JP2000224163A - アクセス制御システム、鍵、ロックおよび情報伝播方法 - Google Patents

アクセス制御システム、鍵、ロックおよび情報伝播方法

Info

Publication number
JP2000224163A
JP2000224163A JP2000009633A JP2000009633A JP2000224163A JP 2000224163 A JP2000224163 A JP 2000224163A JP 2000009633 A JP2000009633 A JP 2000009633A JP 2000009633 A JP2000009633 A JP 2000009633A JP 2000224163 A JP2000224163 A JP 2000224163A
Authority
JP
Japan
Prior art keywords
lock
key
memory
message
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000009633A
Other languages
English (en)
Other versions
JP3485254B2 (ja
Inventor
Ceki Guelcue
セキ・グルク
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2000224163A publication Critical patent/JP2000224163A/ja
Application granted granted Critical
Publication of JP3485254B2 publication Critical patent/JP3485254B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00817Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00571Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00896Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses
    • G07C9/00904Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses for hotels, motels, office buildings or the like
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/21Individual registration on entry or exit involving the use of a pass having a variable access code
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/27Individual registration on entry or exit involving the use of a pass with central registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00817Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed
    • G07C2009/00849Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed programming by learning

Abstract

(57)【要約】 【課題】 電子ロックおよび鍵システムにおける物理的
セキュリティを管理するための、新しいフレキシブルな
手法を提供する。 【解決手段】 この新しい手法は、ロックとシステム管
理センターの間の配線またはその他の直接接続を排除す
る。(物理)鍵は、適合させた、ただし単純なネットワ
ーキング・プロトコルを使用して、システム内で雪だる
ま式にアクセス制御およびその他の情報を配布する働き
をする。適当であるときには、暗号方式を適用してシス
テムを保護する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、電子ロックおよび
鍵のアクセス制御システムに関し、また、このようなシ
ステムの物理的セキュリティを管理するための、極めて
フレキシブルな新しい手法を開示するものである。この
ようなシステムは、産業界、ホテル業界、銀行、および
その他、部屋または機器へのアクセスを制御または制限
することが望ましい環境で広く使用されている。これら
のシステムの多くではカードを使用し、時には処理能力
の組み込まれたスマートカードも使用している。このよ
うなカードは一般に、各ロックと連動する読取り装置に
よって磁気その他の方式で読み取ることができる。特定
の鍵をイネーブルまたはブロックする、適時にアクセス
を制限する、あるいはその他任意のかたちでセキュリテ
ィ・システムを変更するためには、アクセス情報または
メッセージを、ロックに、また時にはロックから伝送し
なければならない。これは中央のセキュリティ管理装置
にロックを接続する配線(wiring)システムを介して行
われることが多いが、その他の伝送手段も使用される。
しかし、ある程度の直接接続が管理装置とロックの間に
あることは、従来技術の手法の特徴である。
【0002】
【従来の技術】誰でも、車、家、およびオフィスに入
る、自転車のロックを開ける、または郵便受けを開ける
ために日常的に鍵に頼っている。したがって、鍵が現代
社会の不可欠な一部であることは否定できない。現在、
こうした鍵のほとんどは依然として機械タイプであり、
それと関連するロックも同様である。
【0003】広く普及してはいるが、こうした従来の機
械鍵にはいくつかの欠点がある。第1に、鍵の紛失、不
正な複製、または信用前提事項(trust assumptions)
への反対などセキュリティの侵害がある場合には、ロッ
クを交換しなければならない。第2に、対応するロック
が所定の位置にある限り、鍵は有効である。例えば、あ
る個人に鍵を手渡すことによってアクセス権が与えられ
ると、鍵が返されるか、またはロックを替えない限り、
その権利を無効にすることはできない。これらの制限の
結果として、従来のロックおよび鍵システムでは、例え
ば勤務時間中のみアクセスを許可する、または一日のう
ちの特定の時間中は特定のエリアを保護するなど、時間
ベースのアクセス方策を設けることができない。このよ
うな要件がある多くの環境では、従来のロックおよび鍵
システムでは十分とは言えない。
【0004】従来の鍵が、フレキシブルでない、かなり
制限された管理可能性しか提供しないことは明らかであ
るが、これらは広く利用することができ、非常に信頼性
が高く、程良く安価である。それでも、よりフレキシブ
ルかつ広範な管理可能性で置き換える解決策が発明さ
れ、市場に参入している。例えばホテルや企業では、電
子ロックおよび適当な電子鍵が広く使用され、非常にフ
レキシブルかつかなり敏速なアクセス権の管理を提供し
ている。
【0005】様々な種類のスマートカードを使用したシ
ステムの一例は、米国特許第5204663号明細書に
示されており、これは、その一部が鍵アクセス情報およ
びいわゆるトランザクション情報を記憶するためのメモ
リを有する集積回路カード、すなわちスマートカードを
備えたアクセス制御システムを開示している。ここで、
鍵アクセス情報は、例えばカードの現在のアクセス・コ
ードなど鍵を直ちに使用することに関し、トランザクシ
ョン情報はその他のアクティビティ、例えばロックのメ
モリに記録された以前のロック使用のログ、特定のロッ
クにアップロードされる特定の新しいアクセス・コー
ド、またはカード使用者の失敗したエントリ試みのログ
に関する。このトランザクション情報は、一部はロック
からカードのメモリに転送され、一部はカードからロッ
クに転送され、また一部は後に読み出すためにカードに
記憶される。
【0006】このような環境で使用することができるロ
ックの一例は、インターネットのhttp://acola.comに記
載のSaFixxスマートロックであり、これはドイツ
のVillingen-SchwenningenにあるACOLA GmbH
が作成したロックである。SaFixxスマートロック
は、本発明に関連して非常に有用となりうるいくつかの
特性(後述)を示す。
【0007】その他の例も文献に見ることができる。そ
れら全てには1つの欠点がある。それらは、ロックが配
線または無線のネットワークで管理センターに接続され
る場合であれ、あるいは上述のSaFixxスマートロ
ックまたは上記の米国特許第5204663号に開示の
システムを用いる場合と同様に、人が各ロックまで歩い
ていき、手作業でまたは電子的にそれを「再プログラム
する」場合であれ、システム中の1つ1つの電子ロック
への、ある種の「直接」アクセスを必要とする。これら
の方法はいずれも負担が大きい。つまり、ホテルまたは
工場内の全てのロックにつながるケーブル網は、通常は
電子ロック自体よりコストがかかり、また無線伝送シス
テムでは1つ1つのロックでトランシーバおよび電源が
必要となり、したがって配線ネットワークよりさらに高
価に(かつ故障しやすく)なる可能性があり、また1つ
1つのロックに歩いていくことは、単純に妥当な時間枠
