ES2236973T3 - Metodo y sistema de control de acceso electronico. - Google Patents
Metodo y sistema de control de acceso electronico.Info
- Publication number
- ES2236973T3 ES2236973T3 ES99101806T ES99101806T ES2236973T3 ES 2236973 T3 ES2236973 T3 ES 2236973T3 ES 99101806 T ES99101806 T ES 99101806T ES 99101806 T ES99101806 T ES 99101806T ES 2236973 T3 ES2236973 T3 ES 2236973T3
- Authority
- ES
- Spain
- Prior art keywords
- key
- lock
- locks
- keys
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00817—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00571—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00896—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses
- G07C9/00904—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses for hotels, motels, office buildings or the like
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/21—Individual registration on entry or exit involving the use of a pass having a variable access code
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/27—Individual registration on entry or exit involving the use of a pass with central registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00817—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed
- G07C2009/00849—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed programming by learning
Abstract
Un sistema de control de accesos con una pluralidad de cerraduras y llaves, teniendo parte al menos de dichas cerraduras y llaves medios de memoria, caracterizado por: - dichos medios de memoria de una llave que está equipada para recibir y almacenar información relativa a cualesquiera derechos de acceso de dicha llave y la información designada para otras llaves y/o cerraduras, - dichos medios de memoria de una cerradura que están equipados para recibir información relativa a cualesquiera derechos de acceso para dicha cerradura y la información designada para otras llaves y/o cerraduras, - medios para intercambiar dicha información entre cerraduras y llaves, y - un mensaje de confirmación que puede ser producido por una cerradura o una llave n-ésima, acusando recibo el mensaje de confirmación de la recepción de un mensaje original, cuyo mensaje de confirmación sirve para controlar el borrado de las copias del mensaje original de las memorias de las cerraduras y llaves.
Description
Método y sistema de control de acceso
electrónico.
Este invento se refiere a un sistema de control
de accesos de cerraduras y llaves electrónico y da a conocer un
enfoque nuevo y muy flexible para gestionar la seguridad física de
tal sistema. Tales sistemas son muy utilizados en la industria, en
el negocio hotelero, en bancos, y en otros ambientes en los que es
deseable controlar o restringir el acceso a habitaciones o a equipo.
En muchos de estos sistemas se usan tarjetas, algunas veces incluso
tarjetas inteligentes con potencia d procesado incorporada. Tales
tarjetas son en general legibles magnéticamente, o de otro modo,
mediante una lectora asociada a cada cerradura. Para hacer posible o
para bloquear el uso de ciertas llaves, para restringir el acceso
oportunamente, o bien para cambiar el sistema de seguridad de
cualquier otro modo se han de transmitir mensajes o información de
acceso a -y a veces desde- las cerraduras. Esto se hace
frecuentemente a través de un sistema de cableado que conecta las
cerraduras con un dispositivo de gestión de seguridad central, pero
también se usan otros medios de transmisión. Sin embargo, la
conexión más o menos directa entre el dispositivo de gestión y las
cerraduras es característica para las soluciones de la técnica
anterior.
Todos y cada uno de nosotros ha de confiar
diariamente en llaves para tener acceso a nuestros automóviles, a
nuestras casas y oficinas, para abrir los candados de nuestras
bicicletas, o para abrir nuestras caja del apartado de correos. Por
consiguiente, las llaves son innegablemente una parte integrante de
la sociedad moderna. Hoy en día, la mayor parte de esas llaves son
todavía de tipo mecánico, como lo son las cerraduras asociadas.
Aunque de uso muy generalizado, estas llaves
mecánicas tradicionales adolecen de una serie de inconvenientes. En
primer lugar, en caso de fallo de la seguridad, tal como cuando se
pierde una llave, o cuando se hace un duplicado no autorizado, o si
se desaprueba una presunción de confianza, se ha de sustituir la
cerradura. En segundo lugar, una llave es válida en tanto que la
correspondiente cerradura siga en su posición. Por ejemplo, una vez
que se haya dado derecho de acceso a un individuo al entregarle una
llave, ese derecho no se puede revocar a menos que se devuelva la
llave o se cambie la cerradura. Como consecuencia de estas
limitaciones, los sistemas tradicionales de cerraduras y llaves no
permiten establecer una política de acceso basada en el tiempo, por
ejemplo, permitiendo el acceso solamente durante las horas de
oficina, o bien protegiendo ciertas áreas durante ciertos períodos
del día. En los muchos ambientes en los que tales requisitos
existen, los sistemas tradicionales de cerraduras y llaves no son ya
suficientes.
Evidentemente, las llaves tradicionales ofrecen
únicamente posibilidades de una gestión inflexible y más bien
limitada, pero están disponibles fácilmente, son muy fiables, y son
razonablemente baratas. Sin embargo, ya se han inventado y se ha
inventado la forma de comercializarlas, soluciones de sustitución de
posibilidades de gestión de más amplitud y de mayor flexibilidad.
Por ejemplo, en hoteles y empresas se están usando mucho cerraduras
electrónicas y llaves electrónicas apropiadas, que proporcionan una
gestión de los derechos de acceso muy flexible y bastante
rápida.
Un ejemplo de un sistema en el que se usan
tarjetas inteligentes de diferentes clases se ha ilustrado en la
Patente de EE.UU. Nº 5.204.663 de Lee concedida a Applied Systems
Institute, Inc., en la cual se da a conocer un sistema de control de
accesos con tarjetas de circuito integrado, es decir, tarjetas
inteligentes, algunas de las cuales tienen memoria para almacenar la
información de acceso con la llave y la denominada información de
transacción. Mientras que la información de acceso de la llave se
refiere aquí al uso inmediato de la llave, por ejemplo, el presente
código de acceso de la tarjeta, la información de transacción se
refiere a otra actividad, por ejemplo a un registro del uso previo
de la cerradura, tal como es registrado en la memoria de la
cerradura, a nuevos códigos de acceso específicos a ser cargados en
cerraduras específicas, o bien a un registro de intentos de entrada
fallidos del usuario de la tarjeta. Parte de esta información de
transacción es transferida desde la cerradura a la memoria de la
tarjeta, parte desde la tarjeta a la cerradura, y parte se almacena
en la tarjeta para posterior lectura.
Un ejemplo de cerradura que puede usarse en tal
ambiente es la cerradura inteligente Safixx, descrita en la página
de Internet http://acola.com, una cerradura fabricada por la firma
ACOLA GmbH en Villingen-Schewenningen, Alemania. La
cerradura inteligente Safixx tiene incluso algunas propiedades
específicas (que serán consideradas en lo que sigue) que pueden
hacer que resulte bastante útil en relación con el presente
invento.
Se pueden encontrar otros ejemplos en la
bibliografía. Todos ellos tienen una desventaja. Requieren una
especie de acceso "directo" para todas y cada una de las
cerraduras electrónicas en el sistema, ya sea porque las cerraduras
estén conectadas mediante un cableado o por una red de radio a un
centro de gestión, o ya sea porque haya que acercarse a cada
cerradura y "reprogramarla" manualmente o electrónicamente,
como con la cerradura inteligente Safixx antes mencionada, o como
con el sistema descrito en la antes citada Patente de EE.UU. Nº
5.204.663 de Lee. Cualquiera de estos métodos resulta engorroso: una
red de cables para todas las cerraduras de un hotel o de una planta
costará usualmente más que las propias cerraduras electrónicas, un
sistema de transmisión por radio requiere un transceptor y energía
eléctrica en todas y cada una de las cerraduras, y puede por lo
tanto resultar más caro (y más expuesto a fallos) que una red de
cableado, y el tener que acercarse a todas y cada una de las
cerraduras puede ser simplemente imposible en un marco de tiempo
razonable.
La Patente de EE.UU. Nº 4.800.255 se refiere a
una tarjeta electrónica de acceso que comprende un cuadro de
circuito integrado. El cuadro de circuito integrado lleva un
microprocesador. El cuadro de circuito integrado tiene un teclado
que está conectado al microprocesador para insertar información en
el microprocesador. En el cuadro de circuito integrado va una bobina
que está acoplada al microprocesador para recibir la información a
ser conducida al microprocesador y para transmitir información desde
el microprocesador. Medios de presentación visual están acoplados al
microprocesador para presentar visualmente información que vaya en
el microprocesador.
