|
(11) | EP 1 626 372 A1 |
| (12) | EUROPÄISCHE PATENTANMELDUNG |
|
|
|
|
||||||||||||||||||||
| (54) | Berechtigungskontrollverfahren, Berechtigungskontrollsystem und dafür geeignete Vorrichtungen |
| (57) Es werden ein elektronisches Berechtigungskontrollverfahren und dafür geeignete Vorrichtungen
für die Kontrolle von zeitabhängigen Benutzerberechtigungen vorgeschlagen. Der aktuelle
Zeitpunkt wird durch eine elektronische Zutrittskontrollvorrichtung auf mehrere Zeiteinheiten
unterschiedlicher Wertigkeit abgebildet, wobei für die Zeiteinheiten in einem Zeitcode
(T) jeweils ein Zeiteinheitsbereich (Y, M, MD, WD, H, M5) vorgesehen wird. In den
Zeiteinheitsbereichen (Y, M, MD, WD, H, M5) wird für jeden möglichen Wert der betreffenden
Zeiteinheit ein Informationsbit bereitgestellt. Der Wert des aktuellen Zeitpunkts
wird im Zeitcode (T) dadurch abgebildet, dass für jede der Zeiteinheiten im zugehörigen
Zeiteinheitsbereich (Y, M, MD, WD, H, M5) eines der Informationsbits gesetzt wird.
In einer Berechtigungszentrale werden Berechtigungsdaten mit einer oder mehreren Bitmasken
(b11, b12, b13, b14, b15, b16, b21, b22, b23, b24, b25, b26, b31, b32, b33, b34, b35,
b36) erzeugt, die jeweils für die möglichen Werte eines der Zeiteinheiten die Berechtigung
eines Benutzers bestimmen. In einem mobilen Endgerät des Benutzers wird die Berechtigung
des Benutzers durch logische Verknüpfung des Zeitcodes (T) mit den Bitmasken kontrolliert.
Es wird eine äusserst einfache Überprüfung von zeitabhängigen Benutzerberechtigungen
durch elementare logische Verknüpfungen ermöglicht. Zeitlich verschachtelte, überlappende
und periodische Benutzerberechtigungen sind auf einfache und kompakte Weise definierbar.
|
Technisches Gebiet
[0001] Die vorliegende Erfindung betrifft ein elektronisches Berechtigungskontrollverfahren, ein System für eine elektronische Berechtigungskontrolle und dafür geeignete Vorrichtungen. Die vorliegende Erfindung betrifft insbesondere ein elektronisches Berechtigungskontrollverfahren und ein System für die elektronische Berechtigungskontrolle, in welchen eine Berechtigung eines Benutzers zu einem aktuellen Zeitpunkt auf Grund von Berechtigungsdaten des Benutzers kontrolliert wird. Die vorliegende Erfindung betrifft insbesondere auch ein mobiles elektronisches Endgerät, eine elektronische Zutrittskontrollvorrichtung, eine computerisierte Berechtigungszentrale sowie ein Computerprogrammprodukt, die zur Ausführung des elektronischen Berechtigungskontrollverfahrens und Berechtigungskontrollsystems geeignet sind.
Stand der Technik
[0002] Verfahren und Systeme zur Kontrolle einer zeitabhängigen Berechtigung eines Benutzers sind sowohl bei der Zutrittskontrolle zu Gebäuden und Räumlichkeiten als auch bei der Zugangskontrolle zu Computersystemen und Netzwerken bekannt. Typischerweise werden dem Benutzer Berechtigungsdaten zugeordnet, die die zeitabhängigen Berechtigungen des Benutzers definieren. Die Berechtigungsdaten werden beispielsweise in einer zentralisierten Datenbank eines Berechtigungskontrollsystems, in einer Zutrittskontrollvorrichtung oder auf einem mobilen Datenträger des Benutzers gespeichert. Bei der Berechtigungskontrolle werden sowohl die Berechtigungsdaten als auch Angaben über den aktuellen Zeitpunkt berücksichtigt.
[0003] Um den Datenaustausch zwischen einer Berechtigungszentrale und verteilten Zutrittskontrollvorrichtungen zu eliminieren oder zumindest zu minimieren und um die Speicherung von individuellen Berechtigungsdaten in den Zutrittskontrollvorrichtungen zu eliminieren, werden die Berechtigungsdaten gemäss EP 1 336 937 von der Berechtigungszentrale über ein Mobilfunknetz an Mobilfunktelefone der Benutzer übertragen und dort gespeichert. Bei der Berechtigungskontrolle werden die Berechtigungsdaten nach EP 1 336 937 vom Mobilfunktelefon eines Benutzers vorzugsweise drahtlos an die Zutrittskontrollvorrichtung übertragen und dort auf Grund der aktuellen Zeit und der empfangenen Berechtigungsdaten die zeitabhängige Zutrittsberechtigung des Benutzers bestimmt. Bei der drahtlosen Übertragung der Berechtigungsdaten stellt sich das Problem, dass die verwendeten Übertragungskanäle und/oder Übertragungsprotokolle nur die Übermittlung einer stark beschränkten Datenmenge zulassen, beispielsweise sind die normierten SMS-Kurznachrichten (Short Messaging Services) in GSM-Mobilfunknetzen (Global System for Mobile Communication) auf 160 Zeichen (Bytes) beschränkt. Durch diese Beschränkung wird auch die mögliche Komplexität der zu übertragenden Berechtigungsdaten für zeitabhängige Benutzerberechtigungen eingeschränkt, wenn mehrere Übertragungen und aufwendige Algorithmen bei der Berechtigungskontrollen verhindert werden sollen. Mit anderen Worten: wenn eine komplexe und flexible Gestaltung von zeitabhängigen Benutzerberechtigungen möglich sein sollen, erfordert dies eine erhöhte Komplexität der Berechtigungskontrolle, wodurch die dazu benötigten Prozessorleistung und Programmspeicher höher beansprucht werden.
Darstellung der Erfindung
[0004] Es ist eine Aufgabe der vorliegenden Erfindung ein elektronisches Berechtigungskontrollverfahren, ein System für eine elektronische Berechtigungskontrolle und dafür geeignete Vorrichtungen vorzuschlagen, welche nicht die Nachteile des Stands der Technik aufweisen. Es ist insbesondere eine Aufgabe der vorliegenden Erfindung ein elektronisches Berechtigungskontrollverfahren, ein System für die elektronische Berechtigungskontrolle und dafür geeignete Vorrichtungen vorzuschlagen, mittels welchen eine Berechtigung eines Benutzers zu einem aktuellen Zeitpunkt auf Grund von Berechtigungsdaten des Benutzers kontrolliert wird, wobei einerseits eine komplexe und flexible Gestaltung von zeitabhängigen Benutzerberechtigungen und andererseits eine einfach ausführbare Kontrolle der Berechtigung des Benutzers ermöglicht werden.
[0005] Gemäss der vorliegenden Erfindung werden diese Ziele insbesondere durch die Elemente der unabhängigen Ansprüche erreicht. Weitere vorteilhafte Ausführungsformen gehen ausserdem aus den abhängigen Ansprüchen und der Beschreibung hervor.
