ES2236973T3 - Metodo y sistema de control de acceso electronico. - Google Patents

Metodo y sistema de control de acceso electronico.

Info

Publication number
ES2236973T3
ES2236973T3 ES99101806T ES99101806T ES2236973T3 ES 2236973 T3 ES2236973 T3 ES 2236973T3 ES 99101806 T ES99101806 T ES 99101806T ES 99101806 T ES99101806 T ES 99101806T ES 2236973 T3 ES2236973 T3 ES 2236973T3
Authority
ES
Spain
Prior art keywords
key
lock
locks
keys
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES99101806T
Other languages
English (en)
Inventor
Ceki C/O Sanitas Gulcu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Application granted granted Critical
Publication of ES2236973T3 publication Critical patent/ES2236973T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00817Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00571Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00896Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses
    • G07C9/00904Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses for hotels, motels, office buildings or the like
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/21Individual registration on entry or exit involving the use of a pass having a variable access code
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/27Individual registration on entry or exit involving the use of a pass with central registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00817Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed
    • G07C2009/00849Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed programming by learning

Abstract

Un sistema de control de accesos con una pluralidad de cerraduras y llaves, teniendo parte al menos de dichas cerraduras y llaves medios de memoria, caracterizado por: - dichos medios de memoria de una llave que está equipada para recibir y almacenar información relativa a cualesquiera derechos de acceso de dicha llave y la información designada para otras llaves y/o cerraduras, - dichos medios de memoria de una cerradura que están equipados para recibir información relativa a cualesquiera derechos de acceso para dicha cerradura y la información designada para otras llaves y/o cerraduras, - medios para intercambiar dicha información entre cerraduras y llaves, y - un mensaje de confirmación que puede ser producido por una cerradura o una llave n-ésima, acusando recibo el mensaje de confirmación de la recepción de un mensaje original, cuyo mensaje de confirmación sirve para controlar el borrado de las copias del mensaje original de las memorias de las cerraduras y llaves.