La Patente de EE.UU. Nº 4.887.292 se refiere a un
sistema de cerraduras electrónicas con una "lista de
exclusiones" en la que se identifican las llaves a las que se
impide que abran las cerraduras del sistema. Las listas de
exclusiones codificadas por fechas van en las memorias de tanto las
cerraduras como las llaves del sistema. Cuando se aplica una llave
en una cerradura, se comparan los códigos de fecha de las listas de
la cerradura y de la llave, para determinar qué lista es la más
actual. Esa lista es entonces transferida a la otra unidad,
suprimiendo y sustituyendo a la lista antigua de la unidad. Las
subsiguientes interacciones de una u otra de estas unidades con
otras cerraduras y llaves, extenderá más los datos de la lista de
exclusiones más reciente. Mediante esta disposición, se pueden
diseminar nuevas listas de exclusiones por todo el sistema de
cerraduras, simplemente cargándolas en una o más llaves. Al ser
usadas esas llaves en las cerraduras, y ser usadas esas cerraduras
con otras llaves, la lista se irá extendiendo por todo el
sistema.
Aquí, el invento pretende aportar soluciones.
Para resumir, un objeto del presente invento es el de evitar las
antes descritas desventajas e idear un sistema de cerraduras y
llaves electrónico flexible que no tenga necesidad de conexiones
"directas" (en el sentido expuesto en lo que antecede) entre
las cerraduras y un centro de gestión asociado que controle la
seguridad dentro del sistema.
Otro objeto es el de simplificar la ampliación de
un sistema dado cuando se instales cerraduras adicionales u otros
dispositivos de acceso o de seguridad, o bien para facilitar los
cambios dentro de un sistema dado, instalando para ello nuevas
cerraduras y/o cambiando las existentes.
Otro objeto es el de idear una arquitectura que
permita una flexibilidad prácticamente ilimitada con respecto a los
cambios de protocolo o a las actualizaciones de seguridad entre
centros de gestión y cerraduras. Tales actualizaciones son
necesarias después de un ataque "con éxito", o bien después de
que se hayan perdido o hayan sido robadas llaves de tarjeta, o bien
cuando se cambien aspectos de seguridad del sistema, por ejemplo
cuando ciertas áreas físicas de una planta o laboratorio pasen a ser
consideradas como áreas de "acceso restringido".
Un objeto específico es el de idear una
arquitectura que permita la ampliación hecha "sobre la marcha"
de uno de tales sistemas.
En esencia, la nueva solución de acuerdo con el
invento se concentra en el uso de medios, especialmente físicos, ya
existentes en un sistema de cerraduras y llaves electrónico usual.
La información de control del acceso y otra que sea necesario
actualizar o cambiar se disemina a través de las tarjetas
inteligentes o llaves similares existentes, y de las cerraduras
existentes, sin necesidad de alguna de una conexión entre estas
últimas y un centro de gestión central o distribuido que controle
esa información. Para ello, se está usando un protocolo de
disposición en red convenientemente adaptado y, cuando sea lo
apropiado, criptografía para proteger al sistema contra posibles
ataques.
En lo que sigue, se considera con más detalle la
innovación principal, es decir, la de la propagación de la
información de control de accesos en ambientes libres de cables.
También se describe cómo se pueden conseguir generalmente cerraduras
electrónicas de buena relación coste/eficacia y de fácil manejo.
Después se consideran los ataques y las suposiciones de seguridad
que implican, en relación con tal sistema.
Al contrario de lo que ocurre con la mayor parte
de los sistemas de seguridad electrónicos actuales, el sistema que
se describe en este documento no requiere conectividad de red fija
de ninguna clase, ya sea basada en cables o ya sea basada en la
radio. Por consiguiente, se elimina el coste asociado con el
cableado o con el equipo de transmisión por radio. L experiencia
demuestra que ese coste puede ser de un orden de magnitud superior
al del coste de las propias cerraduras. Es de mencionar aquí que en
este documento el término "llave" no designa la llave metálica
tradicional, sino más bien cualquier portador de información
arbitrario, por ejemplo, tarjetas inteligentes, o la tarjeta Java de
la IBM. Análogamente, el término "cerradura" designará
usualmente una cerradura electrónica.
En vez de que las cerraduras reciban energía
eléctrica a través de un cable fijo, la energía requerida para hacer
funcionar la cerradura puede ser suministrada ya sea a través de la
llave del usuario o ya sea a través de una pila incorporada en la
cerradura o en la puerta. Evidentemente, en tal construcción el
consumo de energía eléctrica debe ser mantenido en el mínimo
estricto, de modo que las pilas duren al menos algunos años. Existen
ya en el mercado cerraduras electrónicas que poseen las propiedades
físicas deseadas, tales como las de resistencia al forzamiento, la
fiabilidad de funcionamiento, y una larga vida de la pila. La
cerradura inteligente Safixx antes mencionada es un ejemplo de
cerradura que posee esas propiedades. El presente invento resalta
los aspectos lógicos de las construcciones de cerradura sin cables,
pero no tanto el diseño físico.
En lo que sigue se describirá el invento con más
detalle, en relación con un dibujo en el cual se ha ilustrado un
diagrama bloque de un sistema de control de accesos típico de
acuerdo con el invento, en particular el principio de propagación de
menajes o de información en tal sistemas.
Como se ha ilustrado en la Figura, un Gestor de
Acceso del Dominio de Puerta (DDAM) 1 es la entidad que tiene
autoridad sobre un conjunto de cerraduras 2. Para simplificar,
solamente algunas de ellas llevan números de referencia 2a, 2b, etc.
El DDAM 1 más el conjunto de cerraduras 2 constituyen un dominio
administrativo 4. Se ha supuesto que el DDAM 1 está compuesto de una
sola entidad, como se ha ilustrado. Esta restricción puede
eliminarse aplicando firmas de umbral, tal como ha descrito Douglas
R. Stinson en su obra "Cryptography - Theory and Practice",
publicado por CRC Press, 1996, y en ampliaciones más o menos
directas del protocolo de comunicaciones presentado en este
documento.
También se han representado una pluralidad de
llaves 3, de las cuales solamente algunas tienen números de
referencia 3a, 3b, etc., también para que resulte más claro el
dibujo.
Cada cerradura 2, usualmente asociada con una
puerta, como se ha mencionado en lo que antecede, tiene una lectora
de llaves (o de tarjetas) del tipo usual, y una memoria. La memoria
está organizada para almacenar dos conjuntos diferentes de datos o
información, consistiendo un primer conjunto en una o más
contraseñas (el número depende de la organización general del
sistema de cerraduras y llaves), comprendiendo el segundo conjunto
un mensaje de los denominados datos designados, es decir, los datos
designados para otras llaves o cerraduras. Este último es un
mensaje transitorio, que solamente es retenido durante algún tiempo
en la parte de memoria transitoria de la cerradura.
Las llaves 3 son de diseños muy similares en lo
que se refiere a su memoria. Su memoria es también capaz de
almacenar dos conjuntos diferentes de datos o información. Un primer
conjunto consiste de nuevo en una o más contraseñas (dependiendo el
número del diseño general del sistema de cerraduras y llaves) y
puede denominarse como un conjunto de "activación de llave". El
segundo conjunto consiste también en un mensaje de datos designados,
es decir, un mensaje transitorio designado para otras llaves
o cerraduras, cuyo mensaje es retenido solamente durante algún
tiempo en la parte de memoria transitoria de la llave. Dicho en
términos simples, esta última parte de la memoria de la llave es el
camino de transporte de la información dentro de todo el
sistema.
Atendiendo a la Figura, puede verse que, usando
las llaves como medios de transporte para los datos designados, hay
usualmente una pluralidad de caminos para cada cerradura y cada
llave. Un ejemplo bastante simple aclarará esto.