[0006] Die oben genannten Ziele werden durch die vorliegende Erfindung insbesondere dadurch erreicht, dass der aktuelle Zeitpunkt, zu dem die Berechtigung eines Benutzers kontrolliert wird, auf mehrere Zeiteinheiten unterschiedlicher Wertigkeit abgebildet wird, wobei für die Zeiteinheiten in einem Zeitcode jeweils ein Zeiteinheitsbereich vorgesehen wird, wobei im Zeiteinheitsbereich für jeden möglichen Wert der Zeiteinheit ein Informationsbit bereitgestellt wird, und wobei der Wert des aktuellen Zeitpunkts im Zeitcode dadurch abgebildet wird, dass für jede der Zeiteinheiten im zugehörigen Zeiteinheitsbereich eines der Informationsbits gesetzt wird. Als Zeiteinheiten werden beispielsweise Jahre, Monate, Monatstage, Wochen, Wochentage, Tagesstunden und/oder Minuteneinheiten verwendet. Überdies werden die Berechtigungsdaten mit einer oder mehreren Bitmasken erzeugt, welche Bitmasken jeweils für die möglichen Werte eines der Zeiteinheiten die Berechtigung des Benutzers bestimmen. Die Bitmasken umfassen jeweils für jeden möglichen Wert einer der Zeiteinheiten ein Bit zum Anzeigen der Berechtigung des Benutzers. Das heisst durch jedes Bit in der Bitmaske kann die Berechtigung des Benutzers für einen Zeitbereich angezeigt werden, wobei der Zeitbereich durch den betreffenden möglichen Wert, das heisst durch die Stellung des betreffenden Bits in der Bitmaske, und durch eine durch die Wertigkeit der Zeiteinheit bestimmte Zeitdauer definiert ist. Zum Beispiel können für die Zeiteinheit "Wochentage" die Berechtigungen eines Benutzers mittels einer sieben Bit umfassenden Bitmaske hinsichtlich Wochentagen definiert werden. Bei einer Definition der Zeiteinheit "Wochentage" = {Montag, Dienstag, Mittwoch, Donnerstag, Freitag, Samstag, Sonntag} kann für einen Benutzer eine allgemeine Berechtigung für die Wochentage "Dienstag" und "Mittwoch" durch die Bitmaske "0000110" definiert werden. Schliesslich wird die Berechtigung des Benutzers durch logische Verknüpfung des Zeitcodes mit den Bitmasken kontrolliert. Die vorgeschlagene Codierung des Werts des aktuellen Zeitpunkts und die Verwendung der vorgeschlagenen Bitmasken für die Codierung der Benutzerberechtigungen ermöglicht eine äusserst einfache Überprüfung von zeitabhängigen Benutzerberechtigungen durch elementare logische Verknüpfungen wie Boolesche "AND" oder "OR" Operationen. Die vorgeschlagene Codierung der Benutzerberechtigungen basierend auf Bitmasken für die möglichen Werte mehrerer Zeiteinheiten von unterschiedlicher Wertigkeit ermöglicht zudem eine äusserst flexible, kompakte und detaillierte Codierung von zeitabhängigen Benutzerberechtigungen, wobei die zeitabhängigen Benutzerberechtigungen verschachtelt, überlappend und periodisch definierbar sind und sich über grosse Zeiträume von beispielsweise mehreren Jahren erstrecken können.
[0007] Vorzugsweise werden die Berechtigungsdaten in einer computerisierten Berechtigungszentrale erzeugt und von der Berechtigungszentrale drahtlos an ein mobiles elektronisches Endgerät des Benutzers übermittelt. Der Zeitcode wird vorzugsweise in einer elektronischen Zutrittskontrollvorrichtung erzeugt und von der Zutrittskontrollvorrichtung an das mobile Endgerät des Benutzers übermittelt. Schliesslich wird die logische Verknüpfung des Zeitcodes mit den Bitmasken vorzugsweise im mobilen Endgerät des Benutzers ausgeführt und ein Resultat der logischen Verknüpfung wird vom mobilen Endgerät an die Zutrittskontrollvorrichtung übermittelt. Dadurch müssen die Berechtigungsdaten nicht über die drahtlose Schnittstelle zwischen dem mobilen Endgerät und der Zutrittskontrollvorrichtung übermittelt werden. Zudem kann die Zutrittskontrollvorrichtung einfacher ausgestaltet werden, da sie die logische Verknüpfung des Zeitcodes mit den Bitmasken nicht ausführen muss.
[0008] Vorzugsweise werden Codes in die Berechtigungsdaten eingefügt, welche Codes bestimmen, wie die Bitmasken mit Zeiteinheitsbereichen des Zeitcodes logisch verknüpft werden. Dadurch wird eine flexible und kompakte Codierung der Berechtigungen ermöglicht.
[0009] Typischerweise werden die Berechtigungsdaten mit mehreren Bitmasken erzeugt, wobei vorzugsweise Zeiteinheitscodes jeweils einer Bitmaske zugeordnet in die Berechtigungsdaten eingefügt werden. Die Zeiteinheitscodes geben die Wertigkeit der Zeiteinheit an, für welche Zeiteinheit die zugeordnete Bitmaske die Berechtigung des Benutzers bestimmt. Die Bitmasken werden jeweils mit dem durch den zugeordneten Zeiteinheitscode bestimmten Zeiteinheitsbereich logisch verknüpft. Durch die Zuordnung der Zeiteinheitscodes zu den Bitmasken kann auf eine fest definierte Sequenz von Bitmasken mit vorgeschriebener Wertigkeit verzichtet werden, so dass kompaktere Codierungen möglich werden, in denen Bitmasken abhängig von den betreffenden Benutzerberechtigungen für gewisse Wertigkeiten ausgelassen werden können.
[0010] Vorzugsweise werden die Berechtigungsdaten mit mehreren Bitmasken erzeugt, wobei verschiedene Gruppen von Bitmasken Berechtigungen des Benutzers für verschiedene Zeitfenster bestimmen und wobei Regelcodes zwischen die Gruppen in die Berechtigungsdaten eingefügt werden. Die Regelcodes bestimmen, wie ein erstes Resultat, aus einer logischen Verknüpfung von Bitmasken einer ersten Gruppe mit dem Zeitcode, und ein zweites Resultat, aus einer logischen Verknüpfung von Bitmasken einer zweiten Gruppe mit dem Zeitcode, logisch verknüpft werden sollen. Die vorgeschlagenen Regelcodes ermöglichen auf einfache Art die Definition von zeitlich verschachtelten Benutzerberechtigungen.
[0011] Vorzugsweise werden Kompressionscodes jeweils einer Bitmaske zugeordnet in die Berechtigungsdaten eingefügt. Die Kompressionscodes geben an, ob eine Berechtigung des Benutzers durch die zugeordnete Bitmaske abschliessend bestimmt ist oder ob weitere Bitmasken berücksichtigt werden müssen. Die vorgeschlagenen Kompressionscodes ermöglichen eine besonders einfache und kompakte Codierung der Benutzerberechtigungen, wenn abhängig von den betreffenden Benutzerberechtigungen für bestimmte Zeiteinheitsbereiche auf Bitmasken verzichtet werden kann.
Kurze Beschreibung der Zeichnungen
[0012] Nachfolgend wird eine Ausführung der vorliegenden Erfindung anhand eines Beispieles beschrieben. Das Beispiel der Ausführung wird durch die folgenden beigelegten Figuren illustriert:
Figur 1 zeigt ein Blockdiagramm, welches schematisch ein mobiles Endgerät illustriert, das über ein Telekommunikationsnetz mit einer Berechtigungszentrale verbunden ist und mit einer Zutrittskontrollvorrichtung drahtlos Daten austauscht.
Figur 2 zeigt ein Blockdiagramm, das die logische Verknüpfung zwischen Gruppen von Bitmasken und einem Zeitcode illustriert.
