DE3711746A1

DE3711746A1 - Mit einem ver- und entschluesselungsverfahren arbeitendes elektronisches schliesssystem und arbeitsverfahren fuer ein solches system

Info

Publication number: DE3711746A1
Application number: DE19873711746
Authority: DE
Inventors: Victor H Yee; Thomas W Crosley; Ronald D Lichty; Wayne Davison; John R Goldberg; Leonard L Hofheins; Charles A Vollum; Stephen H Vollum
Original assignee: Schlage Lock Co LLC
Current assignee: Schlage Lock Co LLC
Priority date: 1986-04-08
Filing date: 1987-04-07
Publication date: 1987-10-15
Also published as: IT8719898A0; GB2190523B; AU614715B2; AU7065287A; SE8701411D0; US4837822A; JPH07109144B2; GB2190523A; GB8707750D0; JPS62242079A; FR2597142A1; FR2597142B1; IT1202715B; SE8701411L; CA1274608A

Description

Die Erfindung betrifft elektronische Schlösser und elektronische Schließsysteme, elektronische Schließsysteme, bei denen an an derer Stelle kodierte Schlüsselkarten Verwendung finden, und insbesondere elektronische Schließsysteme, bei denen ein Ver und Entschlüsselungsverfahren mit bekanntem Schlüssel (public key cryphtography) zur Anwendung kommt.

Das Verfahren, bei dem basierend auf der kodierten Information auf einer Schlüsselkarte (oder einem Schlüssel), d.h. ohne direkte Verbindung mit dem zum Kodieren der Schlüsselkarte verwendeten Computer, ein elektronisches Schloß betätigt und die in diesem Schloß enthaltene Programminformation auf den neuesten Stand gebracht wird, ist durch mehrere Faktoren Be schränkungen unterworfen. Diese Faktoren umfassen den ver gleichsweise sehr kleinen Daten-Speicherraum, der auf der Schlüsselkarte und im elektronischen Schloß selbst zur Ver fügung steht, und die begrenzte Geschwindigkeit und die be grenzten Rechenfähigkeiten der Microprozessoren, die in solchen Schlössern Verwendung finden. Diese Einschränkungen hinsicht lich des Speicherraums und der Recheneigenschaften sind äußerst wichtig, wenn man bedenkt, daß die Schlüsselkarte sowohl irgend eine Art geheimen Identifizierungscode oder -kombination als auch Anweisungen zur Betätigung (oder zur Verhinderung einer Betätigung) eines bestimmten Schlosses oder bestimmter Schlösser enthalten muß, und daß das Schloß sowohl die Gültigkeit der Karte erkennen als auch die Anweisungen umsetzen bzw. implemen tieren bzw. ausführen muß.

Es sind heute nur wenige möglicherweise überlebensfähige Systeme verfügbar, die eine an einer anderen Stelle programmierte Schlüsselkarte verwenden, um die mechanische Betätigung und die Programmierung eines elektronischen Schlosses zu steuern. Diese Lösungsversuche sind exemplarisch am besten in den folgenden US-Patentschriften beschrieben: in der US-PS 38 00 284 von Zucker, der US-PS 38 60 911 von Hinman, der US-PS 38 21 704 von Sabsay und deren Neuausgabe RE 29 259 sowie der US-PS 45 11 946 von McGahan.

Bei dem in der US-PS 38 00 284 von Zucker beschriebenen System enthält das Schloß zu jedem beliebigen Zeitpunkt vor einer Reprogrammierung durch einen neuen Schlüssel zwei Arten von Code-Informationen, nämlich einerseits die vorausgehende Code nummer bzw. Codezahl, und, andererseits, die nächstfolgende Codezahl. Der Schlüssel ist mit einer einzigen Kombination codiert. Dieses System ist so aufgebaut, daß dann, wenn man annimmt, daß ein gültiger, ordnungsgemäß angeschlossener bzw. in der vorgegebenen Reihe folgender neuer Schlüssel ausgegeben wird, die Schlüsselkombination mit der nächstfolgenden Kombi nation im Schloß übereinstimmt bzw. zu dieser nächstfolgenden Kombination paßt und bewirkt, daß sich das Schloß sowohl öff net als auch sich selbst umprogrammiert bzw. neu programmiert. Während des Umprogrammierens verwendet ein Funktionsgenerator im Schloß die im Schloß zuvor gespeicherte Kombination um eine laufende bzw. momentan verwendete Kombination und die nächstfolgende Kombination zu erzeugen. Bei einer nachfolgenden Verwendung desselben Schlüssels öffnet sich das Schloß, weil der erste Schloßcode gleich dem momentan verwendeten bzw. lau fenden Schlüsselcode ist. Das Schloß wird in diesem Fall je doch nicht rekombiniert oder umprogrammiert, da die nächst folgende Kombination bereits neu zusammengestellt (resequenced) worden ist und dem Schlüsselcode nicht mehr entspricht. Nach einer Rekombination bzw. Umprogrammierung durch den nächsten Schlüssel ist der momentan verwendete Schloßcode nicht mehr gleich dem Code des unmittelbar vorausgehenden Schlüssels und infolge hiervon öffnet dieser Schlüssel das Schloß nicht mehr.

Das System der US-PS 38 60 911 von Hinman verwendet zwei Kombi nationen sowohl im Schloß als auch im Schlüssel, arbeitet aber ansonsten in ähnlicher Weise wie das von Zucker verwendete System.

Das in der US-PS 38 21 704 von Sabsay beschriebene elektronische Schloß ist insofern die Umkehrung des im Patent von Zucker be schriebenen Schlosses, als dem Schloß eine Kombination zuge ordnet ist, während dem Schlüssel zwei Felder oder Kombinationen zugeordnet sind. Die Schlüsselfelder umfassen ein erstes Feld bzw. eine Autorisierungszahl, die den zuvor autorisierten Code bildet, und ein zweites Feld bzw. eine Schlüsselzahl, die den augenblicklich autorisierten Code enthält. Wird dem Schloß ein Schlüssel präsentiert, dann öffnet das Schloß, wenn das "momentan verwendete" oder zweite Feld gleich der einzelnen Schloßzahl ist. Wenn der "vorausgehende" Code im ersten Auto risierungsfeld gleich der Schloßzahl ist, dann rekombiniert das Schloß und öffnet sich dann. Wird dem Schloß ein neuer Schlüssel dargeboten, dann sollte der vorausgehende Code im ersten Feld des Schlüssels gleich der momentanen Schloßzahl sein, worauf das Schloß rekombiniert und dann öffnet. Jedes Mal wenn hierauf dieser Schlüssel verwendet wird (bevor eine Rekombination durch den nächsten Schlüssel stattfindet) ist die auf den neuesten Stand gebrachte Schloßzahl gleich dem momentan verwendeten Code im zweiten Feld des Schlüssels und das Schloß öffnet sich ohne zu rekombinieren.

Die US-PS 45 11 946 von McGahan verwendet eine erste und eine zweite Kombination sowohl im Schloß als auch im Schlüssel. Sowohl die Schloß- als auch die Schlüsselkombinationen folgen aufeinander in einer vorgegebenen Reihenfolge in der Weise, daß die zweite Kombination die nächstfolgende Zahl nach der ersten Kombination ist. In der Anwendung öffnet das Schloß dann, wenn die erste Schlüsselkombination gleich der ersten Schloßkombination und die zweite Schlüsselkombination gleich der zweiten Schloßkombination ist. Wenn diese Gleichheit nicht besteht aber die erste Schlüsselkombination gleich der zweiten Schloßkombination ist, dann öffnet sich das Schloß und rekombi niert. Somit öffnet und rekombiniert das Schloß dann, wenn ihm der richtig angeschlossene bzw. ordnungsgemäß in Reihe folgende nächste Schlüssel präsentiert wird, wobei die erste Schlüssel kombination gleich der zweiten Schloßkombination ist. Danach sind so lange, bis ein neuer Schlüssel das Schloß rekombiniert, die ersten und zweiten Schloß- und Schlüsselkombinationen ein ander gleich und der augenblicklich verwendete Schlüssel öffnet das Schloß ohne es zu einer Rekombination zu veranlassen. Vor ausgehende Schlüssel sind nicht in der Lage, das Schloß zu öffnen oder zu rekombinieren, da keine der beiden erforder lichen Gleichheitsbedingungen zwischen den Schloß- und den Schlüssel-Codes erfüllt ist.

Unseres Wissens beseitigt jedoch keines der gegenwärtig ver fügbaren elektronischen Schlüsselsysteme einschließlich dem Schlüsselsystem nach McGahan das Anschluß- bzw. Reihenfolge problem, das dann auftritt, wenn die Schlüssel-Reihenfolge und die Schloß-Reihenfolge auseinanderlaufen, beispielsweise des wegen, weil eine ordnungsgemäß ausgegebene und in der Reihe anschließende Karte nicht verwendet wird. Diese Situation ist in den Fig. 1 bis 3 für die Patente von Zucker, Sabsay und McGahan dargestellt. In jedem Fall werden im ersten und im zweiten Schritt ordnungsgemäß ausgegebene und in der Reihen folge angeschlossene Schlüssel in der vorhergesehenen Weise verwendet, die das Schloß wie geplant rekombinieren. Der dritte Schlüssel jedoch, der ebenfalls in gültiger Weise ausgegeben und angeschlossen ist, wird nicht verwendet. Dies kann einfach deswegen geschehen, weil ein Gast seinen Raum nicht betritt oder in einer Raum-Suite eine bestimmte Tür nicht benutzt. Wenn, aus welchem Grund auch immer, die dritte ordnungsgemäß ausgegebene Karte nicht verwendet wird, sind die vierte und alle folgenden Karten nicht in der Lage, das Schloß zu betätigen.

Darüber hinaus konkurrieren bei vorhandenen elektronischen Schloßsystemen die Sicherheitsfunktion und die Betätigungs funktionen um den begrenzten Raum, der auf der Schlüsselkarte und im Schloß zur Verfügung steht, was zur Folge hat, daß entweder eine oder beide Funktionen auf ein unerwünschtes oder nicht annehmbares Maß beschränkt sind. Beispielsweise ist es wünschenswert, eine große Auswahl von möglichen Schloß-Ver wendungsarten zur Verfügung zu haben, wie z.B. Gäste-Ebenen, Raumfolge-Ebenen, allgemein zugängliche Bereiche usw., und in der Lage zu sein, einen Zugang zu verschiedenen Kombinationen von Schlössern oder Schloß-Ebenen vermittels einer einzelnen Schlüsselkarte zu ermöglichen. Bis jetzt haben die inhärenten physikalischen Beschränkungen der Schlüsselkarten und der elektronischen Schlösser selbst die vielseitigsten elektronischen Schließsysteme so eingeschränkt, daß an jedem Schloß aus acht oder neun möglichen Haupt-Ebenen nur eine einzige zur Verfügung steht und daß durch jede einzelne Schlüsselkarte nur eine ein zige Hauptebene oder ein Schloß gesteuert werden kann.

Demgegenüber ist es ein Ziel der Erfindung, ein elektronisches Schließsystem und ein Verfahren zum Betrieb dieses Systems zu schaffen, bei dem die Sicherheit durch ein Ver- und Ent schlüsselungsverfahren mit bekanntem Schlüssel gewährleistet ist.

Ein damit im Zusammenhang stehendes Ziel ist es, ein elektro nisches Schließsystem und ein Verfahren zu dessen Betrieb zu schaffen, bei dem die Sicherheitsfunktion dadurch von den auf der Schlüsselkarte befindlichen Nachrichten getrennt ist, daß das Nachrichten-Feld unter Verwendung eines Digitalsignatur- Ver- und Entschlüsselungsverfahrens kodiert wird.

Ein weiteres, hiermit im Zusammenhang stehendes Ziel der Er findung ist es, ein elektronisches Schließsystem und ein Ver fahren zu dessen Betrieb zu schaffen, bei dem eine Schlüssel karte mit dem elektronischen Schloß vermittels eines flexiblen Protokolls Informationen austauscht, wodurch die Anzahl von Operationen erhöht wird, die an einzelnen Schlössern durchge führt und durch einzelne Schlüssel kontrolliert oder bewirkt werden können.

Gemäß einer Ausführungsform umfaßt die Erfindung das Verfahren, das Nachrichtenfeld einer Schlüsselkarte unter Verwendung eines Ver- und Entschlüsselungsverfahrens mit bekanntem Schlüssel zu chiffrieren und dann die kodierte Karten-Nachricht am Schloß zu dechiffrieren, um die Gültigkeit der Nachricht bzw. Anweisung zu überprüfen, bevor sie ausgeführt wird.

Bei einer bevorzugten Ausführungsform verwendet das erfindungs gemäße elektronische Schließsystem und sein Arbeitsverfahren eine Zahl x und eine Modulo-Funktion x ² mod n=m, wobei n der bekannte Schlüssel (public key) und m die Nachricht bzw. Anweisung ist. Die ko dierte oder signierte Nachricht x wird vermittels der Schlüssel karte zum Schloß übertragen, das die zugrundeliegende Karten- Nachricht m aus der chiffrierten Nachricht x dadurch dechiffriert, daß es x ² mod n berechnet.

Bei einer speziellen Ausführungsform, die so aufgebaut ist, daß sie die Berechnung von x vereinfacht, wird ein spezieller bzw. geheimer Schlüssel verwendet, der ein Paar von Primzahlen p und q umfaßt, die so bestimmt werden, daß gilt m=p×q. Der allgemeine bzw. bekannte Schlüssel n wird so festgelegt, daß er nur zwei Faktoren besitzt, nämlich die speziellen Schlüssel p und q. Die chiffrierte Nachricht x wird aus der Nachricht m dadurch berechnet, daß x mod n berechnet wird. Diese Berechnung kann nur dann innerhalb eines vernünftigen Zeitraumes durchgeführt werden, wenn die speziellen (private) Schlüssel p und q verwendet werden.

Die obige Verwendung eines Ver- und Entschlüsselungsverfahrens mit einem allgemeinen bzw. bekannten (public) Schlüssel erlaubt die Verwendung eines flexiblen Kommunikations-Protokolls, das seinerseits zu einer Reihe von weiter unten genauer beschriebenen Vorteilen führt.

Darüber hinaus umfaßt die Erfindung verschiedene spezielle bzw. neuartige elektronische Schaltungen und mechanische Schloß funktionen, wie sie unten beschrieben werden.

Die Erfindung wird im folgenden anhand von Ausführungsbeispielen unter Bezugnahme auf die Zeichnung beschrieben; in dieser zeigen:

Fig. 1 bis 3 drei herkömmliche Möglichkeiten, die Gültig keit eines Schlüssels zu beurteilen und in Antwort hierauf Schlösser zu rekombinieren und zu öffnen, wobei das Reihenfolge-Problem dargelegt wird, das sich üblicherweise ergibt, wenn ein gültiger Schlüssel nicht verwendet wird,

Fig. 4 eine schematische Darstellung des elektroni schen Gesamt-Schließsystems gemäß der Er findung,

Fig. 5 in schematischer Weise das Ver- und Ent schlüsselungsverfahren mit allgemeinem bzw. bekanntem Schlüssel, das bei dem erfindungs gemäßen elektronischen Schließsystem zum Einsatz kommt und bei dessen Betrieb ver wendet wird,

Fig. 6 die reiterative Multiplizitäts-Routine zum Vermindern des Schloßspeichers und den Schloß- Rechenvorgang, der erforderlich ist, um die kodierte Nachricht x zu quadrieren,

Fig. 7, 8 und 9 jeweils eine beispielhafte Magnetkarte, die Organisation von hexadezimaler Information auf der Karte und die Organisation des Daten bereiches,

Fig. 10 ein schematisches Diagramm der Steuerschaltung, die in dem elektronischen Schloß Verwendung findet,

Fig. 11 in schematischer Weise eine Schloß-Ebenenor ganisation,

Fig. 12 und 12A-12D die beispielhaften Relationen zwischen Haupt ebenen, Bereichen und Schloß-Kodierung, und

Fig. 13 ein schematisches Diagramm einer Schaltung mit erhöhter Wahlmöglichkeit.