Supongamos que el DDAM 1 emite un mensaje para la
cerradura 2e /en la parte inferior), por ejemplo, el de que una
cierta llave, digamos la llave 3d, no sirva para entrar en la
habitación que está detrás de la puerta de la cerradura 2e. Este
mensaje designado para la cerradura 2e es "entrado" en la red a
través de la línea 5, la cual puede ser una conexión por cable,
cualquier portador de datos móvil, una conexión inalámbrica de
cualquier clase, etc. Tan pronto como la cerradura 2a haya recibido
el mensaje, todas y cada una de las llaves que se usen en esa
cerradura 2a reciben y almacenan en su parte de memoria transitoria
una copia de dicho mensaje. La llave 3a lo transportará a la
cerradura 2b, la llave 3b lo leerá y lo almacenará, transportándolo
a la cerradura 2c (y a otras), desde ellas, el conjunto se
desplazará a través de la llave 3c, la cerradura 2b, la llave 3d y/o
las llaves 3e a su cerradura designada 2e. Obsérvese que incluso la
llave 3d, que sería afectada negativamente por el mensaje
transportado, puede conducirlo a la cerradura designada 2e.
Tan pronto como la cerradura 2e reciba el mensaje
designado, emite un acuse de recibo que ahora se desplaza de vuelta
a través del sistema, de la misma forma que el mensaje original,
hasta llegar al DDAM 1, con lo cual se cierra el bucle. El acuse de
recibo, dado que es reconocible que se refiere al mensaje, borra el
mensaje que estuviera todavía almacenado (el original) tanto en las
llaves como en las cerraduras a través de las cuales se desplace. De
nuevo, esta es la función general del sistema de cerradura
electrónica de acuerdo con el invento, muy simplificado; los
detalles resultarán evidentes a la vista de la descripción que se
hace a continuación, en la cual se aborda también la teoría en la
que están basadas algunas soluciones.
Como se ha mencionado en lo que antecede, a un
usuario se le concede el acceso a través de una cerradura 2 (o
puerta), cuyos términos se usan de modo intercambiable en este
documento) solamente cuando su llave presente una contraseña
apropiada expedida por el DDAM. Todas las contraseñas son
"acuñadas" con una fecha de caducidad. El DDAM puede elegir
revocar los derechos de acceso de cualquier usuario en cualquier
momento.
Las llaves se construyen de tal modo que pueden
contener múltiples contraseñas, así como datos de otros tipos. El
que las contraseñas estén basadas en criptografía de claves
públicas, claves secretas compartidas, o algún otro tipo de
seguridad primitivo, es irrelevante en esta fase.
Además de la capacidad de almacenamiento, las
puertas deben tener capacidades de cálculo que permitan que las
mismas procesen las contraseñas expedidas por el DDAM. La relación
entre el DDAM y las puertas/cerraduras 2 es la que existe entre
"maestro y esclavo". Las prerrogativas reservadas al DDAM son
las que determinan quien puede atravesar qué puerta, y hasta qué
fecha y hora. Por consiguiente, las puertas que estén dentro de un
dominio administrativo 4 deben confiar por completo en el DDAM y
obedecer ciegamente sus órdenes. Sin embargo, las puertas no
obedecen las órdenes que dé un DDAM fuera de su dominio. No se
requiere cableado alguno directo que enlace las puertas entre ellas
ni con el DDAM. Esto impone el mecanismo de comunicación alternativo
al que se ha hecho referencia en lo que antecede, de modo que el
DDAM y las cerraduras pueden seguir intercambiando información.
Pero, obsérvese que no queda necesariamente excluida la posibilidad
de que las puertas intercambien mensajes entre sí; puede haber
también conexiones selectivas simples "directas" entre el DDAM
y una o más cerraduras seleccionadas.
Puesto que se requiere de los usuarios que
presenten una contraseña válida para tener acceso por una puerta
(por construcción), no está en discusión la diseminación de posibles
derechos de acceso. El DDAM puede pasar una contraseña a un usuario
dado a través de un terminal (seguro), o bien se puede simplemente
dejar caer la contraseña en una puerta, por ejemplo en la cerradura
2a, hasta que el usuario inconscientemente la recoja. De una forma
similar, se puede efectuar la renovación de las contraseñas que
estén a punto de expirar.
Por otra parte, ¿cómo se puede tener la seguridad
de que una contraseña negativa (es decir, una revocación del acceso)
llegue a la cerradura correspondiente sin un retraso excesivo?.
La solución para este problema es particularmente
apropiada en los casos en los que todos los usuarios hayan de pasar
a través de ciertas puertas centrales, tales como la entrada a un
edificio, a un ascensor, o el paso por la barrera de un garaje. En
otro escenario favorable, que es típico de los ambientes
comerciales, se garantiza la rápida propagación de la información
por medio de los trabajadores que llegan a trabajar por la mañana, o
bien por medio del personal de mantenimiento/seguridad que pasa con
frecuencia a través de muchas puertas. Atendiendo a la Figura, la
puerta/cerradura 2a puede ser particularmente adecuada para ese
fin.
Como se explicará más adelante, si la información
de control no llega al nudo de destino, es decir, a la cerradura 2
destinada, la fuente, usualmente el DDAM, no recibirá un acuse de
recibo. El DDAM puede por consiguiente detectar el fallo. De ello se
sigue que, en caso de que no haya una puerta central privilegiada y
que la puerta objetivo sea poco visitada, el operador del DDAM es
alertado, y puede siempre desplazarse hasta la puerta en cuestión.
Las puertas críticas que requieran la inmediata propagación de la
información, podrían ser también conectadas al DDAM por un cable
dedicado, o bien por otros medios "directos".
Como se ha explicado, para asegurar que la
información se propaga en una forma oportuna, las llaves físicas 3
del usuario llevan mensajes yendo y viniendo entre las cerraduras 2
y el DDAM. Además, las cerraduras 2 actúan como depósitos temporales
para los mensajes designados para otras cerraduras. Las puertas y/o
las cerraduras son modeladas como nodos en una red, y los usuarios
como canales que enlazan esos nodos. Por ejemplo, se establece un
canal temporal entre la cerradura 2a y la cerradura 2b cuando un
usuario se desplaza a través de ellas, usando la llave 3a. Para
mejorar la conectividad, las cerraduras intermedias y las llaves de
los usuarios deben actuar como depósitos. Como se ha explicado en lo
que antecede, una usuaria, Alicia, puede recoger un mensaje de la
puerta 2a, y dejarlo en la puerta 2b. Entonces ocurre que el
usuario, Bob, con la llave 3e pasa por la puerta 2a y lleva el
mensaje a su destino final, es decir, a la puerta 2e.
Más en general, tanto las llaves como las puertas
contienen una vista instantánea de todo el tráfico pendiente en la
actualidad, es decir, el de todos los paquetes enviados pero de los
que todavía no se ha acusado recibo de llegada. Esto, para cualquier
destino dentro del dominio administrativo. Cuando se introduce una
llave en una puerta, tanto la llave como la puerta/cerradura
actualizan su respectiva vista de la red. Naturalmente, no es
necesario que esta actualización sea interactiva, ya que puede ser
efectuada eficazmente fuera de la línea. De este modo, el usuario no
debe quedar retrasado en espera de que la llave y la cerradura se
sincronicen cuando pase a través de una puerta. Las actualizaciones
fuera de la línea imponen que cada entidad posea su propia fuente de
energía.
El bien conocido protocolo TCP/IP (Protocolo de
Control de Transmisión/Protocolo Internet), tal como ha sido
descrito por W. Richard Stevens en "TCP/IP Illustrated", vol.
1, Addison Wesley, 1994, sirve como base y ha sido simplificado y
algo optimizado para la nueva aplicación. En un sentido abstracto,
se puede expresar el problema como el de construcción de un
protocolo de control de transmisión (por ejemplo, el TCP) sobre una
LAN (Red de Área Local) de topología variable, de alta pérdida.