Wege zur Ausführung der Erfindung
[0013] In der Figur 1 bezeichnet das Bezugszeichen 1 ein mobiles elektronisches Endgerät mit einem Kommunikationsmodul 11 für den drahtlosen Datenaustausch mit einer computerisierten Berechtigungszentrale 3 über das Telekommunikationsnetz 2. Das mobile Endgerät 1 ist beispielsweise ein Mobilfunktelefon, ein PDA-Computer (Personal Digital Assistant) oder ein mobiler Notebook oder Laptop-Computer. Das Telekommunikationsnetz umfasst ein Mobilfunknetz, beispielsweise ein GSM- (Global System for Mobile Communication), ein UMTS-Netz (Universal Mobile Telephone System) oder ein anderes, beispielsweise satellitenbasiertes Mobilfunknetz, oder ein WLAN (Wireless Local Area Network). Das mobile Endgerät 1 umfasst zudem ein Kommunikationsmodul 12 für den drahtlosen Datenaustausch mit der elektronischen Zutrittskontrollvorrichtung 4. Das Kommunikationsmodul 12 umfasst vorzugsweise eine Infrarot- (z.B. IrDA) oder funkbasierte (z.B. Bluetooth) Geräteschnittstelle. Das mobile Endgerät 1 umfasst zudem ein Kontrollmodul 13, das vorzugsweise als programmiertes Softwaremodul zur Steuerung eines Prozessors des mobilen Endgeräts 1 ausgeführt ist. Das Kontrollmodul 13 wird beispielsweise auf einem Prozessor einer SIM-Karte (Subscriber Identity Module) ausgeführt, welche entfernbar mit dem mobilen Endgerät 1 verbunden ist. Auf die Funktion des Kontrollmoduls 13 wird später eingegangen, doch der Fachmann wird verstehen, dass das Kontrollmodul 13 auch teilweise oder vollständig hardwaremässig ausgeführt werden kann.
[0014] Die Berechtigungszentrale 3 umfasst einen oder mehrere Computer mit jeweils einem oder mehreren Prozessoren, ein Kommunikationsmodul 32 für den Datenaustausch mit dem mobilen Endgerät 1 (z.B. mittels SMS-Meldungen), eine Benutzerdatenbank 31 sowie ein Codiermodul 33. Das Codiermodul 33 ist vorzugsweise als programmiertes Softwaremodul zur Steuerung eines Prozessors der Berechtigungszentrale 3 ausgeführt. Auf die Funktion des Codiermoduls 33 wird später eingegangen, doch der Fachmann wird verstehen, dass das Codiermodul 33 auch teilweise oder vollständig hardwaremässig ausgeführt werden kann.
[0015] Die Zutrittskontrollvorrichtung 4 umfasst ein Kommunikationsmodul 41 für den drahtlosen Datenaustausch mit dem mobilen Endgerät 1. Die Zutrittskontrollvorrichtung 4 umfasst zudem ein Zeitbestimmungsmodul 42 zur Bestimmung des Werts des aktuellen Zeitpunkts einschliesslich Datum und Zeit, beispielsweise eine elektronische Uhr. Überdies umfasst die Zutrittskontrollvorrichtung 4 ein Zeitabbildungsmodul 43, das vorzugsweise als programmiertes Softwaremodul zur Steuerung eines Prozessors der Zutrittskontrollvorrichtung 4 ausgeführt ist. Auf die Funktion des Zeitabbildungsmoduls 43 wird untenstehend eingegangen, doch der Fachmann wird verstehen, dass das Zeitabbildungsmodul 43 auch teilweise oder vollständig hardwaremässig ausgeführt werden kann.
[0016] Die oben angeführten funktionalen Module, nämlich das Codiermodul 33, das Kontrollmodul 13 sowie das Zeitabbildungsmodul 43, sind vorzugsweise auf einem gemeinsamen oder auf mehreren separaten Computerprogrammprodukten ausgeführt, welche jeweils ein computerlesbares Medium umfassen, worin die programmierten Softwaremodule, das heisst die Computerprogrammcodemittel der funktionalen Module, enthalten sind. Die Computerprogrammcodemittel des Codiermoduls 33, des Kontrollmoduls 13 und des Zeitabbildungsmoduls 43 sind zum Beispiel jeweils auf einem anderen Datenträger gespeichert. Die Computerprogrammcodemittel der funktionalen Module steuern die Prozessoren des Systems für die elektronische Berechtigungskontrolle wie nachfolgend beschrieben wird, wobei das System mindestens eine Berechtigungszentrale 3, mindestens ein mobiles Endgerät 1 und mindestens eine Zutrittskontrollvorrichtung 4 umfasst.
[0017] Das Zeitabbildungsmodul 4 ist eingerichtet den vom Zeitbestimmungsmodul 42 bestimmten aktuellen Zeitpunkt auf mehrere Zeiteinheiten unterschiedlicher Wertigkeit abzubilden. Dabei wird für die Zeiteinheiten in einem Zeitcode jeweils ein Zeiteinheitsbereich vorgesehen und in jedem Zeiteinheitsbereich wird für jeden möglichen Wert der Zeiteinheit ein Informationsbit bereitgestellt. Der Wert des aktuellen Zeitpunkts wird im Zeitcode dadurch abgebildet, dass für jede der Zeiteinheiten im zugehörigen Zeiteinheitsbereich eines der Informationsbits gesetzt wird. Wie bereits einleitend angeführt wurde, werden als Zeiteinheiten unterschiedlicher Wertigkeit Jahre, Monate, Monatstage, Wochen, Wochentage, Tagesstunden und Minuteneinheiten verwendet. Je nach Anwendungserfordernis können zusätzlich auch Jahrtausend, Jahrhundert, Jahrzehnt oder selbst Sekunden als weitere Zeiteinheiten verwendet werden.
[0018] Die möglichen Werte für die Zeiteinheiten Jahrtausend, Jahrhundert, Jahrzehnt und Jahr umfassen die Werte {0, 1, 2, 3, 4, 5, 6, 7, 8, 9}. Für die Abbildung des aktuellen Jahrtausends, Jahrhunderts, Jahrzehnts oder Jahres werden folglich jeweils zehn Informationsbits bereitgestellt, wobei der Wert "0" dem Bit mit dem niedrigsten Stellenwert und der Wert "9" dem Bit mit dem höchsten Stellenwert zugeordnet werden. Zum Beispiel wird der aktuelle Wert des Jahres "4" so durch die Informationsbits "0000010000" codiert. Die zehn Informationsbits werden als Bits mit den niedrigsten Stellenwerten in einem Zeiteinheitsbereich von zwei Bytes gespeichert, wobei die nicht verwendeten Bits auf den Wert "1" gesetzt werden. Für den aktuellen Wert des Jahres "4" ergibt sich so der Wert "11111100 00010000", der hexadezimal als "FC 10" ausgedrückt wird.
[0019] Die möglichen Werte für die Zeiteinheit Monat umfassen die Werte {Januar, Februar, März, April, Mai, Juni, Juli, August, September, Oktober, November, Dezember}. Für die Abbildung des aktuellen Monats werden folglich zwölf Informationsbits bereitgestellt, wobei der Wert "Januar" dem Bit mit dem niedrigsten Stellenwert und der Wert "Dezember" dem Bit mit dem höchsten Stellenwert zugeordnet werden. Zum Beispiel wird der aktuelle Wert des Monats "Mai" (5) so durch die Informationsbits "000000010000" codiert. Die zwölf Informationsbits werden als Bits mit den niedrigsten Stellenwerten in einem Zeiteinheitsbereich von zwei Bytes gespeichert, wobei die nicht verwendeten Bits wiederum auf den Wert "1" gesetzt werden. Für den aktuellen Wert des Monats "Mai" ergibt sich so der Wert "11110000 00010000", der hexadezimal als "F0 10" ausgedrückt wird.
