist außerdem vorteilhaft, wenn die Ausführung der Schritte jeweils in der Reihenfolge b), c) und d) aufeinander folgt und/oder die Ausführung der Schritte b), c) und/oder d) zunächst im Schlossmodul und dann im Bedienmodul erfolgt.
  • Weiterhin erhöht sich die Sicherheit des Verfahrens, wenn zeitlich vor Schritt a) in einem Schritt a0) eine Eingabe eines Supervisorcodes erfolgt, welcher in einem Schritt a2) vor Schritt b) mittels der Auswerteeinrichtung mit einem im Schlossmodul gespeicherten weiteren Datensatz verglichen wird.
  • Es ist wie oben erwähnt vorgesehen, dass der Lizenzkey ein Datensatz ist, welcher aus mindestens drei weiteren Datensätzen generiert wird, wobei unter den weiteren Datensätzen eine Seriennummer des Bedienmoduls, eine Seriennummer des Schlossmoduls und den Funktionalitätscode sind.
  • Dabei kann die Eingabe der Datensätze in Schritt a) und/oder Schritt a0) drahtgebunden wie über eine Hardwareschnittstelle oder drahtlos wie mittels Funkübertragung erfolgen.
  • Vorteile und Zweckmäßigkeiten sind der nachfolgenden Beschreibung in Verbindung mit der Zeichnung zu entnehmen.
  • Es zeigen:
    • Fig. 1
    einen Geldautomaten in einer schematischen Darstellung;
    Fig. 2a
    in einer schematischen Darstellung die Zugangstür für die Geldfächer des Geldautomaten gemäß Fig. 1;
    Fig. 2b
    eine einzelne Schließeinheit wie gemäß Fig. 2a verwendet;
    Fig. 3a
    Hardwarekomponenten eines Standardmodells des zweiten Moduls;
    Fig. 3b
    Hardwarekomponenten eines erweiterten Modells des zweiten Moduls;
    Fig. 4
    eine Übersicht beispielhaft verfügbarer zweiter Module mit erstem Modul
    Fig. 5
    den Ablauf der Generierung des Lizenzkeys;
    Fig. 6
    einen Überblick über den Gesamt-Upgradeprozess;
    Fig. 7
    einen ersten Teilprozess des Gesamt-Upgradeprozesses;
    Fig. 8
    einen zweiten Teilprozess des Gesamt-Upgradeprozesses.
  • In Fig. 1 ist in einer perspektivischen Darstellung ein Geldautomat 1 abgebildet, wie er beispielsweise in einem Geldinstitut zum Abheben von Geldbeträgen den Bankkunden zur Verfügung steht. Das Bedienterminal für den Bankkunden mit Fach zum Einführen der ec-Karte, der Ziffernblock zum Eingeben der PIN sowie das Display zum Eingeben weiterer Funktionen sind hier wie üblich an der Vorderseite 1a des Geldautomaten angeordnet und spielen für die weitere Erfindung keine Rolle. Die Rückseite 1b des Geldautomaten 1 ist in Fig. 1 nicht zu sehen. Allerdings ist denkbar, dass dort beispielsweise ein bzw. zwei erfindungsgemäße Hochsicherheitsschlösser angeordnet sind. Die Schlosssysteme können je nach Ausführungsform des Geldautomaten 1 auch auf der Vorderseite 1a unter einer Abdecktür angebracht sein.
  • Eine mögliche Konfiguration einer Rückseite 1b des Geldautomaten 1 zeigt Fig. 2a. Dort ist eine Tür 2 mit Türgriff 2a zu sehen, welche mit zwei Schließeinheiten 6 als ersten Modulen 3 ausgestattet ist und mit diesen den Zugang zu den Geldfächern sichert. Die mechanische und/oder elektronische Anbindung der Schließeinheiten 6 an der Tür 2 ist hier lediglich beispielhaft veranschaulicht. Vorliegend sind die Schließeinheiten 6 als intelligente Schlossriegel 6 ausgebildet.