内では不可能である可能性がある。
【0008】
【発明が解決しようとする課題】ここで、本発明はその
解決策を提供しようとするものである。要約すると、本
発明の目的は、上述の欠点を回避し、ロックと、それと
連動するシステム内のセキュリティを制御する管理セン
ターとの間で「直接」(上記の意味での)接続を必要と
しない、信頼性が高くフレキシブルな電子ロックおよび
鍵システムを考案することである。
【0009】別の目的は、追加のロック、またはその他
のアクセスもしくはセキュリティ装置を設置する際の所
与のシステムの拡張を簡単にすること、あるいは新しい
ロックを設置する、もしくは既存のロックを交換する、
またはその両方を行うことによる所与のシステム内の変
更を容易にすることである。
【0010】さらに別の目的は、管理センターとロック
の間のプロトコルの変更またはセキュリティの更新に関
して事実上無限のフレキシビリティを可能にするアーキ
テクチャを考案することである。このような更新が必要
となるのは、「成功した」攻撃の後、カード鍵の紛失ま
たは盗難後、あるいはシステムのセキュリティ態様が変
更された、例えば工場または研究室内の特定の物理的エ
リアが「立入禁止」エリアになったときである。
【0011】特定の目的は、このようなシステムの「オ
ン・ザ・フライ」拡張を可能にするアーキテクチャを考
案することである。
【0012】
【課題を解決するための手段】本質的に、本発明による
新しい手法は、通常の電子ロックおよび鍵システムで既
に存在する手段、特にハードウェアを使用することに集
中する。更新または変更を要するアクセス制御およびそ
の他の情報は、既存のスマートカードまたは同様の鍵、
および既存のロックを通じて配布(disseminate)さ
れ、ロックとこの情報を制御する中央または分散型の管
理センターとの間の接続を必要としない。このために、
起こりうる攻撃からシステムを防護するために、適当に
適合させたネットワーキング・プロトコルと、適当であ
れば暗号が使用されている。
【0013】以下では、主な新機軸、すなわちケーブル
のない環境でのアクセス制御情報の伝播についてさらに
詳細に論じる。また、どのようにすれば費用効率が高く
容易に管理することができる電子ロックを一般に実装す
ることができるかについても述べる。その後、このよう
なシステムの攻撃および暗黙のセキュリティ前提につい
て論じる。
【0014】現在のほとんどの電子セキュリティ・シス
テムと異なり、本文書に開示のシステムは、ワイヤ・ベ
ースであれ、無線ベースであれ、いかなる種類の固定し
たネットワーク接続も必要としない。したがって、配線
伝送機器または無線伝送機器にともなうコストはなくな
る。経験的に、このコストはロック自体のコストより1
桁大きくなる可能性があることが分かっている。この文
書では、「鍵」という用語は従来の金属製の鍵を指すも
のではなく、任意の情報のキャリア、例えばスマートカ
ードやIBMのJavaCardなどを指すものである
ことをここで述べておく。同様に、「ロック」という用
語は、通常は電子ロックを指すことになる。
【0015】ロックが固定ケーブルを介して電力を受け
る代わりに、ロックを動作させるために必要なエネルギ
ーは、ユーザの鍵、あるいはロックまたはドアに埋め込
まれたバッテリを通じて供給することができる。このよ
うな構造では、バッテリが少なくとも2、3年は保つよ
うに、電力消費は厳密に最低限に保たなければならな
い。タンパ耐性(tamper resistance)や動作信頼性、
バッテリの長い寿命など所望の物理特性を示す電子ロッ
クは、既に市場に存在している。上述のSaFixxス
マートロックは、こうした特性を示すロックの一例であ
る。本発明は、物理的な設計ではなく、ケーブルのない
ロック構造の論理的側面を強調するものである。
【0016】
【発明の実施の形態】以下に、本発明による代表的なア
クセス制御システムのブロック図を示す図面に関連し
て、本発明について、具体的にはこのようなシステムに
おけるメッセージまたは情報の伝播原理についてさらに
詳細に述べる。
【0017】図1のように、ドア・ドメイン・アクセス
・マネージャ(Door Domain AccessManager)(DDA
M)1は、ロック2の集合全体にわたって権限を保持す
るエンティティである。分かりやすくするために、その
うちの一部にのみ2a、2bなどの参照番号を付けてあ
る。DDAM1とロック2のセットとが、管理ドメイン
(administrative domain)4を構成する。図示のよう
に、DDAM1は単一のエンティティから構成されるも
のと仮定する。この制限は、Douglas R. Stinsonによる
「Cryptography−Theory and Practice」、CRC Press、
1996年に記載のしきい値署名(threshold signatur
e)、およびある程度直接的な何らかの拡張をこの文書
に提示される通信プロトコルに適用することによって除
去することができる。
【0018】複数のキー3も示してあるが、やはり図面
を見やすくしておくために、そのうちのいくつかにだけ
3a、3bなどの参照番号をつけてある。
【0019】上述のように通常はドアと連動する各ロッ
ク2は、従来タイプの鍵(またはカード)読取り装置、
およびメモリを有する。メモリは、異なる2組のデータ
または情報を記憶するように編成され、その第1のセッ
トは、1つまたは複数のトークン(その数はロックおよ
び鍵システムの全体的な編成によって決まる)からな
り、第2のセットは、いわゆる指定データ、すなわちそ
の他の鍵またはロックに指定されたデータのメッセージ
を含む。これは一時的メッセージであり、ロックの一時
メモリ部分にしばらくの間だけ保持される。
【0020】鍵3は、そのメモリに関する限り、非常に
よく似た設計である。それらのメモリも、異なる2組の
データまたは情報を記憶することができる。第1のセッ
トは、やはり1つまたは複数のトークン(その数はロッ
クおよび鍵システムの全体的な設計によって決まる)か
らなり、「鍵活動化」セットと呼ばれることもある。第
2のセットはやはり指定データのメッセージ、すなわち
その他の鍵またはロックに指定された一時的メッセージ
からなり、このメッセージは鍵の一時メモリ部分にしば
らくの間だけ保持される。鍵のメモリのこの部分は、簡
単に全システム内の情報移送パスと呼ばれる。
【0021】図面を参照すると、指定データの移送手段
として鍵を使用すると、各ロックおよび鍵までの道筋が
通常は複数存在することが分かる。かなり簡略な例でこ
れを明らかにする。
【0022】DDAM1が、ロック2e(一番下)に対
して、例えばある特定の鍵、例えば鍵3dがロック2e
のドアの奥の部屋への進入を許可されていないというメ
ッセージを発行するものと仮定する。ロック2eに指定
されたこのメッセージは、ケーブル接続、任意の移動デ
ータ・キャリア、任意の種類の無線接続などになること
があるライン5を介してネットワーク中に「進入」す
る。ロック2aがこのメッセージを受信すると直ちに、
このロック2aで使用される1つ1つの鍵は、前記メッ
セージのコピーを受信し、その一時メモリ部分に記憶す
る。鍵3aはこれをロック2bに移送し、鍵3bはこれ
を読み取って記憶し、ロック2c(およびその他)に移
送する。そこからこのセットは、鍵3c、ロック2d、
鍵3d、または鍵3e、あるいはそれらの組合せを介し
てその指定先(designation)であるロック2eまで進
む。移送されるメッセージによって悪影響を受けるはず
の鍵3dも、それを指定ロック2eに搬送することがで
きることに留意されたい。
【0023】ロック2eは、指定メッセージを受信する
と直ちに確認を発行し、今度はこれがDDAM1に到達
するまで元のメッセージと同様にシステム中を戻り、こ
れによりループが閉じる。確認は、認識可能にメッセー
ジを指すので、それが通って進行する鍵およびロック中
に依然として記憶されている(元の)メッセージを消去
する。また、これは本発明による電子ロック・システム
の極めて簡略化した全体の機能であり、詳細は、いくつ
かの解決策の背後にある理論にも対処した後続の記述か
ら明らかになるであろう。
【0024】上述のように、ユーザは、自分の鍵がDD
AMによって発行された適当なトークンを示す場合にの
み、ロック2(またはドア。これらの用語はこの文書で
は交換可能に使用される)を通るアクセスを認可され
る。全てのトークンは満了日をつけて作成される。DD
AMは、いつでもどのユーザのアクセス権でも取り消す
ことができる。
【0025】鍵は、複数のトークン、およびその他のタ
イプのデータを保持することができるように構築され
る。トークンが公開鍵暗号方式に基づくのか、共有秘密
に基づくのか、またはその他の何らかのタイプのセキュ
リティ・プリミティブに基づくのかは、この段階では無
関係である。記憶能力に加えて、ドアは、DDAMから
発行されたトークンの処理を可能にする計算能力も有す
ることができる。DDAMとドア/ロック2の間の関係
は、マスタとスレーブの関係である。誰がどのドアをい
つまで通り抜けることができるかを決定することは、D
DAMの予約特権(reserved prerogative)である。し
たがって、管理ドメイン4内のドアはDDAMを完全に
信頼し、その命令には盲目的に従わなければならない。
ただし、それらのドメインの外側では、ドアはDDAM
から与えられた命令に従わない。必要となるドア同士を
リンクする直接配線も、ドアとDDAMをリンクする直