[0020] Die möglichen Werte für die Zeiteinheit Monatstage umfassen die Werte {1, 2, 3, ... 31}. Für die Abbildung des aktuellen Monatstags werden folglich einunddreissig Informationsbits bereitgestellt, wobei der Wert "1" dem Bit mit dem niedrigsten Stellenwert und der Wert "31" dem Bit mit dem höchsten Stellenwert zugeordnet werden. Zum Beispiel wird der aktuelle Wert des Monatstags "20" so durch die Informationsbits "0000000000010000000000000000000" codiert. Die einunddreissig Informationsbits werden als Bits mit den niedrigsten Stellenwerten in einem Zeiteinheitsbereich von vier Bytes gespeichert, wobei die nicht verwendeten Bits auf den Wert "1" gesetzt werden. Für den aktuellen Wert des Monatstags "20" ergibt sich so der Wert "10000000 00001000 00000000 00000000", der hexadezimal als "80 08 00 00" ausgedrückt wird.
[0021] Wie bereits erwähnt, umfassen die möglichen Werte für die Zeiteinheit Wochentage die Werte {Montag, Dienstag, Mittwoch, Donnerstag, Freitag, Samstag, Sonntag}. Für die Abbildung des aktuellen Monatstags werden folglich sieben Informationsbits bereitgestellt, wobei der Wert "Montag" dem Bit mit dem niedrigsten Stellenwert und der Wert "Sonntag" dem Bit mit dem höchsten Stellenwert zugeordnet werden. Zum Beispiel wird der aktuelle Wert des Monatstags "Donnerstag" so durch die Informationsbits "0001000" codiert. Die sieben Informationsbits werden als Bits mit den niedrigsten Stellenwerten in einem Zeiteinheitsbereich von einem Byte gespeichert, wobei das nicht verwendete Bit auf den Wert "1" gesetzt wird. Für den aktuellen Wert des Wochentags "Donnerstag" ergibt sich so der Wert "10001000", der hexadezimal als "88" ausgedrückt wird.
[0022] Die möglichen Werte für die Zeiteinheit Stunden umfassen die Werte {0, 1, 2, 3, ... 23}. Für die Abbildung der aktuellen Stunde werden folglich vierundzwanzig Informationsbits bereitgestellt, wobei der Wert "0" dem Bit mit dem niedrigsten Stellenwert und der Wert "23" dem Bit mit dem höchsten Stellenwert zugeordnet werden. Zum Beispiel wird der aktuelle Wert der Stunde "4" so durch die Informationsbits "000000000000000000010000" codiert. Die vierundzwanzig Informationsbits werden als Bits mit den niedrigsten Stellenwerten in einem Zeiteinheitsbereich von drei Bytes gespeichert. Für den aktuellen Wert der Stunde "4" ergibt sich so der Wert "00000000 00000000 00010000", der hexadezimal als "00 00 10" ausgedrückt wird.
[0023] Die möglichen Werte für die Zeiteinheit Minuten umfassen bei einer Auflösung von fünf Minuten die Werte {0, 5, 10, 15, 20, 25, ... 55}. Für die Abbildung der aktuellen Minute werden folglich zwölf Informationsbits bereitgestellt, wobei der Wert "0" dem Bit mit dem niedrigsten Stellenwert und der Wert "55" dem Bit mit dem höchsten Stellenwert zugeordnet werden. Zum Beispiel wird der aktuelle Wert der Minute "17" (gerundet "15") so durch die Informationsbits "000000001000" codiert. Die zwölf Informationsbits werden als Bits mit den niedrigsten Stellenwerten in einem Zeiteinheitsbereich von zwei Bytes gespeichert, wobei die nicht verwendeten Bits auf den Wert "1" gesetzt werden. Für den (gerundeten) aktuellen Wert der Minute "15" ergibt sich so der Wert "11110000 00001000", der hexadezimal als "F0 08" ausgedrückt wird. Der Fachmann wird verstehen dass auch andere Auflösungen (Genauigkeiten) für die Minuten verwendet werden können.
[0024] Der aktuelle Zeitpunkt "20. Mai 2004, 4Uhr 17" wird somit durch das Zeitabbildungsmodul 4 ohne Abbildung der Zeiteinheiten Jahrtausend, Jahrhundert und Jahrzehnt auf einen Zeitcode in der Form einer Bitkette abgebildet, die hexadezimal als "FC 10 F0 10 80 08 00 00 88 00 00 10 F0 08" ausgedrückt wird, wobei die Reihenfolge Jahr, Monat, Monatstag, Wochentag, Stunde und Minute mit abnehmenden Bitstellenwert eingehalten wird.
[0025] Das Codiermodul 33 ist eingerichtet aus den in der Benutzerdatenbank 31 gespeicherten Angaben über Benutzerberechtigungen Berechtigungsdaten für die drahtlose Übermittlung an das mobile Endgerät 1 zu erzeugen. Vom Codiermodul 33 werden Berechtigungsdaten mit mindestens einer Bitmaske (für sämtliche Jahre ohne weitere Einschränkungen) typischerweise aber mit mehreren Bitmasken erzeugt. In den Berechtigungsdaten werden den einzelnen Bitmasken jeweils ein Zeiteinheitscode zugeordnet (Notation "u"). Die Zeiteinheitscodes geben die Zeiteinheit respektive die Wertigkeit der Zeiteinheit an, für welche die zugeordnete Bitmaske die Berechtigung des Benutzers bestimmt. Für die Codierung des Zeiteinheitscodes genügt ein Byte, in welches beispielsweise die Werte {0, 1, 2, 3, ...N} zur Kennzeichnung der verschiedenen Zeiteinheiten eingefügt werden (der Wert von N hängt von der Anzahl unterschiedlicher Zeiteinheiten ab, die verwendet werden). Die Bitmasken bestimmen jeweils für die möglichen Werte der zugeordneten Zeiteinheit die Berechtigung des Benutzers. Das heisst durch Setzen oder nicht Setzen eines Bits in der Bitmaske, das einem möglichen Wert der zugeordneten Zeiteinheit entspricht, wird die Berechtigung des Benutzers für einen Zeitbereich bestimmt, wobei die Zeitdauer des Zeitbereichs durch die zugeordnete Wertigkeit der Zeiteinheit bestimmt ist und wobei der Zeitpunkt des Zeitabschnitts durch den betreffenden möglichen Wert der zugeordneten Zeiteinheit respektive durch die Stellung des Bits in der Bitmaske bestimmt ist. Wenn beispielsweise die Berechtigung eines Benutzers auf die Jahre 2004 bis 2006 beschränkt werden sollen, wird dies in einer der Zeiteinheit Jahre zugeordneten Bitmaske durch Setzen der Bits für die Jahre 4, 5 und 6 erreicht, was die Bitfolge "0001110000" ergibt, woraus durch Einfügen in zwei Bytes die Bitmaske "00000000 01110000" (hexadezimal "00 70") gebildet wird. In entsprechender Weise ergibt eine Beschränkung der Benutzerberechtigung auf die Wochentage Montag bis Freitag die Bitfolge "0011111", woraus in einem Byte die Bitmaske "00011111" (hexadezimal "1F") gebildet wird. Eine Beschränkung der Benutzerberechtigung auf die Stunden von 9 Uhr bis 18 Uhr ergibt die aus drei Bytes bestehende Bitmaske "00000111 11111110 00000000" (hexadezimal "07 FE 00"). Eine Beschränkung der Benutzerberechtigung auf die Minuten von 30 bis 60 ergibt die Bitfolge "0000111111000000" woraus durch Einfügen in zwei Bytes die Bitmaske "00001111 11000000" (hexadezimal "0F C0") gebildet wird.