  • Fig. 2b zeigt die Schließeinheit 6 gemäß Fig. 2a in vergrößerter Darstellung. Ein elektronisches Hochsicherheitsschlosssystem besteht unter anderem aus einer Eingabeeinheit (siehe Bedienteil 5 gemäß Fig. 3a/3b), mindestens einer Auswerteeinheit 18a und einer Betätigungseinheit 17 (Riegelelement). Eine Auswerteeinheit 18a und die Betätigungseinheit 17 sind beispielsweise in dem Schlossriegel 6 zusammengefasst, weshalb dieser auch als intelligenter Schlossriegel 6 bezeichnet wird. Vorliegend kann beispielsweise mittels einer Verlagerung der Betätigungseinheit 17 die Tür 2 entriegelt und verriegelt werden. Allerdings spielen weder die Mechanik dieses Schlossriegels 6 bzw. der Betätigungseinheit oder des Riegelelements 17 noch die Abfolge der Schritte, welche das Verschließen und das Öffnen der Tür 2 erlauben, für die vorliegende Erfindung eine Rolle. Sie erfahren daher in der weiteren Beschreibung keine weitere Beachtung.
  • Die Figuren 3a und 3b zeigen verschiedene zweite Module 4, welche die Schnittstellenfunktion zum Benutzer abbilden und vorliegend jeweils als Bedienterminal bzw. Bedieneinheit 5 ausgebildet sind. Fig. 3a zeigt das Standardmodell 7a des zweiten Moduls 4, welches über einen Ziffernblock 8 mit Zifferntasten 8a (hier anhand einer Zifferntaste beispielhaft gekennzeichnet), eine Bestätigungstaste 8b und eine Löschtaste 8c verfügt. Fig. 3b zeigt ein erweitertes Modell des zweiten Moduls 4, welches zusätzlich zu den beim Standardmodell 7a vorhandenen Elementen 8, 8a, 8b, 8c über ein Display 9 und Scroll- bzw. Cursortasten 8d verfügt, mittels welchen ein Benutzermenü abrufbar und mittels des Displays 9 anzeigbar ist. Die Hardwareausstattung des in Fig. 3b abgebildeten erweiterten Modells entspricht damit der Hardwareausstattung der Modelle 7b, 7c und 7d.
  • In Fig. 4 sind beispielhaft vier zweite Module 4 als Modelle 7a, 7b, 7c, 7d gezeigt, wobei die Module 7b, 7c, 7d jeweils die gleiche Hardwareausstattung zeigen, sich hinsichtlich ihrer Softwareausstattung jedoch unterscheiden. Beispielsweise weisen die Modelle bzw. Module von 7a bis 7d ansteigende Funktionalitäten auf. Das Modul 7a ist beispielsweise werksseitig verbaut. Um Modul 7a gegen Modul 7b auszutauschen, mithin ein Upgrade 10a von Modell 7a auf 7b durchzuführen, ist somit ein Tausch der gesamten Tastatur bzw. des Ziffernblocks 8 notwendig. Dahingegen erfordert ein Tausch des Moduls 7b gegen 7c oder 7d bzw. 7c gegen 7d (Upgrade mittels Pfeil 10b1 bzw. 10b2 bzw. 10b3 dargestellt) nur jeweils ein Softwareupgrade mit Hilfe eines Lizenzkeys 15 (siehe Fig. 5). Das gezeigte erste Modul 3 kann jedoch in Kombination mit allen vier gezeigten zweiten Modulen 7a, 7b, 7c, 7d verwendet werden.
  • Fig. 5 veranschaulicht die Generierung 100 eines Lizenzkeys 15. Hierfür werden die Daten bezüglich der Seriennummer 12 des intelligenten Schlossriegels 6, der Seriennummer 13 der Bedieneinheit 5 sowie ein Funktionalitätscode 14 kombiniert (Schritt 101) und mittels Anwendung eines geeigneten Lizenzalgorithmus ein beispielsweise 8-stelliger Lizenzkey 15 generiert (Schritt 102).
  • Fig. 6 beschreibt den gesamten Upgradeprozess 200 zum Beispiel von Modell 7b auf 7c in einzelnen Verfahrensschritten 201 bis 214, wobei die einzelnen Schritte in einer bevorzugten zeitlichen Reihenfolge abgebildet sind. Wie bereits oben erwähnt, muss bei diesem Upgradeprozess kein Tausch des Bedienteils 5 erfolgen, sondern nur eine Freischaltung codierter Softwareblöcke 36a, 36b, 36c bzw. 46a, 46b, 46c.