接配線も存在しない。そのため、それでもDDAMとロ
ックが情報を交換することができるように、上述の代替
通信機構が必要となる。しかし、ドアが互いの間でメッ
セージを交換する可能性は必ずしもなくなるわけではな
く、また、DDAMと1つまたは複数の選択されたロッ
クとの間に単一の選択「直接」接続があることもあるこ
とに留意されたい。
【0026】適合性の考慮事項 ユーザは、ドアにアクセスするためには有効なトークン
を提示することを(構造から)必要とされるので、肯定
(positive)アクセス権の配布は問題にならない。DD
AMが(安全保護された)端末を通じて所与のユーザに
トークンを渡すことも、または単にユーザがそれを無意
識に拾うまで、トークンをあるドア、例えばロック2a
に入れておくこともできる。満了の近づいたトークンの
更新も同様に行うことができる。
【0027】一方、どのようにすれば、否定(negativ
e)トークン(すなわちアクセス取消し)が遅れすぎる
ことなく関連するロックに到達することを保証すること
ができるか。
【0028】この問題の解決策は、全てのユーザが、建
造物の入口、エレベータ、ガレージの障壁など特定の中
央ドアを偶然通り抜ける場合に特に適している。ビジネ
ス環境でよく見られる別の好ましいシナリオでは、迅速
な情報の伝播は、朝勤務先に到着した従業員または多く
のドアを頻繁に通り抜ける保守/セキュリティ作業員に
よって保証される。図を参照すると、ドア/ロック2a
はこの目的に特に適している。
【0029】後に説明するように、制御情報が宛先ノー
ド、すなわち宛先ロック2に到達しない場合には、通常
はDDAMであるソースは確認を受信しないことにな
る。このようにして、DDAMは障害を検出することが
できる。その結果、特権的中央ドアがなく、目標のドア
に人があまり訪れない場合には、DDAMのオペレータ
は警告を受け、彼/彼女は常に当該のドアに歩いていく
ことができるようになる。即時に情報を伝播することを
必要とする重要なドアは、専用ケーブルまたはその他の
「直接」手段によってDDAMに接続することもでき
る。
【0030】ネットワーク・モデル 説明したように、情報が適時に伝播されたことを確認す
るために、ユーザの物理鍵3は、ロック2とDDAM1
の間でメッセージを搬送する。さらに、ロック2は、そ
の他のロックに指定されたメッセージのための一時リポ
ジトリの働きをする。ドアまたはロックあるいはその両
方はネットワーク中のノードとして、またユーザはこれ
らのノードをリンクするチャネルとしてモデル化され
る。例えば、ロック2aとロック2bの間の一時チャネ
ルは、ユーザが鍵3aを使用してそれらを通って移動し
たときに確立される。接続性を改善するために、中間の
ロックおよびユーザ鍵はリポジトリの働きをしなければ
ならない。上記で説明したように、ユーザであるアリス
が、ドア2aからメッセージを拾い、これをドア2bに
残すことがある。その後、鍵3eを有するユーザである
ボブが偶然ドア2aを通り、そのメッセージを最終的な
宛先である例えばドア2eまで搬送する。
【0031】より一般的には、鍵およびドアはともに、
現在保留になっている全てのトラフィック、つまり送信
はされたがまだ確認されていない全てのパケットのスナ
ップショット・ビューを含む。これは、管理ドメイン内
の任意の宛先について言える。鍵がドアに差し込まれた
ときに、鍵およびドア/ロックはともにそれらそれぞれ
のネットワークのビューを更新する。当然、この更新
は、オフラインで効率的に実行することができるので、
対話式である必要はない。この方法では、ユーザは、ド
アを通り抜ける際に鍵とロックが同期するのを待って遅
れることがない。オフライン更新では、各エンティティ
がそれ自体の電源を有する必要がある。
【0032】ネットワーキング・プロトコル W. Richard Stevensによる「TCP/IP Illustrated」、Vo
l. 1、Addison Wesley、1994年に記載の周知のTC
P/IPプロトコルを基礎として用い、新しい適用例の
ためにこれを単純化し、いくらか最適化する。要約する
と、この問題は、損失が多くトポロジの変わるLANの
最上部に伝送制御プロトコル(すなわちTCP)を構築
することであると言うことができる。
【0033】最初に、ネットワークの各ノード、すなわ
ち鍵、ドア/ロック、またはDDAMは、個別にアドレ
ッシングすることができるものと仮定する。以下、ノー
ドという用語は、ドア/ロック、鍵、またはDDAMを
指す。これは、任意のネットワーキング層プロトコル、
特に出版物Internet Engineering Task Force、198
1年9月、RFC 791中のJ. Postelによる「Inter
net Protocol」に記載のインターネット・プロトコルの
アドレッシング方式を使用して実施することができる。
【0034】前述のように、各ノードは、それが意図さ
れた受信側でない場合にも、パケットが確認されるま
で、つまりノードのメモリからそのパケットが消去され
るまで、メッセージまたはパケットを伝播する責任を負
う。
【0035】Internet Engineering Task Force、19
81年9月、RFC 793中のJ.Postelによる「Tran
smission Control Protocol」に記載のTCPの場合と
同様に、確認を必要とする各パケットは、単調増加する
順序番号をつけて送信される。TCPはIP層によって
引き起こされるパケットの断片化を扱うが、この同種の
設定ではパケットは断片化しにくい。したがって、順序
番号はパケットに対応し、送信されるバイト数には対応
しない。これはTCPとは異なるが、より単純になり、
より空間効率が良くなるという利点がある。
【0036】メッセージが到達した後で、受信側は確認
を発行し、これが送信側に返送され、パケットの受信が
確認される。この確認は、通常のアドレッシング情報
と、少なくとも2つのその他のフィールド、つまりnで
表される累積順序番号、およびビット長wのビット・フ
ィールドとからなる。
【0037】nの実際の値は、より低い順序番号を有す
るパケット(包括的)がギャップなしで正しく受信され
たことを示す。ビット・フィールドは、順序外れのパケ
ットについての情報を提供する。ビット・フィールド
は、TCPのいわゆる「スライディング・ウィンドウ」
にほぼ対応する。
【0038】TCPの場合と同様に、スライディング・
ウィンドウの外側のパケット、すなわちn+1からn+
wの範囲外の順序番号を有するパケットは、除去され
る。しかし、着信パケットがギャップのないシーケンス
を完成している場合には、nは増分され、確認がソース
に返送される。順序外れで受信されたがスライディング
・ウィンドウ内である各パケットは、ビット・フィール
ド中の対応するビットをオンにすることによって記録さ
れる。
【0039】こうして、確認がパケットの送信側に逆に
伝播した後で、ソースは、喪失したパケットを選択的に
再伝送することができる。順序外れでも正しく到着した
パケットは、再伝送する必要はない。また、選択的に確
認されたパケットは、ソースがその確認を受信したか否
かに関わらず中間ノードによって除去され、こうして、
各中間ノードでは貴重なメモリ・スペースが保存され
る。
【0040】ここで与えられた確認は、累積確認と同様
に絶対順序を有することに留意することが重要である。
したがって、それらは互いに比較することができる。そ
の結果、最新の確認はそれ以前の全ての確認を無効にす
るので、最新の確認のみを中間ノードで記憶すれば良
い。
【0041】ウィンドウ・サイズ ほとんどの場合には、特定のドアまたはロックに送信さ
れる取消しメッセージの頻度は低いものと想定するのが
妥当である。したがって、非常に小さなウィンドウ・サ
イズ(例えば2)で、大規模な編成の必要を満たすのに
十分とすることができる。
【0042】しかし、例外的な場合には、ウィンドウ・
サイズは随意に大きくすることができる。これは、全て
のドアに、所与のソース/宛先対についてのウィンドウ
・サイズを調節するよう命令するブロードキャスト・メ
ッセージをDDAMが送信することによって実施され
る。ブロードキャスト・メッセージは、全てによって認
識される固定された宛先アドレスを有する。
【0043】刻時情報 DDAMは、管理ドメイン内のその他全てのエンティテ
ィに代わって時間を記録することもできる。DDAMは
可能な限り頻繁に(すなわちユーザまたはドアと接触す
る度に)タイミングの更新を送信する。確認の場合と同
様に、中間ノードは最後のクロック情報のみを記憶すれ
ば良く、やはり貴重なメモリ・スペースが節約される。
このように、ドアが個別のクロックを有する必要はな
い。
【0044】暗号態様 トークンの暗号表現は、セキュリティ管理に過度な影響
を及ぼす可能性がある。秘密鍵をベースとしたアーキテ
クチャのセキュリティの意味(implicatio
n)について最初に論じる。次に、公開鍵アーキテクチ
ャの意味について述べる。
【0045】共有秘密 トークンは、DDAMとロックの間の共有秘密に基づく
ことができる。DDAMおよびロックljが秘密sjを共
有するものと仮定する。ユーザuiにljを通したアクセ
スを認可するためには、DDAMは、以下のアクセス・
ストリングaijを認証することになる。 aij=「Let ui through li until 1/1/2001 」 (1)
【0046】この認証は、R. Canetti他による「HMAC:K
