[0001] Die vorliegende Erfindung betrifft ein elektronisches Zugangssystem nach dem Oberbegriff
des Anspruchs 1 sowie ein Verfahren zum Betrieb eines solchen Zugangssystems.
[0002] Elektronische Zugangssysteme sind in der Praxis weit verbreitet, um ausschließlich
berechtigten Nutzern nach einer Überprüfung Zugang zu einer bestimmten Funktion oder
zu einem Raum oder einem Behältnis zu gewähren.
[0003] Ein gattungsgemäßes Zugangssystem kann beispielweise lediglich einen Zugang zu einer
bestimmten Funktion eines gesicherten (übergeordneten) Systems gewähren, wenn ein
berechtigter Nutzer erkannt wird. So kann beispielsweise die Identität eines Nutzers
verifiziert werden, um erst nach positiver Verifikation an einem Bankautomaten oder
einem Bankterminal Zugang zu bestimmten Kontofunktionen zu ermöglichen. Analog kann
ein gattungsgemäßes elektronisches Zugangssystem ausschließen, dass ein unberechtigter
Nutzer räumlichen Zugang zu einem gesicherten Raum oder einem gesicherten Behältnis
oder Gehäuse, wie z. B. einem Waffenschrank, erhält.
[0004] Derartige elektronische Zugangssysteme weisen üblicherweise wenigstens eine Außeneinheit
auf sowie eine hierzu separate Steuereinheit, die üblicherweise aber in räumlicher
Nähe zu der Außeneinheit, d.h., beispielsweise innerhalb desselben Gebäudes oder an
dem zusichernden Element oder Raum angeordnet ist. Die Außeneinheit ist mit einer
Eingabeeinrichtung und einer Auswertelogik ausgestattet, wobei mittels der Auswertelogik
eine mittels der Eingabeeinrichtung erfasste Benutzerkennung mit wenigstens einer
Referenz, insbesondere mindestens einem Referenzwert oder -muster vergleichbar ist,
um anhand des entsprechenden Vergleichs zu bewerten, ob die erfasste Benutzerkennung
zu einem Zugang berechtigt oder nicht. Die Eingabeeinrichtung kann hierfür beispielsweise
einen Fingerabdruckscanner umfassen, so dass anhand eines abgescannten Fingerabdrucks
als Benutzerkennung ermittelbar ist, ob ein berechtigter Nutzer Zugang verlangt. Die
separate und mit der Außeneinheit gekoppelte Steuereinheit des Zugangssystems ist
eingerichtet, von der Außeneinheit ein Freigabesignal zu empfangen, wenn die erfasste
Benutzerkennung zu einem Zugang berechtigt. In Reaktion auf dieses Freigabesignal
wird durch die Steuereinheit ein Steuersignal erzeugt, infolgedessen einem berechtigten
Nutzer des Zugangssystems Zugang gewährt wird. Während also durch die Außeneinheit
eine Prüfung erfolgt, ob ein berechtigter Benutzer Zugang verlangt, wird an der Steuereinheit
bei positiver Überprüfung die Gewährung des jeweiligen Zugangs ausgelöst.
[0005] Bei einem elektronischen Zugangssystem für einen gesicherten Raum oder ein gesichertes
Behältnis oder Gehäuse ist die Außeneinheit beispielsweise im Bereich einer Tür des
Raumes oder des Behältnisses oder Gehäuses vorgesehen. Die Steuereinheit liegt demgegenüber
üblicherweise im Inneren des Raumes oder des Behältnisses oder Gehäuses vor, um einen
zusätzlichen Schutz vor etwaigen Manipulationen zu bieten. Dabei steuert die Steuereinheit
beispielsweise ein elektronisches Schloss oder einen Verstellmechanismus, so dass
bei Erfassung einer zulässigen Benutzerkennung und somit eines berechtigten Benutzers
die jeweilige Tür automatisch freigegeben oder sogar selbsttätig geöffnet wird.
[0006] Bei elektronischen Zugangssystemen, insbesondere zur Sicherung von Türen an Räumen
oder an Behältnissen oder Gehäuses handelt es sich typischerweise um autarke Systeme,
die allenfalls an eine Stromversorgung angeschlossen sind, jedoch keine (dauerhaft
aktivierte oder kontaktierte) Schnittstelle zu einem Steuerungssystem aufweisen. So
wäre beispielsweise durch eine Verbindung mit einem Computernetzwerk oder einem einzelnen
Computersystem eine höhere Manipulationsanfälligkeit gegeben, da über eine entsprechende
Schnittstelle auch ein missbräuchlicher Angriff auf das Zugangssystem von Außen erleichtert
wäre.
[0007] Die Autarkie elektronischer Zugangssysteme bringt jedoch Probleme im Hinblick auf
die Protokollierung detektierter Ereignisse mit sich. So ist es beispielsweise nicht
ohne weiteres möglich, gewährte und nicht gewährte Zugänge chronologisch und verlässlich
zu speichern. Gerade bei Einbrüchen besteht aber ein großes kriminalistisches Interesse
daran festzustellen, wann und gegebenenfalls durch wen zuletzt ein berechtigter Zugang
erfolgte. Gleichermaßen kann auch von Versicherungsseite gefordert sein, dass ein
verwendetes elektronisches Zugangssystem in der Lage ist, mit Datum und Uhrzeit anzugeben,
ob und wann zuletzt ein berechtigter Zugang erfolgt ist, um im Schadensfall nachweisen
zu können, dass tatsächlich ein unberechtigter Zugang erfolgt ist.
[0008] Der vorliegenden Erfindung liegt die Aufgabe zugrunde, ein elektronisches Zugangssystem
in dieser Hinsicht zu verbessern und die vorgenannten Nachteile zu überwinden.
[0009] Diese Aufgabe wird sowohl mit einem elektronischen Zugangssystem des Anspruchs 1
oder des Anspruchs 4 als auch mit einem Verfahren zum Betrieb eines elektronischen
Zugangssystems nach dem Anspruch 15 gelöst.
[0010] Gemäß einem ersten Erfindungsaspekt ist ein elektronisches Zugangssystem mit wenigstens
einer Außeneinheit und einer hiervon separaten - üblicherweise innenliegenden - Steuereinheit
vorgeschlagen, wobei
- die Außeneinheit eine Eingabeeinrichtung und eine Auswertelogik aufweist und mittels
der Auswertelogik eine mittels der Eingabeeinrichtung erfasste Benutzerkennung mit
wenigstens einer Referenz vergleichbar ist, um anhand des Vergleichs zu bewerten,
ob die erfasste Benutzerkennung zu einem Zugang berechtigt oder nicht, und
- die Steuereinheit eingerichtet ist, von der Außeneinheit ein Freigabesignal zu empfangen,
wenn die erfasste Benutzerkennung zu einem Zugang berechtigt, und in Reaktion hierauf
ein Steuersignal zu erzeugen, infolgedessen einem Benutzer des Zugangssystems Zugang
gewährt wird.
[0011] Erfindungsgemäß weisen die Außeneinheit und die Steuereinheit jeweils einen Taktgeber
zur Erzeugung einer Zeitinformation auf, wobei die erzeugten Zeitinformation der beiden
Taktgeber der Außeneinheit und der Steuereinheit miteinander synchronisiert sind,
um einen abgeglichenen internen Zeitstempel für das Zugangssystem bereitzustellen.
[0012] Nach einer anfänglichen Initialisierung der Taktgeber, auf deren Basis eine Anfangszeit
- vorzugsweise einschließlich des aktuellen Datums und der aktuellen Uhrzeit - eingestellt
wird, ist über den Taktgeber der Außeneinheit und über den Taktgeber der Steuereinheit
grundsätzlich jedes nachfolgend auftretende und elektronisch detektierbare Ereignis
mit einem konkreten Bezug zur Anfangszeit und damit mit einer konkreten Zeitangabe
verknüpfbar. Um hierbei sicherzustellen, dass etwaige Manipulationen an der leichter
zugänglichen Außeneinheit erkannt werden und der einem detektierten Ereignis zugeordnete
Zeitstempel nicht ohne weiteres verfälscht werden kann, werden die voneinander räumlich
getrennten Taktgeber der Außeneinheit und der Steuereinheit zur bzw. die von Ihnen
erzeugten Zeitinformation gemäß dem ersten Aspekt der Erfindung miteinander synchronisiert.
Durch die Synchronisation liegen in beiden Einheiten identische Zeitinformationen
vor, die dann zur Verwendung eines einheitlichen Zeitstempels für die Protokollierung
von (System-) Ereignissen genutzt werden können.
[0013] Dabei kann eine in der schwerer zugänglichen Steuereinheit über deren Taktgeber erzeugte
Zeitinformation eine Referenz-Zeitinformation bilden, auf die eine Zeitinformation
der Außeneinheit abgeglichen wird, oder es wird umgekehrt eine Referenz-Zeitinformation
durch die Außeneinheit vorgegeben. So kann das elektronische Zugangssystem beispielsweise
einen Synchronisationsmechanismus aufweisen, über den nach einem definierten Zeitraum
- z.B. nach 12, 24 oder 48 Stunden - Zeitinformationen der Außeneinheit und der Steuereinheit
miteinander abgeglichen werden.