  • Zum Start des Upgradeprozesses 200 gibt der autorisierte Benutzer an der Bedieneinheit 5 in einem bestimmten Menüpunkt des Bedienmenüs den Supervisorcode 57 (Schritt 201) und anschließend den Funktionscode 14 und den Lizenzkey 15 ein (Schritt 202). Eine Aufforderung zur Eingabe dieser Daten 57, 14 und/oder 15 kann beispielsweise auf dem Display 9 angezeigt werden. Diese Daten werden in der Bedieneinheit 5 zwischengespeichert sowie verschlüsselt (Schritt 203) und im Schritt 204 verschlüsselt an den Schlossriegel 6 übertragen. Dieser entschlüsselt die Daten (Schritt 205), wertet den Supervisorcode aus (Schritt 206) und vergleicht den berechneten Lizenzkey mit dem empfangenen Lizenzkey (Schritt 207). Ist dieser Vergleich zufriedenstellend, wird der bzw. werden die entsprechenden Funktionsblöcke freigeschalten (Schritt 208). Es erfolgt eine Bestätigung der Freischaltung (Schritt 209) sowie eine Verschlüsselung der Daten (Schritt 210). Die verschlüsselten Daten werden dann an die Bedieneinheit 5 übertragen (Schritt 211) und dort entschlüsselt (Schritt 212). Anschließend wird der entsprechende Funktionsblock im Bedienteil 5 freigeschalten (Schritt 213), womit der Upgradeprozess abgeschlossen ist (mit 214 veranschaulicht).
  • In jedem intelligentem Schlossriegel 6 ist mind. ein sogenannter Supervisorcode 39 für das Aktivieren der neuen Funktionsblöcke 36a, 36b, 36c (siehe Fig. 7) im Schlossriegel 6 bzw. 46a, 46b, 46c (siehe Fig. 8) in der Bedieneinheit 5 hinterlegt. Diese Supervisorcodes 39 können bei der Installation eines Systems durch den Bediener bzw. den autorisierten Benutzer verändert werden. Durch die Tatsache, dass nur die Bedieneinheit 5 getauscht werden muss, kann der Code 39 jedoch vorteilhaft gleich bleiben.
  • Fig. 7 veranschaulicht einen Teilprozess 200a des Upgradeprozesses 200 gemäß Fig. 6 sowie die Beteiligung verschiedener Einheiten beim Ablauf der Freischaltung der Funktionsblöcke 36a, 36b, 36c im Programmspeicher 36 des intelligenten Schlossriegels 6. Die im Schritt 203 verschlüsselten Daten 31 werden gemäß Schritt 204 an eine Empfangseinrichtung 32 des Schlossriegels 6 übertragen und gemäß Schritt 204a an die Entschlüsselungseinrichtung 33 übertragen. Dort werden die Daten 31 in Klartext 40a entschlüsselt (Schritt 205), wodurch sie sich wieder mit dem empfangenen Lizenzkey 15 und dem Funktionalitätscode 14 vergleichen lassen. Anschließend werden die Klartextdaten 40a im Schritt 205b an die Auswerteeinrichtung 18a übertragen. Mittels des implementierten Lizenzgenerators 37a wird ein Vergleichslizenzkey 38a berechnet (Schritt 205a) und im Schritt 205c an die Auswerteeinrichtung 18a übertragen. Ebenfalls wird ausgehend vom Codespeicher 34 der Supervisorcode 39 an die Auswerteeinrichtung 18a übertragen (Schritt 205d). In der Auswerteeinrichtung 18a werden die empfangenen Daten 38a, 39, 40a bzw. 38a, 39, 14, 15 auf Basis der im intelligenten Schlossriegel 6 gespeicherten gerätespezifischen Daten aufbereitet und verglichen. Stimmt der aktuell berechnete Lizenzkey 38a mit dem empfangenen, entschlüsselten Lizenzkey 15 überein, wird der entsprechende Softwarefunktionsblock (hier drei Blöcke 36a, 36b, 36c) im Programmspeicher 36 über eine Übertragung eines oder mehrerer Bestätigungsdatensätze 48a, 48b, 48c bzw. -signale von der Auswerteeinheit 18a an den Programmspeicher 36 dauerhaft freigeschalten.
  • Die Bestätigung der Freischaltung wird anhand von Bestätigungsdaten 41 verschlüsselt an die Bedieneinheit 5 zurückgesendet (siehe Fig. 8). Diese Daten 41 werden von einer Empfangseinrichtung 42 des Bedienteils 5 im Schritt 210a empfangen bzw. im Schritt 211 verschlüsselt an eine Entschlüsselungseinrichtung 43 der Bedieneinheit 5 übertragen. Die restlichen folgenden Schritte erfolgen jeweils analog zu denen aus Fig. 7, wobei allerdings jeweils der Bedieneinheit 5 zugeordnete separate Einheiten wie Auswerteeinrichtung 18b oder Lizenzgenerator 37b verwendet werden: 212 analog zu 205, 212a analog zu 205a, 212b analog zu 205b (mit Klartextdaten 40b), 212c analog zu 205c, 212d analog zu 207, 213 analog zu 208. Es ist davon auszugehen, dass der Lizenzkey 38a dem Lizenzkey 38b entspricht. In der Bedieneinheit 5 wird also im gleichen Zuge die neue Funktionalität entsprechend freigeschalten (über eine Übertragung eines oder mehrerer Bestätigungsdatensätze 49a, 49b, 49c bzw. -signale von der Auswerteeinheit 18b an den Programmspeicher 46).
  • Nicht alle gemäß Fig. 6 gezeigten Schritte sind gemäß Fig. 7 und Fig. 8 dargestellt. Dies gilt auch umgekehrt.
    • Bezugszeichenliste
    • 1
    Geldautomat
    1a
    Vorderseite
    1b
    Rückseite
    2
    Tür
    2a
    Türgriff
    3
    erstes Modul
    4
    zweites Modul
    5
    Bedieneinheit
    6
    Schließeinheit
    7a
    Standardmodell
    7b, 7c, 7d
    erweitertes Modell
    8
    Ziffern block
    8a
    Nummerntaste
    8b
    Bestätigungstaste
    8c
    Löschtaste
    8d
    Cursortaste
    9
    Display
    10a
    Tausch des Ziffernblocks
    10b1, 10b2, 10b3
    Softwareupgrade
    11
    Kombination
    12, 13
    Seriennummer
    14
    Funktionalitätscode
    15
    Lizenzkey
    17
    Betätigungseinheit
    18a, b
    Auswerteeinheit
    31
    Verschlüsselte Daten
    32, 42
    Empfangseinrichtung
    33, 43
    Entschlüsselungseinrichtung
    34
    Codespeicher des Supervisorcodes
    36, 46
    Programmspeicher
    36a, 46a
    Funktionsblock A
    36b, 46b
    Funktionsblock B
    36c, 46c
    Funktionsblock C
    37a, 37b
    Lizenzgenerator
    38a, 38b
    Vergleichs-Lizenzkey
    39
    Supervisorcode
    40, 40a, 40b
    Klartextdaten
    41
    Bestätigungsdaten
    45
    Hochsicherheitsschloss
    48a, 48b, 48c
    Bestätigungsdatensatz
    49a, 49b, 49c
    Bestätigungsdatensatz
    52a, 52b, 52c
    Funktion
    53a, 53b
    Datenverschlüsselungseinheit
    54a, 54b
    Datenübertragungseinheit
    55a, 55b
    Datenspeichereinheit
    56
    Datenempfangsschnittstelle
    57
    Supervisorcode
    100
    Erzeugung des Lizenzkeys
    101
    Kombinationsschritt
    102
    Lizenzalgorithmus
    200
    Upgradeprozess
    200a
    Upgrade-Teilprozess im intelligenten Schlossriegel
    200b
    Upgrade-Teilprozess in der Bedieneinheit
    201
    Eingabe des Supervisorcodes
    202
    Eingabe des Funktionscodes und des Lizenzkeys
    203
    Verschlüsselung des Funktionscodes und des Lizenzkeys
    204
    Verschlüsselte Übertragung an den Schlossriegel
    204a
    Weiterleitung der Daten
    205
    Entschlüsselung der Daten
    205a
    Berechnung des Vergleichslizenzkeys
    205b
    Übertragung der Klartextdaten
    205c
    Übertragung des Vergleichslizenzkeys
    205d
    Übertragung des Supervisorcodes
    206
    Auswertung des Supervisorcodes
    207
    Vergleich berechneter Lizenzkey mit empfangenem Lizenzkey
    208
    Freischaltung des entsprechenden Funktionsblocks
    209
    Bestätigung der Freischaltung
    210
    Verschlüsselung der Daten
    210a
    Dateneingabe
    211
    Verschlüsselte Übertragung an die Bedieneinheit
    212
    Entschlüsselung der Freigabedaten
    212a
    Berechnung Vergleichslizenzkey
    212b
    Übertragung der Klartextdaten
    212c
    Übertragung des Vergleichslizenzkeys
    212d
    Vergleich berechneter Lizenzkey mit empfangenem Lizenzkey
    213
    Freischaltung des entsprechenden Funktionsblocks
    214
    Abschluss des Upgradeprozesses

Claims (8)

  1. Hochsicherheitsschloss (45) für ein Wertbehältnis (1),
    umfassend mindestens ein mechanisch funktionierendes Schlossmodul (3) und ein mit einer Datenempfangsschnittstelle ausgestattetes Bedienmodul (4),
    wobei das Schlossmodul (3) und das Bedienmodul (4) dafür eingerichtet und dazu vorgesehen sind, elektronisch und mechanisch voneinander getrennt und/oder nach dem Plug-&-Play-Prinzip miteinander verbunden zu werden,
    wobei das Schlossmodul (3) und das Bedienmodul (4) jeweils einen eigenen Programmspeicher (36; 46) mit vorinstallierten Unterprogrammen (36a, 36b, 36c; 46a, 46b, 46c) umfassen, welche Funktionen des Schlossmoduls (3) und/oder des Bedienmoduls (4) codieren,
    wobei die im Programmspeicher (46) des Bedienmoduls (4) vorinstallierten Unterprogramme (46a, 46b, 46c) nur die Funktionen des Bedienmoduls (4) und die im Programmspeicher (36) des Schlossmoduls (3) vorinstallierten Unterprogramme (36a, 36b, 36c) nur die Funktionen des Schlossmoduls (3) codieren,
    wobei die Datenempfangsschnittstelle dafür eingerichtet und dazu vorgesehen ist, einen Funktionalitätscode (14) und separat davon einen Lizenzkey (15) an das Bedienmodul (4) und das Schlossmodul (3) zu übertragen,
    wobei das Schlossmodul (3) und das Bedienmodul (4) jeweils eine Auswerteeinheit (18a; 18b) umfassen,
    und wobei beide Auswerteeinheiten (18a; 18b) dafür eingerichtet und dazu vorgesehen sind, einen Vergleich eines mittels eines Lizenzalgorithmus' erzeugbaren Vergleichslizenzkey (38a; 38b) mit dem Lizenzkey (15) und eine Auswertung des Funktionalitätscodes (14) durchzuführen und mindestens einen Bestätigungsdatensatz (48a, 48b, 48c) zur Freischaltung oder Sperrung mindestens eines Unterprogramms (36a, 36b, 36c) des Schlossmoduls (3) an den Programmspeicher (36) des Schlossmoduls (3) und mindestens eines Unterprogramms (46a, 46b, 46c) des Bedienmoduls (4) an den Programmspeicher (46) des Bedienmoduls (4) zu übertragen, wobei der Lizenzkey (15) ein Datensatz ist, welcher aus mindestens drei weiteren Datensätzen (12, 13, 14) generiert ist, wobei unter den weiteren Datensätzen eine Seriennummer (12) des Bedienmoduls (4), eine Seriennummer (13) des Schlossmoduls (3) und der Funktionalitätscode (14) sind, wobei der Funktionalitätscode (14) abhängig ist von den freizuschaltenden oder zu sperrenden Unterprogrammen (36a, 36b, 36c; 46a, 46b, 46c) in den Programmspeichern (36; 46).
  2. Hochsicherheitsschloss (45) nach Anspruch 1,
    dadurch gekennzeichnet, dass
    das Schlossmodul (3) und das Bedienmodul (4) jeweils mindestens eine der folgenden Einheiten umfassen: eine Datenverschlüsselungseinheit (53a; 53b), eine Datenübertragungseinheit (54a; 54b) und eine Datenspeichereinheit (55a; 55b).
  3. Hochsicherheitsschloss (45) nach einem der vorhergehenden Ansprüche,
    dadurch gekennzeichnet, dass
    die Datenempfangsschnittstelle eine Einrichtung (8) zur manuellen Eingabe von Datensätzen oder eine elektronische Schnittstelle zur drahtgebundenen Übermittlung von Datensätzen oder eine elektronische Schnittstelle zur drahtlosen Übermittlung von Datensätzen ist.
  4. Hochsicherheitsschloss (45) nach einem der vorhergehenden Ansprüche,
    dadurch gekennzeichnet, dass
    das Schlossmodul (3) dafür eingerichtet und dazu vorgesehen ist, dass ein Supervisorcode (39) im Schlossmodul (3) hinterlegt wird, wobei die Auswerteeinheit (18a) dafür eingerichtet und dazu vorgesehen ist, den Supervisorcode (39) mit einem mittels der Datenempfangsschnittstelle an das Bedienmodul (4) und das Schlossmodul (3) übertragenen Supervisorcode (57) zu vergleichen.
  5. Verfahren (200) zur softwareseitigen Aktivierung oder Deaktivierung von Funktionen von Modulen (3, 4) eines Hochsicherheitsschlosses (45) für ein Wertbehältnis (1),
    wobei das Hochsicherheitsschloss (45) mindestens ein mechanisch funktionierendes Schlossmodul (3) und ein mit einer Datenempfangsschnittstelle ausgestattetes Bedienmodul (4) umfasst,
    wobei das Schlossmodul (3) und das Bedienmodul (4) jeweils einen eigenen Programmspeicher (36; 46) mit vorinstallierten Unterprogrammen (36a, 36b, 36c; 46a, 46b, 46c) umfassen, welche die Funktionen codieren,
    dadurch gekennzeichnet, dass
    das Schlossmodul (3) und das Bedienmodul (4) dafür eingerichtet und dazu vorgesehen sind, elektronisch und mechanisch voneinander getrennt und/oder nach dem Plug-&-Play-Prinzip miteinander verbunden zu werden, und dass
    die im Programmspeicher (46) des Bedienmoduls (4) vorinstallierten Unterprogramme (46a, 46b, 46c) nur die Funktionen des Bedienmoduls (4) und die im Programmspeicher (36) des Schlossmoduls (3) vorinstallierten Unterprogramme (36a, 36b, 36c) nur die Funktionen des Schlossmoduls (3) codieren, und dass
    das Schlossmodul (3) und das Bedienmodul (4) jeweils eine Auswerteeinheit (18a; 18b) umfassen,
    aufweisend folgende Verfahrensschritte:
    a) Eingabe eines Funktionalitätscodes (14), welcher abhängig ist von freizuschaltenden oder zu sperrenden Unterprogrammen (36a, 36b, 36c; 46a, 46b, 46c) in den Programmspeichern (36; 46), und separat davon Eingabe eines Lizenzkeys (15) an der Datenempfangsschnittstelle, wobei der Lizenzkey (15) ein Datensatz ist, welcher aus mindestens drei weiteren Datensätzen (12, 13, 14) generiert wird, wobei unter den weiteren Datensätzen eine Seriennummer (12) des Bedienmoduls (4), eine Seriennummer (13) des Schlossmoduls (3) und der Funktionalitätscode (14) sind,
    b) Vergleich eines mittels eines Lizenzalgorithmus' erzeugbaren Vergleichslizenzkeys (38a; 38b) mit dem Lizenzkey (15) mittels beider Auswerteeinheiten (18a; 18b),
    c) Auswertung des Funktionalitätscodes (14) mittels beider Auswerteeinheiten (18a; 18b),
    d) Übertragung mindestens eines Bestätigungsdatensatzes (48a, 48b, 48c; 49a, 49b, 49c) an den Programmspeicher (36) des Schlossmoduls (3) und an den Programmspeicher (46) des Bedienmoduls (4), wenn Schritt b) eine Übereinstimmung der verglichenen Datensätze (38a, 15; 38b, 15) ergibt,
    e) Freischaltung oder Sperrung mindestens eines Unterprogramms (36a, 36b, 36c) des Schlossmoduls (3) und mindestens eines Unterprogramms (46a, 46b, 46c) des Bedienmoduls (4).
  6. Verfahren (200) nach Anspruch 5,
    dadurch gekennzeichnet, dass
    die Ausführung der Schritte jeweils in der Reihenfolge b), c) und d) aufeinander folgt und/oder die Ausführung der Schritte b), c) und/oder d) zunächst im Schlossmodul (3) und dann im Bedienmodul (4) erfolgt.
  7. Verfahren (200) nach Anspruch 5 oder 6,
    dadurch gekennzeichnet, dass
    zeitlich vor Schritt a) in einem Schritt a0) eine Eingabe eines Supervisorcodes (57) erfolgt, welcher in einem Schritt a2) vor Schritt b) mittels der Auswerteeinheit (18a; 18b) mit einem im Schlossmodul (3) gespeicherten weiteren Datensatz (39) verglichen wird.
  8. Verfahren (200) nach einem der Ansprüche 5-7,
    dadurch gekennzeichnet, dass
    die Eingabe der Datensätze (14, 15) in Schritt a) und/oder Schritt a0) drahtgebunden wie über eine Hardwareschnittstelle oder drahtlos wie mittels Funkübertragung erfolgt.
EP16153262.7A 2015-03-03 2016-01-29 Modulares hochsicherheitsschloss und updateverfahren hierfür Active EP3065110B1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102015103052 2015-03-03
DE102015119606.9A DE102015119606B4 (de) 2015-03-03 2015-11-13 Modulares Hochsicherheitsschloss und Updateverfahren hierfür

Publications (2)

Publication Number Publication Date
EP3065110A1 EP3065110A1 (de) 2016-09-07
EP3065110B1 true EP3065110B1 (de) 2019-08-28

Family

ID=55304845

Family Applications (1)

Application Number Title Priority Date Filing Date
EP16153262.7A Active EP3065110B1 (de) 2015-03-03 2016-01-29 Modulares hochsicherheitsschloss und updateverfahren hierfür

Country Status (1)

Country Link
EP (1) EP3065110B1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106934886B (zh) * 2017-02-28 2019-02-26 南京东屋电气有限公司 一种动态密码锁otc密钥设置与更新方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100057703A1 (en) * 2008-08-29 2010-03-04 Brandt Matthew K Systems and Methods for Automating Software Updates/Maintenance
US20110061047A1 (en) * 2009-09-04 2011-03-10 Alcatel Lucent Licensing Software and Licensing Propagation Mechanism for Embedded Systems in Chassis and Stacked Environments

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7234636B1 (en) * 2000-09-27 2007-06-26 Diebold Self-Service Systems, Division Of Diebold, Incorporated Cash dispensing automated banking machine software authorization system and method
EP1260659A3 (de) * 2001-05-23 2004-02-04 Burg-Wächter Kg Verfahren zur Steuerung eines elektronischen Schlosses
DE102009043090A1 (de) * 2009-09-25 2011-03-31 Wincor Nixdorf International Gmbh Vorrichtung zur Handhabung von Wertscheinen

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100057703A1 (en) * 2008-08-29 2010-03-04 Brandt Matthew K Systems and Methods for Automating Software Updates/Maintenance
US20110061047A1 (en) * 2009-09-04 2011-03-10 Alcatel Lucent Licensing Software and Licensing Propagation Mechanism for Embedded Systems in Chassis and Stacked Environments

Also Published As

Publication number Publication date
EP3065110A1 (de) 2016-09-07

Similar Documents

Publication Publication Date Title
EP2900581B1 (de) Verfahren zur rückstellung eines sicherheitssystems einer aufzugsanlage
EP3103057B1 (de) Verfahren zum zugang zu einem physisch abgesicherten rack sowie computernetz-infrastruktur
EP2122588B1 (de) Chipkarte mit einer erstnutzerfunktion, verfahren zur wahl einer kennung und computersystem
EP3582033B1 (de) Verfahren zur gesicherten bedienung eines feldgeräts
EP1883867A1 (de) Verfahren zum einstellen eines elektrischen feldgerätes
DE102007005638A1 (de) Verfahren zur Autorisierung des Zugriffs auf mindestens eine Automatisierungskompente einer technischen Anlage
EP3065110B1 (de) Modulares hochsicherheitsschloss und updateverfahren hierfür
EP3009992B1 (de) Verfahren und vorrichtung zum verwalten von zutrittsberechtigungen
DE202005021375U1 (de) Berechtigungssystem
DE102015119606B4 (de) Modulares Hochsicherheitsschloss und Updateverfahren hierfür
WO2019105609A1 (de) VERFAHREN ZUM BETREIBEN EINER SCHLIEßEINRICHTUNG EINES KRAFTFAHRZEUGS, AUTORISIERUNGSEINRICHTUNG, ZUTRITTSKONTROLLEINRICHTUNG, STEUEREINRICHTUNG, UND MOBILES ENDGERÄT
EP2715681B1 (de) Verfahren zum erzeugen eines aktuell gültigen, einmaligen freigabecodes für ein elektronisches schloss
DE102017115086B4 (de) Verfahren zur Verwaltung eines Öffnungszustandes eines Wertbehältnisses unter Verwendung eines auf einem biometrischen Datensatz basierenden Einmalcodes
DE102022113080A1 (de) Sicherheitszuhaltung
EP1828993A1 (de) Zutrittskontrollanlage mit mehreren schliessvorrichtungen
DE10354517A1 (de) Verfahren zum Betreiben eines Sicherheits-Schließsystems
WO2022180088A1 (de) Verfahren zur installation von mehreren türkomponenten
EP4050545A1 (de) Verfahren zur installation von mehreren türkomponenten
EP3327686B1 (de) Verfahren zur verwaltung eines öffnungszustandes eines wertbehältnisses sowie system hierfür
EP4138052B1 (de) Verfahren zur inbetriebnahmevorbereitung eines steuergeräts für zutrittseinrichtungen, zutrittssystem und computerprogrammprodukt
EP1710760B1 (de) Gesicherte Freigabe von Einrichtungen
DE102007031738B4 (de) Verfahren und System zur Sicherung der Datenübertragung zwischen mindestens zwei Bordelektronikkomponenten eines Kraftfahrzeugs
EP4358044A1 (de) Verfahren zur inbetriebnahme einer elektro-mechanischen sperrvorrichtung
EP1751904B1 (de) Verfahren und vorrichtung zur ansteuerung eines mobilfunkendgerätes, insbesondere in einem drahtlos-modul oder -terminal, mit rückübertragung von verwendeten steuerbefehlen
DE102022127174A1 (de) Verfahren zur Inbetriebnahme einer elektro-mechanischen Sperrvorrichtung