A. Grundzüge des erfindungsgemäßen Systems

Eine bevorzugte Ausführungsform 20 eines erfindungsgemäßen elek tronischen Schließsystems ist in Fig. 4 dargestellt. Das elektro nische Schließsystem umfaßt eine Kodierkonsole 21, die aus einem Rechner 22 mit einem Monitor 23, einem Tastenfeld 24, einer so genannten Maus-Steuerungseinheit 26 (oder TRAC ball), und einer Karten-Lese/Schreib-Einheit 27 besteht. Die Konsole kann einen Tastenblock 28 (keypad) umfassen, um die Eingabe von numerischen Daten in den Rechner-Speicher zu erleichtern.

Das elektronische Schließsystem 20 umfaßt auch ein alleinstehen des, d.h. nicht mit der Zentrale verbundenes elektronisches Schloß 30, das einen Mikroprozessor enthält, der durch Infor mationen programmiert wird, die auf dem Magnetstreifen 31 von Karten 32 kodiert sind, um wahlweise eine Verriegelung und Entriegelung des Schnappriegels 33 und des stehenden Riegels (deadbolt) 34 zu bewirken. Grüne, gelbe und rote Lichtanzeigen, die typischerweise von Leuchtdioden gebildet werden und gemein sam mit dem Bezugszeichen 36 gekennzeichnet sind, zeigen den Zustand des Schlosses 30 an. Auch ist ein hörbarer Summer 40 (Fig. 10) in das Schloß eingebaut. Es sei darauf hingewiesen, daß die Karte (oder andere Medien), die Leseeinheit und die Schreibeinheit jede bekannte Form besitzen und z.B. auf mag netischer, optischer oder infraroter Basis arbeiten können. Betrachtet man das erfindungsgemäße Schließsystem allgemein, so ist der Fachmann ohne weiteres in der Lage, auf der Basis der hier gegebenen Beschreibung das Schließsystem auch unter Verwendung anderer Komponenten zu realisieren.

Bei der bevorzugten Ausführungsform verwendet die Konsole ein Apple-MacIntosh-Computersystem und eine handelsübliche Karten- Lese/Schreib-Einheit. In ähnlicher Weise wird im elektronischen Schloß ein 6805-Mikroprozessor und eine herkömmliche Karten- Leseeinheit verwendet. Zusätzlich wird üblicherweise für die Konsoleneinheit ein Magnetplattenspeicher vorgesehen. Bei um fangreichen Betriebsabläufen kann es wünschenswert sein, eine Reihe von Konsolen und die zugehörigen Festplatten-Speicher unter Verwendung eines örtlichen Bereichs-Netzwerkes mitein ander zu verbinden.

Im Betrieb werden die Daten für die Schlüsselkarte 32 in die Konsole 21 unter Verwendung des Tastenfeldes 24, der Maus-Ein heit 26 und/oder des Tastenblocks 28 eingegeben und die Daten werden durch den Rechner 21 chiffriert. Die Karte 32 wird dann längs des Schlitzes 36 in die Karten-Lese/Schreib-Einheit 27 eingeführt, wie dies durch den Pfeil 37 angedeutet ist, um die chiffrierten Daten auf der Karte aufzuzeichnen. Beim Schloß 30 wird die magnetische Schlüsselkarte 32 längs des Schlitzes 38 geführt, wie dies durch den Pfeil 39 angedeutet ist, um den Aktivierungsschalter (wake-up switch) 71 zu schließen (Fig. 10) und auch, um die Schloß-Kartenlese-Einheit in die Lage zu versetzen, die kodierten Daten aufzufinden. Der Schloß- Mikroprozessor dechiffriert dann die Daten und stellt fest, ob die kodierte Nachricht x eine gültige Nachricht m ist. Wenn die Daten-Nachricht gültig ist, wird sie dazu verwendet, das Schloß zu programmieren und/oder das Schloß zu betätigen. Bei spielsweise legen, wie dies weiter unten noch genauer erläutert wird, die durch eine gültige, ordnungsgemäß in der Reihenfolge anschließende Schlüsselkarte 32 übertragenen Daten den Sicher heitsgrad fest, der durch den Schnappriegel 33 und den stehenden Riegel 34 erzeugt wird und bestimmen, ob und wann der Handgriff 41 in der Lage ist, das Schloß zu entriegeln. Darüber hinaus um fassen die durch die Schlüsselkarte 32 dem Schloß 30 mitgeteilten Informationen verschiedene Formen von Anweisungen an das Schloß, wie z.B. Anweisungen an das Schloß, sich zu öffnen, wenn der Handgriff 41 gedreht bzw. betätigt wird, sich nur dann zu öffnen, wenn der stehende Riegel 34 nicht vorgeschoben ist, ein Zimmer mädchen nicht einzulassen, usw.

Das System 20 erzeugt die Systemsicherheit durch das Kodieren der Schlüsselkarten-Nachricht unter Verwendung eines einzigar tigen Digitalsignatur-Verschlüsselungs- und -Entschlüsselungs verfahrens, das so sowohl an der Konsole als auch am Schloß schnell durchgeführt wird. Der Einsatz eines flexiblen Proto kolls führt zu einer Flexibilität im Betrieb, die größer ist, als die bei früheren elektronischen Schließsystemen zur Ver fügung stehende Flexibilität. Darüber hinaus wird eine Reihen folge-Routine verwendet, bei der das oben erläuterte Problem des "außer Takt geratens" nicht auftritt. Diese und andere Eigenschaften werden im folgenden erläutert.

B. Digitalsignatur

Wie erwähnt, ist das erfindungsgemäße elekronische Schließsystem geeignet, trotz der einem solchen System innewohnenden Begrenzun gen hinsichtlich der Möglichkeiten, Daten zu speichern und Rechenoperationen durchzuführen, eine abgewandelte Form eines mit Dititalsignatur arbeitenden Ver- und Entschlüsselungsver fahrens mit allgemein bekanntem (public) Schlüssel zu verwenden. Wie in Fig. 5 dargestellt, chiffriert bei der Verwendung eines Ver- und Entschlüsselungsverfahrens mit bekanntem Schlüssel im allgemeinen ein Sender S eine Nachricht m unter Verwendung eines Chiffrier-Schlüssels k _E und sendet oder überträgt die kodierte Chiffriertext-Nachricht m′ zum Empfänger R. Der Em pfänger verwendet einen Dechiffrier-Schlüssel k _D um die kodierte Nachricht indie ursprüngliche Klartext-Nachricht m zurückzu übertragen.

Das oben beschriebene grundsätzliche Ver- und Entschlüsselungs verfahren kann auf zwei verschiedene Arten verwirklicht werden: durch ein herkömmliches Ver- und Entschlüsselungsverfahren und durch ein Ver- und Entschlüsselungsverfahren mit "bekanntem" (public) Schlüssel. Bei einem herkömmlichen Ver- und Entschlüsse lungsverfahren sind der Verschlüsselungs- und der Entschlüsselungs- Schlüssel der gleiche, d.h. es gilt k _E=k _D=k. Dieses Verfahren umfaßt den allgemein bekannten herkömmlichen digitalen Verschlüs selungsstandard DES. Wenn ein herkömmliches Ver- und Entschlüsse lungsverfahren bei einem elektronischen Schließsystem verwendet würde, würde ein kritisches Problem darin bestehen, daß es er forderlich wäre, den gemeinsamen Schlüssel k sowohl dem Sender als auch dem Empfänger mitzuteilen. Die Sicherheit dieses Schlüs sels wäre dann kritisch für die Sicherheit des Systems selbst. Beispielsweise könnte die Sicherheit des Schlüssels durch ein Umkehren bzw. Aufdecken des Konstruktionsvorganges oder durch eine Untersuchung des Schlosses oder durch einen Vertrauens bruch seitens irgendeiner von mehreren Personen gebrochen werden, die notwendigerweise Zugang zum Schlüssel haben.

Bei einem Ver- und Entschlüsselungsverfahren mit bekanntem Schlüssel gilt k _D *k _E. Bei den Ver- und Entschlüsselungs verfahren mit öffentlichem bzw. bekanntem Schlüssel gibt es zwei Unterformen. Bei der einen kann der Verschlüsselungs schlüssel k _E öffentlich bzw. bekannt und der Entschlüsselungs schlüssel k _D geheim sein, wobei jedermann eine Nachricht senden kann, die aber nur durch den Empfänger R dekodierbar ist. Ein Beispiel für ein solches Verfahren sind die elektronischen Mail-Systeme.

Die zweite Möglichkeit für ein Ver- und Entschlüsselungsver fahren mit bekanntem Schlüssel ist die Umkehrung des ersten Verfahrens. Das heißt, der Verschlüsselungsschlüssel k _E wird geheim gehalten und der Entschlüsselungsschlüssel k _D ist bekannt. Infolge hiervon kann nur der Sender S, der den geheimen Schlüssel k _D besitzt, eine in gültiger Form kodierte Nachricht aussenden, doch jedermann kann die kodierte Nachricht dechiffrieren, um zu verifizieren, daß die kodierte Nachricht gültig ist. Dies ist das sogenannte Digitalsignatur- bzw. Digital-Kodierungsverfahren, das wegen seiner potentiellen Sicherheit bevorzugt wird. Eine beispielhafte Anwendung dieses Systems wird in dem Buch von Meyer und Matyas mit dem Titel Cryptography, erschienen bei John Wiley and Sons, 1982 insbesondere in dem Abschnitt des Kapitels 2 mit dem Titel "Block Cyphers" auf den Seiten 33 bis 48 beschrieben, der RSA Algorithmen betrifft. Der Inhalt dieses Buches wird durch ausdrückliche Bezugnahme mit in die vor liegende Offenbarung aufgenommen.

Der nach seinen Erfindern benannte RSA-Algorithmus umfaßt grund sätzlich die Berechnung einer Modulo-Funktion des Typus x ^k mod n=m, wobei x eine Nachricht ist, die dann, wenn sie mit dem Schlüssel potentiert und durch eine zusammengesetzte Zahl n dividiert wird, einen Rest m liefert. Die erfindungsgemäße Di gitalsignatur für einen elektronischen Verriegelungsschlüssel ist eine modifizierte Version eines Algorithmus vom RSA-Typ in der Form x ² mod n=m. Die Verwendung dieser Modulo-Funktion zur Übertragung von kodierten Nachrichten umfaßt an der Konsole die Berechnung einer Quadratwurzel x, so daß x ² mod n=m, d.h. so daß x ² dividiert durch n den Rest m liefert. Der Quotient wird nicht verwendet. In diesem Fall ist m die Nachricht, die über tragen werden soll, während n der bekannte bzw. allgemein zu gängliche (public) Schlüssel und x die kodierte Nachricht m′ ist (siehe Fig. 5).

Am Schloß wird die Funktion x ² mod n berechnet, um die kodierte Nachricht m wieder aufzufinden bzw. zu dechiffrieren.

Die Sicherheit, die sich durch die erfindungsgemäße Anwendung eines Ver- und Entschlüsselungsverfahrens mit bekanntem bzw. allgemein zugänglichem Schlüssel auf Schließsysteme ergibt, ist direkt proportional zur Größe der allgemein zugänglichen Schlüs selzahl. Will man daher eine Sicherheit gewährleisten, die aus praktischen Gründen nicht gebrochen bzw. durchbrochen werden kann, so erfordert dies die Verwendung eines sehr großen all gemein zugänglichen Schlüssels. Die vorliegende Version des elek tronischen Schließsystems 20 verwendet einen allgemein zugäng lichen Schlüssel n mit ungefähr 111 Ziffern bzw. Stellen. Aus dem Zahlentheorie-Problem der quadratischen Residuosität kann nachge wiesen werden, daß das Auffinden von Quadratwurzeln Modulo einer zusammengesetzten Zahl ebenso schwierig ist wie das Faktorieren bzw. in Faktoren zerlegen (factoring) dieser Zahl. Somit kann dadurch, daß der 111-stellige allgemein zugängliche Schlüssel (n) als Produkt von zwei großen Primzahlen gewählt wird, dieses Faktorierungsproblem äußerst schwierig gemacht werden. Das Faktorieren einer großen Zahl kann selbst für den schnellsten und höchstentwickelten Rechner, wie z.B. für einen Cray-2-Super computer Monate oder sogar Jahre dauern, ganz zu schweigen von dem fähigen aber langsameren und weniger hochentwickelten Konsolen-Computer und dem wesentlich langsameren nur eine geringe Kapazität aufweisenden Computersystem, das im Schloß 30 verwendet wird. Weiterhin können nach unserer Kenntnis die einander widersprechenden Erfordernisse, die durch die großen, für die Sicherheit erforderlichen Zahlen und den sehr schnellen Betrieb (0,5 Sekunden) der für eine bequeme Schloßbetätigung erforderlich ist, nur dadurch gleichzeitig erfüllt werden, daß die folgenden erfindungsgemäßen Kodier/Dekodier-Sequenzen ver wendet werden. Der Kodier/Dekodier-Algorithmus umfaßt drei Basis- Gruppen von Schritten: eine Vorausberechnung von verschiedenen Werten, die vom Nachrichten-Wert unabhängig sind, das Kodieren und Signieren der Schlüsselkarten-Botschaft an der Konsole und das Verifizieren und Wiedergewinnen bzw. Dekodieren der Schlüs selkarten-Botschaft am Schloß (oder der Konsole). Diese drei Algorithmen teilen sich einen Satz von gemeinsamen Globalvariablen:

1. p, q:ein Paar von Primzahlen, die nur der Konsole bekannt sind und die den geheimen Schlüssel bilden; 2. n:der allgemein bekannte (public) Schlüssel, das Produkt von p und q, die seine einzigen Faktoren darstellen; 3. p 14, q 14:die Exponenten, die verwendet werden, um Partialwurzeln (partial roots) zu finden, 4. p 2, q 2:die Partialwurzeln von 2, und 5. kp, kq:Kombinationskoeffizienten, die dazu verwendet werden, zwei Partialwurzeln zu kombinieren.

Die drei Schritte werden im folgenden beschrieben.

1. Vorausberechnung

Dieser Algorithmus berechnet die Werte, die beim Verschlüsse lungs- bzw. Signatur-Prozeß benötigt werden. Er wird einmal im mer dann ausgeführt, wenn die Konsole initialisiert wird. Sein Zweck besteht darin, die Zeit zum Signieren bzw. Chiffrieren einer Nachricht dadurch zu verkürzen, daß diejenigen Werte im voraus berechnet werden, die vom Nachrichten-Wert unabhängig sind.

Unter Verwendung der gewählten Primzahlen p und q berechnet die ser Algorithmus den allgemein zugänglichen Schlüssel (n), die Exponenten (p 14 und q 14), die Partialwurzeln von 2 (p 2und q 2) und die Kombinationskoeffizienten (kp und kq). Diese Werte wer den in den oben gezeigten Globalvariablen gespeichert.

Der Algorithmus zum Vorausberechnen von n, p 14, q 14, p 2, q 2, kp, kq unter Verwendung von p und q umfaßt die folgenden Schritte:

2. Signieren der Nachricht

Wie erwähnt, besteht das Signieren bzw. Chiffrieren einer Nach richt m darin, einen Wert x so zu finden, daß gilt x ² mod n=m. Nur 25 Prozent der möglichen Werte von m haben derartige Wurzeln bzw. Lösungen. Dadurch, daß gefordert wird, daß m mod 4=2, kann während des Verschlüsselungs- und Verifikationsverfahrens dafür gesorgt werden, daß das Signieren bzw. Verschlüsseln eines jeden zulässigen Nachrichten-Wertes möglich ist.

