EP4704057A1 - Verfahren zum ändern einer konfiguration einer sperrvorrichtung - Google Patents
Verfahren zum ändern einer konfiguration einer sperrvorrichtungInfo
- Publication number
- EP4704057A1 EP4704057A1 EP24197034.2A EP24197034A EP4704057A1 EP 4704057 A1 EP4704057 A1 EP 4704057A1 EP 24197034 A EP24197034 A EP 24197034A EP 4704057 A1 EP4704057 A1 EP 4704057A1
- Authority
- EP
- European Patent Office
- Prior art keywords
- key
- locking device
- command
- locking
- computing unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00817—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00571—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00857—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the data carrier can be programmed
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00817—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed
- G07C2009/00841—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed by a portable device
Definitions
- the present invention relates to a method for changing the configuration of an electromechanical locking device after the locking device has been put into operation. Changing the configuration of the locking device involves, in particular, a firmware update of the locking device or a decommissioning of the locking device.
- the present invention further relates to a key for carrying out the method according to the invention, a locking unit comprising a key according to the invention and the locking device, a locking system, and a security system comprising multiple locking systems.
- EP 2 821 970 A1 This reveals a locking system used to update access rights for a lock cylinder.
- Information for updating the locking mechanism is sent from a remote processing unit to a physical key via a mobile device.
- the mobile device plays an active role, for example, by allowing the validity period of a key to be extended. Since mobile devices are susceptible to manipulation, the security of the locking system can be compromised in the event of such manipulation.
- WO2024/083878 A1 The document also discloses a locking system that can be used to activate a locking device. It does not disclose how the locking system can perform configuration changes after activation.
- the object of the present invention is to provide a method, a key, a locking unit, a locking system and a security system with which configuration changes can be carried out in a particularly secure manner.
- Changing the configuration is considered maintenance of the locking device. This can also be referred to as "maintenance.” Therefore, it is a configuration change that relates to the function of the locking device itself. Thus, the configuration change does not relate to individual components. Access permissions or an update to a whitelist or blacklist that may be stored in the locking device.
- this involves a digital configuration change of the locking device.
- Changing the configuration of the locking device could involve, for example, a firmware update or a decommissioning of the locking device. Additionally or alternatively, changing the configuration of the locking device could involve modifying cryptographic information stored within the locking device.
- the invention has the advantage that the decision as to whether a change to the electronic configuration of the locking device is made by the processing unit, and in particular, exclusively by the processing unit.
- the processing unit also determines which key of the locking device's security system is to command the configuration change.
- a change to the locking device's configuration can only be achieved via the processing unit.
- a particularly secure method is chosen for implementing the configuration change.
- the device serves merely as a communication aid to transmit the command from the processing unit to the key, or possibly additionally for a security check or a query to the processing unit.
- the key in question (unlike conventional devices such as mobile phones) is a device used only within the locking system and can therefore be designed to be particularly secure.
- the mobile key can be transported by a keyholder to the locking device to perform the configuration change. This establishes a secure communication path from the processing unit, which is often located far away, to the locking device. After the configuration change is initiated by the computing unit, the process then runs largely or completely automatically.
- the key preferably comprises a key shaft.
- the key shaft can be inserted into the locking device, preferably into a keyway of the locking device.
- the key and key shaft are preferably designed such that torque can be transmitted to the locking device via the key shaft.
- the mechanical movement of the locking device is thus preferably effected by the key.
- the key in particular via the key shaft, establishes an electrical connection to the locking device.
- the connection can be wireless or wired.
- the key and the locking device comprise for this purpose Corresponding transmission devices.
- “Wired” also referred to as non-wireless means that the connection is made via at least one conductor in the key that can be electrically connected to a locking device electronics.
- the key and the locking device can include corresponding electrical contacts as transmission devices.
- connection can be used to transmit digital data.
- the connection can correspond to the first communication link.
- the key is designed to communicate electronically with the locking device.
- the transmission devices make it possible to transfer electrical energy (also referred to as electric current) from the key to the locking device.
- the key includes an electronic device.
- This electronic device may include a processor and/or electronic memory.
- the key ID may be stored in the electronic device.
- the key ID is a unique electronic identifier for the key, such as a serial number.
- the electromechanical locking device is preferably a lock cylinder, in particular a double or half cylinder, a furniture cylinder, a padlock, or a similar device.
- the electromechanical locking device designed as a lock cylinder, can be inserted into a lock (for example, a mortise lock) on a door as a possible locking element.
- the padlock can, for example, be mounted on a door.
- the locking device can be mounted on or in various locking elements, such as gates, drawers, barriers, etc.
- the locking device preferably comprises an electromechanical actuator and a driver.
- the electromechanical actuator can be controlled by the locking device's electronics to move the driver from a non-rotating to a rotatable state.
- the locking device's electronics can include a processor and/or electronic memory.
- the locking device only activates the actuator during operation if access authorization exists.
- This access authorization is digital information that is verified in the key and/or the locking device before the The locking device activates the actuator.
- the access authorization is stored in the key's memory.
- the key is free of mechanical coding.
- the key and/or the locking device only check electronically, in particular based on access authorization, whether the actuator should be activated. Therefore, the key is preferably an electronic key.
- the locking device may include a locking device ID.
- the locking device ID is a unique electronic identifier for the locking device, such as a serial number.
- the locking device ID is preferably stored in the locking device's memory.
- the device is preferably a mobile device, in particular a smartphone, tablet, or laptop.
- the device can also be a terminal that is mounted in or on the building, for example, on the wall, and is used for room and/or building control.
- the device preferably belongs to exactly one key holder.
- the device is able to establish a connection to the internet and/or a telecommunications network.
- the device can communicate with the computing unit via the internet or the telecommunications network as a third communication link.
- the device and the computing unit can include corresponding transmitting and receiving units.
- the computing unit can be located anywhere. In particular, it is intended that the device communicates wirelessly with the computing unit, especially via the internet or a telecommunications network.
- the computing unit can, for example, be a server.
- the server can also be provided virtually, especially as a cloud server or as a virtual area of a cloud server.
- a database is stored in the computing unit.
- the computing unit thus comprises at least one electronic memory. Preferably, information about which key has been selected to execute the command to change the electronic configuration of the locking device is stored in the electronic memory.
- the computing unit can comprise at least one processor.
- the computing unit can include an input/output device with which, for example, an administrator can operate the computing unit.
- the processing unit can store a digital representation of the key and/or a digital representation of the locking device.
- digital representation refers to a virtual representation of the key or locking device that is stored electronically in the processing unit.
- the representation can contain information about the physical key or the physical locking device. The information that the key has been selected to execute the command to change the electronic configuration of the locking device can be stored in the digital representation of the key.
- the device includes input means; for example, a keyboard and/or a touchscreen. More preferably, the device includes output means; for example, a screen, in particular a touchscreen, and/or a loudspeaker.
- the device preferably comprises electronics. The electronics serve, in particular, to process inputs to the input means and/or to display a message on the output means and/or to communicate with the processing unit and the key.
- the electronics may include memory.
- the device is designed to communicate with the locking element via a communication link, preferably wireless, such as NFC, Bluetooth Low Energy, or Ultra Wide Band.
- the second communication link is therefore preferably a short-range wireless communication link.
- the device and the key can include corresponding transmitting and receiving devices.
- the command message in step a) is thus received via the second and third communication links.
- the first communication link, the second communication link and the third communication link are bidirectional.
- Establishing the second communication link between the device and the key may require an action on the key.
- the key may include a button, and pressing this button is necessary to establish communication via the second wireless link.
- the transfer or being transferred of electronic or digital data includes data transmission according to the push or pull principle, or polling.
- Receiving data involves transferring it from the receiving end.
- firmware update refers specifically to a process in which the firmware stored in the locking device is replaced or updated with a newer firmware version.
- Firmware is a special type of software embedded in the locking device's hardware that controls its functions.
- decommissioning refers in particular to a process at the end of which the locking device no longer contains any sensitive data of the locking system in which the locking device was used.
- the locking system contains several locking devices. Furthermore, the locking system employs a specific access authorization concept. For example, multiple authorized users can be assigned to the locking system, with each authorized user having access to one or more of the locking devices.
- an assignment is understood in particular to mean a logical assignment.
- Access rights can be divided into authorization groups.
- the locking system might apply to an apartment building.
- One authorization group could be for the building manager, who is permitted to lock all doors except those on individual apartments.
- Another authorization group could be for the apartment owners, who are allowed, for example, to lock the doors on the building's main entrance and their own apartments.
- the locking system might affect critical infrastructure.
- One authorization group can unlock locking devices that secure a physical area or infrastructure device with a specific security level.
- Another authorization group is not permitted to unlock these locking devices, but only those that do not secure an area or infrastructure device with that security level.
- the locking system comprises several locking devices that are assigned to, in particular, a locking system owner, e.g., a housing company, a critical infrastructure operator, facility manager or property manager.
- a locking system owner e.g., a housing company, a critical infrastructure operator, facility manager or property manager.
- a locking system is additionally or alternatively characterized by the fact that it includes at least one list of blocked access authorizations and/or blocked keys, referred to as a blacklist.
- the blocked access authorizations and/or blocked keys may relate to one or more locking devices of the locking system.
- the at least one blacklist is preferably limited to a single locking system. In other words, different locking systems are distinguished by their respective blacklists.
- the locking system can additionally or alternatively be characterized by the fact that it incorporates its own encryption information, e.g., its own encryption key and/or its own encryption algorithm.
- This encryption information can also be referred to as cryptographic information and/or the encryption key as a cryptographic key.
- different locking systems primarily differ in their encryption information.
- Decommissioning the locking device can include resetting it to factory settings.
- decommissioning the locking device can involve deleting the cryptographic information of the locking system stored in the locking device.
- activation is achieved using cryptographic information that is stored in the locking device during its manufacture. This allows the electromechanical actuator of the locking device to be activated by any mechanically compatible key from the same manufacturer or by any mechanically compatible key of the security system.
- the locking device is deactivated with respect to the locking system.
- Decommissioning the locking device ensures that it can be reused in another locking system, provided the locking device itself is functional.
- Decommissioning the locking device may include deactivating the digital representation of the locking device, including the locking device ID, from the locking system.
- digital information linking to the digital representation of the locking device and/or digital information restricting the locking device's use to a single locking system may be deactivated or deleted from the locking device.
- the decommissioning of the locking device may include the physical removal of the locking device at its installation location.
- the command message received by the key in step a) is a digital message. Specifically, the command message was generated by the processing unit.
- the command message contains digital information that enables the key to instruct the correct locking device to make the correct configuration change.
- the command itself is part of the command message.
- the command preferably contains digital information that enables the key to instruct the correct locking device to make the correct configuration change.
- a mandatory prerequisite for the key to receive the command message is that at least one criterion is digitally stored in the processing unit.
- the processing unit uses this criterion to select at least one, preferably several, keys to command the locking device to change its configuration and thus become the recipients of the command message.
- one criterion could be the type of configuration change. Since a firmware update closes a security vulnerability, whereas decommissioning a locking device poses a security risk, more keys in the locking system may be authorized to perform a firmware update than a decommissioning. In particular, for example, all keys in the locking system could be selected to perform a firmware update. An additional or alternative criterion could be membership in the locking system.
- the procedural step b), in which the key commands the configuration change of the locking device, may depend on at least one condition. For example, the locking device and the key must first verify each other.
- the locking device and the key verify themselves before the electronic configuration is changed, in particular by means of cryptographic information from the locking system.
- the locking device executes the command. It may be stipulated that the locking device only executes the command if at least one prior check has been successfully completed. For example, it is checked whether the command is not outdated. Additionally or alternatively, it can be checked whether the key transferring the command is listed on the blacklist stored in the locking device.
- the "command” in step b) can involve the key transferring the received digital command to the locking device.
- the key can modify the command before transferring it.
- the key can change the encryption of the command. It can also omit or add information to the command.
- the key before transferring the command, the key can generate at least one digital key-command message, which it can use to instruct the locking device to execute the configuration change.
- the term "one key-command message" is used below, even though this may involve multiple digital messages.
- the correct selection of the key can be reflected in the fact that the command is included in the command message, which contains the key ID.
- the secure transfer of the command to the key can be reflected in the fact that the command is unreadable by the device. In particular, the command is encrypted in such a way that the device cannot read it.
- each key is assigned to exactly one locking system.
- Each key of the locking system is preferably assigned to exactly one user, who is referred to as the key holder. In one embodiment of the invention, each key holder is also assigned only exactly one key. In an alternative embodiment of the invention, several keys can be assigned to one key holder. If several keys are assigned to one key holder, each of the several keys preferably belongs to a different locking system.
- the computing unit stores an association between a key holder's identifier and the key's digital representation. Additionally or alternatively, it may be provided that the computing unit stores an association between a key holder's identifier and the key's ID. An association can also be understood as a digital link or assignment of the key holder's identifier to the key's digital representation and/or the key ID.
- a key holder's identifier could be, for example, a name or a key holder ID.
- the procedure includes the following step: Enabling the selection of the key as the recipient of the command message depending on an authorization role of the key holder as a stored criterion.
- the term authorization role refers to a type of authorization assigned to a key holder in a locking system.
- the authorization role determines which actions the key holder is permitted to perform with the key.
- one authorization role might correspond to an authorized user.
- the authorized user can use the key to activate the actuator, thereby gaining access to a room.
- Another authorization role might correspond to a picker.
- the picker can decommission and commission (activate) locking devices.
- An optional additional authorization role can correspond to a firmware installer.
- the firmware installer can update the firmware of the locking device.
- the firmware installer does not have its own authorization role. For example, it could be stipulated that every key holder is allowed to update the firmware of the locking device. Alternatively, it could be stipulated that only the order picker is allowed to update the firmware of the locking device.
- a picker and, if applicable, a firmware installer do not need access permissions. However, a picker may have access permissions.
- the authorization roles "Authorized Access Person”, “Order Picker” and, if applicable, “Firmware Installer” are authorization roles of key holders who allow their keys to interact with the locking devices of the locking system.
- the locking system can provide at least one user role for administrative tasks.
- This user role can correspond to an administrator.
- the administrator is authorized to initiate the transfer of a command from the processing unit to the key.
- the administrator is authorized to digitally create users, keys, and/or locking devices in the processing unit.
- the administrator is authorized to assign authorization roles to key holders.
- the administrator is authorized to grant access permissions.
- the firmware updater could be, for example, a service technician from the manufacturer whose sole right is to roll out a firmware update.
- the firmware updater can, for example, select the locking devices that require a firmware update.
- An additional, optional authorization and/or user role can be assigned to a locking system owner.
- the locking system owner can add an administrator to the locking system.
- the authorization role for performing a decommissioning has more privileges than the authorization role for performing a firmware update.
- a commissioner has more privileges than an authorized access user or, if applicable, a firmware installer. For example, an authorized access user is not permitted to commission or decommission locking devices.
- key holders regardless of their authorization role, should each possess the same key structure. This means that the keys of key holders with different authorization roles have the same mechanical structure. Which commands the key may receive, or which commands the processing unit transmits to the key, depends solely on the authorization role of the key holder stored in the processing unit.
- a digital association of the key holder's identifier with an authorization role of the key holder is stored electronically in the computing unit.
- the process step of enabling key selection based on authorization role is preferably performed by the processing unit.
- “Enabling” here means that the processing unit automatically checks whether a key is authorized to modify the electronic configuration of the locking device. For example, the processing unit knows which locking device is to undergo which configuration change. For instance, an administrator has selected at least one key that is to receive the command to modify the electronic configuration of the locking device. The processing unit can then check whether the key selected by the administrator corresponds to the required authorization role. Since each key is assigned to exactly one key holder, the administrator can select the key holder who is to perform the configuration change of the locking device instead of the key itself, and the processing unit checks whether the key holder corresponds to the required authorization role.
- the processing unit does not generate a command message for the key.
- the processing unit can limit the selection of keys eligible to receive the command message.
- the computing unit can display only the keys or assigned key holders with the appropriate authorization role for selection on the output device to the administrator. This can also result in limitations.
- the procedure includes the following step: Automated suggestion or automated execution of the selection of at least one key depending on the authorization role of the key holder.
- This process step is preferably performed by the computing unit.
- the computing unit can not only enable the selection of the key depending on the authorization role, but also play a more active role, namely proposing at least one key or key holder with the appropriate authorization role, particularly to an administrator. The proposal can then be accepted or rejected, especially by the administrator.
- the computing unit can itself fully execute the process of selecting at least one key that is to instruct the locking device to change its configuration.
- the computing unit can optionally make the suggestion or the selection itself based on further criteria. For example, the computing unit can consider a work schedule or the key holder's location.
- An application i.e., a software application, may be installed on the device. This application is particularly necessary to transfer the command and/or command message from the processing unit to the key.
- the application is typically a mobile app.
- the key holder must authenticate themselves within the application. This can be done, for example, by entering a password or PIN code, or by using biometric authentication. This authentication can be provided in addition to the authentication used to log into the device.
- the key can only receive the command if the key holder has authenticated themselves in an application on the device. Specifically, the key holder must have authenticated themselves in the application, the application must be open, and the key and the device must be communicating simultaneously via the second communication link. This ensures that the key holder-key mapping, which is crucial for secure procedures, is maintained locally at the device. This can be particularly important if the command or command message is initially stored in the device and only transferred to the key after the communication link between the processing unit and the device has been closed.
- the locking system in particular the processing unit, stores which key holder authenticated themselves when the key received the command message from the device.
- This information is stored, in particular, in the digital representation of the key and/or the locking device, preferably in the representation of the key itself.
- the device can include transfer information. This transfer information is used to transmit the command message to the device.
- the transfer information can, for example, correspond to the device's IP address or mobile phone number.
- the transfer information is stored electronically in the processing unit as an associated key holder and/or key.
- the key holder's identifier and/or the digital representation of the key can be associated with the transfer information.
- the processing unit can be configured to transfer the command message only to the device whose assigned key holder or key has been selected to initiate the configuration change of the locking device. Thus, the command message is only transferred to the device of the key holder whose key has been selected to receive the command message.
- the key can only receive commands or command messages belonging to the key holder currently authenticated in the application.
- the device can digitally query the processing unit to determine whether the currently authenticated key holder is associated with the key currently in communication with the device. The processing unit can then verify whether the key holder's identifier is associated with the key ID and stored within it. If the processing unit confirms the association, the key can receive the command; otherwise, communication between the device and the key is interrupted.
- the association of the key holder's identifier with the key ID can also be stored in the device for at least a predetermined period. If the device is not in communication with the processing unit, the association stored in the device can be used to determine whether the key is permitted to receive the command.
- the key only receives the commands or command messages intended for that specific key from the device.
- the device or key can only select command messages stored on the device that include the key ID of the key currently communicating with the device. If a key holder... Since only exactly one key is assigned to each device, the key can preferably receive all commands or command messages stored in the device when the second communication link between the device and the key is established.
- the key is designed so that it only commands the locking device to change its configuration according to step b) if the key has previously received the corresponding command to change the locking device's configuration from the processing unit in step a).
- the processing unit it is not possible to change the locking device's configuration locally without involving the processing unit. Rather, it is always necessary for the processing unit to transfer the command to the key in step a). That is, only the mandatory sequence of steps a) and b) leads to a configuration change of the locking device.
- the command is encrypted in such a way that only the key selected to receive the command to change the configuration of the locking device according to step a) can decrypt the command.
- the key automatically commands the configuration change upon its next communication with the locking device.
- “Automatically” here means that the key commands the configuration change to the locking device without requiring any action from the key holder on the device. Rather, it is sufficient for the key holder to insert the key into the locking device.
- the condition can be checked before step b).
- the key and the locking device can mutually verify each other before step b). It is also conceivable that after step b), the locking device performs at least one check before implementing the configuration change.
- the key can automatically initiate the configuration change upon its next communication with the locking device.
- an update of the cryptographic information can be performed automatically upon the key's next communication with the locking device.
- decommissioning the locking device poses a security risk. This can be addressed, as mentioned above, by allowing key holders with the commissioner role to decommission the locking device, but not authorized personnel or, if applicable, firmware installers.
- firmware updates may preferably be performed by order pickers, authorized personnel, and, if applicable, firmware installers.
- the procedure may differ on site at the locking device.
- the key can automatically command the execution of the configuration change upon the next communication between the key and the locking device.
- step b) can only be performed after input at the device's input device.
- an additional action by the key holder is required.
- the key holder must authenticate themselves in the application, and the second communication link between the key and the device must be established.
- the key holder must input a decommissioning release into the device using the input device. The device then receives the decommissioning release.
- the decommissioning release generates an additional command which is transferred to the key.
- the key holder may be required to press a decommissioning button displayed on the device's output device.
- the decommissioning button appears only after authentication in the application.
- a locking device name and/or the locking device ID may be displayed on the output device, requiring the key holder to authorize the decommissioning of the displayed locking device. If the key holder wishes to decommission multiple locking devices, they can select and authorize one from a list of possible devices to be decommissioned.
- the key is in communication link with both the locking device and the device when decommissioning takes place.
- the command message is received by the key along with the command.
- the command message includes the key ID.
- the command is not readable by the device.
- the command can be embedded in the electronic command message.
- the command can be formatted in a way that is unreadable to the device.
- the command is encrypted in such a way that only one key, specifically only the selected key that received the command, can decrypt it.
- the command message can include a portion that is readable by the device.
- the command message's metadata is readable by the device. It may be intended that only the metadata is readable by the device.
- the command message includes the key ID of the key.
- command messages can only be transferred to the key if the key ID of the command message and the key match.
- the key can only decrypt command messages if the key ID of the command message and the key match.
- the command message in particular the command, includes the locking device ID of the locking device, preferably a list of several locking device IDs on which the electronic configuration change is to be carried out.
- the command includes the locking device ID of the locking device. This ensures that the locking device ID is included in the part of the command message that is unreadable by the device. If several locking devices are to undergo the same electronic configuration change for the same key, the command message, and in particular the command itself, may include a list of the corresponding locking device IDs.
- the selection of which locking device is to undergo the electronic configuration change can only be received by the processing unit.
- the selection of the locking devices is performed in the processing unit, possibly with the involvement of an administrator or firmware updater.
- the selection of the at least one locking device for which the configuration change is to be made can be performed in the The computing unit must be stored. It is always preferable that the decision to change the configuration of the locking device is made by the computing unit, possibly with the involvement of an administrator or firmware updater, and that a corresponding command is transferred from the computing unit to the key.
- the command message may contain information about the type of configuration change.
- the command message, and especially the command specifies, for example, whether a decommissioning of the locking device, a firmware update of the locking device, or, if applicable, an update of the locking device's cryptographic information is to be performed.
- the command includes information about the type of configuration change. This places this information in the part of the command message that is unreadable by the device.
- the command may include a configuration change number.
- the configuration change number could be a sequential number for each type of configuration change.
- a chronological sequence of commands transferred by the processing unit can be tracked. This allows the interlock device to check, as a verification step, whether the command is outdated or not.
- the interlock device may store the corresponding configuration change number after the configuration change has been executed.
- the information about the type of configuration change and/or the configuration change number is included in the key command message.
- the locking device only performs the configuration change if the configuration change number received from the key is greater than the configuration change number stored in the locking device.
- the locking device preferably reports the execution of the command back to the processing unit via the key and the device.
- the processing unit stores information about the changed configuration in the digital representation of the locking device. It may be provided that the processing unit stores the successful execution of the command in the digital representation of the key that performed step b).
- a command with the same information about the type of configuration change and/or the same configuration change number and/or the same locking device ID can be transferred to multiple keys.
- the command can be encrypted differently for different keys.
- the command can be embedded in different command messages that differ at least by their respective key IDs.
- each of the multiple keys to which the processing unit has transmitted a command for the same configuration change of the same locking device receives a message from the processing unit instructing them not to execute the command.
- the keys can then delete or deactivate the command.
- Such a message could, for example, be sent during the next key update.
- the key decrypts the command before performing step b). This minimizes the time between inserting the key into the locking device and the configuration change being implemented.
- the key can also check whether the command message, particularly the command itself, has been received incorrectly. In case of incorrect reception, the key can report the error to the processing unit via the device, whereupon the key receives the command again from the processing unit via the device. Because this process can occur before the key is inserted into the locking device, time is saved after the key is inserted.
- information for the output device is transmitted from the processing unit to the device in a separate transfer from the command message.
- This information can include, for example, which configuration change and/or at which locking device the configuration change is to be performed.
- the separate The transfer can be done, for example, via a separate email or a separate text message.
- the command message can include a firmware update data package if the configuration change corresponds to a firmware update.
- the firmware update data package can also be included in the command message.
- the firmware update data package is encrypted and can be decrypted by the locking device. Even more preferably, the firmware update data package cannot be decrypted by the device. It can be provided that the firmware update data package cannot be decrypted by the key.
- the key can only store one firmware update data package at a time.
- This firmware update data package can include a firmware version number. It can be configured that the firmware update is only performed by the locking device if the received firmware version number is higher than the firmware version number stored in the locking device.
- the firmware version number stored on the locking device is stored in the digital representation of the locking device in the computing unit, whereby the computing unit automatically suggests or selects at least one locking device based on the stored firmware version number on which the firmware update is to be carried out.
- the key can decommission itself.
- the key receives a decommissioning command from the computing unit via the device.
- the key can only decommission itself if it has received the decommissioning command from the computing unit.
- the key decommissioning command is preferably encrypted.
- the key decommissioning command is unreadable by the device.
- the key decommissioning command is decryptable by the key, and especially only by the key, that is to be decommissioned.
- a key decommissioning command message can include the command to decommission the key.
- the key decommissioning command message can include the key ID of the key to be decommissioned.
- the key decommissioning command message, in particular the command itself, can contain information that the key is to be decommissioned.
- the key decommissioning command message in particular The key decommissioning command can include a configuration change number.
- the key executes the key decommissioning command only if a stored configuration change number is less than the configuration change number of the received key decommissioning command.
- the key decommissioning command message is transferred from the computing unit to the key via the device.
- key decommissioning preferably does not require the key decommissioning command message to be transferred to the key via the device of the key holder, who also holds the necessary authorization role.
- the computing unit can transfer the key decommissioning command via the device of the corresponding key holder or via another user who holds the authorization role that permits key decommissioning. This allows keys to be decommissioned even if no key holder capable of performing the decommissioning is assigned to them. For example, the key holder may have changed employers or become ill.
- the key is trained to decommission itself when the key receives a command to decommission the key from the computing unit via the device, whereby the command to decommission the key can be received from a device of the key holder or from a device of another user with the required authorization role.
- the user with the necessary authorization role to decommission the key is, for example, the order picker.
- the object of the invention is also achieved by a locking unit.
- the locking unit comprises the key according to the invention and a locking device.
- the key is configured as disclosed in the description and/or claimed in claims 7 to 12.
- the locking device is configured to receive an electronic configuration change command from the key and to execute the configuration change.
- the locking device is specifically designed to only perform the configuration change if the locking device and the key have previously verified each other, in particular through cryptographic information from the locking system.
- the locking device can preferably be configured to perform the configuration change only if the key that commanded the locking device to change the configuration is not on the blacklist.
- the blacklist is stored electronically in the locking device.
- the locking device only performs the configuration change if the configuration change number received in step b) is greater than a configuration change number stored in the locking device.
- the locking device receives the firmware update data packet in step b).
- the locking device is preferably configured to decrypt the encrypted firmware update data packet. It can be provided that the locking device only performs the firmware update if the firmware version number of the received firmware update data packet is higher than a firmware version number stored in the locking device.
- the locking device is preferably configured to activate the received firmware update data packet.
- the locking device is preferably configured to delete the cryptographic information of the locking system after step b).
- the locking device is configured to activate the cryptographic information that is stored in the locking device during its manufacture.