En primer lugar, se supone que se puede acceder
individualmente a cada nodo de la red, es decir, a una llave, a una
puerta/cerradura, o al DDAM. De aquí en adelante, el término
"nodo" puede designar una puerta/cerradura, una llave, o el
DDAM. Esto puede conseguirse usando el esquema de acceso por su
dirección a cualquier protocolo de capa de redes, en particular al
Protocolo Internet, como ha descrito J. Postel en "Internet
Protocol", en la publicación de la Internet Engineering Task
Force, septiembre de 1981, RFC 791.
Como se ha mencionado en lo que antecede, cada
nodo es responsable de la propagación de los mensajes o paquetes,
incluso aunque no sea el destinatario previsto, hasta que se tenga
acuse de recibo del paquete, en cuyo momento se borra el paquete de
la memoria del nodo.
Como en el TCP, descrito por J. Postel en
"Transmission Control Protocol" publicado en Internet
Engineering Task Force, Septiembre 1981, RFC 793, cada paquete que
requiera acuse de recibo es enviado con un número de secuencia que
va aumentando monótonamente. El TCP maneja la fragmentación del
paquete originada por la capa de IP. En la presente disposición
homogénea, los paquetes no son susceptibles de ser fragmentados. Por
consiguiente, los números de secuencia corresponden a los paquetes y
no al número de bytes enviadas. Esto es diferente a los que se
establece en el TCP, pero tiene la ventaja de que es a la vez más
simple y aprovecha mejor el espacio.
Una vez recibido un mensaje, el destinatario
expide un acuse de recibo que es enviado de vuelta al remitente,
acusando recibo del paquete recibido. Este acuse de recibo consiste
en la información de dirección usual, y en al menos otros dos
campos. un número de secuencia acumulativo, designado por n,
y un campo de bits de una longitud de w bits.
El valor real de n indica que los paquetes
que tienen un número de secuencia más bajo (inclusive ese), han sido
recibidos correctamente, sin espacios en blanco. El campo de bits
proporciona información sobre los paquetes que estén fuera de orden.
El campo de bits se corresponde aproximadamente con la denominada
"ventana deslizante" del TCP.
Como en el TCP, los paquetes que están fuera de
la ventana deslizante, es decir, los paquetes que lleven un número
de secuencia fuera del margen de n + 1 a n + w, son descartados.
Sin embargo, si un paquete que llega completa una secuencia sin
espacios en blanco, se incrementa entonces n y se envía un
acuse de recibo de vuelta a la fuente. Cada paquete recibido fuera
de orden, pero dentro de la ventana deslizante, es contabilizado
mediante la activación de un bit correspondiente en el campo de
bits.
Así, después de que se propague el acuse recibo
de vuelta al remitente del paquete, la fuente puede retransmitir
selectivamente los paquetes que se hayan perdido.. Los paquetes que
hayan llegado correctamente, aunque sea fuera de orden, no tienen
que ser retransmitidos. Además, los paquetes de los que se haya
acusado recibo selectivamente son descartados por los nuevos
intermedios con independencia de que la fuente haya recibido, o no,
el acuse de recibo, conservando así un espacio de memoria que es
precioso en cada nodo intermedio.
Es importante tener presente que los acuses de
recibo aquí presentados tienen una ordenación absoluta, muy parecida
a la de los acuses de recibo acumulativos. Por consiguiente, pueden
compararse uno con otros. En consecuencia, solamente hay necesidad
de almacenar en los nodos intermedios el acuse de recibo más
reciente, ya que el acuse de recibo más reciente anula y sustituye a
los anteriores.
Es razonable suponer que en la mayoría de casos
la frecuencia de mensajes de revocación enviados a una puerta o
cerradura específica es baja. Por consiguiente, tamaños de ventana
muy pequeños (por ejemplo, de 2) pueden bastar para satisfacer con
amplitud las necesidades de incluso grandes organizaciones.
Sin embargo, en casos excepcionales, se puede
aumentar a voluntad el tamaño de la ventana. Esto puede conseguirse
mediante el envío por el DDAM de un mensaje emitido en el que se den
instrucciones a todas las puertas de ajustar el tamaño de ventana
para un par de fuentes/destinos dado. Los mensajes emitidos llevan
una dirección de destino fija reconocida por todos.
El DDAM podría vigilar la hora en nombre de todas
las demás entidades en el dominio administrativo. El DDAM envía
actualizaciones de la temporización tan frecuentemente como puede
hacerlo (es decir, cada vez que tenga contacto con un usuario o con
una puerta). Al igual que con los acuses de recibo, solamente es
necesario almacenar en los nodos intermedios la información de la
hora más reciente, economizándose de nuevo un espacio de memoria que
es precioso. De este modo, no hay necesidad de que las puertas
tengan relojes individuales.
La representación criptográfica de una contraseña
puede tener efectos que sobrepasen a los necesarios en cuanto a la
gestión de la seguridad. Trataremos en primer lugar las
implicaciones en la seguridad de una arquitectura basada en una
llave secreta. A continuación se describirán las implicaciones de la
arquitectura de una llave pública.
Las contraseñas pueden estar basadas en una clave
secreta compartida entre el DDAM y las cerraduras. Supongamos que el
DDAM y la cerradura l_{j} comparten la clave secreta s_{i}. Para
conceder al usuario u_{i} acceso a través de l_{j}, el DDAM
validaría la cadena de acceso a_{ij}, donde
(1)a_{ij}=
"Dejar \ paso \ a \ u_{i} \ a \ través \ de \ l_{j} \ hasta \
1/1/2001"
La validación podría estar basada en cualquier
función de validación de mensaje cifrado seguro, tal como la HMAC
según ha sido descrita por R. Canetti y otros en la publicación
titulada "HMAC: Keyed-Hashing for Message
Authentication", en Engineering Task Force, Febrero de 1997, RFC
2104. Tenemos que
t_{ij} =
HMAC(s_{j}, \ a_{ij})|| \ a_{ij},
donde t_{ij} es la contraseña de
acceso y || designa la concatenación de la cadena. Obsérvese que
las contraseñas podrían tener otras representaciones basadas en
diferentes tipos de validación. Se concedería al usuario u_{i} a
través de l_{j} al presentar la contraseña t_{ij} hasta el 1 de
Enero de
2001.
Como en cualquier representación digital de
información, una contraseña puede ser fácilmente duplicada. En el
establecimiento de la clave secreta compartida, si una contraseña
puede ser "vista" por una cerradura de terminación o por
cualquier otra parte no autorizada, la contraseña ha sido entonces
efectivamente robada. Ciertamente, el atacante podría presentar la
contraseña robada a la correspondiente cerradura y obtener un acceso
ilegítimo.
Para atenuar esta amenaza, se debe aumentar la
seguridad por otros medios. Por ejemplo, se puede imponer un número
de señal universalmente único a ser grabado en cada llave física, es
decir, en la tarjeta inteligente o similar, y expedir contraseñas
para un número de serie particular. Esto puede proporcionar la
seguridad suficiente como para repeler a los atacantes no
especializados. Sin embargo, un determinado adversario podría
imprimir su propia llave física con números de serie falsos.
Para aplicaciones de alta seguridad, es crucial
que la llave física permita solamente acceso selectivo a la
información. Al ser insertada una llave física en una cerradura,
deberá ser capaz de verificar si el usuario tiene una contraseña
específica que le permita el paso a través de esa cerradura. Sin
embargo, la cerradura particular no deberá ser capaz de leer
contraseñas (de la llave) relevantes para otras cerraduras,
posiblemente en otros dominios administrativos. Pero incluso si una
llave física permite acceso selectivo a la información, la cerradura
llave puede pretender ser la cerradura l_{y} y robar la contraseña
(para l_{y}).
El ataque por duplicación de la contraseña
representa una importante amenaza, en particular si las cerraduras
electrónicas llegan a ser de uso generalizado. El despliegue
universal significa que se usarán llaves físicas en los dominios en
los que no exista confianza mutua.
Se puede obtener protección contra este ataque
exigiendo que la cerradura se identifique por sí misma a la llave
física; solamente entonces revelará la llave la contraseña para la
cerradura identificada.