eyed-Hashing for Message Authentication」、Engineer
ing Task Force、1997年2月、RFC2104に記
載のHMACなど、任意の安全保護鍵によるメッセージ
認証機能に基づいて行うこともできる。 tij=HMAC(sj、aij)||aij であり、ここでtijはアクセス・トークンであり、||
はストリング連結を示す。トークンは、異なるタイプの
認証に基づくその他の表現を有することもできることに
留意されたい。ユーザuiは、2001年1月1日ま
で、トークンtijを提示することによってljを通るア
クセスを認可されることになる。
【0047】任意の情報のデジタル表現の場合と同様
に、トークンは、容易に複製することができる。共有秘
密設定では、犯罪者(rogue)のロックまたはその他任
意の無許可の関係者がトークンを「見る」ことができる
場合には、そのトークンは事実上盗まれている。実際
に、攻撃者は、盗んだトークンを対応するロックに提示
し、違法なアクセスを得ることもできる。
【0048】この脅威を軽減するために、その他の手段
によってセキュリティを強化しなければならない。例え
ば、世界的に一意的な通し番号を付与して、それを各物
理鍵、すなわちスマートカードなどに焼き付け、ある特
定の通し番号に対してトークンを発行することもでき
る。これは、熟練していない攻撃者を撃退するのに十分
なセキュリティを提供することができる。しかし、断固
とした敵対者は、自分自身の物理鍵に偽の通し番号をプ
リントすることがある。
【0049】安全保護性の高い適用分野では、物理鍵が
情報への選択的なアクセスしか許さないことは極めて重
要である。物理鍵がロックに差し込まれたときに、ロッ
クは、そのロックの通過を許可する特定のトークンをそ
のユーザが有するかどうかを検証することができなけれ
ばならない。ただし、特定のロックは、おそらくはその
他の管理ドメイン内のその他のロックに関連する(鍵上
の)トークンを読み取ることができなくても良い。しか
し、物理鍵が情報への選択的なアクセスを許可しても、
ロックlxがロックlyであるように見せかけ、(l
yの)トークンを盗む可能性がある。
【0050】トークン複製攻撃は、特に電子ロックが実
際に普及する場合に深刻な脅威となる。世界的に展開す
るということは、互いに信頼できないドメインで物理鍵
が使用されることになるということである。
【0051】ロックが物理鍵に対して身元を明かす必要
があるようにし、その後でなければ鍵がその識別された
ロックに対するトークンを明らかにしないようにするこ
とによって、この攻撃から防護することができる。
【0052】この識別がドアとユーザの間の共有秘密に
基づく場合には、各ロックがそれを通過する各ユーザと
秘密を共有しなければならないので、中型の編成でも共
有秘密の数は爆発的に増加する。したがって、ロックと
ユーザが共有する秘密は、小さな設定にのみ適すること
ができる。
【0053】別法として、1997年4月、日本、東京
のIEEE INFOCOM ’97の、P. Janson他による「Scalabil
ity and flexibility in authentication services:The
KryptoKnight Approach」、および1995年IEEE Tra
nsactions on Networkingの、R. Bird他による「The Kr
yptoKnight family of light-weight protocols foraut
hentication and key distribution」に記載のように、
KryptoKnightタイプの第三者認証技術を使
用することもできる。また、J. Kohl他による「The Ker
beros Network Authentication Service」、V5、Inter
net Engineering Task Force、1993年9月、RFC
1510、およびB. Clifford Neuman他による「Kerber
os: An authentication service for computer network
s」、IEEE Communications Magazine、32(9)、3
3〜38ページ、1994年9月に記載の、Kerberosタ
イプの第三者認証技術を利用することもできる。このよ
うな方式では、全てのユーザおよびロックは、DDAM
と秘密を共有することになる。DDAMは、全てのノー
ドと秘密を共有するので、任意のノードに別のノードの
識別を知らせる(convince)ことができる。
【0054】siはユーザuiがDDAMと共有する長期
秘密を表し、sjはロックljがDDAMと共有する秘密
を表すものとする。DDAMは暗号化鍵kを無作為に選
択することになる。アクセス・ストリングaijは下記の
ようになる。 aij=「Let through lj user knowing k、u ntil 1/1/2001」 (2)
【0055】DDAMは、 Tij={HMAC(sj、aij)||aij}sj||{k}si (3) で定義されるチケットTijを発行する。ここで、{m}
xは暗号化鍵xを使用したメッセージmの対称暗号化を
示し、aijは式(2)によって与えられる。
【0056】ユーザuiは、チケットTijから暗号化
{k}siを取り除き、トークンtijを取り出す。次い
で、DDAMと共有されたその長期暗号化鍵すなわちs
iで{k}siを暗号化解除することによって、それから
kを得る。
【0057】ドアljを通過するために、ユーザはtij
を提示することになる。ロックljは、その長期共有秘
密鍵sjでtijを暗号化解除することにより、aijに含
まれる暗号化鍵kを取り出すことになる。その後、ドア
は暗号化鍵kの知識についてユーザを試す(chall
enge)。そのレスポンスが発行されたチャレンジと
一致すれば、ユーザはアクセスを認可されることにな
る。
【0058】DDAMは、所与のメッセージaijならび
に所与のノードuiおよびljについて、Tijを事前に計
算しなければならないことに留意されたい。DDAMに
つながる直接的なチャネル(接続ケーブルなど)はない
ことを想起されたい。したがって、Kerberos設
定は、認証されるメッセージまたは介在する関係者が予
め分かっていない状況には適さない。これは、適用分野
が破壊(disruption)攻撃を阻止することを必要とする
場合には重大な制限である。
【0059】アクセス・ストリングaijの冗長さは、上
述のプロトコルが、最適化されていないが、基本的に例
示を目的とするものであることを読者に示すであろう。
【0060】公開鍵設定 代替設定では、DDAMおよびそのドメイン内の全ての
ユーザは、公開/秘密鍵の対を保持することになる。管
理ドメイン内の各ロックは、DDAMの公開鍵を備える
ことになる。次いで、DDAMはその管理ドメイン内の
全てのユーザの公開鍵を証明する。
【0061】ユーザuiがロックljを通るためのアクセ
ス・トークンは、式(1)で定義されたメッセージaij
上のDDAMの署名となる。ユーザは、ドアを通過しよ
うとするときには、ロックに対してトークンを提示し、
これがDDAMの署名を検証することになる。他者のな
りすまし(impersonation)を防止するために、ドア
は、ユーザが、そのユーザの(DDAMに証明された)
公開鍵に対応する秘密鍵の知識を立証することを要求す
る。
【0062】この立証は、C. P. Schnorrによる「Effic
ient signature generation by smart cards」、Journal
of Cryptology、4(3):161〜174ページ、1
991年、Uriel Feige他による「Zero-knowledge proo
fs of identity」、Journalof Cryptology、the journa
l of the International Association for Cryptologic
Research、1(2):77〜94ページ、1988
年、またはChristoph G.Gunther編集のAdvances in Cry
ptology-EUROCRYPT88、Volume 330 of LectureNotes in
Computer Science、123〜128ページ、Springer-
Verlag、1988年5月のJean-Jacques Quisquaterお
よびLouis Guillouによる「A practicalzero-knowledge
protocol fitted to security microprocessor minimi
zing both transmission and memory」に記載のものな
どの、任意のチャレンジ・レスポンス・タイプのプロト
コルに基づいて行うことができる。
【0063】上記で与えた解決策では、ユーザの証明書
(credential)を彼/彼女の公開鍵から分離する。この
ようにして、アリスが介在する必要なく、アリスの証明
書を関連のあるドアに移送することができる。新しい証
明書を利するためには、アリスは彼女の識別を立証すれ
ばよい。アリスは、DDAMから新しい秘密を得る必要
も、彼女の公開鍵を変更する必要もない。この新しい証
明書はアリスに透過的である。これに対して、アリスの
証明書がそれぞれ、アリスが保持する対応する秘密と結
合されている場合には、アリスは、彼女の証明書が変更