- the locking device upon decommissioning of the locking device, is configured to delete digital information, for example, a code that assigns the locking device to its digital representation.
- the locking device may be configured to generate digital information that enables its assignment to a digital representation in another locking system.
- the locking device upon decommissioning the locking device, is configured to delete digital information, for example, a code that assigns the locking device to a locking system. Alternatively or additionally, upon decommissioning the locking device, it may be configured to generate digital information that enables assignment to a different locking system.
- the object of the invention is also achieved by a locking system.
- the locking system comprises at least one key according to the invention.
- the key is designed as specified in the description and/or as specified in claims 7 to 12.
- the locking system comprises several locking devices.
- the locking devices are designed in particular as described in this disclosure and/or as disclosed in claims 13 and 14 with respect to the locking unit.
- the locking system can include multiple keys, particularly for authorized personnel.
- the locking system includes at least one key capable of reconfiguring the locking device according to steps a) and b).
- the locking system preferably includes at least one key belonging to a picker.
- the locking system can also include multiple keys capable of reconfiguring the locking device according to steps a) and b).
- the locking system comprises the computing unit.
- the computing unit is configured to communicate with the device, particularly wirelessly. Communication takes place, in particular, via the internet or the telecommunications network.
- the computing unit stores the selection of a key ID for at least one key to execute the command to change the electronic configuration of the locking device.
- the computing unit also stores at least one criterion for selecting the key that is to recommend the configuration change of the locking device.
- the computing unit is configured to transfer the command to change the electronic configuration of the locking device to the device.
- the computing unit is configured, in particular, as described in this disclosure. Specifically, the computing unit is configured to perform the method according to claim 2 or 3.
- the computing unit can thus be configured, for example, as the server, in particular as the cloud server or a virtual area of a cloud server.
- the database containing digital data of the locking system is stored in the computing unit.
- the computing unit thus comprises at least the electronic memory and/or the processor.
- the digital representations of the keys and/or the locking devices of the locking system are stored in the electronic memory. It can be provided that the computing unit contains an association between the key holder's identifier and the digital representation of the key and/or the key ID.
- the authorization roles of the key holders are stored in the computing unit and digitally associated with the key holder's identifier.
- the computing unit can include the input and output device with which, for example, the administrator can operate the computing unit.
- the input device can, for example, comprise a keyboard or a touchscreen.
- the output device can, for example, comprise a screen.
- the process step of enabling key selection based on the authorization level is preferably performed by the computing unit.
- the computing unit automatically suggests or executes the selection of at least one key based on the key holder's authorization role. If a configuration change of the locking device is required, the computing unit can output the key holder or the key assigned to the key holder, preferably multiple key holders or their assigned keys, to the output device for execution of the configuration change. The output device then displays only the key holder(s) corresponding to the authorization role. to be authorized to make configuration changes.
- the selection of key holders can be confirmed by input at the input device, particularly by the administrator.
- the computing unit can automatically select the key(s) based on the authorization roles of the assigned key holders who are to receive the configuration change command.
- the processing unit can select which locking devices require a firmware update from the digital representations. To do this, the processing unit can compare the firmware version number installed on the locking devices and stored in their digital representations with the firmware version number of the firmware update data package. The processing unit can then suggest the appropriate locking devices for the firmware update, or automatically select them, particularly to the administrator and/or the firmware updater.
- the processing unit can receive an electronic request for permission to perform a configuration change on the locking device.
- the request preferably includes the locking device ID of the locking device whose configuration is to be changed and the key ID of the key that is to command the configuration change to the locking device. If the processing unit receives the request for permission to perform a configuration change on the locking device via the key, it can automatically check whether the key holder of the key whose key ID is included in the request has the required authorization role. If this is not the case, the processing unit can automatically terminate the request and not send a corresponding command to the key. If the key holder has the required authorization role, the processing unit can propose, in particular to the administrator, that the configuration change be performed on the output device. The proposal can be accepted or rejected via the input device, in particular by the administrator. Alternatively, the processing unit can automatically initiate the configuration change and transfer a corresponding command to the key.
- the computing unit can suggest the key holder or a user with the necessary authorization role on whose device the key decommissioning should be performed.
- the output device displays only the user(s) authorized to decommission the key. The selection is confirmed or rejected by input at the input device. will be, in particular by the administrator. Alternatively, the computing unit can automatically select the user(s) through whose device the key decommissioning should take place.
- the computing unit can receive a request to decommission a key.
- This request preferably includes the key ID of the key to be decommissioned and the user who wishes to perform the decommissioning.
- the computing unit can automatically verify whether the requesting user is authorized to decommission the key. In doing so, the computing unit checks whether the user is the key owner or whether the user has the necessary authorization role. If this is not the case, the computing unit can automatically terminate the request and not send the corresponding command to the key. If the user is authorized to decommission the key, the computing unit can propose the decommissioning of the key to the output device, particularly to the administrator. The proposal can be accepted or rejected via the input device, particularly by the administrator. Alternatively, the computing unit can automatically initiate the decommissioning process and transmit the corresponding command to the key.
- the processing unit is configured to generate the command message for changing the configuration of the locking device, namely a firmware update of the locking device or a decommissioning of the locking device, or the key decommissioning command message for decommissioning the key.
- the processing unit is configured to transfer the command message or the key decommissioning command message to the key via the device.
- the processing unit is configured to encrypt the command, in particular to encrypt it in such a way that the key, but not the device, can decrypt the command.
- the processing unit is specifically designed to store the authorization roles of the key holders.
- the processing unit is configured so that an administrator can define the authorization roles of the key holders using the input device. For example, when creating a new key holder, the possible authorization roles can be displayed for selection on the output device. The administrator can then preferably select the desired authorization role using the input device.
- the locking system includes at least one device belonging to at least one key holder, by means of which the key can receive the error message. If multiple keys of the locking system are configured to perform steps a) and b), the locking system preferably includes the multiple devices of the key holders to whom the corresponding keys belong. The devices can be configured as described.
- the object of the invention is also achieved by a security system with several locking systems according to the invention.
- the individual locking systems according to the invention can be configured as described in this disclosure.
- the locking systems are each configured according to claim 15.
- each key is assigned to exactly one locking system.
- Each key is preferably assigned to exactly one keyholder.
- each keyholder is assigned to exactly one locking system.
- the keyholder can belong to several locking systems.
- the keyholder can belong to each locking system with one of the several keys assigned to him.
- the assignment of the keyholder to the key assigned to him in the respective locking system is stored in the processing unit of the respective locking system.
- the keyholder's transfer information is also stored in each processing unit.
- Computing units of several locking systems can together form a computing system, whereby in particular the individual computing units can form virtual areas of the computing system.
- a key holder can be assigned to different locking systems within the security system, with the key holder's authorization role varying across these systems. This allows administrators of the different locking systems to assign different authorization roles to the key holder.
- Figure 1 shows a locking system 100 according to the invention.
- the locking system 100 comprises a computing unit 10, which is configured as a cloud server or a section of a cloud server.
- the computing unit 10 further comprises a computer with a screen as an output device 11 of the computing unit 10 and with a keyboard as an input device 12 of the computing unit 10.
- the computing unit 10 is configured to communicate via a telecommunications network with a device 20, which is configured as a mobile phone.
- Device 20 has a touch display that serves simultaneously as an input device 21 and an output device 22.
- Device 20 includes a mobile phone number as transfer information, enabling it to communicate wirelessly with the computing unit 10 via a third communication link.
- Device 20 includes electronic memory and an electronic processor.
- An application is stored on Device 20. A key holder can authenticate themselves within the application.
- the locking system 100 further comprises several keys 30, one of which is a key 30 in Figure 1
- the locking system 100 according to the invention also comprises several locking devices 40, one of which is a locking device 40 in Figure 1
- the key 30 comprises a key shaft 31 that can be inserted into a key channel 41 of the locking device 40.
- the key shaft 31 includes a transmission element 32 that corresponds to a transmission element (not shown) of the locking device 40.
- Electrical energy and electronic data can be transmitted from the key 30 to the locking device 40 via the transmission element 32 of the key 30 and the transmission element of the locking device 40. This establishes an initial communication link. If the electronic data includes digital access authorization or the positive result of an access authorization check performed on the key, an electrical actuator of the locking device 40 is activated. This allows the key 30 to rotate an eccentric driver of the locking device 40, thus unlocking a door.
- the key 30 is designed without any mechanical coding.
- the key 30 includes an electrochemical energy storage device that provides the electrical energy for the locking device 40.
- the transfer of electrical energy and electronic data is contact-based, via electrical contacts of the transmission elements.
- Key 30 includes a button 33.
- button 33 When button 33 is pressed, a second communication connection to device 20 is established.
- This second wireless communication connection is, for example, a Bluetooth Low Energy (BLE) connection or another short-range communication method.
- BLE Bluetooth Low Energy
- device 20 verifies the key's association with the currently authenticated key holder. To do this, device 20 can transfer the identifier of the currently authenticated key holder and the key ID 53 of key 30, which is in communication with device 20, to processing unit 10, so that processing unit 10 can verify whether the The identifier of the currently authenticated key holder and the key ID 53 are associated.
- the processing unit 10 informs the device 20 of the result.
- the communication link between the key 30 and the device 20 is interrupted; otherwise, communication continues so that the key 30 can potentially receive a command 60.
- the device 20 can perform the verification using an association of the key holder's identifier with the key ID 53 stored in the device. In the case of commissioning or decommissioning a key, this verification can be omitted or, in the case of decommissioning, modified so that communication is also possible with a user other than the key holder whose authorization role allows a configuration change of the key 30.
- electronic data can be transmitted from the computing unit 10 to the device 20 via the telecommunications connection, to the key 30 via the second wireless communication connection, and to the locking device 40 via the transmission elements.
- electronic data can be transferred from the locking device 40 to the computing unit 10 via the path described.
- this method can be used to change the configuration of the locking device 40.
- the command 60 to change the configuration of the locking device 40 is transferred from the computing unit 10 via the device 20 to the key 30. This is a prerequisite for carrying out the configuration change of the locking device 40.
- every key 30 of the locking system 100 is identically equipped with regard to its hardware and can receive such a command.
- not every arbitrary key 30 of the locking system 100 receives such a command. Rather, one or more keys 30 are selected by the computing unit 10 based on a criterion stored in the computing unit 10, and the key is then to command the configuration change to the locking device.
- the crucial function of the key 30 lies in the fact that the key 30 is designed to be more tamper-proof than the device 20.
- Device 20 is used to overcome the long distance between key 30 and computing unit 10 for communication purposes. Because key 30 can be carried by the key holder, it is able to transmit commands for configuration changes to various locking devices 40 of the locking system 100.
- the firmware update data packet 55 is encrypted in such a way that only the locking device 40 can decrypt it. Because command message 50 includes the key ID 53 and the locking device ID 63, the processing unit 10 already determines which locking device 40 is to undergo a configuration change by which key 30. Since command message 50 is largely undecipherable for device 20, manipulation can be prevented. The processing unit 10 transmits command message 50 to device 20 via the telecommunications network.
- key 30 can only receive the command message 50 stored in device 20 if the key holder has authenticated themselves in the application and the application is open during the communication connection between key 30 and device 20. Only the command messages 50 of the authenticated key holder are visible to key 30. Key 30 receives only the command message 50 that includes the corresponding key ID 53. If multiple command messages 50 for the same key 30 are present in device 20, key 30 receives all of them when the communication connection between key 30 and device 20 is established and the application is open after authentication of the key holder. It is not necessary for the third communication connection between the processing unit 10 and device 20 and the second communication connection between key 30 and device 20 to be established simultaneously. Rather, the command message(s) 50 can first be transferred to the device 20, and then, even if the communication link between the device 20 and the computing unit 10 is interrupted, the command message(s) 50 can be transferred to the key 30.
- Command 60 is now decrypted and verified by key 30.
- An erroneous command 60 or command message 50 is reported back to processing unit 10 via device 20, after which processing unit 10 retransmits command message 50.
- a successful transfer of command 60 or command message 50 from the key to processing unit 10 via device 20 is also reported back.
- the key 30 generates a key command message 65 for the locking device 40.
- the key command message 65 contains information about the type of configuration change 61 and the configuration change number 62. If the configuration change is a firmware update, the key command message 65 includes the firmware update data package 55, which remains encrypted and is only decryptable by the locking device 40.
- the key command message 65 can include the key ID 53.
- the locking device 40 can check whether the key ID 53 is listed on a blacklist stored in the locking device 40.
- Key 30 can encrypt key command message 65 so that key command message 65 can be decrypted by the locking device. Instead of a single key command message 65, the content of key command message 65 can also be split across multiple key command messages 65.
- the key 30 and the locking device 40 verify each other by exchanging cryptographic information from the locking system 100.
- the locking device 40 transmits the locking device ID 63 to the key 30. This allows the key to check whether the key 30 has stored a key command message 65 for the locking device 40 that is in communication with it. If the check is successful, the key transmits at least one key command message 65 to the locking device 40. This commands the locking device 40 to change its configuration.
- a configuration change number is electronically stored in the locking device 40.
- the stored configuration change number was saved by the locking device 40 during the last configuration change of the same type.
- the locking device 40 compares the stored configuration change number with configuration change number 62.
- the key command message 65 Only if the configuration change number 62 of the key command message 65 is higher than the stored configuration change number will the locking device 40 execute command 60. This prevents outdated commands from being executed.
- command 60 is reported back by the locking device 40 to the computing unit 10 via the key 30 and the device 20.
- the computing unit 10 sends a message to the other keys 30, which have also received command 60 with the same information about the type of configuration change 61, the same configuration change number 62, and the same locking device ID 63.
- the other keys 30 delete command 60.
- the processing unit 10 has stored a digital representation for each key 30 of the locking system 100.
- the processing unit 10 has stored a digital representation for each locking device 40 of the locking system 100.
- the completed and reported change to the configuration of the locking device 40 is stored in the digital representation of the locking device 40.
- the execution of the command 60 is stored in the digital representation of the key 30 that commanded the configuration change to the locking device 40.
- the identifier of the key holder who authenticated themselves in the application when the key 30 received the command message 50 is stored in the digital representation of the key 30.
- the digital representation of key 30, which includes the key ID 53 of key 30, is digitally associated with the key holder's identifier in the processing unit. This assigns the key holder to key 30.
- the selection of the key(s) that transfer the command to change the configuration to the locking device 40 is determined using the key holder associated with key 30 in the processing unit 10.
- One criterion here is the authorization role 70, 71 that the key holder holds.
- Figure 2 shows a concept for different roles 70, 71, 72, 73 within a locking system 100. Keyholders who possess a key in the locking system are shown in light colors and are assigned an authorization role 70, 71. The keyholders are on-site to interact with the locking devices 40 using their keys 30. Users who do not possess a key, or do not necessarily possess one, are shown in figure 2 Users shown in black perform administrative tasks and are assigned user roles.
- An authorization role 70 corresponds to the authorized role of an access user 70.
- the access user has at least one digital access authorization stored on the key for a locking device of the locking system.
- An access user 70 may not decommission the locking device 40.
- the access user may perform a firmware update of the locking device 40.
- Authorization role 71 corresponds to the authorization role 71 of a picker.
- the picker is authorized to decommission the locking device 40.
- the picker is authorized to perform a firmware update of the locking device 40.
- the picker is authorized to decommission all keys 30 of the locking system 100.
- the picker may decommission both their own key 30 and keys 30 belonging to other key holders.
- the picker must have at least one access authorization stored on the key 30. However, it is not mandatory for the picker to have access authorizations stored on the key to perform the configuration changes. In particular, it is not necessary for the picker to have access authorization to the locking device to be decommissioned.
- User role 72 corresponds to user role 72 of an administrator. Administrator 72 can select at least one key, provided the key holder's authorization role allows it, or confirm the selection of the computing unit 10 for a key that is to receive the command message to change the configuration of the locking device 40. Administrator 72 can select locking devices 40 on which the configuration change of the locking device 40 is to be carried out. Administrator 72 can select a key 30 to be decommissioned or confirm a request to decommission a key 30. Administrator 72 can assign authorization roles 70 and 71 to key holders. Administrator 72 may create keys 30 in the locking system 100 and grant access authorizations. Thus, in principle, the administrator can simultaneously be a key holder with the authorization role of the access user or the order picker. However, Administrator 72 does not necessarily have to be a key holder.
- rollers 70, 71, 72 are provided in the locking system 100.
- An optional user role 73 corresponds to the user role of a firmware updater 73.
- a firmware updater 73 may only select locking devices 40 on which a firmware update is to be performed, and the keys 30 taking into account Select the criteria that should receive command message 50 with the firmware update for the locking device 40.
- Firmware Updater 73 is specifically a service technician for the manufacturer of the locking system 100. Firmware Updater 73 is not also the key holder.
- FIG. 3 Figure 1 shows two alternative concepts for a security system 1000, 1001.
- the security system 1000 according to the first concept and the security system 1001 according to the second concept each comprise several locking systems 100, 101, 102, here three locking systems 100, 101, 102 as examples, whose locking devices 40 Figure 3
- the locking systems 101, 102, and 103 are shown as examples in a circle.
- Each locking system comprises a computing unit 10, 10a, and 10b, which represents a virtual area of the cloud server.
- a shared area 10c of the cloud server is used to provide new firmware updates and is operated, for example, by the manufacturer of the locking systems 100, 101, and 102.
- Keys 30, 30a, 30b, 30c, 30d, and 30e are each assigned to exactly one locking system 100, 101, and 102 in both security systems 1000 and 1001, which in Figure 3 The arrangement of keys 30, 30a, 30b, 30c, 30d, 30e within the respective circles of locking systems 100, 101, 102 is shown. Furthermore, keys 30, 30a, 30b, 30c, 30d, 30e are each assigned to exactly one key holder 80, 81, 82, 83, 84, 85 in both security systems 1000, 1001. The assignment of key 30, 30a, 30b, 30c, 30d, 30e to key holder 80, 81, 82, 83, 84, 85 is shown in Figure 3 represented by a line.
- each key holder 80, 81, 82, 83, 84, 85 of the security system 1000 possesses exactly one key 30, 30a, 30b, 30c, 30d, 30e.
- Key holders 80, 81, 82, 83, 84, and 85 have 1000 different authorization roles (70, 71) in the security system.
- Each key holder (80, 81, 82, 83, 84, 85) has exactly one authorization role (70, 71).
- Key holders 80 and 83 are authorized access users (70).
- Key holders 81, 82, 84, and 85 are order pickers (71).
- key holders 81 and 82 are assigned to several locking systems 100 and 101. Other key holders 80 and 83, however, are assigned to only one locking system 100 or 102, with each of these key holders 80 and 83 holding exactly one authorization role 70 or 71, respectively.
- Key holder 81 who is assigned to locking systems 100 and 101, has authorization in both locking systems 100 and 101. The same authorization role as order picker 71. However, key holders can assume different authorization roles in each locking system 100, 101, 102 of security system 1001. This is shown as an example for key holder 82. Key holder 82 acts as access authorised person 70 with key 30c in locking system 101 and as order picker 71 with key 30e in locking system 102.
- Figure 4 Figure 1 shows a first embodiment of a method 200 for decommissioning a locking device 40.
- a locking device 40 is selected for decommissioning using the input and output devices 11, 12.
- the selection is stored in the digital representation of the locking device 40.
- the processing unit 10 then proposes at least one key 30 of a picker 82 on the output device 11, who is to carry out the decommissioning on site.
- the processing unit 10 considers the authorization role of the key holders of the keys 30 in question as a selection criterion.
- An administrator 83 confirms the selection of the key 30 via the input device 12.
- the task to decommission the selected locking device 40 is digitally stored in the digital representation of the selected key 30.
- a corresponding command message 50 is generated in encrypted form by the processing unit 10.
- a configuration change is only possible through a command message 50 generated in this way, i.e. after selection of the locking device 40 whose configuration is to be changed, and selection of the key as the tool for configuration change by means of the computing unit 10.
- the command message 50 is transferred via the telecommunications network using the mobile phone number of the device 20, which is stored in the computing unit 10 as belonging to the key holder of the selected key 30.
- a third process step 203 the command message 50 is transferred from the device 20 to the key 30.
- the key holder must authenticate himself in the application of the device 20 and establish the communication connection between the device 20 and the key 30 by pressing button 33.
- a fourth process step 204 the key 30 decrypts the command message 50 and reports the successful receipt of the command message 50 back to the computing unit 10 via the device 20.
- the processing unit 10 sends the task of decommissioning the locking device 40 to the device 20 in a process step 205.
- the device 20 displays the message 90 on the output device 22.
- the order picker 82 then reads the message 90 with the task of decommissioning the locking device 40 and goes to the corresponding locking device 40.
- order picker 82 inserts key 30 into locking device 40 in process step 206. Key 30 and locking device 40 then verify each other. Additionally, the locking device transmits its ID 63 to key 30. If key 30 and locking device 40 cannot verify each other, process 200 is aborted.
- key 30 checks whether it has stored a command 60 for the locking device 40 with the locking device ID 63. Since this is the case, key 30 then automatically transmits the key command message 65 to the locking device 40 in a procedure step 207.
- the locking device 40 decrypts the key command message 65.
- the locking device 40 checks whether key 30 is listed on the blacklist stored in the locking device 40. If the key is on the blacklist, the procedure is aborted. If the key is not on the blacklist, the procedure continues.
- the locking device 40 compares the configuration change number of the key command message 65 with a configuration change number for decommissioning stored in the locking device 40. Decommissioning D is performed only if the configuration change number of the key command message 65 is greater than the stored configuration change number.
- decommissioning D is performed.
- the locking device 40 deletes the cryptographic information of the locking system 100.
- the locking device 40 activates the cryptographic information that was stored in the locking device 40 during its manufacture.
- the locking device 40 deletes a code that assigns the locking device 40 to its digital representation.
- the locking device 40 also generates a code that assigns it to a digital representation in another locking system 100. This enables.
- the locking device 40 deletes a code that assigns the locking device to a locking system 100.
- the locking device 40 generates a code that allows assignment to another locking system 101, 102.
- a digital message 66 indicating that the locking device 40 has been decommissioned using the key 30, is sent via the key 30 and the device 20 to the computing unit 10 in a process step 210.
- This is processed in Figure 4 represented as a continuous arrow, although message 66 may also be stored for a longer period of time in key 30 and/or device 20.
- the computing unit Upon receiving message 66, the computing unit changes the status of the digital representation of the locking device 40 to "decommissioned" in a procedure step 211.
- the computing unit 10 deletes the code that links the digital representation to the locking device 40. If a new locking device 40 is put into operation at the same location, the digital representation of the locking device 40 can be reactivated with the code of the new locking device 40.
- procedure step 211 the processing unit 10 stores which key 30 ordered the decommissioning D of the locking device 40. If the processing unit 10 has sent the command 60 to multiple keys, it informs all keys that have stored the command 60 in a procedure step 212 to delete the command.
- Procedure 300 analogous to procedure 200, is described for the purpose of providing a firmware update (FU) to the locking device 40.
- a locking device 40 with a specific firmware version is selected for firmware update (FU) using input and output devices 11 and 12.
- the processing unit 10 can compare a firmware version number stored in the digital representations of the locking devices 40 of the locking system 100 with a firmware version number of the firmware update data package to be installed.
- the processing unit 10 can propose locking devices 40 whose firmware version number stored in the digital representation is lower than the firmware version number of the firmware update data package to be installed for the firmware update.
- An administrator of the locking system 100 can confirm or reject the proposal.
- a firmware updater can confirm or reject the proposal.
- the selection is stored in the digital representation of the locking device 40.
- the processing unit 10 then proposes at least one key 30 from the keyholder on the output device 11, who is to perform the firmware update locally.
- the administrator or the firmware updater confirms the selection of key 30 via the input device 12.
- the task of updating the firmware of the selected locking device 40 is stored in the digital representation of the selected key 30.
- a corresponding command message 50 is generated in encrypted form by the processing unit 10.
- steps 302, 303 and 304 correspond to steps 202, 203 and 204 of the Figure 4 .
- the computing unit 10 sends the task to the device 20 in a process step 305, in which it instructs the device 20 to perform a firmware update on the locking device 40.
- the device 20 displays the message 90 on the output device 22. After reading the message, the key holder goes to the selected locking device 40.
- Procedure steps 306 and 307 correspond to procedure steps 206 and 207 from Figure 4 .
- the locking device 40 compares the configuration change number of the key command message 65 with a configuration change number for the firmware update stored in the locking device 40. It also compares the firmware version number stored in the locking device 40 with the firmware version number of the key command message 65.
- the firmware update FU is only performed if the configuration change number and the firmware version number of the key command message 65 are greater than the stored configuration change number and firmware version number, respectively.
- the firmware update FU is performed.
- the firmware update data package is decrypted, verified, and installed.
- the configuration number and the firmware version number of the key command message 65 are saved.
- the key 30 must remain inserted in the locking device 40; otherwise, the process is aborted.
- the key 30 includes a light device 34 (see figure). Fig. 1 ), where the execution of the firmware update FU is displayed.
- key 30 changes the display of the indicator light 34.
- a message 66 indicating that the locking device 40 has undergone a firmware update FU using key 30 is transmitted via key 30 and the Device 20 to the computing unit 10 in a process step 310, which is analogous to process step 210 of the Figure 4 has been trained and sent.
- the computing unit 10 Upon receiving message 66, the computing unit 10 updates the firmware version number of the digital representation of the locking device 40.
- the computing unit 10 stores which key 30 of the locking device 40 ordered the firmware update FU. If the computing unit 10 has sent the command 60 to multiple keys 30, the computing unit 10 informs all keys with the command 60 in a procedure step 312 to delete the command 60.
- Figure 400 shows an alternative procedure 400 for decommissioning D of the locking device 40.
- a picker 71 authenticates himself in the application and presses a decommissioning field 23 in a procedure step 401.
- the decommissioning field 23 is displayed on the output device 22 of the device 20 (see Figure 401). Figure 1 ).
- the output device 22 now displays an instruction that order picker 71 should establish the communication connection to key 30 by pressing button 33. It also displays an instruction that order picker 71 should insert key 30 into key slot 41. In process step 402, order picker 71 presses button 33 on key 30 and in process step 403 inserts key 30 into key slot 41. Key 30 and locking device 40 then verify each other. Additionally, the locking device transmits the locking device ID 63 to key 30. If key 30 and locking device 40 cannot verify each other, process 400 is aborted.
- the key command message 65 can now be transferred to the locking device 40.
- the locking device 40 can then perform at least one test step, the decommissioning, and the feedback to the processing unit analogous to process steps 208, 209, and 210. From process step 403 until the end of decommissioning D, the key 30 must remain inserted in the locking device 40, analogous to process step 209.
- the processing unit 10 can then also perform process steps analogous to steps 211 and, if applicable, 212. It is also possible that the command 60 is stored in the device 20 and is first transferred to the key 30 before the key command message 65 is transmitted to the locking device 40 and only then do the remaining steps take place analogously to 208 to 211, possibly 212, as described.
- the locking device ID 63 is reported from the key 30 to the device 20 in a procedure step 404.
- a process step 405 the device 20 sends a request A to the computing unit 10, stating that the locking device 40 should be decommissioned, along with the key ID 53 and the locking device ID 63.
- the computing unit 10 processes request A.
- the computing unit 10 checks the authorization role of the key holder of key 30 with the received key ID 53. If the authorization role does not permit decommissioning, the process 400 ends. If the authorization role permits the decommissioning of the locking device 40, the computing unit 10 proposes to the administrator that the decommissioning D be permitted. If the administrator refuses permission, procedure 400 ends. If the administrator grants permission, the computing unit 10 sends the command message 50 via the device 20 to the key 30 in a procedure step 407, which is decrypted in the key 30.
- a key command message 65 is transmitted to the locking device 40 in a process step 408.