[0014] In diesem Zusammenhang ist in einer Ausführungsvariante vorgesehen, dass die Steuereinheit
auf die Zeitinformation der Außeneinheit abgeglichen wird. Hierbei kann beispielsweise
eine Rolle spielen, dass ein Taktgeber der Außeneinheit leistungsfähiger ist und damit
eine geringere Abweichung zu der tatsächlich verstrichenen Zeit aufweist. Eine durch
den Taktgeber gesteuerte Uhr der Außeneinheit läuft somit genauer als eine durch den
anderen Taktgeber gesteuerte Uhr der Steuereinheit. Werden somit beispielsweise einmal
täglich die beiden Uhren miteinander synchronisiert und folglich die damit vorgegebenen
Zeitinformationen abgeglichen, weisen beiden Uhren alle 24 Stunden zumindest keine
Abweichung zueinander auf.
[0015] Im Hinblick auf eine kostengünstige und platzsparende Ausbildung ist der jeweilige
Taktgeber durch einen (Mirko-) Prozessor der Außeneinheit bzw. der Steuereinheit bereitgestellt,
mittels dem jeweils auch für die weiteren Funktionen der jeweiligen Einheit gesteuert
und umgesetzt werden. Eine Zeitinformation wird somit vorzugweise (jeweils) aus dem
Takt eines ohnehin notwendigen (Mikro-) Prozessor gewonnen und ohne die Verwendung
einer separaten Echtzeituhr (engl. "real-time clock", kurz RTC). So würde die Verwendung
einer Echtzeituhr und insbesondere eines separaten RTC-Chips unter anderem Kosten
und Größe einer Platine und/oder der jeweiligen Einheit erhöhen. Darüber hinaus wäre
ein Energiespeicher, z.B. in Form einer Batterie, zwingend nötig, der die Echtzeituhr
dauerhaft mit Strom versorgt und in regelmäßigen Abständen gewechselt werden muss.
Ein Batteriewechsel bringt aber einen erhöhten Wartungsaufwand mit sich, um die Funktionstüchtigkeit
des Systems zu gewährleisten, und ist gerade bei Zugangssystemen, die sich an (private)
Endverbraucher richten, beispielsweise für Haustüren oder Tresore, unerwünscht.
[0016] Die Zeitinformation wird vorzugweise - zumindest bei der Synchronisation - in einem
persistenten, d.h., nicht-flüchtigen Speicher der Außeneinheit und/oder einem persistenten
Speicher der Steuereinheit gespeichert. Beispielsweise weisen die Steuereinheit und/oder
die Außeneinheit hierfür einen Flash-Speicher auf. In einem Ausführungsbeispiel weist
die Steuereinheit einen (flüchtigen) Arbeitsspeicher und einen persistenten Speicher
für die Zeitinformationen der Steuereinheit auf, während die Außeneinheit lediglich
einen flüchtigen Arbeitsspeicher für die Zeitinformation der Außeneinheit aufweist.
Im jeweiligen Arbeitsspeicher, beispielsweise ein RAM (Abkürzung für engl. "Random-Access
Memory", zu Deutsch: Direktzugriffsspeicher), wird die Zeitinformation laufend aktualisiert.
Mit anderen Worten wird über den flüchtigen Arbeitsspeicher eine die aktuelle Zeit
wiedergebende Uhr bereitgestellt, von der ein in der Außeneinheit oder Steuereinheit
genutzter Zeitstempel für die Protokollierung von Ereignissen stammt. Bei einer Synchronisation
wird die aktuelle Zeitinformation aus dem flüchtigen Arbeitsspeicher der Außeneinheit
an die Steuereinheit übertragen. In der Steuereinheit wird dann die erhaltene Zeitinformation
der Außeneinheit sowohl in dem flüchtigen Arbeitsspeicher als auch in dem persistenten
Speicher der Steuereinheit gespeichert. Damit wird zum einen eine Uhr der Steuereinheit
auf die Zeitinformation aus der Außeneinheit abgeglichen und zum anderen eine Referenz-Zeitinformation
zum Zeitpunkt der Synchronisation dauerhaft gespeichert. Über die dauerhaft gespeicherte
Referenz-Zeitinformation ist z.B. nach einem Stromausfall insbesondere eine NeuKalibrierung
der Uhr der Außeneinheit möglich.
[0017] So ist die Außeneinheit üblicherweise eher dem Risiko eines Stromausfalls, ggf. auch
durch eine unzulässige Manipulation, ausgesetzt als die regelmäßig besser vor Manipulationen
geschützte Steuereinheit. Fällt an der Außeneinheit die Stromversorgung aus, geht
die Zeitinformation aus deren flüchtigen Arbeitsspeicher verloren. Liegt an der Außeneinheit
wieder Strom an, wird dank einer entsprechenden Steuerlogik des Zugangssystem automatisch
eine Synchronisation ausgeführt, bei der eine Zeitinformation aus dem flüchtigen Arbeitsspeicher
oder aus dem persistenten Speicher der Steuereinheit an die Außeneinheit übertragen
wird, so dass systemintern ein abgeglichener Zeitstempel bereitgestellt ist und in
beiden Einheiten verwendet werden kann.
[0018] In einem Ausführungsbeispiel weist die Außeneinheit und/oder die Steuereinheit einen
Energiespeicher, z. B. in Form eines Akkus oder einer Batterie auf, mittels dem im
Fall eines Stromausfalls noch Daten in einen - vorzugsweise persistenten - Speicher
geschrieben werden können. Der Speicher ist beispielsweise in derjenigen Einheit angeordnet,
der auch einen Energiespeicher aufweist, gleichwohl dies nicht zwingend ist. Im Hinblick
auf die Reduktion des Manipulationsrisikos oder zumindest ein verbessertes, späteres
Erkennen einer Manipulation ist wenigstens ein Energiespeicher in der Steuereinheit
vorgesehen. Hierüber kann zum Beispiel vorgesehen sein, dass die Steuereinheit mithilfe
der durch den Energiespeicher zur Verfügung gestellten elektrischen Energie im Fall
eines Stromausfalls noch dessen Auftreten zusammen mit einem Zeitstempel in einem
persistenten (Flash-) Speicher der Steuereinheit protokolliert.
[0019] Um die Manipulierbarkeit insbesondere der abgeglichenen internen Zeitinformationen
für das Zugangssystem zu erschweren, erfolgt in einer Ausführungsvariante die Kommunikation
zwischen der Außeneinheit und der Steuereinheit verschlüsselt. Alternativ oder ergänzend
können die Außeneinheit und die Steuereinheit miteinander gepaart werden, so dass
sie in ihrer Kombination Unikate darstellen. Nach einem "Pairing" von Außeneinheit
und Steuereinheit nach deren Inbetriebnahme ist eine einmal ordnungsgemäß initialisierte
Außeneinheit nur noch mit einer bestimmten, hiermit gepaarten Steuereinheit zur Kommunikation
geeignet und somit funktionsfähig.
[0020] Die Anfangszeit wird vorzugsweise über eine drahtlose Verbindung initialisiert, zum
Beispiel über eine an der Außeneinheit vorgesehene Infrarot-Schnittstelle. Zur Initialisierung
wird hierbei beispielsweise eine Fernbedienung des Zugangssystems verwendet. Das Zugangssystem
kann ferner alternativ oder ergänzend eingerichtet sein, die Initialisierung einer
Anfangszeit erst zu gestatten, nachdem ein berechtigter Benutzer mittels eines Fingerabdrucks
erkannt wurde.
[0021] In einer Ausführungsvariante ist ferner wenigstens ein Speicher vorgesehen, in dem
mindestens Daten über gewährte und nicht gewährte Zugänge mit dem Zeitstempel verknüpft
gespeichert werden. Es wird mit anderen Worten jeder gewährte oder nicht gewährte
Zugang als Ereignis zusammen mit der jeweiligen Zeitangabe als Datensatz in dem wenigstens
einen Speicher hinterlegt. Derart kann zu einem späteren Zeitpunkt, zum Beispiel nach
einem Einbruch, anhand der in dem Speicher hinterlegten Daten festgestellt werden,
ob zum Zeitpunkt des Einbruchs oder wann zuvor letztmalig eine erfasste Benutzerkennung
als zulässig erkannt und damit ein (vermeintlich) berechtigter Benutzer identifiziert
wurde.
[0022] Die jeweils mit einem Zeitstempel verknüpften Daten sind bevorzugt in einer auslesbaren
Datei gespeichert. Diese Datei kann in der Außeneinheit und/oder in der Steuereinheit
abgelegt sein.
[0023] Damit die Daten auch noch auslesbar sind, wenn das gesamte System oder auch nur eine
der beiden Einheiten nicht mehr mit Strom versorgt wird, ist vorzugsweise ein persistenter
Speicher vorgesehen, z.B. ein bereits zuvor bereits angesprochener Flash-Speicher.