される度に安全保護されたチャネル上でDDAMと通信
しなければならないことになる。
【0064】例えば、Quisquater-Guillou(上記)プロ
トコルでは、DDAMは、ストリングJおよび対応する
秘密Bによって JBv=1 mod n (4) と表されるアリスの新しい証明書を彼女に送信すること
になる。ここで、nは公開のモジュラス、vは公開の指
数である。φは、オイラーのφ関数を表すものとする。
DDAMだけはv modφ(n)の逆関数を知ってい
るので、DDAMは効率的にBを計算し、式(4)を検
証することができる。
【0065】Jによってアクセス権を認可することがで
きるようにするために、関連のあるロックは、乱数でア
リスを試し、アリスがJに対応する秘密、すなわちBを
知っているかどうかをチェックすることになる。例によ
って、アリスはチャレンジ・レスポンス・プロトコルの
結果としてBを示さない。安全保護されたチャネル上で
は秘密BはDDAMからアリスに送信する必要があるこ
とに留意されたい。
【0066】誤り確認注入 攻撃者が高い順序番号を有する確認メッセージを注入す
ることができる場合には、全ての中間ホップはより低い
順序番号を有するパケットを除去することになる。この
破壊攻撃は、最終的に検出されることになるが、DDA
Mとロックの間の全ての通信を瞬間的に妨げることにな
る。
【0067】別の攻撃では、より新しいメッセージの方
が高い優先順位を有するものと仮定すると、攻撃者は、
高い順序番号を有する偽のパケットを送信することによ
って、ロックをあふれさせることがある。中間ノード
は、このようなパケットを新しいパケットと見なし、よ
り低い順序番号のついた本物のメッセージを除去するこ
とになる。これも通信を破壊することになる。
【0068】安全保護性の高い適用分野、特に世界的に
展開される予定である適用分野は、確認も含めた全ての
メッセージが認証されることを必要とする。したがっ
て、全てのノード、すなわち全てのドア/ロック、ユー
ザ、およびDDAMは、DDAMによって証明された公
開鍵を有することになる。
【0069】Kerberosタイプの共有秘密設定で
は、動的に選択された2人の関係者についてメッセージ
を認証することはできない。したがって、破壊攻撃は、
公開鍵設定でしか防止することはできない。
【0070】共有鍵アーキテクチャ対公開鍵アーキテク
チャのセキュリティの意味についての上記の考察から、
鍵の急増の問題があるので、共有鍵アーキテクチャは安
全保護性の低い適用分野、または小規模に展開する場合
にしか適さず、安全保護性の高い適用分野または世界的
に展開する場合は公開鍵暗号法が必要であることは明ら
かであろう。
【0071】前述の電子ロックおよび物理鍵を使用して
物理的セキュリティを管理するための本発明のフレキシ
ブルなアーキテクチャが、ロックとセキュリティ管理セ
ンターとの間に永続的なチャネルを必要としないことも
明らかになるであろう。永続的な接続を欠くことによっ
て生じるアクセス制御情報の適時伝播の問題は、ユーザ
が伝送チャネルの、またロックがメッセージリポジトリ
の働きをすることによって解決される。
【0072】まとめとして、本発明の構成に関して以下
の事項を開示する。
【0073】(1)複数のロックおよび鍵を備え、前記
ロックおよび鍵の少なくとも一部がメモリ手段を有する
アクセス制御システムであって、鍵の前記メモリ手段
が、前記鍵の任意のアクセス権に関する情報と、その他
の鍵またはロックあるいはその両方に指定された情報と
を受信し、記憶するようになされること、ロックの前記
メモリ手段が、前記ロックの任意のアクセス権に関する
情報と、その他の鍵またはロックあるいはその両方に指
定された情報とを受信し、記憶するようになされるこ
と、ならびにロックと鍵の間で前記情報を交換する手段
を含むことを特徴とするアクセス制御システム。 (2)鍵のアクセス権に関する情報が1つまたは複数の
トークンを含む、あるいはその他の鍵もしくはロックま
たはその両方に指定された情報が、前記鍵もしくはロッ
クまたはその両方についての1つまたは複数のメッセー
ジを含む、あるいはその両方となる、上記(1)に記載
のアクセス制御システム。 (3)鍵またはロックあるいはその両方のメモリ手段
が、システムの少なくとも部分的なビューを記憶し、交
換手段が、前記ビューの更新をトリガする、上記(1)
または(2)のいずれか一項に記載のアクセス制御シス
テム。 (4)交換手段によってトリガされた更新が、特に前記
交換手段がその機能を完了した直後にオフラインで実行
される、上記(3)に記載のアクセス制御システム。 (5)その他の鍵またはロックあるいはその両方に指定
された情報が、前記その他の鍵またはロックあるいはそ
の両方への1つまたは複数のメッセージを含み、鍵とロ
ックの間でオフラインで交換される、上記(1)ないし
(4)のいずれか一項に記載のアクセス制御システム。 (6)ロックと鍵の間で情報を交換する手段が、前記鍵
が前記ロックとかみ合ったときに活動化される、上記
(1)ないし(5)のいずれか一項に記載のアクセス制
御システム。 (7)メモリ手段が、その他の鍵またはロックあるいは
その両方に指定された情報専用の読取り/書込みセクシ
ョンを含む、上記(1)ないし(6)のいずれか一項に
記載のアクセス制御システムで使用される鍵。 (8)好ましくは前記鍵がロックとともに使用されると
きに充電可能である電源を含むことを特徴とする、上記
(7)に記載の鍵。 (9)メモリ手段が、その他の鍵またはロックあるいは
その両方に指定された情報専用の読取り/書込みセクシ
ョンを含む、上記(1)ないし(6)のいずれか一項に
記載のアクセス制御システムで使用されるロック。 (10)好ましくは鍵が前記ロックとともに使用される
ときに充電可能である電源を含むことを特徴とする、上
記(9)に記載のロック。 (11)電子ロックおよび鍵システム中で情報を伝播す
る方法であって、n番目のロックまたは鍵に伝播すべき
元のメッセージが、それぞれ第1のロックまたは第1の
ロックのメモリ中に挿入されること、前記第1の鍵また
は前記第1のロックを使用する際に、前記元のメッセー
ジがそれぞれ第2のロックまたは鍵のメモリ中にコピー
されるが、それぞれ前記第1のロックまたは第1の鍵の
メモリ中にも残ること、前記第1もしくは第2の鍵また
はその両方、あるいは前記第1もしくは第2のロックま
たはその両方、あるいはそれらの組合せをその後に使用
する際に、前記元のメッセージがそれぞれ次のロックま
たは鍵のメモリ中にコピーされるが、それぞれ前記の以
前に使用されたロックまたは鍵あるいはその両方のメモ
リ中に残ること、ならびに上述の方法で伝播する前記元
のメッセージが、その宛先、すなわちn番目のロックま
たは鍵に到達するまで続くことを特徴とする方法。 (12)電子ロックおよび鍵システム中で情報を伝播す
る方法であって、n番目のロックまたは鍵に伝播すべき
元の情報が、第1のロックのメモリ中に記憶されるこ
と、第1の鍵が前記第1のロックとともに使用されたと
きに、前記元のメッセージが前記第1の鍵のメモリ中に
コピーされるが、前記第1のロックのメモリ中にも残る
こと、前記第1の鍵が第2のロックとともに使用された
ときに、前記元のメッセージが前記第2のロックのメモ
リ中にコピーされるが、前記第1の鍵のメモリ中にも残
ること、第2の鍵が前記第2のロックとともに使用され
たときに、前記元のメッセージが前記第2の鍵のメモリ
中にコピーされるが、前記第2のロックのメモリ中にも
残ること、ならびに上述のように伝播した前記元のメッ
セージが、その宛先、すなわち前記n番目のロックまた
は鍵に到達するまで続くことを特徴とする方法。 (13)n番目のロックまたは鍵が、前記元のメッセー
ジの受信を確認する確証メッセージを生成し、この確証
メッセージが、ロックおよび鍵のメモリ中の元のメッセ
ージのコピーの消去を制御する働きをすることをさらに
特徴とする、上記(11)または(12)に記載の情報
を伝播する方法。 (14)確証メッセージが元のメッセージと同様にシス
テム中を伝播すること、および前記確証メッセージが、
前記元のメッセージのコピーをそのメモリが依然として
含むロックまたは鍵で受信されたときに、これに作用す
る、具体的には前記元のメッセージを消去するように働
くことをさらに特徴とする、上記(13)に記載の情報
を伝播する方法。 (15)選択的または全体的タイムアウトの後で、前記
元のメッセージのコピーが選択的または全体的に消去さ
れることをさらに特徴とする、上記(11)ないし(1
4)に記載の情報を伝播する方法。 (16)元のメッセージまたは確証メッセージあるいは
その両方、特に同じロックまたは鍵に関するそれらのメ
ッセージが順序づけられる、具体的には順序番号をつけ
られる、上記(11)ないし(15)に記載の情報を伝
播する方法。 (17)より高位の、具体的にはより高い順序番号を有
するメッセージが伝播中にロックまたは鍵で受信された
ときに、より低位の、具体的には低い順序番号を有する
任意のメッセージが各メモリ中で消去されることをさら
に特徴とする、上記(16)に記載の情報を伝播する方
法。 (18)元のメッセージまたは確証メッセージあるいは
その両方が、特に共有鍵暗号化方式または公開鍵暗号化
方式あるいはその両方を使用して完全または部分的に暗
号化される、上記(11)ないし(17)のいずれか一
項に記載の情報を伝播する方法。
【図面の簡単な説明】
【図1】管理ドメインの構成を示す図である。
【符号の説明】
1 DDAM 2 ロック 3 鍵 4 管理ドメイン 5 ライン