Si esta identificación está basada en una clave
secreta compartida entre las puertas y los usuarios, el número de
claves secretas compartidas se desbordará para incluso
organizaciones de tamaño medio, debido a que cada cerradura tendrá
que compartir una clave secreta con cada usuario que pase a través
de ella. Por consiguiente, las claves secretas compartidas por
cerradura-usuario deben ser adecuadas solamente para
establecimientos pequeños.
Como alternativa, se puede usar una técnica de
validación de una tercera parte del tipo KryptoKnight como lo ha
descrito P. Janson y otros en "Scalability and flexibiliy in
authentication services: The KryptoKnight Approach", publicado en
IEEE INFOCOM '07, Tokio, Japón, Abril 1997, y R. Bird y otros en
"The KryptoKnight family of light-weight protocols
for authentication and key distribution" publicado en las "IEEE
Transactions on Networking", 1995. También se podría emplear una
técnica de validación de una tercera parte del tipo Kerberos,
descrita por J. Kohl y otros en "The Kerberos Network
Authentication Service", V5, Internet Engineering Task Force,
Septiembre 1993, RFC 1510 y por B. Clifford Neuman y otros en
"Kerberos: An authentication service for computer networks",
IEEE Communications Magazine, 32(9): págs.
33-38, septiembre 1994, En tal esquema, todos los
usuarios de las cerraduras compartirían una clave secreta con el
DDAM. Puesto que el DDAM comparte una clave secreta con todos los
nodos, puede convencer a cualquier nodo acerca de la identidad de
otro.
Supongamos que s_{i} representa la clave
secreta a largo plazo que el usuario u_{i} comparte con el DDAM, y
que s_{j} es la clave secreta que la cerradura l_{j} comparte
con el DDAM. El DDAM elegiría al azar una clave de cifrado k. La
cadena de acceso a_{ij} pasaría a ser:
(2)a_{ij} =
"dejar \ paso \ a \ través \ de \ l_{j} \ al \ usuario \ que \
conozca \ k, \ hasta \ el \
1/1/2001"
El DDAM expediría el pase T_{ij} definido
como
(3)T_{ij} \ =
\{HMAC(s_{j}, \ a_{ij}) \ ||a_{ij}\}s_{j}|| \{k\}
s_{i}
donde {m}_{x} designa el cifrado
simétrico del mensaje m usando la clave de cifrado x, y
a_{ij} viene dada por la ecuación
(2).
El usuario u_{i} desprendería el cifrado
{k}s_{i} del pase T_{ij} para recuperar la contraseña t_{ij}.
Obtendría después k de {k}s_{i} por descifrado de la misma con su
clave de cifrado compartida a largo plazo con el DDAM, es decir, con
s_{i}.
Para pasar a través de la puerta l_{j}, el
usuario presentaría t_{ij}. La cerradura l_{j} recuperaría la
clave de cifrado k contenida en a_{ij}, descifrando para ello
t_{ij} con su clave secreta compartida a largo plazo, s_{j}. La
puerta exigiría entonces del usuario el conocimiento de la clave de
cifrado k. Si la respuesta coincide con la exigencia emitida,
entonces se concedería acceso al usuario.
Obsérvese que el DDAM tiene que precalcular
T_{ij} para un mensaje dado a_{ij} y los nodos dados u_{i} y
l_{j}. Recuérdese que no hay un canal directo (un cable de
conexión o similar) hasta el DDAM. Por consiguiente, el
establecimiento del Kerberos es inadecuado para situaciones en las
que el mensaje que haya de ser validado, o bien las partes
intermedias, no se conozcan de antemano. Esta es una importante
limitación si la aplicación requiere que los ataques de interrupción
resulten frustrados.
La verbosidad de la cadena de acceso a_{ij}
debiera servir al lector de indicación de que el protocolo que se
acaba de describir no ha sido optimizado, sino que está destinado
esencialmente a fines ilustrativos.
Un establecimiento alternativo sería uno en el
que el DDAM y todos los usuarios que estuviesen dentro del dominio
poseyesen un par de claves pública/secreta. Cada cerradura dentro de
un dominio administrativo estaría instalada con la clave pública del
DDAM. El DDAM podría entonces certificar las claves públicas de
todos los usuarios dentro de su dominio administrativo.
La contraseña de acceso para el usuario u_{i} a
través de la cerradura l_{j} sería la firma del DDAM en el mensaje
a_{ij}, tal como se ha definido en la ecuación (1). Siempre que un
usuario desee cruzar una puerta, presentaría la contraseña a la
cerradura, la cual verificaría la firma del DDAM. Para evitar la
suplantación, la puerta exigiría del usuario que demostrase que
conoce la clave secreta correspondiente a la clave pública del
usuario (certificada por el DDAM).
Esta prueba puede estar basada en cualquier
protocolo del tipo de respuesta a una exigencia, tal como el
descrito por C. P. Schnorr en "Efficient Signature Generation by
smart cards", Journal of Cryptology, 4(3): págs.
161-174, 1991, o bien por Uriel Feige y otros en
"Zero-knowledge proofs of identity", Journal of
Cryptology: la revista de la International Association for
Cryptology Research, 1(2): págs. 77-94, 1988,
o bien por Jean-Jacques Quisquater y Louis Guillou
en "A practical zero-knowledge protocol fitted to
security microprocessor minimizing both transmission and memory"
en Christoph G. Gunther, director, "Advances in Cryptology -
EUROCRYPT88", Volumen 330, de "Lecture Notes in Computer
Science", págs. 123-128, Springer Verlag, Mayo,
1988.
La solución que se acaba de presentar separa las
credenciales del usuario de su clave pública. Por consiguiente, las
credenciales de Alicia pueden ser transportadas a la puerta
pertinente sin que Alicia tenga que intervenir. Para beneficiarse de
nuevas credenciales, Alicia tiene que acreditar su identidad. Alicia
no tiene que obtener una nueva clave secreta del DDAM, ni que
cambiar su clave pública. Las nuevas credenciales son transparentes
para Alicia. Por otra parte, si alguien hubiese enlazado cada una de
las credenciales de Alicia con una clave secreta correspondiente
poseída por Alicia, entonces Alicia tendría que comunicar al DDAM,
por un canal seguro, cada vez sus credenciales cambiadas.
Por ejemplo, en el protocolo de
Quisquater-Guillou (al que se ha hecho referencia en
lo que antecede), el DDAM enviaría a Alicia sus nuevas credenciales,
designadas por la cadena J, y una clave secreta correspondiente B,
de tal modo que
(4)JB^{v} \ =
\ 1 \ mod \
n
donde n es un módulo público y v es
un exponente público. Designemos por \varphi la función \varphi
de Euler. Solamente el DDAM conoce la inversa de v mod
\varphi(n), y por consiguiente puede calcular eficazmente
B, que satisfaga la ecuación
(4).
Para permitir los derechos de acceso concedidos
por J, la cerradura correspondiente exigiría de Alicia un número
aleatorio y comprobaría que Alicia conoce la clave secreta
correspondiente a J, es decir, B. Como es usual, Alicia no revela B
como resultado de la respuesta a la exigencia del protocolo.
Obsérvese que la clave secreta B ha de ser enviada por el DDAM a
Alicia por un canal seguro.
En el caso de que un atacante sea capaz de
inyectar un mensaje de acuse de recibo que lleve un número de
secuencia alto, todos los saltos intermedios dejarán caer los
paquetes que lleven un número de secuencia más bajo. Aunque este
ataque de interrupción será finalmente detectado, impedirá
momentáneamente toda comunicación entre el DDAM y las
cerraduras.
En una variante de ataque, suponiendo que los
mensajes más recientes tengan una más alta prioridad, un atacante
puede inundar las cerraduras enviando falsos paquetes que lleven
números de secuencia altos. Los nodos intermedios considerarán tales
paquetes como más recientes, y dejarán caer los mensajes con números
de secuencia más bajos, pero genuinos. Esto también interrumpirá las
comunicaciones.