Description

Método y sistema de control de acceso electrónico.
Campo técnico
Este invento se refiere a un sistema de control de accesos de cerraduras y llaves electrónico y da a conocer un enfoque nuevo y muy flexible para gestionar la seguridad física de tal sistema. Tales sistemas son muy utilizados en la industria, en el negocio hotelero, en bancos, y en otros ambientes en los que es deseable controlar o restringir el acceso a habitaciones o a equipo. En muchos de estos sistemas se usan tarjetas, algunas veces incluso tarjetas inteligentes con potencia d procesado incorporada. Tales tarjetas son en general legibles magnéticamente, o de otro modo, mediante una lectora asociada a cada cerradura. Para hacer posible o para bloquear el uso de ciertas llaves, para restringir el acceso oportunamente, o bien para cambiar el sistema de seguridad de cualquier otro modo se han de transmitir mensajes o información de acceso a -y a veces desde- las cerraduras. Esto se hace frecuentemente a través de un sistema de cableado que conecta las cerraduras con un dispositivo de gestión de seguridad central, pero también se usan otros medios de transmisión. Sin embargo, la conexión más o menos directa entre el dispositivo de gestión y las cerraduras es característica para las soluciones de la técnica anterior.
Antecedentes
Todos y cada uno de nosotros ha de confiar diariamente en llaves para tener acceso a nuestros automóviles, a nuestras casas y oficinas, para abrir los candados de nuestras bicicletas, o para abrir nuestras caja del apartado de correos. Por consiguiente, las llaves son innegablemente una parte integrante de la sociedad moderna. Hoy en día, la mayor parte de esas llaves son todavía de tipo mecánico, como lo son las cerraduras asociadas.
Aunque de uso muy generalizado, estas llaves mecánicas tradicionales adolecen de una serie de inconvenientes. En primer lugar, en caso de fallo de la seguridad, tal como cuando se pierde una llave, o cuando se hace un duplicado no autorizado, o si se desaprueba una presunción de confianza, se ha de sustituir la cerradura. En segundo lugar, una llave es válida en tanto que la correspondiente cerradura siga en su posición. Por ejemplo, una vez que se haya dado derecho de acceso a un individuo al entregarle una llave, ese derecho no se puede revocar a menos que se devuelva la llave o se cambie la cerradura. Como consecuencia de estas limitaciones, los sistemas tradicionales de cerraduras y llaves no permiten establecer una política de acceso basada en el tiempo, por ejemplo, permitiendo el acceso solamente durante las horas de oficina, o bien protegiendo ciertas áreas durante ciertos períodos del día. En los muchos ambientes en los que tales requisitos existen, los sistemas tradicionales de cerraduras y llaves no son ya suficientes.
Evidentemente, las llaves tradicionales ofrecen únicamente posibilidades de una gestión inflexible y más bien limitada, pero están disponibles fácilmente, son muy fiables, y son razonablemente baratas. Sin embargo, ya se han inventado y se ha inventado la forma de comercializarlas, soluciones de sustitución de posibilidades de gestión de más amplitud y de mayor flexibilidad. Por ejemplo, en hoteles y empresas se están usando mucho cerraduras electrónicas y llaves electrónicas apropiadas, que proporcionan una gestión de los derechos de acceso muy flexible y bastante rápida.
Un ejemplo de un sistema en el que se usan tarjetas inteligentes de diferentes clases se ha ilustrado en la Patente de EE.UU. Nº 5.204.663 de Lee concedida a Applied Systems Institute, Inc., en la cual se da a conocer un sistema de control de accesos con tarjetas de circuito integrado, es decir, tarjetas inteligentes, algunas de las cuales tienen memoria para almacenar la información de acceso con la llave y la denominada información de transacción. Mientras que la información de acceso de la llave se refiere aquí al uso inmediato de la llave, por ejemplo, el presente código de acceso de la tarjeta, la información de transacción se refiere a otra actividad, por ejemplo a un registro del uso previo de la cerradura, tal como es registrado en la memoria de la cerradura, a nuevos códigos de acceso específicos a ser cargados en cerraduras específicas, o bien a un registro de intentos de entrada fallidos del usuario de la tarjeta. Parte de esta información de transacción es transferida desde la cerradura a la memoria de la tarjeta, parte desde la tarjeta a la cerradura, y parte se almacena en la tarjeta para posterior lectura.
Un ejemplo de cerradura que puede usarse en tal ambiente es la cerradura inteligente Safixx, descrita en la página de Internet http://acola.com, una cerradura fabricada por la firma ACOLA GmbH en Villingen-Schewenningen, Alemania. La cerradura inteligente Safixx tiene incluso algunas propiedades específicas (que serán consideradas en lo que sigue) que pueden hacer que resulte bastante útil en relación con el presente invento.
Se pueden encontrar otros ejemplos en la bibliografía. Todos ellos tienen una desventaja. Requieren una especie de acceso "directo" para todas y cada una de las cerraduras electrónicas en el sistema, ya sea porque las cerraduras estén conectadas mediante un cableado o por una red de radio a un centro de gestión, o ya sea porque haya que acercarse a cada cerradura y "reprogramarla" manualmente o electrónicamente, como con la cerradura inteligente Safixx antes mencionada, o como con el sistema descrito en la antes citada Patente de EE.UU. Nº 5.204.663 de Lee. Cualquiera de estos métodos resulta engorroso: una red de cables para todas las cerraduras de un hotel o de una planta costará usualmente más que las propias cerraduras electrónicas, un sistema de transmisión por radio requiere un transceptor y energía eléctrica en todas y cada una de las cerraduras, y puede por lo tanto resultar más caro (y más expuesto a fallos) que una red de cableado, y el tener que acercarse a todas y cada una de las cerraduras puede ser simplemente imposible en un marco de tiempo razonable.
La Patente de EE.UU. Nº 4.800.255 se refiere a una tarjeta electrónica de acceso que comprende un cuadro de circuito integrado. El cuadro de circuito integrado lleva un microprocesador. El cuadro de circuito integrado tiene un teclado que está conectado al microprocesador para insertar información en el microprocesador. En el cuadro de circuito integrado va una bobina que está acoplada al microprocesador para recibir la información a ser conducida al microprocesador y para transmitir información desde el microprocesador. Medios de presentación visual están acoplados al microprocesador para presentar visualmente información que vaya en el microprocesador.
La Patente de EE.UU. Nº 4.887.292 se refiere a un sistema de cerraduras electrónicas con una "lista de exclusiones" en la que se identifican las llaves a las que se impide que abran las cerraduras del sistema. Las listas de exclusiones codificadas por fechas van en las memorias de tanto las cerraduras como las llaves del sistema. Cuando se aplica una llave en una cerradura, se comparan los códigos de fecha de las listas de la cerradura y de la llave, para determinar qué lista es la más actual. Esa lista es entonces transferida a la otra unidad, suprimiendo y sustituyendo a la lista antigua de la unidad. Las subsiguientes interacciones de una u otra de estas unidades con otras cerraduras y llaves, extenderá más los datos de la lista de exclusiones más reciente. Mediante esta disposición, se pueden diseminar nuevas listas de exclusiones por todo el sistema de cerraduras, simplemente cargándolas en una o más llaves. Al ser usadas esas llaves en las cerraduras, y ser usadas esas cerraduras con otras llaves, la lista se irá extendiendo por todo el sistema.
Aquí, el invento pretende aportar soluciones. Para resumir, un objeto del presente invento es el de evitar las antes descritas desventajas e idear un sistema de cerraduras y llaves electrónico flexible que no tenga necesidad de conexiones "directas" (en el sentido expuesto en lo que antecede) entre las cerraduras y un centro de gestión asociado que controle la seguridad dentro del sistema.
Otro objeto es el de simplificar la ampliación de un sistema dado cuando se instales cerraduras adicionales u otros dispositivos de acceso o de seguridad, o bien para facilitar los cambios dentro de un sistema dado, instalando para ello nuevas cerraduras y/o cambiando las existentes.
Otro objeto es el de idear una arquitectura que permita una flexibilidad prácticamente ilimitada con respecto a los cambios de protocolo o a las actualizaciones de seguridad entre centros de gestión y cerraduras. Tales actualizaciones son necesarias después de un ataque "con éxito", o bien después de que se hayan perdido o hayan sido robadas llaves de tarjeta, o bien cuando se cambien aspectos de seguridad del sistema, por ejemplo cuando ciertas áreas físicas de una planta o laboratorio pasen a ser consideradas como áreas de "acceso restringido".
Un objeto específico es el de idear una arquitectura que permita la ampliación hecha "sobre la marcha" de uno de tales sistemas.
El invento
En esencia, la nueva solución de acuerdo con el invento se concentra en el uso de medios, especialmente físicos, ya existentes en un sistema de cerraduras y llaves electrónico usual. La información de control del acceso y otra que sea necesario actualizar o cambiar se disemina a través de las tarjetas inteligentes o llaves similares existentes, y de las cerraduras existentes, sin necesidad de alguna de una conexión entre estas últimas y un centro de gestión central o distribuido que controle esa información. Para ello, se está usando un protocolo de disposición en red convenientemente adaptado y, cuando sea lo apropiado, criptografía para proteger al sistema contra posibles ataques.
En lo que sigue, se considera con más detalle la innovación principal, es decir, la de la propagación de la información de control de accesos en ambientes libres de cables. También se describe cómo se pueden conseguir generalmente cerraduras electrónicas de buena relación coste/eficacia y de fácil manejo. Después se consideran los ataques y las suposiciones de seguridad que implican, en relación con tal sistema.