Der Signatur-Algorithmus berechnet zunächst die Partialwurzeln von m bzüglich p und q und synchronisiert dann erforderlichen falls die Partialwurzeln durch Verdoppelung von m. Schließlich werden die beiden Partialwurzeln kombiniert, um die Wurzel be züglich n zu bilden. Die Signatur-Algorithmusschritte sind:

3. Verifizieren der Signatur und Wiedergewinnen der Nachricht

Dieser Algorithmus berechnet am Schloß 30 x ² mod n und gleicht alle Änderungen aus, die während des Signatur-Verfahrens durch geführt wurden, wodurch der ursprüngliche Nachrichten-Wert m wiedergewonnen wird. Der gleiche grundlegende Algorithmus wird sowohl in der Schloß-Firmware als auch in der Konsole zum Veri fizieren der signierten bzw. chiffrierten Daten verwendet.

Dieser Algorithmus zum Wiedergewinnen der ursprünglichen Nach richt aus der verschlüsselten Nachricht x und dem allgemein zu gänglichen Schlüssel n umfaßt die folgenden Schritte:

Der oben beschriebene Digitalsignatur-Algorithmus löst ein kri tisches Problem dadurch, daß er einen allgemein zugänglichen Schlüssel n wählt, der als seine Faktoren nur die beiden großen Primzahlen p und q besitzt, und liefert durch das Auffinden der Quadratwurzeln Modulo der zusammengesetzten Zahl x ² mod n=m ein Verfahren zur Bestimmung der Nachricht durch Verwendung des geheimen Schlüssels p, q, der durch den Konsolen-Rechner ohne weiteres durchgeführt aber nur äußerst schwierig gebrochen wer den kann.

Es gibt ein zweites kritisches Problem bei der Anwendung des Digitalsignatur-Verschlüsselungs- und -Entschlüsselungsverfah rens auf elektronische Schlösser, nämlich ein Problem, das den Schloßrechner betrifft. Zwar ist der gegenwärtig im Schloß 30 verwendete 6805-Mikrocomputer relativ schnell und besitzt eine vergleichsweise große Speicherkapazität sowohl im Speicher mit wahlfreiem Zugriff (192 Bytes) als auch im Festwertspeicher (4096 Bytes), doch hat ein solcher dem Stand der Technik ent sprechender Mikroprozessor eine sehr kleine Speicher- und Rechen kapazität im Vergleich zu den Anforderungen, die bei der Berech nung einer sehr großen Zahl wie z.B. x ² mod n gestellt werden. Darüberhinaus ist der verfügbare Hilfsspeicher (scratch memory) mit wahlfreiem Zugriff weiterhin auf ungefähr 100 Bytes redu ziert, da ungefähr 50 Bytes für andere elektronische Schloß funktionen benötigt werden. Einfach ausgedrückt ist nicht ge nügend Hilfsspeicherplatz mit wahlfreiem Zugriff vorhanden, um auf die üblicherweise verwendete Art eine kodierte Zahl x von ungefähr 46 Bytes aufzubewahren und gleichzeitig sein die doppelte Länge besitzendes Binärprodukt x ² zu entwickeln. Diesen Einschränkungen kommt eine noch größere Bedeutung zu, wenn man sie im Licht der zuvor erwähnten einander widersprechenden Not wendigkeiten betrachtet, die Größe der berechneten Zahl x mög lichst groß zu wählen, um eine möglichst große Sicherheit zu erzielen und gleichzeitig die Forderung zu erfüllen, daß die Be rechnungen innerhalb eines Zeitraumes von 0,5 Sekunden durch geführt werden müssen, um eine nicht annehmbare Verzögerung zu vermeiden, nachdem die Karte durch den Leseschlitz 38 im Schloß hindurchgeführt worden ist. Kurz gesagt ist zusätzlich zur Be rechnungseffizienz, die an der Konsole erforderlich ist und durch den oben beschriebenen Faktorierungs-Algorithmus für p, q erzielt wird, auch eine große Berechnungseffizienz von nöten, um den Ausdruck x ² mod n sehr schnell am Schloß mit dem starken Einschränkungen unterworfenen Hilfsspeicher mit wahlfrei em Zugriff zu berechnen.

Die Erfindung umfaßt ein Rechenverfahren, das die gewünschte Effizienz liefert. Dieser Algorithmus ermöglicht die Berechnung von x ² in dem gleichen Hilfsspeicher mit wahlfreiem Zugriff, der auch zur Speicherung von x erforderlich ist. Dieser Algorith- Quadrieren der vierstelligen Zahl 5374 beschrieben, doch ist er auf jede andere Zahl anwendbar.

In Fig. 6 sind der Bequemlichkeit halber die Berechnungsspalten von 1 bis 8 durchnumeriert und die Hinweismarken (pointers) I, J sind weitgehend so verwendet, wie dies bei einer Implemen tierung des Algorithmus in einem Rechner der Fall ist. Zunächst beginnt die Berechnung damit, daß sich die beiden Hinweismarken I, J gemeinsam in der Spalte 1 befinden, dann wird I Spalte um Spalte nach links bis zur letzten Spalte mit der Ziffer x (hier bis zur Spalte 4) verschoben, und schließlich wird J Spalte um Spalte nach links bis zur letzten Spalte verschoben. Nach jeder Bewegung der Hinweismarken I oder J wird eine Summation von Kreuzprodukten für die von I und J umschlossenen Spalten durch geführt: (1) Wenn I und J eine gerade Zahl n von Spalten über spannen, dann wird die Summe der Kreuzprodukte der von I und J überspannten Spalten gebildet. (2) Wenn I und J eine ungerade Anzahl von Spalten überspannen, wird das Quadrat der mittleren Spalte gebildet und zur Summe der Kreuzprodukte der äußeren Spalten addiert, wenn solche äußeren Spalten vorhanden sind. (Wenn für die Zahl der überspannten Spalten gilt n=1, dann gibt es keine äußeren Spalten.)

Dieses Verfahren ist durch Bezugnahme auf Fig. 6 ohne weiteres verständlich, wo sich I und J beide zunächst an der Spalte 1 befinden und die zugehörige Zwischensumme einfach gleich 4² oder 16 ist. Wenn I zur zweiten Spalte bewegt wird (I=2 und J=1) überspannen die beiden Hinweismarken eine gerade Anzahl von Spalten und die Spalten-Zwischensumme ist (4×7=28)+ (7×4=28) oder 56. Es sei darauf hingewiesen, daß in jedem Fall, in dem die Kreuzprodukte berechnet werden, zwei gleiche Werte wie z.B. 28, 28 erhalten werden und daß die Berechnungen auf eine einfache Multiplikation des Kreuzproduktes, wie z.B. 28, mit der Zahl 2 reduziert werden können.

Die Berechnungs-Routine wird dadurch fortgesetzt, daß als nächstes I zur Spalte 3 verschoben wird (I=3, J=1), was zu der zugehörigen Spalten-Zwischensumme (4×3=12)+ (7×7=49)+(3×4=12) führt. Dieses Verfahren wird solange fortgesetzt, bis zunächst I bis zur äußersten linken Spalte be wegt worden ist, und dann wird J bis zu dieser letzten Spalte bewegt (I=4, J=4), was zu einem zugehörigen Kreuzprodukt 5×5=25 führt.

Das quadrierte Ergebnis wird einfach dadurch erhalten, daß die Spalten addiert werden.

Es sei darauf hingewiesen, daß dieses Verfahren zu jedem Zeit punkt maximal eine Hilfsspeicher-Kapazität benötigt, die gleich der doppelten Anzahl von Bytes ist, die durch die nichtquadrier te Zahl x belegt werden, plus lediglich 6 extra Bytes. Somit er laubt dieser Algorithmus die Berechnung einer sehr großen Zahl x ² unter Verwendung desselben Hilfsspeichers mit wahlfreiem Zugriff, der benötigt wird, um die große Zahl x zu speichern, plus 6 weitere Bytes; weiterhin reduziert dieser Algorithmus die Anzahl von Multiplikationen, die erforderlich sind, um ein x ² mit 111 Bits zu erhalten, nahezu auf die Hälfte von un gefähr 2100 auf 1100. Dies vermindert die Gesamt-Rechenzeit um ungefähr 25 Prozent von etwa 0,5 Sekunden auf 0,365 Sekunden.

C. Flexibles Protokoll und Operationen

Das flexible Protokoll ist ein Nebenprodukt der Verwendung eines Ver- und Entschlüsselungsverfahrens mit zugänglichem Schlüssel vom Digital-Signatur-Typ zum Kodieren des Nachrichtenbereichs einer Magnetkarte. Wie oben beschrieben, liefert das Digital- Signatur-Verfahren eine außerordentlich gute Sicherheit. Darüber hinaus trennt das Kodieren des Daten-Nachrichten-Bereiches unter Verwendung des Digital-Signatur-Verfahrens die Sicherheits- Gültigkeitsüberprüfungs-Funktion von der Nachrichtenfunktion. Dies befreit das Protokoll von den Programm-Einschränkungen, die dadurch entstehen, daß gleichzeitig Nachrichten- und Sicher heits-Funktionen erfüllt werden müssen. Ein Beispiel für eine solche Beschränkung ist das oben diskutierte Reihenfolge-Problem, bei dem gültige Gastkarten nicht in der Lage sind, ein Schloß zu betätigen, nachdem eine oder mehrere vorausgehende Karten nicht betätigt worden sind.

1. Kartenorganisation

Gemäß Fig. 7 werden bei der Implementierung des flexiblen Pro tokolls Magnetkarten 32 verwendet, die einen Magnetstreifen 31 aufweisen, auf den 50 Daten-Bytes in hexadezimaler Notation aufgeschrieben sind. Wie man auch der Fig. 8 entnimmt, sind die 50 Daten-Bytes in einen zwei Bytes umfassenden Kopfteil 101, einen Datenbereich 102, dem 46 Bytes zugewiesen sind, und einen zwei Bytes umfassenden Endteil 103 unterteilt. Die Karte wird von rechts nach links ausgehend von dem Kopfteil vorausgehenden Nullen bis zu dem Endteil nachfolgenden Nullen gelesen. Das erste Byte oder das erste gezählte Daten-Byte auf der Karte ist ein oder mehrere Bytes von Gleichlauf-Zeichen (sync characters) im Kopfteil, die das Schloß anweisen, die folgenden Daten zu lesen und zu analysieren. Das zweite Daten-Byte im Kopfteil ist eine Längen-Spezifikation, im gegenwärtigen Beispiel die Zahl 48, die die Anzahl von Datenbereichs- und Endteil-Bytes auf der Karte spezifiziert und für eine zukünftige Expandierbarkeit der Karte sorgt. Beispielsweise ist zur Zeit die Länge auf 48 (hexadezimal 30) eingestellt, was die maximale Länge dar stellt, die der zur Zeit verwendete Schloß-Mikroprozessor 51 verarbeiten kann.

Der Endteil 103 umfaßt einzelne Bytes für den Kartentyp und eine äußere Längsredundanz-Überprüfung LRC (longitudinal redundancy check). Das 49. Byte, d.h. das Karten-Typen-Byte spezifiziert gegenwärtig eine von sechs verschiedenen Karten- Arten: Fabrikations-Anlauf (factory start-up), Konstruktions- Anlauf (construction start-up), Vollbetriebs-Anlauf (full operation start-up), signierte bzw. kodierte Karte (einstellen, programmieren oder Schlüssel), Selbsttest oder Ab- bzw. Zwischen speichern einer Revisionsfolge (dump Audit Trail). Das 50. Byte, nämlich die aus einem Byte bestehende äußere Längs-Redundanz überprüfung LRC wird verwendet, um zu verifizieren, daß die Daten am Schloß korrekt gelesen werden.

Zwar müssen einige Karten nicht signiert bzw. kodiert werden, doch wird die Flexibilität des erfindungsgemäßen Protokolls vermutlich am besten durch solche Karten - einschließlich von Schlüssel- und Programmierungskarten - verdeutlicht, bei denen der Datenbereich 102 als Digitalsignatur verschlüsselt bzw. chiffriert ist. Insbesondere lokalisiert, wie man der Fig. 9 entnimmt, das Schlüssel- und Programmierungs-Karten-Protokoll gewisse Informationen im Datenbereich 102 einer jeden Karte in den gleichen Bytes. Gegenwärtig weisen die Karten ein Byte für Gemeinschaftsbereich-Kennzeichen (common area flags), vier Bytes für eine Karten-Identifizierungs-Zahl (card I.D. number), zwei Bytes für Gemeinschaftsbereich-Reihenfolge nummern, ein Byte für eine Gemeinschaftsbereich-Negativbrücke (siehe unten), 36 Bytes für das Nachrichtenfeld, ein Byte für eine Gültigkeits-Längs-Redundanz-Überprüfung (validation LRC) und ein Byte für verschiedene Kennzeichen (flags) auf.

Die Gemeinschaftsbereich-Kennzeichen-Bytes spezifizieren einen begrenzten allgemein zugänglichen Bereich. Im vorliegenden Fall ermöglichen Bits 0 bis 3 einen Kartenzugang zu keinem, einigen oder allen von vier möglichen Bereichen mit einem be grenzten allgemeinen Zutritt.

Die Karten I.D.-Zahl enthält eine aus vier Bytes bestehende, fur den Schlüssel einzigartige Zahl, die eine aus vier Milliar den Zahlen ist, die in numerischer Reihenfolge durch die Konso le dem Gast oder dem Angestellten zugeordnet wird, an den die Karte ausgegeben wird.

Es sei darauf hingewiesen, daß Gemeinschaftsbereiche oder all gemein zugängliche Bereiche solche Informationsfelder sind, die so konstruiert sind, daß sie für ein bestimmtes Schloß oder mehrere bestimmte Schlösser einen breiten Zugang durch eine Reihe von Schlüsseln beispielsweise zu Garagen, Schwimm bädern, öffentlichen Toiletten usw. ermöglichen. Die Gemein schaftsbereich-Reihenfolgenummer wird an der Konsole automatisch in einem festgelegten zeitlichen Zyklus, beispielsweise täglich geändert. Bei den Gästeraum- und Angestellten-Reihefolge-Zahlen wird dann, wenn die allgemeine Reihenfolgezahl auf der Karte gleich der Zahl im Schloß ist, d.h. wenn gilt, S _C=S _L, die Tür geöffnet. Weiterhin wird bei Gästeraum- und Angestellten- Reihenfolge-Zahlen dann, wenn die allgemeine Reihenfolge-Zahl auf der Karte größer ist als die Zahl im Schloß und zwar um eine Differenz, die nicht größer ist als die Reihenfolge- Brücke b (b (S _C-S _L)<0), nicht nur die Tür geöffnet, sondern es wird auch die Reihenfolge-Zahl auf der Karte im Schloß als dessen Zahl gespeichert. Anders als bei den oben erörterten herkömmlichen Verfahren ermöglicht es diese Reihenfolge-Methode einer gültigen Karte ein Schloß unabhängig davon zu betätigen, ob vorausgehende Karten benutzt oder nicht benutzt worden sind, so lange wie die willkürlich gewählte Brückenlänge nicht über schritten wird. Wie erwännt, wird diese Flexibilität dadurch möglich gemacht, daß das Arbeiten des Karten- und Schloßproto kolls von der Sicherheitsfunktion getrennt wird. Die willkür liche Brückenzahl b kann 1 oder 10 oder 255 oder irgendeine an dere Zahl sein, die die gewünschte System-Flexibilität liefert.

Anders als bei den Gästeraum- und Angestellten-Reihenfolge- Zahlen wird dann, wenn die allgemeine Reihenfolge-Zahl auf der Karte kleiner ist als die Zahl im Schloß und zwar um eine Diffe renz die nicht größer ist als die auf der Karte spezifizierte Gemeinschaftsbereich-Negativbrücke b _c (b _c (S _L-S _C)<⌀) die Tür geöffnet. Der Zutritt zum Gemeinschaftsbereich läuft auto matisch dann aus, wenn der Unterschied zwischen S _L und S _C die allgemeine Negativbrücken-Zahl b _c übersteigt. Die Gemeinschafts bereich-Negativbrücken-Zahl wird in ähnlicher Weise wie die Brückenzahl mit der Ausnahme eingestellt, daß die Negativbrücke in der ein Bit umfassenden Gemeinschaftsbereich-Negativbrücke spezifiziert wird.

Als Beispiel sei ein Gast betrachtet, der eine Gemeinschafts bereich-Negativbrücken-Zahl 10 hat. Wenn dieser Gast am ersten Tag seines Aufenthaltes das Schwimmbad benützt, öffnet sich die Tür. Wenn er der erste der Gäste ist, die an diesem Tag das Schwimmbad benützen, dann ist die Reihenfolge-Zahl auf seiner Karte größer als die Zahl im Schloß und das Schloß wird auf die neue Zahl auf der Karte neu eingestellt. Am nächsten Tag, wenn das Schloß von Gästen benutzt worden ist, die an diesem Tag angekommen sind, ist die Reihenfolgezahl wieder weiter ver ändert worden. Die Karte des eingangs betrachteten Gastes er möglicht ihm aber weiterhin den Zutritt zum Schwimmbad, da seine Karte eine Reihenfolge-Zahl besitzt, die kleiner ist als die des Schlosses, und zwar ist die Differenz gleich 1, was kleiner ist als die Negativbrücke von -10 auf seiner Karte. Die Karte des betrachteten Gastes wird die Tür zum Schwimmbad zehn Tage lang öffnen, solange als seine Karten-Reihenfolge- Zahl um eine Differenz kleiner ist als die Schwimmbadtür-Schloß- Reihenfolgezahl, die nicht größer ist als die Negativbrücke 10 auf seiner Karte.

Das 45. Byte im Datenbereich 102 ist eine aus einem Byte bestehen de innere Längs-Redundanz-Überprüfung LRC (longitudinal redundancy check), die die Gültigkeit der Daten überprüft. D.h., diese innere LRC wird verwendet, um festzustellen, ob die dechiffrierte Karte gültig ist. Die vorausgehenden 44 Bytes werden über eine EXCLUSIV- ODER-Funktion mit der LRC verknüpft und es muß sich das Ergebnis NULL ergeben, damit die Daten gültig sind. Ist dies nicht der Fall, wird die Karte als ungültig betrachtet und zurückgewie sen.

Das letzte, 46. Byte im Datenbereich wird für Funktionen wie die Kontrolle der Audio-Rückmeldung und der Rückmeldung über eine schwache Batterie und zum Spezifizieren verwendet, ob die Karte eine Einstellkarte oder eine Schlüssel/Programmierungs- Karte ist. Zusätzlich werden die beiden untersten Bits des 46. Bytes für eine quadratische Residuen-Kontrolle verwendet. Das untere Bit ist immer Null und das nächste Bit ist immer 1, so daß der Datenbereich eine gerade 46-Byte-Zahl ist, die kongruent zu 2 mod 4 ist, was das Entschlüsseln der Karte er leichtert.

D. Programmierungs- und Schlüsselkarten 1. Nachrichtenfeld-Daten

Das 36 Byte umfassende Nachrichtenfeld 104 aus Fig. 9 teilt dem Schloß eine oder mehrere auszuführende Funktionen mit. Wie in Fig. 10 schematisch dargestellt, sind der Mikroprozessor und der Speicher des Schlosses so konstruiert, daß sie Karten- Nachrichten bzw. -Botschaften empfangen, die aus Unterbotschaf ten aufgebaut sind: eine oder mehrere AKTIONEN, denen wahlwei se oder notwendigerweise ein BEREICH/REIHENFOLGE-Paar, eine SCHLOSS- Zahl- und/oder eine ZEIT-Spezifikation vorausgeht. Ein ein Byte umfassender Nachrichtenende-Kode EOM (end of message) wird auf der Karte dann verwendet, wenn das 36 Byte umfassende Feld nicht gefüllt ist.

Ein BEREICH/REIHENFOLGE-Paar ist ein BEREICH mit einer zuge hörigen REIHENFOLGE-Zahl und ist erforderlich, um die meisten Aktionen gültig zu machen bzw. freizugeben. Das Nachrichtenfeld umfaßt 32 640 mögliche Bereiche wie z.B. eine oder mehrere Türen umfassende Gästezimmer, Suiten usw.

Der hier verwendete Ausdruck "Bereich" bedeutet ein Kollektiv von einem oder mehreren zugehörigen Schlössern, von denen alle mit demselben BEREICH/REIHENFOLGE-Paar geöffnet werden können. Wie in Fig. 12 schematisch dargestellt, werden Bereiche ver wendet, um ein Kollektiv von zugehörigen Schlössern zu kenn zeichnen. Andererseits beziehen sich Haupt-Ebenen auf ein Kollektiv von zugehörigen Bereichen. Die Fig. 12A, 12B, 12C und 12D sind der Fig. 12 entnommen und stellen die Bereiche und Schlösser dar, die den beispielhaft wiedergegebenen drei Hauptebenen GAST (Fig. 12A), HAUSHALTUNG (Fig. 12B und 12C) und NOTHILFE (Fig. 12D) zugeordnet sind. Diese Figuren dienen zu Erläute rungszwecken, da die Anwendbarkeit des erfindungsgemäßen Kon zeptes einen wesentlich größeren Bereich umfaßt, als dies dar gestellt ist. Beispielsweise können derzeit die erfindungsge mäßen Schlösser so programmiert werden, daß sie auf bis zu neun Bereiche oder Hauptebenen ansprechen. Die Verwendung von Hauptebenen bei herkömmlichen Schlössern ist auf einige feste ausgewählte Schlösser oder Schloßgruppierungen begrenzt und jedes Schloß ist auf eine Auswahl aus dieser Zahl eingeschränkt. Bei Verwendung des erfindungsgemäßen Protokolls ist jedoch eine sehr große Auswahl von Ebenen (näherungsweise 32 640) verfüg bar.

Im nachfolgenden wird insbesondere das BEREICH-Protokoll be schrieben. Ein unteres Bereichs-Byte mit dem Wert Null ist auf einer Karte nicht zugelassen; die derart möglichen 128 Bereiche sind für eine Schloßverwendung reserviert. Die unteren 15 Bits des 16-Bit-Bereichs-Feldes spezifizieren den Bereich selbst. Es gibt somit 32 640 mögliche Bereiche, die durch die 15 Bits spezifiziert sind. Jeder verwendete Bereich hat eine zugehörige laufende Reihenfolge-Nummer bzw. -Zahl. Die Organisation der Arten und Nummern von Türen wird durch die Geschäftsführung an jeder Stelle definiert. Während ein Gästezimmer mit einer Tür einen Bereich mit einem Schloß darstellt, besteht der Nothilfe- bzw. Notfall-Bereich aus den meisten oder sämtlichen Schlössern in dem Hotel oder System. In beiden Fällen ist jedem Bereich eine einzelne Reihenfolge-Nummer zugeordnet.

Bit 14, das höchste Bit im Bereich (das zweithöchste Bit im Bereichs-Feld) spezifiziert, ob der Bereich dem Zutritt von Gästen oder Angestellten offensteht. Wenn diese Bit gesetzt ist, gilt der Bereich als Angestellten-Bereich. Wenn das Bit gelöscht bzw. nicht gesetzt ist, gilt der Bereich als Gäste- Bereich.

Wie an anderer Stelle erwähnt, ist der erste Bereich aller Schlösser der Notfall-Bereich. Er wird niemals entfernt bzw. gelöscht und besitzt keinen "Einmal"-Zähler. Ein gültiger Not fallschlüssel kann jedes Schloß unter der Voraussetzung öffnen, daß es nur einen einzigen Notfall-Bereich gibt oder wenn es mehrere Notfallebenen-BEREICH/REIHENFOLGE-Paare gibt, sind alle entsprechend gesetzten Bits auf dem Notfallschlüssel. Wenn das höchste Bit (Bit 15) des Notfall-Bereiches gesetzt ist, zeigt dies an, daß ein feststehender Riegel nicht respektiert wird, und daß alle Schlösser so programmiert werden, daß sie sich jederzeit unabhängig von der Stellung ihres feststehenden Rie gels an der Tür und unabhängig vom Vorhandensein eines Hoch sicherheits-Status öffnen. Wenn das die Nichtbeachtung eines feststehenden Riegels anzeigende Bit nicht gesetzt ist, kann die Karte jedoch die Tür nicht öffnen, wenn diese durch einen feststehenden Riegel oder irgendeinen Hochsicherheits-Status verschlossen ist.

Gästebereiche erfahren ebenfalls eine spezielle Handhabung. Nur eine Erneuerung der Gästebereich-Reihenfolge setzt einen Hochsicherheits-Status (der an anderer Stelle erläutert wird) zurück; zwar können mehrere Gästebereiche in ein Schloß ein programmiert werden, doch kann zu jedem beliebigen Zeitpunkt nur ein Bereich aktiv sein und die anderen sind ausgeschlossen. Das Erneuern bzw. auf neuesten Stand bringen der Reihenfolge eines Gastbereiches macht diesen zum aktiven Gastbereich und schließt alle anderen aus. Ein ausgeschlossener Gastbereich kann auch dadurch aktiv gemacht werden, daß eine Ausschluß- Rücksetz-Operation verwendet wird.

Bit 15, das höchste Bit eines jeden Bereichs-Feldes auf einer Karte spezifiziert die Nichtbeachtung des feststehenden Riegels. Wenn Bit 15 auf eine logische Eins gesetzt ist, öffnet der Schlüs sel die Tür selbst dann, wenn ein Hochsicherheitsstatus existiert oder selbst dann, wenn der feststehende Riegel von der Innen seite her eingelegt worden ist, wie dies oben für den Sicher heitsschlüssel beschrieben wurde. Wenn ein Bit 15 in einem Be reich gleich logisch Null ist, öffnet die Karte die Tür nicht, wenn ein Hochsicherheits-Status vorhanden ist (außer die AKTION ist SETZE HOCH-SICHERHEIT/ÖFFNEN, wie dies unten erläutert wird) oder wenn der feststehende Riegel von innen vorgelegt wor den ist.

Die 2 Byte umfassende REIHENFOLGE-Nummer bzw. -Zahl wird mit der BEREICH-Zahl gepaart, um die meisten Aktionen gültig zu machen, die das Schloß ausführen kann. Wenn ein BEREICH/REIHEN- FOLGE-Paar eine Aktion wie z.B. "öffne die Tür" erlaubt bzw. für gültig erklärt, vergleicht die Schloß-Firmware das Paar mit den BEREICHEN und REIHENFOLGEN, die gegenwärtig im Schloß gespeichert sind. Dies ist auch in der beispielhaften Schloßspeicher-Organi sation in Fig. 11 dargestellt. Wenn die Schloß-Firmware findet, daß ein BEREICH in das Schloß einprogrammiert worden ist, dann vergleicht sie die REIHENFOLGEN. Wenn die REIHENFOLGE-Nummer gleich der REIHENFOLGE-Nummer ist, die sich in dem spezifizierten BEREICH im Schloß befindet, dann führt das Schloß die gewünschte Aktion aus. Wenn die REIHENFOLGE, die aus der Karte ausgelesen wird, größer ist als die REIHENFOLGE im Schloß in diesem spezi fizierten Bereich und wenn die Differenz zwischen diesen beiden nicht größer ist als der Brückenwert, dann führt das Schloß ebenfalls die gewünschte Aktion aus und, wenn die für gültig erachtete Aktion eine von fünf Schlüssel-Aktionen (öffnen, setzen, auf Hochsicherheit/öffnen, einmaliges Öffnen, entriegeln oder verriegeln) oder eine Programmierungs-Aktion ist, um die Reihenfolge auf den neuesten Stand zu bringen, und wenn der Rest der Botschaft und das Botschaftenfeld gültig sind, wird die gewünschte Funktion ausgeführt und die REIHENFOLGE-Nummer wird auf den neuesten Stand gebracht. Das bedeutet, daß die Karten-Reihenfolge-Nummer die zuvor in das Schloß einprogrammierte Reihenfolge-Nummer ersetzt. Auf diese Weise werden alte Schlüs sel automatisch jedesmal dann ungültig gemacht, wenn ein neuer Schlüssel an jedem Schloß für jeden Bereich verwendet wird.

Es sei jedoch darauf hingewiesen, daß nur die spezifizierten Aktionen die Schloß-Reihenfolge auf den neuesten Stand bringen. Sollte die erste AKTION nicht eine der spezifizierten Aktionen sein, so wird die REIHENFOLGE durch diese Botschaft nicht er neuert bzw. auf den neuesten Stand gebracht. Zusätzlich hierzu können mehrere BEREICH/REIHENFOLGE-Paare auf einer einzelnen Karte spezifiziert werden. Es sei auch darauf hingewiesen, daß die gegenwärtige Kapazität des Schlosses bis zu acht BEREICH/ REIHENFOLGE-Paare an jedem Schloß ermöglicht. Wenn weniger als acht spezifiziert sind, können einige durch eine ZEIT-Spezifi zierungsoption bedingt werden. Sollten zwei oder mehr BEREICH/ REIHENFOLGE-Paare spezifiziert sein und eines genau zum ent sprechenden Schloß passen während ein anderes die Reihenfolge erneuert bzw. auf den neuesten Stand bringt, dann findet die Erneuerung unabhängig von dem Zusammenpassen im anderen Bereich statt. Sollten zwei oder mehr BEREICH/REIHENFOLGE-Paare auf ei ner Karte sein, die die entsprechenden Reihenfolgen in einem Schloß auf den neuesten Stand zu bringen suchen, so werden alle auf den neuesten Stand gebracht.

SCHLOSSZAHL (lock number) ist eine 2 Byte umfassende Zahl bzw. Nummer, die durch die Konsole jedem Schloß zugeordnet wird und in keiner Weise in Beziehung zu der Nummer des Zimmers steht, in dem das Schloß installiert ist; diese Schloßnummer identifi ziert in eindeutiger Weise das Schloß.

ZEITSPEZIFIKATION (time specification) ist wirksam, wenn eine wahlweise vorzusehende Uhr-Kalender-Platine an einem Schloß angeordnet ist; hierdurch wird es möglich, daß Karten nur an datumsmäßig festgelegten Tagen und zu bestimmten Zeiten und/ oder an bestimmten Wochentagen gültig sind.

Die Uhr/Kalender-Platine ist eine für jedes Schloß wahlweise vorzusehende Platine. Wenn sie angeschlossen wird, ermöglicht sie eine erhöhte Sicherheit: Karten können so eingeschränkt bzw. begrenzt werden, daß sie nur während spezifischer Zeit räume und zu bestimmten Zeiten und/oder an bestimmten Tagen gültig sind und durchgeführte Vorgänge werden im Schloß re gistriert. Zwei OPERATIONSCODE (Opcodes) können vorgesehen werden, um das richtige Datum, den richtigen Tag bzw. Wochen tag und die Zeit in den Uhr/Kalender-Chip einzugeben. Andere OPERATIONSCODE sind vorgesehen, um die Karten-Aktionen auf ihre Gültigkeit zu überprüfen und zu beschränken.

ZEITSPEZIFIKATIONEN (timespecs) können in Botschaften auf den Karten hineingeschrieben werden, um die Gültigkeit einer Operation auf bestimmte datumsmäßig festgelegte Tage oder bestimmte Zeiten zu begrenzen. Das Schloß vergleicht dann den Wochentag, das Datum, die Zeit in seinem eigenen Uhr- Kalender mit den Zeiten auf der Karte, um die Gültigkeit einer Operation zu bestimmen.

ZEITSPEZIFIKATIONEN können aus einem oder mehreren ZEIT- SPEZIFIKATION-OPERATIONSCODE bestehen, auf die jeweils ein oder mehrere Tag/Zeit-OPERANDEN folgen. Üblicherweise wird nur ein ZEITSPEZIFIKATION-OPERATIONSCODE verwendet. Es kann ein zweiter erforderlich sein, wenn der OPERAND-Teil der ZEITSPEZIFIKATION länger ist als die 15-Byte-Länge, die dieser OPERATIONSCODE spezifizieren kann. In diesem Fall wird ein zweiter OPERATIONSCODE verwendet, um die ZEITSPEZIFIKATION fortzusetzen.

E. Karten-Aktionen

Eine Karte kann zwei Aktionen ausführen: Das Schloß mit einer oder mehreren Funktionen programmieren und das Schloß öffnen. Die möglichen verschiedenen Arten von Schlüssel-Aktionen um fassen ein einfaches ÖFFNEN (jedes Schloß mit passenden Kombi nationen an der spezifizierten Haupt-Ebene), SETZE HOCH-SICHER- HEIT/ÖFFNEN, ENTRIEGELN (erzeuge eine Durchgangstür), VERRIEGELN (eine Durchgangstür) und EINMALIGES ÖFFNEN (für eine Wartungs person oder einen Lieferanten usw.) Die Programmier-Aktionen umfassen EINSTELLEN DER UHR auf Datum/Zeit/Tag, LÖSCHEN des Gemeinschaftsbereichs, AUSSCHLIESSEN von einer oder mehreren Hauptebenen von Schlüsseln, RÜCKSETZEN DES AUSSCHLIESSENS, BRINGE SCHLOSS-REIHENFOLGE-NUMMER AUF NEUESTEN STAND, d.h. auf den momentan verwendeten bzw. laufenden Wert, FÜGE EINEN BEREICH HINZU (akzeptiere zusätzliche Schlüssel), und ENTFERNE EINEN BEREICH. Diese Aktionen werden im folgenden erläutert.

1. Öffnungs-Aktionen a) Öffnen

Diese Daten-Unterbotschaft öffnet das Schloß, wenn die die Gültigkeit bestimmenden, wahlweisen SCHLOSSZAHL- und ZEIT- SPEZIFIKATION-Daten zu den Daten des Schlosses passen und wenn die die Gültigkeit bestimmenden BEREICH/REIHENFOLGE- Daten überbrücken oder passen.

Dabei sind folgende Ausnahmen möglich: (1) Wenn der stehende Riegel des Schlosses eingelegt ist, muß das den stehenden Riegel überwindende Bit im BEREICH gesetzt sein oder die Tür kann durch die Karte nicht geöffnet werden. (2) Wenn HOCH-SICHERHEIT gesetzt ist und die Gültigerklärung durch einen Gästebereich erfolgt, der die Reihenfolge-Nummer nicht auf den neuesten Stand bringt, muß das zum Überwinden des stehenden Riegels dienende Bit im Bereich gesetzt sein oder die Tür kann durch die Karte nicht geöffnet werden. (3) Wenn der die Gültigkeit bestimmende BEREICH ausgesperrt bzw. aus geschlossen ist und die REIHENFOLGE-Zahl nicht auf den neuesten Stand bringt, kann die Tür durch die Karte nicht geöffnet werden.

Eine Öffnungs-Aktion bringt die Reihenfolgen, die allen die Gültigkeit bestimmenden, überbrückenden BEREICHEN zugeordnet sind, auf den neuesten Stand. Ein erfolgreiches auf den neuesten Stand bringen der Reihenfolge setzt an dem Bereich, der auf den neuesten Stand gebracht wird, jegliche Aussperrung ebenso zurück, wie auch dann, wenn der Bereich, der auf den neuesten Stand gebracht wird, ein Gästebereich ist (Bit 14 nicht gesetzt), der logische feststehende Riegel (siehe weiter unten die Erläu terung von HOCH-SICHERHEIT) zurückgesetzt wird.

b) SETZEN-HOCH-SICHERHEIT/ÖFFNEN-AKTION

Diese Aktion ist dieselbe wie die ÖFFNEN-Aktion mit der Ausnahme, daß die erste Aktion der Karte darin besteht, einen "logischen" feststehenden Riegel einzulegen. Wenn dieser Riegel einmal ein gelegt ist, öffnen das Schloß nur solche Karten, bei denen ein Bit zum ÜBERWINDEN DES FESTSTEHENDEN RIEGELS gesetzt ist oder die eine Aktion SETZEN DER HOCH-SICHERHEIT/ÖFFNEN aufweisen, oder solche Karten, welche die einem Gastbereich zugeordnete Reihenfolge auf den neuesten Stand bringen (Bit 14 nicht gesetzt). Zwar kann jeder Schlüssel den HOCH-SICHERHEITS-Status setzen, während ihn nur ein Gast-Schlüssel (Bereichs-Bit 14 nicht gesetzt) beim auf den neuesten Stand bringen der Reihenfolge zurücksetzen kann.

c. ENTRIEGELUNGS-Aktion

Dieser Schlüssel bewirkt, daß eine Tür so lange als offener Durchgang arbeitet, bis ein VERRIEGELUNGS-Schlüssel verwendet wird, um sie wieder zu verriegeln.

Dabei kann es folgende Ausnahmen geben: (1) Wenn der stehende Riegel des Schlosses vorgelegt ist, muß das Bit zum Überwinden eines stehenden Riegels im BEREICH gesetzt sein oder die Tür kann durch die Karte nicht geöffnet werden. (2) Wenn HOCH-SICHER- HEIT gesetzt ist und die Gültigerklärung durch einen Gast-Be reich erfolgt, der die Reihenfolge-Zahl nicht auf den neuesten Stand bringt, muß das Bit zum Überwinden des feststehenden Riegels in dem HAUPT-EBENEN-BYTE gesetzt sein oder die Tür kann durch die Karte nicht geöffnet werden. (3) Wenn der die Gültigkeit überprüfende Bereich ausgesperrt ist und die Reihen folge-Zahl nicht auf den neuesten Stand bringt, kann die Tür durch die Karte nicht geöffnet werden.

d) VERRIEGELUNGS-Aktion

Dieser Schlüssel verriegelt eine Tür, die als Durchgang dient und bringt die Reihenfolgen auf den neuesten Stand, die allen zur Gültigkeitsüberprüfung dienenden Bereichen, die auf den neuesten Stand gebracht werden müssen, zugeordnet sind, vor ausgesetzt daß die anderen vorgegebenen Bedingungen zum Er neuern einer in ÖFFNEN (ÖFFNEN-AKTION) aufgelisteten Reihen folge erfüllt werden.

e) EINMALIGES-ÖFFNEN-AKTION

Dieser Schlüssel öffnet ein Schloß nur ein einziges Mal. Die Bedingungen für das Öffnen sind dieselben wie für ÖFFNEN (siehe ÖFFNEN-AKTION) mit folgenden Ausnahmen: (1) Der Zähler, der sich in dem "Einmal"-Operanden befindet, muß höher sein als der 1 Byte umfassende Zähler im Schloß, der dem Bereich entspricht, der das Schloß öffnen würde. (2) Wenn eine Uhr im Schloß ist, muß eine die Gültigkeit bestimmende Zeit gültig sein. Jede erforderliche Neufestlegung der Reihenfolge (resequencing) wird vor der Gültigkeitsüberprüfung des "Einmal"-Zählers durch geführt (auf einem Schlüssel, der die Reihenfolge neu festlegt bzw. neu ordnet, ist der Zähler automatisch gültig, da ein auf den neuesten Stand bringen der Reihenfolge den "Einmal"-Zähler des Schlosses in diesem Bereich auf Null setzt.)

Wenn das Schloß die Gültigkeit überprüft (unabhängig davon, ob es öffnet), wird der Zähler im Schloß auf den Zähler am Schlüssel gesetzt, wodurch eine Wiederverwendung des Schlüssels ebenso verhindert wird wie die Verwendung irgendeines vor dem betreffenden Schlüssel ausgegebenen "Einmal"-Schlüssels. (Alle derartigen Schlüssel haben niedrigere Zähler in ihren Operanden.) Der Zähler im Schloß wird selbst dann sequenziert, wenn die Tür nicht geöffnet wird (weil z.B. der feststehende Riegel vorgeschoben und kein diesen Riegel überwindendes Bit gesetzt ist oder weil der Gültigkeits-Bereich ausgesperrt ist).

Im Schloß ist pro Bereich ein Zähler-Byte vorhanden, mit Ausnahme des NOTFALL-BEREICHS (des ersten Bereichs, der durch die EIN STELL-KARTE hinzugefügt wird, so daß BEREICH nicht verwendet werden kann, um diesen Schlüssel gültig zu machen.

2. KARTEN-PROGRAMMIER-Aktionen a) UHR-EINSTELL-Operation

Die UHR-EINSTELL-Operation wird dadurch auf Gültigkeit überprüft bzw. gültig gemacht, daß die Operation auf der Karte mit irgend einem BEREICH/REIHENFOLGE-Code eingeleitet wird, der sich auch im Schloß befindet. Die Uhr des Schlosses wird auf das Datum, die Zeit und den Wochentag gesetzt, die im Operanden spezifiziert sind.

b) Zeit-Übernahme-Operation von tragbarem Terminal

Wenn ein Schloß mit einem tragbaren Terminal zu REVISIONS- SPUR-Zwecken (Audit Trail) kommunizieren kann, dann kann das tragbare Terminal auch dazu verwendet werden, im Schloß das Datum, die Zeit und den Tag einzustellen.

Dies geschieht in folgender Weise: Das tragbare Terminal über nimmt das Datum, die Zeit und den Wochentag ebenso wie ein Schloß-Kommunikationsprogramm von der Konsole. Hierauf wird das tragbare Terminal mit dem Schloß verbunden und die ZEIT- ÜBERNAHME-Karte wird durch den Kartenleser des Schlosses ge schickt. Das Schloß überprüft die Gültigkeit der Karte gegen den BEREICH/REIHENFOLGE-Code auf der Karte ebenso wie durch den "Einmal"-Zähler auf der Karte in diesem Bereich. Das Schloß antwortet dadurch, daß es das Datum, die Zeit und den Wochentag von dem tragbaren Terminal über seinen seriellen Eingang einliest.

c) Operation zum SETZEN DES GEMEINSCHAFTSBEREICHES

Diese Operation wandelt ein Schloß für einen GEMEINSCHAFTS BEREICH-Zugang ab und gibt ihm eine GEMEINSCHAFTSBEREICH- REIHENFOLGE, auf die es reagieren kann und, wahlweise, Zeiten für eine GEMEINSCHAFTSBEREICH-Zugänglichkeit. Diese Operation erfordert, daß die Nachricht die gültige SCHLOSSZAHL und irgend einen gültigen BEREICH/REIHENFOLGE-Code im Schloß enthält. Auch eine ZEITSPEZIFIKATION ist erforderlich, die jedoch nur von Schlössern mit Uhren verwendet wird.

Die Gemeinschaftsbereich-Zutritts-Ebenen des Schlosses werden so gesetzt, daß sie zu den vier Gemeinschaftsbereich-Kennzeichen im Kennzeichen-Feld der Karte passen. Wenn keines der vier Kennzeichen gesetzt ist, wird das einen unbegrenzten Gemein schaftsbereich-Zutritt ermöglichende Kennzeichen des Schlosses gesetzt, um anzuzeigen, daß jeder gültige zu dem betreffenden System gehörende Schlüssel mit einer gültigen Gemeinschafts bereich-Reihenfolge-Nummer das Schloß öffnet. Die GEMEINSCHAFTS BEREICH-REIHENFOLGE-Zahl des Schlosses wird durch die Gemein schaftsbereich-Reihenfolge-Zahl auf der Karte ersetzt. Das SETZEN DES GEMEINSCHAFTSBEREICHS umfaßt auch die Wahlmöglich keit, eine Gruppe von Stunden zu setzen, während derer ein all gemeiner Zutritt ermöglicht wird und/oder eine Gruppe von Tagen zu setzen, während derer ein allgemeiner Zutritt möglich ist (wenn beides spezifiziert wird, dann müssen beide Bedin gungen für das Schloß "wahr" sein, um einen allgemeinen Zutritt freizugeben).

d) Operation zum LÖSCHEN DES GEMEINSCHAFTSBEREICHS

Die Operation LÖSCHEN DES GEMEINSCHAFTSBEREICHS beseitigt jeg lichen allgemeinen Zugang zu einem Schloß. Diese Operation er fordert, daß die Nachricht irgendeinen gültigen BEREICH/REIHEN FOLGE-Code im Schloß umfaßt. Alle Gemeinschaftsbereich-Zugangs- Kennzeichen sowie die Reihenfolge- und Zeit-Informationen des Schlosses werden durch diese Operation gelöscht.

e) AUSSPERRUNGS-Operation

Die AUSSPERRUNGS-Operation schließt bzw. sperrt die im Operanden spezifizierten Bereiche aus. Ihre Gültigkeit wird durch den spezifizierten BEREICH/REIHENFOLGE-Code überprüft.

Eine Aussperrung kann auf zwei Arten umgekehrt werden:

Ein Schlüssel, der die REIHENFOLGE, die einem BEREICH in einem Schloß zugeordnet ist, auf den neuesten Stand bringt, setzt das AUSSPERREN an dem auf den neuesten Stand gebrachten BEREICH zurück. (Wenn es sich dabei um einen Gäste-BEREICH handelt, setzt das Erneuerungs-Verfahren auch automatisch eine Aussperrung bei allen anderen Gäste-BEREICHEN.)
Eine Karte (RÜCKSETZEN DER AUSSPERRUNG) (siehe AUS- SPERRUNGS-RÜCKSETZ-Operation) setzt spezifizierte Bereiche zurück, die ausgesperrt worden sind.

f) AUSSPERRUNGS-RÜCKSETZ-Operation

Diese Karte setzt eine AUSSPERRUNG zurück, die mit einer AUS SPERRUNGS-OPERATIONS-AUSSPERRUNGS-Karte etabliert worden ist, wobei die Aussperrungen an den im Operanden spezifizierten Be reichen zurückgesetzt und die Gültigkeit der Karte gegenüber irgendeinem BEREICH/REIHENFOLGE-Paar im Schloß überprüft wird.

g) Operation zum ANPASSEN DER REIHENFOLGE-NUMMER AN DEN LAUFENDEN WERT

ERNEUERN DER REIHENFOLGE ist die einzige Programmierkarte zum Ausführen der Reihenfolge-Erneuerungs-Routinen im Schloß. Sie unterscheidet sich von einem ÖFFNEN-SCHLÜSSEL (ÖFFNEN- Aktion) hauptsächlich dadurch, daß sie niemals eine Tür ent riegelt oder öffnet. Ihr Zweck besteht lediglich darin, die Reihenfolge in einem Schloß zu erneuern bzw. auf den neuesten Stand zu bringen, so daß vorausgehende Reihenfolgen ausge schlossen werden, ohne daß die Tür gleichzeitig geöffnet werden muß.

Wenn der NOTFALL-SCHLÜSSEL geändert werden muß, weil einer dieser Schlüssel verloren oder gestohlen wurde, kann man eine REIHENFOLGE-ERNEUERUNGS-Karte durch jedes Schloß im Hotel laufen lassen. Dies kann von einem untergeordneten Angestellten durch geführt werden, dem nur insoweit Vertrauen entgegengebracht werden muß, daß er diese Karte an jedem Schloß verwendet, sie selbst nicht stiehlt und auch keine Kopien von ihr macht. (Da diese Karte die Tür nicht öffnet, besteht kein Risiko, wenn sie gestohlen oder verloren wird). Gäste werden in diesem Fall nicht durch das Geräusch gestört, das entstehen würde, wenn ihre Tür lediglich zu dem Zweck geöffnet werden müßte, um deren Reihenfolge auf den neuesten Stand zu bringen.

h) Operation zum HINZUFÜGEN EINES BEREICHEs

HINZUFÜGEN EINES BEREICHES fügt die BEREICH/REIHENFOLGE-Paare des Operanden dem Schloß hinzu. Wenn ein Schloß einen hinzu zufügenden BEREICH bereits aufweist oder wenn alle BEREICH- Speicherplätze bereits in Benutzung sind, wird das gesamte Nachrichtenfeld ignoriert und Lampen zum Blinken gebracht, um einen Fehlerzustand anzuzeigen.

Für die Gültigkeitsüberprüfung wird irgendein BEREICH/REIHEN- FOLGE-Paar benötigt.

i) Operation zum LÖSCHEN EINES BEREICHES

Diese Operation löscht bzw. beseitigt am Schloß die im Operanden spezifizierten BEREICHE. Der NOTFALL-BEREICH kann jedoch aus einem Schloß nicht entfernt werden. Der Versuch, dies zu tun, macht die gesamte Karte ungültig.

F) Andere Eigenschaften des flexiblen Protokolls 1. Auf/Ab-Kompatibilit

Das vorliegende flexible Protokoll ist so aufgebaut, daß einzelne Unternachrichten innerhalb des 36 Byte umfassenden Nachrichten feldes einschließlich BEREICH, REIHENFOLGE, SCHLOSSNUMMER, ZEIT- SPEZIFIKATION und AKTIONEN jeweils einen OPERATIONS-CODE um fassen, der entsprechend seiner Art und der Art des OPERANDEN eine spezifizierte Länge belegt. Sowohl die Länge als auch die Art des OPERANDEN wird durch den OPERATIONS-CODE spezifiziert. Dadurch, daß er seine eigene Länge und die Länge des OPERANDEN spezifiziert, spezifiziert somit der OPERATIONS-CODE vollständig die gesamte Länge der zugehörigen Unternachricht. Dies schafft eine Aufwärts- und Abwärts-Kompatibilität zwischen alten und neuen Schlössern und Karten.

Wenn beispielsweise neue Schlösser hinzugefügt werden oder wenn Schlösser so abgewandelt werden, daß sie Fähigkeiten haben, die bei vorhandenen Schlössern nicht gegeben sind, dann werden die alten Schlösser dennoch durch Schlüsselkarten betätigt, die die neuen Unter-Nachrichten enthalten, obwohl die alten Schlösser nicht in der Lage sind, die neuen Unternachrichten zu verstehen und auszuführen. Diese Abwärts-Kompatibilität zwischen neuen Karten und alten Schlössern und zwischen alten und neuen Schlös sern besteht deswegen, weil dort, wo das alte Schloß nicht die Fähigkeit hat, die neue(n) Unternachricht(en) zu verstehen oder auszuführen, dieses Schloß einfach die vorbestimmte Länge der neuen Unternachricht(en) bis zur nächsten Nachricht überspringen kann, die innerhalb seiner Programm-Möglichkeiten liegt.

Das System ist auch in der Weise aufwärts kompatibel, daß neue Schlösser ohne weiteres alle die Instruktionen ausführen, die für alte Schlösser in den alten Karten enthalten sind. In dem Ausmaß, in dem neue Schlösser nicht programmiert sind, um eine spezielle alte Unternachricht zu verwirklichen, überspringen sie wie die alten Schlösser einfach die spezielle(n) Unter nachricht(en) bis zur nächsten Unternachricht, für deren Ver wirklichung bzw. Umsetzung sie programmiert sind.

Kurz gesagt, solange die alten und die neuen Karten die gegen seitigen Operations-Code verstehen, ist sowohl eine vollständige Abwärts- als auch eine vollständige Aufwärts-Kompatibilität vor handen, was die gemischte Verwendung von alten und neuen Schlössern, neuen Karten mit alten Schlössern und umgekehrt ermöglicht.

2. "Einmal"-Schlüssel

Ein weiteres direktes Nebenprodukt der Verwendung eines flexib len Protokolls ist die Fähigkeit, sogenannte "Einmal"-Schlüssel auszugeben, die Lieferpersonal wie z.B. einem Blumenlieferanten oder dergleichen den Eintritt zu einem festgelegten Bereich 2 bis 9 (ausgenommen natürlich zum Notfall-Bereich) ermöglichen. Wie in Fig. 11 dargestellt, hat die Nachschlagetabelle in jedem Schloß ein "EINMAL"-Feld, dessen Gültigkeit durch BEREICH und REIHENFOLGE und, wahlweise durch ZEITSPEZIFIKATION überprüft wird. Jede "Einmal"-Karte enthält einen speziellen Bereich und eine spezielle Reihenfolge und auch eine "Einmal"-Nummer, wobei diese Nummern in einer bestimmten Reihenfolge ausgegeben werden. Jedes Schloß ist so programmiert, daß es öffnet, wenn die Reihenfolge-Nummer auf der "Einmal"-Karte größer ist, als die "Einmal"-Reihenfolge-Nummer des Schlüsses und dann seine eigene "Einmal"-Reihenfolge-Nummer durch die Nummer der Karte zu ersetzen. Somit schließt jede neue Verwendung einer ord nungsgemäß in der Reihenfolge angeschlossenen "Einmal"-Karte alle vorausgehenden "EINMAL"-Karten unabhängig davon aus, ob sie ordnungsgemäß gültig ausgegeben wurden oder nicht.

Wenn z.B. an der Rezeption eines Hotels eine erste "EINMAL"- Karte für ein Zimmer 201 an einen Blumenlieferanten ausgegeben wird, danach eine zweite Karte an einen Telegrammboten, danach eine dritte Karte an einen Kolonialwaren-Lieferanten, und wenn der Kolonialwaren-Lieferant direkt zu dem speziellen Zimmer 201 geht, während sich der Blumenlieferant und der Telegrammbote verspäten, dann schließt die Verwendung der dritten Karte nicht nur diese Karte sondern auch alle voraus gehenden Karten aus, obwohl vorausgehende Karten eventuell nicht benutzt worden sind.

Ein Schloß, das die Platine mit der erweiterten Uhr/Kalender- Wahlmöglichkeit enthält, kann die Karte weiterhin auf ZEIT- SPEZIFIKATIONEN einschränken, die z.B. spezielle Zeiträume abdecken. Darüber hinaus können "EINMAL"-Karten für eine oder alle der Ebenen 2 bis 9 eines einzelnen Schlosses er stellt werden, die lediglich durch die Forderung bedingt sind, daß sie ordnungsgemäß in Übereinstimmung mit der dann gültigen Reihenfolge für die verschiedenen Ebenen ausgegeben worden sind.

3. Mehrfach-Zutritt; Kombination von Programmieren und Aktionen

Die Möglichkeit, eine Vielzahl von Unternachrichten auf eine gegebene Karte aufzuprogrammieren, macht die Karte im Endeffekt zu einem Schlüsselring bzw. Schlüsselbund (key ring) auf dem jede einen Schlüssel darstellt. Darüber hinaus können Programmier funktionen und Schlüssel-Aktionen auf einer einzigen Karte kom biniert und durch denselben oder verschiedene Bereiche auf ihre Gültigkeit überprüft werden.

G. Elektronische Schloß-Steuerungs-Schaltung

Wie in der schematischen Darstellung von Fig. 10 gezeigt, umfaßt die Haupt-Steuer-Schaltung 50 für das elektronische Schloß 30 einen Mikroprozessor 51 und fünf Hauptabschnitte, die über Schnitt stellen mit dem Rechner in Verbindung stehen: Eine Energieversor gungsschaltung 52, eine Aktivierungs-Schaltung 53, Schloßeingänge 54, Schloßausgänge 56 und eine Schnittstelle 57 zu einer Platine für eine erweiterte Wahlmöglichkeit.

Das Schloß ist so konstruiert, daß es mit Mikrocomputern wie z.B. dem HD6305VO oder dem 68HCO5C4 arbeitet, die im wesent lichen identisch sind und einen Festwertspeicher mit 4096 Byte und einen Speicher mit wahlfreiem Zugriff von 192 Byte sowie vier parallele Ein-Ausgabe-Anschlüsse (IO ports) besitzen, näm lich PAO-7, PBO-7, PCO-7 und PDO-7. Die in der unteren linken Ecke der Figur wiedergegebene Energieversorgungs-Schaltung 52 umfaßt eine 6-Volt-Energiequelle 58, vorzugsweise in der Form von Lithium- oder Alkali-Batterien, die über eine Buchse 59 mit dem Mikrocomputer 51 und den anderen Abschnitten der Steuerschaltung verbunden sind. Im Ruhezustand (wenn der Takt nicht läuft), arbeitet der Mikrocomputer 51 mit einem außer ordentlich geringen Strom in der Größenordnung von 10 µA. Die Stromversorgungsschaltung 52 ist in fünf Energie- bzw. Strom versorgungsleitungen VBATT, VW⁺, VM⁺, VB⁺ und VS⁺ unterteilt, um der aus Batterien bestehenden Strom- bzw. Leistungsquelle 58 ein möglichst langes Leben zu verleihen, und um den Inhalt des Speichers mit wahlfreiem Zugriff des 19658 00070 552 001000280000000200012000285911954700040 0002003711746 00004 19539 Mikrocomputers auf rechtzuerhalten, wenn die Batterien ausgetauscht werden oder verbraucht sind. Dies wird hauptsächlich deswegen gemacht, um die Überprüfungs-Folge-Aufzeichnungen (audit trail record) des Mikrocomputers aufrechtzuerhalten. Es sei darauf hingewiesen, daß deswegen, weil ein "Computer" einen "Prozessor" enthält, die beiden Ausdrücke hier manchmal vertauscht werden; insbe sondere kann der Mikrocomputer 51 als Mikroprozessor 51 be zeichnet werden, wenn die Prozessor-Funktion diskutiert oder betont werden soll.

Die Energie-Hauptleitung VBATT speist direkt den Transistor 61, der mit einem Kondensator 62 mit großer Kapazität verbunden ist, um den Kondensator auf die Batteriespannung aufzuladen. Gegenwärtig wird ein Kondensator 62 mit 15 000 µF verwendet. Wie weiter unten beschrieben wird, dient der Kondensator 62 dazu, eine Magnetspule 78 impulsförmig anzusteuern, um ein Verriegeln und Entriegeln des Schlosses 33 (Fig. 4) zu bewirken.

Die zweite Hauptleitung VM⁺ liefert Energie bzw. Strom an den Mikrocomputer 51, die Aktivierungsschaltung 53 und die einen geringen Energieverbrauch aufweisenden integrierten CMOS- Schaltungen 66, 67 und 68. Die VM⁺-Hauptleitung ist mit einem großen Kondensator 69 abgepuffert, um den Strom bzw. die Energiezuführung zum Mikroprozessor 51 aufrechtzuerhalten und den Inhalt des Speichers mit wahlfreiem Zugriff des Mikro prozessors für wenigstens 10 Stunden aufrechtzuerhalten, wenn die Batterien entfernt werden oder eine Fehlfunktion auftritt.

Die dritte Hauptleitung VW⁺ liefert Strom bzw. Energie an den Aktivierungsschalter 71, um wahlweise den Mikrocomputer 51 für eine vorbestimmte Zeit zu aktivieren, um die Karten-An weisungen zu lesen und zu verwirklichen und das Schloß 30 zu betätigen. In einem Zustand, in dem die Batterien entfernt sind oder eine Fehlfunktion der Batterien auftritt, ist es erforderlich, den Mikroprozessor in seinem Ruhezustand zu halten, um den Abfluß von Energie möglichst klein zu machen und dadurch die Zeit so weit wie möglich auszudehnen, während derer der Kondensator 69 eine Energiezufuhr zum Mikroprozessor aufrechterhalten kann. Die Aktivierungs-Schaltung 53 ist so aufgebaut, daß sie eine Aktivierung des Mikroprozessors 51 während dieser Zeit verhindert. Die Leitung VW⁺ hat keinen Haltekondensator und ist über eine Diode von der anderen Haupt leitung isoliert; der Emitter des Transistors 61 wirkt für diesen Zweck als Diode.

Die Hauptleitung VS⁺ wird verwendet, um die einen hohen Strom bedarf aufweisenden Vorrichtungen zu treiben, die keine ge trennten Schalter besitzen (d.h. die nicht individuell ge steuert werden, wie z.B. den Schloß-Kartenleser und die Detektorschaltung für eine niedere Batteriespannung). Die Hauptleitung VS⁺ selbst ist durch eine Leitung ENAB VS⁺ mit dem Mikrocomputer-Ausgang PAD verbunden, um die Hauptleitungs- Spannung an- und abzuschalten.

Weiterhin treibt die Hauptleitung VB⁺ die Zustands-Leuchtdioden 36, den Summer 40 und das Relais 80.

Wie erwähnt, wird der Betrieb des Mikroprozessors 51 durch die Aktivierungsschaltung 53 gestartet, wenn die Karte 32 in den Schloß-Kartenleser eingeführt wird. Wenn die Karte 32 in den Schlitz 38 des Lesers (Fig. 4) hineingezogen wird, wird der Aktivierungsschalter 71 geschlossen, um die Spannung von der VW⁺-Hauptleitung an den IN-A-Eingang der oberen Hälfte 66 der Monoflop-Schaltung 65 anzulegen. Die obere Monoflop-Schaltung 66 liefert einen konstanten Impuls von 1 Millisekunde Länge, wenn sie betätigt wird, und treibt den RESET-Eingang des Mikrocomputers, um den Mikroprozessor in den aktivierten Zu stand zurückzusetzen. Die untere Schaltung 67 des Monoflops 65 ist so aufgebaut, daß sie eine zweite Zeitperiode, bei spielsweise 30 Sekunden besitzt, die länger ist als die längste Zeit, während derer der Mikroprozessor aktiv ist, bevor er in seinen Ruhezustand zurückkehrt.

Die zwischen der oberen und der unteren Monoflop-Schaltung und dem Mikroprozessor 51 wiedergegebenen Verbindungen sind so aufgebaut, daß dann, wenn der Aktivierungsschalter 71 die obere Monoflop-Schaltung 66 pulst, der Impuls mit einer Milli sekunde Länge am Ausgangsanschluß Q dem RESET-Anschluß des Mikroprozessors und auch dem Eingang IN-A der unteren Mono flop-Schaltung 67 zugeführt wird, wodurch die untere Schaltung getriggert wird, um ihren Impuls von 30 Sekunden Länge an ihrem Ausgang Q zu erzeugen. Dieser letztere Impuls wird an den Eingangsanschluß ENAB der oberen Monoflop-Schaltung zurück angelegt, um die obere Schaltung zu desaktivieren, d.h. die obere Schaltung daran zu hindern, erneut einen Impuls abzugeben. Die obere Monoflop-Schaltung 66 wird für die 30-Sekunden-Zeit dauer des Ausgangsimpulses der unteren Hälfte desaktiviert, d.h. so lange, wie die Zeitkonstante der unteren Schaltung läuft, und der Mikroprozessor kann während dieses Zeitraumes nicht versehentlich zurückgesetzt werden.

Unmittelbar bevor der Mikroprozessor zu seinem Ruhezustand zurückkehrt, gibt er einen Ausgangsimpuls ENAB 30 SEC TIMER über den Ausgang PC6 ab, der an den ENAB-Eingang der unteren Monoflop-Schaltung 67 angelegt wird, um diese Schaltung zu rückzusetzen, die ihrerseits die obere Monoflop-Schaltung 66 wieder freigibt.

Zusammengefaßt läßt sich sagen, daß die Aktivierungsschaltung 53 drei wichtige Funktionen erfüllt. Erstens aktiviert die obere Monoflop-Schaltung 66 den Mikroprozessor 51 bzw. setzt ihn zurück, wenn eine Karte in die Schloß-Lesevorrichtung hineingezogen wird. Zweitens hindert die untere Monoflop- Schaltung 67 die obere Schaltung für eine vorgegebene Zeit spanne, die auf diesen anfänglichen Rücksetzvorgang folgt, daran, zusätzliche Rücksetzimpulse zu geben, damit ein un unterbrochener bzw. ungestörter Betrieb des Mikroprozessors möglich ist. Drittens sorgt der Mikroprozessor selbst für die Aufhebung dieses Sperrzustandes am Ende eines Operations- Zyklus. Als Folge hiervon kann das Schließen des Aktivierungs schalters 71 (durch das Einschieben einer Karte) die Aktivie rungsschaltung 53 aktivieren, um den Mikroprozessor 51 zurück zusetzen und einen weiteren Operationszyklus zu starten oder um das unwahrscheinliche Auftreten einer Fehloperation zu beenden.

Die Schloßeingänge 54 umfassen eine Kartenleser-Schnittstelle 74 zwischen dem Schloß-Kartenleser und dem Mikroprozessor 51. Ein Zwischenspeicher 76 speichert vorübergehend die herein kommenden Daten um mehr Zeit zur Verfügung zu stellen, die Bits herauszuholen, so daß sie bis zu einer Bit-Zeit später eingegeben werden können.

Der Schnappriegel 33 (Fig. 4) wird durch eine magnetisch ge haltene Kupplung (nicht dargestellt) betätigt. Die Magnetspule 78 (Fig. 10) wird in reversibler Weise impulsförmig dadurch an gesteuert, daß der Kondensator 62 durch einen Leistungstransistor 79 unter Steuerung des Relais 80 entladen wird. In seinem nor malen, nicht aktiven Zustand setzt das Relais 80 die Polarität der Magnetspule 78 so, daß die Tür entriegelt ist. Wenn das Relais 80 durch einen DIR-Impuls vom Ausgang PA3 des Mikro computers betätigt wird, kehrt es die Polarität um und gibt die Magnetspule für eine Verriegelung bzw. Wiederverriegelung der Tür frei.

Da die Tür nicht automatisch wiederverriegelt wird, ist es für den Mikrocomputer sehr wichtig, zu wissen, daß bzw. wann der Hebel 41 betätigt und wieder losgelassen worden ist, so daß er eine umgekehrte Pulsansteuerung der Kupplung bewirken kann, um die Kupplung freizugeben und die Tür wieder zu verschließen und dadurch einen unbefugten Eintritt zu verhindern. Diese Ab tastfunktion wird durch einen optischen Schalter 85 ausgeführt, der im Schloß 30 montiert ist und eine infrarotes Licht emittieren de Diode 81 und einen Fototransistor 82 umfaßt, die durch eine Buchse 83 mit dem Mikrocomputer verbunden sind. Der Ausgang PC5 des Mikrocomputers 51 kontrolliert den Betrieb des Treibers 90, der über die Leitung ENAB OPTO SW einen Aktivierungsimpuls an legt, um die Leuchtdiode LED 81 zu aktivieren. Die Leuchtdiode LED 81 und der Transistor 82 sind so positioniert, daß von der LED ausgehende und auf den Fototransistor gerichtete Infrarot strahlung normalerweise durch den Hebel 41 unterbrochen ist. Wenn jedoch der Hebel geschwenkt wird, um das Schloß zu öffnen, wird er aus dem Weg der Infrarotstrahlung entfernt und die auf treffende Strahlung veranlaßt den Transistor 82, ein Ausgangs signal zu erzeugen, das an den Eingang PD1 des Mikrocomputers angelegt wird, wodurch der Mikrocomputer veranlaßt wird, das Relais 80 so mit Energie zu versorgen, daß die Kupplung vom Hebel 41 getrennt wird. Der Schalter 86 für den stehenden Riegel überwacht lediglich das Vorlegen des stehenden Riegels 34 (Fig. 4) am Schloß und gibt diese Zustands-Information in den Mikroprozessor bei PDO ein.

Die Schloß-Ausgangsschaltung 56 umfaßt die Ausgänge PA1-3 zum Durchführen des zuvor erwähnten Magnetspulen-Betriebs. Zusätzlich werden die Ausgänge PA4-6 verwendet, um die Status- Leuchtdioden 36 einzuschalten bzw. anzusteuern, und PC7 wird verwendet, um den Summer 40 zu betätigen.

Die an den Kondensator 62 durch den Transistor 61 angelegte Ladespannung wird mit Hilfe einer Leitung ABFRAGE AUF ZU NIEDRIGE BATTERIESPANNUNG überwacht, die mit dem invertierenden Eingang einer Komparator-Schaltung 72 verbunden ist, die ganz ähnlich wie ein Operationsverstärker aufgebaut ist. Eine Zenerdiode 87 liefert eine stabile Vergleichsspannung von beispielsweise 3,3 V an den nichtinvertierenden Eingang des Komparators 72. Die Ladespannung über die Leitung ABFRAGE AUF ZU NIEDRIGE BATTERIESPANNUNG wird an den invertierenden Eingang über einen Spannungsteiler 89 angelegt, um an den invertierenden Eingang eine Spannung anzulegen, die größer/gleich der Spannung am Referenzeingang ist, wenn die Ladespannung größer/gleich einer gewünschten Grenzspannung (minimale Batteriespannung) ist. Der Ausgang des Komparators 72 ist mit dem Eingang PD2 des Mikroprozessors verbunden und wird dazu verwendet, abzufragen, ob ein Zustand "Batteriespannung zu niedrig" richtig oder nicht richtig ist.

Tatsächlich wird das Ausgangssignal auf zwei verschiedene Arten verwendet. Einerseits wird es dazu verwendet, zu jeder gegebenen Zeit eine Ladung am Kondensator 67 zu überwachen, so daß der Mikroprozessor 51 den Kondensator in einem vollständig geladenen Zustand halten kann. Dies führt zu einer augenblicklichen Be tätigung der Magnetspule, wenn eine Karte durch die Schloß-Lese vorrichtung gezogen wird. Andererseits liefert die Zeit, die erforderlich ist, um den Kondensator 62 aufzuladen, eine Anzeige für den Ladungszustand der Batterie. Eine Ladezeit von fünf mal RC, wobei RC die durch den Widerstand 64 und den Kondensator 62 erzeugte Zeitkonstante ist, führt normalerweise zu einer 99-pro zentigen Aufladung des Kondensators, wenn eine normal geladene Batterie verwendet wird. Somit wird dann, wenn die durch den Mikrocomputer 51 bestimmte Ladezeit den Wert fünf mal RC über schreitet, eine zu geringe Ladung der Batterie angezeigt und die Batterien sollten ausgetauscht werden.

H. Platine für erweiterte Wahlmöglichkeit

Die schematische Darstellung aus Fig. 13 zeigt eine wahlweise vorzusehende Platine 105 für eine erweiterte Uhr/Kalender- Wahlmöglichkeit. Diese Platine wird mit Hilfe der Schnittstelle 57 für die Platine mit erweiterter Wahlmöglichkeit in die Haupt kontroll-Schaltung 50 eingesteckt und fügt dem elektronischen Schloß 30 zusätzliche Eigenschaften und Fähigkeiten hinzu.

Die Schnittstelle 57 für die Platine mit erweiterter Wahlmög lichkeit ist insofern von allgemeinem Nutzen, als mehrere ver schiedene Arten von Platinen mit erweiterter Wahlmöglichkeit, zu denen eine Platine mit einer Uhr/Kalender-Option, eine bi direktionale Infrarot-Schnittstelle und eine Aufzug-Schnitt stelle gehören können, ohne daß diese Aufzählung vollständig wäre, alle in die Hauptschaltungs-Platine 50 eingesteckt werden können, ohne daß an dieser irgendwelche Veränderungen vorge nommen werden müssen. Die Platine 105 mit der Uhr/Kalender- Option besteht aus vier Abschnitten: Einer Energieversorgungs schaltung 106, einem Uhr/Kalender-CMOS-Speicher mit wahlfreiem Zugriff 107, einer Verwendungsort-Seriennummer 108 und einer seriellen Schnittstelle 109.

Jede wahlweise zu verwendende Platine leitet ihre Energiever sorgung von der Hauptsteuerschaltung 50 über die Wahlplatinen- Energieversorgungsleitungen VBATT und VS⁺ ab. Auf der Platine mit der erweiterten Uhr/Kalender-Option ist VBATT in zwei Haupt leitungen VB⁺ und VC⁺ aufgespalten, die über die Dioden 110 und 111 diodenmäßig voneinander getrennt sind. VB⁺ steht nur dann unter Spannung, wenn die Leitung VBATT Spannung hat, d.h. wenn Batterien 58 in die Hauptschaltungs-Platine eingesteckt sind. VC⁺ hat einen großen (1 Farad) Haltekondensator 112, um eine Reserve-Energieversorgung für den Uhr/Kalender-CMOS-Speicher mit wahlfreiem Zugriff 107 selbst dann aufrechtzuerhalten, wenn die Batterien bis zu 10 Stunden oder mehr entfernt werden. Die Energieversorgungs-Hauptleitung VS⁺ wird durch den Mikrocomputer 51 über einen Transistor 70 auf der Hauptschaltungs-Platine ak tiviert und ist abgeschaltet, wenn sich der Mikrocomputer im Ruhezustand befindet.

Der Uhren/Kalender-CMOS-Speicher mit wahlfreiem Zugriff 107 verwendet eine handelsübliche integrierte Schaltung 113 um zeitmäßig festgelegte Funktionen für das Schloß zu erzeugen und um datums- und zeitmäßig vp bis neun Überprüfungs-Folge-Eingaben (Audit Trail entries) zu kennzeichnen und in seinem 50 Bytes umfassenden CMOS-Speicher mit wahlfreiem Zugriff zu speichern.

Der Uhren/Kalender-Speicherchip mit wahlfreiem Zugriff befindet sich normalerweise in einem "Bereitschafts"-Modus, wenn sich das Schloß in seinem Ruhezustand befindet, was darauf beruht, daß die Leitung VS⁺ auf niederer Spannung liegt, wodurch sicher gestellt ist, daß sich der STBY-Anschluß auf niederer Spannung bzw. logisch Null befindet. Wenn der Mikrocomputer aktiviert wird, zieht er die Leitung VS⁺ hoch bzw. auf logisch 1, wodurch er die anderen Eingabe/Ausgabe-Anschlüsse des Uhren/Kalender- Chips, die Verwendungsort-Seriennummer 108 und die serielle Schnittstelle 109 freigibt bzw. aktiviert. Die Leitung PA7 der Schnittstelle 57 für die Platine mit erweiterter Wahlmög lichkeit wählt entweder den Uhren/Kalender-Speicherchip mit wahlfreiem Zugriff an, wenn sich PA7 auf logisch Eins befindet, oder die Verwendungsort-Seriennummer-Schaltung, wenn sich PA7 auf logisch Null befindet. Die Leitungen PC⌀-3 bilden zu sätzliche Steuerleitungen für den Uhren/Kalender-Speicherchip mit wahlfreiem Zugriff und die Leitungen PB⌀ bis 7 liefern Adresse und Daten für den Uhren/Kalender-Speicherchip mit wahl freiem Zugriff und Daten von der Verwendungsort-Seriennummer- Schaltung.

Die Gatter 114 und 115 verhindern einen von außen kommenden Interrupt (OBIRQ) für den Mikrocomputer wenn die Batterien entfernt sind, was darauf beruht, daß VB⁺ auf logisch Null geht und das UND-Gatter 11 sperrt. Dieses Merkmal ist analog dazu, daß der Aktivierungsschalter 71 auf der Hauptplatine gesperrt wird, wenn die Batterien entfernt sind, was darauf beruht, daß die Energieversorgungs-Hauptleitung VW⁺ auf logisch Null geht. In beiden Fällen ist beabsichtigt, es dem Mikro computer nicht zu ermöglichen, in einen aktivierten Zustand überzugehen, wenn die Batterien entfernt sind, und zwar ent weder aufgrund eines RESET- oder eines IRQ-Impulses, was zur Folge hätte, daß sich der Kondensator 69 zu schnell entlädt.

Die Verwendungsort-Seriennummer-Schaltung 108 liefert eine 8 Bit umfassende durch feste Verdrahtung kodierte Serien nummer, die für jede Anordnung spezifisch ist. Die Nummer wird dadurch kodiert, daß eine oder mehrere der Verwendungs ort-Seriennummer- Leitungen 116 durchtrennt werden. Der Mikro computer bringt die 8 Bit umfassende durch feste Verdrahtung festgelegte Verwendungsort-Seriennummer in Übereinstimmung mit 8 von 16 Bits in der durch Programmierung festgelegten Verwendungsort-Seriennummer auf der Anlauf- bzw. Anfangskarte (Startup card), wodurch verhindert wird, daß eine Anfangs karte von einer Anlage irgendwo anders verwendet wird. Die Wahrscheinlichkeit, daß sie an einer beliebigen Stelle ar beitet, ist 1:254, da die Verwendungsort-Seriennummern 0 und 255 ignoriert werden. Außerdem wird ermöglicht, daß eine Wahlplatine, bei der keine Leitungen durchtrennt sind, ge wünschtenfalls zu jeder Anfangs-Karte paßt.

Die Verwendungsort-Seriennummer wird dadurch eingelesen, daß elektrische Energie VS⁺ an die Multiplexer-Schaltung 117 an gelegt wird, wobei die Auswahlleitung PA7 auf logisch Null ist. Die Daten werden dann über die Leitungen PB⌀-7 gelesen.

Die Serienschnittstelle 109 liefert eine Schnittstelle zwischen dem Mikrocomputer 51 und einem tragbaren Terminal, wie z.B. den NEC 82⌀1A. Das tragbare Terminal wird verwendet, um aus dem Uhren/Kalender-Speicherchip mit wahlfreiem Zugriff Über prüfungs-Folge-Informationen wie z.B. Datum und Zeit von einigen zuletzt vorgenommenen Versuchen (erfolgreich oder nicht) eine Karte zu verwenden, um Zugang zum Schloß zu erhalten, zu über nehmen und um die Uhr in dem Uhren/Kalender-Speicherchip mit wahlfreiem Zugriff direkt statt über eine an der Konsole er zeugte Programmierungskarte zu stellen. Die Leitung CLK1 lie fert einen Synchrontakt für die zu übertragenden Daten (über die Leitung TXD1) und die zu empfangenden Daten (Leitung RXD1). Die Transistoren 118 und 119 liefern genügend Strom, um die Aus gangsleitungen zu treiben.

Claims

1. Verfahren zum Kodieren und Verifizieren einer auf einem elektromagnetischen Speichermedium wie einer Magnetkarte getragenen Daten-Nachricht, dadurch gekenn zeichnet, daß an einer Sendestelle ein geheimer cryptografischer Schlüssel zum Kodieren der Daten-Nach richt angewandt wird, daß die kodierte Datennachricht auf das Medium aufgeschrieben wird und daß an einer Empfangs stelle ein allgemein zugänglicher cryptografischer Schlüssel angewendet wird, um die kodierte Daten-Nachricht zu de kodieren.

2. Verfahren nach Anspruch 1 zum Kodieren und Verifizieren einer auf einem Medium wie z.B. einer Magnetkarte getra genen Daten-Nachricht, dadurch gekennzeich net, daß weiterhin an der Sendestelle der geheime cryptografische Schlüssel zum Kodieren der Daten dadurch angewendet wird, daß seine Modulo-Zahl-System-Quadrat wurzel gefunden wird, daß die Quadratwurzel magnetisch auf das Medium aufgeschrieben wird, und daß an der Empfangs stelle der allgemein zugängliche cryptografische Schlüssel zum Dekodieren der kodierten Nachricht dadurch angewendet wird, daß der Datenbereich unter Verwendung des Modulo- Zahlen-Systems quadriert wird, sowohl um die Nachricht zu verifizieren als auch um die Nachricht wieder aufzu finden bzw. zu dekodieren.

3. Verfahren nach Anspruch 1 oder 2, dadurch gekenn zeichnet, daß der allgemein zugängliche Schlüssel n das Produkt von zwei Prim-Faktoren pq ist, daß die Daten- Nachricht m und die kodierte Nachricht x ist, die so aus gewählt wird, daß gilt x ² mod n=m, und daß der Schritt der Verifizierung der Nachricht das Ausführen der Funktion x ² mod n umfaßt.

4. Verfahren zum Aktivieren eines elektronischen Schlosses zur Durchführung ausgewählter Funktionen, die durch die Eingabe einer Daten-Nachricht von einer Magnetkarte ge steuert werden, bei dem die Schritte des Kodierens und Dekodierens der Daten dadurch gekennzeichnet sind, daß ein Paar von Prim-Faktoren pq so festgelegt wird, daß gilt pq=n, daß eine Daten-Nachricht m ausgewählt wird, um das Schloß zur Durchführung der ausgewählten Funktionen zu veranlassen, daß n an das Schloß geliefert wird, daß ein Wert x so bestimmt wird, daß gilt x ² mod n=m, daß der kodierte Wert x magnetisch auf die Karte aufge schrieben wird, daß der Wert x in das elektronische Schloß eingelesen wird und daß x ² mod n am Schloß berechnet wird, um die Nachricht m zu verifizieren.

5. Verfahren zum wahlweisen Bewirken des Arbeitens eines Rechner-gesteuerten elektronischen Schlosses, dadurch gekennzeichnet, daß eine chiffrierte Daten Nachricht in einem tragbaren Speichermedium, das dem Schloß dargeboten wird, auf seine Gültigkeit überprüft wird und daß

a) ein geheimer cryptografischer Schlüssel zum Kodieren der Daten-Nachricht verwendet wird,
b) die kodierte Daten-Nachricht in dem tragbaren Speicher medium gespeichert wird,
c) daß der Schloßrechner verwendet wird, um einen allge mein zugänglichen cryptografischen Schlüssel zum De kodieren der kodierten Daten-Nachricht und zur Be stimmung ihrer Authentizität anzuwenden, und
d) das Schloß in Übereinstimmung mit der gespeicherten Daten-Nachricht betätigt wird, wenn die Nachricht authentisch ist.

6. Verfahren nach Anspruch 5, dadurch gekenn zeichnet, daß der Betrieb des Schlosses basierend auf einem sequentiell ausgegebenen Medium unabhängig davon realisiert wird, ob irgendwelche in der Reihenfolge zuvor ausgegebenen Medien nicht benutzt worden sind, wobei das Schloß mit einer Reihenfolge-Nummer S _L und das Medium mit einer Reihenfolge-Nummer S _C versehen, S _L mit S _C ver glichen und das Schloß geöffnet wird, wenn gilt S _C=S _L.

7. Verfahren nach Anspruch 5, dadurch gekenn zeichnet, daß in dem Schloß eine Brückenzahl b gespeichert wird und daß dann, wenn beim Vergleichs schritt S _C um eine Differenz größer als S _L ist, die nicht größer ist als die Brückennummer b das Schloß geöffnet und die Reihenfolge-Nummer dadurch auf den neuesten Stand gebracht wird, daß S _L=S _C gesetzt wird.

8. Verfahren nach Anspruch 5, dadurch gekenn zeichnet, daß die Durchführung des Betriebs des Schlosses basierend auf einem sequentiell ausge gebenen Medium unabhängig von der Nichtbenutzung irgend eines in der Reihenfolge zuvor ausgegebenen Mediums weiter hin folgende Schritte umfaßt:
Speichern einer Brückenzahl b im Schloß, Versehen des Schlosses mit einer Reihenfolge-Zahl S _L, Versehen des Mediums mit der Reihenfolge-Zahl S _C, Vergleichen von S _L mit S _C,
Öffnen des Schlosses wenn gilt 0(S _C-S _L)<b, und Erneuern von S _L auf S _C, wenn gilt 0<(S _C-S _L)<b.

9. Verfahren nach Anspruch 5, dadurch gekenn zeichnet, daß die Durchführung des Betriebs des Schlosses basierend auf einem in einer Reihenfolge aus gegebenen Medium unabhängig von der Nichtverwendung irgend eines innerhalb der Reihenfolge zuvor ausgegebenen Mediums weiterhin folgende Schritte umfaßt:
Speichern einer negativen Brückenzahl b _n im Schloß, Versehen des Schlosses mit einer Reihenfolge-Nummer S _L, Versehen des Mediums mit der Reihenfolge-Nummer S _C, Vergleichen von S _L mit S _C und
Öffnen des Schlosses, wenn S _C um eine Differenz kleiner ist als S _L, die nicht größer ist als b _n.

10. Verfahren nach Anspruch 9, dadurch gekenn zeichnet, daß dann, wenn S _C größer ist als S _L, die Reihenfolge-Nummer S _L durch Angleich an S _C auf den neuesten Stand gebracht wird.

11. Verfahren nach Anspruch 5, dadurch gekenn zeichnet, daß die Daten-Nachricht Unternachrichten umfaßt, die Operanden und Operationscode umschließen, welche die Art und die Länge der Unternachricht spezifizieren, und daß der Schritt (d) der Schloßbetätigung umfaßt, daß Unternachrichten, die dem Schloß nicht bekannt sind, übersprungen werden und daß mit der nächsten bekannten Unternachricht weitergearbeitet wird.

12. Verfahren nach Anspruch 5, dadurch gekenn zeichnet, daß die Daten-Nachricht Unternach richten umfaßt, die für einzelne Bereiche ausgewählt sind, die Kollektive von einer oder mehreren zugehörigen Schloßaktionen umfassen, die aus Schloß-Betätigungs-Funktionen und Schloß-Programmierungs-Funktionen ausgewählt sind.

13. Verfahren nach Anspruch 5, dadurch gekenn zeichnet, daß das Schloß eine Reihenfolge-Zahl enthält, daß die Daten-Nachricht wenigstens eine Schloß- Aktion für einen einzelnen Bereich auswählt bzw. kenn zeichnet und eine Reihenfolge-Zahl enthält, und daß weiterhin am Schloß die Schloß- und die Daten-Nachricht- Reihenfolge-Zahlen miteinander verglichen werden und daß dann, wenn diese Zahlen gleich sind oder wenn die Daten-Nachricht-Reihenfolgezahl größer ist aber die Differenz nicht größer ist als die Brücke, die Aktion ausgeführt wird.

14. Verfahren nach einem oder mehreren der Ansprüche 5 bis 13, dadurch gekennzeichnet, daß der allgemein zugängliche Schlüssel n das Produkt von zwei den geheimen Schlüssel bildenden ganzen Prim-Zahlen pq ist, daß die Daten-Nachricht m ist, daß die kodierte Nachricht x ist, die so ausgewählt ist, daß x ² mod n=m gilt und daß das Dekodieren der Daten-Nachricht die Ausführung der Funktion x ² mod n umfaßt.

15. Schloßsystem für einen Betrieb auf der Basis des Kodierens und Verifizierens einer Daten-Nachricht die von einem diskreten Speichermedium wie z.B. einer Magnetkarte ge tragen wird, dadurch gekennzeichnet, daß es folgende Bestandteile umfaßt:
Erste Rechner-Einrichtungen zum Anwenden eines crypto grafischen Schlüssels zum Kodieren der Daten-Nachricht, Schloßeinrichtungen einschließlich eines Schnappriegels, wobei dieses Schloß auf die Verifikation der kodierten Daten-Nachricht in der Weise antwortet, daß es den Schnapp riegel öffnet, und
zweite Rechner-Einrichtungen zum Anwenden eines crypto grafischen Schlüssels auf die kodierte Daten-Nachricht zum Verifizieren der Daten-Nachricht.

16. Schloßsystem für einen Betrieb basierend auf dem Kodieren und Verifizieren einer Daten-Nachricht die von einem dis kreten Speichermedium wie z.B. einer Magnetkarte getragen wird, dadurch gekennzeichnet, daß sie folgende Bestandteile umfaßt:
Eine erste Computereinrichtung zum Anwenden eines geheimen cryptografischen Schlüssels zum Kodieren der Datennachricht, Einrichtungen zum Aufschreiben der kodierten Daten-Nach richt auf das Medium,
eine Schloßvorrichtung mit einem Schnappriegel, wobei dieses Schloß auf die Verifikation der kodierten Daten-Nachricht mit einem öffnen des Schnappriegels antwortet, und zweite Rechner-Einrichtungen im Schloß zum Anwenden eines allgemein zugänglichen cryptografischen Schlüssels auf die kodierte Daten-Nachricht für die Verifizierung der Daten-Nachricht.

17. Schloßsystem nach Anspruch 16, dadurch gekenn zeichnet, daß der allgemein zugängliche Schlüssel n das Produkt von zwei den geheimen Schlüssel bildenden ganzen Prim-Zahlen pq ist, daß die Daten-Nachricht m ist, daß die kodierte Nachricht x ist, die so ausgewählt ist, daß x ² mod n=m gilt, und daß die Verifikation der ko dierten Daten-Nachricht aus dem Ausdruck x ² mod n gewonnen wird.

18. Elektronisches Schloß nach Anspruch 16 oder 17, dadurch gekennzeichnet, daß es weiterhin folgende Bestandteile umfaßt:

a) Eine Betätigungsvorrichtung zum Vorschieben und Zu rückziehen des Schnappriegels,
b) eine Magnetspulen-Anordnung um wahlweise den Schnapp riegel mit der Betätigungseinrichtung zu verbinden,
c) einen ersten Kondensator, der dazu dient, der Magnet spulen-Anordnung Strom zuzuführen, um die Magnetspulen- Anordnung zu betätigen,
d) einen in der zweiten Rechner-Anordnung enthaltenen Mikroprozessor, der dazu dient, das Anlegen des Stroms an die Magnetspule zum wahlweisen Verbinden und Trennen des Schnappriegels mit der Betätigungsvor richtung zu steuern,
e) eine erste Stromversorgungs-Hauptleitung, die dazu dient, den Mikroprozessor mit elektrischer Energie zu versorgen, und die einen zweiten Kondensator umfaßt, der dazu dient, dem Mikroprozessor im Fall einer Fehlfunktion der ersten Energieversorgungs- Hauptleitung elektrische Energie zuzuführen, und
f) eine zweite Energieversorgungs-Hauptleitung, die dazu dient, den ersten Kondensator elektrische Energie zuzuführen.

19. Elektronisches Schloß nach Anspruch 18, dadurch ge kennzeichnet, daß die erste Energieversor gungs-Hauptleitung einen zweiten Kondensator umfaßt, der dazu dient, dem Mikroprozessor im Fall einer Fehlfunktion der ersten Energieversorgungs-Hauptleitung elektrische Energie zuzuführen.

20. Elektronisches Schloß nach Anspruch 18, dadurch ge kennzeichnet, daß der Mikroprozessor einen Ausgang aufweist, der dazu dient, einen ersten Impuls zu einer vorbestimmten Zeit während oder am Ende eines Operations-Zyklusses abzugeben, und daß das Schloß weiterhin folgende Bestandteile umfaßt:

g) eine erste Monoflop-Einrichtung, die betätigbar ist, um einen zweiten Impuls an den Mikroprozessor anzu legen, um den Mikroprozessor aus einem Ruhezustand in einen aktiven Zustand zurückzusetzen,
h) eine zweite Monoflop-Vorrichtung, die zwischen die erste Monoflop-Vorrichtung und den Mikroprozessor geschaltet und durch den zweiten Impuls betätigbar ist, um einen dritten Impuls an die erste Monoflop-Einrichtung anzulegen, der dazu dient, während seiner Dauer die erste Monoflop-Einrichtung zu blockieren, wobei die zweite Monoflop-Einrichtung mit dem Mikroprozessor-Ausgang verbunden ist, um durch den ersten Impuls freigegeben zu werden, um die erste Monoflop-Einrichtung wieder freizugeben,
i) eine dritte Energieversorgungs-Hauptleitung, und
j) einen Schalter um wahlweise die dritte Energieversorgungs- Hauptleitung mit der ersten Monoflop-Einrichtung zu verbinden, um die erste Monoflop-Einrichtung zu be tätigen, so daß sie den zweiten Impuls anlegt.

21. Elektronisches Schloß nach Anspruch 20, dadurch ge kennzeichnet, daß es weiterhin folgende Bestandteile umfaßt:

k) einen Komparator mit einem Ausgang, der an den Mikro prozessor angeschlossen ist und mit einem nichtinvertie renden Eingang, der mit einer ersten Vergleichsspannung verbunden ist,
l) einen Spannungsteiler, der zwischen den ersten Konden sator und einen invertierenden Eingang des Komparators geschaltet ist, um eine zweite Spannung abzugeben, die ungefähr gleich der ersten Spannung ist, wenn eine zweite Spannungsversorgungs-Hauptleitungs-Spannung mit einem vorbestimmten Minimalwert an den ersten Kondensator angelegt wird, um ein Komparator-Ausgangs signal für den Mikroprozessor zu erzeugen, das kenn zeichnend für den Spannungswert der zweiten Energie versorgungs-Hauptleitung ist.

22. Elektronisches Schloß nach Anspruch 21, dadurch ge kennzeichnet, daß es weiterhin folgende Be standteile umfaßt:

m) einen Widerstand, wobei der erste Kondensator und der Widerstand mit der zweiten Energieversorgungs-Haupt leitung verbunden sind, um eine RC-Zeitkonstante zu erzeugen, und
n) eine Einrichtung, die dazu dient, zu erkennen, wenn der Komparatorausgang eine vorgegebene Anzahl von RC-Zeitkonstanten übersteigt.

23. Mikroprozessor für ein elektronisches Schloß, dadurch gekennzeichnet, daß er folgende Bestand teile umfaßt:
Einen Ausgang zum Abgeben eines ersten Impulses zu einem vorgegebenen Zeitpunkt während oder am Ende eines Ope rationszyklusses, ein erstes Monoflop, das betätigbar ist, um einen zweiten Impuls an den Mikroprozessor an zulegen, der dazu dient, den Mikroprozessor aus einem Ruhezustand in einen aktivierten Zustand zurückzusetzen,
eine geschaltete Energieversorgung zur Betätigung des ersten Monoflops, und ein zweites Monoflop, das zwischen das erste Monoflop und den Mikroprozessor geschaltet und durch den zweiten Impuls betätigbar ist, um einen dritten Impuls an das erste Monoflop anzulegen, der dazu dient, während seiner Dauer das erste Monoflop zu sperren, wobei das zweite Monoflop mit dem Mikroprozessor-Ausgang ver bunden ist, um durch den ersten Impuls freigegeben zu werden, um das erste Monoflop wieder freizugeben.

24. Kapazitive Ladeschaltung für ein elektronisches Schloß mit einem Kondensator und einer Energieversorgung, die mit dem Kondensator verbunden ist, um den Kondensator zu laden, dadurch gekennzeichnet, daß folgende Einrichtungen vorgesehen sind: Ein Mikroprozessor, der dazu dient, das Laden des Kondensators durch die Energie versorgung zu steuern, ein Komparator, der einen mit dem Mikroprozessor verbundenen Ausgang, einen invertierenden Eingang und einen nichtinvertierenden Eingang aufweist, der mit einer ersten Vergleichsspannung verbunden ist, einen Spannungsteiler, der zwischen den Kondensator und den invertierenden Eingang des Komparators geschaltet ist, um eine zweite Spannung zu liefern, die in etwa gleich der ersten Spannung ist, wenn ein Spannungsversorgungs- Grenzspannungs-Wert an den Kondensator angelegt wird, um ein Komparator-Ausgangssignal für den Mikroprozessor zu erzeugen, das kennzeichnend für den Energieversorgungs- Spannungspegel ist.

25. Ladeschaltung nach Anspruch 24, dadurch gekenn zeichnet, daß sie weiterhin einen Widerstand um faßt, wobei der Kondensator und der Widerstand so mit der Energieversorgung verbunden sind, daß sie eine RC-Zeitkon stante erzeugen, und daß eine Einrichtung vorgesehen ist, die dazu dient, zu erkennen, wenn das Komparator-Ausgangs signal eine vorgegebene Anzahl von RC-Zeitkonstanten übersteigt.