Claims (18)

    【特許請求の範囲】
  1. 【請求項1】複数のロックおよび鍵を備え、前記ロック
    および鍵の少なくとも一部がメモリ手段を有するアクセ
    ス制御システムであって、 鍵の前記メモリ手段が、前記鍵の任意のアクセス権に関
    する情報と、その他の鍵またはロックあるいはその両方
    に指定された情報とを受信し、記憶するようになされる
    こと、 ロックの前記メモリ手段が、前記ロックの任意のアクセ
    ス権に関する情報と、その他の鍵またはロックあるいは
    その両方に指定された情報とを受信し、記憶するように
    なされること、ならびにロックと鍵の間で前記情報を交
    換する手段を含むことを特徴とするアクセス制御システ
    ム。
  2. 【請求項2】鍵のアクセス権に関する情報が1つまたは
    複数のトークンを含む、あるいはその他の鍵もしくはロ
    ックまたはその両方に指定された情報が、前記鍵もしく
    はロックまたはその両方についての1つまたは複数のメ
    ッセージを含む、あるいはその両方となる、請求項1に
    記載のアクセス制御システム。
  3. 【請求項3】鍵またはロックあるいはその両方のメモリ
    手段が、システムの少なくとも部分的なビューを記憶
    し、 交換手段が、前記ビューの更新をトリガする、請求項1
    または2のいずれか一項に記載のアクセス制御システ
    ム。
  4. 【請求項4】交換手段によってトリガされた更新が、特
    に前記交換手段がその機能を完了した直後にオフライン
    で実行される、請求項3に記載のアクセス制御システ
    ム。
  5. 【請求項5】その他の鍵またはロックあるいはその両方
    に指定された情報が、前記その他の鍵またはロックある
    いはその両方への1つまたは複数のメッセージを含み、
    鍵とロックの間でオフラインで交換される、請求項1な
    いし4のいずれか一項に記載のアクセス制御システム。
  6. 【請求項6】ロックと鍵の間で情報を交換する手段が、
    前記鍵が前記ロックとかみ合ったときに活動化される、
    請求項1ないし5のいずれか一項に記載のアクセス制御
    システム。
  7. 【請求項7】メモリ手段が、その他の鍵またはロックあ
    るいはその両方に指定された情報専用の読取り/書込み
    セクションを含む、請求項1ないし6のいずれか一項に
    記載のアクセス制御システムで使用される鍵。
  8. 【請求項8】好ましくは前記鍵がロックとともに使用さ
    れるときに充電可能である電源を含むことを特徴とす
    る、請求項7に記載の鍵。
  9. 【請求項9】メモリ手段が、その他の鍵またはロックあ
    るいはその両方に指定された情報専用の読取り/書込み
    セクションを含む、請求項1ないし6のいずれか一項に
    記載のアクセス制御システムで使用されるロック。
  10. 【請求項10】好ましくは鍵が前記ロックとともに使用
    されるときに充電可能である電源を含むことを特徴とす
    る、請求項9に記載のロック。
  11. 【請求項11】電子ロックおよび鍵システム中で情報を
    伝播する方法であって、 n番目のロックまたは鍵に伝播すべき元のメッセージ
    が、それぞれ第1のロックまたは第1のロックのメモリ
    中に挿入されること、 前記第1の鍵または前記第1のロックを使用する際に、
    前記元のメッセージがそれぞれ第2のロックまたは鍵の
    メモリ中にコピーされるが、それぞれ前記第1のロック
    または第1の鍵のメモリ中にも残ること、 前記第1もしくは第2の鍵またはその両方、あるいは前
    記第1もしくは第2のロックまたはその両方、あるいは
    それらの組合せをその後に使用する際に、前記元のメッ
    セージがそれぞれ次のロックまたは鍵のメモリ中にコピ
    ーされるが、それぞれ前記の以前に使用されたロックま
    たは鍵あるいはその両方のメモリ中に残ること、ならび
    に上述の方法で伝播する前記元のメッセージが、その宛
    先、すなわちn番目のロックまたは鍵に到達するまで続
    くことを特徴とする方法。
  12. 【請求項12】電子ロックおよび鍵システム中で情報を
    伝播する方法であって、 n番目のロックまたは鍵に伝播すべき元の情報が、第1
    のロックのメモリ中に記憶されること、 第1の鍵が前記第1のロックとともに使用されたとき
    に、前記元のメッセージが前記第1の鍵のメモリ中にコ
    ピーされるが、前記第1のロックのメモリ中にも残るこ
    と、 前記第1の鍵が第2のロックとともに使用されたとき
    に、前記元のメッセージが前記第2のロックのメモリ中
    にコピーされるが、前記第1の鍵のメモリ中にも残るこ
    と、 第2の鍵が前記第2のロックとともに使用されたとき
    に、前記元のメッセージが前記第2の鍵のメモリ中にコ
    ピーされるが、前記第2のロックのメモリ中にも残るこ
    と、ならびに上述のように伝播した前記元のメッセージ
    が、その宛先、すなわち前記n番目のロックまたは鍵に
    到達するまで続くことを特徴とする方法。
  13. 【請求項13】n番目のロックまたは鍵が、前記元のメ
    ッセージの受信を確認する確証メッセージを生成し、こ
    の確証メッセージが、ロックおよび鍵のメモリ中の元の
    メッセージのコピーの消去を制御する働きをすることを
    さらに特徴とする、請求項11または12に記載の情報
    を伝播する方法。
  14. 【請求項14】確証メッセージが元のメッセージと同様
    にシステム中を伝播すること、および前記確証メッセー
    ジが、前記元のメッセージのコピーをそのメモリが依然
    として含むロックまたは鍵で受信されたときに、これに
    作用する、具体的には前記元のメッセージを消去するよ
    うに働くことをさらに特徴とする、請求項13に記載の
    情報を伝播する方法。
  15. 【請求項15】選択的または全体的タイムアウトの後
    で、前記元のメッセージのコピーが選択的または全体的
    に消去されることをさらに特徴とする、請求項11ない
    し14に記載の情報を伝播する方法。
  16. 【請求項16】元のメッセージまたは確証メッセージあ
    るいはその両方、特に同じロックまたは鍵に関するそれ
    らのメッセージが順序づけられる、具体的には順序番号
    をつけられる、請求項11ないし15に記載の情報を伝
    播する方法。
  17. 【請求項17】より高位の、具体的にはより高い順序番
    号を有するメッセージが伝播中にロックまたは鍵で受信
    されたときに、より低位の、具体的には低い順序番号を
    有する任意のメッセージが各メモリ中で消去されること
    をさらに特徴とする、請求項16に記載の情報を伝播す
    る方法。
  18. 【請求項18】元のメッセージまたは確証メッセージあ
    るいはその両方が、特に共有鍵暗号化方式または公開鍵
    暗号化方式あるいはその両方を使用して完全または部分
    的に暗号化される、請求項11ないし17のいずれか一
    項に記載の情報を伝播する方法。
JP2000009633A 1999-01-28 2000-01-19 アクセス制御システム、鍵、ロックおよび情報伝播方法 Expired - Fee Related JP3485254B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP99101806A EP1024239B1 (en) 1999-01-28 1999-01-28 Electronic access control system and method
EP99101806.0 1999-01-28