Las aplicaciones de alta seguridad, especialmente
las declaradas para despliegue universal, imponen que todos los
mensajes, incluidos los de acuse de recibo, sean validados. Por
consiguiente, todos los nodos, es decir, todas las
puertas/cerraduras, los usuarios y el DDAM, tendrían una clave
pública certificada por el DDAM.
El establecimiento de claves secretas compartidas
del tipo Kerberos no permite que los mensajes sean validados para
dos partes elegidas dinámicamente. Por consiguiente, los ataques de
interrupción pueden únicamente evitarse en el establecimiento de
clave pública.
Del anterior estudio de las implicaciones en
cuanto a seguridad de la arquitectura basada en clave compartida
frente a la basada en clave pública, deberá haber quedado claro que,
debido al problema de "explosión" de la clave, una arquitectura
de clave compartida es adecuada únicamente para aplicaciones de baja
seguridad, o bien para despliegue a pequeña escala, mientras que las
aplicaciones de alta seguridad o de despliegue universal imponen la
criptografía de clave pública.
Deberá también haber quedado claro que la
arquitectura flexible inventada para gestionar la seguridad física
usando cerraduras electrónicas y llaves físicas, aquí descrita en lo
que antecede, no requiere un canal permanente entre las cerraduras y
un centro de gestión de la seguridad. La cuestión de la propagación
oportuna de la información de control de accesos suscitada por
ausencia de una conexión permanente se resuelve al hacer que los
usuarios actúen como canales de transmisión y las cerraduras como
depósitos de mensajes.
Claims (16)
1. Un sistema de control de accesos con una
pluralidad de cerraduras y llaves, teniendo parte al menos de dichas
cerraduras y llaves medios de memoria,
caracterizado
por
- * dichos medios de memoria de una llave que está equipada para recibir y almacenar información relativa a cualesquiera derechos de acceso de dicha llave y la información designada para otras llaves y/o cerraduras,
- * dichos medios de memoria de una cerradura que están equipados para recibir información relativa a cualesquiera derechos de acceso para dicha cerradura y la información designada para otras llaves y/o cerraduras,
- * medios para intercambiar dicha información entre cerraduras y llaves, y
- * un mensaje de confirmación que puede ser producido por una cerradura o una llave n-ésima, acusando recibo el mensaje de confirmación de la recepción de un mensaje original, cuyo mensaje de confirmación sirve para controlar el borrado de las copias del mensaje original de las memorias de las cerraduras y llaves.
2. El sistema de control de accesos de acuerdo
con la reivindicación 1, en el que
- * la información relativa a los derechos de acceso de una llave incluye una o más contraseñas y/o la información designada para otras llaves y/o cerraduras incluye uno o más mensajes para dichas llaves y/o cerraduras.
3. El sistema de control de accesos de acuerdo
con cualquiera de las reivindicaciones precedentes, en el que
- * los medios de memoria en la llave y/o en la cerradura almacenan al menos una vista parcial del sistema, y
- * los medios de intercambio disparan una actualización de dicha vista.
4. El sistema de control de accesos de acuerdo
con la reivindicación 3, en el que
- * la actualización disparada por los medios de intercambio se efectúa fuera de la línea, y en particular inmediatamente después de que dichos medios de intercambio hayan completado su función.
5. El sistema de control de accesos de acuerdo
con cualquiera de las reivindicaciones precedentes, en el que
- * la información designada para otras llaves y/o cerraduras incluye uno o más mensajes para dichas otras llaves y/o cerraduras y se intercambia fuera de la línea entre una llave y una cerradura.
6. El sistema de control de accesos de acuerdo
con una o más de las reivindicaciones precedentes, en el que
- * los medios para intercambiar información entre una cerradura y una llave son activados cuando se aplica dicha llave a dicha cerradura.
7. El uso de una llave en un sistema de control
de accesos de acuerdo con una cualquiera de las reivindicaciones
precedentes, en que
- * los medios de memoria incluyen una sección de leer/escribir dedicada a la información designada para otras llaves y/o cerraduras.
8. El uso de la llave de acuerdo con la
reivindicación 7, caracterizado por
- * una fuente de energía, preferiblemente que sea recargable cuando se use dicha llave con una cerradura.
9. El uso de una cerradura en un sistema de
control de accesos de acuerdo con una cualquiera de las
reivindicaciones 1 a 6, en que
- * los medios de memoria incluyen una sección de leer/escribir dedicada a la información designada para otras llaves y/o cerraduras.
10. El uso de la cerradura de acuerdo con la
reivindicación 9, caracterizado por
- * una fuente de energía, preferiblemente que sea recargable cuando se use una llave con dicha cerradura.
11. Un método para propagar información en un
sistema de cerraduras y llaves electrónico, caracterizado
porque
- * un mensaje original que haya de ser propagado hasta una cerradura o una llave n-ésima se inserta en una memoria de una primera llave o de una primera cerradura, respectivamente,
- * en cualquier uso de dicha primera llave o de dicha primera cerradura, dicho mensaje original es copiado en una memoria de una segunda cerradura o llave, respectivamente, pero permanece en la memoria de dicha primera llave o de dicha primera cerradura, respectivamente,
- * en cualquier uso subsiguiente de dicha primera y/o segunda llave y/o de dicha primera y/o dicha segunda cerradura, dicho mensaje original es copiado en una memoria de una cerradura o de una llave siguiente, respectivamente, pero permanece en las memorias de dichas cerraduras y/o llaves previamente usadas, respectivamente,
- * hasta que dicho mensaje original, propagado en el modo de bola de nieve que se ha descrito, alcance su destino, es decir, dicha cerradura o llave n-ésima, y
- * la cerradura o la llave n-ésima produce un mensaje de confirmación acusando recibo de la recepción de dicho mensaje original, cuyo mensaje de confirmación sirve para controlar el borrado de las copias del mensaje original en las memorias de las cerraduras y de las llaves.
12. El método para propagar información de
acuerdo con la reivindicación 11, caracterizado además
porque
- * el mensaje de confirmación se propaga a través del sistema del mismo modo que el mensaje original,
- * dicho mensaje de confirmación, cuando es recibido por una cerradura o llave cuya memoria todavía contenga una copia de dicho mensaje original, actúa sobre, y en particular sirve para borrar, dicho mensaje original.
13. El método para propagar información de
acuerdo con cualquiera de las reivindicaciones 11 a 12,
caracterizado además porque
- * después de transcurrido un retardo selectivo universal, se borran selectiva o universalmente las copias de dicho mensaje original.
14. El método para propagar información de
acuerdo con cualquiera de las reivindicaciones 11 a 13, en el
que
- * los mensajes originales y/o los mensajes de confirmación, especialmente los relativos a la misma cerradura o llave, son ordenados, en particular numerados sucesivamente.
15. El método para propagar información de
acuerdo con la reivindicación 14, caracterizado además
porque
- * cualquier mensaje de más bajo orden, en particular con un número de secuencia más bajo, es borrado en la memoria respectiva cuando se recibe un mensaje de orden más alto, en particular con un número de secuencia más alto, por una cerradura o una llave durante la propagación.