[0026] Die Berechtigungsdaten werden vom Codiermodul 33 so aufgebaut, dass von links nach rechts (d.h. von den Bits mit den höchsten Stellenwerten zu den Bits mit den tiefsten Stellenwerten) die Bitmasken wie oben angegeben entsprechend der Wertigkeit der zugeordneten Zeiteinheit von der höchsten zur tiefsten Wertigkeit angeführt werden. Neben dem Einheitscode ist den Bitmasken jeweils auch ein Kompressionscode zugeordnet, der angibt ob eine Berechtigung des Benutzers durch die zugeordnete Bitmaske abschliessend bestimmt ist oder ob für die Bestimmung der betreffenden Berechtigung weitere Bitmasken berücksichtigt werden müssen. Für die Codierung des Kompressionscodes können beispielsweise vier Bits bereitgestellt werden. Ein Kompressionscode mit dem Wert "1" gibt beispielsweise an, dass mindestens eine weitere Bitmaske mit einer weiteren Bedingung (Notation "c") folgt. Zur Bestimmung der Berechtigung müssen diese weiteren Bitmasken, die Zeiteinheiten mit tieferer Wertigkeit zugeordnet sind, berücksichtigt werden. Ein Kompressionscode mit dem Wert "2" gibt beispielsweise an, dass die betreffende Berechtigung des Benutzers durch die gegebenenfalls vorangehenden Bitmasken (die Zeiteinheiten mit höherer Wertigkeiten zugeordnet sind) und die nachfolgende Bitmaske abschliessend bestimmt ist (Notation "a"). Dadurch müssen für eine Berechtigung eines Benutzers in den Berechtigungsdaten nicht sämtliche Bitmasken für die Zeiteinheiten sämtlicher Wertigkeiten eingefügt werden. Es genügt folglich das grösstmögliche zulässige Zeitfenster zu bestimmen und dann die spezifischen Ausnahmebedingungen anzugeben. Ein Kompressionscode mit dem Wert "3" gibt schliesslich an, dass die nachfolgenden Bitmasken einen genauen Zeitpunkt (Datum/Zeit) bestimmen (Notation "=").
[0027] Wie bereits erwähnt, werden die Berechtigungsdaten vom Codiermodul 33 typischerweise mit mehreren Bitmasken gebildet. Die Bitmasken und ihre zugeordneten Einheitscodes und Kompressionscodes werden durch Regelcodes von anderen Bitmasken und ihren zugeordneten Einheitscodes und Kompressionscodes getrennt. In den Berechtigungsdaten werden verschiedene Gruppen von Bitmasken, die jeweils Berechtigungen des Benutzers für verschiedene Zeitfenster bestimmen, durch spezielle Regelcodes getrennt, die zwischen die Gruppen in die Berechtigungsdaten eingefügt werden. Die speziellen Regelcodes bestimmen, wie ein erstes Resultat, aus einer logischen ziellen Regelcodes bestimmen, wie ein erstes Resultat, aus einer logischen Verknüpfung von Bitmasken einer ersten Gruppe mit dem Zeitcode, und ein zweites Resultat, aus einer logischen Verknüpfung von Bitmasken einer zweiten Gruppe mit dem Zeitcode, logisch verknüpft werden sollen. Für die Codierung der Regelcodes können beispielsweise ebenfalls vier Bits bereitgestellt werden. Ein Regelcode mit dem Wert "0" gibt beispielsweise an, dass eine weitere Bitmaske der selben Gruppe folgt (Regelcode für Trennung mit der Notation ";"), wobei die weitere Bitmaske einer Zeiteinheit mit tieferer Wertigkeit zugeordnet ist und zur Bestimmung der Berechtigung berücksichtigt werden muss. Regelcodes mit den Werten "1" oder "2" entsprechen beispielsweise speziellen Regelcodes, die angeben, dass die nachfolgenden Bitmasken einer anderen, neuen Gruppe von Bitmasken zugehören und Benutzerberechtigungen für ein anderes Zeitfenster bestimmen. Der spezielle Regelcode mit dem Wert "1" gibt beispielsweise an, dass das Zeitfenster mit der durch die nachfolgende Gruppe von Bitmasken bestimmten Benutzerberechtigung den weiteren durch die Berechtigungsdaten definierten Benutzerberechtigungen hinzuzufügen ist (Regelcode für Addition mit der Notation "+"). Der spezielle Regelcode mit dem Wert "2" gibt beispielsweise an, dass das Zeitfenster mit der durch die nachfolgende Gruppe von Bitmasken bestimmten Benutzerberechtigung von den weiteren durch die Berechtigungsdaten definierten Benutzerberechtigungen als Ausnahme (Nichtberechtigung) abzuziehen ist (Regelcode für Subtraktion mit der Notation "-"). Der Regelcode mit dem Wert "3" gibt schliesslich an, dass das Zeitfenster mit der durch die vorgehende Gruppe von Bitmasken bestimmten Benutzerberechtigung abgeschlossen ist (Regelcode für Terminierung mit der Notation "#").
Tabelle 1
| Gruppe A für Zeitfenster A | + | Gruppe B für Zeitfenster B | ||||||||||||||||
| Zeiteinheit 1 | ; | Zeiteinheit 2 | ; | Zeiteinheit 3 | + | Zeiteinheit 4 | ; | Zeiteinheit 5 | ||||||||||
| u | c | b1 | ; | u | c | b2 | ; | u | a | b3 | + | u | c | b4 | ; | u | a | b5 |
[0028] In der Tabelle 1 ist ein Beispiel der Codierung von Berechtigungsdaten durch das Codiermodul 33 illustriert. Im dargestellten Beispiel umfassen die Berechtigungsdaten zwei Gruppen von Bitmasken, die durch den Regelcode für Addition "+" voneinander getrennt sind. Entsprechend dem Regelcode für Addition "+" sind die durch die beiden Gruppen für die verschiedenen Zeitfenster A und B definierten Benutzerberechtigungen zu kumulieren. Die Gruppe A umfasst drei Bitmasken b1, b2, b3, die durch den Regelcode für Trennung ";" separiert sind und denen jeweils ein Zeiteinheitscode "u" mit einer unterschiedlichen Wertigkeit einer Zeiteinheit zugeordnet ist. Den Bitmasken b1 und b2 sind jeweils Kompressionscodes "c" zugeordnet, die angeben, dass eine weitere Bitmaske mit einer Bedingung folgt. Der Bitmaske b3 ist ein Kompressionscode "a" zugeordnet, der angibt, dass die durch die Bitmasken b1 und b2 definierte Benutzerberechtigung unter Berücksichtigung der Bitmaske b3 abschliessend bestimmt ist. Die Gruppe B umfasst zwei Bitmasken b4 und b5, die durch den Regelcode für Trennung ";" separiert sind und denen jeweils ein Zeiteinheitscode "u" mit einer unterschiedlichen Wertigkeit einer Zeiteinheit zugeordnet ist. Der Bitmaske b4 ist ein Kompressionscode "c" zugeordnet, der angibt, dass eine weitere Bitmaske mit einer Bedingung folgt. Der Bitmaske b5 ist ein Kompressionscode "a" zugeordnet, der angibt, dass die durch die Bitmaske b4 definierte Benutzerberechtigung unter Berücksichtigung der Bitmaske b5 abschliessend bestimmt ist.
[0029] Gemäss obiger Ausführungen ergibt sich für das Beispiel einer Benutzerberechtigung vom Montag bis Freitag, von 8:30 Uhr bis 18:00 Uhr die folgende Notation der Berechtigungsdaten:
Jahr c 03FF ; Wochentag c 1F ; Stunde a 07FE00 + Wochentag c 1F ; Stunde c 000100 ; Minute a 0FC0
[0030] Für die volle Codierung der Berechtigungsdaten werden durch das Codiermodul 33 auch die Zeiteinheitscodes "u" für Jahr, Stunde, und Minute, die Kompressionscodes für "c" und "a", sowie der spezielle Regelcode für Addition "+" eingesetzt. Gemäss dem Beispiel wird die Benutzerberechtigung für sämtliche Jahre und Monate gewährt mit der Einschränkung auf das Zeitfenster für die Wochentage von Montag bis Freitag jeweils im Zeitfenster von 9 Uhr bis 18 Uhr, wobei zusätzlich noch für die Wochentage von Montag bis Freitag die Berechtigung für das Zeitfenster von 8 Uhr für die Minuten der zweiten halben Stunde (8:30 Uhr bis 8:59 Uhr) gewährt wird.
[0031] An dieser Stelle soll festgehalten werden, dass in einer alternativen Ausführungsvariante, im Unterschied zu der oben angeführten Beschreibung, anstatt bei der die Codierung der aktuellen Zeiteinheiten die nicht verwendeten Bits auf den Wert "1" zu setzen, die nicht verwendeten Bits bei den Bitmasken der Berechtigungsdaten auf "1" gesetzt werden können.
[0032] Die vom Codiermodul 33 erzeugten Berechtigungsdaten werden von der Berechtigungszentrale 3 über das Telekommunikationsnetz 2 an das mobile Endgerät 1 übermittelt und dort gespeichert, beispielsweise auf der SIM-Karte. Die Berechtigungsdaten sind vorzugsweise einer oder mehreren Zutrittskontrollvorrichtungen zugeordnet.
[0033] Wenn sich der Benutzer mit dem mobilen Endgerät 1 der Zutrittskontrollvorrichtung 4 nähert, wird der vom Zeitabbildungsmodul 43 erzeugte Zeitcode des aktuellen Zeitpunkts drahtlos an das mobile Endgerät 1 übermittelt und dort zwischengespeichert. Von der Zutrittskontrollvorrichtung 4 wird zudem eine Identifizierung der Zutrittskontrollvorrichtung 4 drahtlos an das mobile Endgerät 1 übermittelt. Der Datenaustausch zwischen der Zutrittskontrollvorrichtung 4 und dem mobilen Endgerät 1 erfolgt vorzugsweise unter Zuhilfenahme kryptografischer Mittel, beispielsweise verschlüsselt und/oder mit Challengecodes wie dies beispielsweise in EP 1 336 937 beschrieben ist.
[0034] Auf Grund der empfangenen Identifizierung der Zutrittskontrollvorrichtung 4 bestimmt das Kontrollmodul 13 die entsprechenden gespeicherten Berechtigungsdaten. Zur Kontrolle der Berechtigung des Benutzers führt das Kontrollmodul 13 vorzugsweise im mobilen Endgerät 1 eine logische Verknüpfung des Zeitcodes mit den Bitmasken aus. Dabei werden alle zu einer Gruppe gehörenden Bitmasken der Berechtigungsdaten jeweils logisch mit dem entsprechenden Zeiteinheitsbereich des von der Zutrittskontrollvorrichtung 4 empfangenen Zeitcodes verknüpft. Das heisst eine Bitmaske wird mit dem Zeiteinheitsbereich verknüpft, der durch den der Bitmaske zugeordneten Zeiteinheitscode bestimmt ist. Zeiteinheitsbereiche des Zeitcodes, für die in der betreffenden Gruppe keine entsprechende Bitmaske enthalten ist, werden ignoriert. Die einzelnen Gruppen von Bitmasken in den Berechtigungsdaten werden entsprechend der Notation von links nach rechts abgearbeitet. Ergeben sich für alle Bitmasken einer Gruppe aus der logischen "AND"-Verknüpfung zwischen der Bitmaske und dem entsprechenden Zeiteinheitsbereich jeweils in einem Bit eine positive Übereinstimmung, so ergibt sich ein positiver Wert ansonsten ein negativer Wert für die Gruppe. Wie in der Figur 2 dargestellt ist, umfasst der Zeitcode T die Zeiteinheitsbereiche Y (Jahr), M (Monat), MD (Monatstag), WD (Wochentag), H (Stunde) und M5 (Minuteneinheit mit einer Auflösung von fünf Minuten). Die Gruppe G1 umfasst die Bitmasken b11, b12, b13, b14, b15 und b16, die jeweils mit den zugeordneten Zeiteinheitsbereichen Y, M, MD, WD, H respektive M5 mit einer logischen "AND"-Funktion verknüpft werden. In entsprechender Weise werden die Bitmasken b21, b22, b23, b24, b25 und b26 der Gruppe Gm respektive b31, b32, b33, b34, b35 und b36 der Gruppe Gn mit den zugeordneten Zeiteinheitsbereichen des Zeitcodes T verknüpft. In der Figur 2 sind für die Gruppen G1, Gm, Gn jeweils nur zum besseren Verständnis der logischen Verarbeitung Bitmasken für sämtliche Zeiteinheitsbereiche zugeordnet, für die Definition von Berechtigungen ist dies typischerweise nicht nötig, wie bereits erwähnt wurde. Eine Übereinstimmung in einem Bit vom gleichem Stellenwert (d. h. gleicher Position) zwischen der Bitmaske und dem Zeiteinheitsbereich genügt für ein positives Resultat für die betreffende Bitmaske respektive für den betreffenden Zeiteinheitsbereich. Wie in der Figur 2 dargestellt ist, wird durch eine logische "AND"-Funktion aus den Resultaten aller logischen "AND"-Verknüpfungen zwischen den Bitmasken und Zeiteinheitsbereichen einer Gruppe G1, Gm, Gn jeweils ein Ausgangswert 71, 7m, 7n für die betreffende Gruppe G1, Gm respektive Gn gebildet. Wenn eine Gruppe von Bitmasken durch einen speziellen Regelcode für Addition "+" von den vorhergehenden Gruppen abgetrennt ist, dann wird der aus der logischen Verknüpfung mit dem Zeitcode resultierende Wert der Gruppe über eine logische "OR"-Verknüpfung mit den resultierenden Werten der vorangehenden Gruppen verknüpft. Wenn eine Gruppe von Bitmasken durch einen speziellen Regelcode für Subtraktion "-" von den vorhergehenden Gruppen abgetrennt ist, dann wird der aus der logischen Verknüpfung mit dem Zeitcode resultierende Wert der Gruppe invertiert und über eine logische "AND"-Verknüpfung mit den resultierenden Werten der vorangehenden Gruppen verknüpft. In der Figur 2 bezeichnet das Bezugszeichen 5 schematisch alle hinzuzufügenden Gruppen G1, ... Gm (Notation "+"), deren Ausgangswerte 71, 7m mit einer logischen "OR"-Funktion verknüpft werden und den resultierenden Ausgangswert 7 bilden. In der Figur 2 bezeichnet das Bezugszeichen 6 schematisch alle abzuziehenden Gruppen ...Gn (Notation "-"), deren Ausgangswerte 7n mit einer logischen Inverterfunktion invertiert und mit einer logischen "AND"-Funktion mit dem resultierenden Ausgangswert 7 verknüpft werden und den resultierenden Endwert 8 bilden. Wenn alle Gruppen von Bitmasken der Berechtigungsdaten abgearbeitet sind, entspricht der aus den logischen Verknüpfungen resultierende Endwert 8 der Berechtigung des Benutzers zum aktuellen Zeitpunkt.
[0035] Die vom Kontrollmodul 13 derart bestimmte Berechtigung, das heisst der aus den logischen Verknüpfungen resultierende Endwert 8, wird vom mobilen Endgerät 1 an die Zutrittskontrollvorrichtung 4 übermittelt. Dabei werden vorzugsweise, wie oben erwähnt, kryptografische Mittel verwendet, beispielsweise die Bildung eines elektronischen Zertifikats wie dies in EP 1 336 937 beschrieben ist. Die Zutrittskontrollvorrichtung 4 gibt bei einer positiven Berechtigung den Zugang frei und öffnet beispielsweise ein Türschloss oder schaltet den Zugang zu einem Netzwerk oder einem Computersystem frei.
[0036] Der Fachmann wird verstehen, dass die oben beschriebene Kontrolle der Berechtigung des Benutzers durch das Kontrollmodul 13 in einer alternativen Ausführung durch ein entsprechendes funktionales Modul auch in der Zutrittskontrollvorrichtung 4 durchgeführt werden kann, wenn die Berechtigungsdaten an die Zutrittskontrollvorrichtung 4 übermittelt werden.
1. Elektronisches Berechtigungskontrollverfahren, in welchem zu einem aktuellen Zeitpunkt
eine Berechtigung eines Benutzers auf Grund von Berechtigungsdaten des Benutzers kontrolliert
wird, gekennzeichnet durch:
Abbilden des aktuellen Zeitpunkts auf mehrere Zeiteinheiten unterschiedlicher Wertigkeit, wobei für die Zeiteinheiten in einem Zeitcode (T) jeweils ein Zeiteinheitsbereich (Y, M, MD, WD, H, M5) vorgesehen wird, wobei im Zeiteinheitsbereich (Y, M, MD, WD, H, M5) für jeden möglichen Wert der Zeiteinheit ein Informationsbit bereitgestellt wird, und wobei der Wert des aktuellen Zeitpunkts im Zeitcode (T) dadurch abgebildet wird, dass für jede der Zeiteinheiten im zugehörigen Zeiteinheitsbereich (Y, M, MD, WD, H, M5) eines der Informationsbits gesetzt wird,
Erzeugen der Berechtigungsdaten mit einer oder mehreren Bitmasken (b11, b12, b13, b14, b15, b16, b21, b22, b23, b24, b25, b26, b31, b32, b33, b34, b35, b36), welche Bitmasken jeweils für die möglichen Werte eines der Zeiteinheiten die Berechtigung des Benutzers bestimmen, und
Kontrollieren der Berechtigung des Benutzers durch logische Verknüpfung des Zeitcodes (T) mit den Bitmasken.
2. Berechtigungskontrollverfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Berechtigungsdaten in einer Berechtigungszentrale (3) erzeugt werden, dass die
erzeugten Berechtigungsdaten von der computerisierten Berechtigungszentrale (3) drahtlos
an ein mobiles elektronisches Endgerät (1) des Benutzers übermittelt werden, dass
der Zeitcode (T) in einer elektronischen Zutrittskontrollvorrichtung (4) erzeugt wird,
dass der Zeitcode (T) von der Zutrittskontrollvorrichtung (4) an das mobile Endgerät
(1) des Benutzers übermittelt wird, dass die logische Verknüpfung des Zeitcodes (T)
mit den Bitmasken im mobilen Endgerät (1) des Benutzers ausgeführt wird, und dass
ein Resultat der logischen Verknüpfung vom mobilen Endgerät (1) an die Zutrittskontrollvorrichtung
(4) übermittelt wird.
3. Berechtigungskontrollverfahren nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass Codes in die Berechtigungsdaten eingefügt werden, welche Codes bestimmen, wie die
Bitmasken mit Zeiteinheitsbereichen (Y, M, MD, WD, H, M5) des Zeitcodes (T) logisch
verknüpft werden.
4. Berechtigungskontrollverfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Berechtigungsdaten mit mehreren Bitmasken erzeugt werden, wobei Zeiteinheitscodes
jeweils einer Bitmaske zugeordnet in die Berechtigungsdaten eingefügt werden, welche
Zeiteinheitscodes die Wertigkeit der Zeiteinheit angeben, für welche Zeiteinheit die
zugeordnete Bitmaske die Berechtigung des Benutzers bestimmt, und dass die Bitmasken
jeweils mit dem durch den zugeordneten Zeiteinheitscode bestimmten Zeiteinheitsbereich
(Y, M, MD, WD, H, M5) logisch verknüpft werden.
5. Berechtigungskontrollverfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die Berechtigungsdaten mit mehreren Bitmasken erzeugt werden, wobei verschiedene
Gruppen (G1, Gm, Gn) von Bitmasken Berechtigungen des Benutzers für verschiedene Zeitfenster
bestimmen, und wobei Regelcodes zwischen die Gruppen (G1, Gm, Gn) in die Berechtigungsdaten
eingefügt werden, welche Regelcodes bestimmen, wie ein erstes Resultat, aus einer
logischen Verknüpfung von Bitmasken einer ersten Gruppe mit dem Zeitcode (T), und
ein zweites Resultat, aus einer logischen Verknüpfung von Bitmasken einer zweiten
Gruppe mit dem Zeitcode (T), logisch verknüpft werden sollen.
6. Berechtigungskontrollverfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass Kompressionscodes jeweils einer Bitmaske zugeordnet in die Berechtigungsdaten eingefügt
werden, welche Kompressionscodes angeben, ob eine Berechtigung des Benutzers durch
die zugeordnete Bitmaske abschliessend bestimmt ist oder ob weitere Bitmasken berücksichtigt
werden müssen.
7. Berechtigungskontrollverfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass als Zeiteinheiten Jahre, Monate, Monatstage, Wochen, Wochentage, Tagesstunden und/oder
Minuteneinheiten verwendet werden.
8. Mobiles elektronisches Endgerät (1) umfassend Mittel, um von einer computerisierten
Berechtigungszentrale (3) drahtlos Berechtigungsdaten eines Benutzers zu empfangen
und um mit einer elektronischen Zutrittskontrollvorrichtung (4) Daten auszutauschen,
gekennzeichnet durch:
ein Kontrollmodul (13) zum Kontrollieren einer Berechtigung des Benutzers durch logische Verknüpfung eines von der Zutrittskontrollvorrichtung (4) empfangenen Zeitcodes (T) mit in den Berechtigungsdaten empfangenen Bitmasken (b11, b12, b13, b14, b15, b16, b21, b22, b23, b24, b25, b26, b31, b32, b33, b34, b35, b36), wobei der Zeitcode (T) für mehrere Zeiteinheiten unterschiedlicher Wertigkeit jeweils einen Zeiteinheitsbereich (Y, M, MD, WD, H, M5) umfasst, wobei in den Zeiteinheitsbereichen (Y, M, MD, WD, H, M5) jeweils für jeden möglichen Wert der Zeiteinheit ein Informationsbit bereitgestellt ist, wobei der Wert eines aktuellen Zeitpunkts im Zeitcode (T) dadurch abgebildet ist, dass für jede der Zeiteinheiten im zugehörigen Zeiteinheitsbereich (Y, M, MD, WD, H, M5) eines der Informationsbits gesetzt ist, und wobei die Bitmasken jeweils für die möglichen Werte eines der Zeiteinheiten die Berechtigung des Benutzers bestimmen.