Al contrario de lo que ocurre con la mayor parte de los sistemas de seguridad electrónicos actuales, el sistema que se describe en este documento no requiere conectividad de red fija de ninguna clase, ya sea basada en cables o ya sea basada en la radio. Por consiguiente, se elimina el coste asociado con el cableado o con el equipo de transmisión por radio. L experiencia demuestra que ese coste puede ser de un orden de magnitud superior al del coste de las propias cerraduras. Es de mencionar aquí que en este documento el término "llave" no designa la llave metálica tradicional, sino más bien cualquier portador de información arbitrario, por ejemplo, tarjetas inteligentes, o la tarjeta Java de la IBM. Análogamente, el término "cerradura" designará usualmente una cerradura electrónica.
En vez de que las cerraduras reciban energía eléctrica a través de un cable fijo, la energía requerida para hacer funcionar la cerradura puede ser suministrada ya sea a través de la llave del usuario o ya sea a través de una pila incorporada en la cerradura o en la puerta. Evidentemente, en tal construcción el consumo de energía eléctrica debe ser mantenido en el mínimo estricto, de modo que las pilas duren al menos algunos años. Existen ya en el mercado cerraduras electrónicas que poseen las propiedades físicas deseadas, tales como las de resistencia al forzamiento, la fiabilidad de funcionamiento, y una larga vida de la pila. La cerradura inteligente Safixx antes mencionada es un ejemplo de cerradura que posee esas propiedades. El presente invento resalta los aspectos lógicos de las construcciones de cerradura sin cables, pero no tanto el diseño físico.
Descripción de una realización
En lo que sigue se describirá el invento con más detalle, en relación con un dibujo en el cual se ha ilustrado un diagrama bloque de un sistema de control de accesos típico de acuerdo con el invento, en particular el principio de propagación de menajes o de información en tal sistemas.
Como se ha ilustrado en la Figura, un Gestor de Acceso del Dominio de Puerta (DDAM) 1 es la entidad que tiene autoridad sobre un conjunto de cerraduras 2. Para simplificar, solamente algunas de ellas llevan números de referencia 2a, 2b, etc. El DDAM 1 más el conjunto de cerraduras 2 constituyen un dominio administrativo 4. Se ha supuesto que el DDAM 1 está compuesto de una sola entidad, como se ha ilustrado. Esta restricción puede eliminarse aplicando firmas de umbral, tal como ha descrito Douglas R. Stinson en su obra "Cryptography - Theory and Practice", publicado por CRC Press, 1996, y en ampliaciones más o menos directas del protocolo de comunicaciones presentado en este documento.
También se han representado una pluralidad de llaves 3, de las cuales solamente algunas tienen números de referencia 3a, 3b, etc., también para que resulte más claro el dibujo.
Cada cerradura 2, usualmente asociada con una puerta, como se ha mencionado en lo que antecede, tiene una lectora de llaves (o de tarjetas) del tipo usual, y una memoria. La memoria está organizada para almacenar dos conjuntos diferentes de datos o información, consistiendo un primer conjunto en una o más contraseñas (el número depende de la organización general del sistema de cerraduras y llaves), comprendiendo el segundo conjunto un mensaje de los denominados datos designados, es decir, los datos designados para otras llaves o cerraduras. Este último es un mensaje transitorio, que solamente es retenido durante algún tiempo en la parte de memoria transitoria de la cerradura.
Las llaves 3 son de diseños muy similares en lo que se refiere a su memoria. Su memoria es también capaz de almacenar dos conjuntos diferentes de datos o información. Un primer conjunto consiste de nuevo en una o más contraseñas (dependiendo el número del diseño general del sistema de cerraduras y llaves) y puede denominarse como un conjunto de "activación de llave". El segundo conjunto consiste también en un mensaje de datos designados, es decir, un mensaje transitorio designado para otras llaves o cerraduras, cuyo mensaje es retenido solamente durante algún tiempo en la parte de memoria transitoria de la llave. Dicho en términos simples, esta última parte de la memoria de la llave es el camino de transporte de la información dentro de todo el sistema.
Atendiendo a la Figura, puede verse que, usando las llaves como medios de transporte para los datos designados, hay usualmente una pluralidad de caminos para cada cerradura y cada llave. Un ejemplo bastante simple aclarará esto.
Supongamos que el DDAM 1 emite un mensaje para la cerradura 2e /en la parte inferior), por ejemplo, el de que una cierta llave, digamos la llave 3d, no sirva para entrar en la habitación que está detrás de la puerta de la cerradura 2e. Este mensaje designado para la cerradura 2e es "entrado" en la red a través de la línea 5, la cual puede ser una conexión por cable, cualquier portador de datos móvil, una conexión inalámbrica de cualquier clase, etc. Tan pronto como la cerradura 2a haya recibido el mensaje, todas y cada una de las llaves que se usen en esa cerradura 2a reciben y almacenan en su parte de memoria transitoria una copia de dicho mensaje. La llave 3a lo transportará a la cerradura 2b, la llave 3b lo leerá y lo almacenará, transportándolo a la cerradura 2c (y a otras), desde ellas, el conjunto se desplazará a través de la llave 3c, la cerradura 2b, la llave 3d y/o las llaves 3e a su cerradura designada 2e. Obsérvese que incluso la llave 3d, que sería afectada negativamente por el mensaje transportado, puede conducirlo a la cerradura designada 2e.
Tan pronto como la cerradura 2e reciba el mensaje designado, emite un acuse de recibo que ahora se desplaza de vuelta a través del sistema, de la misma forma que el mensaje original, hasta llegar al DDAM 1, con lo cual se cierra el bucle. El acuse de recibo, dado que es reconocible que se refiere al mensaje, borra el mensaje que estuviera todavía almacenado (el original) tanto en las llaves como en las cerraduras a través de las cuales se desplace. De nuevo, esta es la función general del sistema de cerradura electrónica de acuerdo con el invento, muy simplificado; los detalles resultarán evidentes a la vista de la descripción que se hace a continuación, en la cual se aborda también la teoría en la que están basadas algunas soluciones.
Como se ha mencionado en lo que antecede, a un usuario se le concede el acceso a través de una cerradura 2 (o puerta), cuyos términos se usan de modo intercambiable en este documento) solamente cuando su llave presente una contraseña apropiada expedida por el DDAM. Todas las contraseñas son "acuñadas" con una fecha de caducidad. El DDAM puede elegir revocar los derechos de acceso de cualquier usuario en cualquier momento.
Las llaves se construyen de tal modo que pueden contener múltiples contraseñas, así como datos de otros tipos. El que las contraseñas estén basadas en criptografía de claves públicas, claves secretas compartidas, o algún otro tipo de seguridad primitivo, es irrelevante en esta fase.
Además de la capacidad de almacenamiento, las puertas deben tener capacidades de cálculo que permitan que las mismas procesen las contraseñas expedidas por el DDAM. La relación entre el DDAM y las puertas/cerraduras 2 es la que existe entre "maestro y esclavo". Las prerrogativas reservadas al DDAM son las que determinan quien puede atravesar qué puerta, y hasta qué fecha y hora. Por consiguiente, las puertas que estén dentro de un dominio administrativo 4 deben confiar por completo en el DDAM y obedecer ciegamente sus órdenes. Sin embargo, las puertas no obedecen las órdenes que dé un DDAM fuera de su dominio. No se requiere cableado alguno directo que enlace las puertas entre ellas ni con el DDAM. Esto impone el mecanismo de comunicación alternativo al que se ha hecho referencia en lo que antecede, de modo que el DDAM y las cerraduras pueden seguir intercambiando información. Pero, obsérvese que no queda necesariamente excluida la posibilidad de que las puertas intercambien mensajes entre sí; puede haber también conexiones selectivas simples "directas" entre el DDAM y una o más cerraduras seleccionadas.
Consideraciones de Adecuación
Puesto que se requiere de los usuarios que presenten una contraseña válida para tener acceso por una puerta (por construcción), no está en discusión la diseminación de posibles derechos de acceso. El DDAM puede pasar una contraseña a un usuario dado a través de un terminal (seguro), o bien se puede simplemente dejar caer la contraseña en una puerta, por ejemplo en la cerradura 2a, hasta que el usuario inconscientemente la recoja. De una forma similar, se puede efectuar la renovación de las contraseñas que estén a punto de expirar.
Por otra parte, ¿cómo se puede tener la seguridad de que una contraseña negativa (es decir, una revocación del acceso) llegue a la cerradura correspondiente sin un retraso excesivo?.
La solución para este problema es particularmente apropiada en los casos en los que todos los usuarios hayan de pasar a través de ciertas puertas centrales, tales como la entrada a un edificio, a un ascensor, o el paso por la barrera de un garaje. En otro escenario favorable, que es típico de los ambientes comerciales, se garantiza la rápida propagación de la información por medio de los trabajadores que llegan a trabajar por la mañana, o bien por medio del personal de mantenimiento/seguridad que pasa con frecuencia a través de muchas puertas. Atendiendo a la Figura, la puerta/cerradura 2a puede ser particularmente adecuada para ese fin.