- the configuration change number is checked in a process step 409, and the decommissioning D is performed in a process step 410.
- These process steps proceed as described in process steps 207, 208, and 209.
- a message 66 indicating that the locking device 40 has been decommissioned using the key 30 is sent via the key 30 and the device 20 to the processing unit 10 in a process step 411, analogous to process step 210.
- the processing unit 10 processes the message 66 in a process step 412, which proceeds analogously to process step 211.
- it is essential that the key remains inserted in the locking device.
- the locking system 100 is also designed to decommission a key 30 in procedures 500, 600, as in the Figure 7 and 8 depicted.
- a first procedure 500 for the decommissioning of DS of key 30 according to Figure 7
- a key 30 for decommissioning DS is selected using the input and output device 11,12. The selection is stored in the digital representation of the key.
- the computing unit 10 on the output device 11 proposes at least one user to whose device 20 a key decommissioning command message 150 for decommissioning the key 30 is to be transferred.
- the computing unit 10 proposes the key holder whose device 20 is to receive the key decommissioning command message 150.
- a picker can also be selected for this purpose, either additionally or alternatively.
- An administrator 83 confirms the user selection via the input device 12.
- a corresponding key decommissioning command message 150 is generated by the computing unit 10 and sent to the selected user's device 20 in a process step 502 using the mobile phone number stored in the computing unit 10.
- the key decommissioning command message 150 includes at least the decommissioning information 61, stating that key 30 is to be decommissioned, and a configuration change number 62.
- the decommissioning information 61 and the configuration change number 62 are encrypted such that the decommissioning information 61 and the configuration change number 62 are undecipherable for device 20 and decipherable for the key 30 to be decommissioned. Furthermore, the key decommissioning command message 150 contains the key ID of the key 30 to be decommissioned.
- the key decommissioning command message 150 is transferred from device 20 to key 30.
- the user must authenticate in the application of device 20 and establish the communication connection between device 20 and key 30 by pressing button 33.
- Key 30 compares the configuration change number 62 of the key decommissioning command message 150 with a configuration change number 62 for decommissioning stored in key 30 in procedure step 504, analogous to procedure step 208.
- Decommissioning DS is performed only if the configuration change number 62 of the key decommissioning command message 150 is greater than the stored configuration change number.
- decommissioning DS is performed.
- the key deletes the cryptographic information of the locking system 100 in the electronic memory of key 30.
- Key 30 activates the cryptographic information that was stored in key 30 during its manufacture.
- key 30 deletes a code that key 30 assigns to its digital representation.
- Key 30 also generates a code that allows assignment to a digital representation in another locking system 100.
- the key deletes a code that assigns key 30 to a Assigned to locking system 100.
- Key 30 generates a code that allows assignment to another locking system 101, 102.
- a message 166 regarding the successful decommissioning DS of key 30 is transferred to the processing unit 10.
- the processing unit 10 changes the status of the digital representation of key 30 to "decommissioned”.
- the processing unit 10 deletes the code that associates the digital representation with key 30.
- the processing unit 10 checks whether the authorization role of the user who authenticated themselves in the device 20 allows the decommissioning of the key 30 or whether they are the key holder. If the authorization role permits the decommissioning of key 30, or if the administrator is the key holder, the computing unit 10 proposes to the administrator that decommissioning be allowed. If the administrator denies permission, procedure 600 terminates. If the administrator grants permission, the computing unit 10 sends the key decommissioning command message 150 via device 20 to key 30 in procedure step 606, which is decrypted in key 30. The subsequent steps 607, 608, 609, and 610 correspond to procedure steps 504, 505, 506, and 507 from [reference missing]. Figure 7 .
- FIG. 9 A method 700 for registering a new key holder and for commissioning a new key in the locking system 100 according to the invention is described.
- an administrator first adds a new key holder to the locking system 100 in the computing unit 10 by entering an identifier of the new key holder, e.g., his name or his email address, using the input device 12.
- the administrator also assigns an authorization role 70, 71 for the new key holder via the input device 12.
- the system selects an authorization role 70 or 71.
- the computing unit stores the identifier of the new key holder and the authorization role 70 or 71 as associated with each other.
- a second step (702) the new key holder is informed via message (91), e.g., an email, that they have been registered in the locking system (100) and can now define an authentication method for the application using their identifier.
- message (91) e.g., an email
- the key holder has selected an authentication method and, for example, set a password
- they can then, in a process step (703), download the application to device 20 and authenticate themselves within the application.
- the transfer information from device 20, on which the key holder authenticated themselves within the application is transferred to the processing unit (10) and associated with the key holder's identifier within the processing unit (10). This completes the key holder's registration.
- the key holder can assign a new key 30.
- the key holder uses input device 21 in process step 704 to indicate that a new key 30 is to be assigned, for example, by using a key assignment field on output device 22. If the key holder is assigned to several locking systems 100, 101, 102, the key holder can select on output device 22 which locking system 100, 101, 102 the key 30 should belong to.
- This input indicating that a new key is to be assigned results in the device 20 subsequently establishing and maintaining a communication connection with the new key 30, even if no association between the key ID and the key holder's identifier is stored in the processing unit or in the device.
- the key holder then activates button 33 of key 30 in process step 705. This transfers the key ID 53 of key 30 to device 20 in process step 706. The transfer occurs regardless of the authorization role 70, 71 held by the key holder.
- device 20 requests the computing unit to perform a picking operation (KS) on key 30 with key ID 53.
- Computing unit 10 checks whether key 30 with key ID 53 has already been picked. If not, in process step 708, computing unit 10 associates key ID 53 with the identifier of the key holder sending the request. Computing unit 10 can then retrieve the remaining digital representation of key 30 from the Create a locking system 100 in which further data for key 30 can be stored.
- KS picking operation
- the computing unit 10 transmits configuration data to the key 30 via the device 20.
- the configuration data includes at least one cryptographic piece of information from the locking system 100.
- the key 30 receives the cryptographic information and deactivates cryptographic information that was stored in the key 30 during its manufacture.
- FIG. 10 The digital associations stored in the processing unit 10 are shown in a pictorial, symbolic representation.
- the key holder's identifier 92, the authorization role 70, 71, the key ID 53, and the transfer information TI 93 are digitally associated with each other.
- the association is represented by the double arrow.
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Lock And Its Accessories (AREA)
Abstract
Die Erfindung betrifft ein Verfahren (200, 300, 400) zum Ändern einer Konfiguration einer elektro-mechanischen Sperrvorrichtung nach einer Inbetriebnahme der Sperrvorrichtung (40),
wobei insbesondere die Änderung der Konfiguration der Sperrvorrichtung (40) ein Firmware Update oder eine Dekommissionierung umfasst,
wobei das Verfahren (200, 300, 400) mittels eines Schlüssels (30) durchgeführt wird,
wobei der Schlüssel (30) gegenständlich ausgebildet ist,
wobei der Schlüssel (30) ausgebildet ist, mit der Sperrvorrichtung (40) elektronisch über eine erste Kommunikationsverbindung zu kommunizieren, wobei der Schlüssel (30) ausgebildet ist, über eine drahtlose zweite Kommunikationsverbindung mit einem Gerät (20) zu kommunizieren, wobei das Gerät (20) ausgebildet ist, mit einer Recheneinheit (10) über eine dritte Kommunikationsverbindung zu kommunizieren, wobei das Verfahren (200, 300, 400) die folgenden Schritte umfasst:
a) Der Schlüssel (30) empfängt eine Befehlsnachricht (50) mit einem Befehl (60) zur Änderung der Konfiguration der Sperrvorrichtung (40) von der Recheneinheit (10) über das Gerät (20), wobei das Empfangen der Befehlsnachricht (50) nur erfolgt, wenn der Schlüssel (30) zuvor mittels der Recheneinheit zum Empfang der Befehlsnachricht (50) anhand von zumindest einem in der Recheneinheit (10) hinterlegten Kriterium ausgewählt worden ist,
b) Der Schlüssel (30) befiehlt der Sperrvorrichtung (40) die Durchführung der Konfigurationsänderung (61), wenn der Schlüssel (30) und die Sperrvorrichtung (40) elektronisch in Kommunikationsverbindung stehen.
wobei insbesondere die Änderung der Konfiguration der Sperrvorrichtung (40) ein Firmware Update oder eine Dekommissionierung umfasst,
wobei das Verfahren (200, 300, 400) mittels eines Schlüssels (30) durchgeführt wird,
wobei der Schlüssel (30) gegenständlich ausgebildet ist,
wobei der Schlüssel (30) ausgebildet ist, mit der Sperrvorrichtung (40) elektronisch über eine erste Kommunikationsverbindung zu kommunizieren, wobei der Schlüssel (30) ausgebildet ist, über eine drahtlose zweite Kommunikationsverbindung mit einem Gerät (20) zu kommunizieren, wobei das Gerät (20) ausgebildet ist, mit einer Recheneinheit (10) über eine dritte Kommunikationsverbindung zu kommunizieren, wobei das Verfahren (200, 300, 400) die folgenden Schritte umfasst:
a) Der Schlüssel (30) empfängt eine Befehlsnachricht (50) mit einem Befehl (60) zur Änderung der Konfiguration der Sperrvorrichtung (40) von der Recheneinheit (10) über das Gerät (20), wobei das Empfangen der Befehlsnachricht (50) nur erfolgt, wenn der Schlüssel (30) zuvor mittels der Recheneinheit zum Empfang der Befehlsnachricht (50) anhand von zumindest einem in der Recheneinheit (10) hinterlegten Kriterium ausgewählt worden ist,
b) Der Schlüssel (30) befiehlt der Sperrvorrichtung (40) die Durchführung der Konfigurationsänderung (61), wenn der Schlüssel (30) und die Sperrvorrichtung (40) elektronisch in Kommunikationsverbindung stehen.
Description
- Die vorliegende Erfindung betrifft ein Verfahren zum Ändern einer Konfiguration einer elektro-mechanischen Sperrvorrichtung nach einer Inbetriebnahme der Sperrvorrichtung. Bei der Änderung der Konfiguration der Sperrvorrichtung handelt es sich insbesondere um ein Firmware Update der Sperrvorrichtung oder um eine Dekommissionierung der Sperrvorrichtung. Die vorliegende Erfindung betrifft des Weiteren einen Schlüssel zur Durchführung des erfindungsgemäßen Verfahrens, eine Sperreinheit mit einem erfindungsgemäßen Schlüssel und der Sperrvorrichtung, ein Schließsystem sowie ein Sicherheitssystem mit mehreren Schließsystemen.
-
EP 2 821 970 A1 offenbart ein Schließsystem, um Zugriffsrechte für einen Schließzylinder upzudaten. Hierbei wird von einer entfernten Recheneinheit über ein mobiles Gerät an einen physikalischen Schlüssel Informationen zum Updaten der Sperrvorrichtung gesendet. Hierbei nimmt das Mobilgerät eine aktive Rolle ein, indem zum Beispiel eine Gültigkeitsdauer eines Schlüssels mittels des mobilen Geräts verlängert werden kann. Da ein mobiles Gerät anfällig für Manipulationen ist, kann im Falle einer Manipulation die Sicherheit des Schließsystems gefährdet sein. -
WO2024/083878 A1 offenbart ebenfalls ein Schließsystem, mit dessen Hilfe eine Sperrvorrichtung in Betrieb genommen werden kann. Nicht offenbart ist, wie das Schließsystem nach der Inbetriebnahme Konfigurationsänderungen durchführen kann. - Es ist die Aufgabe der vorliegenden Erfindung, ein Verfahren, einen Schlüssel, eine Sperreinheit, ein Schließsystem und ein Sicherheitssystem zur Verfügung zu stellen, mit dem auf besonders sichere Weise Konfigurationsänderungen durchgeführt werden können.
- Die Lösung der Aufgabe erfolgt durch die Merkmale der unabhängigen Ansprüche. Die abhängigen Ansprüche haben bevorzugte Ausgestaltungen der Erfindung zum Gegenstand. Merkmale und Details, die in Zusammenhang mit dem erfindungsgemäßen Verfahren beschrieben sind, gelten dabei auch in Zusammenhang mit dem erfindungsgemäßen Schlüssel, mit der erfindungsgemäßen Sperreinheit, mit dem erfindungsgemäßen Schließsystem und mit dem erfindungsgemäßen Sicherheitssystem und umgekehrt. Insbesondere ist ein Verfahren, das mit einem Schlüssel nach einem der Ansprüche 7 bis 12 oder mit einem Schließsystem nach Anspruch 15 durchführbar ist, und/oder ein Schlüssel, eine Sperreinheit beziehungsweise Schließsystem, mit dem ein Verfahren nach einem der Ansprüche 1 bis 6 durchführbar ist, unter Schutz gestellt.
- Erfindungsgemäß ist vorgesehen, dass das Verfahren mittels eines Schlüssels durchgeführt wird, wobei der Schlüssel gegenständlich ausgebildet ist, wobei der Schlüssel ausgebildet ist, mit der Sperrvorrichtung elektronisch über eine erste Kommunikationsverbindung zu kommunizieren, wobei der Schlüssel ausgebildet ist, über eine zweite Kommunikationsverbindung mit einem Gerät zu kommunizieren, wobei das Gerät ausgebildet ist, mit einer Recheneinheit über eine dritte Kommunikaionsverbindung zu kommunizieren, wobei das Verfahren die folgenden Schritte umfasst:
- a) Der Schlüssel empfängt eine Befehlsnachricht mit einem Befehl zur Änderung der Konfiguration der Sperrvorrichtung von der Recheneinheit über das Gerät, wobei das Empfangen der Befehlsnachricht nur erfolgt, wenn der Schlüssel zuvor mittels der Recheneinheit zum Empfang der Befehlsnachricht anhand von zumindest einem in der Recheneinheit hinterlegten Kriterium ausgewählt worden ist,
- b) Der Schlüssel befiehlt der Sperrvorrichtung, die Konfigurationsänderung durchzuführen, wenn der Schlüssel und die Sperrvorrichtung elektronisch in Kommunikationsverbindung stehen.
- Entsprechend ist ein erfindungsgemäßer gegenständlicher Schlüssel ausgebildet, mit einer Sperrvorrichtung über eine erste Kommunikationsverbindung elektronisch zu kommunizieren und wobei der Schlüssel ausgebildet ist, über eine zweite Kommunikationsverbindung mit einem, insbesondere mobilen, Gerät zu kommunizieren,
- wobei der Schlüssel eine Schlüssel-ID umfasst,
- wobei der Schlüssel ausgebildet ist, die Verfahrensschritte a) und b) durchzuführen. Somit ist der Schlüssel ausgebildet die folgenden Verfahrensschritte nacheinander durchzuführen:
- a) Der Schlüssel empfängt eine Befehlsnachricht mit einem Befehl zur Änderung der Konfiguration der Sperrvorrichtung von der Recheneinheit über das Gerät, wobei das Empfangen der Befehlsnachricht nur erfolgt, wenn der Schlüssel zuvor mittels der Recheneinheit zum Empfang der Befehlsnachricht anhand von zumindest einem in der Recheneinheit hinterlegten Kriterium ausgewählt worden ist,
- b) Der Schlüssel befiehlt der Sperrvorrichtung, die Konfigurationsänderung durchzuführen, wenn der Schlüssel und die Sperrvorrichtung elektronisch in Kommunikationsverbindung stehen.
- Bei der Änderung der Konfiguration handelt es sich um eine Wartung der Sperrvorrichtung. Dieses kann auch als "Maintenance" bezeichnet werden. Somit handelt es sich um eine Änderung der Konfiguration, die sich auf die Funktion der Sperrvorrichtung als solche bezieht. Somit bezieht sich die Änderung der Konfiguration nicht auf einzelne Zutrittsberechtigungen oder auf ein Update einer Whitelist oder Blacklist, die in der Sperrvorrichtung gespeichert sein könnte.
- Bevorzugt handelt es sich um eine digitale Konfigurationsänderung der Sperrvorrichtung.
- Bei der Änderung der Konfiguration der Sperrvorrichtung handelt es sich z. B. um ein Firmware Update der Sperrvorrichtung oder um eine Dekommissionierung der Sperrvorrichtung. Zusätzlich oder alternativ kann es sich bei der Änderung der Konfiguration der Sperrvorrichtung um Änderung einer in der Sperrvorrichtung hinterlegten kryptographischen Information handeln.
- Die Erfindung hat den Vorteil, dass die Entscheidung, ob eine Änderung der elektronischen Konfiguration der Sperrvorrichtung erfolgt, mit Hilfe der Recheneinheit, insbesondere ausschließlich mit Hilfe der Recheneinheit, getroffen wird. Ebenfalls wird mit Hilfe der Recheneinheit entschieden, welcher Schlüssel des Sicherheitssystems der Sperrvorrichtung die Änderung der Konfiguration befehlen soll. Es ist somit nur über die Recheneinheit möglich, eine Änderung der Konfiguration der Sperrvorrichtung zu erreichen. Hierbei wird zudem ein besonders sicherer Weg gewählt, die Änderung der Konfiguration der Sperrvorrichtung umzusetzen. Dabei dient das Gerät lediglich als Kommunikationshilfe, um den Befehl von der Recheneinheit an den Schlüssel zu übertragen, oder eventuell zusätzlich für eine Sicherheitsabfrage oder eine Anfrage an die Recheneinheit. Bei dem gegenständlichen Schlüssel (im Gegensatz zu üblichen Geräten wie Mobiltelefonen) handelt es sich um eine Vorrichtung, die nur innerhalb des Schließsystems verwendet wird und daher besonders sicher ausgestaltet werden kann. Der mobile Schlüssel kann von einem Schlüsselinhaber zu der Sperrvorrichtung transportiert werden, um die Konfigurationsänderung der Sperrvorrichtung durchzuführen. Hierdurch wird der sichere Kommunikationsweg von der häufig weit entfernt angeordneten Recheneinheit bis zur Sperrvorrichtung aufgespannt. Nach der Initiierung der Konfigurationsänderung durch die Recheneinheit läuft das Verfahren dann weitgehend oder vollständig automatisiert ab.
- Der Schlüssel umfasst bevorzugt einen Schlüsselschaft. Der Schlüsselschaft ist in die Sperrvorrichtung, bevorzugt in einen Schlüsselkanal der Sperrvorrichtung, einsteckbar. Der Schlüssel samt Schlüsselschaft ist vorzugsweise so ausgebildet, dass mit dem Schlüssel über den Schlüsselschaft ein Drehmoment auf die Sperrvorrichtung übertragen werden kann. Die mechanische Bewegung der Sperrvorrichtung erfolgt somit vorzugsweise mit dem Schlüssel.
- Es ist bevorzugt vorgesehen, dass der Schlüssel, insbesondere über den Schlüsselschaft, eine elektrische Verbindung zur Sperrvorrichtung herstellt. Die Verbindung kann drahtlos oder drahtgebunden sein. Der Schlüssel und die Sperrvorrichtung umfassen hierzu korrespondierende Übertragungsvorrichtungen. "Drahtgebunden" (auch als nicht drahtlos bezeichnet) bedeutet, dass die Verbindung über zumindest einen beliebigen Leiter im Schlüssel erfolgt, der elektrisch leitend mit einer Sperrvorrichtungselektronik in Kontakt bringbar ist. Der Schlüssel und die Sperrvorrichtung können hierzu entsprechende miteinander korrespondierende elektrische Kontakte als Übertragungsvorrichtungen umfassen.
- Die Verbindung kann zur Übertragung von digitalen Daten dienen. Somit kann die Verbindung der ersten Kommunikationsverbindung entsprechen. Durch die elektrische Verbindung ist es möglich, digitale Daten, insbesondere nicht drahtlos, zwischen Schlüssel und Sperrvorrichtung auszutauschen. Somit ist der Schlüssel ausgebildet mit der Sperrvorrichtung elektronisch zu kommunizieren. Hierzu ist es insbesondere vorgesehen, dass der Schlüssel in einen Schlüsselkanal der Sperrvorrichtung eingesteckt ist. Zusätzlich ist es durch die Übertragungsvorrichtungen möglich, elektrische Energie (auch als elektrischer Strom bezeichnet) vom Schlüssel auf die Sperrvorrichtung zu übertragen.
- Der Schlüssel umfasst eine Elektronikvorrichtung. Die Elektronikvorrichtung kann einen Prozessor und/oder einen elektronischen Speicher umfassen. In der Elektronikvorrichtung kann die Schlüssel-ID des Schlüssels gespeichert sein. Die Schlüssel-ID bezeichnet eine eindeutige elektronische Kennung des Schlüssels, wie zum Beispiel eine Seriennummer.
- Bei der elektro-mechanischen Sperrvorrichtung handelt es sich vorzugsweise um einen Schließzylinder, insbesondere einen Doppel- oder Halbzylinder, einen Möbelzylinder oder ein Vorhängeschloss oder eine ähnliche Vorrichtung. Die als Schließzylinder ausgebildete elektro-mechanische Sperrvorrichtung kann in ein Schloss (beispielsweise ein Einsteckschloss) an einer Tür als ein mögliches Verschlusselement eingesetzt werden. Das Vorhängeschloss kann z. B. an einer Tür angeordnet werden. Die Anordnung der Sperrvorrichtung ist an oder in verschiedenen Verschlusselementen, z. B. an oder in Toren, Schubladen, Schranken, etc. möglich. Die Sperrvorrichtung umfasst vorzugsweise einen elektro-mechanischen Aktuator und einen Mitnehmer. Der elektro-mechanische Aktuator kann von der Sperrvorrichtungselektronik der Sperrvorrichtung angesteuert werden, um den Mitnehmer von einem nicht-drehbaren in einen drehbaren Zustand zu überführen. Die Sperrvorrichtungselektronik kann einen Prozessor und/oder einen elektronischen Speicher umfassen.
- Bevorzugt steuert die Sperrvorrichtung den Aktuator im Betrieb nur im Falle einer vorliegenden Zutrittsberechtigung an. Hierbei ist die Zutrittsberechtigung eine digitale Information, die in dem Schlüssel und/oder in der Sperrvorrichtung überprüft wird, bevor die Sperrvorrichtung den Aktuator aktiviert. Bevorzugt ist die Zutrittsberechtigung in dem Speicher des Schlüssels gespeichert.
- Bevorzugt ist der Schlüssel frei von einer mechanischen Codierung. Somit wird in dem Schlüssel und/oder in der Sperrvorrichtung nur elektronisch, insbesondere anhand der Zutrittsberechtigung, überprüft, ob der Aktuator zu aktivieren ist. Somit handelt es sich bei dem Schlüssel bevorzugt um einen elektronischen Schüssel.
- Die Sperrvorrichtung kann eine Sperrvorrichtungs-ID umfassen. Die Sperrvorrichtungs-ID bezeichnet eine eindeutige elektronische Kennung der Sperrvorrichtung, wie zum Beispiel eine Seriennummer. Die Sperrvorrichtungs-ID ist vorzugsweise in dem Speicher der Sperrvorrichtung hinterlegt.
- Bei dem Gerät handelt es sich vorzugsweise um ein mobiles Gerät, insbesondere Smartphone, Tablet oder Laptop. Alternativ kann es sich bei dem Gerät auch um ein Terminal handeln, das im oder am Gebäude, beispielsweise an der Wand, befestigt ist und zur Raum- und/oder Gebäudesteuerung eingesetzt wird. Im Falle eines mobilen Geräts, gehört das Gerät bevorzugt genau einem Schlüsselinhaber. Vorzugsweise ist vorgesehen, dass das Gerät eine Verbindung zum Internet und/oder zu einem Telekommunikationsnetz aufbauen kann. Bevorzugt kann das Gerät über das Internet oder das Telekommunikationsnetz als dritte Kommunikationsverbindung mit der Recheneinheit kommunizieren. Hierzu können das Gerät und die Recheneinheit entsprechende Sende- und Empfangseinheiten umfassen.
- Die Recheneinheit kann sich an beliebiger Stelle befinden. Insbesondere ist vorgesehen, dass das Gerät drahtlos, insbesondere über das Internet oder ein Telekommunikationsnetz, mit der Recheneinheit kommuniziert. Die Recheneinheit kann beispielsweise ein Server sein. Der Server kann auch virtuell, insbesondere als Cloud-Server oder als virtueller Bereich eines Cloud-Servers, bereitgestellt werden. Insbesondere ist in der Recheneinheit eine Datenbank hinterlegt. Die Recheneinheit umfasst somit zumindest einen elektronischen Speicher. In dem elektronischen Speicher ist bevorzugt eine Information darüber gespeichert, welcher mindestens eine Schlüssel zum Ausführen des Befehls zum Ändern der elektronischen Konfiguration der Sperrvorrichtung ausgewählt worden ist. Die Recheneinheit kann zumindest einen Prozessor umfassen. Die Recheneinheit kann eine Ein- und Ausgabevorrichtung umfassen, mit der zum Beispiel ein Administrator die Recheneinheit bedienen kann.
- In der Recheneinheit kann eine digitale Repräsentation des Schlüssels und/oder eine digitale Repräsentation der Sperrvorrichtung hinterlegt sein. Der Begriff wird digitale Repräsentation bezieht sich auf eine virtuelle Repräsentation des Schlüssels beziehungsweise der Sperrvorrichtung, die in der Recheneinheit elektronisch gespeichert ist. Die digitale Repräsentation kann Informationen über den physischen Schlüssel beziehungsweise die physische Sperrvorrichtung enthalten. Die Information, dass der Schlüssel zum Ausführen des Befehls zum Ändern der elektronischen Konfiguration der Sperrvorrichtung ausgewählt worden ist, kann in der digitale Repräsentation des Schlüssels gespeichert sein.
- Vorzugsweise weist das Gerät Eingabemittel auf; beispielsweise eine Tastatur und/oder einen Touchscreen. Weiter bevorzugt weist das Gerät Ausgabemittel auf; beispielweise einen Bildschirm, insbesondere einen Touchscreen, und/oder einen Lautsprecher. Das Gerät umfasst bevorzugt eine Elektronik. Die Elektronik dient insbesondere dazu, um Eingaben in das Eingabemittel zu verarbeiten und/oder eine Nachricht auf dem Ausgabemittel auszugeben und/oder mit der Recheneinheit und mit dem Schlüssel zu kommunizieren. Die Elektronik kann einen Speicher umfassen.
- Es ist vorgesehen, dass das Gerät über eine insbesondere drahtlose Kommunikationsverbindung, wie z. B. NFC, Bluetooth Low Energy oder Ultra Wide Band, mit dem Sperrvorrichtungselement kommunizieren kann. Die zweite Kommunikationsverbindung ist somit bevorzugt als drahtlose Nahbereichskommunikation ausbildet. Hierzu können das Gerät und der Schlüssel entsprechende Sende- und Empfangsvorrichtungen umfassen. Der Empfang der Befehlsnachricht in Schritt a) erfolgt damit über die zweite und die dritte Kommunikationsverbindung. Bevorzugt ist es nicht notwendig, dass zeitgleich die zweite und die dritte Kommunikationsverbindung aufgebaut sind. Vielmehr kann zunächst das Gerät die Befehlsnachricht zwischenspeichern.
- Bevorzugt sind die erste Kommunikationsverbindung, die zweite Kommunikationsverbindung und die dritte Kommunikationsverbindung bidirektional ausgebildet.
- Es kann sein, dass Aufbau der zweiten Kommunikationsverbindung zwischen dem Gerät und dem Schlüssel eine Handlung am Schlüssel erfordert. Der Schlüssel kann z. B. einen Taster umfassen, wobei eine Betätigung des Tasters zum Kommunikationsaufbau über die drahtlosen zweite Kommunikationsverbindung benötigt wird.
- Ein Transferieren bzw. Transferiert Werden von elektronischen bzw. digitalen Daten umfasst hierbei ein Datenübertrag nach dem Push oder Pull-Prinzip oder Polling. Ein Empfang von Daten umfasst dabei das Transferieren von der Empfängerseite.
- Der Begriff "Firmware-Update" bezieht sich insbesondere auf ein Verfahren, bei dem die in der Sperrvorrichtung gespeicherte Firmware durch eine neuere Firmwareversion ersetzt oder aktualisiert wird. Die Firmware ist eine spezielle Art von Software, die in die Hardware der Sperrvorrichtung eingebettet ist und dessen Funktionen steuert.
- Der Begriff "Dekommissionierung" bezieht sich insbesondere auf ein Verfahren, an dessen Abschluss die Sperrvorrichtung keine sensiblen Daten des Schließsystems, in dem die Sperrvorrichtung eingesetzt worden ist, mehr enthält.
- Innerhalb des Schließsystems befinden sich mehrere der Sperrvorrichtungen. Darüber hinaus sieht das Schließsystem ein bestimmtes Zutrittsberechtigungskonzept vor. Beispielsweise können dem Schließsystems mehrere Zutrittsberechtigte zugeordnet sein, wobei jedem Zutrittsberechtigten ein oder mehrere der Sperrvorrichtungen als zutrittsberechtigt zugeordnet sind.
- Unter einer Zuordnung wird im Rahmen dieser Offenbarung insbesondere eine logische Zuordnung verstanden.
- Die Zutrittsberechtigten können in Berechtigungsgruppen unterteilt sein. Beispielsweise kann das Schließsystem ein Mehrparteienhaus betreffen. Eine Berechtigungsgruppe kann für den Hausmeister gedacht sein, der alle Schließvorrichtungen schließen darf; mit Ausnahme der Schließvorrichtungen an den einzelnen Wohnungen. Eine andere Berechtigungsgruppe kann für die Wohnungsbesitzer vorgesehen sein, die beispielsweise die Schließvorrichtungen an der Hauseingangstür und der eigenen Wohnung schließen dürfen.
- In einem alternativen Beispiel kann das Schließsystem eine kritische Infrastruktur betreffen. Eine Berechtigungsgruppe kann Sperrvorrichtungen, die einen physischen Bereich mit einer Sicherheitsstufe oder ein Infrastrukturgerät mit einer Sicherheitsstufe sichern, entsperren. Eine andere Berechtigungsgruppe hingegen darf diese Sperrvorrichtungen nicht entsperren, sondern nur Sperrvorrichtungen, die nicht einen Bereich oder ein Infrastrukturgerät mit der Sicherheitsstufe sichern, entsperren.
- Bevorzugt ist vorgesehen, dass das Schließsystem mehrere Sperrvorrichtungen umfasst, die einem Schließsystemeigentümer, z. B. einer Wohnungsbaugesellschaft, einem kritische Infrastrukturbetreiber, Facility Manager oder Wohnbauverwalter, zugeordnet sind, insbesondere gehören.
- Bevorzugt ist ein Schließsystem zusätzlich oder alternativ dadurch charakterisiert, dass das Schließsystem zumindest eine Liste mit gesperrten Zutrittsberechtigungen und/oder mit gesperrten Schlüsseln, die als Blacklist bezeichnet wird, umfasst. Die gesperrten Zutrittsberechtigungen und/oder die gesperrten Schlüssel können eine oder mehrere Sperrvorrichtungen des Schließsystems betreffen. Die zumindest eine Blacklist ist bevorzugt auf ein einziges Schließsystem beschränkt. Anders ausgedrückt unterscheiden sich verschiedene Schließsysteme jeweils durch Blacklisten.
- Das Schließsystem kann zusätzlich oder alternativ dadurch charakterisiert werden, dass dem Schließsystem eine eigene Verschlüsselungsinformation, z. B. ein eigener Verschlüsselungsschlüssel und/oder ein eigener Verschlüsselungsalgorithmus, innewohnt. Die Verschlüsselungsinformation kann auch als kryptographische Information und/oder der Verschlüsselungsschlüssel als kryptographischer Schlüssel bezeichnet werden. Somit unterscheiden sich verschiedene Schließsysteme bevorzugt durch die Verschlüsselungsinformationen.
- Die Dekommissionierung der Sperrvorrichtung kann ein Zurücksetzen auf Werkseinstellungen umfassen. Insbesondere kann vorgesehen sein, dass die Dekommissionierung der Sperrvorrichtung das Löschen der kryptographische Information des Schließsystems in der Sperrvorrichtung beinhaltet. Bevorzugt wird hier durch eine kryptographische Information, die bei der Herstellung der Sperrvorrichtung in der Sperrvorrichtung gespeichert ist, aktiviert. Hierdurch kann der elektromechanische Aktuator der Sperrvorrichtung von jedem mechanisch passenden Schlüssel desselben Herstellers oder von jedem mechanisch passenden Schlüssel des Sicherheitssystems aktiviert werden.
- Am Ende der Dekommissionierung ist die Sperrvorrichtung bezogen auf das Schließsystem deaktiviert. Die Dekommissionierung der Sperrvorrichtung kann sicherstellen, dass die Sperrvorrichtung in einem anderen Schließsystem wiederverwendet werden kann, sofern die Sperrvorrichtung als solche funktionsfähig ist. Die Dekommissionierung der Sperrvorrichtung kann eine Deaktivierung der digitalen Repräsentation der Sperrvorrichtung mit der Sperrvorrichtungs-ID aus dem Schließsystem umfassen. Im Zuge der Dekommissionierung kann eine digitale Information zur Verbindung zu dem digitalen Repräsentation der Sperrvorrichtung und/oder eine digitale Information zur ausschließlichen Verwendung der Sperrvorrichtung in einem Schließsystem in der Sperrvorrichtung deaktiviert oder gelöscht werden.
- Optional kann die Dekommissionierung der Sperrvorrichtung eine physische Entfernung der Sperrvorrichtung am Einbauort umfassen.
- Die Befehlsnachricht, die der Schlüssel in Schritt a) empfängt, ist eine digitale Nachricht. Die Befehlsnachricht ist insbesondere von der Recheneinheit erzeugt worden. Die Befehlsnachricht umfasst digitale Informationen, die es dem Schlüssel ermöglicht, der korrekten Sperrvorrichtung die korrekte Konfigurationsänderung zu befehlen. Der Befehl ist ein Teil der Befehlsnachricht. Der Befehl umfasst bevorzugt digitale Informationen, die es dem Schlüssel ermöglicht, der korrekten Sperrvorrichtung die korrekte Konfigurationsänderung zu befehlen.
- Zwingende Voraussetzung dafür, dass der Schlüssel die Befehlsnachricht empfängt, ist, dass in der Recheneinheit zumindest ein Kriterium digital gespeichert ist. Die Recheneinheit verwendet das Kriterium, damit zumindest ein, bevorzugt mehrere, Schlüssel ausgewählt werden können, die der Sperrvorrichtung die Konfigurationsänderung befehlen sollen und die somit Empfänger der Befehlsnachricht sind. Beispielsweise ist ein Kriterium die Art der Konfigurationsänderung. Da ein Firmware Update eine Sicherheitslücke schließt, hingegen eine Dekommissionierung einer Sperrvorrichtung ein Sicherheitsrisiko darstellt, können mehr Schlüssel in dem Schießsystem erlaubt sein, ein Firmware Update durchzuführen als eine Dekommissionierung. Insbesondere können z. B. alle Schlüssel des Schließsystems ausgewählt werden, ein Firmware Update durchzuführen. Ein zusätzliches oder alternatives Kriterium kann die Zugehörigkeit zum Schließsystem darstellen.
- Der Verfahrensschritt b), in dem der Schlüssel der Sperrvorrichtung die Konfigurationsänderung befiehlt, kann von zumindest einer Bedingung abhängen. Beispielsweise müssen sich die Sperrvorrichtung und der Schlüssel zunächst gegenseitig verifizieren.
- Somit kann vorgesehen sein, dass die Sperrvorrichtung und der Schlüssel sich vor dem Ändern der elektronischen Konfiguration, insbesondere durch eine kryptographische Information des Schließsystems, verifizieren.
- Nach dem Verfahrensschritt b) führt die Sperrvorrichtung den Befehl aus. Es kann vorgesehen sein, dass die Sperrvorrichtung den Befehl nur ausführt, wenn zumindest ein Prüfschritt vorher erfolgreich durchgeführt wurde. Beispielsweise wird überprüft, ob der Befehl nicht veraltet ist. Zusätzlich oder alternativ kann überprüft werden, ob der Schlüssel, der den Befehl transferiert, auf der Blacklist, die in der Sperrvorrichtung gespeichert ist, aufgeführt ist.
- Das "Befehlen" in Schritt b) kann beinhalten, dass der Schlüssel den empfangenen, digitalen Befehl an die Sperrvorrichtung transferiert. Der Schlüssel kann den Befehl vor dem Transferieren modifizieren. Beispielsweise kann der Schlüssel die Verschlüsselung des Befehls verändern. Beispielsweise kann der Schlüssel eine Information in dem Befehl weglassen oder ergänzen. Somit kann der Schlüssel vor dem Transfer zumindest eine digitale Schlüssel-Befehlsnachricht generieren, mit der der Schlüssel der Sperrvorrichtung die Durchführung der Konfigurationsänderung befehlen kann. Im Folgenden wird vereinfachend der Begriff eine Schlüssel-Befehlsnachricht verwendet, auch wenn es sich hierbei um mehrere digitale Nachrichten handeln kann.
- Wie bereits erwähnt, ist das Auswählen des Schlüssels in der Recheneinheit und sicherer Transfer des Befehls zu dem schließsystemeigenen Schlüssel erfindungswesentlich.
- Die korrekte Auswahl des Schlüssels kann sich darin widerspiegeln, dass der Befehl in der Befehlsnachricht enthalten ist, die die Schlüssel ID des Schlüssels umfasst. Der sichere Transfer des Befehls zu dem Schlüssel kann sich darin widerspiegeln, dass der Befehl von dem Gerät nicht lesbar ist. Insbesondere ist der Befehl derart verschlüsselt, dass das Gerät den Befehl nicht lesen kann.
- Eine zusätzliche oder alternative Formulierung des Schritts a) in dem unabhängigen Verfahrensanspruch und dem unabhängigen auf den Schlüssel gerichteten Anspruch kann deswegen auch, wie folgt, formuliert werden:
- a) Der Schlüssel empfängt eine Befehlsnachricht mit einem Befehl zur Änderung der elektronischen Konfiguration der Sperrvorrichtung, insbesondere von der Recheneinheit über das Gerät,
- Bevorzugt ist jeder Schlüssel genau einem Schließsystem zugeordnet.
- Jeder Schlüssel des Schließsystems ist bevorzugt genau einem Benutzer zugeordnet, der als Schlüsselinhaber bezeichnet wird. In einem Ausführungsbeispiel der Erfindung ist auch jedem Schlüsselinhaber nur genau ein Schlüssel zugeordnet. In einem alternativen Ausführungsbeispiel der Erfindung, können mehrere Schlüssel einem Schlüsselinhaber zugeordnet sein. Sind mehrere Schlüssel einem Schlüsselinhaber zugeordnet, so gehört bevorzugt jeder der mehreren Schlüssel zu jeweils einem anderen Schließsystem.
- Es kann vorgesehen sein, dass in der Recheneinheit eine Assoziierung eines Kennzeichens eines Schlüsselinhabers des Schlüssels mit der digitalen Repräsentation des Schlüssels hinterlegt ist. Zusätzlich oder alternativ kann vorgesehen sein, dass in der Recheneinheit eine Assoziierung des eines Kennzeichens des Schlüsselinhabers des Schlüssels mit der Schlüssel-ID des Schlüssels hinterlegt ist. Unter einer Assoziierung kann man auch eine digitale Verknüpfung oder digitale Zuweisung des Kennzeichens des Schlüsselinhabers zu der digitalen Repräsentation des Schlüssels und/oder der Schlüssel-ID verstehen. Unter einem Kennzeichen eines Schlüsselinhabers ist z. B. einen Namen oder eine Schlüsselinhaber-ID zu verstehen.
- Vorzugsweise ist vorgesehen, dass das Verfahren den folgenden Schritt umfasst:
Ermöglichen der Auswahl des Schlüssels als Empfänger der Befehlsnachricht in Abhängigkeit von einer Berechtigungsrolle des Schlüsselinhabers als hinterlegtes Kriterium. - Der Begriff Berechtigungsrolle bezieht sich dabei auf eine Art der Berechtigung, die einem Schlüsselinhaber in einem Schließsystem zugewiesen sind. Die Berechtigungsrolle kann bestimmen, welche Aktionen der Schlüsselinhaber mit dem Schlüssel durchführen darf.
- Beispielsweise kann eine Berechtigungsrolle einem Zutrittsberechtigten entsprechen. Der Zutrittsberechtigte kann den Schlüssel verwenden, um den Aktuator zu aktivieren, um hierdurch Zutritt zu einem Raum zu erhalten. Eine andere Berechtigungsrolle kann einem Kommissionierer entsprechen. Der Kommissionierer kann Sperrvorrichtungen dekommissionieren und kommissionieren (in-Betrieb-nehmen).
- Eine weitere Berechtigungsrolle kann optional einem Firmware-Installateur entsprechen. Der Firmware-Installateur kann die Firmware der Sperrvorrichtung updaten. Es ist aber auch denkbar, dass der Firmware-Installateur keine eigene Berechtigungsrolle umfasst. Beispielsweise kann vorgesehen sein, dass jeder Schlüsselinhaber Firmware der Sperrvorrichtung updaten darf. Alternativ kann es vorgesehen sein, dass nur der Kommissionierer Firmware der Sperrvorrichtung updaten darf.
- Ein Kommissionierer und ggf. ein Firmware-Installateur müssen keine Zutrittsberechtigungen besitzen. Ein Kommissionierer darf aber Zutrittsberechtigungen besitzen.
- Die Berechtigungsrollen "Zutrittsberechtigter"; "Kommissionierer" und ggf. "Firmware-Installateur" sind Berechtigungsrollen von Schlüsselinhabern, die ihre Schlüssel mit den Sperrvorrichtungen des Schließsystems interagieren lassen.
- Das Schließsystem kann zumindest eine Benutzerrolle für administrative Tätigkeiten vorsehen. Eine Benutzerrolle kann einem Administrator entsprechen. Der Administrator darf das Transferieren eines Befehls von der Recheneinheit an den Schlüssel initiieren. Der Administrator darf Benutzer, Schlüssel und/oder Sperrvorrichtungen in der Recheneinheit digital anlegen. Der Administrator darf Schlüsselinhabern Berechtigungsrollen zuweisen. Der Administrator darf Zutrittsberechtigungen vergeben.
- Eine weitere Benutzerrolle kann einem Firmware-Updater entsprechen. Der Firmware-Updater kann z. B. ein Servicemitarbeiter der Herstellerfirma sein, dessen einziges Recht das Ausrollen eines Firmware-Updates entspricht. Hierbei kann der Firmware-Updater z. B. die Sperrvorrichtungen, die ein Firmware-Update benötigen, selektieren.
- Eine weitere, optionale Berechtigungs- und/oder Benutzerrolle kann einem Schließsystemeigentümer zugeordnet werden. Der Schließsystemeigentümer kann z. B. einen Administrator dem Schließsystem hinzufügen.
- Vorzugsweise ist vorgesehen, dass die Berechtigungsrolle zur Durchführung einer Dekommissionierung mehr Rechte als die Berechtigungsrolle zur Durchführung eines Firmware-Update ausgebildet ist. Das heißt insbesondere, ein Kommissionierer hat mehr Rechte als ein Zutrittsberechtigter oder ggf. ein Firmware-Installateur. So darf ein Zutrittsberechtigter keine Kommissionierungen oder Dekommissionierungen von Sperrvorrichtungen vornehmen.
- Bevorzugt ist vorgesehen, dass die Schlüsselinhaber unabhängig von ihrer Berechtigungsrolle jeweils den gleich aufgebauten Schlüssel besitzen. Das heißt, dass die Schlüssel der Schlüsselinhaber mit unterschiedlichen Berechtigungsrollen denselben mechanischen Aufbau besitzen. Es ist alleine von der in der Recheneinheit hinterlegten Berechtigungsrolle des Schlüsselinhabers abhängig, welche Befehle der Schlüssel empfangen darf bzw. welche Befehle die Recheneinheit an den Schlüssel transferiert.
- Bevorzugt ist in der Recheneinheit eine digitale Assoziierung des Kennzeichens des Schlüsselinhabers mit einer Berechtigungsrolle des Schlüsselinhabers elektronisch hinterlegt.
- Der Verfahrensschritt des Ermöglichen der Auswahl des Schlüssels in Abhängigkeit von der Berechtigungsrolle wird vorzugsweise durch die Recheneinheit durchgeführt. Ermöglichen bedeutet hierbei, dass die Recheneinheit automatisch prüft, ob ein Schlüssel die elektronische Konfiguration der Sperrvorrichtung ändern darf oder nicht. Beispielsweise ist der Recheneinheit bekannt, welche Sperrvorrichtung welcher Konfigurationsänderung unterzogen werden soll. Beispielsweise hat ein Administrator zumindest einen Schlüssel ausgewählt, der den Befehl zur Änderung der elektronischen Konfiguration der Sperrvorrichtung erhalten soll. Die Recheneinheit kann nun den von dem Administrator ausgewählten Schlüssel überprüfen, ob der dazugehörige Schlüsselinhaber der erforderlichen Berechtigungsrolle entspricht. Da die Schlüssel jeweils genau einem Schlüsselinhaber zugeordnet sind, kann der Administrator anstelle des Schlüssels den Schlüsselinhaber auswählen, der die Konfigurationsänderung der Sperrvorrichtung durchführen soll, und die Recheneinheit überprüft, ob der Schlüsselinhaber dafür der erforderlichen Berechtigungsrolle entspricht. Ergibt die Überprüfung, dass der Schlüsselinhaber bzw. der Schlüssel nicht berechtigt sind, so generiert die Recheineinheit keine Befehlsnachricht für den Schlüssel. Somit kann die Recheneinheit die Auswahl der Schlüssel zum Empfang der Befehlsnachricht limitieren. Alternativ kann die Recheneinheit dem Administrator nur die Schlüssel oder zugeordnete Schlüsselinhaber mit der passenden Berechtigungsrolle zur Auswahl auf dem Ausgabemittel anzeigen. Auch hierdurch kann eine Limitierung gegeben sein.
- Es ist denkbar das das Verfahren den folgenden Schritt umfasst:
automatisiertes Vorschlagen oder automatisiertes Durchführen der Auswahl des zumindest einen Schlüssel in Abhängigkeit von der Berechtigungsrolle des Schlüsselinhabers. - Der Verfahrensschritt wird bevorzugt von der Recheneinheit durchgeführt. Somit kann die Recheneinheit nicht nur die Auswahl des Schlüssels in Abhängigkeit von der Berechtigungsrolle ermöglichen, sondern eine aktivere Rolle spielen, nämlich aktiv, insbesondere einem Administrator, zumindest einen Schlüssel oder einen Schlüsselinhaber mit der passenden Berechtigungsrolle vorschlagen. Dem Vorschlag kann dann, insbesondere vom Administrator, zugestimmt oder der Vorschlag kann abgelehnt werden. In einer weiter gehenden Automatisierung kann die Recheneinheit den zumindest einen Schlüssel, der der Sperrvorrichtung die Konfigurationsänderung befehlen soll, vollständig selbst durchführen.
- Der Vorschlag oder die selbständige Auswahl kann die Recheneinheit optional aufgrund weiterer Kriterien treffen. Hierzu kann der Recheneinheit beispielsweise ein Arbeitsplan oder ein Aufenthaltsort des Schlüsselinhabers berücksichtigen.
- Es kann sein, dass auf dem Gerät eine Applikation, d.h. eine Softwareanwendung, installiert ist. Die Applikation wird insbesondere benötigt, um den Befehl und oder die Befehlsnachricht von der Recheneinheit zu dem Schlüssel zu transferieren. Bei der Applikation handelt es sich insbesondere um eine mobile App.
- Bevorzugt muss sich ein Schlüsselinhaber in der Applikation authentifizieren. Hierbei kann der Schlüsselinhaber z. B. ein Passwort oder einen Pin-Code eingeben oder sich biometrisch authentifizieren. Die Authentifizierung kann zusätzlich zu einer Authentifizierung, die zum Einloggen in das Gerät dient, vorgesehen sein.
- Vorzugsweise ist vorgesehen, dass der Schlüssel den Befehl nur empfangen kann, wenn der Schlüsselinhaber sich in einer Applikation auf dem Gerät authentifiziert hat. Insbesondere muss der Schlüsselinhaber sich in der Applikation authentifiziert haben und die Applikation geöffnet sein und zeitgleich der Schlüssel und das Gerät über die zweite Kommunikationsverbindung kommunizieren. Hierdurch wird sichergestellt, dass die Schlüsselinhaber-Schlüsselzuordnung, die für die sichere Verfahren ausschlaggebend ist, auch vor Ort beim Gerät eingehalten wird. Dieses kann besonders bedeutsam sein, wenn zunächst der Befehl oder die Befehlsnachricht in dem Gerät gespeichert wird und erst nach Beenden der Kommunikationsverbindung zwischen der Recheneinheit und dem Gerät der Befehl beziehungsweise die Befehlsnachricht an den Schlüssel transferiert wird.
- Bevorzugt ist vorgesehen, dass das Schließsystem, insbesondere die Recheneinheit, speichert, welcher Schlüsselinhaber sich authentifiziert hat, als der Schlüssel die Befehlsnachricht von dem Gerät empfangen hat. Insbesondere wird dieses in der digitalen Repräsentation des Schlüssels und/oder der Sperrvorrichtung, bevorzugt in der Repräsentation des Schlüssels, gespeichert.
- Das Gerät kann eine Transfer-Information umfassen. Die Transfer-Information dient dazu, die Befehlsnachricht an das Gerät zu transferieren. Die Transfer-information kann z. B. einer IP-Adresse oder einer Mobilfunknummer des Gerätes entsprechen. Bevorzugt ist die Transfer-Information als dem Schlüsselinhaber und/oder dem Schlüssel zugeordnet in der Recheneinheit elektronisch gespeichert. Hierbei kann das Kennzeichen des Schlüsselinhabers und/oder die digitale Repräsentation des Schlüssels mit der Transfer-Information assoziiert hinterlegt sein. Es kann vorgesehen sein, dass die Recheneinheit die Befehlsnachricht nur an das zumindest eine Gerät transferiert, dessen zugeordneter Schlüsselinhaber bzw. Schlüssel ausgewählt worden sind, die Konfigurationsänderung der Sperrvorrichtung herbeizuführen. Somit wird die Befehlsnachricht nur an das Gerät desjenigen Schlüsselinhabers transferiert, dessen Schlüssel zum Empfang der Befehlsnachricht ausgewählt worden ist.
- Es kann vorgesehen sein, dass der Schlüssel nur diejenigen Befehle oder Befehlsnachrichten empfangen kann, die zudem Schlüsselinhaber, der sich aktuell in der Applikation authentifiziert hat, gehört. Hierzu kann das Gerät die Recheneinheit digital anfragen, ob der aktuell authentifizierte Schlüsselinhaber zu dem aktuell in Kommunikationsverbindung dem Gerät stehende Schlüssel zugeordnet ist. Die Recheneinheit kann überprüfen, ob das Kennzeichen des Schlüsselinhabers mit der Schlüssel-ID als assoziiert in der Recheneinheit hinterlegt ist. Bejaht die Recheneinheit die Zuordnung, so kann der Schlüssel den Befehl empfangen, andernfalls wird die Kommunikation zwischen Gerät und Schlüssel unterbrochen. Die Assoziierung des Kennzeichens des Schlüsselinhabers mit der Schlüssel-ID kann zudem in dem Gerät zumindest über einen vorbestimmten Zeitraum gespeichert sein. Ist das Gerät nicht in Kommunikationsverbindung mit der Recheneinheit, so kann die in dem Gerät gespeicherte Assoziierung verwendet werden, um zu entscheiden, ob der Schlüssel den Befehl empfangen darf. Slnsbesondere wenn mehrere Schlüssel einem Schlüsselinhaber zugeordnet sind, so kann vorgesehen sein, dass der Schlüssel nur die für den Schlüssel bestimmten Befehle beziehungsweise Befehlsnachrichten von dem Gerät empfängt. Beispielsweise können das Gerät oder der Schlüssel nur die auf dem Gerät gespeicherten Befehlsnachrichten auswählen, die die Schlüssel-ID des Schlüssels, der gerade in Kommunikationsverbindung mit dem Gerät steht, umfasst. Ist einem Schlüsselinhaber jeweils nur genau ein Schlüssel zugeordnet, so kann vorzugsweise der Schlüssel alle Befehle beziehungsweise Befehlsnachricht, die in dem Gerät gespeichert sind, empfangen, wenn die zweite Kommunikationsverbindung zwischen dem Gerät und dem Schlüssel aufgebaut ist.
- Vorzugsweise ist vorgesehen, dass der Schlüssel ausschließlich der Sperrvorrichtung die Änderung der Konfiguration der Sperrvorrichtung gemäß Schritt b) befiehlt, wenn die der Schlüssel zuvor von der Recheneinheit den entsprechenden Befehl zur Änderung der Konfiguration der Sperrvorrichtung in Schritt a) empfangen hat. Somit ist es nicht möglich, lokal ohne Einbezug der Recheneinheit die Konfiguration der Sperrvorrichtung zu verändern. Vielmehr ist es stets notwendig, dass die Recheneinheit den Befehl an den Schlüssel in Schritt a) transferiert. Das heißt, nur die zwingende Abfolge der Schritte a) und b) führt zur Konfigurationsänderung der Sperrvorrichtung.
- Es kann vorgesehen sein, dass der Befehl derart verschlüsselt ist, dass nur der Schlüssel, der zum Empfang des Befehls zur Konfigurationsänderung der Sperrvorrichtung gemäß Schritt a) ausgewählt ist, den Befehl entschlüsseln kann.
- Vorzugsweise ist vorgesehen, dass nach Schritt a) der Schlüssel automatisch bei der nächsten Kommunikation des Schlüssels mit der Sperrvorrichtung die Durchführung der Konfigurationsänderung befiehlt. Automatisch bedeutet hierbei, dass der Schlüssel der Sperrvorrichtung die Konfigurationsänderung befiehlt, ohne dass der Schlüsselinhaber eine Aktion an dem Gerät durchführen muss. Vielmehr genügt es, dass der Schlüsselinhaber den Schlüssel in die Sperrvorrichtung einsteckt. Selbstverständlich kann vor Schritt b) die Bedingung überprüft werden. Zum Beispiel können sich der Schlüssel und die Sperrvorrichtung vor Schritt b) gegenseitig verifizieren. Ebenfalls ist es denkbar, dass nach Schritt b) die Sperrvorrichtung zumindest einen Prüfschritt durchführt, bevor die Sperrvorrichtung die Konfigurationsänderung durchführt.
- Es kann vorgesehen sein, dass sowohl für die Dekommissionierung als auch für das Firmware Update der Schlüssel automatisch bei der nächsten Kommunikation des Schlüssels mit der Sperrvorrichtung die Durchführung der Konfigurationsänderung befehlen kann. Ebenso kann ein Update der kryptographischen Information automatisch bei der nächsten Kommunikation des Schlüssels mit der Sperrvorrichtung durchgeführt werden.
- Allerdings stellt die Dekommissionierung der Sperrvorrichtung ein Sicherheitsrisiko dar. Dieser Tatsache kann, wie oben aufgeführt, dadurch Rechnung getragen werden, dass Schlüsselinhaber mit der Berechtigungsrolle des Komissionierers die Sperrvorrichtung dekommissionieren können, jedoch Zutrittsberechtigte und ggf. Firmware-Installateure nicht.
- Hingegen dürfen vorzugsweise Komissionierer und Zutrittsberechtigte und ggf. Firmware-Installateure Firmware Updates durchführen.
- Zusätzlich oder alternativ kann sich das Verfahren vor Ort an der Sperrvorrichtung unterscheiden.
- Für den Fall, dass die Änderung der Konfiguration und der Sperrvorrichtung einem Firmware Update der Sperrvorrichtung entspricht, so kann der Schlüssel automatisch bei der nächsten Kommunikation des Schlüssels mit der Sperrvorrichtung die Durchführung der Konfigurationsänderung befehlen.
- Für den Fall, dass die Änderung der Konfiguration der Sperrvorrichtung einer Dekommissionierung der Sperrvorrichtung entspricht, kann vorgesehen sein, dass Schritt b) erst nach einer Eingabe an dem Eingabemittel des Geräts durchgeführt werden kann. Somit ist im Falle einer Dekommissionierung der Sperrvorrichtung an dem Gerät eine zusätzliche Handlung der Schlüsselinhabers notwendig. Beispielsweise muss sich der Schlüsselinhaber in der Applikation und verifizieren und die zweite Kommunikationverbindung zwischen dem Schlüssel und dem Gerät muss aufgebaut sein. Zusätzlich oder alternativ kann vorgesehen sein, dass der Schlüsselinhaber mittels des Eingabemittels eine Dekommissionierungsfreigabe in das Gerät eingeben muss. Somit empfängt das Gerät die Dekommissionierungsfreigabe.
- Es kann beispielhaft vorgesehen sein, dass durch die Dekommissionierungsfreigabe ein Zusatzbefehl erzeugt wird, der an den Schlüssel transferiert wird.
- Zum Erzeugen der Dekommissionierungsfreigabe kann vorgesehen sein, dass der Schlüsselinhaber ein Dekommissionierungsfeld, das auf dem Ausgabemittel des Gerätes angezeigt wird, drücken muss. Vorzugsweise erscheint das Dekommissionierungsfeld erst nach Authentifizierung in der Applikation. Zusätzlich oder alternativ kann es sein, dass ein Sperrvorrichtungsname und/oder die Sperrvorrichtung-ID auf dem Ausgabemittel angezeigt wird, wobei der Schlüsselinhaber die Dekommissionierung der angezeigten Sperrvorrichtung freigeben muss. Sollen durch den Schlüsselinhaber mehrere Sperrvorrichtungen dekommissioniert werden, so kann der Schlüsselinhaber eine Sperrvorrichtung aus einer Liste möglicher zu dekommissionierenden Sperrvorrichtungen auswählen und freigeben.
- Bevorzugt ist es notwendig, dass der Schlüssel sowohl in Kommunikationsverbindung mit der Sperrvorrichtung als auch mit dem Gerät steht, wenn die Dekommissionierung erfolgt.
- Im Folgenden wird der Befehl und die Befehlsnachricht genauer beschrieben. Diese Merkmale gelten für das erfindungsgemäße Verfahren wie auch für den erfindungsgemäßen Schlüssel.
- Es kann vorgesehen sein, dass die Befehlsnachricht mit dem Befehl von dem Schlüssel empfangen wird. Vorzugsweise umfasst die Befehlsnachricht die Schlüssel-ID des Schlüssels. Besonders bevorzugt ist der Befehl von dem Gerät nicht lesbar.
- Der Befehl kann in der elektronischen Befehlsnachricht eingebettet sein. Der Befehl kann für das Gerät unlesbar ausgebildet sein. Insbesondere ist der Befehl derart verschlüsselt, dass nur ein Schlüssel, insbesondere nur der ausgewählte Schlüssel, der den Befehl empfangen hat, den Befehl entschlüsseln kann.
- Es kann vorgesehen sein, dass die Sperrvorrichtung den Befehl nicht entschlüsseln kann.
- Die Befehlsnachricht kann einen Teil umfassen, der von dem Gerät lesbar ist. Insbesondere Metadaten der Befehlsnachricht sind für das Gerät lesbar. Es kann vorgesehen sein, dass ausschließlich Metadaten für das Gerät lesbar sind.
- Bevorzugt umfasst die Befehlsnachricht die Schlüssel-ID des Schlüssels. Bevorzugt können nur die Befehlsnachrichten an den Schlüssel transferiert werden, wenn die Schlüssel-ID der Befehlsnachricht und des Schlüssels übereinstimmen. Zusätzlich oder alternativ kann der Schlüssel nur die Befehlsnachrichten entschlüsseln, wenn die Schlüssel-ID der Befehlsnachricht und die Schlüssel übereinstimmen.
- Vorzugsweise ist vorgesehen, dass die Befehlsnachricht, insbesondere der Befehl, die Sperrvorrichtung-ID der Sperrvorrichtung, bevorzugt eine Liste von mehreren Sperrvorrichtungs-IDs, an denen die elektronische Konfigurationsänderung durchzuführen ist, umfasst.
- Bevorzugt umfasst der Befehl die Sperrvorrichtungs-ID der Sperrvorrichtung. Hierdurch ist die Sperrvorrichtung-ID in dem für das Gerät unlesbaren Teil der Befehlsnachricht aufgenommen. Sind mehrere Sperrvorrichtungen von demselben Schlüssel derselbe elektronischen Konfigurationsänderung zu unterziehen, so kann die Befehlsnachricht, insbesondere der Befehl, eine Liste der entsprechenden Sperrvorrichtungs-IDs umfassen.
- Bevorzugt ist vorgesehen, dass eine Selektion, an welcher Sperrvorrichtung die elektronische Konfigurationsänderung durchzuführen ist, ausschließlich von der Recheneinheit empfangen werden kann. Somit ist es nicht möglich, ohne Einbeziehung der Recheneinheit eine Sperrvorrichtung bzw. mehrere Sperrvorrichtungen zu bestimmen, an denen eine elektronische Konfigurationsänderung vorgenommen werden soll. Somit wird die Selektion der Sperrvorrichtungen in der Recheneinheit, ggf. unter Einbeziehung eines Administrators oder Firmware-Updaters, vorgenommen. Die Selektion der zumindest einen Sperrvorrichtung, an der die Konfigurationsänderung durchzuführen ist, kann in der Recheneinheit hinterlegt sein. Bevorzugt ist es stets notwendig, dass die Entscheidung zur Konfigurationsänderung der Sperrvorrichtung mittels der Recheneinheit, ggf. unter Einbeziehung eines Administrators oder Firmware Updaters, getroffen wird und ein entsprechender Befehl von der Recheneinheit an den Schlüssel transferiert wird.
- Es kann sein, dass die Befehlsnachricht, insbesondere der Befehl, eine Information über die Art der Konfigurationsänderung umfasst. Somit ist in der Befehlsnachricht, insbesondere in dem Befehl, z. B. angegeben, ob eine Dekommissionierung der Sperrvorrichtung oder ein Firmware Update der Sperrvorrichtung oder ggf. ein Update der kryptographischen Information der Sperrvorrichtung durchzuführen ist. Bevorzugt umfasst der Befehl die Information über Art der Konfigurationsänderung. Hierdurch ist diese Information in dem Teil der Befehlsnachricht vorgesehen, der für das Gerät unleserlich ist.
- Zusätzlich oder alternativ kann vorgesehen sein, dass der Befehl eine Konfigurationsänderungsnummer umfasst. Beispielsweise kann die Konfigurationsänderungsnummer eine fortlaufende Nummer für jede Art der Konfigurationsänderung sein. Mittels der Konfigurationsänderungsnummer kann eine zeitliche Abfolge der Befehle, die die Recheneinheit transferiert, nachgehalten werden. Hierdurch ist es möglich, dass die Sperrvorrichtung als einen Prüfschritt überprüft, ob der Befehl veraltet ist oder nicht. Es kann sein, dass hierzu die Sperrvorrichtung nach dem Durchführen der Konfigurationsänderung die dazugehörige Konfigurationsänderungsnummer speichert.
- Insbesondere die Information über die Art der Konfigurationsänderung und/oder die Konfigurationsänderungsnummer in der Schlüssel-Befehlsnachricht enthalten.
- Es kann vorgesehen sein, dass die Sperrvorrichtung die Konfigurationsänderung nur durchführt, wenn die von dem Schlüssel empfangene Konfigurationsänderungsnummer größer ist als die in der Sperrvorrichtung gespeicherte Konfigurationsänderungsnummer.
- Nach dem Durchführen der Konfigurationsänderung meldet vorzugsweise die Sperrvorrichtung über den Schlüssel und über das Gerät an die Recheneinheit die Durchführung des Befehls zurück. Insbesondere speichert das Recheneinheit eine Information über die geänderte Konfiguration in der digitalen Repräsentation der Sperrvorrichtung. Es kann vorgesehen sein das die Recheneinheit die erfolgreiche Ausführung des Befehls in der digitalen Repräsentation desjenigen Schlüssels, der Schritt b) durchführt hat, speichert.
- Vorzugsweise ist vorgesehen, dass mehrere Schlüssel zum Ausführen des Befehls zum Ändern der elektronischen Konfiguration der Sperrvorrichtung ausgewählt sind und die Auswahl in der Recheneinheit, insbesondere in den digitalen Repräsentationen der ausgewählten Schlüssel, hinterlegt sind. Somit kann ein Befehl mit derselben Information über die Art der Konfigurationsänderung und/oder derselben Konfigurationsänderungsnummer und/oder derselben Sperrvorrichtungs-ID an mehrere Schlüssel transferiert werden. Der Befehl kann für unterschiedliche Schlüssel unterschiedlich verschlüsselt sein. Der Befehl kann in unterschiedlichen Befehlsnachrichten eingebettet sein, die sich zumindest durch die jeweilige Schlüssel-ID unterscheiden.
- Ist die Durchführung der Konfigurationsänderung an die Recheneinheit rückgemeldet worden, so kann vorgesehen sein, dass die mehreren Schlüssel, an die die Recheneinheit Befehl zur derselben Konfigurationsänderung derselben Sperrvorrichtung transferiert hat, jeweils eine Nachricht von der Recheneinheit empfangen, den Befehl nicht auszuführen. Hieraufhin können die Schlüssel den Befehl löschen oder deaktivieren. Eine entsprechende Nachricht kann z. B. bei dem nächsten Update des Schlüssels erfolgen.
- Haben mehrere Schlüssel denselben Befehl (ggf. anders verschlüsselt) erhalten, so kann verhindert werden, dass derselbe Befehl durch verschiedene Schlüssel von der Sperrvorrichtung durchgeführt wird, indem die Konfigurationsänderungsnummer in der Sperrvorrichtung hinterlegt wird und/oder indem der Befehl nach Ausführung in den mehreren Schlüsseln deaktiviert oder gelöscht wird.
- Vorzugsweise ist vorgesehen, dass der Schlüssel den Befehl entschlüsselt, bevor der Schlüssel Schritt b) durchführt. Hierdurch wird die Zeitspanne von dem Einstecken der Schlüssel in die Sperrvorrichtung bis zum Durchführen der Konfigurationsänderung in der Sperrvorrichtung geringgehalten. Es ist möglich, dass der Schlüssel überprüft, ob die Befehlsnachricht, insbesondere der Befehl, fehlerhaft empfangen worden ist. Im Falle eines fehlerhaften Empfangs kann vorgesehen sein, dass der Schlüssel über das Gerät an die Recheneinheit den fehlerhaften Empfang rückmeldet, woraufhin der Schlüssel erneut von der Recheneinheit über das Gerät den Befehl empfängt. Dadurch dass dieser Prozess bereits vor dem Einstecken des Schlüssels in die Sperrvorrichtung erfolgen kann, wird nach dem Einstecken des Schlüssels in die Sperrvorrichtung Zeit gespart.
- Vorzugsweise werden Informationen zur Ausgabe auf dem Ausgabemittel in einem zur Befehlsnachricht separaten Transfer von der Recheneinheit an das Gerät übermittelt. Die Informationen können zum Beispiel enthalten, welche Konfigurationsänderung und/oder an welcher Sperrvorrichtung die Konfigurationsänderung durchzuführen ist. Der separate Transfer kann beispielsweise durch eine separate E-Mail oder eine separate Kurznachricht erfolgen.
- Die Befehlsnachricht kann ein Firmware-Update-Datenpaket umfassen, falls die Konfigurationsänderung einem Firmware Update entspricht. Somit kann neben dem Befehl, der Schlüssel-ID noch zusätzlich das Firmware-Update-Datenpaket in der Befehlsnachricht enthalten sein. Vorzugsweise ist das Firmware-Update-Datenpaket verschlüsselt und kann durch die Sperrvorrichtung entschlüsselt werden. Besonders bevorzugt kann das Firmware-Update-Datenpaket nicht von dem Gerät entschlüsselt werden. Es kann vorgesehen sein, dass das Firmware-Update-Datenpaket nicht von dem Schlüssel entschlüsselbar ist.
- Beispielsweise kann in dem Schlüssel nur gleichzeitig ein Firmware-Update-Datenpaket gespeichert sein. Das Firmware-Update-Datenpaket kann eine Firmware-Versionsnummer umfassen. Es kann vorgesehen sein, dass das Firmware Update von der Sperrvorrichtung nur durchgeführt wird, wenn die empfangene Firmware-Versionsnummer größer ist als die in der Sperrvorrichtung gespeicherte Firmware Versionsnummer.
- Es kann vorgesehen sein, dass in der Recheneinheit in der digitalen Repräsentation der Sperrvorrichtung die auf der Sperrvorrichtung gespeicherte Firmware-Versionsnummer hinterlegt ist, wobei die Recheneinheit automatisch zumindest eine Sperrvorrichtung anhand der gespeicherten Firmware-Versionsnummer vorschlägt oder auswählt, bei der das Firmware-Update durchzuführen ist.
- Vorzugsweise kann der Schlüssel sich selbst dekommissionieren. Hierzu empfängt der Schlüssel von der Recheneinheit über das Gerät einen Befehl zur Schlüssel-Dekommissionierung. Bevorzugt kann der Schlüssel sich ausschließlich dann dekommissionieren, wenn der Schlüssel von der Recheneinheit den Befehl zur Schlüssel-dekommissionierung empfangen hat.
- Der Befehl zur Schlüssel-Dekommissionierung ist vorzugsweise verschlüsselt. Bevorzugt ist der Befehl zur Schlüssel-Dekommissionierung für das Gerät unlesbar. Besonders bevorzugt ist der Befehl zur Schlüssel-Dekommissionierung von dem Schlüssel, insbesondere nur von dem Schlüssel, entschlüsselbar, der dekommissioniert werden soll.
- Eine Schlüssel-Dekommissionierungs-Befehlsnachricht kann den Befehl zur Schlüssel-Dekommissionierung umfassen. Die Schlüssel-Dekommissionierungs-Befehlsnachricht kann die Schlüssel-ID des zu dekommissionierenden Schlüssels umfassen. Die Schlüssel-Dekommissionierungs-Befehlsnachricht, insbesondere der Befehl, zur Schlüssel-Dekommissionierung kann eine Information darüber enthalten, dass der Schlüssel zu dekommissionieren ist. Die Schlüssel-Dekommissionierungs-Befehlsnachricht, insbesondere der Befehl zur Schlüssel-Dekommissionierung, kann eine Konfigurationsänderungsnummer umfassen. Bevorzugt führt der Schlüssel den Befehl zur Schlüssel-Dekommissionierung nur aus, wenn eine gespeicherte Konfigurationsänderungsnummer kleiner ist als die Konfigurationsänderungsnummer des empfangenen Befehls zur Schlüssel-Dekommissionierung. Die Schlüssel-Dekommissionierungs-Befehlsnachricht wird von der Recheneinheit zu dem Schlüssel über das Gerät transferiert.
- Im Gegensatz zur Dekomissionierung der Sperrvorrichtung ist es vorzugsweise bei der Dekommissionierung des Schlüssels nicht notwendig, dass die zur Schlüssel-Dekommissionierung-Befehlsnachricht über das Gerät des Schlüsselinhabers, der zugleich die erforderliche Berechtigungsrolle innehat, an den Schlüssel transferiert wird. Vielmehr kann die Recheneinheit den Befehl zur Schlüssel-Dekommissionierung sowohl über das Gerät des dazugehörigen Schlüsselinhabers als auch über einen anderen Benutzer, der die Berechtigungsrolle, die eine Dekommissionierung des Schlüssels erlaubt, innehat, transferieren. Hierdurch können auch Schlüssel.dekommissioniert werden, denen kein Schlüsselinhaber, der die Dekommissionierung durchführen kann, zugeordnet ist. Beispielsweise kann der Schlüsselinhaber den Arbeitgeber gewechselt haben oder erkrankt sein.
- Somit kann vorgesehen sein, dass der Schlüssel ausgebildet ist sich selbst zu dekommissionieren, wenn der Schlüssel von der Recheneinheit über das Gerät ein Befehl zur Dekommissionierung der Schlüssel empfängt, wobei der Befehl zur Dekommissionierung des Schlüssels von einem Gerät der Schlüsselinhabers oder von einem Gerät eines anderen Benutzers mit der erforderlichen Berechtigungsrolle empfangen werden kann.
- Bei dem Benutzer mit der erforderlichen Berechtigungsrolle zur Dekommissionierung des Schlüssels handelt es sich z.B. um den Kommissionierer. Ein Zutrittsberechtigter und ggf. ein Firmware-Installateur haben hingegen bevorzugt nicht die erforderliche Berechtigungsrolle zur Dekommissionierung des Schlüssels.
- Die Aufgabe der Erfindung wird auch durch eine Sperreinheit gelöst. Die Sperreinheit umfasst den erfindungsgemäßen Schlüssel und eine Sperrvorrichtung. Der Schlüssel ist, wie in der Beschreibung offenbart und/oder in den Ansprüchen 7 bis 12 beansprucht, ausgebildet. Die Sperrvorrichtung ist ausgebildet, von dem Schlüssel eine elektronische Konfigurationsänderung befohlen zu bekommen und die Konfigurationsänderung auszuführen.
- Die Sperrvorrichtung Ist insbesondere ausgebildet, die Konfigurationsänderung nur durchzuführen, wenn die Sperrvorrichtung und der Schlüssel sich zuvor, insbesondere durch eine kryptographische Information des Schließsystems, verifiziert haben.
- Die Sperrvorrichtung kann vorzugsweise ausgebildet sein, die Konfigurationsänderung nur durchzuführen, wenn der Schlüssel, der der Sperrvorrichtung die Konfigurationsänderung befohlen hat, nicht auf der Blacklist geführt ist. Die Blacklist ist in der Sperrvorrichtung elektronisch gespeichert.
- Es kann vorgesehen sein, dass die Sperrvorrichtung die Konfigurationsänderung nur durchführt, wenn in Schritt b) empfangenen Konfigurationsänderungsnummer größer ist als eine in der Sperrvorrichtung gespeicherte Konfigurationsänderungsnummer.
- Entspricht die Konfigurationsänderung einem Firmware Update der Sperrvorrichtung, so empfängt die Sperrvorrichtung in Schritt b) das Firmware-Update-Datenpaket. Die Sperrvorrichtung ist bevorzugt ausgebildet, das verschlüsselte Firmware-Update-Datenpaket zu entschlüsseln. Es kann vorgesehen sein, dass die Sperrvorrichtung das Firmware Update nur dann durchführt, wenn die Firmware-Versionsnummer des empfangenen Firmware-Update-Datenpakets grösser ist als eine in der Sperrvorrichtung gespeicherten Firmware-Versionsnummer. Die Sperrvorrichtung ist bevorzugt ausgebildet, das empfangene Firmware-Update-Datenpaket in Betrieb zu nehmen.
- Entspricht die Konfigurationsänderung einer Dekommissionierung der Sperrvorrichtung, so ist die Sperrvorrichtung bevorzugt ausgebildet, nach Schritt b) die kryptographische Information des Schließsystems zu löschen. Bevorzugt ist die Sperrvorrichtung ausgebildet, die kryptographische Information, die bei der Herstellung der Sperrvorrichtung in der Sperrvorrichtung gespeichert ist, zu aktivieren.
- Es kann vorgesehen sein, dass bei einer Dekommmissionierung der Sperrvorrichtung die Sperrvorrichtung ausgebildet ist, eine digitale Information, zum Beispiel einen Code, der die Sperrvorrichtung der digitalen Repräsentation der Sperrvorrichtung zuordnet, zu löschen. Alternativ oder zusätzlich kann bei der Dekommissionierung der Sperrvorrichtung die Sperrvorrichtung ausgebildet sein, eine digitale Information zu generieren, die eine Zuordnung zu einer digitalen Repräsentation in einem anderen Schließsystem ermöglicht.
- Es kann zusätzlich oder alternativ vorgesehen sein, dass bei einer Dekommmissionierung der Sperrvorrichtung die Sperrvorrichtung ausgebildet ist, eine digitale Information, zum Beispiel einen Code, der die Sperrvorrichtung einem Schließsystem zuordnet, zu löschen. Alternativ oder zusätzlich kann bei der Dekommissionierung der Sperrvorrichtung die Sperrvorrichtung ausgebildet sein, eine digitale Information zu generieren, die eine Zuordnung zu einem anderen Schließsystem ermöglicht.
- Die Aufgabe der Erfindung wird auch durch ein Schließsystem gelöst. Das Schließsystem umfasst zumindest einen erfindungsgemäßen Schlüssel. Der Schlüssel ist, wie in der Beschreibung und/oder wie in den Ansprüchen 7 bis 12 angegeben, ausgebildet.
- Wie bereits erwähnt, umfasst das Schließsystem mehrere Sperrvorrichtungen. Die Sperrvorrichtungen sind insbesondere wie im Rahmen dieser Offenbarung beschrieben und/oder wie in den Ansprüchen 13 und14 in Bezug auf die Sperreinheit offenbart, ausgebildet.
- Das Schließsystem kann mehrere Schlüssel, insbesondere für die Zutrittsberechtigten, umfassen. Das Schließsystem umfasst zumindest einen Schlüssel, mit dem die Konfigurationsänderung der Sperrvorrichtung gemäß den Schritten a) und b) durchführbar ist. Im Falle einer Dekommissionierung der Sperrvorrichtung umfasst das Schließsystem vorzugsweise zumindest einen Schlüssel, der einem Kommissionierer gehört. Natürlich kann das Schließsystem auch mehrere Schlüssel umfassen, mit denen die Konfigurationsänderung der Sperrvorrichtung gemäß den Schritten a) und b) durchführbar ist.
- Das erfindungsgemäße Schließsystem umfasst die Recheneinheit. Die Recheneinheit ist ausgebildet, mit dem Gerät, insbesondere drahtlos, zu kommunizieren. Die Kommunikation erfolgt insbesondere über das Internet oder das Telekommunikationsnetz. In dem Recheneinheit ist die Auswahl von einer Schlüssel-ID zumindest eines Schlüssel zum Ausführen des Befehls zum Ändern der elektronischen Konfiguration der Sperrvorrichtung hinterlegt. In der Recheneinheit ist das zumindest eine Kriterium zur Auswahl des Schlüssels, der die Konfigurationsänderung der Sperrvorrichtung empfehlen soll, hinterlegt. Die Recheneinheit ist ausgebildet, den Befehl zu Änderung der elektronischen Konfiguration der Sperrvorrichtung an das Gerät zu transferieren.
- Aus Sicht des Schließsystem kann der Erfindungsgedanke wie folgt wiedergegeben werden:
- Das Schließsystem ist mit zumindest einer Recheneinheit, einem gegenständlichen Schlüssel und einer Sperrvorrichtung ausgebildet, wobei der Schlüssel und die Sperrvorrichtung ausgebildet sind, über eine erste Kommunikationsverbindung zu kommunizieren, wobei der Schlüssel ausgebildet ist, mit einem Gerät über eine zweiten Kommunikationsverbindung zu kommunizieren und wobei die Recheneinheit ausgebildet ist, über eine dritte Kommunikationsverbindung mit dem Gerät zu kommunizieren, wobei in der Recheneinheit ein Kriterium zum Auswählen zumindest eines Schlüssels zum Befehlen der Änderung der Konfiguration der Sperrvorrichtung digital hinterlegt ist,
- wobei die Recheneinheit ausgebildet ist, anhand des Kriteriums eine Auswahl des zumindest einen Schlüssels zum Befehlen der Änderung der Konfiguration der Sperrvorrichtung zu ermöglichen, insbesondere den zumindest einen Schlüssel vorzuschlagen oder auszuwählen,
- wobei die Recheneinheit ausgebildet ist, eine Befehlsnachricht mit einem Befehl zur Änderung der Konfiguration der Sperrvorrichtung für den Schlüssel zu generieren und an den Schlüssel über die zweite und dritte Kommunikationsverbindung zu transferieren,
- wobei der Schlüssel ausgebildet ist, der Sperrvorrichtung die Konfigurationsänderung zu befehlen, indem der Schlüssel ausgebildet ist, eine Schlüssel-Befehlsnachricht mit einem, insbesondere modifizierten, Befehl zur Änderung der Konfiguration der Sperrvorrichtung über die erste Kommunikationsverbindung an die Sperrvorrichtung zu transferieren,
- wobei die Sperrvorrichtung ausgebildet ist, nach dem Empfang der Schlüssel-Befehlsnachricht die Konfigurationsänderung durchzuführen.
- Die Recheneinheit ist insbesondere wie im Rahmen dieser Offenbarung beschrieben, ausgebildet. Insbesondere ist die Recheneinheit ausgebildet, das Verfahren nach Anspruch 2 oder 3 durchzuführen. Die Recheneinheit kann somit beispielsweise als der Server, insbesondere als der Cloud-Server oder virtueller Bereich eines Cloud-Servers, ausgebildet sein. Insbesondere ist in der Recheneinheit die Datenbank mit digitalen Daten des Schließsystems hinterlegt. Die Recheneinheit umfasst somit zumindest den elektronischen Speicher und/oder den Prozessor. In dem elektronischen Speicher sind bevorzugt die digitalen Repräsentationen der Schlüssel und/oder der Sperrvorrichtungen der Schließsystems gespeichert. Es kann vorgesehen sein, dass in der Recheneinheit eine Assoziierung des Kennzeichens des Schlüsselinhabers mit den digitalen Repräsentation des Schlüssels und/oder der Schlüssel-ID hinterlegt ist. Vorzugsweise sind in der Recheneinheit die Berechtigungsrollen der Schlüsselinhaber gespeichert und mit dem Kennzeichen des Schlüsselinhabers digital assoziiert. Die Recheneinheit kann die Ein- und Ausgabevorrichtung umfassen, mit der zum Beispiel der Administrator die Recheneinheit bedienen kann. Die Eingabevorrichtung kann z.B. eine Tastatur oder einen Touchscreen umfassen. Die Ausgabevorrichtung kann z.B. einen Bildschirm umfassen.
- Der Verfahrensschritt des Ermöglichen der Auswahl des Schlüssels in Abhängigkeit von der Berichtigungsstufe wird vorzugsweise durch die Recheneinheit durchgeführt. Insbesondere das automatisierte Vorschlagen oder Durchführen der Auswahl des zumindest einen Schlüssel in Abhängigkeit von der Berechtigungsrolle des Schlüsselinhabers wird von der Recheneinheit durchgeführt. Ist eine Konfigurationsänderung der Sperrvorrichtung vorzunehmen, so kann die Recheneinheit den Schlüsselinhaber bzw. den dem Schlüsselinhaber zugeordneten Schlüssel, vorzugsweise die mehreren Schlüsselinhaber bzw. die deren zugeordnete Schlüssel, zur Ausführung der Konfigurationsänderung auf der Ausgabevorrichtung ausgeben. Hierbei zeigt die Ausgabevorrichtung nur den bzw. die Schlüsselinhaber an, die der Berechtigungsrolle entsprechen, um die Konfigurationsänderung vornehmen zu dürfen. Dieie Auswahl der Schlüsselinhaber kann durch eine Eingabe an der Eingabevorrichtung, insbesondere vom Administrator, bestätigt werden. Alternativ kann die Recheneinheit automatisiert den oder die Schlüssel anhand der Berechtigungsrollen der zugeordneten Schlüsselinhaber auswählen, die den Befehl zur Konfgurationsänderung erhalten sollen.
- Insbesondere im Fall eines Firmware Updates der Sperrvorrichtung kann die Recheneinheit die digitalen Repräsentationen der Sperrvorrichtungen selektieren, welche Sperrvorrichtung ein Firmware Update benötigt. Hierzu kann die Recheneinheit die auf den Sperrvorrichtungen installierte und in dem digitalen Repräsentation hinterlegte Firmwareversionsnummer mit der Firmwareversionsnummer des Firmware-Update-Datenpakets vergleichen. Die Recheneinheit kann, insbesondere dem Administrator und/oder dem Firmware Updater, die entsprechenden Sperrvorrichtungen zur Durchführung des Firmware Updates vorschlagen oder automatisch die Sperrvorrichtungen selektieren.
- Die Recheneinheit kann eine elektronische Anfrage, eine Konfigurationsänderung der Sperrvorrichtung durchführen zu dürfen, erhalten. Die Anfrage umfasst bevorzugt die Sperrvorrichtung-ID der Sperrvorrichtung, deren Konfiguration geändert werden soll, und die Schlüssel-ID des Schlüssels, der der Sperrvorrichtung die Konfigurationsänderung befehlen soll. Erhält die Recheneinheit die Anfrage, eine Konfigurationsänderung der Sperrvorrichtung durch den Schlüssel durchführen zu dürfen, so kann die Recheneinheit automatisch überprüfen, ob der Schlüsselinhaber des Schlüssels, von dem die Schlüssel-ID in der Anfrage enthalten ist, der Berechtigungsrolle entspricht. Falls dieses nicht der Fall ist, so kann die Recheneinheit automatisch die Anfrage beenden und keinen entsprechenden Befehl an den Schlüssel senden. Falls der Schlüsselinhaber der Berechtigungsrolle entspricht, so kann die Recheneinheit, insbesondere dem Administrator, die Durchführung der Konfigurationsänderung auf der Ausgabevorrichtung vorschlagen. Der Vorschlag kann mittels der Eingabevorrichtung, insbesondere von dem Administrator, angenommen oder abgelehnt werden. Alternativ kann die Recheneinheit automatisch die Durchführung der Konfigurationsänderung initiieren und einen entsprechenden Befehl an den Schlüssel transferieren.
- Ist eine Konfigurationsänderung des Schlüssels, insbesondere eine Dekommissionierung des Schlüssels, vorzunehmen, so kann die Recheneinheit den Schlüsselinhaber oder einen Benutzer mit der erforderlichen Berechtigungsrolle vorschlagen, über dessen Gerät die Dekommissionierung des Schlüssels erfolgen soll. Hierbei zeigt die Ausgabevorrichtung nur den bzw. die Benutzer an, die die Dekommissionierung des Schlüssels vornehmen dürfen. Die Auswahl durch eine Eingabe an der Eingabevorrichtung bestätigt oder abgelehnt werden, insbesondere vom Administrator. Alternativ kann die Recheneinheit automatisch den oder die Benutzer auswählen, über dessen bzw. deren Geräte die Dekommissionierung des Schlüssels erfolgen soll.
- Die Recheneinheit kann eine Anfrage, eine Dekommissionierung des Schlüssels durchführen zu dürfen, erhalten. Die Anfrage umfasst bevorzugt die Schlüssel-ID des Schlüssels, der dekommissioniert werden soll, und den Benutzer, der die Dekommissionierung durchführen möchte. Erhält die Recheneinheit die Anfrage zur Dekommissionierung des Schlüssels, so kann die Recheneinheit automatisch überprüfen, ob der anfragende Benutzer zur Dekommissionierung des Schlüssels berechtigt ist. Hierbei überprüft die Recheneinheit, ob der Benutzer der Schlüsselinhaber ist oder ob der Benutzer die erforderliche Berechtigungsrolle innehat. Falls dieses nicht der Fall ist, so kann die Recheneinheit automatisch die Anfrage beenden und keinen entsprechenden Befehl an den Schlüssel senden. Falls der Benutzer zur Dekommissionierung des Schlüssels berechtigt ist, so kann die Recheneinheit, insbesondere dem Administrator, die Dekommissionierung des Schlüssels auf der Ausgabevorrichtung vorschlagen. Der Vorschlag kann mittels der Eingabevorrichtung angenommen oder abgelehnt werden, insbesondere vom Administrator. Alternativ kann die Recheneinheit automatisch die Durchführung der Dekommissionierung initiieren und einen entsprechenden Befehl zu Dekommissionierung des Schlüssels an den Schlüssel transferieren.
- Die Recheneinheit ist ausgebildet, die Befehlsnachricht zur Konfigurationsänderung der Sperrvorrichtung, nämlich einem Firmware Update der Sperrvorrichtung oder einer Dekommissionierung der Sperrvorrichtung, oder die Schlüssel-Dekommissionierungs-Befehlsnachricht zur Dekommissionierung des Schlüssels zu erzeugen. Die Recheneinheit ist ausgebildet, die Befehlsnachricht oder die Schlüssel-Dekommissionierungs-Befehlsnachricht über das Gerät an den Schlüssel zu transferieren. Die Recheneinheit ist ausgebildet, den Befehl zu verschlüsseln, insbesondere derart zu verschlüsseln, dass der Schlüssel, nicht jedoch das Gerät, den Befehl entschlüsseln kann.
- Die Recheneinheit ist insbesondere ausgebildet, die Berechtigungsrollen der Schlüsselinhaber zu speichern. Die Recheneinheit ist bevorzugt ausgebildet, dass ein Administrator die Berechtigungsrollen der Schlüsselinhaber mittels der Eingabevorrichtung festlegen kann. Hierzu können z. B. auf der Ausgabevorrichtung bei der Anlegung eines neuen Schlüsselinhabers die möglichen Berechtigungsrollen zur Auswahl angezeigt werden. Der Administrator kann vorzugsweise mittels der Eingabevorrichtung die gewünschte Berechtigungsrolle auswählen.
- Die Recheneinheit ist insbesondere ausgebildet, die Transfer-Information zum Transferieren der Befehlsnachricht an das Gerät elektronisch zu speichern. Bevorzugt ist die Transferinformation als dem Schlüsselinhaber und/oder dem Schlüssel zugehörig in der Recheneinheit elektronisch gespeichert. D. h. die Transfer-Information ist mit dem Kennzeichen des Schlüsselinhabers und/oder der Schlüssel-ID und/oder der digitalen Repräsentation des Schlüssels assoziiert. Die Recheneinheit ist ausgebildet, die Befehlsnachricht für den Schlüssel mittels der Transfer-Information an das Gerät des Schlüsselinhabers des entsprechenden Schlüssels zu transferieren. Authentifiziert sich der Schlüsselinhaber an einem Gerät, dessen Transfer-Information von der als zu dem Schlüsselinhaber hinterlegten Transfer-Information abweicht, so ist die Recheneinheit bevorzugt ausgebildet, die Transfer-Information, die zu dem Schlüsselinhaber gehört, entsprechend zu ändern oder diese Änderung vorzuschlagen.
- Optional umfasst das Schließsystem zumindest ein Gerät des zumindest einen Schlüsselinhabers, mittels dessen der Schlüssel die Bfehlsnachricht empfangen kann. Sind mehrere Schlüssel des Schließsystems ausgebildet, die Schritte a) und b) durchzuführen, so umfasst das Schließsystem bevorzugt die mehreren Geräte der Schlüsselinhaber, denen die entsprechenden Schlüssel gehören. Die Geräte können wie beschrieben ausgebildet sein.
- Die Aufgabe der Erfindung wird auch durch ein Sicherheitssystem mit mehreren erfindungsgemäßen Schließsystemen gelöst. Die einzelnen erfindungsgemäßen Schließsysteme können wie im Rahmen dieser Offenbarung beschrieben, ausgebildet sein. Insbesondere sind die Schließsysteme jeweils nach Anspruch 15 ausgebildet.
- Bevorzugt ist vorgesehen, dass jeder Schlüssel nur genau einem Schließsystem zugeordnet ist. Jeder Schlüssel ist bevorzugt genau einem Schlüsselinhaber zugeordnet. In einem Ausführungsbeispiel der Erfindung ist jeder Schlüsselinhaber genau einen Schließsystem zugeordnet. In einem alternativen Ausführungsbeispiel der Erfindung, kann der Schlüsselinhaber zu mehreren Schließsystemen gehören. Hierzu kann der Schlüsselinhaber jeweils mit einem Schlüssel der mehreren ihm zugeordneten Schlüsseln jeweils zu einem Schließsystem gehören. Hierbei ist in der Recheneinheit des jeweiligen Schließsystems die Zuordnung des Schlüsselinhabers zu dem Schlüssel, der dem Schließinhaber in dem jeweiligen Schließsystem zugeordnet ist, hinterlegt. Ebenfalls ist vorzugsweise in jeder Recheneinheit die Transfer-Information des Schlüsselinhabers hinterlegt.
- Recheneinheiten der mehreren Schließsysteme können zusammen ein Rechensystem bilden, wobei insbesondere die einzelnen Recheneinheiten virtuelle Bereiche des Rechensystems bilden können.
- Vorzugsweise ist vorgesehen, dass ein Schlüsselinhaber unterschiedlichen Schließsystemen des Sicherheitssystems zugeordnet sein kann, wobei die Berechtigungsrolle des Schlüsselinhabers in unterschiedlichen Schließsystemen variiert. Hierdurch ist es möglich, dass Administratoren der verschiedenen Schließsysteme dem Schlüsselinhaber unterschiedliche Berechtigungsrollen zuweisen können.
- Die Erfindung wird nun anhand von Ausführungsbeispielen näher beschrieben. Technische Merkmale mit gleicher Funktion sind in den Figuren mit identischen Bezugszeichen versehen. Dabei zeigen:
-
Figur 1 ein erfindungsgemäßes Schließsystem mit einem erfindungsgemäßen Schlüssel und mit einer erfindungsgemäßen Sperreinheit, -
Figur 2 Berechtigungsrollen und Benutzerrollen in dem Schließsystem derFigur 1 , -
Figur 3 zwei Ausführungsbeispiele eines erfindungsgemäßen Sicherheitssystems, -
Figur 4 ein erstes erfindungsgemäßes Verfahren zur Dekommissionierung einer Sperrvorrichtung, -
Figur 5 ein erfindungsgemäßes Verfahren zum Firmware Update einer Sperrvorrichtung, -
Figur 6 ein zweites erfindungsgemäßes Verfahren zur Dekommissionierung einer Sperrvorrichtung, -
Figur 7 ein erstes Verfahren zur Dekommissionierung eines Schlüssels, ausgeführt von einem erfindungsgemäßen Schließsystem, -
Figur 8 ein zweites Verfahren zur Dekommissionierung eines Schlüssels, ausgeführt von einem erfindungsgemäßen Schließsystem, -
Figur 9 ein Verfahren zur Kommissionierung eines Schlüssels in dem erfindungsgemäßen Schließsystem, -
Figur 10 ein Ausschnitt auf gespeicherte digitale Daten in einer Recheneinheit eines erfindungsgemäßen Schließsystems. -
Figur 1 zeigt ein erfindungsgemäßes Schließsystem 100. Das erfindungsgemäße Schließsystem 100 umfasst eine Recheneinheit 10, die als Cloud-Server oder Bereich eines Cloud-Servers ausgebildet ist. Die Recheneinheit 10 umfasst des Weiteren einen Computer mit einem Bildschirm als Ausgabevorrichtung 11 der Recheneinheit 10 und mit einer Tastatur als Eingabevorrichtung 12 der Recheneinheit 10. Die Recheneinheit 10 ist ausgebildet, über ein Telekommunikationsnetzwerk mit einem Gerät 20, das als Mobiltelefon ausgebildet ist, zu kommunizieren. - Das Gerät 20 hat ein Touch Display, das zugleich als Eingabemittel 21 und als Ausgabemittel 22 dient. Das Gerät 20 umfasst eine Mobilfunknummer als Transfer-Information, wodurch das Gerät 20 mit der Recheneinheit 10 drahtlos über eine dritte Kommunikationsverbindung kommunizieren kann. Das Gerät 20 umfasst einen elektronischen Speicher und einen elektronischen Prozessor. Auf dem Gerät 20 ist eine Applikation gespeichert. Ein Schlüsselinhaber kann sich in der Applikation authentifizieren.
- Das erfindungsgemäße Schließsystem 100 umfasst des Weiteren mehrere Schlüssel 30, von denen ein Schlüssel 30 in
Figur 1 abgebildet ist. Ebenfalls umfasst das erfindungsgemäße Schließsystem 100 mehrere Sperrvorrichtungen 40, von denen eine Sperrvorrichtung 40 inFigur 1 abgebildet ist. Der Schlüssel 30 umfasst einen Schlüsselschaft 31, der in einen Schlüsselkanal 41 der Sperrvorrichtung 40 einführbar ist. Der Schlüsselschaft 31 umfasst ein Übertragungselement 32, das mit einem nicht dargestellten Übertragungselement der Sperrvorrichtung 40 korrespondiert. Mittels des Übertragungselements 32 des Schlüssels 30 und des Übertragungselements der Sperrvorrichtung 40 können elektrische Energie und elektronische Daten von dem Schlüssel 30 auf die Sperrvorrichtung 40 übertragen werden. Somit kann hierdurch eine erste Kommunikationsverbindung aufgebaut werden. Umfassen die elektronischen Daten eine digitale Zutrittsberechtigung oder das positive Resultat einer Zutrittsberechtigungsprüfung, die im Schlüssel durchgeführt wurde, so wird ein elektrischer Aktuator der Sperrvorrichtung 40 aktiviert. Hierdurch lässt sich ein exzentrischer Mitnehmer der Sperrvorrichtung 40 durch den Schlüssel 30 drehen, so dass eine Tür entsperrt wird. Der Schlüssel 30 ist frei von einer mechanischen Kodierung ausgebildet. - Ebenfalls ist es möglich, digitale Daten von der Sperrvorrichtung 40 auf den Schlüssel 30 zu übertragen. Der Schlüssel 30 umfasst einen elektrochemischen Energiespeicher, der die elektrische Energie für die Sperrvorrichtung 40 zur Verfügung stellt. Die Übertragung von elektrischer Energie und elektronischen Daten verläuft kontaktgebunden über elektrische Kontakte der Übertragungselemente.
- Der Schlüssel 30 umfasst einen Taster 33. Wird der Taster 33 gedrückt, so wird eine zweite Kommunikationsverbindung zu dem Gerät 20 aufgebaut. Bei der drahtlosen zweiten Kommunikationsverbindung handelt es sich beispielsweise um eine Bluetooth Low Energy (BLE) Verbindung oder eine andere Nahbereichskommunikation. Es kann vorgesehen sein, dass, nachdem sich der Schlüsselinhaber in der Applikation authentifiziert hat, und das Gerät 20 eine Schlüssel-ID 53 des Schlüssels 30 empfangen hat, das Gerät 20 die Zuordnung des Schlüssels zu dem aktuell authentifizierten Schlüsselinhaber überprüft. Hierzu kann das Gerät 20 das Kennzeichen des aktuell authentifizierten Schlüsselinhabers und die Schlüssel-ID 53 des Schlüssels 30, der in Kommunikationsverbindung mit dem Gerät 20 steht, zu der Recheneinheit 10 transferieren, so dass die Recheneinheit 10 überprüfen kann, ob das Kennzeichen des aktuell authentifizierten Schlüsselinhabers und die Schlüssel-ID 53 assoziiert sind. Die Recheneinheit 10 informiert das Gerät 20 über das Ergebnis. Liegt keine Assoziierung vor, so wird die Kommunikationsverbindung zwischen dem Schlüssel 30 und dem Gerät 20 unterbrochen, andernfalls wird die Kommunikation fortgesetzt, so dass der Schlüssel 30 ggf. einen Befehl 60 empfangen kann. Steht das Gerät 20 nicht in Kommunikationsverbindung mit der Recheneinheit 10, so kann das Gerät 20 die Überprüfung anhand einer in dem Gerät gespeicherten Assoziierung des Kennzeichens des Schlüsselinhabers mit der Schlüssel-ID 53 vornehmen. Im Falle einer Kommissionierung oder Dekommissionierung eines Schlüssels kann diese Überprüfung unterbleiben oder bei der Dekommissionierung des Schlüssels so modifiziert werden, dass auch die Kommunikationsverbindung mit einem vom Schlüsselinhaber abweichenden Benutzer, dessen Berechtigungsrolle eine Konfigurationsänderung des Schlüssels 30 erlaubt, möglich ist.
- Somit können von der Recheneinheit 10 über die Telekommunikationsverbindung zu dem Gerät 20, über die drahtlosen zweite Kommunikationsverbindung zu dem Schlüssel 30 und über die Übertragungselemente zu der Sperrvorrichtung 40 elektronische Daten übertragen werden. Ebenfalls kann von der Sperrvorrichtung 40 zu der Recheneinheit 10 über den aufgezeigten Weg elektronische Daten transferiert werden.
- Erfindungsgemäß kann dieser Weg verwendet werden, um eine Konfiguration der Sperrvorrichtung 40 zu verändern. Hierzu wird der Befehl 60 zum Ändern der Konfiguration der Sperrvorrichtung 40 von der Recheneinheit 10 über das Gerät 20 zu dem Schlüssel 30 transferiert. Dieses ist eine Voraussetzung für das Durchführen der Konfigurationsänderung der Sperrvorrichtung 40. Prinzipiell ist jeder Schlüssel 30 des Schließsystems 100 in Bezug auf seine Hardware identisch ausgestattet und kann einen derartigen Befehl empfangen. Erfindungsgemäß empfängt jedoch nicht jeder beliebige Schlüssel 30 des Schließsystem 100 einen derartigen Befehl. Vielmehr werden mittels der Recheneinheit 10 ein oder mehrere Schlüssel 30 anhand eines in der Recheneinheit 10 hinterlegten Kriteriums ausgewählt, wobei der Schlüssel anschließend der Sperrvorrichtung die Konfigurationsänderung befehlen soll. Die entscheidende Funktion des Schlüssels 30 liegt darin begründet, dass der Schlüssel 30 als manipulationssicherer als das Gerät 20 ausgestaltet ist. Das Gerät 20 wird verwendet, um die weite Distanz zwischen Schlüssel 30 und Recheneinheit 10 kommunikationstechnisch zu überwinden. Dadurch, dass der Schlüssel 30 mit dem Schlüsselinhaber mitgeführt werden kann, ist der Schlüssel 30 befähigt, Befehle zur Konfigurationsänderung an verschiedene Sperrvorrichtungen 40 des Schließsystems 100 zu übertragen.
- In
Figur 1 ist dargestellt, wie der Befehl 60 zur Konfigurationsänderung der Sperrvorrichtung 40 von der Recheneinheit 10 zu der Sperrvorrichtung 40 gelangt. Eine Befehlsnachricht 50 umfasst Metadaten 52. Die Metadaten 52 umfassen diee Schlüssel-ID 53, mit der der Schlüssel 30 eindeutig im Schließsystem 100 identifiziert werden kann. Die Metadaten 52 sind für das Gerät 20 und den Schlüssel 30 lesbar. Die Befehlsnachricht 50 umfasst des Weiteren den Befehl 60, der nur von dem Schlüssel 30 entschlüsselbar ist. Der Befehl 60 umfasst eine Information über die Art der Konfigurationsänderung 61, eine Konfigurationsänderungsnummer 62 und zumindest eine Sperrvorrichtungs-ID 63. Die Sperrvorrichtungs-ID 63 dient dazu, die Sperrverrichtung 40 in dem Schließsystem 100 eindeutig zu identifizieren. Im Falle eines Firmware Updates als Konfigurationsänderung der Sperrvorrichtung 40 umfasst der Befehl 60 des Weiteren ein Firmware-Update-Datenpaket 55. Das Firmware-Update-Datenpacket 55 ist so verschlüsselt, dass nur die Sperrvorrichtung 40 das Firmware-Update-Datenpaket 55 entschlüsseln kann. Dadurch, dass die Befehlsnachricht 50 die Schlüssel ID 53 und die Sperrvorrichtungs-ID 63 umfasst, ist bereits in der Recheneinheit 10 festgelegt, welche Sperrvorrichtung 40 durch welchen Schlüssel 30 eine Konfigurationsänderung erfahren soll. Dadurch dass die Befehlsnachricht 50 überwiegend für das Gerät 20 unentschlüsselbar ist, kann eine Manipulation vermieden werden. Die Befehlsnachricht 50 wird von der Recheneinheit 10 über das Telekommunikationsnetzwerk an das Gerät 20 transferiert. - Um die Manipulationssicherheit weiter zu erhöhen, kann der Schlüssel 30 die in dem Gerät 20 gespeicherte Befehlsnachricht 50 nur empfangen, wenn der Schlüsselinhaber sich in der Applikation authentifiziert hat und die Applikation während der Kommunikationsverbindung zwischen dem Schlüssel 30 und dem Gerät 20 geöffnet ist. Hierbei sind nur die Befehlsnachrichten 50 des authentifizierten Schlüsselinhabers für den Schlüssel 30 sichtbar. Der Schlüssel 30 empfängt nur die Befehlsnachricht 50, die die dazugehörige Schlüssel-ID 53 umfasst. Sind in dem Gerät 20 mehrere Befehlsnachrichten 50 für denselben Schlüssel 30 vorhanden, so empfängt der Schlüssel 30 die mehreren Befehlsnachrichten 50, wenn die Kommunikationsverbindung zwischen dem Schlüssel 30 und dem Gerät 20 steht und die Applikation nach Authentifizierung des Schlüsselinhabers geöffnet ist. Es ist nicht notwendig, dass zeitgleich die dritte Kommunikationsverbindung zwischen der Recheneinheit 10 und dem Gerät 20 und die zweite Kommunikationsverbindung zwischen dem Schlüssel 30 und dem Gerät 20 aufgebaut ist. Vielmehr können zunächst die Befehlsnachricht(en) 50 zu dem Gerät 20 transferiert werden und danach können, auch wenn die Kommunikationsverbindung zwischen dem Gerät 20 und der Recheneinheit 10 unterbrochen ist, die Befehlsnachricht(en) 50 zu dem Schlüssel 30 transferiert werden.
- Der Befehl 60 wird nun von dem Schlüssel 30 entschlüsselt und überprüft. Ein fehlerhaften Befehl 60 oder einer fehlerhaften Befehlsnachricht 50 wird über das Gerät 20 zu der Recheneinheit 10 rückgemeldet, wonach die Recheneinheit 10 erneut die Befehlsnachricht 50 transferiert. Ebenfalls wird ein erfolgreicher Transfer des Befehls 60 bzw. der Befehlsnachricht 50 von dem Schlüssel über das Gerät 20 an die Recheneinheit 10 rückgemeldet.
- Der Schlüssel 30 generiert eine Schlüssel-Befehlsnachricht 65 für die Sperrvorrichtung 40.
- Die Schlüssel-Befehlsnachricht 65 umfasst die Information über die Art der Konfigurationsänderung 61 und die Konfigurationsänderungsnummer 62. Handelt es sich bei der Konfigurationsänderung um ein Firmware Update, so umfasst die Schlüssel-Befehlsnachricht 65 das Firmware-Update-Datenpaket 55, das weiterhin -nur für die Sperrvorrichtung 40 entschlüsselbar- verschlüsselt ist.
- Optional kann die Schlüssel-Befehlsnachricht 65 die Schlüssel-ID 53 umfassen. Mittels der Schlüssel-ID 53 kann von der Sperrvorrichtung 40 überprüft werden, ob die Schlüssel-ID 53 auf einer in der Sperrvorrichtung 40 gespeicherten Blacklist aufgeführt ist. Optional kann vorgesehen sein, dass, nur wenn die Schlüssel-ID 53 auf der Blacklist fehlt, die Sperrvorrichtung 40 den Befehl 60 ausführt.
- Der Schlüssel 30 kann die Schlüssel-Befehlsnachricht 65 verschlüsseln, so dass die Schlüssel-Befehlsnachricht 65 von der Sperrvorrichtung entschlüsselbar ist. Anstelle einer Schlüssel-Befehlsnachricht 65 kann der Inhalt der Schlüssel-Befehlsnachricht 65 auch auf mehrere Schlüssel-Befehlsnachrichten 65 aufgeteilt sein.
- Wenn der Schlüssel 30 in die Sperrvorrichtung 40 eingesteckt ist, so verifizieren sich der Schlüssel 30 und die Sperrvorrichtung 40 gegenseitig, indem der Schlüssel 30 und die Sperrvorrichtung 40 eine kryptographische Information der Schließsystems 100 austauschen. Die Sperrvorrichtung 40 überträgt die Sperrvorrichtungs-ID 63 an den Schlüssel 30. Hierdurch kann der Schlüssel überprüfen, ob der Schlüssel 30 eine Schlüssel-Befehlsnachricht 65 für diejenige Sperrvorrichtung 40, die sich in Kommunikationsverbindung mit dem Schlüssel befindet, gespeichert hat. Bei positiver Prüfung transferiert der Schlüssel die zumindest eine Schlüssel-Befehlsnachricht 65 an die Sperrvorrichtung 40. Hierdurch befiehlt der Schlüssel 30 der Sperrvorrichtung 40 die Konfigurationsänderung.
- Zu jeder Art der Konfigurationsänderung ist in der Sperrvorrichtung 40 eine Konfigurationsänderungsnummer elektronisch gespeichert. Die gespeicherte Konfigurationsänderungsnummer ist bei der letzten Konfigurationsänderung derselben Art von der Sperrvorrichtung 40 gespeichert worden. Die Sperrvorrichtung 40 vergleicht die gespeicherte Konfigurationsänderungsnummer mit der Konfigurationsänderungsnummer 62 der Schlüssel-Befehlsnachricht 65. Nur wenn die Konfigurationsänderungsnummer 62 der Schlüssel-Befehlsnachricht 65 höher ist als die gespeicherte Konfigurationsänderungsnummer, führt die Sperrvorrichtung 40 den Befehl 60 aus. Hierdurch wird vermieden, dass veraltete Befehle ausgeführt werden.
- Wie zu
Figur 6 noch weiter beschrieben werden wird, können noch weitere Voraussetzungen gelten, bevor der Befehl 60 von der Sperrvorrichtung 40 ausgeführt wird. - Die Durchführung des Befehls 60 wird von der Sperrvorrichtung 40 über den Schlüssel 30 und das Gerät 20 an die Recheneinheit 10 rückgemeldet. Die Recheneinheit 10 versendet eine Nachricht an die übrigen Schlüssel 30, die ebenfalls den Befehl 60 mit derselben Informationen über die Art der Konfigurationsänderung 61, derselben Konfigurationsänderungsnummer 62 und derselben Sperrvorrichtungs-ID 63 erhalten haben. Nach Erhalt der Nachricht löschen die übrigen Schlüssel 30 den Befehl 60.
- Die Recheneinheit 10 hat eine digitale Repräsentation für jeden Schlüssel 30 des Schließsystems 100 gespeichert. Die Recheneinheit 10 hat eine digitalen Repräsentation für jede Sperrvorrichtung 40 des Schließsystems 100 gespeichert. Die erfolgte und rückgemeldete Änderung der Konfiguration der Sperrvorrichtung 40 wird in der digitalen Repräsentation der Sperrvorrichtung 40 gespeichert. Ebenfalls wird in der digitalen Repräsentation desjenigen Schlüssels 30, der der Sperrvorrichtung 40 die Konfigurationsänderung befohlen hat, die Durchführung des Befehls 60 gespeichert. Das Kennzeichen des Schlüsselinhabers, der sich in der Applikation authentifiziert hat, als der Schlüssel 30 die Befehlsnachricht 50 empfangen hat, wird in der digitalen Repräsentation des Schlüssels 30 gespeichert.
- Die digitale Repräsentation des Schlüssels 30, die die Schlüssel-ID 53 des Schlüssels 30 umfasst, ist dem Kennzeichen des Schlüsselinhabers digital in der Recheneinheit assoziiert. Hierdurch wird der Schlüsselinhaber dem Schlüssel 30 zugeordnet. Die Auswahl desjenigen oder derjenigen Schlüssel, der bzw. die den Befehl zur Konfigurationsänderung an die Sperrvorrichtung 40 transferieren, wird mittels des mit dem Schlüssel 30 assoziierten Schlüsselinhabers in der Recheneinheit 10 ermittelt. Hierbei ist ein Kriterium, welche Berechtigungsrolle 70, 71 der Schlüsselinhaber innehat.
-
Figur 2 zeigt ein Konzept für unterschiedliche Rollen 70, 71, 72, 73 innerhalb eines Schließsystems 100. Schlüsselinhaber, die einen Schlüssel in dem Schließsystem besitzen, sind hell dargestellt und sind einer Berechtigungsrolle 70, 71 zugeordnet. Die Schlüsselinhaber sind vor Ort, um mit ihren Schlüsseln 30 mit den Sperrvorrichtungen 40 zu interagieren. Benutzer, die nicht oder nicht zwingend einen Schlüssel besitzen, sind inFigur 2 schwarz dargestellt. Die schwarz dargestellten Benutzer üben administrative Tätigkeiten aus und sind Benutzerrollen zugeordnet. - Eine Berechtigungsrolle 70 entspricht der Berechtigtenrolle eine Zutrittsberechtigten 70. Der Zutrittsberechtige hat zumindest eine digitale Zutrittsberechtigung auf dem Schlüssel für eine Sperrvorrichtung des Schließsystems gespeichert. Ein Zutrittsberechtigter 70 darf nicht die Dekommissionierung der Sperrvorrichtung 40 durchführen. Der Zutrittsberechtigte darf ein Firmware Update der Sperrvorrichtung 40 durchführen.
- Eine Berechtigungsrolle 71 entspricht der Berechtigtenrolle 71 eines Kommissionierer. Der Kommissionierer darf eine Dekommissionierung der Sperrvorrichtung 40 durchführen. Der Kommissionierer darf ein Firmware Update der Sperrvorrichtung 40 durchführen. Der Kommissionierer darf alle Schlüssel 30 des Schliesssystem 100 dekommissionieren. Hierbei darf der Kommissionierer sowohl seinen eigenen Schlüssel 30 als auch Schlüssel 30 anderer Schlüsselinhaber dekommissionieren. Der Kommissionierer darf zumindest eine Zutrittsberechtigung auf dem Schlüssel 30 gespeichert haben. Es ist aber nicht zwingend notwendig, dass der Kommissionierer zur Durchführung der Konfigurationsänderungen Zutrittsberechtigungen auf dem Schlüssel gespeichert hat. Insbesondere ist es nicht notwendig, dass der Kommissionierer eine Zutrittsberechtigung zu der Sperrvorrichtung, die dekommissioniert werden soll, besitzt.
- Eine Benutzerrolle 72 entspricht der Benutzerrolle 72 eines Administrators. Der Administrator 72 kann zumindest einen Schlüssel auswählen, sofern es die Berechtigtenrolle des Schlüsselinhabers erlaubt, oder die Auswahl der Recheneinheit 10 für einen Schlüssel bestätigen, der die Befehlsnachricht zum Ändern der Konfiguration der Sperrvorrichtung 40 empfangen soll. Der Administrator 72 kann Sperrvorrichtungen 40 selektieren, an denen die Konfigurationsänderung der Sperrvorrichtung 40 durchgeführt werden soll. Der Administrator 72 kann einen Schlüssel 30 auswählen, der dekommissioniert werden soll, oder eine Anfrage zur Dekommissionierung eines Schlüssel 30 bestätigen. Ein Administrator 72 kann Berechtigungsrollen 70, 71 an Schlüsselinhaber vergeben. Der Administrator 72 darf Schlüssel 30 in dem Schließsystem 100 anlegen und Zutrittsberechtigungen vergeben. Somit kann der Administrator prinzipiell zugleich ein Schlüsselinhaber mit der Berechtigungsrolle des Zutrittsberechtigten oder des Kommissionierers sein. Der Administrator 72 muss jedoch nicht zwingend auch ein Schlüsselinhaber sein.
- Es kann sein, dass nur die Rollen 70, 71, 72 in dem Schließsystem 100 vorgesehen sind.
- Eine optionale Benutzerrolle 73 entspricht der Benutzerrolle eines Firmware Updaters 73. Ein Firmware Updater 73 darf ausschließlich Sperrvorrichtungen 40 selektieren, an denen ein Firmware Update durchgeführt werden soll, und die Schlüssel 30 unter Berücksichtigung der Kriterien auswählen, die die Befehlsnachricht 50 mit dem Firmware Update für die Sperrvorrichtung 40 empfangen sollen. Der Firmware Updater 73 istinsbesondere ein Servicemitarbeiter des Herstellers der Schließsystems 100. Der Firmware Updater 73 ist nicht zugleich Schlüsselinhaber.
-
Figur 3 zeigt zwei alternative Konzepte für ein Sicherheitssystem 1000, 1001. Das Sicherheitssystem 1000 gemäß des ersten Konzepts und das Sicherheitssystem 1001 gemäß des zweiten Konzepts umfasst jeweils mehrere Schließsysteme 100, 101, 102, hier exemplarisch drei Schließsysteme 100, 101, 102, deren Sperrvorrichtungen 40Figur 3 nicht dargestellt sind. Die Schließsysteme 101, 102, 103 sind exemplarisch als Kreis dargestellt. Jedes Schließsystem umfasst eine Recheneinheit 10, 10a, 10b, die einen virtuellen Bereich des Cloud-Servers darstellt. Ein gemeinsamer Bereich 10c des Cloud-Servers dient des zur-Verfügung-Stellens von neuen Firmware Updates und wird z. B. von der Herstellfirma der Schließsysteme 100, 101, 102 betrieben. - Die Schlüssel 30, 30a, 30b, 30c, 30d, 30e sind in beiden Sicherheitssystemen 1000, 1001 jeweils genau einem Schließsystem 100, 101, 102 zugeordnet, was in
Figur 3 durch die Anordnung der Schlüssel 30, 30a, 30b, 30c, 30d, 30e im jeweiligen Kreis der Schließsysteme 100, 101, 102 dargestellt.ist. Zudem sind die Schlüssel 30, 30a, 30b, 30c, 30d, 30e jeweils genau einem Schlüsselinhaber 80, 81, 82, 83, 84, 85 in beiden Sicherheitssystemen 1000, 1001 zugeordnet. Die Zuordnung des Schlüssels 30, 30a, 30b, 30c, 30d, 30e zu dem Schüsselinhaber 80, 81, 82, 83, 84, 85 ist inFigur 3 durch einen Strich dargestellt. - In dem Sicherheitssystem 1000 sind alle Schlüsselinhaber 80, 81, 82, 83, 84, 85 genau einem Schließsystem 100, 101 zugeordnet, was in
Figur 3 durch die Anordnung des Schlüsselinhabers 80, 81, 82, 83, 84, 85 im Kreis des jeweiligen Schießsystems 100, 101, 102 dargestellt ist. Ebenfalls besitzt jeder Schlüsselinhaber 80, 81, 82, 83, 84, 85 des Sicherheitssystems 1000 nur genau einen Schlüssel 30, 30a, 30b, 30c, 30d, 30e. Die Schlüsselinhaber 80, 81, 82, 83, 84, 85 haben im Sicherheitssystemen 1000 unterschiedliche Berechtigungsrollen 70, 71. Jeder Schlüsselinhaber 80, 81, 82, 83, 84, 85 hat dabei genau eine Berechtigungsrolle 70, 71. Die Schlüsselinhaber 80, 83 sind Zutrittsberechtigte 70. Die Schlüsselinhaber 81, 82, 84, 85 sind Kommissionierer 71. - In dem Sicherheitssystem 1001 sind hingegen einige Schlüsselinhaber 81, 82 mehreren Schließsystem 100, 101 zugeordnet. Andere Schlüsselinhaber 80, 83 sind hingegen nur einem Schließsystem 100, 102 zugeordnet, wobei diese Schlüsselinhaber 80, 83 jeweils genau ein Berechtigungsrolle 70 bzw. 71 innehaben. Der Schlüsselinhaber 81, der den Schließsystemen 100, 101 zugeordnet ist, hat in beiden Schließsystemen 100, 101 jeweils dieselbe Berechtigungsrolle als Kommissionierer 71. Jedoch können die Schlüsselinhaber in jedem Schließsystem 100, 101, 102 des Sicherheitssystems 1001 eine unterschiedliche Berechtigungsrolle einnehmen. Dieses ist exemplarisch bei dem Schlüsselinhaber 82 gezeigt. Der Schlüsselinhaber 82 agiert mit dem Schlüssel 30c in dem Schließsystem 101 als Zutrittsberechtigter 70 und mit dem Schlüssel 30e in dem Schließsystem 102 als Kommissionierer 71.
- In den
Figuren 4 bis 8 sind unterschiedliche Verfahren zur Dekommissionierung bzw. zur Durchführung eines Firmware Update einer Sperrvorrichtung oder eines Schlüssels dargestellt. Hierbei zeigen Pfeile den Transfer von digitalen Daten an. Ein Kreis mit Pfeilen zeigt digitale Verarbeitungsschritte in einer der beteiligten Vorrichtungen 10, 20, 30, 40 an. Von oben nach unten ist in denFiguren 4 bis 8 jeweils ein Zeitverlauf dargestellt. -
Figur 4 zeigt ein erstes Ausführungsbeispiel für ein Verfahren 200 zur Dekommissionierung einer Sperrvorrichtung 40. In einem ersten Verfahrensschritt 201 wird eine Sperrvorrichtung 40 zur Dekommissionierung mittels der Ein- und Ausgabevorrichtung 11,12 selektiert. Die Selektion wird in der digitalen Repräsentation der Sperrvorrichtung 40 hinterlegt. Sodann schlägt die Recheneinheit 10 auf der Ausgabevorrichtung 11 zumindest einen Schlüssel 30 eines Kommissionierers 82 vor, der die Dekommissionierung vor Ort durchführen soll. Hierbei berücksichtigt die Recheneinheit 10 die Berechtigungsrolle der Schlüsselinhaber der in Frage kommenden Schlüssel 30 als Auswahlkriterium. Ein Administrator 83 bestätigt über die Eingabevorrichtung 12 die Auswahl des Schlüssels 30. Die Aufgabe, die selektierte Sperrvorrichtung 40 zu dekommissionieren, wird in der digitalen Repräsentation des ausgewählten Schlüssels 30 digital hinterlegt. Eine entsprechende Befehlsnachricht 50 wird von der Recheneinheit 10 verschlüsselt generiert. Eine Konfigurationsänderung ist ausschließlich durch eine derart generierte Befehlsnachricht 50 möglich, d. h. nach Selektion der Sperrvorrichtung 40, deren Konfiguration geändert werden soll, und Auswahl des Schlüssels als Werkzeug der Konfigurationsänderung mittels der Recheneinheit 10. - In einem zweiten Verfahrensschritt 202 wird die Befehlsnachricht 50 mittels der Mobilfunknummer des Gerätes 20, die als zu dem Schlüsselinhaber des ausgewählten Schlüssels 30 zugehörig in der Recheneinheit 10 hinterlegt ist, über das Telekommunikationsnetz transferiert.
- In einem dritten Verfahrensschritt 203 wird die Befehlsnachricht 50 von dem Gerät 20 zu dem Schlüssel 30 transferiert. Hierzu muss der Schlüsselinhaber sich in der Applikation des Geräts 20 authentifizieren und durch eine Betätigung des Tasters 33 die Kommunikationsverbindung zwischen dem Gerät 20 und dem Schlüssel 30 aufbauen.
- In einem vierten Verfahrensschritt 204 entschlüsselt der Schlüssel 30 die Befehlsnachricht 50 und meldet über das Gerät 20 an die Recheneinheit 10 den erfolgreichen Empfang der Befehlsnachricht 50 zurück.
- Die Recheneinheit 10 sendet in einer separaten Nachricht 90 in einem Verfahrensschritt 205, die Aufgabe die Sperrvorrichtung 40 zu dekommissionieren, an das Gerät 20. Das Gerät 20 zeigt die Nachricht 90 auf dem Ausgabemittel 22 an. Nun liest der Kommissionierer 82 die Nachricht 90 mit der Aufgabe, die Sperrvorrichtung 40 zu dekommissionieren und begibt sich zu der entsprechenden Sperrvorrichtung 40.
- Vor Ort steckt der Kommissionierer 82 den Schlüssel 30 in die Sperrvorrichtung 40 in einem Verfahrensschritt 206. Der Schlüssel 30 und die Sperrvorrichtung 40 verifizieren sich nun gegenseitig. Zudem überträgt die Sperrvorrichtung die Sperrvorrichtungs-ID 63 an den Schlüssel 30. Können sich der Schlüssel 30 und die Sperrvorrichtung 40 nicht gegenseitig verifizieren, so wird das Verfahren 200 abgebrochen.
- Im Falle einer erfolgreichen Verifikation überprüft der Schlüssel 30, ob der Schlüssel 30 einen Befehl 60 für die Sperrvorrichtung 40 mit der Sperrvorrichtungs-ID 63 gespeichert hat. Da dieses vorliegend der Fall ist, überträgt anschließend der Schlüssel 30 automatisch an die Sperrvorrichtung 40 die Schlüssel-Befehlsnachricht 65 in einem Verfahrensschritt 207. Die Sperrvorrichtung 40 entschlüsselt die Schlüssel-Befehlsnachricht 65. Optional überprüft die Sperrvorrichtung 40, ob der Schlüssel 30 auf der in der Sperrvorrichtung 40 gespeicherten Blacklist aufgeführt wird. Ist der Schlüssel auf der Blacklist vorhanden, so wird das Verfahren abgebrochen. Ist der Schlüssel nicht auf der Blacklist aufgeführt, so wird das Verfahren fortgesetzt.
- Die Sperrvorrichtung 40 vergleicht die Konfigurationsänderungsnummer der Schlüssel-Befehlsnachricht 65 mit einer Konfigurationsänderungsnummer für die Dekommissionierung, die in der Sperrvorrichtung 40 gespeichert ist, in einem Verfahrensschritt 208. Nur wenn die Konfigurationsänderungsnummer der Schlüssel-Befehlsnachricht 65 größer ist als die gespeicherte Konfigurationsänderungsnummer, wird die Dekommissionierung D durchgeführt.
- In den nächsten Verfahrensschritt 209 wird die Dekommissionierung D durchgeführt. Hierzu löscht die Sperrvorrichtung 40 die kryptographische Information des Schließsystems 100. Die Sperrvorrichtung 40 aktiviert die kryptographische Information, die bei der Herstellung der Sperrvorrichtung 40 in der Sperrvorrichtung 40 gespeichert ist. Ferner löscht die Sperrvorrichtung 40 einen Code, der die Sperrvorrichtung 40 der digitalen Repräsentation der Sperrvorrichtung 40 zuordnet. Ferner generiert die Sperrvorrichtung 40 einen Code, der eine Zuordnung zu einer digitalen Repräsentation in einem anderen Schließsystem 100 ermöglicht. Ferner löscht die Sperrvorrichtung 40 einen Code, der die Sperrvorrichtung einem Schließsystem 100 zuordnet. Die Sperrvorrichtung 40 generiert einen Code, der eine Zuordnung zu einem anderen Schließsystem 101, 102 ermöglicht.
- Während der Verfahrensschritte 206 bis 209 muss der Schlüssel 30 in der Sperrvorrichtung 40 eingesteckt bleiben, ansonsten wird das Verfahren 200 abgebrochen. Nach der erfolgten Dekommissionierung D der Sperrvorrichtung 40 wird eine digitale Nachricht 66, dass die Sperrvorrichtung 40 mit Hilfe der Schlüssels 30 dekommissioniert worden ist, über den Schlüssel 30 und das Gerät 20 an die Recheneinheit 10 in einem Verfahrensschritt 210 gesendet. Dieses wird in
Figur 4 als ein durchgehender Pfeil dargestellt, obwohl die Nachricht 66 auch längere Zeit in dem Schlüssel 30 und oder in dem Gerät 20 gespeichert sein kann. - Nach Empfang der Nachricht 66 ändert die Recheneinheit den Status der digitalen Repräsentation der Sperrvorrichtung 40 auf "dekommissioniert" in einem Verfahrensschritt 211. Die Recheneinheit 10 löscht den Code, der die digitalen Repräsentation mit der Sperrvorrichtung 40 verbindet. Wird an demselben Ort eine neue Sperrvorrichtung 40 in Betrieb genommen werden, so kann die digitale Repräsentation der Sperrvorrichtung 40 mit dem Code der neuen Sperrvorrichtung 40 wieder aktiviert werden.
- Die Recheneinheit 10 speichert in dem Verfahrensschritt 211, welcher Schlüssel 30 die Dekommissionierung D der Sperrvorrichtung 40 befohlen hat. Hat die Recheneinheit 10 den Befehl 60 an mehrere Schlüssel gesendet, so informiert die Recheneinheit 10 alle Schlüssel, die den Befehl 60 gespeichert haben in einem Verfahren Schritt 212, den Befehl zu löschen.
- In
Figur 5 ist ein zu dem Verfahren 200 analoges Verfahren 300 dargestellt, mit dem die Sperrvorrichtung 40 ein Firmware Update FU erhalten soll. In einem ersten Verfahrensschritt 301 wird eine Sperrvorrichtung 40 zum Firmware Update FU mit einer Firmwareversion mittels der Ein- und Ausgabevorrichtung 11,12 selektiert. Hierzu kann die Recheneinheit 10 eine Firmware-Versionsnummer, die in den digitalen Repräsentationen der Sperrvorrichtungen 40 des Schließsystems 100 hinterlegt sind, mit einer Firmwareversionsnummer des zu installierenden Firmware-Update-Datenpakets vergleichen. Die Recheneinheit 10 kann Sperrvorrichtungen 40, deren in der digitalen Repräsentation gespeicherte Firmwareversionsnummer niedriger als die Firmware-Versionsnummer des zu installierenden Firmware-Update-Datenpakets zum Firmware Update vorschlagen. Ein Administrator des Schließsystems 100 kann den Vorschlag bestätigen oder ablehnen. Alternativ oder zusätzlich kann ein Firmware Updater den Vorschlag bestätigen oder ablehnen. Die Selektion wird in der digitalen Repräsentation der Sperrvorrichtung 40 hinterlegt. - Sodann schlägt die Recheneinheit 10 auf der Ausgabevorrichtung 11 zumindest einen Schlüssel 30 Schlüsselinhabers vor, der das Firmware Update vor Ort durchführen soll. Der Administrator oder der Firmware Updater bestätigt über die Eingabevorrichtung 12 die Auswahl des Schlüssels 30. Die Aufgabe, die selektierte Sperrvorrichtung 40 mit einem Firmware Update zu versehen, wird in der digitalen Repräsentation des ausgewählten Schlüssels 30 hinterlegt. Eine entsprechende Befehlsnachricht 50 wird von der Recheneinheit 10 verschlüsselt generiert.
- Die nachfolgenden Schritte 302, 303 und 304 entsprechen den Schritten 202, 203 und 204 der
Figur 4 . - Die Recheneinheit 10 sendet in einer separaten Nachricht 90 in einem Verfahrensschritt 305 die Aufgabe, an der Sperrvorrichtung 40 ein Firmware Update durchzuführen, an das Gerät 20. Das Gerät 20 zeigt die Nachricht 90 auf dem Ausgabemittel 22 an. Nach dem Lesen der Nachricht begibt sich der Schlüsselinhaber zu der selektierten Sperrvorichtung 40.
- Die Verfahrensschritte 306, 307 entsprechen den Verfahrensschritten 206, 207 aus
Figur 4 . - In einem Verfahren Schritt 308 vergleicht die Sperrvorrichtung 40 die Konfigurationsänderungsnummer der Schlüssel-Befehlsnachricht 65 mit einer Konfigurationsänderungsnummer für das Firmware Update, die in der Sperrvorrichtung 40 gespeichert ist. Ebenfalls wird die in der Sperrvorrichtung 40 die gespeicherte Firmware Versionsnummer mit der Firmware-Versionsnummer der Schlüssel-Befehlsnachricht 65 verglichen. Nur wenn die Konfigurationsänderungsnummer und die Firmware-Versionsnummer der Schlüssel-Befehlsnachricht 65 größer ist als die gespeicherte Konfigurationsänderungsnummer beziehungsweise Firmware-Versionsnummer wird das Firmware Update FU durchgeführt.
- In den nächsten Verfahrensschritt 309 wird das Firmware Update FU durchgeführt. Hierzu wird das Firmware-Update-Datenpaket entschlüsselt, überprüft und installiert. Die Konfigurationsnummer und die Firmware-Versionsnummer der Schlüssel-Befehlsnachricht 65 werden gespeichert.
- Während der Verfahrensschritte 306 bis 309 muss der Schlüssel 30 in der Sperrvorrichtung 40 eingesteckt bleiben, ansonsten wird das Verfahren abgebrochen. Der Schlüssel 30 umfasst eine Leuchtvorrichtung 34 (s.
Fig. 1 ), an der die Durchführung des Firmware Updates FU angezeigt wird. - Nach der erfolgten Durchführung des Firmware Updates FU ändert der Schlüssel 30 die Anzeige der Leuchtvorrichtung 34. Eine Nachricht 66, dass die Sperrvorrichtung 40 mit Hilfe der Schlüssels 30 ein Firmware Update FU erfahren hat, wird über den Schlüssel 30 und das Gerät 20 an die Recheneinheit 10 in einem Verfahrensschritt 310, der analog zu Verfahren Schritt 210 der
Figur 4 ausgebildet ist, gesendet. - Nach Empfang der Nachricht 66 aktualisiert die Recheneinheit 10 Firmware-Versionsnummer der digitalen Repräsentation der Sperrvorrichtung 40. Die Recheneinheit 10 speichert, welcher Schlüssel 30 der Sperrvorrichtung 40 das Firmwareupdate FU befohlen hat. Hat die Recheneinheit 10 den Befehl 60 an mehrere Schlüssel 30 gesendet, so informiert die Recheneinheit 10 alle Schlüssel mit dem Befehl 60 in einem Verfahrensschritt 312, den Befehl 60 zu löschen.
-
Figur 6 zeigt ein alternatives Verfahren 400 zu Dekommissionierung D der Sperrvorrichtung 40. Ein Kommissionierer 71 authentifiziert sich in der Applikation und drückt in der Applikation auf ein Dekommissionierung-Feld 23 in einem Verfahrensschritt 401. Das Dekommissionierungs-Feld 23 wird auf dem Ausgabemittel 22 des Gerätes 20 angezeigt (s.Figur 1 ). - Auf dem Ausgabemittel 22 wird nun angezeigt, dass der Kommissionierer 71 durch Drücken des Tasters 33 die Kommunikationsverbindung zu dem Schlüssel 30 herstellen soll. Zudem wird auf dem Ausgabemittel 22 angezeigt, dass der Kommissionierer 71 den Schlüssel 30 in den Schlüsselkanal 41 stecken soll. Der Kommissionierer 71 drückt in einem Verfahrensschritt 402 den Taster 33 des Schlüssels 30 und steckt in einem Verfahrensschritt 403 den Schlüssel 30 in den Schlüsselkanal 41. Der Schlüssel 30 und die Sperrvorrichtung 40 verifizieren sich nun gegenseitig. Zudem überträgt die Sperrvorrichtung die Sperrvorrichtungs-ID 63 an den Schlüssel 30. Können sich der Schlüssel 30 und die Sperrvorrichtung 40 nicht gegenseitig verifizieren, so wird das Verfahren 400 abgebrochen.
- Sofern zuvor bereits ein Befehl 60 zur Dekommissionierung der Sperrvorrichtung 40 mit der übertragenen Sperrvorrichtungs-ID 63 in dem in dem Schlüssel 30 gespeichert worden ist, kann nun die Schlüssel-Befehlsnachricht 65 an die Sperrvorrichtung 40 transferiert werden. Anschließend kann die Sperrvorrichtung 40 den zumindest einen Prüfschritt, die Dekommissionierung und die Rückmeldung an die Recheneinheit analog zu den Verfahrensschritten 208, 209 und 210 durchführen. Hierbei muss ab dem Verfahrenschritt 403 bis zum Beenden der Dekommissionierung D analog zum Verfahrensschritt 209 der Schlüssel 30 in der Sperrvorrichtung 40 eingesteckt bleiben. Ebenfalls kann die Recheneinheit 10 danach Verfahrenschritte, die analog zu den Schritten 211 und ggf. 212 sind, durchführen. Es kann auch sein, dass der Befehl 60 in dem Gerät 20 gespeichert ist und zunächst an den Schlüssel 30 transferiert wird, bevor die Schlüssel-Befehlsnachricht 65 an die Sperrvorrichtung 40 übermittelt wird und erst danach die übrigen Schritte analog zu 208 bis 211, ggf. 212, wie geschildert, ablaufen.
- Wenn kein Befehl 60 zur Dekommissionierung D der Sperrvorrichtung 40 in dem Gerät 20 oder in dem Schlüssel 30 gespeichert worden ist, wird die Sperrvorrichtungs-ID 63 von dem Schlüssel 30 an das Gerät 20 In einem Verfahrensschritt 404 gemeldet.
- Erfindungsgemäß ist es nicht möglich, ohne Einbinden der Recheneinheit 10 die Sperrvorrichtung 40 zu dekommissionieren. Daher sendet nun das Gerät 20 in einem Verfahrensschritt 405 eine Anfrage A, dass die Sperrvorrichtung 40 zu dekommissionieren sei, zusammen mit der Schlüssel-ID 53 und der Sperrvorrichtungs-ID 63 an die Recheneinheit 10. Die Recheneinheit 10 bearbeitet in Anfrage A in einem Verfahrensschritt 406. Hierbei überprüft die Recheneinheit 10 die Berechtigungsrolle des Schlüsselinhabers des Schlüssels 30 mit der empfangenen Schlüssel-ID 53. Erlaubt die Berechtigungsrolle die Dekommissionierung nicht, so endet das Verfahren 400. Erlaubt die Berechtigungsrolle die Dekommissionierung der Sperrvorrichtung 40, so schlägt die Recheneinheit 10 dem Administrator vor, die Dekommissionierung D zu erlauben. Verweigert der Administrator die Erlaubnis, so endet das Verfahren 400. Gibt der Administrator die Erlaubnis, so sendet die Recheneinheit 10 die Befehlsnachricht 50 über das Gerät 20 an den Schlüssel 30 in einem Verfahrensschritt 407, die im Schlüssel 30 entschlüsselt wird.
- Anschließend wird eine Schlüssel-Befehlsnachricht 65 an die Sperrvorrichtung 40 in einem Verfahrensschritt 408 übertragen, dort die Konfigurationsänderungsnummer in einem Verfahrensschritt 409 überprüft und die Dekommsissionierung D in einem Verfahrensschritt 410 durchgeführt. Diese Verfahrensschritte laufen wie bei den Verfahrensschritten 207, 208 und 209 beschrieben, ab. Anschließend wird in einem Verfahrensschritt 411 eine Nachricht 66, dass die Sperrvorrichtung 40 mit Hilfe der Schlüssels 30 dekommissioniert worden ist, über den Schlüssel 30 und das Gerät 20 an die Recheneinheit 10 in einem Verfahrensschritt 411, analog dem Verfahrensschritt 210 gesendet. Die Recheneinheit 10 verarbeitet die Nachricht 66 in einem Verfahrensschritt 412, der analog zu dem Verfahrensschritt 211 abläuft. Zwischen dem Verfahrensschritt 403 bis 411 ist es zwingend notwendig, dass der Schlüssel in der Sperrvorrichtung eingesteckt bleibt.
- Das Schließsystem 100 ist ebenfalls ausgebildet, einen Schlüssel 30 in Verfahren 500, 600 zu dekommissionieren, wie in den
Figuren 7 und8 dargestellt. In einem ersten Verfahren 500 zur Dekommissionierung DS des Schlüssels 30 gemäßFigur 7 wird in einem ersten Verfahrensschritt 501 ein Schlüssel 30 zur Dekommissionierung DS mittels der Ein- und Ausgabevorrichtung 11,12 ausgewählt. Die Auswahl wird in der digitalen Repräsentation des Schlüssels hinterlegt. Sodann schlägt die Recheneinheit 10 auf der Ausgabevorrichtung 11 zumindest einen Benutzer vor, zu dessen Gerät 20 eine Schlüssel-Dekommissionierungs-Befehlsnachricht 150 zur Dekommissioinierung des Schlüssels 30 transferiert werden soll. - In der Regel schlägt die Recheneinheit 10 den Schlüsselinhaber vor, dessen Gerät 20 die Schlüssel-Dekommissionierungs-Befehlsnachricht 150 empfangen soll. Es kann zusätzlich oder alternativ ein Kommissionierer hierfür ausgewählt werden. Ein Administrator 83 bestätigt über die Eingabevorrichtung 12 die Auswahl des Benutzers. Eine entsprechende Schlüssel-Dekommissionierungs-Befehlsnachricht 150 wird von der Recheneinheit 10 generiert und in einem Verfahrensschritt 502 an das Gerät 20 des ausgewählten Benutzers mittels der in der Recheneinheit 10 hinterlegten Mobilfunknummer gesendet. Die Schlüssel-Dekommissionierungs-Befehlsnachricht 150 umfasst zumindest die Dekommissionierungs-Information 61, dass der Schlüssel 30 zu dekommissionieren ist, und eine Konfigurationsänderungsnummer 62. Die Dekommissionierungs-Information 61 und die Konfigurationsänderungsnummer 62 sind derart verschlüsselt, so dass die Dekommissionierungs-Information 61 und die Konfigurationsänderungsnummer 62 für das Gerät 20 unentschlüsselbar und für den zu dekommissionierenden Schlüssel 30 entschlüsselbar sind. Ferner enthält die Schlüssel-Dekommissionierungs-Befehlsnachricht 150 die Schlüssel-ID des zu dekommissionierenden Schlüssels 30.
- In einem dritten Verfahrensschritt 503 wird die Schlüssel-Dekommissionierungs-Befehlsnachricht 150 von dem Gerät 20 zu dem Schlüssel 30 transferiert. Hierzu muss der Benutzer sich in der Applikation des Geräts 20 authentifizieren und durch eine Betätigung des Tasters 33 die Kommunikationsverbindung zwischen dem Gerät 20 und dem Schlüssel 30 aufbauen.
- Der Schlüssel 30 vergleicht die Konfigurationsänderungsnummer 62 der Schlüssel-Dekommissionierungs-Befehlsnachricht 150 mit einer Konfigurationsänderungsnummer 62 für die Dekommissionierung, die in dem Schlüssel 30 gespeichert ist in einem Verfahrenschritt 504, analog zu Verfahrensschritt 208. Nur wenn die Konfigurationsänderungsnummer 62 der Schlüssel-Dekommissionierungs-Befehlsnachricht 150 größer ist als die gespeicherte Konfigurationsänderungsnummer wird die Dekommissionierung DS durchgeführt.
- In den nächsten Verfahrensschritt 505 wird die Dekommissionierung DS durchgeführt. Hierzu löscht der Schlüssel die kryptographische Information des Schließsystems 100 in dem elektronischn Speicher des Schlüssels 30. Der Schlüssel 30 aktiviert die kryptographische Information, die bei der Herstellung des Schlüssels 30 in dem Schlüssel 30 gespeichert ist. Ferner löscht der Schlüssel 30 einen Code, den Schlüssel 30 der digitalen Repräsentation des Schlüssels 30 zuordnet. Ferner generiert der Schlüssel 30 einen Code, der eine Zuordnung zu einer digitalen Repräsentation in einem anderen Schließsystem 100 ermöglicht. Ferner löscht der Schlüssel einen Code, der den Schlüssel 30 einem Schließsystem 100 zuordnet. Der Schlüssel 30 generiert einen Code, der eine Zuordnung zu einem anderen Schließsystem 101, 102 ermöglicht.
- In einem Verfahrensschritt 506 wird eine Nachricht 166 über die erfolgte Dekommissionierung DS des Schlüssels 30 an die Recheneinheit 10 transferiert. Nach Empfang der Nachricht 166 ändert die Recheneinheit 10 den Status der digitalen Repräsentation des Schlüssels 30 auf "dekommissioniert". Die Recheneinheit 10 löscht den Code, der die digitale Repräsentation mit der Schlüssel 30 verbindet, in einem Verfahrensschritt 507.
- In einem alternativen Verfahren 600 zur Dekomissionierung des Schlüssels 30 gemäß
Figur 8 möchte ein Benutzer vor Ort den Schlüssel 30 dekommissionieren. Hierzu drückt der Benutzer auf ein Schlüssel-Dekommissionierungsfeld 24 (s.Figur 1 ) auf dem Ein- und Ausgabemittel 21, 22 in einem Verfahrensschritt 601. Ferner stellt der Benutzer mittels des Tasters 33 die Kommunikationsverbindung zwischen dem Gerät 20 und dem Schlüssel 30 in einem Verfahrensschritt 602 her. Der Schlüssel 30 transferiert die Schlüssel-ID 53 zu dem Gerät 20 in einem Verfahrensschritt 603. Das Gerät 20 sendet in einem Verfahrensschritt 604 eine Anfrage A, dass der Schlüssel 30 zu dekommissionieren sei, zusammen mit der Schlüssel-ID 53 an die Recheneinheit 10. Die Recheneinheit 10 bearbeitet in Anfrage A in einem Verfahrensschritt 605. Hierbei überprüft die Recheneinheit 10, ob die Berechtigungsrolle des Benutzers, der sich in dem Gerät 20 authentifiziert hat, die Dekommissionierung des Schlüssels 30 erlaubt oder ob es sich um den Schlüsselinhaber handelt. Erlaubt die Berechtigungsrolle die Dekommissionierung des Schlüssels 30 oder handelt es sich um den Schlüsselinhaber, so schlägt die Recheneinheit 10 dem Administrator vor, die Dekommissionierung zu erlauben. Verweigert der Administrator die Erlaubnis, so endet das Verfahren 600. Gibt der Administrator die Erlaubnis, so sendet die Recheneinheit 10 die Schlüssel-Dekommissionierungs-Befehlsnachricht 150 über das Gerät 20 an den Schlüssel 30 in einem Verfahrensschritt 606, die im Schlüssel 30 entschlüsselt wird. Die nachfolgenden Schritte 607, 608, 609 und 610 entsprechen den Verfahrensschritten 504, 505, 506 und 507 ausFigur 7 . - In
Figur 9 ist ein Verfahren 700 zur Registrierung eines neuen Schlüsselinhabers und zur Inbetriebnahme (Kommissionierung) eines neuen Schlüssels in dem erfindungsgemäßen Schließsystem 100 dargestellt. Hierbei wird in einem Verfahrensschritt 701 zunächst in der Recheneinheit 10 von einem Administrator ein neuer Schlüsselinhaber dem Schließsystem 100 hinzugefügt, indem der Administrator ein Kennzeichen des neuen Schlüsselinhabers, z. B. seinen Namen oder seine E-Mail-Adresse, mittels der Eingabevorrichtung 12 eingibt. Der Administrator legt zudem über die Eingabevorrichtung 12 eine Berechtigungsrolle 70, 71 für den neuen Schlüsselinhaber fest, indem der Administrator über die Eingabevorrichtung 12 eine Berechtigungsrolle 70, 71 auswählt. Die Recheneinheit speichert das Kennzeichen des neuen Schlüsselinhabers und die Berechtigungsrolle 70, 71 als miteinander assoziiert ab. - In einem zweiten Schritt 702 wird der neue Schlüsselinhaber über eine Nachricht 91, z. B. eine Email, darüber informiert, dass der Schlüsselinhaber in dem Schließsystem 100 registriert worden ist und nun mit seinem Kennzeichen eine Authentifizierung für die Applikation festlegen kann. Hat der Schlüsselinhaber sich eine Authentifizierung ausgesucht und z. B. ein Passwort festgelegt, so kann nun der Schlüsselinhaber in einem Verfahrensschritt 703 die Applikation auf das Gerät 20 herunterladen und sich in der Applikation authentifizieren. Die Transfer-Information des Geräts 20, an dem sich der Schlüsselinhaber in der Applikation authentifiziert hat, wird an die Recheneinheit 10 transferiert und in der Recheneinheit 10 mit dem Kennzeichen des Schlüsselinhabers assoziiert. Hiermit ist die Registrierung des Schlüsselinhabers abgeschlossen.
- Solange der Schlüsselinhaber in der geöffneten Applikation mittels des Eingabemittels 21 authentifiziert ist, kann der Schlüsselinhaber einen neuen Schlüssel 30 kommissionieren. Hierzu gibt der Schlüsselinhaber mittels des Eingabemittels 21 in einem Verfahrensschritt 704 ein, dass ein neuer Schlüssel 30 zu kommissionieren ist, z. B. mittels eines Schlüssel-Kommissionierungsfelds auf dem Ausgabemittel 22. Ist der Schlüsselinhaber mehreren Schließsystemen 100, 101, 102 zugeordnet, so kann der Schlüsselinhaber auf dem Ausgabemittel 22 auswählen, zu welchem Schließsystem 100, 101, 102 der Schlüssel 30 gehören soll. Diese Eingabe, dass ein neuer Schlüssel zu kommissionieren ist, hat zur Folge, dass das Gerät 20 im Folgenden auch dann mit dem neuen Schlüssel 30 in Kommunikationsverbindung tritt und bleibt, wenn keine Assoziierung der Schlüssel-ID und des Kennzeichens des Schlüsselinhabers in der Recheneinheit oder in dem Gerät hinterlegt ist.
- Anschließend betätigt der Schlüsselinhaber den Taster 33 des Schlüssels 30 in einem Verfahrensschritt 705. Hierdurch wird die Schlüssel-ID 53 des Schlüssels 30 an das Gerät 20 in einem Verfahrensschritt 706 transferiert. Der Transfer erfolgt unabhängig davon, welche Berechtigungsrolle 70, 71 der Schlüsselinhaber besitzt.
- In einem Verfahrensschritt 707 fragt das Gerät 20 die Recheneinheit an, an dem Schlüssel 30 mit der Schlüssel-ID 53 eine Kommissionierung KS durchzuführen. Die Recheneinheit 10 überprüft, ob der Schlüssel 30 mit der Schlüssel-ID 53 bereits kommissioniert ist. Wenn nicht, assoziiert die Recheneinheit 10 die Schlüssel-ID 53 mit dem Kennzeichen des Schlüsselinhabers, der die Anfrage sendet, in einem Verfahrensschritt 708. Die Recheneinheit 10 kann die übrige digitale Repräsentation des Schlüssels 30 in dem Schließsystem 100 anlegen, in dem weitere Daten des Schlüssels 30 gespeichert werden können.
- In einem Verfahrensschritt 709 übermittelt die Recheneinheit 10 über das Gerät 20 Konfigurationsdaten an den Schlüssel 30. Die Konfigurationsdaten umfassen zumindest eine kryptographische Information des Schließsystems 100. In einem Verfahrensschritt 710 übernimmt der Schlüssel 30 die kryptographische Information und deaktiviert kryptographische Information, die bei der Herstellung der Schüssels 30 in dem Schlüssel 30 gespeichert worden ist.
-
Figur 10 zeigt die digitalen Assoziierungen, die in der Recheneinheit 10 gespeichert sind, in einer bildlichen, symbolhaften Darstellung. Hierbei sind das Kennzeichen des Schlüselinhabers 92, die Berechtigngsrolle 70, 71 des Schlüsselinhabers, die Schlüssel-ID 53 und die Transfer-Information TI 93 miteinander digital assoziiert. Die Assoziierung ist durch den Doppelpfeil dargestellt.
Claims (16)
- Verfahren (200, 300, 400) zum Ändern einer Konfiguration einer elektro-mechanischen Sperrvorrichtung nach einer Inbetriebnahme der Sperrvorrichtung (40),wobei insbesondere die Änderung der Konfiguration der Sperrvorrichtung (40) ein Firmware Update oder eine Dekommissionierung umfasst,wobei das Verfahren (200, 300, 400) mittels eines Schlüssels (30) durchgeführt wird, wobei der Schlüssel (30) gegenständlich ausgebildet ist,wobei der Schlüssel (30) ausgebildet ist, mit der Sperrvorrichtung (40) elektronisch über eine erste Kommunikationsverbindung zu kommunizieren, wobei der Schlüssel (30) ausgebildet ist, über eine drahtlose zweite Kommunikationsverbindung mit einem Gerät (20) zu kommunizieren, wobei das Gerät (20) ausgebildet ist, mit einer Recheneinheit (10) über eine dritte Kommunikationsverbindung zu kommunizieren, wobei das Verfahren (200, 300, 400) die folgenden Schritte umfasst:a) Der Schlüssel (30) empfängt eine Befehlsnachricht (50) mit einem Befehl (60) zur Änderung der Konfiguration der Sperrvorrichtung (40) von der Recheneinheit (10) über das Gerät (20), wobei das Empfangen der Befehlsnachricht (50) nur erfolgt, wenn der Schlüssel (30) zuvor mittels der Recheneinheit zum Empfang der Befehlsnachricht (50) anhand von zumindest einem in der Recheneinheit (10) hinterlegten Kriterium ausgewählt worden ist,b) Der Schlüssel (30) befiehlt der Sperrvorrichtung (40) die Durchführung der Konfigurationsänderung (61), wenn der Schlüssel (30) und die Sperrvorrichtung (40) elektronisch in Kommunikationsverbindung stehen.
- Verfahren (200, 300, 400) nach Anspruch 1, wobei in der Recheneinheit (10) eine Assoziierung eines Kennzeichens eines Schlüsselinhabers (80-85) mit einer digitalen Repräsentation des Schüssels und eine Assoziierung des Kennzeichens des Schlüsselinhabers (80-85) mit einer Berechtigungsrolle (70, 71) des Schlüsselinhabers (80-85) digital hinterlegt ist, wobei das Verfahren (200, 300, 400) den folgenden Schritt, ausgeführt von der Recheneinheit (10), umfasst:
Ermöglichen der Auswahl des Schlüssels (30) als Empfänger der Befehlsnachricht (50) in Abhängigkeit von der Berechtigungsrolle (70, 71) des Schüsselinhabers als hinterlegtes Kriterium. - Verfahren (200, 300, 400) nach Anspruch 2, wobei das Verfahren (200, 300, 400) den folgenden Schritt, ausgeführt von der Recheneinheit (10), umfasst: Automatisiertes Vorschlagen oder Durchführen der Auswahl des zumindest einen Schlüssels (30) in Abhängigkeit von der Berechtigungsrolle (70, 71) des Schüsselinhabers.
- Verfahren (200, 300, 400) nach einem der vorhergehenden Ansprüche, wobei der Schlüssel (30) den Befehl (60) nur empfangen kann, wenn der Schlüsselinhaber (80-85) sich in einer Applikation auf dem Gerät (20) authentifiziert hat.
- Verfahren (200, 300, 400) nach einem der vorhergehenden Ansprüche, wobei der Schlüssel (30) ausschließlich der Sperrvorrichtung (40) die Änderung der Konfiguration der Sperrvorrichtung (40) gemäß Schritt b) befiehlt, wenn der Schlüssel (30) zuvor von der Recheneinheit (10) den entsprechende Befehl zur Änderung der Konfiguration der Sperrvorrichtung (40) in Schritt a) empfangen hat.
- Verfahren (200, 300, 400) nach einem der vorhergehenden Ansprüche, dass der Schlüssel (30) automatisch bei der nächsten Kommunikation des Schlüssels (30) mit der Sperrvorrichtung (40) die Durchführung der Konfigurationsänderung (61) befiehlt.
- Gegenständlicher Schlüssel (30) für ein Schließsystem (100),wobei der Schlüssel (30) ausgebildet ist, mit einer Sperrvorrichtung (40) über eine erste Kommunikationsverbindung zu kommunizieren und wobei der Schlüssel (30) ausgebildet ist, über eine zweite Kommunikationsverbindung mit einem, insbesondere mobilen, Gerät (20) zu kommunizieren,wobei der Schlüssel (30) eine Schlüssel-ID (53) umfasst,wobei der Schlüssel (30) ausgebildet ist, das Verfahren (200, 300, 400) nach einem der Ansprüche 1, 4, 5 oder 6 durchzuführen.
- Schlüssel (30) nach Anspruch 7, wobei die Befehlsnachricht (50) die Schlüssel-ID (53) des Schlüssels (30) umfasst, wobei der Befehl (60) von dem Gerät (20) nicht lesbar ist.
- Schlüssel (30) nach Anspruch 7 oder 8, wobei der Befehl (60) eine Sperrvorrichtung-ID der Sperrvorrichtung (40), bevorzugt eine Liste von mehreren Sperrvorrichtungs-IDs, an denen die Konfigurationsänderung durchzuführen ist, umfasst, wobei die Selektion, an welcher Sperrvorrichtung (40) die Konfigurationsänderung durchzuführen ist, ausschließlich von der Recheneinheit (10) empfangen werden kann.
- Schlüssel (30) nach einem der Ansprüche 7 bis 9, wobei der Befehl (60) eine Information über die Art der Konfigurationsänderung (61) umfasst und wobei der Befehl (60) eine Konfigurationsänderungsnummer (62) umfasst.
- Schlüssel (30) nach einem der Ansprüche 7 bis 10, wobei der Befehl (60) verschlüsselt ist, wobei der Schlüssel (30) ausgebildet ist, den Befehl (60) zu entschlüsseln, bevor der Schlüssel Schritt b) durchführt.
- Schlüssel (30) nach einem der Ansprüche 7 bis 11, wobei der Schlüssel (30) ausgebildet ist sich selbst zu dekommissionieren, wenn der Schlüssel (30) von der Recheneinheit (10) über das Gerät (20) ein Befehl (60) zur Dekommissionierung des Schlüssels (30) empfängt, wobei der Befehl (60) zur Dekommissionierung des Schlüssels (30) von einem Gerät (20) der Schlüsselinhabers (80-85) oder von einem Gerät (20) eines anderen Benutzers mit der erforderlichen Berechtigungsrolle (71) empfangen werden kann.
- Sperreinheit mit einem Schlüssel (30) nach einem der Ansprüche 7 bis 12 und mit einer Sperrvorrichtung (40), wobei die Sperrvorrichtung (40) ausgebildet ist, von dem Schlüssel (30) eine Konfigurationsänderung befohlen zu bekommen und die Konfigurationsänderung auszuführen.
- Sperreinheit nach Anspruch 13, wobei die Sperrvorrichtung (40) und der Schlüssel (30) sich vor dem Ändern der Konfiguration, insbesondere durch eine kryptographische Information des Schließsystems (100), verifizieren, und/oder wobei die Sperrvorrichtung (40) den Befehl (60) nur ausführt, wenn die in Schritt b) empfangene Konfigurationsänderungsnummer (62) größer ist als eine in der Sperrvorrichtung (40) gespeicherte Konfigurationsänderungsnummer (62).
- Schließsystem (100) mit einem Schlüssel (30) nach einem der Ansprüche 7 bis 12, mit mehreren Sperrvorrichtungen (40) und mit einer Recheneinheit (10), wobei die Recheneinheit (10) ausgebildet ist, mit dem Gerät (20), insbesondere drahtlos, über die dritte Kommunikationsverbindung zu kommunizieren, wobei in der Recheneinheit (10) ein Kriterium zur eine Auswahl von mindestens einem Schlüssel (30) zum Ausführen des Befehls (60) zum Ändern der Konfiguration der Sperrvorrichtung (40) hinterlegt ist, wobei die Recheneinheit (10) ausgebildet ist, den Befehl (60) zu Änderung der Konfiguration der Sperrvorrichtung (40) an das Gerät (20) zu transferieren.
- Sicherheitssystem mit mehreren Schließsystemen (100), wobei die Schließsysteme (100) jeweils nach Anspruch 15 ausgebildet sind, wobei ein Schlüsselinhaber (80-85) unterschiedlichen Schließsystemen (100) zugeordnet ist, wobei die Berechtigungsstufe des Schlüsselinhabers (80-85) in unterschiedlichen Schließsystemen (100) variiert.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP24197034.2A EP4704057A1 (de) | 2024-08-28 | 2024-08-28 | Verfahren zum ändern einer konfiguration einer sperrvorrichtung |
| PCT/EP2025/072911 WO2026046698A1 (de) | 2024-08-28 | 2025-08-08 | Verfahren zum ändern einer konfiguration einer sperrvorrichtung |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP24197034.2A EP4704057A1 (de) | 2024-08-28 | 2024-08-28 | Verfahren zum ändern einer konfiguration einer sperrvorrichtung |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| EP4704057A1 true EP4704057A1 (de) | 2026-03-04 |
Family
ID=92593313
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| EP24197034.2A Pending EP4704057A1 (de) | 2024-08-28 | 2024-08-28 | Verfahren zum ändern einer konfiguration einer sperrvorrichtung |
Country Status (2)
| Country | Link |
|---|---|
| EP (1) | EP4704057A1 (de) |
| WO (1) | WO2026046698A1 (de) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140052777A1 (en) * | 2012-08-16 | 2014-02-20 | Xceedid Corporation | Cloud-based wireless communication system and method |
| EP2821970A1 (de) | 2013-07-05 | 2015-01-07 | Assa Abloy Ab | Kommunikationsvorrichtung zur Zugriffssteuerung, Verfahren, Computerprogramm und Computerprogrammprodukt |
| DE112014004322T5 (de) * | 2013-09-20 | 2016-07-28 | Sargent & Greenleaf, Inc. | System und Verfahren zum Initialisieren und Steuern von Schlössern |
| DE102022127174A1 (de) * | 2022-10-18 | 2024-04-18 | Dormakaba Schweiz Ag | Verfahren zur Inbetriebnahme einer elektro-mechanischen Sperrvorrichtung |
| WO2024083878A1 (de) | 2022-10-18 | 2024-04-25 | Dormakaba Schweiz Ag | Verfahren zur inbetriebnahme einer elektro-mechanischen sperrvorrichtung |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102016218473A1 (de) * | 2016-09-26 | 2018-03-29 | Aug. Winkhaus Gmbh & Co. Kg | Elektronische Schließanlage und Verfahren zum Betrieb einer elektronischen Schließanlage |
-
2024
- 2024-08-28 EP EP24197034.2A patent/EP4704057A1/de active Pending
-
2025
- 2025-08-08 WO PCT/EP2025/072911 patent/WO2026046698A1/de active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140052777A1 (en) * | 2012-08-16 | 2014-02-20 | Xceedid Corporation | Cloud-based wireless communication system and method |
| EP2821970A1 (de) | 2013-07-05 | 2015-01-07 | Assa Abloy Ab | Kommunikationsvorrichtung zur Zugriffssteuerung, Verfahren, Computerprogramm und Computerprogrammprodukt |
| DE112014004322T5 (de) * | 2013-09-20 | 2016-07-28 | Sargent & Greenleaf, Inc. | System und Verfahren zum Initialisieren und Steuern von Schlössern |
| DE102022127174A1 (de) * | 2022-10-18 | 2024-04-18 | Dormakaba Schweiz Ag | Verfahren zur Inbetriebnahme einer elektro-mechanischen Sperrvorrichtung |
| WO2024083878A1 (de) | 2022-10-18 | 2024-04-25 | Dormakaba Schweiz Ag | Verfahren zur inbetriebnahme einer elektro-mechanischen sperrvorrichtung |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2026046698A1 (de) | 2026-03-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2238576B1 (de) | Verfahren und vorrichtung zur steuerung der zutrittskontrolle | |
| EP2691940B1 (de) | Verwaltung von zugriffsrechten auf betriebs- und/oder steuerungsdaten von gebäuden oder gebäudekomplexen | |
| EP3416140B1 (de) | Verfahren und vorrichtung zum authentisieren eines nutzers an einem fahrzeug | |
| EP3542350A1 (de) | Zugangskontrollsystem mit automatischer statusaktualisierung | |
| DE102014101495B4 (de) | Verfahren zum Zugang zu einem physisch abgesicherten Rack sowie Computernetz-Infrastruktur | |
| DE102013215303A1 (de) | Mobiles elektronisches Gerät | |
| DE102020100543A1 (de) | Verfahren und Vorrichtung zum Authentifizieren eines Benutzers einer Fachanlage | |
| EP1321901B1 (de) | Verfahren zur Regelung des Zutrittsregimes zu einem Objekt | |
| EP4602580B1 (de) | Verfahren zur inbetriebnahme einer elektro-mechanischen sperrvorrichtung | |
| AT516288B1 (de) | Verfahren und Vorrichtung zum Verwalten von Zutrittsberechtigungen | |
| EP4704057A1 (de) | Verfahren zum ändern einer konfiguration einer sperrvorrichtung | |
| DE102024124579A1 (de) | Schließsystem und Verfahren zur Inbetriebnahme eines Schlüssels | |
| DE102013100756B3 (de) | Verfahren und Vorrichtung zur Authentifizierung eines Nutzers | |
| EP3352142B1 (de) | System und verfahren zum entriegeln eines schlosses eines schloss-systems | |
| EP3798754A1 (de) | Verfahren zum automatischen anmelden eines benutzers an einem feldgerät und automationssystem | |
| WO2022180088A1 (de) | Verfahren zur installation von mehreren türkomponenten | |
| DE102020123756B3 (de) | Verfahren zur Nutzungsfreigabe sowie Funktionsfreigabeeinrichtung hierzu | |
| DE102013001733A1 (de) | Verfahren zum Zugriff auf einen Dienst eines Servers über eine Applikation eines Endgeräts | |
| EP2933769B1 (de) | Transaktionsverfahren | |
| EP4138435B1 (de) | Verfahren für die erteilung eines zugriffsrechts auf eine steuereinheit in einem gebäudesteuerungssystem | |
| EP3489916B1 (de) | Zugangskontrollvorrichtung, zugangskontrollsystem und verfahren | |
| EP2613491B1 (de) | Ausführung von kryptografischen Operationen mit Daten eines Nutzerendgeräts | |
| DE102024104177A1 (de) | Verfahren und System zum Betätigen eines intelligenten Schlosses sowie Computerprogrammprodukt | |
| DE202026100489U1 (de) | Elektronisches Schloss oder Relais | |
| EP4050545A1 (de) | Verfahren zur installation von mehreren türkomponenten |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE APPLICATION HAS BEEN PUBLISHED |
|
| AK | Designated contracting states |
Kind code of ref document: A1 Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC ME MK MT NL NO PL PT RO RS SE SI SK SM TR |