[0024] Gemäß einem zweiten Aspekt der Erfindung ist vorgesehen, dass sowohl in der Außeneinheit
als auch in der Steuereinheit mindestens ein Speicher vorgesehen ist, in dem jeweils
wenigstens mit einem Zeitstempel versehene Daten zu gewährten und gegebenenfalls nicht
gewährten Zugängen gespeichert werden. Es sind folglich wenigstens zwei räumlich voneinander
separierte Speicher vorgesehen, die jeweils Daten über gewährte und bevorzugt auch
über nicht gewährte Zugänge enthalten, so dass insbesondere zu einem späteren Zeitpunkt
eine Plausibilitätsprüfung zum Beispiel der in dem Speicher der Außeneinheit abgelegten
Daten anhand der in dem Speicher der Steuereinheit abgelegten Daten möglich ist. Dies
wird insbesondere als vorteilhaft erachtet, da die für die Erfassung der Benutzerkennung
von außen zugängliche Außeneinheit regelmäßig einem größeren Risiko für Manipulationen
ausgesetzt ist und somit ein einzelner Speicher in der Außeneinheit ein geringeres
Maß an Sicherheit bietet.
[0025] Das Vorsehen wenigstens zweier Speicher in der Außeneinheit und in der Steuereinheit
ist offensichtlich nicht von dem Vorhandensein zweier miteinander synchronisierter
Taktgeber abhängig. Jedoch können beide Erfindungsaspekte ohne weiteres in einem erfindungsgemäßen
elektronischen Zugangssystem verwirklicht sein.
[0026] In einer möglichen Ausführungsvariante eines erfindungsgemäßen elektronischen Zugangssystems
weist die Außeneinheit einen leistungsfähigeren (Mikro-) Prozessor auf als die Steuereinheit.
So muss die Auswertlogik der Außeneinheit für die Prüfung, ob ein berechtigter Benutzer
Zugang verlangt, regelmäßig deutlich leistungsfähiger ausgestaltet werden, um die
Prüfung schnellstmöglich vornehmen zu können. Demgegenüber kann sich eine Steuerelektronik
der Steuereinheit gegebenenfalls darauf beschränken, auf ein Freigabesignal der Außeneinheit
ein Steuersignal zum Schalten eines Relais zu erzeugen. Über das geschaltete Relais
kann dann beispielsweise ein Türöffner oder ein Schlossmotor angesteuert werden. Die
vorgenannten Erfindungsaspekte ergänzen sich dann bei einem derartigen Zugangssystem
mit unterschiedlich leistungsstarken Einheiten in besonders vorteilhafter Weise. So
können beispielsweise durch die leistungsfähigere Außeneinheit deutlich mehr Daten
verarbeitet und in deren Speicher abgelegt werden, während im Gegenzug in der leistungsschwächeren
Steuereinheit eine geringere Anzahl Daten zu einem detektierten Ereignis ausreichend
sind, um die Daten der Außeneinheit auf Plausibilität zu prüfen. Die in der Steuereinheit
abgelegten Daten liegen dafür aber ebenso wie der in der Steuereinheit untergebrachte
Taktgeber mit einem geringeren Manipulationsrisiko in einem gesicherten Bereich und
räumlich beabstandet zu der Außeneinheit vor.
[0027] Bei einem elektronischen Zugangssystem, bei dem sowohl in einem Speicher der Außeneinheit
als auch in einem Speicher der Steuereinheit Daten abgelegt werden, kann vorgesehen
sein, dass gespeicherte Daten bei manipulationsfreien Betrieb des Zugangssystems in
den mindestens zwei Speichern identisch sind. Daten werden somit redundant in beiden
räumlich separierten Speichern abgelegt. Dies erleichtert eine Plausibilitätsprüfung.
Hierbei können auch Kopien der in einer Einheit erfassten Daten im Speicher der anderen
Einheit abgelegt werden.
[0028] Alternativ oder ergänzend können in den mindestens zwei Speichern gespeicherte Daten
bei manipulationsfreiem Betrieb des Zugangssystems unterschiedlich sein. So können
sich die jeweils gespeicherten Daten bereits dadurch voneinander unterscheiden, dass
von den beiden Einheiten unterschiedliche Ereignisse elektronisch erfasst und hierfür
Daten abgelegt werden. Beispielsweise können in einer Außeneinheit mit einem Fingerabdruckscanner
ein erfasster Fingerabdruck und/oder - bei positiver Prüfung - eine zu dem Fingerabdruck
gehörige Benutzer-Identifikationsnummer (kurz: Benutzer-ID) zusammen mit einem Zeitstempel
verknüpft abgespeichert werden. In der damit gekoppelten Steuereinheit wird demgegenüber
- vorzugsweise ebenfalls mit einem Zeitstempel verknüpft - abgespeichert, wann ein
Freigabesignal empfangen wurde und welches von mehreren möglichen Steuersignalen erzeugt
wurde. So kann beispielsweise in der Steuereinheit auch (nur) mit einem Zeitstempel
verknüpft abgespeichert werden, welches von mehreren möglichen Relais wann geschaltet
wurde. Allgemeiner gefasst ist es somit in einer Ausführungsvariante vorgesehen, dass
einen gewährten Zugang charakterisierende Daten in dem Speicher der Außeneinheit zu
einen gewährten Zugang charakterisierende Daten in dem Speicher der Steuereinheit
verschieden sind.
[0029] Dabei können aber selbstverständlich auch zusätzlich zu den verschiedenen Daten identische
Daten(sätze) in beiden Speichern vorhanden sein. Beispielsweise werden bei positiver
Prüfung eines Fingerabdrucks in einem Speicher der Außeneinheit stets eine Benutzer-ID
und der erfasste Fingerabdruck oder eine komprimierte Version dieses erfassten Fingerabdrucks
zusammen mit einem Zeitstempel abgelegt und in dem Speicher der Steuereinheit stets
ebenfalls die Benutzer-ID zusammen mit einem Zeitstempel (als identische Daten) und
ergänzend aber nur ein Parameter für das geschaltete Relais (als zu den Daten der
Außeneinheit unterschiedliche Daten) abgelegt. Werden hierbei gemäß dem ersten Erfindungsaspekt
zusätzlich permanent die Taktgeber synchronisiert und somit die Zeitstempel ausgetauscht,
können die in den Speichern abgelegten Protokolldateien problemlos zusammen betrachtet
und ausgewertet werden.
[0030] In einem Ausführungsbeispiel ist die Eingabeeinrichtung der Außeneinheit dazu ausgebildet
und vorgesehen, mindestens ein biometrisches Charakteristikum eines Benutzers als
Benutzerkennung zu erfassen. Ein solches biometrisches Charakteristikum kann beispielsweise
ein Fingerabdruck sein. Demgemäß kann die Eingabeeinrichtung einen Fingerabdruckscanner,
vorzugsweise einen halbautomatischen Fingerabdruckscanner aufweisen. Bei einem halbautomatischen
Fingerabdruckscanner wird ein Finger über eine schmale Scannerfläche eines Zeilensensors
gezogen. Ein solches System bietet hierbei den Vorteil, dass an dem Fingerabdruckscanner
selbst kein Fingerabdruck eines berechtigten Benutzers abgenommen werden kann.
[0031] Bei einem elektronischen Zugangssystem mit einem Fingerabdruckscanner wird es beispielsweise
als vorteilhaft erachtet, dass in einem Speicher der Außeneinheit mehrere Ereignisse,
beispielsweise die letzten 50 oder 100, die von der Außeneinheit erfasst werden, mit
einem Zeitstempel zusammen protokolliert werden. Derartige Ereignisse sind beispielsweise:
- das Einlernen eines sogenannten "Masterfingers", also des Fingerabdrucks oder der
Fingerabdrücke eines als Administrator betrachteten Benutzers;
- das Einlernen eines (weiteren) Benutzers;
- das Erfassen einer Benutzerkennung zusammen mit dem Prüfergebnis, also dem Ergebnis
eines Identifikationsvorgangs zusammen mit einem Matching-Ergebnis, wobei bei einer
positiven Überprüfung zusätzlich auch noch eine Benutzer-ID für den erkannten Benutzer
abgespeichert werden kann;
- das Löschen eines Benutzers oder zumindest eines Benutzerfingers als eine in der Außeneinheit
- vorzugsweise in einem Referenzspeicher - abgelegten Referenz;
- ein Reset des Zugangssystems;
- einen eventuellen Stromausfall und das (erneut) Einschalten des elektronischen Zugangssystems
oder zumindest einer oder beider Einheiten des Zugangssystems;
- die Durchführung einer Implementierten Testfunktion zum initialen Testen der Funktionsfähigkeit
des Zugangssystems;
- ein durch das Zugangssystem ausgelöster Sperr- und Entsperrvorgang;
- eine bestimmte, zum Beispiel 20 oder 30, Anzahl zuletzt erfasster Fingerabdrücke oder
komprimierter und auswertbarer Versionen hiervon;
- Änderungen an den Einstellungen der Außeneinheit oder des Zugangssystems an sich,
wie eine Umstellung von Relaisschaltzeiten, eine Umstellung eines hinterlegten Sicherheitslevels,
etc..
[0032] In einer hiermit gekoppelten Steuereinheit können ebenfalls mehrere von dieser erfassten
Ereignisse, beispielsweise ebenfalls die letzten 50 oder 100, zusammen mit einem Zeitstempel
protokolliert werden, wie zum Beispiel:
- die Ansteuerung eines bestimmten Relais;
- der Empfangs eines Freigabesignals von der Außeneinheit;
- die Ansteuerung eines von mehreren möglichen Relais zusammen mit einem Identifikationsparameter,
der angibt, welches der Relais angesteuert wurde oder ob beide Relais angesteuert
wurden.