Como se explicará más adelante, si la información de control no llega al nudo de destino, es decir, a la cerradura 2 destinada, la fuente, usualmente el DDAM, no recibirá un acuse de recibo. El DDAM puede por consiguiente detectar el fallo. De ello se sigue que, en caso de que no haya una puerta central privilegiada y que la puerta objetivo sea poco visitada, el operador del DDAM es alertado, y puede siempre desplazarse hasta la puerta en cuestión. Las puertas críticas que requieran la inmediata propagación de la información, podrían ser también conectadas al DDAM por un cable dedicado, o bien por otros medios "directos".
Modelo de Red
Como se ha explicado, para asegurar que la información se propaga en una forma oportuna, las llaves físicas 3 del usuario llevan mensajes yendo y viniendo entre las cerraduras 2 y el DDAM. Además, las cerraduras 2 actúan como depósitos temporales para los mensajes designados para otras cerraduras. Las puertas y/o las cerraduras son modeladas como nodos en una red, y los usuarios como canales que enlazan esos nodos. Por ejemplo, se establece un canal temporal entre la cerradura 2a y la cerradura 2b cuando un usuario se desplaza a través de ellas, usando la llave 3a. Para mejorar la conectividad, las cerraduras intermedias y las llaves de los usuarios deben actuar como depósitos. Como se ha explicado en lo que antecede, una usuaria, Alicia, puede recoger un mensaje de la puerta 2a, y dejarlo en la puerta 2b. Entonces ocurre que el usuario, Bob, con la llave 3e pasa por la puerta 2a y lleva el mensaje a su destino final, es decir, a la puerta 2e.
Más en general, tanto las llaves como las puertas contienen una vista instantánea de todo el tráfico pendiente en la actualidad, es decir, el de todos los paquetes enviados pero de los que todavía no se ha acusado recibo de llegada. Esto, para cualquier destino dentro del dominio administrativo. Cuando se introduce una llave en una puerta, tanto la llave como la puerta/cerradura actualizan su respectiva vista de la red. Naturalmente, no es necesario que esta actualización sea interactiva, ya que puede ser efectuada eficazmente fuera de la línea. De este modo, el usuario no debe quedar retrasado en espera de que la llave y la cerradura se sincronicen cuando pase a través de una puerta. Las actualizaciones fuera de la línea imponen que cada entidad posea su propia fuente de energía.
El Protocolo de Disposición en Red
El bien conocido protocolo TCP/IP (Protocolo de Control de Transmisión/Protocolo Internet), tal como ha sido descrito por W. Richard Stevens en "TCP/IP Illustrated", vol. 1, Addison Wesley, 1994, sirve como base y ha sido simplificado y algo optimizado para la nueva aplicación. En un sentido abstracto, se puede expresar el problema como el de construcción de un protocolo de control de transmisión (por ejemplo, el TCP) sobre una LAN (Red de Área Local) de topología variable, de alta pérdida.
En primer lugar, se supone que se puede acceder individualmente a cada nodo de la red, es decir, a una llave, a una puerta/cerradura, o al DDAM. De aquí en adelante, el término "nodo" puede designar una puerta/cerradura, una llave, o el DDAM. Esto puede conseguirse usando el esquema de acceso por su dirección a cualquier protocolo de capa de redes, en particular al Protocolo Internet, como ha descrito J. Postel en "Internet Protocol", en la publicación de la Internet Engineering Task Force, septiembre de 1981, RFC 791.
Como se ha mencionado en lo que antecede, cada nodo es responsable de la propagación de los mensajes o paquetes, incluso aunque no sea el destinatario previsto, hasta que se tenga acuse de recibo del paquete, en cuyo momento se borra el paquete de la memoria del nodo.
Como en el TCP, descrito por J. Postel en "Transmission Control Protocol" publicado en Internet Engineering Task Force, Septiembre 1981, RFC 793, cada paquete que requiera acuse de recibo es enviado con un número de secuencia que va aumentando monótonamente. El TCP maneja la fragmentación del paquete originada por la capa de IP. En la presente disposición homogénea, los paquetes no son susceptibles de ser fragmentados. Por consiguiente, los números de secuencia corresponden a los paquetes y no al número de bytes enviadas. Esto es diferente a los que se establece en el TCP, pero tiene la ventaja de que es a la vez más simple y aprovecha mejor el espacio.
Una vez recibido un mensaje, el destinatario expide un acuse de recibo que es enviado de vuelta al remitente, acusando recibo del paquete recibido. Este acuse de recibo consiste en la información de dirección usual, y en al menos otros dos campos. un número de secuencia acumulativo, designado por n, y un campo de bits de una longitud de w bits.
El valor real de n indica que los paquetes que tienen un número de secuencia más bajo (inclusive ese), han sido recibidos correctamente, sin espacios en blanco. El campo de bits proporciona información sobre los paquetes que estén fuera de orden. El campo de bits se corresponde aproximadamente con la denominada "ventana deslizante" del TCP.
Como en el TCP, los paquetes que están fuera de la ventana deslizante, es decir, los paquetes que lleven un número de secuencia fuera del margen de n + 1 a n + w, son descartados. Sin embargo, si un paquete que llega completa una secuencia sin espacios en blanco, se incrementa entonces n y se envía un acuse de recibo de vuelta a la fuente. Cada paquete recibido fuera de orden, pero dentro de la ventana deslizante, es contabilizado mediante la activación de un bit correspondiente en el campo de bits.
Así, después de que se propague el acuse recibo de vuelta al remitente del paquete, la fuente puede retransmitir selectivamente los paquetes que se hayan perdido.. Los paquetes que hayan llegado correctamente, aunque sea fuera de orden, no tienen que ser retransmitidos. Además, los paquetes de los que se haya acusado recibo selectivamente son descartados por los nuevos intermedios con independencia de que la fuente haya recibido, o no, el acuse de recibo, conservando así un espacio de memoria que es precioso en cada nodo intermedio.
Es importante tener presente que los acuses de recibo aquí presentados tienen una ordenación absoluta, muy parecida a la de los acuses de recibo acumulativos. Por consiguiente, pueden compararse uno con otros. En consecuencia, solamente hay necesidad de almacenar en los nodos intermedios el acuse de recibo más reciente, ya que el acuse de recibo más reciente anula y sustituye a los anteriores.
Tamaño de la Ventana
Es razonable suponer que en la mayoría de casos la frecuencia de mensajes de revocación enviados a una puerta o cerradura específica es baja. Por consiguiente, tamaños de ventana muy pequeños (por ejemplo, de 2) pueden bastar para satisfacer con amplitud las necesidades de incluso grandes organizaciones.
Sin embargo, en casos excepcionales, se puede aumentar a voluntad el tamaño de la ventana. Esto puede conseguirse mediante el envío por el DDAM de un mensaje emitido en el que se den instrucciones a todas las puertas de ajustar el tamaño de ventana para un par de fuentes/destinos dado. Los mensajes emitidos llevan una dirección de destino fija reconocida por todos.
Información de Sincronización
El DDAM podría vigilar la hora en nombre de todas las demás entidades en el dominio administrativo. El DDAM envía actualizaciones de la temporización tan frecuentemente como puede hacerlo (es decir, cada vez que tenga contacto con un usuario o con una puerta). Al igual que con los acuses de recibo, solamente es necesario almacenar en los nodos intermedios la información de la hora más reciente, economizándose de nuevo un espacio de memoria que es precioso. De este modo, no hay necesidad de que las puertas tengan relojes individuales.
Aspectos Criptográficos
La representación criptográfica de una contraseña puede tener efectos que sobrepasen a los necesarios en cuanto a la gestión de la seguridad. Trataremos en primer lugar las implicaciones en la seguridad de una arquitectura basada en una llave secreta. A continuación se describirán las implicaciones de la arquitectura de una llave pública.
Clave Secreta Compartida
Las contraseñas pueden estar basadas en una clave secreta compartida entre el DDAM y las cerraduras. Supongamos que el DDAM y la cerradura l_{j} comparten la clave secreta s_{i}. Para conceder al usuario u_{i} acceso a través de l_{j}, el DDAM validaría la cadena de acceso a_{ij}, donde
(1)a_{ij}= "Dejar \ paso \ a \ u_{i} \ a \ través \ de \ l_{j} \ hasta \ 1/1/2001"
La validación podría estar basada en cualquier función de validación de mensaje cifrado seguro, tal como la HMAC según ha sido descrita por R. Canetti y otros en la publicación titulada "HMAC: Keyed-Hashing for Message Authentication", en Engineering Task Force, Febrero de 1997, RFC 2104. Tenemos que
t_{ij} = HMAC(s_{j}, \ a_{ij})|| \ a_{ij},
donde t_{ij} es la contraseña de acceso y || designa la concatenación de la cadena. Obsérvese que las contraseñas podrían tener otras representaciones basadas en diferentes tipos de validación. Se concedería al usuario u_{i} a través de l_{j} al presentar la contraseña t_{ij} hasta el 1 de Enero de 2001.
Como en cualquier representación digital de información, una contraseña puede ser fácilmente duplicada. En el establecimiento de la clave secreta compartida, si una contraseña puede ser "vista" por una cerradura de terminación o por cualquier otra parte no autorizada, la contraseña ha sido entonces efectivamente robada. Ciertamente, el atacante podría presentar la contraseña robada a la correspondiente cerradura y obtener un acceso ilegítimo.
Para atenuar esta amenaza, se debe aumentar la seguridad por otros medios. Por ejemplo, se puede imponer un número de señal universalmente único a ser grabado en cada llave física, es decir, en la tarjeta inteligente o similar, y expedir contraseñas para un número de serie particular. Esto puede proporcionar la seguridad suficiente como para repeler a los atacantes no especializados. Sin embargo, un determinado adversario podría imprimir su propia llave física con números de serie falsos.
Para aplicaciones de alta seguridad, es crucial que la llave física permita solamente acceso selectivo a la información. Al ser insertada una llave física en una cerradura, deberá ser capaz de verificar si el usuario tiene una contraseña específica que le permita el paso a través de esa cerradura. Sin embargo, la cerradura particular no deberá ser capaz de leer contraseñas (de la llave) relevantes para otras cerraduras, posiblemente en otros dominios administrativos. Pero incluso si una llave física permite acceso selectivo a la información, la cerradura llave puede pretender ser la cerradura l_{y} y robar la contraseña (para l_{y}).
El ataque por duplicación de la contraseña representa una importante amenaza, en particular si las cerraduras electrónicas llegan a ser de uso generalizado. El despliegue universal significa que se usarán llaves físicas en los dominios en los que no exista confianza mutua.
Se puede obtener protección contra este ataque exigiendo que la cerradura se identifique por sí misma a la llave física; solamente entonces revelará la llave la contraseña para la cerradura identificada.
Si esta identificación está basada en una clave secreta compartida entre las puertas y los usuarios, el número de claves secretas compartidas se desbordará para incluso organizaciones de tamaño medio, debido a que cada cerradura tendrá que compartir una clave secreta con cada usuario que pase a través de ella. Por consiguiente, las claves secretas compartidas por cerradura-usuario deben ser adecuadas solamente para establecimientos pequeños.
Como alternativa, se puede usar una técnica de validación de una tercera parte del tipo KryptoKnight como lo ha descrito P. Janson y otros en "Scalability and flexibiliy in authentication services: The KryptoKnight Approach", publicado en IEEE INFOCOM '07, Tokio, Japón, Abril 1997, y R. Bird y otros en "The KryptoKnight family of light-weight protocols for authentication and key distribution" publicado en las "IEEE Transactions on Networking", 1995. También se podría emplear una técnica de validación de una tercera parte del tipo Kerberos, descrita por J. Kohl y otros en "The Kerberos Network Authentication Service", V5, Internet Engineering Task Force, Septiembre 1993, RFC 1510 y por B. Clifford Neuman y otros en "Kerberos: An authentication service for computer networks", IEEE Communications Magazine, 32(9): págs. 33-38, septiembre 1994, En tal esquema, todos los usuarios de las cerraduras compartirían una clave secreta con el DDAM. Puesto que el DDAM comparte una clave secreta con todos los nodos, puede convencer a cualquier nodo acerca de la identidad de otro.
Supongamos que s_{i} representa la clave secreta a largo plazo que el usuario u_{i} comparte con el DDAM, y que s_{j} es la clave secreta que la cerradura l_{j} comparte con el DDAM. El DDAM elegiría al azar una clave de cifrado k. La cadena de acceso a_{ij} pasaría a ser:
(2)a_{ij} = "dejar \ paso \ a \ través \ de \ l_{j} \ al \ usuario \ que \ conozca \ k, \ hasta \ el \ 1/1/2001"
El DDAM expediría el pase T_{ij} definido como
(3)T_{ij} \ = \{HMAC(s_{j}, \ a_{ij}) \ ||a_{ij}\}s_{j}|| \{k\} s_{i}
donde {m}_{x} designa el cifrado simétrico del mensaje m usando la clave de cifrado x, y a_{ij} viene dada por la ecuación (2).
El usuario u_{i} desprendería el cifrado {k}s_{i} del pase T_{ij} para recuperar la contraseña t_{ij}. Obtendría después k de {k}s_{i} por descifrado de la misma con su clave de cifrado compartida a largo plazo con el DDAM, es decir, con s_{i}.
Para pasar a través de la puerta l_{j}, el usuario presentaría t_{ij}. La cerradura l_{j} recuperaría la clave de cifrado k contenida en a_{ij}, descifrando para ello t_{ij} con su clave secreta compartida a largo plazo, s_{j}. La puerta exigiría entonces del usuario el conocimiento de la clave de cifrado k. Si la respuesta coincide con la exigencia emitida, entonces se concedería acceso al usuario.
Obsérvese que el DDAM tiene que precalcular T_{ij} para un mensaje dado a_{ij} y los nodos dados u_{i} y l_{j}. Recuérdese que no hay un canal directo (un cable de conexión o similar) hasta el DDAM. Por consiguiente, el establecimiento del Kerberos es inadecuado para situaciones en las que el mensaje que haya de ser validado, o bien las partes intermedias, no se conozcan de antemano. Esta es una importante limitación si la aplicación requiere que los ataques de interrupción resulten frustrados.
La verbosidad de la cadena de acceso a_{ij} debiera servir al lector de indicación de que el protocolo que se acaba de describir no ha sido optimizado, sino que está destinado esencialmente a fines ilustrativos.
Establecimiento de Clave Pública
Un establecimiento alternativo sería uno en el que el DDAM y todos los usuarios que estuviesen dentro del dominio poseyesen un par de claves pública/secreta. Cada cerradura dentro de un dominio administrativo estaría instalada con la clave pública del DDAM. El DDAM podría entonces certificar las claves públicas de todos los usuarios dentro de su dominio administrativo.
La contraseña de acceso para el usuario u_{i} a través de la cerradura l_{j} sería la firma del DDAM en el mensaje a_{ij}, tal como se ha definido en la ecuación (1). Siempre que un usuario desee cruzar una puerta, presentaría la contraseña a la cerradura, la cual verificaría la firma del DDAM. Para evitar la suplantación, la puerta exigiría del usuario que demostrase que conoce la clave secreta correspondiente a la clave pública del usuario (certificada por el DDAM).
Esta prueba puede estar basada en cualquier protocolo del tipo de respuesta a una exigencia, tal como el descrito por C. P. Schnorr en "Efficient Signature Generation by smart cards", Journal of Cryptology, 4(3): págs. 161-174, 1991, o bien por Uriel Feige y otros en "Zero-knowledge proofs of identity", Journal of Cryptology: la revista de la International Association for Cryptology Research, 1(2): págs. 77-94, 1988, o bien por Jean-Jacques Quisquater y Louis Guillou en "A practical zero-knowledge protocol fitted to security microprocessor minimizing both transmission and memory" en Christoph G. Gunther, director, "Advances in Cryptology - EUROCRYPT88", Volumen 330, de "Lecture Notes in Computer Science", págs. 123-128, Springer Verlag, Mayo, 1988.
La solución que se acaba de presentar separa las credenciales del usuario de su clave pública. Por consiguiente, las credenciales de Alicia pueden ser transportadas a la puerta pertinente sin que Alicia tenga que intervenir. Para beneficiarse de nuevas credenciales, Alicia tiene que acreditar su identidad. Alicia no tiene que obtener una nueva clave secreta del DDAM, ni que cambiar su clave pública. Las nuevas credenciales son transparentes para Alicia. Por otra parte, si alguien hubiese enlazado cada una de las credenciales de Alicia con una clave secreta correspondiente poseída por Alicia, entonces Alicia tendría que comunicar al DDAM, por un canal seguro, cada vez sus credenciales cambiadas.
Por ejemplo, en el protocolo de Quisquater-Guillou (al que se ha hecho referencia en lo que antecede), el DDAM enviaría a Alicia sus nuevas credenciales, designadas por la cadena J, y una clave secreta correspondiente B, de tal modo que
(4)JB^{v} \ = \ 1 \ mod \ n
donde n es un módulo público y v es un exponente público. Designemos por \varphi la función \varphi de Euler. Solamente el DDAM conoce la inversa de v mod \varphi(n), y por consiguiente puede calcular eficazmente B, que satisfaga la ecuación (4).
Para permitir los derechos de acceso concedidos por J, la cerradura correspondiente exigiría de Alicia un número aleatorio y comprobaría que Alicia conoce la clave secreta correspondiente a J, es decir, B. Como es usual, Alicia no revela B como resultado de la respuesta a la exigencia del protocolo. Obsérvese que la clave secreta B ha de ser enviada por el DDAM a Alicia por un canal seguro.
Inyecciones Falsas de Acuse de Recibo
En el caso de que un atacante sea capaz de inyectar un mensaje de acuse de recibo que lleve un número de secuencia alto, todos los saltos intermedios dejarán caer los paquetes que lleven un número de secuencia más bajo. Aunque este ataque de interrupción será finalmente detectado, impedirá momentáneamente toda comunicación entre el DDAM y las cerraduras.
En una variante de ataque, suponiendo que los mensajes más recientes tengan una más alta prioridad, un atacante puede inundar las cerraduras enviando falsos paquetes que lleven números de secuencia altos. Los nodos intermedios considerarán tales paquetes como más recientes, y dejarán caer los mensajes con números de secuencia más bajos, pero genuinos. Esto también interrumpirá las comunicaciones.
Las aplicaciones de alta seguridad, especialmente las declaradas para despliegue universal, imponen que todos los mensajes, incluidos los de acuse de recibo, sean validados. Por consiguiente, todos los nodos, es decir, todas las puertas/cerraduras, los usuarios y el DDAM, tendrían una clave pública certificada por el DDAM.
El establecimiento de claves secretas compartidas del tipo Kerberos no permite que los mensajes sean validados para dos partes elegidas dinámicamente. Por consiguiente, los ataques de interrupción pueden únicamente evitarse en el establecimiento de clave pública.
Del anterior estudio de las implicaciones en cuanto a seguridad de la arquitectura basada en clave compartida frente a la basada en clave pública, deberá haber quedado claro que, debido al problema de "explosión" de la clave, una arquitectura de clave compartida es adecuada únicamente para aplicaciones de baja seguridad, o bien para despliegue a pequeña escala, mientras que las aplicaciones de alta seguridad o de despliegue universal imponen la criptografía de clave pública.
Deberá también haber quedado claro que la arquitectura flexible inventada para gestionar la seguridad física usando cerraduras electrónicas y llaves físicas, aquí descrita en lo que antecede, no requiere un canal permanente entre las cerraduras y un centro de gestión de la seguridad. La cuestión de la propagación oportuna de la información de control de accesos suscitada por ausencia de una conexión permanente se resuelve al hacer que los usuarios actúen como canales de transmisión y las cerraduras como depósitos de mensajes.

Claims (16)

1. Un sistema de control de accesos con una pluralidad de cerraduras y llaves, teniendo parte al menos de dichas cerraduras y llaves medios de memoria,
caracterizado por
* dichos medios de memoria de una llave que está equipada para recibir y almacenar información relativa a cualesquiera derechos de acceso de dicha llave y la información designada para otras llaves y/o cerraduras,
* dichos medios de memoria de una cerradura que están equipados para recibir información relativa a cualesquiera derechos de acceso para dicha cerradura y la información designada para otras llaves y/o cerraduras,
* medios para intercambiar dicha información entre cerraduras y llaves, y
* un mensaje de confirmación que puede ser producido por una cerradura o una llave n-ésima, acusando recibo el mensaje de confirmación de la recepción de un mensaje original, cuyo mensaje de confirmación sirve para controlar el borrado de las copias del mensaje original de las memorias de las cerraduras y llaves.
2. El sistema de control de accesos de acuerdo con la reivindicación 1, en el que
* la información relativa a los derechos de acceso de una llave incluye una o más contraseñas y/o la información designada para otras llaves y/o cerraduras incluye uno o más mensajes para dichas llaves y/o cerraduras.
3. El sistema de control de accesos de acuerdo con cualquiera de las reivindicaciones precedentes, en el que
* los medios de memoria en la llave y/o en la cerradura almacenan al menos una vista parcial del sistema, y
* los medios de intercambio disparan una actualización de dicha vista.
4. El sistema de control de accesos de acuerdo con la reivindicación 3, en el que
* la actualización disparada por los medios de intercambio se efectúa fuera de la línea, y en particular inmediatamente después de que dichos medios de intercambio hayan completado su función.
5. El sistema de control de accesos de acuerdo con cualquiera de las reivindicaciones precedentes, en el que
* la información designada para otras llaves y/o cerraduras incluye uno o más mensajes para dichas otras llaves y/o cerraduras y se intercambia fuera de la línea entre una llave y una cerradura.
6. El sistema de control de accesos de acuerdo con una o más de las reivindicaciones precedentes, en el que
* los medios para intercambiar información entre una cerradura y una llave son activados cuando se aplica dicha llave a dicha cerradura.
7. El uso de una llave en un sistema de control de accesos de acuerdo con una cualquiera de las reivindicaciones precedentes, en que
* los medios de memoria incluyen una sección de leer/escribir dedicada a la información designada para otras llaves y/o cerraduras.
8. El uso de la llave de acuerdo con la reivindicación 7, caracterizado por
* una fuente de energía, preferiblemente que sea recargable cuando se use dicha llave con una cerradura.
9. El uso de una cerradura en un sistema de control de accesos de acuerdo con una cualquiera de las reivindicaciones 1 a 6, en que
* los medios de memoria incluyen una sección de leer/escribir dedicada a la información designada para otras llaves y/o cerraduras.
10. El uso de la cerradura de acuerdo con la reivindicación 9, caracterizado por
* una fuente de energía, preferiblemente que sea recargable cuando se use una llave con dicha cerradura.
11. Un método para propagar información en un sistema de cerraduras y llaves electrónico, caracterizado porque
* un mensaje original que haya de ser propagado hasta una cerradura o una llave n-ésima se inserta en una memoria de una primera llave o de una primera cerradura, respectivamente,
* en cualquier uso de dicha primera llave o de dicha primera cerradura, dicho mensaje original es copiado en una memoria de una segunda cerradura o llave, respectivamente, pero permanece en la memoria de dicha primera llave o de dicha primera cerradura, respectivamente,
* en cualquier uso subsiguiente de dicha primera y/o segunda llave y/o de dicha primera y/o dicha segunda cerradura, dicho mensaje original es copiado en una memoria de una cerradura o de una llave siguiente, respectivamente, pero permanece en las memorias de dichas cerraduras y/o llaves previamente usadas, respectivamente,
* hasta que dicho mensaje original, propagado en el modo de bola de nieve que se ha descrito, alcance su destino, es decir, dicha cerradura o llave n-ésima, y
* la cerradura o la llave n-ésima produce un mensaje de confirmación acusando recibo de la recepción de dicho mensaje original, cuyo mensaje de confirmación sirve para controlar el borrado de las copias del mensaje original en las memorias de las cerraduras y de las llaves.
12. El método para propagar información de acuerdo con la reivindicación 11, caracterizado además porque
* el mensaje de confirmación se propaga a través del sistema del mismo modo que el mensaje original,
* dicho mensaje de confirmación, cuando es recibido por una cerradura o llave cuya memoria todavía contenga una copia de dicho mensaje original, actúa sobre, y en particular sirve para borrar, dicho mensaje original.
13. El método para propagar información de acuerdo con cualquiera de las reivindicaciones 11 a 12, caracterizado además porque
* después de transcurrido un retardo selectivo universal, se borran selectiva o universalmente las copias de dicho mensaje original.
14. El método para propagar información de acuerdo con cualquiera de las reivindicaciones 11 a 13, en el que
* los mensajes originales y/o los mensajes de confirmación, especialmente los relativos a la misma cerradura o llave, son ordenados, en particular numerados sucesivamente.
15. El método para propagar información de acuerdo con la reivindicación 14, caracterizado además porque
* cualquier mensaje de más bajo orden, en particular con un número de secuencia más bajo, es borrado en la memoria respectiva cuando se recibe un mensaje de orden más alto, en particular con un número de secuencia más alto, por una cerradura o una llave durante la propagación.
16. El método para propagar información de acuerdo con cualquiera de las reivindicaciones de método precedentes 11 a 15, en el que
* los mensajes originales y/o los mensajes de confirmación son total o parcialmente cifrados, en particular usando un esquema de cifrado de clave compartida y/o un esquema de cifrado de clave pública.
ES99101806T 1999-01-28 1999-01-28 Metodo y sistema de control de acceso electronico. Expired - Lifetime ES2236973T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP99101806A EP1024239B1 (en) 1999-01-28 1999-01-28 Electronic access control system and method

Publications (1)

Publication Number Publication Date
ES2236973T3 true ES2236973T3 (es) 2005-07-16

Family

ID=8237455

Family Applications (1)

Application Number Title Priority Date Filing Date
ES99101806T Expired - Lifetime ES2236973T3 (es) 1999-01-28 1999-01-28 Metodo y sistema de control de acceso electronico.

Country Status (10)

Country Link
US (1) US6981142B1 (es)
EP (1) EP1024239B1 (es)
JP (1) JP3485254B2 (es)
AU (1) AU1793400A (es)
CA (1) CA2323146A1 (es)
DE (1) DE69924349T2 (es)
ES (1) ES2236973T3 (es)
MY (1) MY125905A (es)
TW (1) TW462173B (es)
WO (1) WO2000045016A1 (es)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2611784A1 (es) * 2015-11-10 2017-05-10 Jma Alejandro Altuna, S.L.U. Sistema y método de duplicado de elementos de apertura de cerraduras
CN111243135A (zh) * 2020-01-09 2020-06-05 武汉天喻聚联网络有限公司 一种智能锁离线开锁系统

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7822989B2 (en) 1995-10-02 2010-10-26 Corestreet, Ltd. Controlling access to an area
US8015597B2 (en) 1995-10-02 2011-09-06 Corestreet, Ltd. Disseminating additional data used for controlling access
US7716486B2 (en) 1995-10-02 2010-05-11 Corestreet, Ltd. Controlling group access to doors
US8732457B2 (en) 1995-10-02 2014-05-20 Assa Abloy Ab Scalable certificate validation and simplified PKI management
US8261319B2 (en) 1995-10-24 2012-09-04 Corestreet, Ltd. Logging access attempts to an area
US9230375B2 (en) 2002-04-08 2016-01-05 Assa Abloy Ab Physical access control
SE517465C2 (sv) * 2000-03-10 2002-06-11 Assa Abloy Ab Metod för att auktorisera en nyckel- eller låsanordning, elektromekanisk nyckel- och låsanordning och nyckel- och låssystem
CA2324679A1 (en) 2000-10-26 2002-04-26 Lochisle Inc. Method and system for physical access control using wireless connection to a network
EP1321901B1 (de) * 2001-12-21 2010-04-07 Kaba AG Verfahren zur Regelung des Zutrittsregimes zu einem Objekt
ES2190762B1 (es) * 2002-01-15 2004-06-01 Universitat Politecnica De Catalunya Procedimiento de expedicion y validacion de documentos.
AU2003228468B2 (en) * 2002-04-08 2009-10-01 Assa Abloy Ab Physical access control
US9009084B2 (en) 2002-10-21 2015-04-14 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis and network intrusion protection in an industrial environment
US20040107345A1 (en) * 2002-10-21 2004-06-03 Brandt David D. System and methodology providing automation security protocols and intrusion detection in an industrial controller environment
US20040153171A1 (en) * 2002-10-21 2004-08-05 Brandt David D. System and methodology providing automation security architecture in an industrial controller environment
US8909926B2 (en) * 2002-10-21 2014-12-09 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis, validation, and learning in an industrial controller environment
US7657751B2 (en) 2003-05-13 2010-02-02 Corestreet, Ltd. Efficient and secure data currentness systems
EP1636682A4 (en) 2003-06-24 2009-04-29 Corestreet Ltd ACCESS CONTROL
WO2005010687A2 (en) * 2003-07-18 2005-02-03 Corestreet, Ltd. Logging access attempts to an area
JP2007511983A (ja) 2003-11-19 2007-05-10 コアストリート、 リミテッド 分散委任されたパス発見及び検証
US20050154878A1 (en) * 2004-01-09 2005-07-14 David Engberg Signature-efficient real time credentials for OCSP and distributed OCSP
KR20060123470A (ko) 2004-01-09 2006-12-01 코아스트리트 리미티드 OCSP 및 분산 OCSP를 위한 서명-효율적인RTC(Real Time Credentials)
US20110140838A1 (en) * 2004-02-05 2011-06-16 Salto Systems, S.L. Access control system
ES2253971B1 (es) * 2004-02-05 2007-07-16 Salto Systems, S.L. Sistema de control de acceso.
EP1807788A4 (en) * 2004-08-27 2010-03-31 Honeywell Ltd ACCESS RULES SYSTEM AND METHOD FOR ACCESS CONTROL
AT502458B1 (de) * 2005-03-03 2010-10-15 Evva Sicherheitssysteme Gmbh Zutrittskontrollanlage
WO2007002196A2 (en) * 2005-06-21 2007-01-04 Corestreet, Ltd. Preventing identity theft
US20080077976A1 (en) * 2006-09-27 2008-03-27 Rockwell Automation Technologies, Inc. Cryptographic authentication protocol
US8271642B1 (en) 2007-08-29 2012-09-18 Mcafee, Inc. System, method, and computer program product for isolating a device associated with at least potential data leakage activity, based on user input
EP2043055B1 (en) * 2007-09-28 2020-08-26 iLOQ Oy Lock administration system
US8052060B2 (en) * 2008-09-25 2011-11-08 Utc Fire & Security Americas Corporation, Inc. Physical access control system with smartcard and methods of operating
US8319606B2 (en) 2009-10-29 2012-11-27 Corestreet, Ltd. Universal validation module for access control systems
EP2348490B1 (en) * 2009-12-22 2020-03-04 9Solutions Oy Access control system
EP2821972B1 (en) 2013-07-05 2020-04-08 Assa Abloy Ab Key device and associated method, computer program and computer program product
ES2577882T5 (es) 2013-07-05 2020-03-12 Assa Abloy Ab Dispositivo de comunicación de control de acceso, método, programa informático y producto de programa informático
DE102014105249B4 (de) 2013-12-05 2023-11-02 Deutsche Post Ag Zeitsynchronisation
CN104299307B (zh) * 2014-11-11 2016-08-31 国网冀北电力有限公司廊坊供电公司 锁群管理系统
DE102016104530A1 (de) 2016-03-11 2017-09-14 Huf Hülsbeck & Fürst Gmbh & Co. Kg Verfahren zur Kontrolle des Zugriffs auf Fahrzeuge
FR3073998B1 (fr) * 2017-11-23 2019-11-01 In Webo Technologies Procede numerique de controle d'acces a un objet, une ressource ou service par un utilisateur
AT522608A1 (de) 2019-05-16 2020-12-15 Evva Sicherheitstechnologie Verfahren zum Betreiben eines Zutrittskontrollsystems sowie Zutrittskontrollsystem
CN115226407A (zh) 2019-09-11 2022-10-21 开利公司 通过锁报告的入侵者检测
CN111899380A (zh) * 2020-07-07 2020-11-06 广东臣家智能科技股份有限公司 一种智能锁管理方法及智能锁管理系统
FR3132372B1 (fr) 2022-02-03 2023-12-22 Cogelec Procédé de contrôle d’accès à des bâtiments
FR3132373B1 (fr) 2022-02-03 2024-01-05 Cogelec Procédé de contrôle d’accès à des bâtiments
FR3132374B1 (fr) 2022-02-03 2024-02-16 Cogelec Procédé de contrôle d’accès à des bâtiments
EP4332920A1 (en) * 2022-08-30 2024-03-06 dormakaba Schweiz AG Methods and devices for managing access for a managed residential building