16. El método para propagar información de
acuerdo con cualquiera de las reivindicaciones de método precedentes
11 a 15, en el que
- * los mensajes originales y/o los mensajes de confirmación son total o parcialmente cifrados, en particular usando un esquema de cifrado de clave compartida y/o un esquema de cifrado de clave pública.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP99101806A EP1024239B1 (en) | 1999-01-28 | 1999-01-28 | Electronic access control system and method |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2236973T3 true ES2236973T3 (es) | 2005-07-16 |
Family
ID=8237455
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES99101806T Expired - Lifetime ES2236973T3 (es) | 1999-01-28 | 1999-01-28 | Metodo y sistema de control de acceso electronico. |
Country Status (10)
Country | Link |
---|---|
US (1) | US6981142B1 (es) |
EP (1) | EP1024239B1 (es) |
JP (1) | JP3485254B2 (es) |
AU (1) | AU1793400A (es) |
CA (1) | CA2323146A1 (es) |
DE (1) | DE69924349T2 (es) |
ES (1) | ES2236973T3 (es) |
MY (1) | MY125905A (es) |
TW (1) | TW462173B (es) |
WO (1) | WO2000045016A1 (es) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
ES2611784A1 (es) * | 2015-11-10 | 2017-05-10 | Jma Alejandro Altuna, S.L.U. | Sistema y método de duplicado de elementos de apertura de cerraduras |
CN111243135A (zh) * | 2020-01-09 | 2020-06-05 | 武汉天喻聚联网络有限公司 | 一种智能锁离线开锁系统 |
Families Citing this family (45)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7822989B2 (en) | 1995-10-02 | 2010-10-26 | Corestreet, Ltd. | Controlling access to an area |
US8015597B2 (en) | 1995-10-02 | 2011-09-06 | Corestreet, Ltd. | Disseminating additional data used for controlling access |
US7716486B2 (en) | 1995-10-02 | 2010-05-11 | Corestreet, Ltd. | Controlling group access to doors |
US8732457B2 (en) | 1995-10-02 | 2014-05-20 | Assa Abloy Ab | Scalable certificate validation and simplified PKI management |
US8261319B2 (en) | 1995-10-24 | 2012-09-04 | Corestreet, Ltd. | Logging access attempts to an area |
US9230375B2 (en) | 2002-04-08 | 2016-01-05 | Assa Abloy Ab | Physical access control |
SE517465C2 (sv) * | 2000-03-10 | 2002-06-11 | Assa Abloy Ab | Metod för att auktorisera en nyckel- eller låsanordning, elektromekanisk nyckel- och låsanordning och nyckel- och låssystem |
CA2324679A1 (en) | 2000-10-26 | 2002-04-26 | Lochisle Inc. | Method and system for physical access control using wireless connection to a network |
EP1321901B1 (de) * | 2001-12-21 | 2010-04-07 | Kaba AG | Verfahren zur Regelung des Zutrittsregimes zu einem Objekt |
ES2190762B1 (es) * | 2002-01-15 | 2004-06-01 | Universitat Politecnica De Catalunya | Procedimiento de expedicion y validacion de documentos. |
AU2003228468B2 (en) * | 2002-04-08 | 2009-10-01 | Assa Abloy Ab | Physical access control |
US9009084B2 (en) | 2002-10-21 | 2015-04-14 | Rockwell Automation Technologies, Inc. | System and methodology providing automation security analysis and network intrusion protection in an industrial environment |
US20040107345A1 (en) * | 2002-10-21 | 2004-06-03 | Brandt David D. | System and methodology providing automation security protocols and intrusion detection in an industrial controller environment |
US20040153171A1 (en) * | 2002-10-21 | 2004-08-05 | Brandt David D. | System and methodology providing automation security architecture in an industrial controller environment |
US8909926B2 (en) * | 2002-10-21 | 2014-12-09 | Rockwell Automation Technologies, Inc. | System and methodology providing automation security analysis, validation, and learning in an industrial controller environment |
US7657751B2 (en) | 2003-05-13 | 2010-02-02 | Corestreet, Ltd. | Efficient and secure data currentness systems |
EP1636682A4 (en) | 2003-06-24 | 2009-04-29 | Corestreet Ltd | ACCESS CONTROL |
WO2005010687A2 (en) * | 2003-07-18 | 2005-02-03 | Corestreet, Ltd. | Logging access attempts to an area |
JP2007511983A (ja) | 2003-11-19 | 2007-05-10 | コアストリート、 リミテッド | 分散委任されたパス発見及び検証 |
US20050154878A1 (en) * | 2004-01-09 | 2005-07-14 | David Engberg | Signature-efficient real time credentials for OCSP and distributed OCSP |
KR20060123470A (ko) | 2004-01-09 | 2006-12-01 | 코아스트리트 리미티드 | OCSP 및 분산 OCSP를 위한 서명-효율적인RTC(Real Time Credentials) |
US20110140838A1 (en) * | 2004-02-05 | 2011-06-16 | Salto Systems, S.L. | Access control system |
ES2253971B1 (es) * | 2004-02-05 | 2007-07-16 | Salto Systems, S.L. | Sistema de control de acceso. |
EP1807788A4 (en) * | 2004-08-27 | 2010-03-31 | Honeywell Ltd | ACCESS RULES SYSTEM AND METHOD FOR ACCESS CONTROL |
AT502458B1 (de) * | 2005-03-03 | 2010-10-15 | Evva Sicherheitssysteme Gmbh | Zutrittskontrollanlage |
WO2007002196A2 (en) * | 2005-06-21 | 2007-01-04 | Corestreet, Ltd. | Preventing identity theft |
US20080077976A1 (en) * | 2006-09-27 | 2008-03-27 | Rockwell Automation Technologies, Inc. | Cryptographic authentication protocol |
US8271642B1 (en) | 2007-08-29 | 2012-09-18 | Mcafee, Inc. | System, method, and computer program product for isolating a device associated with at least potential data leakage activity, based on user input |
EP2043055B1 (en) * | 2007-09-28 | 2020-08-26 | iLOQ Oy | Lock administration system |
US8052060B2 (en) * | 2008-09-25 | 2011-11-08 | Utc Fire & Security Americas Corporation, Inc. | Physical access control system with smartcard and methods of operating |
US8319606B2 (en) | 2009-10-29 | 2012-11-27 | Corestreet, Ltd. | Universal validation module for access control systems |
EP2348490B1 (en) * | 2009-12-22 | 2020-03-04 | 9Solutions Oy | Access control system |
EP2821972B1 (en) | 2013-07-05 | 2020-04-08 | Assa Abloy Ab | Key device and associated method, computer program and computer program product |
ES2577882T5 (es) | 2013-07-05 | 2020-03-12 | Assa Abloy Ab | Dispositivo de comunicación de control de acceso, método, programa informático y producto de programa informático |
DE102014105249B4 (de) | 2013-12-05 | 2023-11-02 | Deutsche Post Ag | Zeitsynchronisation |
CN104299307B (zh) * | 2014-11-11 | 2016-08-31 | 国网冀北电力有限公司廊坊供电公司 | 锁群管理系统 |
DE102016104530A1 (de) | 2016-03-11 | 2017-09-14 | Huf Hülsbeck & Fürst Gmbh & Co. Kg | Verfahren zur Kontrolle des Zugriffs auf Fahrzeuge |
FR3073998B1 (fr) * | 2017-11-23 | 2019-11-01 | In Webo Technologies | Procede numerique de controle d'acces a un objet, une ressource ou service par un utilisateur |
AT522608A1 (de) | 2019-05-16 | 2020-12-15 | Evva Sicherheitstechnologie | Verfahren zum Betreiben eines Zutrittskontrollsystems sowie Zutrittskontrollsystem |
CN115226407A (zh) | 2019-09-11 | 2022-10-21 | 开利公司 | 通过锁报告的入侵者检测 |
CN111899380A (zh) * | 2020-07-07 | 2020-11-06 | 广东臣家智能科技股份有限公司 | 一种智能锁管理方法及智能锁管理系统 |
FR3132372B1 (fr) | 2022-02-03 | 2023-12-22 | Cogelec | Procédé de contrôle d’accès à des bâtiments |
FR3132373B1 (fr) | 2022-02-03 | 2024-01-05 | Cogelec | Procédé de contrôle d’accès à des bâtiments |
FR3132374B1 (fr) | 2022-02-03 | 2024-02-16 | Cogelec | Procédé de contrôle d’accès à des bâtiments |
EP4332920A1 (en) * | 2022-08-30 | 2024-03-06 | dormakaba Schweiz AG | Methods and devices for managing access for a managed residential building |