[0033] Im Hinblick auf ein elektronisches Zugangssystem, über dessen Steuereinheit ein Türschloss
freigegeben oder geöffnet wird, können beispielsweise zwei durch die Steuersignale
der Steuereinheit angesteuerte Relais dazu vorgesehen sein, einerseits einen Schlossmotor
oder einen Türöffner und andererseits ein übergeordnetes Alarmsystem anzusteuern.
Über das eine Relais wird somit beispielsweise das Türschloss freigegeben, während
über das andere Relais die Alarmanlage - sofern aktiv - deaktiviert wird.
[0034] In einem Ausführungsbeispiel sind die Außeneinheit und die Steuereinheit des elektronischen
Zugangssystems über wenigstens eine Signalleitung miteinander verbunden, die zwischen
der Außeneinheit zwei über eine Steckerverbindung miteinander verbundene Teile aufweist.
Durch das Lösen der Steckerverbindung kann somit eine Verbindung zwischen der Außeneinheit
und der Steuereinheit unterbrochen werden. Das Vorsehen einer Steckerverbindung zwischen
den beiden Einheiten des elektronischen Zugangssystems bietet einerseits den Vorteil
einer erleichterten Integration der beiden Einheiten in eine zu sichernde Einrichtung.
So kann beispielsweise die Außeneinheit einfacher in eine zu sichernde Tür eines Hauses
montiert werden, während die als Inneneinheit oder Kontrollereinheit fungierende Steuereinheit
innerhalb des Hauses, üblicherweise in der Nähe der Tür angebracht wird. Die Steckerverbindung
liegt dabei vorzugsweise ausschließlich innerhalb des zu sichernden Raumen zugänglich
vor, so dass eine Trennung der beiden Einheiten voneinander zu Manipulationszwecken
von Außen nicht möglich ist.
[0035] Die Steckerverbindung zwischen Außeneinheit und Steuereinheit wird vorzugsweise zum
Auslesen von in einem Speicher der Außeneinheit und/oder in einem Speicher der Steuereinheit
gespeicherte Daten über gewährte und/oder nicht gewährte Zugänge genutzt. Hierfür
kann eine separate Ausleseeinheit des Zugangssystems vorgesehen sein, die bei Bedarf
mit der Außeneinheit und/oder der Steuereinheit verbindbar ist.
[0036] Eine solche Ausleseeinheit, die beispielsweise mit einem Computer oder Mobilgerät,
wie z.B. PC, Laptop, Tablet oder Smartphone, über eine geeignete drahtgebundene oder
drahtlose Schnittstelle verbindbar ist, weist in einem Ausführungsbeispiel ein erstes
und ein zweites Anschlussstück auf. Diese beiden Anschlussstücke sind komplementär
zu zwei Verbindungsstücken der zwischen der Außeneinheit und der Steuereinheit vorgesehenen
Steckerverbindung ausgebildet. Derart sind das erste Anschlussstück mit einem ersten
Verbindungsstück der Steckerverbindung und das zweite Anschlussstück mit einem zweiten
Verbindungsstück der Steckerverbindung verbindbar, um Daten aus einem oder mehreren
Speichern auszulesen. Durch die Verwendung zweier Anschlussstücke, die zueinander
unterschiedlich ausgebildet sein können, wird einerseits vermieden, dass ein Anschlussstück
der Ausleseeinheit mit dem falschen Verbindungsstück der Steckerverbindung verbunden
wird. Andererseits können sowohl die Verbindungsstücke als auch die Anschlussstücke
jeweils als Steckerteil oder als Buchsenteil ausgebildet sein, so dass die Steckerverbindung
leicht trennbar und ein paralleler Anschluss beider Verbindungsstücke an die Ausleseeinheit
bei getrennter Steckerverbindung möglich ist. So kann vorgesehen sein, dass die Ausleseeinheit
gleichzeitig über ihre ersten und zweiten Anschlussstücke temporär an die Außeneinheit
und die Steuereinheit angeschlossen wird, um (Protokoll-) Daten über gespeicherte
Ereignisse aus beiden Einheiten auszulesen.
[0037] Über eine auf der Ausleseeinheit lauffähige Software können die ausgelesenen Daten
zum Beispiel in ein bestimmtes Format konvertiert und/oder auf einem Display der Ausleseeinheit
ausgegeben werden. Alternativ oder ergänzend können die ausgelesenen Daten durch einen
Computer oder ein Mobilgerät, der bzw. das über eine geeignete Schnittstelle mit der
Ausleseeinheit verbunden ist, in einem bestimmten Dateiformat importiert, exportiert
und angezeigt werden. Hierbei kann selbstverständlich vorgesehen sein, dass eine entsprechende
Software auf dem Computer oder Mobilgerät lauffähig ist, mit deren Hilfe Daten aus
einem Speicher der Außeneinheit und/oder Speicher der Steuereinheit ausgelesen und
verarbeitet werden können.
[0038] Ein weiterer Aspekt der Erfindung ist die Bereitstellung eines Verfahrens zum Betrieb
eines elektronischen Zugangssystems, welches wenigstens eine Außeneinheit, mit einer
Auswertelogik und einer Eingabeeinrichtung, wie zum Beispiel einem Fingerabdruckscanner,
sowie eine Steuereinheit zum Erzeugen von Steuersignalen aufweist.
[0039] Ein erfindungsgemäßes Verfahren zeichnet sich hierbei dadurch aus, dass
- sowohl die Außeneinheit als auch die Steuereinheit zur Erzeugung einer Zeitinformation
einen Taktgeber aufweisen und die Zeitinformationen der Taktgeber miteinander synchronisiert
werden, um einen abgeglichenen internen Zeitstempel für das Zugangssystem bereitzustellen,
und/oder
- sowohl in der Außeneinheit als auch in der Steuereinheit mindestens ein Speicher vorgesehen
ist, in dem jeweils wenigstens mit einem Zeitstempel versehene Daten zu gewährten
Zugängen - und vorzugsweise auch nicht gewährten Zugängen - gespeichert werden.
[0040] Ein erfindungsgemäßes Verfahren kann somit von einem erfindungsgemäßen elektronischen
Zugangssystem umgesetzt sein. Folglich gelten diesbezüglich vorstehend und nachfolgend
genannte Vorteile und Merkmale auch für Ausführungsbeispiele eines erfindungsgemäßen
Verfahrens und umgekehrt.
[0041] Weitere Vorteile und Merkmale der Erfindung werden bei der nachfolgenden Beschreibung
von Ausführungsbeispielen anhand der Figuren deutlich werden.
[0042] Hierbei zeigen:
- Figur 1
- ein Ausführungsbeispiel eines erfindungsgemäßen elektronischen Zugangssystems mit
einer einen Fingerabdruckscanner aufweisenden Außeneinheit;
- Figur 2
- schematisch und mit weiteren Details die Außeneinheit des Zugangssystems der Figur
1 und eine damit gekoppelte Steuereinheit;
- Figur 3
- schematisch die zwischen der Außeneinheit und der Steuereinheit ausgetauschten Daten
und Signale;
- Figur 4A
- ein Beispiel für in einem Speicher der Außeneinheit und in einem Speicher der Steuereinheit
identisch und chronologisch abgespeicherte Ereignisdaten;
- Figur 4B
- ein Beispiel für zueinander unterschiedliche Daten, die einerseits in einem Speicher
der Außeneinheit und andererseits in einem Speicher der Steuereinheit abgespeichert
werden;
- Figur 5
- schematisch die Außeneinheit und die Steuereinheit der Figur 2 mit einer über zwei
Steckerverbindungen mit beiden Einheiten verbundenen Ausleseeinheit.
[0043] Die Figur 1 zeigt schematisch ein elektronisches Zugangssystem 1, bei dem eine elektronische
Außeneinheit 2 in einem Außenraum AR zugänglich vorliegt und mit einer ausschließlich
über einen gesicherten Innenraum IR zugänglichen Steuereinheit 3 gekoppelt ist. Über
das elektronische Zugangssystem 1 ist beispielsweise eine Tür zu einem Haus oder einem
Sicherheitsbereich gesichert, so dass nur berechtigten Benutzern ein Zugang hierzu
gewährt wird. Während über die Außeneinheit 2 eine Benutzerkennung erfasst wird, um
zu prüfen, ob es sich bei einer die Außeneinheit 2 nutzenden Person um einen berechtigten
Benutzer handelt, wird über die damit gekoppelte Steuereinheit 3 eine Schlosseinrichtung,
wie zum Beispiel ein Schlossmotor 5, angesteuert, wenn an der Außeneinheit 2 ein berechtigter
Benutzer identifiziert wurde.