Publications (2)

Publication Number Publication Date
JP2000224163A true JP2000224163A (ja) 2000-08-11
JP3485254B2 JP3485254B2 (ja) 2004-01-13

Family

ID=8237455

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000009633A Expired - Fee Related JP3485254B2 (ja) 1999-01-28 2000-01-19 アクセス制御システム、鍵、ロックおよび情報伝播方法

Country Status (10)

Country Link
US (1) US6981142B1 (ja)
EP (1) EP1024239B1 (ja)
JP (1) JP3485254B2 (ja)
AU (1) AU1793400A (ja)
CA (1) CA2323146A1 (ja)
DE (1) DE69924349T2 (ja)
ES (1) ES2236973T3 (ja)
MY (1) MY125905A (ja)
TW (1) TW462173B (ja)
WO (1) WO2000045016A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005515673A (ja) * 2002-01-15 2005-05-26 ユニベルジタト ポリテクニカ デ カタルニヤ ドキュメント発送及び検証方法
JP2007500885A (ja) * 2003-07-18 2007-01-18 コアストリート、 リミテッド 所定の区域へのアクセスの制御
CN104299307A (zh) * 2014-11-11 2015-01-21 国网冀北电力有限公司廊坊供电公司 锁群管理系统

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7822989B2 (en) 1995-10-02 2010-10-26 Corestreet, Ltd. Controlling access to an area
US8015597B2 (en) 1995-10-02 2011-09-06 Corestreet, Ltd. Disseminating additional data used for controlling access
US7716486B2 (en) 1995-10-02 2010-05-11 Corestreet, Ltd. Controlling group access to doors
US8732457B2 (en) 1995-10-02 2014-05-20 Assa Abloy Ab Scalable certificate validation and simplified PKI management
US8261319B2 (en) 1995-10-24 2012-09-04 Corestreet, Ltd. Logging access attempts to an area
US9230375B2 (en) 2002-04-08 2016-01-05 Assa Abloy Ab Physical access control
SE517465C2 (sv) * 2000-03-10 2002-06-11 Assa Abloy Ab Metod för att auktorisera en nyckel- eller låsanordning, elektromekanisk nyckel- och låsanordning och nyckel- och låssystem
CA2324679A1 (en) 2000-10-26 2002-04-26 Lochisle Inc. Method and system for physical access control using wireless connection to a network
EP1321901B1 (de) * 2001-12-21 2010-04-07 Kaba AG Verfahren zur Regelung des Zutrittsregimes zu einem Objekt
AU2003228468B2 (en) * 2002-04-08 2009-10-01 Assa Abloy Ab Physical access control
US9009084B2 (en) 2002-10-21 2015-04-14 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis and network intrusion protection in an industrial environment
US20040107345A1 (en) * 2002-10-21 2004-06-03 Brandt David D. System and methodology providing automation security protocols and intrusion detection in an industrial controller environment
US20040153171A1 (en) * 2002-10-21 2004-08-05 Brandt David D. System and methodology providing automation security architecture in an industrial controller environment
US8909926B2 (en) * 2002-10-21 2014-12-09 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis, validation, and learning in an industrial controller environment
US7657751B2 (en) 2003-05-13 2010-02-02 Corestreet, Ltd. Efficient and secure data currentness systems
EP1636682A4 (en) 2003-06-24 2009-04-29 Corestreet Ltd ACCESS CONTROL
JP2007511983A (ja) 2003-11-19 2007-05-10 コアストリート、 リミテッド 分散委任されたパス発見及び検証
US20050154878A1 (en) * 2004-01-09 2005-07-14 David Engberg Signature-efficient real time credentials for OCSP and distributed OCSP
KR20060123470A (ko) 2004-01-09 2006-12-01 코아스트리트 리미티드 OCSP 및 분산 OCSP를 위한 서명-효율적인RTC(Real Time Credentials)
US20110140838A1 (en) * 2004-02-05 2011-06-16 Salto Systems, S.L. Access control system
ES2253971B1 (es) * 2004-02-05 2007-07-16 Salto Systems, S.L. Sistema de control de acceso.
EP1807788A4 (en) * 2004-08-27 2010-03-31 Honeywell Ltd ACCESS RULES SYSTEM AND METHOD FOR ACCESS CONTROL
AT502458B1 (de) * 2005-03-03 2010-10-15 Evva Sicherheitssysteme Gmbh Zutrittskontrollanlage
WO2007002196A2 (en) * 2005-06-21 2007-01-04 Corestreet, Ltd. Preventing identity theft
US20080077976A1 (en) * 2006-09-27 2008-03-27 Rockwell Automation Technologies, Inc. Cryptographic authentication protocol
US8271642B1 (en) 2007-08-29 2012-09-18 Mcafee, Inc. System, method, and computer program product for isolating a device associated with at least potential data leakage activity, based on user input
EP2043055B1 (en) * 2007-09-28 2020-08-26 iLOQ Oy Lock administration system
US8052060B2 (en) * 2008-09-25 2011-11-08 Utc Fire & Security Americas Corporation, Inc. Physical access control system with smartcard and methods of operating
US8319606B2 (en) 2009-10-29 2012-11-27 Corestreet, Ltd. Universal validation module for access control systems
EP2348490B1 (en) * 2009-12-22 2020-03-04 9Solutions Oy Access control system
EP2821972B1 (en) 2013-07-05 2020-04-08 Assa Abloy Ab Key device and associated method, computer program and computer program product
ES2577882T5 (es) 2013-07-05 2020-03-12 Assa Abloy Ab Dispositivo de comunicación de control de acceso, método, programa informático y producto de programa informático
DE102014105249B4 (de) 2013-12-05 2023-11-02 Deutsche Post Ag Zeitsynchronisation
ES2611784B1 (es) * 2015-11-10 2018-03-05 Jma Alejandro Altuna, S.L.U. Sistema y método de duplicado de elementos de apertura de cerraduras
DE102016104530A1 (de) 2016-03-11 2017-09-14 Huf Hülsbeck & Fürst Gmbh & Co. Kg Verfahren zur Kontrolle des Zugriffs auf Fahrzeuge
FR3073998B1 (fr) * 2017-11-23 2019-11-01 In Webo Technologies Procede numerique de controle d'acces a un objet, une ressource ou service par un utilisateur
AT522608A1 (de) 2019-05-16 2020-12-15 Evva Sicherheitstechnologie Verfahren zum Betreiben eines Zutrittskontrollsystems sowie Zutrittskontrollsystem
CN115226407A (zh) 2019-09-11 2022-10-21 开利公司 通过锁报告的入侵者检测
CN111243135A (zh) * 2020-01-09 2020-06-05 武汉天喻聚联网络有限公司 一种智能锁离线开锁系统
CN111899380A (zh) * 2020-07-07 2020-11-06 广东臣家智能科技股份有限公司 一种智能锁管理方法及智能锁管理系统
FR3132372B1 (fr) 2022-02-03 2023-12-22 Cogelec Procédé de contrôle d’accès à des bâtiments
FR3132373B1 (fr) 2022-02-03 2024-01-05 Cogelec Procédé de contrôle d’accès à des bâtiments
FR3132374B1 (fr) 2022-02-03 2024-02-16 Cogelec Procédé de contrôle d’accès à des bâtiments
EP4332920A1 (en) * 2022-08-30 2024-03-06 dormakaba Schweiz AG Methods and devices for managing access for a managed residential building