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20170127

RBV Designated contracting states (corrected)

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20171221

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: GRANT OF PATENT IS INTENDED

INTG Intention to grant announced

Effective date: 20190321

GRAS Grant fee paid

Free format text: ORIGINAL CODE: EPIDOSNIGR3

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE PATENT HAS BEEN GRANTED

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

REG Reference to a national code

Ref country code: GB

Ref legal event code: FG4D

Free format text: NOT ENGLISH

REG Reference to a national code

Ref country code: CH

Ref legal event code: EP

REG Reference to a national code

Ref country code: AT

Ref legal event code: REF

Ref document number: 1173339

Country of ref document: AT

Kind code of ref document: T

Effective date: 20190915

REG Reference to a national code

Ref country code: IE

Ref legal event code: FG4D

Free format text: LANGUAGE OF EP DOCUMENT: GERMAN

REG Reference to a national code

Ref country code: DE

Ref legal event code: R096

Ref document number: 502016006259

Country of ref document: DE

REG Reference to a national code

Ref country code: CH

Ref legal event code: NV

Representative=s name: ROTTMANN, ZIMMERMANN + PARTNER AG, CH

REG Reference to a national code

Ref country code: NL

Ref legal event code: MP

Effective date: 20190828

REG Reference to a national code

Ref country code: LT

Ref legal event code: MG4D

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

Ref country code: NL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

Ref country code: BG

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20191128

Ref country code: HR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

Ref country code: LT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

Ref country code: FI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

Ref country code: PT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20191230

Ref country code: NO

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20191128

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: ES

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

Ref country code: AL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

Ref country code: GR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20191129

Ref country code: RS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

Ref country code: IS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20191228

Ref country code: LV

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: TR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

Ref country code: RO

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

Ref country code: PL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

Ref country code: EE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

Ref country code: DK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20200224

Ref country code: SK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

Ref country code: SM

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

Ref country code: CZ

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

REG Reference to a national code

Ref country code: DE

Ref legal event code: R097

Ref document number: 502016006259

Country of ref document: DE

PLBE No opposition filed within time limit

Free format text: ORIGINAL CODE: 0009261

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

PG2D Information on lapse in contracting state deleted

Ref country code: IS

26N No opposition filed

Effective date: 20200603

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: MC

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

Ref country code: SI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

REG Reference to a national code

Ref country code: CH

Ref legal event code: PL

GBPC Gb: european patent ceased through non-payment of renewal fee

Effective date: 20200129

REG Reference to a national code

Ref country code: BE

Ref legal event code: MM

Effective date: 20200131

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: FR

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20200131

Ref country code: LU

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20200129

Ref country code: GB

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20200129

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LI

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20200131

Ref country code: CH

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20200131

Ref country code: BE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20200131

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20200129

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: MT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

Ref country code: CY

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: MK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20190828

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: AT

Payment date: 20240216

Year of fee payment: 9

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: DE

Payment date: 20240208

Year of fee payment: 9