控制锁的锁定的方法以及锁

1. 一种用于控制电子锁（5）的锁定的方法，该电子锁包括与该锁物理上不可分离的计算装置，包括以下步骤：
关于该电子锁，识别用户（4），
响应于被识别的用户，该电子锁（5）显示由计算装置产生的问题，
该用户将该问题发送到中心站（1），
该中心站计算该问题的答案，并将该答案发送给该用户，
该用户在该锁中输入该答案，
通过作为问题的函数的验证密钥该计算装置验证该答案是否正确，并根据该答案决定是否开启锁；其中所述验证密钥允许区分该问题的一个可能答案或几个可能答案和非有效答案。
2. 根据权利要求1所述的方法，其中在操纵结束时，接收码由所述锁（59）显示，并在移动设备（3）的协助下，由所述用户发送到该中心站（1）。
3. 根据权利要求1或2中的其中一项权利要求所述的方法，其中在每次访问该锁时，显示不同的问题。
4. 根据权利要求1所述的方法，其中所述中心站验证所述问题是否有效。
5. 根据权利要求1所述的方法，其中所显示的问题取决于所述用户。
6. 根据权利要求1所述的方法，其中所述用户（4）借助于通过独立于所述锁的蜂窝网络（2）所建立的通信向所述中心站发送所述问题。
7. 根据权利要求1所述的方法，其中所述用户（4）通过能够连接到蜂窝网络的移动设备（3）向所述中心站（1）发送所述问题，
所述移动设备通过地理定位装置（30）确定所述用户的位置，
所述位置被发送给所述中心站（1），
在发送所述问题的所述答案之前，所述中心站检查所述位置。
8. 根据权利要求7所述的方法，所述移动设备（3）使用孤单工作者保护设备（31），以便确定所述用户是否活着和/或醒着的。
9. 根据权利要求7所述的方法，所述移动设备（3）通过芯片卡、个人代码和/或生物测量数据（32）对所述用户进行鉴权。
10. 根据权利要求9所述的方法，在所述移动设备（3）中确定的所述用户（4）的身份被发送到所述中心站（1）以进行验证。
11. 根据权利要求1所述的方法，其中通过在该锁（5）的键盘（51）上输入的个人代码，关于该电子锁（5）识别所述用户（4）。
12. 根据权利要求11所述的方法，其中新的个人代码是通过所述中心站发送给所述用户（4）的。
13. 根据权利要求1所述的方法，包括限定所识别的用户对所述锁的访问权限的预备步骤。
14. 根据权利要求1所述的方法，其中当在所述用户（4）希望表示其处于胁迫将所述问题输入到所述中心站（1）中时，所述用户（4）执行特殊的操纵，
然后所述中心站（1）通过生成对问题的经过修改的答案来作出反应，所述经过修改的答案不同于不执行所述操纵时生成的答案，
当所述用户输入所述经过修改的答案时，所述锁修改锁定条件。
15. 根据权利要求14所述的方法，其中当已经检测到一个这种操纵时，所述中心站（1）从几个答案中选择经过修改的答案，不同的经过修改的答案中的至少某些经过修改的答案的输入导致产生以下行为中的至少某些行为：
使该锁（5）保持锁定；
拖延该锁（5）的解锁；
在所述锁（5）的显示器（50）上显示消息；
触发警报；
破坏或标记受所述锁（5）保护的装置的内容。
16. 根据权利要求2所述的方法，其中在每次操纵结束时，显示不同的接收码。
17. 根据权利要求2所述的方法，其中所述接收码取决于当前用户、所述锁的打开、当前锁、日期、时间和/或可能的操纵的检测。
18. 一种电子锁（5），其包括：
与该锁物理上不可分离的计算装置，
用于输入个人识别码的数据输入装置（51），
用于响应于个人识别码的输入显示由计算装置产生的问题的模块，
用于通过作为问题的函数的验证密钥验证在所述数据输入装置上输入的所述问题的答案是否正确、并在答案正确的情况下使所述锁解锁的模块；其中所述验证密钥允许区分该问题的一个可能答案或几个可能答案和非有效答案。
19. 根据权利要求18所述的锁，包括用于在解锁尝试之后生成并显示接收码的装置。
20. 根据权利要求18所述的锁，包括用于验证所述个人识别码的合理性的装置，所述装置没有授权用户的任何列表。
21. 根据权利要求18所述的锁，包括用于检测用户的操纵的装置，当检测到这种操纵时，所述产生的问题被修改。
22. 根据权利要求18所述的锁，包括用于根据所输入的答案拖延该锁的解锁的装置。
23. 根据权利要求18所述的锁，包括用于编制由用户引发的事件的清单的日志文件。
24. 根据权利要求18所述的锁，包括确定时间和日期的被永久供电的时钟。
25. 根据权利要求18所述的锁，包括计数器，该计数器可被不可逆地递增以初始化用于生成所述问题的伪随机函数。
26. 根据权利要求18所述的锁，包括用于与受所述锁保护的装置交换数据的接口。
27. 根据权利要求18所述的锁，包括用于与远程中心站交换数据的接口。

控制锁的锁定的方法以及锁\n技术领域\n[0001] 本发明涉及一种用于控制电子锁的锁定的方法。本发明还涉及一种适合于执行该锁定过程的电子锁。本发明特别涉及一种提供取款机(distributor)(ATM，自动柜员机)或保险箱所需安全等级的锁。\n背景技术\n[0002] 传统的锁是通过机械或电子钥匙进行锁定或开启的。钥匙的分发被局限到授权访问受该锁保护的内容的用户。保护等级取决于钥匙可被伪造的难易程度以及对钥匙持有者的信任度。\n[0003] 在自动柜员机的情况中，从正面访问柜员机是通过读卡器以及键盘来保证安全的，这允许不同用户被识别之后得到有限数额的钞票。然而，对取款机(distributor)后侧的访问通常是通过传统的钥匙锁阻止的。银行职员、现金补充员(cash replenisher)、技术服务代表和维修人员都共享同一把钥匙的复制品，这允许访问通常保存上万欧元现金或装钱的柜子的保险箱。这些钥匙中有一把丢失或被盗落入坏人之手的风险很大。而且，当钥匙被分发给许多用户，而盗窃是无道德的雇员所为的情况，要找到罪犯是极其困难的。\n[0004] 为了改善这些问题，近几年来，Kaba Mas公司(注册商标)已经提供了一款在售的名称为Cencon System 2000(注册商标)的锁。该锁可以通过传统的允许识别其持有者的电子钥匙以及单向密码OTC(一次组合(One Time Combination)，注册商标)开启。OTC代码从中心站例如通过电话传送给用户。只有能够同时提供电子钥匙和有效OTC代码的用户才被授权访问受保护的柜员机的内容。\n[0005] 然而，这种解决方案的缺点是总是需要与每台柜员机相关联的物理钥匙。运送人员(route personnel)在一次运送中需要有和被服务的取款机一样多的钥匙，或者需要被编程为与不同OTC代码结合打开几台柜员机的钥匙。从管理角度讲，对要分配给不同用户的钥匙的管理和编程是令人头痛的，特别是当钥匙丢失时。\n[0006] 此外，靠欺骗获得钥匙的用户可能很想通过盗用授权的钥匙持有者的身份呼叫中心站，以便获得有效的OTC代码。因此提供的安全性是不够的。\n[0007] 此外，电子钥匙的阅读器包括电气、电子和/或电机元件，这些元件又增加了被操纵和被欺骗的可能性。\n[0008] 专利申请EP0546701描述了一种用来控制保险柜的锁定的方法，其中通过用户必须在属于他的终端输入的不同的PIN码和经过编码的消息来确保安全。该终端然后与受保护的保险柜连接以使其解锁。通常由用户控制的该终端构成了想要对其进行分析或制造兼容终端以便访问未经授权的保险柜的黑客的目标。\n[0009] EP0935041描述了一种依赖于电子箱(electronic case)的使用来打开锁的装置和方法，该电子箱特别用来识别操作员并被插入到锁中。