Family Cites Families (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4677284A (en) * | 1985-08-22 | 1987-06-30 | Genest Leonard Joseph | Multi-access security system |
US6822553B1 (en) * | 1985-10-16 | 2004-11-23 | Ge Interlogix, Inc. | Secure entry system with radio reprogramming |
US4887292A (en) * | 1985-12-30 | 1989-12-12 | Supra Products, Inc. | Electronic lock system with improved data dissemination |
US4837822A (en) * | 1986-04-08 | 1989-06-06 | Schlage Lock Company | Cryptographic based electronic lock system and method of operation |
US4800255A (en) * | 1986-08-22 | 1989-01-24 | Datatrak, Inc. | Electronic access card with visual display |
JPH01299972A (ja) | 1988-05-25 | 1989-12-04 | Mirai Biru Kenkyu Kaihatsu Kk | 入退室管理方式 |
JP2559520B2 (ja) | 1990-03-26 | 1996-12-04 | 株式会社日立製作所 | 出入管理方法および出入管理システム |
US6005487A (en) * | 1990-05-11 | 1999-12-21 | Medeco Security Locks, Inc. | Electronic security system with novel electronic T-handle lock |
US5204663A (en) | 1990-05-21 | 1993-04-20 | Applied Systems Institute, Inc. | Smart card access control system |
US5506575A (en) * | 1991-09-25 | 1996-04-09 | Ormos; Zoltan S. | Key-lock system and method using interchange of system-originated codes |
JP2894515B2 (ja) * | 1992-01-09 | 1999-05-24 | シュプラ プロダクツ インコーポレイテッド | 無線通信を用いた安全立入管理システム |
US6552650B1 (en) * | 1992-02-14 | 2003-04-22 | Asil T. Gokcebay | Coin collection lock and key |
NL9300566A (nl) * | 1993-03-31 | 1994-10-17 | Nedap Nv | Toegangsverleningssysteem met decentrale autorisaties. |
US5485628A (en) * | 1993-06-23 | 1996-01-16 | Clements; Jay S. | Renewal management system |
US5397884A (en) * | 1993-10-12 | 1995-03-14 | Saliga; Thomas V. | Electronic kay storing time-varying code segments generated by a central computer and operating with synchronized off-line locks |
US5749253A (en) * | 1994-03-30 | 1998-05-12 | Dallas Semiconductor Corporation | Electrical/mechanical access control systems and methods |
JPH07233663A (ja) | 1994-02-23 | 1995-09-05 | Citizen Watch Co Ltd | 電子錠システム |
US5629981A (en) * | 1994-07-29 | 1997-05-13 | Texas Instruments Incorporated | Information management and security system |
US5709114A (en) * | 1994-11-21 | 1998-01-20 | Mas-Hamilton Group | Keypad entry electronic combination lock with self-generated combination |
FR2747813B1 (fr) | 1996-04-19 | 1998-06-05 | Poste | Systeme securise de controle d'acces permettant l'invalidation automatique de cles electroniques volees ou perdues et/ou le transfert d'habilitation a produire des cles |
AU5687798A (en) * | 1996-12-03 | 1998-06-29 | E.J. Brooks Company | Programmable lock and security system therefor |
FR2760281B3 (fr) * | 1997-03-03 | 1999-05-14 | Working Services | Procede de gestion electronique d'acces et cle a puce adaptee |
US6212635B1 (en) * | 1997-07-18 | 2001-04-03 | David C. Reardon | Network security system allowing access and modification to a security subsystem after initial installation when a master token is in place |
US6318137B1 (en) * | 1998-04-08 | 2001-11-20 | David Chaum | Electronic lock that can learn to recognize any ordinary key |
US6347375B1 (en) * | 1998-07-08 | 2002-02-12 | Ontrack Data International, Inc | Apparatus and method for remote virus diagnosis and repair |
-
1999
- 1999-01-28 EP EP99101806A patent/EP1024239B1/en not_active Expired - Lifetime
- 1999-01-28 ES ES99101806T patent/ES2236973T3/es not_active Expired - Lifetime
- 1999-01-28 DE DE69924349T patent/DE69924349T2/de not_active Expired - Lifetime
- 1999-10-13 TW TW088117725A patent/TW462173B/zh not_active IP Right Cessation
- 1999-12-16 MY MYPI99005527A patent/MY125905A/en unknown
-
2000
- 2000-01-12 US US09/647,284 patent/US6981142B1/en not_active Expired - Lifetime
- 2000-01-12 CA CA002323146A patent/CA2323146A1/en not_active Abandoned
- 2000-01-12 WO PCT/IB2000/000032 patent/WO2000045016A1/en active Application Filing
- 2000-01-12 AU AU17934/00A patent/AU1793400A/en not_active Abandoned
- 2000-01-19 JP JP2000009633A patent/JP3485254B2/ja not_active Expired - Fee Related
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
ES2611784A1 (es) * | 2015-11-10 | 2017-05-10 | Jma Alejandro Altuna, S.L.U. | Sistema y método de duplicado de elementos de apertura de cerraduras |
WO2017081344A1 (es) * | 2015-11-10 | 2017-05-18 | Jma Alejandro Altuna, S.L.U. | Sistema y método de duplicado de elementos de apertura de cerraduras |
CN111243135A (zh) * | 2020-01-09 | 2020-06-05 | 武汉天喻聚联网络有限公司 | 一种智能锁离线开锁系统 |
Also Published As
Publication number | Publication date |
---|---|
DE69924349T2 (de) | 2006-02-09 |
US6981142B1 (en) | 2005-12-27 |
EP1024239A1 (en) | 2000-08-02 |
JP2000224163A (ja) | 2000-08-11 |
AU1793400A (en) | 2000-08-18 |
JP3485254B2 (ja) | 2004-01-13 |
CA2323146A1 (en) | 2000-08-03 |
WO2000045016A1 (en) | 2000-08-03 |
DE69924349D1 (de) | 2005-04-28 |
EP1024239B1 (en) | 2005-03-23 |
MY125905A (en) | 2006-08-30 |
TW462173B (en) | 2001-11-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2236973T3 (es) | Metodo y sistema de control de acceso electronico. | |
ES2367588T3 (es) | Procedimiento y dispositivo para una comunicación de datos y de voz móvil codificada anónima. | |
ES2367809T3 (es) | Disposición y método para la transmisión segura de datos. | |
Zhu et al. | LEAP+ Efficient security mechanisms for large-scale distributed sensor networks | |
ES2288863T3 (es) | Regeneracion asistida por servidor segura de un secreto fuerte a partir de un secreto debil. | |
Pateriya et al. | The evolution of RFID security and privacy: A research survey | |
ES2904501T3 (es) | Implementación de un almacenamiento seguro con protección de integridad | |
ES2263474T3 (es) | Metodo y aparato para inicializar comunicaciones seguras entre dispositivos inalambricos y para emparejarlos en forma exclusiva. | |
ES2650982T3 (es) | Procedimiento de actualización de una tabla de consulta entre una dirección y un número de identificación | |
JPS63226144A (ja) | メッセージ伝送方法 | |
Choo et al. | Robustness of DTN against routing attacks | |
KR20030010667A (ko) | 다수의 서버를 사용하는 리모트 패스워드 인증을 위한시스템, 방법 및 소프트웨어 | |
Rajeswari et al. | Comparative study on various authentication protocols in wireless sensor networks | |
JPS63226149A (ja) | 通信システム | |
US20060059347A1 (en) | System and method which employs a multi user secure scheme utilizing shared keys | |
ES2847751T3 (es) | Infraestructura de clave pública y método de distribución | |
ES2774397A1 (es) | Metodo y sistema para recuperacion de claves criptograficas de una red de cadena de bloques | |
ES2318879T3 (es) | Gestion de una red de comunicacion y migracion de agentes moviles. | |
Kulynych et al. | Claimchain: Improving the security and privacy of in-band key distribution for messaging | |
Aura et al. | Towards a survivable security architecture for ad-hoc networks | |
Mфki et al. | Robust membership management for ad-hoc groups | |
Weimerskirch et al. | Identity certified authentication for ad-hoc networks | |
Chan et al. | On applying SIP security to networked appliances | |
Candolin | A security framework for service oriented architectures | |
Brutch et al. | Mutual authentication, confidentiality, and key MANagement (MACKMAN) system for mobile computing and wireless communication |