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4677284A (en) * 1985-08-22 1987-06-30 Genest Leonard Joseph Multi-access security system
US6822553B1 (en) * 1985-10-16 2004-11-23 Ge Interlogix, Inc. Secure entry system with radio reprogramming
US4887292A (en) * 1985-12-30 1989-12-12 Supra Products, Inc. Electronic lock system with improved data dissemination
US4837822A (en) * 1986-04-08 1989-06-06 Schlage Lock Company Cryptographic based electronic lock system and method of operation
US4800255A (en) * 1986-08-22 1989-01-24 Datatrak, Inc. Electronic access card with visual display
JPH01299972A (ja) 1988-05-25 1989-12-04 Mirai Biru Kenkyu Kaihatsu Kk 入退室管理方式
JP2559520B2 (ja) 1990-03-26 1996-12-04 株式会社日立製作所 出入管理方法および出入管理システム
US6005487A (en) * 1990-05-11 1999-12-21 Medeco Security Locks, Inc. Electronic security system with novel electronic T-handle lock
US5204663A (en) 1990-05-21 1993-04-20 Applied Systems Institute, Inc. Smart card access control system
US5506575A (en) * 1991-09-25 1996-04-09 Ormos; Zoltan S. Key-lock system and method using interchange of system-originated codes
JP2894515B2 (ja) * 1992-01-09 1999-05-24 シュプラ プロダクツ インコーポレイテッド 無線通信を用いた安全立入管理システム
US6552650B1 (en) * 1992-02-14 2003-04-22 Asil T. Gokcebay Coin collection lock and key
NL9300566A (nl) * 1993-03-31 1994-10-17 Nedap Nv Toegangsverleningssysteem met decentrale autorisaties.
US5485628A (en) * 1993-06-23 1996-01-16 Clements; Jay S. Renewal management system
US5397884A (en) * 1993-10-12 1995-03-14 Saliga; Thomas V. Electronic kay storing time-varying code segments generated by a central computer and operating with synchronized off-line locks
US5749253A (en) * 1994-03-30 1998-05-12 Dallas Semiconductor Corporation Electrical/mechanical access control systems and methods
JPH07233663A (ja) 1994-02-23 1995-09-05 Citizen Watch Co Ltd 電子錠システム
US5629981A (en) * 1994-07-29 1997-05-13 Texas Instruments Incorporated Information management and security system
US5709114A (en) * 1994-11-21 1998-01-20 Mas-Hamilton Group Keypad entry electronic combination lock with self-generated combination
FR2747813B1 (fr) 1996-04-19 1998-06-05 Poste Systeme securise de controle d'acces permettant l'invalidation automatique de cles electroniques volees ou perdues et/ou le transfert d'habilitation a produire des cles
AU5687798A (en) * 1996-12-03 1998-06-29 E.J. Brooks Company Programmable lock and security system therefor
FR2760281B3 (fr) * 1997-03-03 1999-05-14 Working Services Procede de gestion electronique d'acces et cle a puce adaptee
US6212635B1 (en) * 1997-07-18 2001-04-03 David C. Reardon Network security system allowing access and modification to a security subsystem after initial installation when a master token is in place
US6318137B1 (en) * 1998-04-08 2001-11-20 David Chaum Electronic lock that can learn to recognize any ordinary key
US6347375B1 (en) * 1998-07-08 2002-02-12 Ontrack Data International, Inc Apparatus and method for remote virus diagnosis and repair

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005515673A (ja) * 2002-01-15 2005-05-26 ユニベルジタト ポリテクニカ デ カタルニヤ ドキュメント発送及び検証方法
JP2007500885A (ja) * 2003-07-18 2007-01-18 コアストリート、 リミテッド 所定の区域へのアクセスの制御
CN104299307A (zh) * 2014-11-11 2015-01-21 国网冀北电力有限公司廊坊供电公司 锁群管理系统
CN104299307B (zh) * 2014-11-11 2016-08-31 国网冀北电力有限公司廊坊供电公司 锁群管理系统

Also Published As

Publication number Publication date
DE69924349T2 (de) 2006-02-09
US6981142B1 (en) 2005-12-27
EP1024239A1 (en) 2000-08-02
AU1793400A (en) 2000-08-18
JP3485254B2 (ja) 2004-01-13
CA2323146A1 (en) 2000-08-03
WO2000045016A1 (en) 2000-08-03
DE69924349D1 (de) 2005-04-28
EP1024239B1 (en) 2005-03-23
MY125905A (en) 2006-08-30
ES2236973T3 (es) 2005-07-16
TW462173B (en) 2001-11-01

Similar Documents

Publication Publication Date Title
JP3485254B2 (ja) アクセス制御システム、鍵、ロックおよび情報伝播方法
US6920559B1 (en) Using a key lease in a secondary authentication protocol after a primary authentication protocol has been performed
EP1488387B9 (en) Method and system for performing post issuance configuration and data changes to a personal security device using a communications pipe.
US7016499B2 (en) Secure ephemeral decryptability
JPS63226149A (ja) 通信システム
US20030115251A1 (en) Peer data protocol
GB2406762A (en) Ephemeral key system which blinds a message prior to forwarding to encryption/decryption agent with function which can be reversed after en/decryption
JPS63226144A (ja) メッセージ伝送方法
Studer et al. Mobile user location-specific encryption (MULE) using your office as your password
KR20030010667A (ko) 다수의 서버를 사용하는 리모트 패스워드 인증을 위한시스템, 방법 및 소프트웨어
US20060059347A1 (en) System and method which employs a multi user secure scheme utilizing shared keys
JP2005525731A (ja) 物理アクセス制御
Aura et al. Towards a survivable security architecture for ad-hoc networks
CN101983493A (zh) 确保家用网络中的通信安全的方法及其装置
US20040049676A1 (en) Methods and protocols for intrusion-tolerant management of collaborative network groups
JP3798608B2 (ja) 認証方法
Chan et al. On applying SIP security to networked appliances
Zhuge et al. Security mechanisms for wireless home network
Jehangir et al. Securing personal network clusters
JP2003301640A (ja) 個人認証システム及びセキュリティ鍵の遠隔制御システム並びに宿泊施設の利用システム及び住宅物件の下見管理システム
JP7433620B1 (ja) 通信方法、通信装置及びコンピュータプログラム
Coulouris et al. Secure Communication in Non-uniform Trust Environments.
Kong et al. ESCORT: a decentralized and localized access control system for mobile wireless access to secured domains
KR20230162206A (ko) Nft의 제어 방법 및 이를 위한 컴퓨팅장치
Kang et al. Design of Public key based Mutual Authentication Protocol for Public Facility Management

Legal Events

Date Code Title Description
R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees