專(zhuān)利名稱:人員輸送機(jī)控制系統(tǒng)的訪問(wèn)控制系統(tǒng)和訪問(wèn)控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及人員輸送機(jī)控制系統(tǒng)的訪問(wèn)控制系統(tǒng)(access control system)��,和人員輸送機(jī)控制系統(tǒng)的訪問(wèn)控制方法�����。
背景技術(shù):
現(xiàn)今像電梯����、自動(dòng)扶梯或移動(dòng)步道的人員輸送機(jī)的操作典型地由電子控制系統(tǒng)控制����,該電子控制系統(tǒng)包括至少一個(gè)微控制器但通常包括若干個(gè)互相通信并且由主控制器控制的微控制器����,和像RAM/ROM存儲(chǔ)器����、接口��、I/O裝置、總線系統(tǒng)等對(duì)應(yīng)的外圍���。這樣的人員輸送機(jī)控制系統(tǒng)的維護(hù)典型地要求執(zhí)行特定的程序以及因此的與輸送機(jī)控制系統(tǒng)的交互以及輸送機(jī)控制系統(tǒng)的操縱�。越來(lái)越多用于執(zhí)行維護(hù)操作的外部維護(hù)工具被使用�,其經(jīng)由適合的連接器與該輸送機(jī)控制系統(tǒng)通信����,并且從外面訪問(wèn)該人員輸送機(jī)控制系統(tǒng)以進(jìn)行各種維護(hù)例程和操縱存儲(chǔ)在該輸送機(jī)控制系統(tǒng)中的操作參數(shù)。外部維護(hù)工具常常是基于PC 的計(jì)算機(jī)裝置,例如膝上型計(jì)算機(jī)或掌中機(jī)(palm)����。強(qiáng)烈期望將為了維護(hù)目的的對(duì)輸送機(jī)控制系統(tǒng)的訪問(wèn)限制于僅合格和授權(quán)的人員,并且此外僅對(duì)于具體專(zhuān)用的維護(hù)例程。維護(hù)通常要求對(duì)輸送機(jī)控制系統(tǒng)的專(zhuān)有操作數(shù)據(jù)的訪問(wèn)和這樣的數(shù)據(jù)的操縱,因此維護(hù)不僅要求對(duì)輸送機(jī)控制系統(tǒng)的讀取訪問(wèn)�,還要求讀取和寫(xiě)入訪問(wèn)兩者��。維護(hù)進(jìn)一步常常要求執(zhí)行非常特殊的操作程序(例如���,用于校準(zhǔn)新裝置或測(cè)試像制動(dòng)器的關(guān)鍵裝置的性能的輸送機(jī)以特定速度并且采用特定移動(dòng)模式的測(cè)試運(yùn)行)����。顯然這樣的操作程序要嚴(yán)格保持為對(duì)未授權(quán)用戶不可訪問(wèn)。密碼可以用于限制對(duì)輸送機(jī)控制系統(tǒng)的至少關(guān)于對(duì)于維護(hù)有關(guān)的那些功能和/ 或數(shù)據(jù)(在下面這樣的數(shù)據(jù)/功能將也叫做維護(hù)數(shù)據(jù)/功能)的訪問(wèn)的準(zhǔn)許�。然而����,密碼在一方面是不方便的���,因?yàn)槊艽a必須分別指派給特定輸送機(jī)設(shè)備��,并且服務(wù)人員必須記住要用于特定設(shè)備的密碼。這限制了可以使用的密碼的數(shù)目并且要求使用不能容易改變的簡(jiǎn)單的可能非唯一的密碼��。找出這些密碼將是比較容易的�����,并且因此僅可以實(shí)現(xiàn)專(zhuān)有控制軟件的低級(jí)保護(hù)����。備選地���,可以使用更復(fù)雜的密碼或甚至加密密鑰�����。為了效率的目的����,這樣的密碼/加密密鑰將必須采用與外部工具有關(guān)的一些形式存儲(chǔ)。然而,這樣的方式導(dǎo)致嚴(yán)重的數(shù)據(jù)安全問(wèn)題,因?yàn)橛捎谕獠抗ぞ呤腔赑C的裝置�����,對(duì)于未授權(quán)人員從外部工具的存儲(chǔ)器讀出這樣的密碼/加密密鑰不是太難的�。相似的問(wèn)題適用于任何加密方式���,只要密鑰要存儲(chǔ)在基于PC的外部裝置中即可�����。已知通過(guò)使用待插入提供在電梯的某處(例如在控制面板)的對(duì)應(yīng)插槽的存儲(chǔ)器卡來(lái)準(zhǔn)許對(duì)電梯控制系統(tǒng)的訪問(wèn)����,參見(jiàn)例如EP0615945 Al���。插入存儲(chǔ)關(guān)于要執(zhí)行的維護(hù)程序的信息和相關(guān)參數(shù)的存儲(chǔ)器卡���,允許從該存儲(chǔ)器卡讀取用于執(zhí)行維護(hù)操作的相關(guān)數(shù)據(jù)進(jìn)入該電梯控制系統(tǒng)����,并且因此維護(hù)程序的控制可以通過(guò)簡(jiǎn)單地將對(duì)于在特定電梯設(shè)備提供期望的維護(hù)操作所需要的存儲(chǔ)器卡交給服務(wù)人員實(shí)現(xiàn)。然而,如果存儲(chǔ)器卡丟失�����,其上的數(shù)據(jù)將使任何人員能夠具有對(duì)電梯控制的訪問(wèn)。此外���,同時(shí)存在有效程序�,通過(guò)該有效程序在這樣的存儲(chǔ)器卡上的數(shù)據(jù)結(jié)構(gòu)可以由未授權(quán)人員讀出。
提高防止對(duì)人員輸送機(jī)的控制系統(tǒng)的未授權(quán)訪問(wèn)的可能性將是有益的����。如果這樣的未授權(quán)訪問(wèn)的防止是更安全的但仍然不牽涉實(shí)際使用中顯著更多的努力,這將是特別有益的���。
發(fā)明內(nèi)容
本發(fā)明的示范性實(shí)施例提供人員輸送機(jī)控制系統(tǒng)的訪問(wèn)控制系統(tǒng),其包括適用于與人員輸送機(jī)控制系統(tǒng)通信(直接地或經(jīng)由至少一個(gè)另外的裝置間接地)的驗(yàn)證證明裝置�,所述驗(yàn)證證明裝置具有被保護(hù)免于由外部應(yīng)用讀取和寫(xiě)入訪問(wèn)的讀取受保護(hù)存儲(chǔ)器和中央處理器單元(CPU)���,所述驗(yàn)證證明裝置在它的讀取受保護(hù)存儲(chǔ)器中存儲(chǔ)程序代碼以用于響應(yīng)于來(lái)自所述人員輸送機(jī)控制系統(tǒng)的檢驗(yàn)請(qǐng)求而執(zhí)行檢驗(yàn)程序�,并且發(fā)送檢驗(yàn)信號(hào)到所述人員輸送機(jī)控制系統(tǒng),所述人員輸送機(jī)控制系統(tǒng)響應(yīng)于所述檢驗(yàn)信號(hào)的接收而選擇性地允許或拒絕對(duì)所述人員輸送機(jī)控制系統(tǒng)的特定部分和/或?qū)υ谒鋈藛T輸送機(jī)控制系統(tǒng)中實(shí)現(xiàn)的特定功能的訪問(wèn)����。另一個(gè)示范性實(shí)施例提供用于控制對(duì)人員輸送機(jī)控制系統(tǒng)的訪問(wèn)的方法��,其包括步驟提供具有被保護(hù)免于由外部應(yīng)用讀取和寫(xiě)入訪問(wèn)的讀取受保護(hù)存儲(chǔ)器和中央處理器單元CPU的驗(yàn)證證明裝置�;在所述驗(yàn)證證明裝置的所述讀取受保護(hù)存儲(chǔ)器中存儲(chǔ)程序代碼以用于響應(yīng)于檢驗(yàn)請(qǐng)求執(zhí)行檢驗(yàn)程序,并且輸出檢驗(yàn)信號(hào)�;使所述驗(yàn)證證明裝置與所述人員輸送機(jī)控制系統(tǒng)通信(直接地或經(jīng)由至少一個(gè)另外的裝置間接地);從所述人員輸送機(jī)控制系統(tǒng)發(fā)送檢驗(yàn)請(qǐng)求到所述驗(yàn)證證明裝置�����;在所述驗(yàn)證證明裝置中����,響應(yīng)于所述檢驗(yàn)請(qǐng)求的接收,確定檢驗(yàn)信號(hào)����,并且發(fā)送所述檢驗(yàn)信號(hào)到所述人員輸送機(jī)控制系統(tǒng)�;并且在所述人員輸送機(jī)控制系統(tǒng)中�����,響應(yīng)于所述檢驗(yàn)信號(hào)的接收,選擇性地允許或拒絕對(duì)所述人員輸送機(jī)控制系統(tǒng)的特定部分和/或?qū)υ谒鋈藛T輸送機(jī)控制系統(tǒng)中實(shí)現(xiàn)的特定功能的訪問(wèn)����。
本發(fā)明的示范性實(shí)施例將在下文參照附圖更詳細(xì)地描述。圖1示出圖示在外部工具不能執(zhí)行檢驗(yàn)程序情況時(shí)的人員輸送機(jī)的控制系統(tǒng)和請(qǐng)求對(duì)該輸送機(jī)控制系統(tǒng)的訪問(wèn)的該外部工具之間的通信的示意和簡(jiǎn)化框圖�;圖2示出圖示人員輸送機(jī)的控制系統(tǒng)和請(qǐng)求對(duì)該輸送機(jī)控制系統(tǒng)的訪問(wèn)的外部工具之間的通信的與圖1相似的示意和簡(jiǎn)化框圖����,其中該外部工具經(jīng)由通過(guò)型軟件保護(hù)器裝置(pass-through dongle device)連接到該輸送機(jī)控制系統(tǒng)����;圖3示出圖示人員輸送機(jī)的控制系統(tǒng)和請(qǐng)求對(duì)該輸送機(jī)控制系統(tǒng)的訪問(wèn)的外部基于PC的工具之間的通信的與圖1和2相似的示意和簡(jiǎn)化框圖���,其中附加軟件保護(hù)器裝置連接到該外部工具��;圖4示出圖示人員輸送機(jī)的控制系統(tǒng)和請(qǐng)求對(duì)該輸送機(jī)控制系統(tǒng)的訪問(wèn)的外部工具之間的通信的與圖1至3相似的示意和簡(jiǎn)化框圖,其中該外部工具包括驗(yàn)證證明裝置�。在所有圖中,相同的或具有對(duì)應(yīng)功能的相應(yīng)實(shí)施例的部件由相同標(biāo)號(hào)表示。在下列描述中�����,這樣的部件僅關(guān)于包括這樣的部件的實(shí)施例中的一個(gè)描述�����。要理解相同的描述在其中包括相同的部件并且由相同標(biāo)號(hào)表示相同部件的相應(yīng)下列實(shí)施例中應(yīng)用��。在這個(gè)范圍�����,除非有對(duì)相反情況陳述任何內(nèi)容����,它一般指該部件在相應(yīng)較前面的實(shí)施例中的對(duì)應(yīng)描述�。
具體實(shí)施例方式所有圖1至4示出示意和簡(jiǎn)化框圖����,其分別圖示例如電梯��、自動(dòng)扶梯或移動(dòng)步道的人員輸送機(jī)的控制系統(tǒng)10和請(qǐng)求對(duì)該輸送機(jī)控制系統(tǒng)的訪問(wèn)的例如維護(hù)工具的外部工具 12或18之間的通信��。在所有圖1至4中�,外部工具12或18和輸送機(jī)控制系統(tǒng)10之間交換的通信由按通信交換的順序編號(hào)的粗體箭頭標(biāo)記。圖1示出其中外部工具12請(qǐng)求對(duì)輸送機(jī)控制系統(tǒng)10的訪問(wèn)的情況����,在這樣的方式中請(qǐng)求對(duì)不要求任何驗(yàn)證的未受保護(hù)部分和要求驗(yàn)證的受保護(hù)部分兩者的訪問(wèn)��,如由箭頭(1)指示的�。箭頭Oa)指示對(duì)未受保護(hù)部分的訪問(wèn)由輸送機(jī)控制系統(tǒng)10允許���。在允許對(duì)受保護(hù)部分的訪問(wèn)之前�����,輸送機(jī)控制系統(tǒng)10發(fā)送檢驗(yàn)計(jì)算的請(qǐng)求到外部工具12。因?yàn)樵趫D1中的外部工具12不包括任何用于執(zhí)行所請(qǐng)求的檢驗(yàn)計(jì)算的裝置,它不能發(fā)送正確的檢驗(yàn)信號(hào)到輸送機(jī)控制系統(tǒng)10�����。因此輸送機(jī)控制系統(tǒng)拒絕對(duì)受保護(hù)部分的訪問(wèn),如由箭頭 ⑶指示的���。圖2示出與圖1相同的情況�����,然而����,在圖2中外部工具12 (再次不包括任何用于響應(yīng)于由輸送機(jī)控制系統(tǒng)10的對(duì)應(yīng)請(qǐng)求而執(zhí)行檢驗(yàn)計(jì)算的裝置)經(jīng)由通過(guò)型軟件保護(hù)器裝置14間接連接到輸送機(jī)控制系統(tǒng)10����。該通過(guò)型軟件保護(hù)器裝置可包括具有串聯(lián)連接的第一和第二端子(例如采用USB連接器的形式)的“經(jīng)典”軟件保護(hù)器�。例如采用智能卡或無(wú)線通信裝置的形式的通過(guò)型軟件保護(hù)器14的其他實(shí)現(xiàn)是可能的��。軟件保護(hù)器14包括處理器和程序代碼��,其允許軟件保護(hù)器14對(duì)至少在它的連接到輸送機(jī)控制系統(tǒng)10的第一端子接收的數(shù)據(jù)監(jiān)視指示請(qǐng)求檢驗(yàn)計(jì)算的預(yù)定數(shù)據(jù)序列的存在�。用于在具有期望的數(shù)據(jù)格式的其他數(shù)據(jù)流內(nèi)包括并且識(shí)別這樣的數(shù)據(jù)序列的技術(shù)是已知的�����,例如可以應(yīng)用如在 US5848155和US5915155中描述的所謂的“數(shù)字水印”���。除非接收到該預(yù)定數(shù)據(jù)序列����,軟件保護(hù)器14將不改變?cè)谒牡谝欢俗咏邮盏臄?shù)據(jù)��,使得這些數(shù)據(jù)將無(wú)改變地通過(guò)軟件保護(hù)器14��。當(dāng)識(shí)別到預(yù)定數(shù)據(jù)序列(指示如由箭頭Ob)指示的檢驗(yàn)計(jì)算的請(qǐng)求)時(shí),軟件保護(hù)器14將中斷從第一端子到第二端子的數(shù)據(jù)傳輸�,并且發(fā)起檢驗(yàn)信號(hào)的計(jì)算(參見(jiàn)箭頭 (3))���。該檢驗(yàn)信號(hào)將從第一端子發(fā)送回到輸送機(jī)控制系統(tǒng)10 (參見(jiàn)箭頭G))�����。當(dāng)接收該檢驗(yàn)信號(hào)時(shí),輸送機(jī)控制系統(tǒng)10判定驗(yàn)證是否是成功的(在該情況下它將準(zhǔn)許訪問(wèn)���,參見(jiàn)箭頭(5))�,或判定另外的檢驗(yàn)計(jì)算是否將是必須的(在該情況下它將根據(jù)箭頭Ob)發(fā)送另一個(gè)檢驗(yàn)計(jì)算的請(qǐng)求���,并且程序箭頭(3)���、箭頭(4)將重復(fù))。由于在準(zhǔn)許訪問(wèn)后從控制器10 發(fā)送到軟件保護(hù)器14的數(shù)據(jù)不包含預(yù)定序列�����,這些數(shù)據(jù)將無(wú)改變地從軟件保護(hù)器14的第一端子傳遞到第二端子�。關(guān)于由軟件保護(hù)器14的第二端子(連接到外部工具1 接收的數(shù)據(jù),如果軟件保護(hù)器14將一直無(wú)改變地傳遞這樣的數(shù)據(jù)到它的第一端子���,它將足夠使得這些數(shù)據(jù)將無(wú)改變地在輸送機(jī)控制系統(tǒng)10接收。如果需要�,可以應(yīng)用與上文描述的關(guān)于在第一端子接收的數(shù)據(jù)的程序相似的程序�����。通過(guò)在外部工具12和輸送機(jī)控制系統(tǒng)10中間互連通過(guò)型軟件保護(hù)器14��,任何基本上沒(méi)有針對(duì)對(duì)現(xiàn)代輸送機(jī)控制系統(tǒng)10的訪問(wèn)(牽涉根據(jù)訪問(wèn)權(quán)的專(zhuān)用結(jié)構(gòu)的對(duì)控制系統(tǒng)的訪問(wèn)的管理)所裝備的較舊的維護(hù)工具12仍然可以用于提供維護(hù)的目的�。對(duì)準(zhǔn)許對(duì)輸送機(jī)控制系統(tǒng)10的訪問(wèn)并且如果需要?jiǎng)t中斷數(shù)據(jù)流所必需的程序包括在軟件保護(hù)器裝置14中�。圖3示出圖示用于準(zhǔn)許對(duì)人員輸送機(jī)的控制系統(tǒng)的訪問(wèn)的軟件保護(hù)器裝置16的使用的另一個(gè)形式的與圖1和2相似的示意和簡(jiǎn)化框圖�。在圖3中��,外部工具12是基于PC 的工具(例如����,具有在其上實(shí)現(xiàn)的標(biāo)準(zhǔn)操作系統(tǒng)的膝上型計(jì)算機(jī))���,并且用于實(shí)現(xiàn)訪問(wèn)權(quán)的管理���,附加軟件保護(hù)器裝置16在不同于基于PC的工具12到輸送機(jī)控制系統(tǒng)10的連接的端子處連接到外部基于PC的工具12��。如可以從圖3看到的���,如果檢驗(yàn)計(jì)算的請(qǐng)求由基于 PC的工具12接收(箭頭Ob)),基于PC的工具12將該請(qǐng)求重新引導(dǎo)到附加軟件保護(hù)器裝置16 (箭頭(3))����。附加軟件保護(hù)器裝置16當(dāng)接收檢驗(yàn)計(jì)算的請(qǐng)求時(shí)��,計(jì)算檢驗(yàn)信號(hào)(箭頭 (4))并且將該檢驗(yàn)信號(hào)發(fā)送回到基于PC的工具(箭頭(5))?����;赑C的工具12然后將該檢驗(yàn)信號(hào)重新引導(dǎo)到輸送機(jī)控制系統(tǒng)(箭頭(6))�����。當(dāng)接收到該檢驗(yàn)信號(hào)時(shí)��,輸送機(jī)控制系統(tǒng)10判定是否準(zhǔn)許訪問(wèn)(箭頭(7))或判定另外的檢驗(yàn)計(jì)算請(qǐng)求是否發(fā)送到基于PC的工具12����,由此重復(fù)根據(jù)箭頭(2b), (3)、(4)�����、(5)����、(6)的步驟的序列�����。在該實(shí)施例中��,基于PC 的工具12到輸送機(jī)控制系統(tǒng)10的連接保持不變,因?yàn)閷?duì)于進(jìn)行檢驗(yàn)計(jì)算必需的軟件保護(hù)器裝置16不直接與輸送機(jī)控制系統(tǒng)10通信��,而僅與基于PC的工具12直接通信���。這要求用于識(shí)別檢驗(yàn)信號(hào)的計(jì)算的請(qǐng)求的程序代碼在基于PC的工具12上實(shí)現(xiàn)�,并且不在附加軟件保護(hù)器裝置16上實(shí)現(xiàn)����。此外�����,輸送機(jī)控制系統(tǒng)10將采用這樣的方式實(shí)現(xiàn)使得沒(méi)有專(zhuān)有數(shù)據(jù)被發(fā)送出去(除非檢驗(yàn)程序已經(jīng)成功完成)(注意��,利用圖2中的實(shí)施例在原理上輸送機(jī)控制系統(tǒng)10可以與檢驗(yàn)計(jì)算的請(qǐng)求一起發(fā)送任何專(zhuān)有數(shù)據(jù),因?yàn)橥ㄟ^(guò)型軟件保護(hù)器裝置14將停止任何數(shù)據(jù)傳輸���,只要它識(shí)別出檢驗(yàn)計(jì)算的請(qǐng)求即可)����。同樣圖3的附加軟件保護(hù)器裝置16可以采用智能卡的形式或采用任何適合的移動(dòng)通信裝置的形式實(shí)現(xiàn)為“經(jīng)典”軟件保護(hù)器���。圖4示出圖示人員輸送機(jī)的控制系統(tǒng)10和請(qǐng)求對(duì)該輸送機(jī)控制系統(tǒng)10的訪問(wèn)的外部工具18之間的通信的與圖1至3相似的示意和簡(jiǎn)化框圖��,其中該外部工具18包括內(nèi)部驗(yàn)證證明裝置20���。該驗(yàn)證證明裝置20可以具有對(duì)應(yīng)于在圖2中示出的外部通過(guò)型軟件保護(hù)器裝置14的配置或?qū)?yīng)于在圖3中示出的外部附加軟件保護(hù)器裝置16的配置。如上文概述的�����,本文描述的實(shí)施例允許防止對(duì)人員輸送機(jī)的控制系統(tǒng)的未授權(quán)訪問(wèn)���。特別地關(guān)于已知方式�,這樣的未授權(quán)訪問(wèn)的防止可以是更安全的����,但仍然不要求實(shí)際使用中顯著更多的努力����。本發(fā)明的示范性實(shí)施例提供人員輸送機(jī)控制系統(tǒng)的訪問(wèn)控制系統(tǒng)�����,包括適用于與人員輸送機(jī)控制系統(tǒng)(例如��,與其的I/O部分)通信(直接地或經(jīng)由至少一個(gè)另外的裝置間接地)的驗(yàn)證證明裝置�����,該驗(yàn)證證明裝置具有被保護(hù)免于由外部應(yīng)用讀取和寫(xiě)入訪問(wèn)的讀取受保護(hù)存儲(chǔ)器和中央處理器單元(CPU)���,所述驗(yàn)證證明裝置在它的讀取受保護(hù)存儲(chǔ)器中存儲(chǔ)程序代碼以用于響應(yīng)于來(lái)自該人員輸送機(jī)控制系統(tǒng)的檢驗(yàn)請(qǐng)求執(zhí)行檢驗(yàn)程序,并且發(fā)送檢驗(yàn)信號(hào)到所述人員輸送機(jī)控制系統(tǒng)�����,該人員輸送機(jī)控制系統(tǒng)響應(yīng)于該檢驗(yàn)信號(hào)的接收而選擇性地允許或拒絕對(duì)該人員輸送機(jī)控制系統(tǒng)的特定部分和/或?qū)υ谠撊藛T輸送機(jī)控制系統(tǒng)中實(shí)現(xiàn)的特定功能的訪問(wèn)����。對(duì)人員輸送機(jī)控制系統(tǒng)的特定部分的訪問(wèn)可牽涉讀出存儲(chǔ)在輸送機(jī)控制系統(tǒng)中的數(shù)據(jù)和/或?qū)?shù)據(jù)寫(xiě)入輸送機(jī)控制系統(tǒng),甚至替換現(xiàn)有數(shù)據(jù)���。對(duì)在人員輸送機(jī)控制系統(tǒng)中實(shí)現(xiàn)的特定功能的訪問(wèn)可牽涉調(diào)用特定控制例程���,使得這些例程由輸送機(jī)控制系統(tǒng)執(zhí)行���。驗(yàn)證證明裝置可包括讀取受保護(hù)存儲(chǔ)器,其中存儲(chǔ)的軟件代碼使驗(yàn)證證明裝置當(dāng)接收到檢驗(yàn)請(qǐng)求時(shí)能夠執(zhí)行檢驗(yàn)響應(yīng)的計(jì)算�。特別地,該受保護(hù)存儲(chǔ)器可被保護(hù)以阻止由外部應(yīng)用的任何訪問(wèn)�,即阻止寫(xiě)入訪問(wèn)以及阻止讀取訪問(wèn)。相似地��,驗(yàn)證證明裝置的CPU可以是不可由任何外部應(yīng)用訪問(wèn)的����,由此形成受保護(hù)的微控制器部分。訪問(wèn)的阻擋可由硬件良好地實(shí)現(xiàn)��,例如通過(guò)使用讀取和/或?qū)懭胧鼙Wo(hù)存儲(chǔ)器電路以及甚至一次性可編程存儲(chǔ)器電路�,和通過(guò)將數(shù)據(jù)總線限制于在驗(yàn)證證明裝置的CPU和受保護(hù)存儲(chǔ)器之間的通信來(lái)實(shí)現(xiàn)。對(duì)于檢驗(yàn)請(qǐng)求的接收和根據(jù)計(jì)算的檢驗(yàn)響應(yīng)的檢驗(yàn)信號(hào)的輸出��,在實(shí)施例中驗(yàn)證證明裝置可以提供有一個(gè)或多個(gè)具體專(zhuān)用I/O端口�����,該I/O端口具有鎖定功能,即數(shù)據(jù)可以從受保護(hù)存儲(chǔ)器/受保護(hù)微控制器部分和/或從輸送機(jī)控制系統(tǒng)進(jìn)入I/O端口���,并且數(shù)據(jù)可以由受保護(hù)存儲(chǔ)器/受保護(hù)微控制器部分和/或由輸送機(jī)控制系統(tǒng)從I/O端口讀取���,但這樣的數(shù)據(jù)的交換經(jīng)由不同于使驗(yàn)證證明裝置的CPU和受保護(hù)存儲(chǔ)器通信的受保護(hù)微控制器部分的內(nèi)部數(shù)據(jù)總線的數(shù)據(jù)鏈路實(shí)現(xiàn)。這樣的概念的許多各種實(shí)現(xiàn)對(duì)于技術(shù)人員是容易得到的�����。在實(shí)施例中人員輸送機(jī)控制系統(tǒng)可包括至少一個(gè)微控制器�,其具有包括CPU和至少一個(gè)讀取受保護(hù)存儲(chǔ)器(包括RAM和ROM部分)的受保護(hù)部分����,并且具有至少一個(gè)I/O部分,特別地是串行I/O部分和/或無(wú)線通信(例如����,藍(lán)牙或RFID) I/O部分。該微控制器的受保護(hù)部分可包括至少一個(gè)密碼處理器(cryptoprocessor)��,特別地是非對(duì)稱密碼處理器�。在另外的實(shí)施例中檢驗(yàn)的請(qǐng)求可包括來(lái)自人員輸送機(jī)控制系統(tǒng)的輸入數(shù)據(jù),該輸入數(shù)據(jù)對(duì)于人員輸送機(jī)控制系統(tǒng)是特定的(例如��,指輸送機(jī)控制系統(tǒng)和/或輸送機(jī)設(shè)備的序列號(hào))。在描述的實(shí)施例中���,輸送機(jī)控制系統(tǒng)允許根據(jù)驗(yàn)證程序從外部裝置或外部應(yīng)用訪問(wèn)��,即外部裝置或外部應(yīng)用必須響應(yīng)于特定的檢驗(yàn)請(qǐng)求而提供檢驗(yàn)信號(hào)�。該響應(yīng)信號(hào)將典型地牽涉基于由輸送機(jī)控制系統(tǒng)與檢驗(yàn)請(qǐng)求一起提供的特定輸入數(shù)據(jù)的計(jì)算��。如果驗(yàn)證證明裝置包括密碼處理器��,這樣的計(jì)算可以在驗(yàn)證證明裝置中完成���,并且僅檢驗(yàn)請(qǐng)求和檢驗(yàn)信號(hào)必須傳送(如果需要的話采用加密形式)��。檢驗(yàn)程序可使用非對(duì)稱加密方案�,其使用專(zhuān)用和公共密鑰�����。檢驗(yàn)請(qǐng)求可以根據(jù)從外部裝置或外部應(yīng)用接收的對(duì)輸送機(jī)控制系統(tǒng)的訪問(wèn)的請(qǐng)求的特定級(jí)別來(lái)確定�。這樣,管理響應(yīng)于特定的訪問(wèn)請(qǐng)求的關(guān)于輸送機(jī)控制系統(tǒng)的各種部分的訪問(wèn)的準(zhǔn)許是可能的�。例如,輸送機(jī)控制系統(tǒng)可適用于準(zhǔn)許由外部裝置或外部應(yīng)用的限制形式的訪問(wèn)而不需要有任何檢驗(yàn)程序(這樣的訪問(wèn)可以是對(duì)人員輸送機(jī)的普通使用的訪問(wèn),或在緊急情況下將輸送機(jī)帶到安全位置的訪問(wèn))��。例如用于執(zhí)行預(yù)定維護(hù)程序或用于實(shí)現(xiàn)輸送機(jī)的預(yù)定另外操作功能的其他形式的訪問(wèn)可僅響應(yīng)于有效檢驗(yàn)信號(hào)的接收而被允許��。本文公開(kāi)的訪問(wèn)控制系統(tǒng)和對(duì)應(yīng)的訪問(wèn)控制方法的實(shí)施例可應(yīng)用于像電梯�、自動(dòng)扶梯或移動(dòng)步道的各種類(lèi)型的人員輸送機(jī)。驗(yàn)證證明裝置可以是可連接到外部裝置的,例如便攜維護(hù)工具,該外部裝置是適用于訪問(wèn)輸送機(jī)控制系統(tǒng)和操縱存儲(chǔ)在輸送機(jī)控制系統(tǒng)中的數(shù)據(jù)和/或調(diào)用在輸送機(jī)控制系統(tǒng)中實(shí)現(xiàn)的功能的物理上外部的裝置�。
如在該公開(kāi)中使用的數(shù)據(jù)除其他之外可指人員輸送機(jī)系統(tǒng)的操作參數(shù)��。如在該公開(kāi)中使用的輸送機(jī)控制系統(tǒng)的維護(hù)功能可基本上指用于執(zhí)行人員輸送機(jī)的維護(hù)和測(cè)試目的的特定程序的操作例程�����,像在試運(yùn)轉(zhuǎn)時(shí)的校準(zhǔn)運(yùn)行����、用于測(cè)試制動(dòng)性能的運(yùn)行等�����。此外本公開(kāi)可應(yīng)用于人員輸送機(jī)控制系統(tǒng)的所謂的“附加功能”的激活和/或去激活�,其啟用/禁用人員輸送機(jī)的超出標(biāo)準(zhǔn)操作功能之外的操作功能�����。驗(yàn)證證明裝置可適用于使用專(zhuān)用密鑰和公共密鑰執(zhí)行(如果需要的話則借助于密碼處理器)非對(duì)稱加密/解密程序。特別地�����,在該情況下驗(yàn)證證明裝置可將指派給至少一個(gè)公共密鑰的至少一個(gè)專(zhuān)用密鑰存儲(chǔ)在它的讀取受保護(hù)存儲(chǔ)器中�����。該公共密鑰對(duì)于輸送機(jī)控制系統(tǒng)將是可得到的�,例如存儲(chǔ)在可由電梯控制系統(tǒng)訪問(wèn)以供讀取訪問(wèn)的驗(yàn)證證明裝置的存儲(chǔ)器中,或存儲(chǔ)在可由電梯控制系統(tǒng)訪問(wèn)的本地或遠(yuǎn)程數(shù)據(jù)庫(kù)中���。因?yàn)樵谶@樣的非對(duì)稱加密/解密程序中����,專(zhuān)用密鑰不能從對(duì)公共密鑰的了解推斷��,沒(méi)有必要保護(hù)公共密鑰�����, 并且因此公共密鑰可以經(jīng)由包括公共網(wǎng)絡(luò)的任何數(shù)據(jù)通信路徑交換��。專(zhuān)用密鑰僅存儲(chǔ)在讀取受保護(hù)存儲(chǔ)器中并且不能從該存儲(chǔ)器讀出。驗(yàn)證證明裝置可進(jìn)一步適用于響應(yīng)于來(lái)自人員輸送機(jī)控制系統(tǒng)的檢驗(yàn)請(qǐng)求執(zhí)行所謂的交互式證明驗(yàn)證程序����。交互式證明系統(tǒng)可在將計(jì)算模擬為在檢驗(yàn)機(jī)(在本情況下是輸送機(jī)控制系統(tǒng))和證明機(jī)(在本情況下是驗(yàn)證證明裝置)兩方之間的消息交換的抽象機(jī)的意義上理解。在本公開(kāi)的上下文中���,輸送機(jī)控制系統(tǒng)和驗(yàn)證證明裝置通過(guò)分別交換檢驗(yàn)請(qǐng)求和檢驗(yàn)信號(hào)而交互���,以便確定對(duì)輸送機(jī)控制系統(tǒng)的訪問(wèn)的給定請(qǐng)求是否被驗(yàn)證。檢驗(yàn)請(qǐng)求和檢驗(yàn)信號(hào)在輸送機(jī)控制系統(tǒng)和驗(yàn)證證明裝置之間重復(fù)發(fā)送��,直到輸送機(jī)控制系統(tǒng)已經(jīng)使它自己“確信”訪問(wèn)的請(qǐng)求被授權(quán)�。這樣的交互式方式的特性是為了驗(yàn)證目的,不要求任何通行短語(yǔ)的直接交換�����。相反�,這樣的通行短語(yǔ)一直保持在驗(yàn)證證明裝置的讀取受保護(hù)存儲(chǔ)器內(nèi)。典型的交互式證明驗(yàn)證程序可如下進(jìn)行在檢驗(yàn)請(qǐng)求中輸送機(jī)控制系統(tǒng)請(qǐng)求驗(yàn)證證明裝置基于由輸送機(jī)控制系統(tǒng)隨機(jī)選擇的輸入數(shù)據(jù)執(zhí)行特定計(jì)算����,并且發(fā)送該計(jì)算的結(jié)果(包括在檢驗(yàn)信號(hào)中)回到輸送機(jī)控制系統(tǒng)�。選擇請(qǐng)求的計(jì)算使得結(jié)果取決于輸入數(shù)據(jù)并且取決于存儲(chǔ)在驗(yàn)證證明裝置的讀取受保護(hù)存儲(chǔ)器中的特定通行短語(yǔ)�。該計(jì)算在驗(yàn)證證明裝置的讀取受保護(hù)CPU和存儲(chǔ)器內(nèi)執(zhí)行�。僅該計(jì)算的結(jié)果與檢驗(yàn)信號(hào)一起從驗(yàn)證證明裝置發(fā)送回到輸送機(jī)控制系統(tǒng)。該通行短語(yǔ)不供給到驗(yàn)證證明裝置的CPU/存儲(chǔ)器的讀取受保護(hù)部分的外面�。輸送機(jī)控制系統(tǒng)在接收檢驗(yàn)信號(hào)后能夠檢驗(yàn)計(jì)算的結(jié)果是否是正確的, 并且不能從檢驗(yàn)信號(hào)推斷通行短語(yǔ)���。當(dāng)僅執(zhí)行該程序一次時(shí)��,取決于計(jì)算的難度���,存在的可能性是不知道正確的通行短語(yǔ)的驗(yàn)證證明裝置仍然能夠偶然地產(chǎn)生正確結(jié)果,并且因此產(chǎn)生認(rèn)為是真實(shí)的檢驗(yàn)信號(hào) (在該情況下將產(chǎn)生假的授權(quán))�����。如果要求困難的計(jì)算���,這樣的偶然正確的結(jié)果的機(jī)會(huì)可以接近零����,但在更簡(jiǎn)單的計(jì)算的情況下該機(jī)會(huì)可以是高得多的��。通過(guò)重復(fù)如之前描述的交互式證明序列多次��,每次使用隨機(jī)選擇的不同輸入?yún)?shù),偶然成功授權(quán)的概率將隨著重復(fù)計(jì)算的次數(shù)的增加而減小���。因此如果交互式證明序列重復(fù)足夠的次數(shù)�����,適合類(lèi)型的計(jì)算的數(shù)目變得更大�。在特別實(shí)施例中��,驗(yàn)證證明裝置可適用于響應(yīng)于來(lái)自人員輸送機(jī)控制系統(tǒng)的檢驗(yàn)請(qǐng)求而執(zhí)行所謂的零知識(shí)交互式證明(ZKIP)驗(yàn)證程序����。這樣的零知識(shí)證明或零知識(shí)協(xié)議可由交互式程序?qū)崿F(xiàn),其中驗(yàn)證證明裝置計(jì)算(通常數(shù)學(xué)的)聲明(statement)�����,并且發(fā)送該聲明到輸送機(jī)控制系統(tǒng)����,其證明該聲明是否是真實(shí)的。除了該聲明的真實(shí)性或虛假性外���, 沒(méi)有另外的信息發(fā)送到輸送機(jī)控制系統(tǒng)��。存在實(shí)現(xiàn)零知識(shí)交互式證明檢驗(yàn)程序的若干方式�,例如在US4748668 (在1988年公開(kāi))和US4926479 (在1990年公開(kāi))的那些�����,其的公開(kāi)通過(guò)引用結(jié)合于此���。如上文描述的零知識(shí)交互式證明檢驗(yàn)程序的特別特性是沒(méi)有關(guān)于存儲(chǔ)在驗(yàn)證證明裝置的讀取受保護(hù)存儲(chǔ)器中的專(zhuān)用序列或?qū)S眉用苊荑€的知識(shí)可以從輸送機(jī)控制系統(tǒng)和驗(yàn)證證明裝置之間傳送的消息(特別地從檢驗(yàn)信號(hào))和存儲(chǔ)在輸送機(jī)控制系統(tǒng)的存儲(chǔ)器中的任何程序代碼推斷出�����。作為備選或另外的措施���,可以考慮任何其他非對(duì)稱加密方案,例如密碼序列通過(guò)公共或?qū)S妹荑€的加密和解密��。在實(shí)施例中�����,驗(yàn)證證明裝置可包括軟件保護(hù)器裝置和/或智能卡����。如本文使用的軟件保護(hù)器裝置可描述采用某個(gè)方式連接到人員輸送機(jī)控制系統(tǒng)并且能夠攜帶或形成對(duì)于人員輸送機(jī)控制系統(tǒng)的特定部分起作用所需要的任何物理電子密鑰或可轉(zhuǎn)移的ID的物理安全裝置(一件硬件)�����。根據(jù)該公開(kāi)的軟件保護(hù)器裝置可經(jīng)由有線連接(例如串行連接器)或經(jīng)由無(wú)線連接(例如����,使用藍(lán)牙或RFID技術(shù))連接到人員輸送機(jī)控制系統(tǒng)���。甚至可以想到����,這樣的軟件保護(hù)器裝置經(jīng)由有線或無(wú)線網(wǎng)絡(luò)遠(yuǎn)程地連接到人員輸送機(jī)控制系統(tǒng)���。這樣的網(wǎng)絡(luò)可是公共網(wǎng)絡(luò)����,像互聯(lián)網(wǎng)��,或?qū)S芯W(wǎng)絡(luò)�。最近,包括自己的中央處理單元和存儲(chǔ)器的智能卡已經(jīng)變得流行用于提供以前由 “經(jīng)典”軟件保護(hù)器提供的功能�,并且因此在本公開(kāi)的意義上可看作軟件保護(hù)器裝置。特別地利用智能卡,可實(shí)現(xiàn)像藍(lán)牙或RFID的無(wú)線連接技術(shù)���。智能卡的特別優(yōu)勢(shì)是這樣智能卡的以每個(gè)智能卡僅幾分的價(jià)格的成本高效地大量制造的可能性��,每個(gè)智能卡包括讀取/寫(xiě)入受保護(hù)微控制器(包括對(duì)應(yīng)的讀取/寫(xiě)入受保護(hù)存儲(chǔ)器)所需要的電路�����。此外,智能卡的樣式對(duì)于分發(fā)給服務(wù)人員是理想的���。存在可想到的一些備選項(xiàng)或除軟件保護(hù)器裝置的提供之外的額外部件例如在可能的實(shí)施例中����,中央服務(wù)器可提供作為外部裝置�,一旦要執(zhí)行維護(hù)程序時(shí),其經(jīng)由有線網(wǎng)絡(luò) (像互聯(lián)網(wǎng)的公共網(wǎng)絡(luò)或?qū)S芯W(wǎng)絡(luò))或經(jīng)由移動(dòng)通信網(wǎng)絡(luò)建立到人員輸送機(jī)控制系統(tǒng)的連接����。驗(yàn)證證明裝置可集成在中央服務(wù)器中或可以是服務(wù)器外部的裝置,并且適用于與服務(wù)器和/或與輸送機(jī)控制系統(tǒng)通信�����。如上文描述的訪問(wèn)控制系統(tǒng)允許限定一組對(duì)輸送機(jī)控制系統(tǒng)的不同訪問(wèn)等級(jí)和 /或不同訪問(wèn)級(jí)別(例如,例行維護(hù)���、升級(jí)���、大修等),其可以每個(gè)指派給不同級(jí)別的服務(wù)人員���。特別設(shè)備的特定參數(shù)僅對(duì)于特定級(jí)別的服務(wù)人員(其必須具有進(jìn)行特定的維護(hù)工作的使用權(quán)(access))是可訪問(wèn)的����。這可以僅僅通過(guò)根據(jù)服務(wù)人員的不同訪問(wèn)等級(jí)并且根據(jù)對(duì)設(shè)備排定的維護(hù)程序分發(fā)相應(yīng)軟件保護(hù)器裝置給服務(wù)人員而非常簡(jiǎn)單地實(shí)現(xiàn)��。在實(shí)施例中���,驗(yàn)證證明裝置可適用于采用時(shí)間有限的方式將信息和/或數(shù)據(jù)存儲(chǔ)在讀取受保護(hù)存儲(chǔ)器中�。這提供甚至更好的保護(hù)�����,因?yàn)閷?duì)輸送機(jī)控制系統(tǒng)的訪問(wèn)權(quán)被準(zhǔn)許一次將在逝去預(yù)定時(shí)間后失效��。這進(jìn)一步允許定期更新關(guān)于服務(wù)人員和服務(wù)中的設(shè)備的訪問(wèn)權(quán)����。如上文提到的軟件保護(hù)器�����、智能卡或其他備選項(xiàng)向訪問(wèn)權(quán)的復(fù)雜結(jié)構(gòu)提供容易處理和透明的硬件技術(shù)方案��。此外���,軟件保護(hù)器和特別地智能卡對(duì)于生產(chǎn)是高效的并且因此是成本有效的����。軟件保護(hù)器裝置可具有可連接到人員輸送機(jī)控制系統(tǒng)的端子的第一端子。軟件保護(hù)器裝置可例如經(jīng)由USB連接����、其他適合的串行連接或并行連接或經(jīng)由智能卡讀取裝置簡(jiǎn)單地現(xiàn)場(chǎng)插入。備選地���,軟件保護(hù)器裝置可與輸送機(jī)控制系統(tǒng)的無(wú)線端口通信����,例如藍(lán)牙連接���。此外��,軟件保護(hù)器裝置可具有可連接到例如基于PC的維護(hù)工具的外部裝置的端子的第二端子����。特別地,外部裝置可是便攜維護(hù)工具��,例如基于標(biāo)準(zhǔn)PC部件的維護(hù)工具(典型地����, 采用膝上型計(jì)算機(jī)或包括微處理器和外圍部件的相似便攜裝置的形式)。第二端子可以可連接到外部裝置的串行I/O端口��。在實(shí)施例中軟件保護(hù)器裝置的第一和第二端子可串聯(lián)連接�。這樣實(shí)現(xiàn)所謂的“通過(guò)型軟件保護(hù)器裝置”。這樣的“通過(guò)型軟件保護(hù)器裝置”的特別優(yōu)勢(shì)是如果軟件保護(hù)器裝置連接在連接維護(hù)工具與輸送機(jī)控制系統(tǒng)的線路中的話則沒(méi)有配備成響應(yīng)于輸送機(jī)控制系統(tǒng)的檢驗(yàn)請(qǐng)求而執(zhí)行檢驗(yàn)程序并且提供檢驗(yàn)信號(hào)的外部裝置(特別地是較舊的維護(hù)工具)仍然可以用于服務(wù)�。為了驗(yàn)證程序的目的,通過(guò)型軟件保護(hù)器裝置然后模擬維護(hù)工具��, 使得對(duì)于輸送機(jī)控制系統(tǒng)����,該情況與它連接到包括驗(yàn)證處理器的維護(hù)工具的情況相同。通過(guò)型軟件保護(hù)器裝置可構(gòu)建成使得外部裝置和輸送機(jī)控制系統(tǒng)之間的所有其他數(shù)據(jù)通信將不被阻塞或修改�,而相反將穿過(guò)軟件保護(hù)器裝置�。通過(guò)型軟件保護(hù)器裝置可以進(jìn)一步具有與第二端子不同類(lèi)型的第一端子����,并且由適應(yīng)此外部裝置和人員輸送機(jī)控制系統(tǒng)的不同端子。備選地�����,可想到軟件保護(hù)器裝置僅具有第一端子��,或軟件保護(hù)器裝置具有并聯(lián)連接的第一和第二端子�����。這樣可以實(shí)現(xiàn)所謂的“附加軟件保護(hù)器裝置”�����。同樣這樣的附加軟件保護(hù)器裝置可用于連接到?jīng)]有配備成執(zhí)行驗(yàn)證程序的外部裝置��,像較舊的維護(hù)工具���。在該情況下外部裝置將直接連接到輸送機(jī)控制系統(tǒng),并且軟件保護(hù)器裝置將連接到外部裝置的適合的端子����。外部裝置和電梯控制之間的直接連接可以通過(guò)適合的連接器(例如��,經(jīng)由 USB���、其他串行連接器、并行連接器)或無(wú)線地(例如����,經(jīng)由藍(lán)牙、RFID)實(shí)現(xiàn)�,但也可以通過(guò)使用任何適合的網(wǎng)絡(luò)(有線或無(wú)線的)采用遠(yuǎn)程形式實(shí)現(xiàn)。這樣的網(wǎng)絡(luò)可是公共網(wǎng)絡(luò)��,像互聯(lián)網(wǎng)�,或?qū)S芯W(wǎng)絡(luò)。軟件保護(hù)器裝置到輸送機(jī)控制系統(tǒng)的直接鏈路是不必要的����,因?yàn)橥獠垦b置將使來(lái)自輸送機(jī)控制系統(tǒng)的檢驗(yàn)請(qǐng)求重新引導(dǎo)到軟件保護(hù)器裝置,并且軟件保護(hù)器裝置將發(fā)送檢驗(yàn)信號(hào)到外部裝置���,它從該外部裝置被重新引導(dǎo)到輸送機(jī)控制系統(tǒng)��。根據(jù)上文描述的實(shí)施例的訪問(wèn)控制系統(tǒng)的主要優(yōu)勢(shì)是通過(guò)將特定驗(yàn)證證明裝置交給不同的用戶(例如服務(wù)人員)控制訪問(wèn)輸送機(jī)控制系統(tǒng)的不同部分和/或等級(jí)的多種不同訪問(wèn)權(quán)的可能性��。這可以為了多種不同的目的并且對(duì)多種技術(shù)非常不同的人員(例如服務(wù)人員)實(shí)現(xiàn)�。在提供與上文概述的相同的優(yōu)勢(shì)和可能性的另外的特別實(shí)施例中,提供用于控制對(duì)人員輸送機(jī)控制系統(tǒng)的訪問(wèn)的方法����,其包括步驟提供具有中央處理器單元(CPU)和被保護(hù)免于由外部應(yīng)用讀取和寫(xiě)入訪問(wèn)的讀取受保護(hù)存儲(chǔ)器的驗(yàn)證證明裝置;在該驗(yàn)證證明裝置的該讀取受保護(hù)存儲(chǔ)器中存儲(chǔ)程序代碼��,其用于響應(yīng)于檢驗(yàn)請(qǐng)求而執(zhí)行檢驗(yàn)程序����,并且輸出檢驗(yàn)信號(hào);使該驗(yàn)證證明裝置與該人員輸送機(jī)控制系統(tǒng)通信(直接地或經(jīng)由至少一個(gè)另外的裝置間接地)���;從該人員輸送機(jī)控制系統(tǒng)發(fā)送檢驗(yàn)請(qǐng)求到該驗(yàn)證證明裝置���;在該驗(yàn)證證明裝置中,響應(yīng)于該檢驗(yàn)請(qǐng)求的接收���,確定檢驗(yàn)信號(hào),并且發(fā)送該檢驗(yàn)信號(hào)到該人員輸送機(jī)控制系統(tǒng)���;并且在該人員輸送機(jī)控制系統(tǒng)中�,響應(yīng)于該檢驗(yàn)信號(hào)的接收,選擇性地允許或拒絕對(duì)該人員輸送機(jī)控制系統(tǒng)的特定部分和/或?qū)υ谠撊藛T輸送機(jī)控制系統(tǒng)中實(shí)現(xiàn)的特定功能的訪問(wèn)����。 盡管本發(fā)明已經(jīng)參照示范性實(shí)施例描述,本領(lǐng)域內(nèi)技術(shù)人員將理解可做出各種改變并且等同物可代替其的元件而不偏離本發(fā)明的范圍���。另外����,可做出許多修改以使特別情況或材料適用于本發(fā)明的講授而不偏離其的本質(zhì)范圍����。因此,規(guī)定本發(fā)明不限于公開(kāi)的特別實(shí)施例���,而本發(fā)明將包括落入附上的權(quán)利要求的范圍內(nèi)的所有實(shí)施例��。
權(quán)利要求
1.一種人員輸送機(jī)控制系統(tǒng)(10)的訪問(wèn)控制系統(tǒng)����,其包括驗(yàn)證證明裝置(14 ����;16 ���;20),其適用于與人員輸送機(jī)控制系統(tǒng)(10)直接地或經(jīng)由至少一個(gè)另外的裝置間接地通信��;所述驗(yàn)證證明裝置(14 ��;16 �;20)具有被保護(hù)免于由外部應(yīng)用讀取和寫(xiě)入訪問(wèn)的讀取受保護(hù)存儲(chǔ)器和中央處理器單元(CPU);所述驗(yàn)證證明裝置(14 �����;16 ��;20)在它的讀取受保護(hù)存儲(chǔ)器中存儲(chǔ)程序代碼以用于響應(yīng)于來(lái)自所述人員輸送機(jī)控制系統(tǒng)(10)的檢驗(yàn)請(qǐng)求執(zhí)行檢驗(yàn)程序�����,并且發(fā)送檢驗(yàn)信號(hào)到所述人員輸送機(jī)控制系統(tǒng)(10)����;所述人員輸送機(jī)控制系統(tǒng)(10)響應(yīng)于所述檢驗(yàn)信號(hào)的接收選擇性地允許或拒絕對(duì)所述人員輸送機(jī)控制系統(tǒng)的特定部分和/或?qū)υ谒鋈藛T輸送機(jī)控制系統(tǒng)(10)中實(shí)現(xiàn)的特定功能的訪問(wèn)。
2.如權(quán)利要求1所述的訪問(wèn)控制系統(tǒng)����,其中所述人員輸送機(jī)是電梯、自動(dòng)扶梯或移動(dòng)步道��。
3.如權(quán)利要求1或2所述的訪問(wèn)控制系統(tǒng)����,其中所述驗(yàn)證證明裝置(14;16)能夠連接到外部裝置(12 ;18)�,所述外部裝置(12 ;18)適用于訪問(wèn)所述電梯控制系統(tǒng)(10)和操縱存儲(chǔ)在所述電梯控制系統(tǒng)(10)中的數(shù)據(jù)和/或調(diào)用在所述電梯控制系統(tǒng)(10)中實(shí)現(xiàn)的功能�����。
4.如權(quán)利要求3所述的訪問(wèn)控制系統(tǒng)����,其中所述外部裝置(12; 18)是便攜維護(hù)工具�。
5.如權(quán)利要求1至4中任一項(xiàng)所述的訪問(wèn)控制系統(tǒng),其中所述驗(yàn)證證明裝置(14���;16 �; 20)適用于使用專(zhuān)用密鑰和公共密鑰執(zhí)行非對(duì)稱驗(yàn)證程序��,所述驗(yàn)證證明裝置(14 ;16 ���;20) 在它的讀取受保護(hù)存儲(chǔ)器中存儲(chǔ)至少一個(gè)專(zhuān)用密鑰��。
6.如權(quán)利要求1至5中任一項(xiàng)所述的訪問(wèn)控制系統(tǒng)����,其中所述驗(yàn)證證明裝置(14�;16 ; 20)適用于響應(yīng)于來(lái)自所述電梯控制系統(tǒng)(10)的檢驗(yàn)請(qǐng)求執(zhí)行交互式證明驗(yàn)證程序�����。
7.如權(quán)利要求6所述的訪問(wèn)控制系統(tǒng)����,其中所述驗(yàn)證證明裝置(14;16 ��;20)適用于響應(yīng)于來(lái)自所述電梯控制系統(tǒng)(10)的檢驗(yàn)請(qǐng)求執(zhí)行零知識(shí)交互式證明驗(yàn)證程序���。
8.如權(quán)利要求1至7中任一項(xiàng)所述的訪問(wèn)控制系統(tǒng)�����,其中所述驗(yàn)證證明裝置(14����;16 ����; 20)適用于在逝去預(yù)定時(shí)間量后刪除存儲(chǔ)在所述讀取受保護(hù)存儲(chǔ)器中的所述信息和/或數(shù)據(jù)。
9.如權(quán)利要求1至8中任一項(xiàng)所述的訪問(wèn)控制系統(tǒng)����,其中所述驗(yàn)證證明裝置(14; 16) 包括軟件保護(hù)器裝置���。
10.如權(quán)利要求9所述的訪問(wèn)控制系統(tǒng)����,其中所述軟件保護(hù)器裝置(14;16)具有能夠連接到所述人員輸送機(jī)控制系統(tǒng)(10)的端子或到所述外部裝置(1 的端子的第一端子���。
11.如權(quán)利要求10所述的訪問(wèn)控制系統(tǒng)�,其中所述第一端子能夠連接到所述人員輸送機(jī)控制系統(tǒng)(10)的串行I/O端口或到所述外部裝置(12)的串行I/O端口��。
12.如權(quán)利要求9至11中任一項(xiàng)所述的訪問(wèn)控制系統(tǒng)����,其中所述軟件保護(hù)器裝置(14����; 16)具有能夠連接到所述人員輸送機(jī)控制系統(tǒng)(10)的端子的第一端子和能夠連接到所述外部裝置(1 的端子的第二端子�。
13.如權(quán)利要求12所述的訪問(wèn)控制系統(tǒng),其中所述第二端子能夠連接到所述外部裝置 (12)的串行I/O端口����。
14.如權(quán)利要求12或13所述的訪問(wèn)控制系統(tǒng),其中所述第一和第二端子串聯(lián)連接���。
15.如權(quán)利要求12或13所述的訪問(wèn)控制系統(tǒng)���,其中所述第一和第二端子并聯(lián)連接。
16.如權(quán)利要求1至15中任一項(xiàng)所述的訪問(wèn)控制系統(tǒng)���,其中所述驗(yàn)證證明裝置(14��; 16 ��;20)和/或所述外部裝置(12 ���; 18)位于所述輸送機(jī)控制系統(tǒng)(10)的遠(yuǎn)程處����。
17.一種用于控制對(duì)人員輸送機(jī)控制系統(tǒng)(10)的訪問(wèn)的方法����,其包括步驟提供具有被保護(hù)免于由外部應(yīng)用讀取和寫(xiě)入訪問(wèn)的讀取受保護(hù)存儲(chǔ)器和中央處理器單元的驗(yàn)證證明裝置(14 ;16 ����;20)�;在所述驗(yàn)證證明裝置(14 ;16 �;20)的所述讀取受保護(hù)存儲(chǔ)器中存儲(chǔ)程序代碼以用于響應(yīng)于檢驗(yàn)請(qǐng)求執(zhí)行檢驗(yàn)程序,并且輸出檢驗(yàn)信號(hào)�;使所述驗(yàn)證證明裝置(14 ;16 �����;20)與所述人員輸送機(jī)控制系統(tǒng)(10)直接地或經(jīng)由至少一個(gè)另外的裝置間接地通信��;從所述人員輸送機(jī)控制系統(tǒng)(10)發(fā)送檢驗(yàn)請(qǐng)求到所述驗(yàn)證證明裝置(14 �;16 ;20)�����; 在所述驗(yàn)證證明裝置(14;16;20)中,響應(yīng)于所述檢驗(yàn)請(qǐng)求的接收���,確定檢驗(yàn)信號(hào)�����,并且發(fā)送所述檢驗(yàn)信號(hào)到所述人員輸送機(jī)控制系統(tǒng)(10)��;在所述人員輸送機(jī)控制系統(tǒng)(10)中�����,響應(yīng)于所述檢驗(yàn)信號(hào)的接收��,選擇性地允許或拒絕對(duì)所述人員輸送機(jī)控制系統(tǒng)(10)的特定部分和/或?qū)υ谒鋈藛T輸送機(jī)控制系統(tǒng)(10) 中實(shí)現(xiàn)的特定功能的訪問(wèn)�。
全文摘要
公開(kāi)的是人員輸送機(jī)控制系統(tǒng)(10)的訪問(wèn)控制系統(tǒng)����,其包括適用于與人員輸送機(jī)控制系統(tǒng)(10)直接地或經(jīng)由至少一個(gè)另外的裝置間接地通信的驗(yàn)證證明裝置(14;16�����;20);所述驗(yàn)證證明裝置(14��;16����;20)具有被保護(hù)免于由外部應(yīng)用讀取和寫(xiě)入訪問(wèn)的讀取受保護(hù)存儲(chǔ)器和中央處理器單元;所述驗(yàn)證證明裝置(14�;16;20)在它的讀取受保護(hù)存儲(chǔ)器中存儲(chǔ)程序代碼以用于響應(yīng)于來(lái)自所述人員輸送機(jī)控制系統(tǒng)(10)的檢驗(yàn)請(qǐng)求執(zhí)行檢驗(yàn)程序����,并且發(fā)送檢驗(yàn)信號(hào)到所述人員輸送機(jī)控制系統(tǒng)(10)�����;所述人員輸送機(jī)控制系統(tǒng)(10)響應(yīng)于所述檢驗(yàn)信號(hào)的接收選擇性地允許或拒絕對(duì)所述人員輸送機(jī)控制系統(tǒng)的特定部分和/或?qū)υ谒鋈藛T輸送機(jī)控制系統(tǒng)(10)中實(shí)現(xiàn)的特定功能的訪問(wèn)����。
文檔編號(hào)B66B1/00GK102257536SQ200880132472
公開(kāi)日2011年11月23日 申請(qǐng)日期2008年12月18日 優(yōu)先權(quán)日2008年12月18日
發(fā)明者D·F·科米內(nèi)利, H-K·斯皮爾鮑爾, M·G·W·欣達(dá), M·維爾克 申請(qǐng)人:奧的斯電梯公司