[0044] Zur Erfassung einer Benutzerkennung weist die Außeneinheit 2 eine Eingabeeinrichtung
in Form eines vorzugsweise halbautomatischen Fingerabdruckscanners 21 auf. Zur Identifikation
- wie auch zum vorherigen Einlernen eines berichtigten Benutzers - wird ein Finger
über eine schmale Sensorfläche des Fingerabdruckscanners 21 gezogen. Der Fingerabdruckscanner
21 ist hierbei in einem Gehäuse 20 der Außeneinheit 2 untergebracht. Eine Außenseite
dieses Gehäuses 20 ist beispielsweise an einer Tür oder im Bereich eines Türrahmens
zugänglich, so dass eine Person ihren Finger an dem Fingerabdruckscanner 21 einlesen
lassen kann. An der Außenseite des Gehäuses 20 sind Anzeigeelemente 22a und 22b, zum
Beispiel in Form von farbigen Leuchten, vorgesehen, um insbesondere den aktuellen
Betriebsmodus und -status der Außeneinheit 2 anzuzeigen. Darüber hinaus ein Empfänger
E an der Außeneinheit 2 vorgesehen, beispielsweise ein Infrarot-Empfänger, der eine
Schnittstelle zum drahtlosen Empfang von Daten aufweist. Dieser Empfänger E kann Daten
in Form von Bediensignalen empfangen, die über einen Sender S einer Fernbedienung
F ausgesandt werden. Diese Bediensignale dienen beispielsweise der Initialisierung
der Außeneinheit 2 nach deren bestimmungsgemäßen Montage, einschließlich der Einstellung
eines aktuellen Datums und einer aktuellen Uhrzeit. Zur Auslösung der Bediensignale
weist die Fernbedienung F ein Bedienfeld B mit mehreren Tasten auf.
[0045] Im Betrieb des elektronischen Zugangssystems 1 erfasst die Außeneinheit 2 über ihren
Fingerabdruckscanner 21 einen Fingerabdruck und vergleicht diesen mit einer oder mehrerer
in einem Referenzspeicher hinterlegten Referenzabdrücken. Die zu vergleichenden Merkmale
des erfassten Fingerabdrucks können hierbei beispielsweise nach einem in der
EP 1 402 460 B1 beschriebenen Verfahren anhand der Minutien erfolgen. Ist der Vergleich positiv,
das heißt, entspricht der erfasste Fingerabdruck beziehungsweise die hieraus extrahierten
Merkmale der in einem Referenzspeicher der Außeneinheit 2 hinterlegten Referenz und
ist somit ein berechtigter Nutzer identifiziert, sendet die Außeneinheit 2 über eine
Signalleitung LT ein Freigabesignal an die Steuereinheit 3. Bei Empfang des Freigabesignals
erzeugt die Steuereinheit 3 ein Steuersignal. In Folge dieses Steuersignals wird beispielsweise
ein Relais geschaltet, um den Schlossmotor 5 zum Entriegeln der Tür anzusteuern.
[0046] Die Stromversorgung des elektronischen Zugangssystems 1 erfolgt über ein mit der
Steuereinheit 3 verbundenes Netzteil 6. Dieses Netzteil 6 ist an eine Spannungsquelle
7 angeschlossen. Über eine mehradrige Ausbildung der Signalleitung LT oder über eine
zusätzliche Leitung zwischen Außeneinheit 2 und Steuereinheit 3 wird dabei auch die
Außeneinheit 2 mit Strom versorgt.
[0047] In der Figur 1 ist ferner noch in gestrichelten Linien dargestellt, dass die Steuereinheit
3 zusätzlich - vorzugsweise über ein weiteres Relais - mit einem Alarmsystem AS verbunden
sein kann. Hierbei kann bei einem berichtigten Benutzer und Empfang eines Freigabesignals
durch die Steuereinheit 3 eine Abschaltung des Alarmsystems AS ausgelöst werden. Ferner
ist es möglich, bei einem festgestellten Manipulationsversuch an der Außeneinheit
2 einen (stillen) Alarm über das Alarmsystem AS auszulösen. Ein solcher Alarm kann
beispielsweise aber auch ausgelöst werden, wenn an der Außeneinheit 2 wiederholt und
innerhalb kurzer Zeit festgestellt wird, dass ein unberechtigter Benutzer Zugang verlangt.
[0048] Indem es sich bei dem elektronischen Zugangssystem 1 um ein Stand-Alone-Fingerabdruckerkennungssystem
ohne permanente Verbindung zu einem Computer oder einem Computernetzwerk und somit
um ein geschlossenes und autarkes System handelt, ist die Gefahr einer Manipulation
von Außen deutlich reduziert. Jedoch wird es hierdurch erschwert, zuverlässig und
mit einem verlässlichen Zeitstempel von der Außeneinheit 2 und/oder der Steuereinheit
3 detektierte Ereignisse zu protokollieren. In einem etwaigen Einbruchsfall muss aber
aus versicherungstechnischen Gründen nachgewiesen werden können, dass das Zugangssystem
1 zuverlässig gearbeitet hat und zum Zeitpunkt des Einbruchs beispielsweise kein berechtigter
Zugang erfolgt ist.
[0049] Bei der dargestellten erfindungsgemäßen Lösung sind vor diesem Hintergrund zwei wesentliche
Verbesserungen vorgenommen, die insbesondere anhand der Figur 2 näher veranschaulicht
werden sollen.
[0050] Die Figur 2 zeigt hierbei weitere Details der Außeneinheit 2 und der Steuereinheit
3, die über die mit einer Steckerverbindung 4 ausgestattete Signalleitung LT miteinander
verbunden sind. So ist aus der Figur 2 ersichtlich, dass die Außeneinheit 2 eine Auswerteelektronik
23 aufweist, die üblicherweise mit wenigstens einem Mikroprozessor umgesetzt ist.
Über die Auswerteelektronik 23 wird ein an dem Fingerabdruckscanner 21 erfasster Fingerabdruck
geprüft und bewertet, ob dieser zu einem Zugang berechtigt. Die Auswerteelektronik
23 weist insbesondere hierfür eine Auswertelogik 230 und einen in der Figur 2 nicht
dargestellten Referenzspeicher für zuvor abgespeicherte Referenzdaten zu den Fingerabdrücken
berechtigter Benutzer auf. Weiterhin ist ein (Ereignisdaten-) Speicher 231 als Teil
der Auswerteelektronik 23 vorgesehen sowie ein Taktgeber 232. In vergleichbarer Art
und Weise weist die Steuereinheit 3 eine Steuerelektronik 30 mit einer Steuerlogik
300, einem (Ereignisdaten-) Speicher 301 und einem Taktgeber 302 auf. Über die Steuerlogik
300 der Steuerelektronik 30 wird insbesondere ein empfangenes Freigabesignal der Auswerteeinheit
2 bewertet, um in Abhängigkeit hiervon ein Steuersignal zu erzeugen. Dieses Steuersignal
wird zur Schaltung von Relais R1, R2 der Steuereinheit 2 genutzt. Das eine Relais
R1 steuert hierbei beispielsweise den Schlossmotor 5, während das andere Relais R2
das Alarmsystem AS steuert. Die beiden Taktgeber 232 und 302 sind jeweils durch einen
(Mikro-) Prozessor der Außeneinheit 2 und der Steuereinheit 3 bereitgestellt. Mittels
des jeweiligen Mikroprozessors werden jeweils auch für die weiteren Funktionen gesteuert
und umgesetzt werden. Eine Zeitinformation wird hier also jeweils aus dem Takt eines
Mikroprozessors gewonnen, der in der Außeneinheit 2 beispielsweise für die Verarbeitung
biometrischer Daten und in der Steuereinheit 3 beispielsweise für die Erzeugung der
Steuersignale jeweils ohnehin vorgesehen ist. Die jeweiligen Zeitinformationen werden
folglich ohne die Verwendung einer separaten Echtzeituhr (engl. "real-time clock",
kurz RTC) erzeugt.
[0051] In den beiden Speichern 231 und 301 der Außeneinheit 2 einerseits und der Steuereinheit
3 andererseits werden Ereignisdaten insbesondere über durch das Zugangssystem 1 gewährte
und nicht gewährte Zugänge protokolliert. Die einzelnen Ereignisse werden hierbei
mit einem Zeitstempel verknüpft, so dass zu einem späteren Zeitpunkt ersichtlich ist,
wann ein bestimmtes Ereignis aufgetreten ist, also zum Beispiel ein eingelesener Fingerabdruck
als nicht zu einem registrierten Benutzer gehörig identifiziert wurde oder aufgrund
der Identifikation eines Fingerabdrucks eines berechtigten Benutzers ein Zugang gewährt
wurde. Die Speicher 231 und 301 sind hierbei vorzugsweise als nicht-flüchtige, d.h.,
persistente Speicher ausgebildet, z.B. in Form von Flash-Speichern, so dass hierin
Daten auch ohne permanente Versorgungsspannung und somit insbesondere im Fall eines
Stromausfalls gespeichert bleiben.
[0052] In den Speichern 231 und 301 können hierbei die entsprechenden Daten redundant gespeichert
sein, so dass zu einem späteren Zeitpunkt durch Vergleich von Datensätzen aus beiden
Speichern 231 und 301 auf etwaige Manipulationen, zum Beispiel an der Außeneinheit
2 und deren Speicher 231, geschlossen werden kann. Alternativ oder ergänzend werden
in den beiden Speichern 231 und 301 unterschiedliche Daten erfasst, die jedoch gleichermaßen
eine Plausibilitätsprüfung der aus den unterschiedlichen Speichern 231 und 301 stammenden
Daten untereinander ermöglichen. Wird beispielsweise in dem Speicher 231 der Außeneinheit
2 zu einem bestimmten Zeitpunkt die Identifikation eines berechtigten Benutzers und
damit die Erzeugung eines Freigabesignals protokolliert, muss im Gegenzug im Speicher
301 der Steuereinheit 3 zu demselben Zeitpunkt oder kurz danach eine Ansteuerung eines
oder beider Relais R1, R2 protokolliert sein.
[0053] Damit ferner ein in der Außeneinheit 2 zur Protokollierung von Ereignisdaten verwendeter
Zeitstempel mit einem in der Steuereinheit 3 zur Protokollierung von Ereignisdaten
verwendeten Zeitstempel vergleichbar und valide ist, werden deren Taktgeber 232 und
302 bzw. hiermit generierte Zeitinformationen vorzugsweise permanent oder einmalig
innerhalb eines einstellbaren Zeitintervalls - z.B. 24 Stunden - miteinander synchronisiert,
so dass ein abgeglichener interner Zeitstempel für das Zugangssystem 1 vorliegt. Hierdurch
kann beispielsweise vermieden werden, dass durch eine Manipulation an der Außeneinheit
2 ohne weiteres die in beiden Speichern 231 und 301 abgelegten Ereignisdaten mit einem
manipulierten Zeitstempel abgespeichert werden. Andererseits können bei ordnungsgemäßen,
manipulationsfreien Betrieb ein üblicherweise leistungsfähigerer (Mikro-) Prozessor
der Außeneinheit 2 und der hiermit bereitgestellte Taktgeber 232 zur Überprüfung des
Zeitstempel benutzt werden, der durch den Taktgeber 302 in der üblicherweise weniger
leistungsfähigen Steuereinheit 3 generiert wird. Zur Initialisierung der beiden Taktgeber
232 und 302 wird beispielsweise eine (aktuelle) Anfangs- oder Bezugszeit über die
Fernbedienung F vorgegeben. Hierbei kann vorgesehen sein, dass erst nach Durchführung
eines Authentifizierungsprozesses - z.B. dem Erkennen eines "Masterfingers" - über
Zifferntasten der Fernbedienung das aktuelle Datum und die aktuelle Uhrzeit eingebbar
sind.
[0054] Bei der Synchronisation wird zum späteren Nachweis der durchgeführten Synchronisation
und für eine Neukalibrierung des Systems nach einem Stromausfall ein abgeglichener
Zeitstempel in dem persistenten Speicher 301 der Steuereinheit 3 gespeichert. So können
die Ausleseeinheit 2 und Steuereinheit 3 für die Erzeugung der in der jeweiligen Einheit
2 oder 3 erzeugten Zeitinformation jeweils einen mit dem zugehörigen Taktgeber 232
oder 302 gekoppelten flüchtigen Arbeitsspeicher (RAM) 233 oder 303 aufweisen
[0055] Die Zeitinformation wird laufend in den Arbeitsspeichern der Außeneinheit 2 und der
Steuereinheit 3 gespeichert. Eine mithilfe des jeweiligen Taktgebers 232 oder 302
realisierte Uhr läuft also weiter. Bei einer Synchronisation wird die Zeitinformation
der Außeneinheit 2 an die Steuereinheit 3 weitergegeben und hier sowohl im stromausfallsicheren
(Flash-) Speicher 301 gespeichert als auch im flüchtigen RAM bzw. Arbeitsspeicher
303. Die im Anschluss daran fortwährende Aktualisierung mithilfe des Taktgebers 302
der Steuereinheit 3 basiert nun auf der mit der Außeneinheit 2 abgeglichenen Zeitinformation.
[0056] Die Uhr in der leistungsfähigeren Außeneinheit 2 ist genauer (leistungsfähiger Prozessor
mit genauerem Takt). Die Uhr in der weniger leistungsfähigen Steuereinheit 3 hat eine
deutliche Abweichung (pro Tag z.B. ca. 10 Minuten). Aufgrund der automatisch mindestens
einmal täglich durchgeführten Synchronisation übersteigt aber die Abweichung der Zeitinformation
der Steuereinheit 3 - gegenüber der Außeneinheit 2 - nie einen Maximalwert, von z.B.
von 10 Minuten pro Tag.
[0057] Da sich die Außeneinheit 2 in einem von außen zugänglichen Bereich befindet, ist
sie eher einem Stromausfall z.B. in infolge eines Manipulationsversuches, ausgesetzt.
Bei einem Stromausfall sind die bis dahin protokollieren Ereignisse sicher im Speicher
232 der Außeneinheit 2 gespeichert. Die Zeitinformation im Arbeitsspeicher (RAM) der
Außeneinheit 2 geht beim Stromausfall jedoch verloren. Wenn die Außeneinheit 2 wieder
in Betrieb ist, wird zuerst eine Synchronisation mit der Steuereinheit 3 durchgeführt
und die aktuelle Zeitinformation der Steuereinheit 3 an die Außeneinheit 2 übertragen.
[0058] Die Steuereinheit 3 kann ferner einen Energiespeicher, z. B. in Form eines Akkus
oder einer Batterie aufweisen, mittels dem im Fall eines Stromausfalls noch Daten
in den Speicher 301 geschrieben werden können. Hierüber kann zum Beispiel vorgesehen
sein, dass die Steuereinheit 3 mithilfe der durch den Energiespeicher zur Verfügung
gestellten elektrischen Energie im Fall eines Stromausfalls noch das Auftreten des
Stromausfalls zusammen mit einem Zeitstempel in dem persistenten (Flash-) Speicher
301 der Steuereinheit 3 protokolliert. Zudem kann diese in dem stromausfallsicheren
Speicher 301 abgelegte Zeitinformation nach dem Stromausfall dazu genutzt werden,
den systeminternen Zeitstempel zu aktualisieren und damit sowohl in der Steuereinheit
3 als auch in der Außeneinheit 2 wieder eine aktualisierte und synchronisierte Zeitinformation
vorliegen zu haben. Diese Not-Energiespeicher ist hierbei vorzugsweise so ausgelegt
und die jeweiligen Steuerelektronik so eingerichtet, dass über die hiermit bereitgestellte
elektrische Energie noch wenigstens ein Zeitstempel nach dem Auftreten eines Stromausfalls
abspeicherbar ist. Aufgrund dieser Minimalanforderung ist der Not-Energiespeicher
problemlos derart dimensionierbar, dass er während der kalkulierten typischen Lebensdauer
des Zugangssystems nicht ausgetauscht werden muss.
[0059] Ein Austausch von Daten zwischen den beiden Einheiten 2 und 3 erfolgt über die Signalleitung
LT vorzugsweise verschlüsselt, so dass hierüber eine Manipulation nicht möglich oder
zumindest weitestgehend ausgeschlossen ist. Eine Verschlüsselung kann hierbei anhand
üblicher Verschlüsselungalgorithmen erfolgen. Ferner sind die Einheiten 2 und 3 miteinander
gepaart, so dass diese nach ihrer Montage und Initialisierung ausschließlich noch
miteinander, jedoch nicht mit anderen Einheiten 2 und 3 kommunizieren können.
[0060] Die Figur 3 veranschaulicht schematisch den Austausch unterschiedlicher Daten und
Signale zwischen den beiden Einheiten 2 und 3 des elektronischen Zugangssystems 1.
[0061] So ist einerseits ein Synchronisationssignal 80 vorgesehen, um die beiden Taktgeber
232 und 302 der beiden Einheiten 2 und 3 miteinander zu synchronisieren und somit
dafür zu sorgen, dass bei der Protokollierung von erfassten Ereignissen durch die
beiden Einheiten 2 und 3 jeweils ein abgeglichener Zeitstempel verwendet wird.
[0062] Darüber hinaus kann die Außeneinheit ein Freigabesignal 81 an die Steuereinheit 3
übermitteln. Über dieses Freigabesignal 81 wird signalisiert, dass über den Fingerabdruckscanner
21 der Außeneinheit 2 ein berechtigter Benutzer identifiziert wurde und somit über
die Steuereinheit 3 der Schlossmotor 5 zum Entriegeln der Tür angesteuert werden kann.
[0063] Ferner können zwischen den beiden Einheiten 2 und 3 Ereignisdaten 82 und 83 ausgetauscht
werden, um beispielsweise bestimmte Informationen redundant zu speichern. Beispielsweise
ist in der Außeneinheit 2 zu jedem Referenz-Fingerabdruck eine bestimmte Benutzer-ID
hinterlegt. Wird über den Fingerabdruckscanner 21 der Außeneinheit 2 erkannt, dass
ein bestimmter, als berechtigt identifizierte Benutzer Zugang verlangt, übermittelt
die Außeneinheit 2 nicht nur das Freigabesignal 81 an die Steuereinheit 3, sondern
auch die Benutzer-ID. Dementsprechend kann die Steuereinheit 3 beispielsweise an der
Benutzer-ID erkennen, welches Relais R1 oder R2 geschaltet werden soll (sofern dies
bei unterschiedlichen Benutzern unterschiedlich gehandhabt werden soll). Vorrangig
wird aber die übermittelte Benutzer-ID dazu genutzt, diese als Teil eines zusätzlichen
Datensatzes in dem Speicher 301 der Steuereinheit 3 abzuspeichern, um zu protokollieren,
für welchen Benutzer - nach Kenntnis der Steuereinheit 3 - zu welchem Zeitpunkt ein
bestimmtes Relais R1, R2 geschaltet und somit beispielsweise der Schlossmotor 5 angesteuert
wurde.
[0064] Die in den Speichern 231 und 301 der beiden Einheiten 2 und 3 abgelegten Ereignisdaten
werden bevorzugt in Tabellenform chronologisch abgelegt. Derartige Tabellen zeigen
die Figuren 4A und 4B jeweils schematisch.
[0065] In der Figur 4A ist eine redundant in beiden Speichern 231 und 301 gespeicherte Tabelle
veranschaulicht. Hierbei sind spaltenweise unterschiedliche Daten als Speichereinträge
L1 bis L4 abgelegt. Ein erster Speichereintrag L1 enthält dabei den Zeitstempel und
erlaubt somit einen Rückschluss auf den Zeitpunkt des jeweils protokollierten Ereignisses,
insbesondere Datum und Uhrzeit. Der Speichereintrag L2 der weiteren Spalte gibt in
derselben Zeile das erfasste Ereignis an, also z. B. einen Parameter für einen gewährten
Zugang (Wert "1") oder einen nicht gewährten Zugang (Wert "0") an. In der nachfolgenden
Spalte wird als Speichereintrag L3 eine Benutzer-ID des erkannten berechtigten Benutzers
abgelegt, wenn dessen Fingerabdruck erkannt wurde. In einer weiteren Spalte wird dann
als Speichereintrag L4 eine durch die Außeneinheit 2 oder die Steuereinheit 3 ausgeführte
Aktion gespeichert, z. B. ein Wert, anhand dessen ablesbar ist, welches Relais R1,
R2 geschaltet wurde ("0" für beide Relais R1 und R2, "1" für Relais R1 und "2" für
Relais R2).
[0066] Bei dem durch die Figur 4B veranschaulichten Ausführungsbeispiel werden in den Speichern
231 und 301 der beiden Einheiten 2 und 3 des elektronischen Zugangssystems 1 zumindest
teilweise unterschiedliche Daten gespeichert. Ein Datensatz des Speichers 231 enthält
hier exemplarisch analog zu dem Ausführungsbeispiel der Figur 4A die Speichereinträge
L1 bis L3 ergänzt um einen zusätzlichen Speichereintrag L5. Der Speichereintrag L5
des Speichers 231 der Außeneinheit 2 enthält beispielsweise einen Indikator, welcher
von mehreren erfassten Fingern eines berechtigten Benutzers erfasst wurde und/oder
ein - gegebenenfalls komprimiertes - Abbild des erfassten Fingerabdrucks des (berechtigten
oder unberechtigten) Benutzers. Ein korrespondierender Datensatz des Speichers 301
der Steuereinheit 3 enthält zusätzlich zu dem den Zeitpunkt charakterisierenden Speichereintrag
L1 die Speichereinträge L3 für die Benutzer-ID und den Speichereintrag L4 für das
geschaltete Relais R1, R2.
[0067] Sowohl im Speicher 231 der Außeneinheit 2 als auch im Speicher 301 der Steuereinheit
3 können auch weitere Ereignisse (bzw. Ereignisdaten) verknüpft mit einem Zeitstempel
und somit zusammen mit einem Speichereintrag L1 für den Zeitstempel abgespeichert
werden, wie z. B.
- das Einlernen neuer Finger,
- einen Indikator zur Klassifizierung, ob ein Abgleich eines erfassten Fingerabdrucks
mit den hinterlegten Fingerabdrücken zu einem positiven oder negativen Ergebnis geführt
hat,
- einen Stromausfall und/oder ein Einschaltzeitpunkt,
- die Ausführung einer "Autotest-Funktion" und/oder
- ein Abbild der erfassten Fingerabdrücke - gegebenenfalls begrenzt auf eine bestimmte
Anzahl, z. B. 20.
[0068] Gerade durch die Speicherung von an dem Zugangssystem 1 detektierten Ereignissen
in der gegen Manipulation gut geschützten üblicherweise innen innerhalb des zu sichernden
Raumes liegenden Steuereinheit 3 übernimmt diese die Funktion einer "Blackbox" des
Zugangssystem 1, d.h., eines Aufzeichnungsgeräts, das Ereignisse bzw. zugehörige (Ereignis-)
Daten chronologisch und auslesbar (und damit auswertbar) protokolliert.
[0069] Zum Auslesen der in den Speichern 231 und 301 abgelegten Daten ist eine Ausleseeinheit
9 vorgesehen. Diese weist zwei Anschlussstücke 9a und 9b zur Verbindung mit den beiden
Einheiten 2 und 3 des Zugangssystems 1 auf. Dabei werden die beiden Anschlussstücke
9a und 9b an eines von zwei Verbindungsstücken 4a und 4b gesteckt, über die zwei Leitungsteile
der Signalleitung LT im Bereich der Steckerverbindung 4 miteinander verbunden sind.
Die Verbindungsstücke 4a und 4b sind dementsprechend beispielsweise als Stecker und
Buchse ausgebildet, so dass sie problemlos sowohl als Schnittstelle zur Verbindung
mit der jeweils anderen Einheit 3 oder 2 als auch als Schnittstelle zur Verbindung
mit der Ausleseeinheit 9 dienen können. Vorzugsweise sind dementsprechend die Anschlussstücke
9a und 9b der Ausleseeinheit 9 als zu den Verbindungsstücken 4a und 4b komplementäre
Stecker und Buchse ausgebildet.
[0070] Indem die Ausleseeinheit 9 zwei Anschlussstücke 9a und 9b aufweist, können über die
Ausleseeinheit 9 Daten aus beiden Speichern 231 und 301 parallel ausgelesen werden.
Die Ausleseeinheit 9 dient hierbei beispielsweise als Adapter und verfügt daher über
ein Verbindungsstück 9c, über das die Ausleseeinheit 9 - z.B. über einen USB-Anschluss
- an ein Mobilgerät oder einen Computer, d.h., insbesondere einen PC oder ein Notebook,
angeschlossen werden kann. Hierdurch sind die in den beiden Einheiten 2 und 3 räumlich
voneinander separiert vorgehaltenen Daten problemlos in einer Protokolldatei zusammenzuführen
oder in mehrere Protokolldateien überführbar sowie auf dem jeweiligen über das Anschlussstück
9c angeschlossenen Gerät auswertbar.
[0071] Die Steckerverbindung 4 zur Verbindung der im Außenraum AR zugänglichen Außeneinheit
2 und der im Innenraum IR untergebrachten Steuereinheit 3 befindet sich bevorzugt
ebenfalls in dem durch das Zugangssystem 1 gesicherten Innenraum IR. Derart ist ein
Zugriff auf die Steckerverbindung 4 und somit auf die beiden Verbindungsstücke 4a
und 4b nur bei Zugang zum Innenraum IR oder innerhalb des Innenraums IR möglich.
Bezugszeichenliste
[0072]
- 1
- Zugangssystem
- 2
- Außeneinheit
- 20
- Gehäuse
- 21
- Fingerabdruckscanner
- 22a, 22b
- Anzeigeelement
- 23
- Auswerteelektronik
- 230
- Auswertelogik
- 231
- Speicher (persistent)
- 232
- Taktgeber
- 233
- Arbeitsspeicher (volatil)
- 3
- Steuereinheit
- 30
- Steuerelektronik
- 300
- Steuerlogik
- 301
- Speicher (persistent)
- 302
- Taktgeber
- 303
- Arbeitsspeicher (volatil)
- 4
- Steckerverbindung
- 4a, 4b
- Verbindungsteil
- 5
- Schlossmotor
- 6
- Netzteil
- 7
- Spannungsquelle
- 80
- Synchronisationssignal
- 81
- Freigabesignal
- 82
- Ereignisdaten (an Außeneinheit)
- 83
- Ereignisdaten (an Steuereinheit)
- 9
- Ausleseeinheit
- 9a, 9b
- Anschlussstück
- 9c
- Verbindungsstück
- AS
- Alarmsystem
- B
- Bedienfeld
- E
- Empfänger
- F
- Fernbedienung
- L1 - L5
- Speichereintrag
- LT
- Signalleitung
- S
- Sender
1. Elektronisches Zugangssystem, mit wenigstens einer Außeneinheit (2) und einer hiervon
separaten Steuereinheit (3), wobei
- die Außeneinheit (2) eine Eingabeeinrichtung (21) und eine Auswertelogik (23) aufweist
und mittels der Auswertelogik (23) eine mittels der Eingabeeinrichtung (21) erfasste
Benutzerkennung mit wenigstens einer Referenz vergleichbar ist, um anhand des Vergleichs
zu bewerten, ob die erfasste Benutzerkennung zu einem Zugang berechtigt oder nicht,
und
- die Steuereinheit (3) eingerichtet ist, von der Außeneinheit (2) ein Freigabesignal
zu empfangen, wenn die erfasste Benutzerkennung zu einem Zugang berechtigt, und in
Reaktion hierauf ein Steuersignal zu erzeugen, infolge dessen einem Benutzer des Zugangssystems
(1) Zugang gewährt wird,
dadurch gekennzeichnet, dass
sowohl die Außeneinheit (2) als auch die Steuereinheit (3) einen Taktgeber (232, 302)
zur Erzeugung einer Zeitinformation aufweisen und die Zeitinformationen der beiden
Taktgeber (232, 302) miteinander synchronisiert sind, um einen abgeglichenen internen
Zeitstempel für das Zugangssystem (1) bereitzustellen.
2. Zugangssystem nach Anspruch 1, dadurch gekennzeichnet, dass wenigstens ein Speicher (231, 301) vorgesehen ist, in dem mindestens Daten (L2 -
L5) über gewährte und nicht gewährte Zugänge mit dem Zeitstempel (L1) verknüpft gespeichert
werden.
3. Zugangssystem nach Anspruch 2, dadurch gekennzeichnet, dass die jeweils mit einem Zeitstempel (L1) verknüpften Daten (L2 - L5) in einer auslesbaren
Datei in der Außeneinheit (2) und/oder der Steuereinheit (3) gespeichert sind.
4. Elektronisches Zugangssystem, insbesondere nach einem der Ansprüche 1 bis 3, mit wenigstens
einer Außeneinheit (2) und einer hiervon separaten Steuereinheit (3), wobei
- die Außeneinheit (2) eine Eingabeeinrichtung (21) und eine Auswertelogik (23) aufweist
und mittels der Auswertelogik (23) eine mittels der Eingabeeinrichtung (21) erfasste
Benutzerkennung mit wenigstens einer Referenz vergleichbar ist, um anhand des Vergleichs
zu bewerten, ob die erfasste Benutzerkennung zu einem Zugang berechtigt oder nicht,
- die Steuereinheit (3) eingerichtet ist, von der Außeneinheit (2) ein Freigabesignal
zu empfangen, wenn die erfasste Benutzerkennung zu einem Zugang berechtigt und in
Reaktion hierauf ein Steuersignal zur erzeugen, infolge dessen einem Benutzer des
Zugangssystems (1) Zugang gewährt wird,
dadurch gekennzeichnet, dass
sowohl in der Außeneinheit (2) als auch in der Steuereinheit (3) mindestens ein Speicher
(231, 301) vorgesehen ist, in dem jeweils wenigstens mit einem Zeitstempel (L1) versehene
Daten (L2 - L5) zu gewährten Zugängen gespeichert werden.
5. Zugangssystem nach Anspruch 4, dadurch gekennzeichnet, dass in den mindestens zwei Speichern (231, 301) gespeicherte Daten bei manipulationsfreiem
Betrieb des Zugangssystem unterschiedlich sind und einen gewährten Zugang charakterisierende
Daten (L2, L3, L5) in dem Speicher (231) der Außeneinheit (2) zu einen gewährten Zugang
charakterisierende Daten (L3, L4) in dem Speicher (301) der Steuereinheit (301) verschieden
sind.
6. Zugangssystem nach Anspruch 5,
dadurch gekennzeichnet, dass
- die Außeneinheit (2) dazu ausgebildet und vorgesehen ist, bei einem gewährten Zugang
in Ihrem Speicher (231) einen Zeitstempel (L1) zusammen mit einer Benutzer-ID (L3)
und/oder einem erfassten Fingerabdruck abzuspeichern, und/oder
- die Steuereinheit (3) dazu ausgebildet und vorgesehen ist, bei einem gewährten Zugang
in ihrem Speicher (301) einen Zeitstempel (L1) zusammen mit einer Information über
ein durch das Steuersignal geschaltetes Relais (R1, R2) zu speichern..
7. Zugangssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass in der Steuereinheit (3) und der Außeneinheit (2) jeweils ein flüchtiger Speicher
(233, 303) zur fortlaufenden Aktualisierung der jeweiligen Zeitinformation vorgesehen
ist, und das Zugangssystem (1) dazu ausgebildet und vorgesehen ist, bei einer Synchronisation
eine Zeitinformation der Außeneinheit (2) in dem flüchtigen Speicher (303) der Steuereinheit
(3) abzuspeichern.
8. Zugangssystem nach Anspruch 7, dadurch gekennzeichnet, dass die Steuereinheit (3) zusätzlich mindestens einen nicht-flüchtigen Speicher (301)
aufweist und eingerichtet ist, bei einer Synchronisation die von der Außeneinheit
(2) empfangene Zeitinformationen auch in dem nicht-flüchtigen Speicher (301) abzuspeichern.
9. Zugangssystem nach Anspruch 7 oder 8,
dadurch gekennzeichnet, dass die Steuereinheit (3) eine Steuerlogik (300) aufweist, die eingerichtet ist,
- bei einer Unterbrechung einer Stromversorgung für das Zugangssystem (1) oder nur
für die Außeneinheit (2) und/oder die Steuereinheit (3) eine Zeitinformation in einem
nicht-flüchtigen Speicher (301) abzuspeichern und/oder
- nach einer Unterbrechung einer Stromversorgung für die Außeneinheit (2) - zur Synchronisation
der Zeitinformationen - automatisch eine Zeitinformation der Steuereinheit (3) an
die Außeneinheit (2) zu übertragen.
10. Zugangssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Eingabeeinrichtung (21) der Außeneinheit (2) dazu ausgebildet und vorgesehen
ist, mindestens ein biometrisches Charakteristikum eines Benutzers als Benutzerkennung
zu erfassen, insbesondere einen Fingerabdruck.
11. Zugangssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Zugangssystem (1) eine Schnittstelle für die drahtlose Übermittlung von Daten,
insbesondere eine Infrarot-Schnittstelle aufweist, über die Daten zur Initialisierung
einer Anfangszeit übertragbar sind.
12. Zugangssystem nach Anspruch 11, dadurch gekennzeichnet, dass zur Initialisierung der Anfangszeit eine Fernbedienung (F) vorgesehen ist, über die
Daten an eine an der Außeneinheit (2) vorgesehene Schnittstelle übertragbar sind,
und/oder das Zugangssystem (1) eingerichtet ist, die Initialisierung einer Anfangszeit
erst zu gestatten, nachdem ein berechtigter Benutzer erkannt wurde.
13. Zugangssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Außeneinheit (2) und die Steuereinheit (3) über eine Signalleitung (LT) miteinander
verbunden sind, die zwischen der Außeneinheit (2) und der Steuereinheit (3) zwei über
eine Steckerverbindung (4) miteinander verbundene Teile aufweist.
14. Zugangssystem nach Anspruch 13, dadurch gekennzeichnet, dass eine Ausleseeinheit (9) vorgesehen ist, die mit der Außeneinheit (2) und/oder der
Steuereinheit (3) verbindbar ist, um in einem Speicher (231) der Außeneinheit (2)
und/oder in einem Speicher (301) der Steuereinheit (3) gespeicherte Daten über gewährte
Zugänge auszulesen. und die Steckerverbindung (4) zwei miteinander verbundene Verbindungsstücke
(4a, 4b) aufweist und die Ausleseeinheit (9) ein erstes und ein zweites Anschlussstück
(9a, 9b) aufweist, wobei das erste Anschlussstück (9a) mit einem ersten Verbindungsstück
(4a) der Steckerverbindung (4) und das zweite Anschlussstück mit einem zweiten Verbindungsstück
(4b) der Steckerverbindung (4) verbindbar ist, um Daten aus einem oder mehreren Speichern
(231, 301) auszulesen.
15. Verfahren zum Betrieb eines elektronischen Zugangssystems, insbesondere eines Zugangssystems
nach einem der Ansprüche 1 bis 14, bei dem
- eine Außeneinheit (2) mit einer Eingabeeinrichtung (21) und einer Auswertelogik
(23) vorgesehen ist, wobei über die Auswertelogik (23) eine mittels der Eingabeeinrichtung
(21) erfasste Benutzerkennung mit wenigstens einer Referenz verglichen wird, um anhand
des Vergleichs zu bewerten, ob die erfasste Benutzerkennung zu einem Zugang berechtigt
oder nicht, und
- eine Steuereinheit (3) vorgesehen ist, die von der Außeneinheit (2) ein Freigabesignal
empfängt, wenn die erfasste Benutzerkennung zu einem Zugang berechtigt, und in Reaktion
hierauf ein Steuersignal erzeugt, infolge dessen einem Benutzer des Zugangssystems
(1) Zugang gewährt wird,
dadurch gekennzeichnet, dass
- sowohl die Außeneinheit (2) als auch die Steuereinheit (3) einen Taktgeber (232,
302) zur Erzeugung einer Zeitinformation aufweisen und die Zeitinformationen der beiden
Taktgeber (232, 302) miteinander synchronisiert werden, um einen abgeglichenen internen
Zeitstempel für das Zugangssystem (1) bereitzustellen, und/oder
- sowohl in der Außeneinheit (2) als auch in der Steuereinheit (3) mindestens ein
Speicher (231, 301) vorgesehen ist, in dem jeweils wenigstens mit einem Zeitstempel
(L1) versehene Daten (L2 - L5) zu gewährten Zugängen gespeichert werden.