9. Elektronische Zutrittskontrollvorrichtung (4) umfassend Mittel, um mit einem mobilen
elektronischen Endgerät (1) eines Benutzers Daten auszutauschen, gekennzeichnet durch:
ein Zeitabbildungsmodul (43) zum Abbilden eines aktuellen Zeitpunkts auf mehrere Zeiteinheiten unterschiedlicher Wertigkeit, wobei für die Zeiteinheiten in einem Zeitcode (T) jeweils ein Zeiteinheitsbereich (Y, M, MD, WD, H, M5) vorgesehen wird, wobei im Zeiteinheitsbereich (Y, M, MD, WD, H, M5) für jeden möglichen Wert der Zeiteinheit ein Informationsbit bereitgestellt wird, und wobei der Wert des aktuellen Zeitpunkts im Zeitcode (T) dadurch abgebildet wird, dass für jede der Zeiteinheiten im zugehörigen Zeiteinheitsbereich (Y, M, MD, WD, H, M5) eines der Informationsbits gesetzt wird, und
Mittel zum Übermitteln des Zeitcodes (T) an das mobile Endgerät (1) des Benutzers.
10. Computerisierte Berechtigungszentrale (3) umfassend Mittel um drahtlos Berechtigungsdaten
an ein mobiles elektronisches Endgerät (1) eines Benutzers zu übermitteln, gekennzeichnet durch:
Mittel zum Erzeugen der Berechtigungsdaten mit einer oder mehreren Bitmasken (b11, b12, b13, b14, b15, b16, b21, b22, b23, b24, b25, b26, b31, b32, b33, b34, b35, b36), welche Bitmasken jeweils für die möglichen Werte einer von mehreren Zeiteinheiten unterschiedlicher Wertigkeit die Berechtigung des Benutzers bestimmen, wobei die Bitmasken jeweils für jeden möglichen Wert einer der Zeiteinheiten ein Bit zum Anzeigen der Berechtigung des Benutzers für einen Zeitbereich umfassen, welcher Zeitbereich durch den betreffenden möglichen Wert und einer durch die Wertigkeit der Zeiteinheit bestimmten Zeitdauer definiert ist.
11. Computerprogrammprodukt umfassend: ein computerlesbares Medium mit darin enthaltenen
Computerprogrammcodemitteln zur Steuerung mehrerer Prozessoren eines Systems für elektronische
Berechtigungskontrolle zu einem aktuellen Zeitpunkt auf Grund von Berechtigungsdaten
eines Benutzers, derart,
dass das System den aktuellen Zeitpunkt auf mehrere Zeiteinheiten unterschiedlicher Wertigkeit abbildet, wobei für die Zeiteinheiten in einem Zeitcode (T) jeweils ein Zeiteinheitsbereich (Y, M, MD, WD, H, M5) vorgesehen wird, wobei im Zeiteinheitsbereich (Y, M, MD, WD, H, M5) für jeden möglichen Wert der Zeiteinheit ein Informationsbit bereitgestellt wird, und wobei der Wert des aktuellen Zeitpunkts im Zeitcode (T) dadurch abgebildet wird, dass für jede der Zeiteinheiten im zugehörigen Zeiteinheitsbereich (Y, M, MD, WD, H, M5) eines der Informationsbits gesetzt wird,
dass das System die Berechtigungsdaten mit einer oder mehreren Bitmasken (b11, b12, b13, b14, b15, b16, b21, b22, b23, b24, b25, b26, b31, b32, b33, b34, b35, b36) erzeugt, welche Bitmasken jeweils für die möglichen Werte eines der Zeiteinheiten die Berechtigung des Benutzers bestimmen, und
dass das System die Berechtigung des Benutzers durch logische Verknüpfung des Zeitcodes (T) mit den Bitmasken kontrolliert.
dass das System den aktuellen Zeitpunkt auf mehrere Zeiteinheiten unterschiedlicher Wertigkeit abbildet, wobei für die Zeiteinheiten in einem Zeitcode (T) jeweils ein Zeiteinheitsbereich (Y, M, MD, WD, H, M5) vorgesehen wird, wobei im Zeiteinheitsbereich (Y, M, MD, WD, H, M5) für jeden möglichen Wert der Zeiteinheit ein Informationsbit bereitgestellt wird, und wobei der Wert des aktuellen Zeitpunkts im Zeitcode (T) dadurch abgebildet wird, dass für jede der Zeiteinheiten im zugehörigen Zeiteinheitsbereich (Y, M, MD, WD, H, M5) eines der Informationsbits gesetzt wird,
dass das System die Berechtigungsdaten mit einer oder mehreren Bitmasken (b11, b12, b13, b14, b15, b16, b21, b22, b23, b24, b25, b26, b31, b32, b33, b34, b35, b36) erzeugt, welche Bitmasken jeweils für die möglichen Werte eines der Zeiteinheiten die Berechtigung des Benutzers bestimmen, und
dass das System die Berechtigung des Benutzers durch logische Verknüpfung des Zeitcodes (T) mit den Bitmasken kontrolliert.
12. System für eine elektronische Berechtigungskontrolle, umfassend Mittel um zu einem
aktuellen Zeitpunkt eine Berechtigung eines Benutzers auf Grund von Berechtigungsdaten
des Benutzers zu Kontrollieren, gekennzeichnet durch:
ein Zeitabbildungsmodul (43) zum Abbilden des aktuellen Zeitpunkts auf mehrere Zeiteinheiten unterschiedlicher Wertigkeit, wobei für die Zeiteinheiten in einem Zeitcode (T) jeweils ein Zeiteinheitsbereich (Y, M, MD, WD, H, M5) vorgesehen wird, wobei im Zeiteinheitsbereich (Y, M, MD, WD, H, M5) für jeden möglichen Wert der Zeiteinheit ein Informationsbit bereitgestellt wird, und wobei der Wert des aktuellen Zeitpunkts im Zeitcode (T) dadurch abgebildet wird, dass für jede der Zeiteinheiten im zugehörigen Zeiteinheitsbereich (Y, M, MD, WD, H, M5) eines der Informationsbits gesetzt wird,
Mittel zum Erzeugen der Berechtigungsdaten mit einer oder mehreren Bitmasken (b11, b12, b13, b14, b15, b16, b21, b22, b23, b24, b25, b26, b31, b32, b33, b34, b35, b36), welche Bitmasken jeweils für die möglichen Werte eines der Zeiteinheiten die Berechtigung des Benutzers bestimmen, und
ein Kontrollmodul (13) zum Kontrollieren der Berechtigung des Benutzers durch logische Verknüpfung des Zeitcodes (T) mit den Bitmasken.
13. System nach Anspruch 12, gekennzeichnet durch eine computerisierte Berechtigungszentrale (3), welche eingerichtet ist, die Berechtigungsdaten
zu erzeugen und drahtlos an ein mobiles Endgerät (1) zu übermitteln, ein mobiles Endgerät
(1) des Benutzers, welches eingerichtet ist die drahtlos übermittelten Berechtigungsdaten
entgegenzunehmen, eine Zutrittskontrollvorrichtung (4), welche das Zeitabbildungsmodul
(43) zum Erzeugen des Zeitcodes (T) umfasst und eingerichtet ist den Zeitcode (T)
an das mobile Endgerät (1) des Benutzers zu übermitteln, wobei das Kontrollmodul (13)
im mobilen Endgerät (1) des Benutzers angeordnet ist, und wobei das mobile Endgerät
(1) des Benutzer eingerichtet ist, ein Resultat der logischen Verknüpfung an die Zutrittskontrollvorrichtung
(4) zu übermitteln.