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4677284A (en) * 1985-08-22 1987-06-30 Genest Leonard Joseph Multi-access security system
US6822553B1 (en) * 1985-10-16 2004-11-23 Ge Interlogix, Inc. Secure entry system with radio reprogramming
US4887292A (en) * 1985-12-30 1989-12-12 Supra Products, Inc. Electronic lock system with improved data dissemination
US4837822A (en) * 1986-04-08 1989-06-06 Schlage Lock Company Cryptographic based electronic lock system and method of operation
US4800255A (en) * 1986-08-22 1989-01-24 Datatrak, Inc. Electronic access card with visual display
JPH01299972A (ja) 1988-05-25 1989-12-04 Mirai Biru Kenkyu Kaihatsu Kk 入退室管理方式
JP2559520B2 (ja) 1990-03-26 1996-12-04 株式会社日立製作所 出入管理方法および出入管理システム
US6005487A (en) * 1990-05-11 1999-12-21 Medeco Security Locks, Inc. Electronic security system with novel electronic T-handle lock
US5204663A (en) 1990-05-21 1993-04-20 Applied Systems Institute, Inc. Smart card access control system
US5506575A (en) * 1991-09-25 1996-04-09 Ormos; Zoltan S. Key-lock system and method using interchange of system-originated codes
JP2894515B2 (ja) * 1992-01-09 1999-05-24 シュプラ プロダクツ インコーポレイテッド 無線通信を用いた安全立入管理システム
US6552650B1 (en) * 1992-02-14 2003-04-22 Asil T. Gokcebay Coin collection lock and key
NL9300566A (nl) * 1993-03-31 1994-10-17 Nedap Nv Toegangsverleningssysteem met decentrale autorisaties.
US5485628A (en) * 1993-06-23 1996-01-16 Clements; Jay S. Renewal management system
US5397884A (en) * 1993-10-12 1995-03-14 Saliga; Thomas V. Electronic kay storing time-varying code segments generated by a central computer and operating with synchronized off-line locks
US5749253A (en) * 1994-03-30 1998-05-12 Dallas Semiconductor Corporation Electrical/mechanical access control systems and methods
JPH07233663A (ja) 1994-02-23 1995-09-05 Citizen Watch Co Ltd 電子錠システム
US5629981A (en) * 1994-07-29 1997-05-13 Texas Instruments Incorporated Information management and security system
US5709114A (en) * 1994-11-21 1998-01-20 Mas-Hamilton Group Keypad entry electronic combination lock with self-generated combination
FR2747813B1 (fr) 1996-04-19 1998-06-05 Poste Systeme securise de controle d'acces permettant l'invalidation automatique de cles electroniques volees ou perdues et/ou le transfert d'habilitation a produire des cles
AU5687798A (en) * 1996-12-03 1998-06-29 E.J. Brooks Company Programmable lock and security system therefor
FR2760281B3 (fr) * 1997-03-03 1999-05-14 Working Services Procede de gestion electronique d'acces et cle a puce adaptee
US6212635B1 (en) * 1997-07-18 2001-04-03 David C. Reardon Network security system allowing access and modification to a security subsystem after initial installation when a master token is in place
US6318137B1 (en) * 1998-04-08 2001-11-20 David Chaum Electronic lock that can learn to recognize any ordinary key
US6347375B1 (en) * 1998-07-08 2002-02-12 Ontrack Data International, Inc Apparatus and method for remote virus diagnosis and repair

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2611784A1 (es) * 2015-11-10 2017-05-10 Jma Alejandro Altuna, S.L.U. Sistema y método de duplicado de elementos de apertura de cerraduras
WO2017081344A1 (es) * 2015-11-10 2017-05-18 Jma Alejandro Altuna, S.L.U. Sistema y método de duplicado de elementos de apertura de cerraduras
CN111243135A (zh) * 2020-01-09 2020-06-05 武汉天喻聚联网络有限公司 一种智能锁离线开锁系统

Also Published As

Publication number Publication date
DE69924349T2 (de) 2006-02-09
US6981142B1 (en) 2005-12-27
EP1024239A1 (en) 2000-08-02
JP2000224163A (ja) 2000-08-11
AU1793400A (en) 2000-08-18
JP3485254B2 (ja) 2004-01-13
CA2323146A1 (en) 2000-08-03
WO2000045016A1 (en) 2000-08-03
DE69924349D1 (de) 2005-04-28
EP1024239B1 (en) 2005-03-23
MY125905A (en) 2006-08-30
TW462173B (en) 2001-11-01

Similar Documents

Publication Publication Date Title
ES2236973T3 (es) Metodo y sistema de control de acceso electronico.
ES2367588T3 (es) Procedimiento y dispositivo para una comunicación de datos y de voz móvil codificada anónima.
ES2367809T3 (es) Disposición y método para la transmisión segura de datos.
Zhu et al. LEAP+ Efficient security mechanisms for large-scale distributed sensor networks
ES2288863T3 (es) Regeneracion asistida por servidor segura de un secreto fuerte a partir de un secreto debil.
Pateriya et al. The evolution of RFID security and privacy: A research survey
ES2904501T3 (es) Implementación de un almacenamiento seguro con protección de integridad
ES2263474T3 (es) Metodo y aparato para inicializar comunicaciones seguras entre dispositivos inalambricos y para emparejarlos en forma exclusiva.
ES2650982T3 (es) Procedimiento de actualización de una tabla de consulta entre una dirección y un número de identificación
JPS63226144A (ja) メッセージ伝送方法
Choo et al. Robustness of DTN against routing attacks
KR20030010667A (ko) 다수의 서버를 사용하는 리모트 패스워드 인증을 위한시스템, 방법 및 소프트웨어
Rajeswari et al. Comparative study on various authentication protocols in wireless sensor networks
JPS63226149A (ja) 通信システム
US20060059347A1 (en) System and method which employs a multi user secure scheme utilizing shared keys
ES2847751T3 (es) Infraestructura de clave pública y método de distribución
ES2774397A1 (es) Metodo y sistema para recuperacion de claves criptograficas de una red de cadena de bloques
ES2318879T3 (es) Gestion de una red de comunicacion y migracion de agentes moviles.
Kulynych et al. Claimchain: Improving the security and privacy of in-band key distribution for messaging
Aura et al. Towards a survivable security architecture for ad-hoc networks
Mфki et al. Robust membership management for ad-hoc groups
Weimerskirch et al. Identity certified authentication for ad-hoc networks
Chan et al. On applying SIP security to networked appliances
Candolin A security framework for service oriented architectures
Brutch et al. Mutual authentication, confidentiality, and key MANagement (MACKMAN) system for mobile computing and wireless communication