该箱包括用于显示由锁和箱协同计算的问题的显示器。该问题通过给中心站的电话被发送给操作员，中心站计算手工输入到箱中的应答。在正确答案的情况下，锁被打开。显示收条，该收条以相同方式被发送到中心站。\n[0010] 在该解决方案中，问题的计算、显示及答案的输入和验证至少部分是由属于用户的装置执行的，这可能被恶意用户操纵。从管理角度讲，向用户分发这种装置是复杂的；有必要确保停止其活动或负责不同的锁(stock of locks)的用户(例如运送现金的人)更换其装置。\n[0011] 而且，对于该问题的合理性(plausibility)没有进行验证。\n[0012] WO01/59725描述了一种通过便携式电话识别用户的方法，例如用于结算销售点的交易。该方法使用在用户的便携式电话中计算的代码及由相同参数计算的类似代码。该文档没有讨论锁的解锁。而且该方法的安全性部分依赖于在用户持有的装置(这里是电话)中计算的代码，因此能够被操纵。\n[0013] US5259029描述了用于对计算机程序的用户鉴权的挑战应答机制。挑战显示在计算机上，用户在提供应答的个人设备中输入该挑战，用户必须在键盘上输入该应答。该文档与保险箱的锁无关，并且不依赖于中心站来控制几个锁的解锁。\n[0014] US2003/231103描述了一种借助芯片卡来识别锁用户的方法。用户必须提供代码，例如他可以通过电话从中心服务器获得该代码。而且，安全性依赖于由用户控制的可被伪造的物体。\n发明内容\n[0015] 因此本发明的一个目标是提供一种用于控制锁的解锁的方法，其中不可能通过操纵装置或分发给用户的钥匙而使安全性受到危害。\n[0016] 通常，本发明的一个目标因此是提出允许避免现有技术的方法和锁的缺点的一种方法和锁。\n[0017] 根据本发明，这些目标是通过一种控制电子锁的锁定的方法而特别实现的，该方法包括下述步骤：\n[0018] 关于所述电子锁，识别用户，\n[0019] 所述电子锁显示问题，该问题优选是一次用(single-use)问题，\n[0020] 所述用户将所述问题发送到中心站，\n[0021] 所述中心站计算所述问题的答案，并将该答案发送给所述用户，\n[0022] 所述用户在锁中输入所述答案，\n[0023] 所述锁验证应答是否正确，并根据该答案确定是否开启门上的锁。\n[0024] 该方法的显著优点是强制用户将柜员机的锁提问的问题发送给中心站。这个附加操作允许执行额外的测试，例如在中心站检查被提问的问题是否确实有效。\n[0025] 该方法的优点还在于不再必须基于物理钥匙来识别用户，而是例如借助更难以被偷窃的密码、PIN或生物测量数据来识别用户身份。因此，安全性不再依赖于用户携带的物体，而只依赖于难以访问的锁以及远程中心站。用户需要例如移动电话的装置，但仅仅是为了与中心站连接。在一个实施例中，用该移动电话进行附加的合理性测试(plausibilitytest)，例如，验证SIM卡是否属于被授权的用户。然而，即使是伪造的电话和卡也不足以打开锁。\n[0026] 在通过密码或PIN识别用户的情况下，该方法的优点是允许远程通过中心站的简单软件操作非常容易地分发、更换密码或使密码无效。\n[0027] 在变形实施例中，用来识别用户的密码是通过中心站1而不是通过锁来验证的。\n因此，可能避免将被授权用户的列表发送到不同的锁。\n[0028] 该方法的优点还在于开启锁必需的所有数据和代码可不必经过另外易受攻击的中间设备而直接输入到锁中。\n[0029] 本发明还涉及一种电子锁，该电子锁包括：\n[0030] 用于输入个人识别码的数据输入装置以及用于验证所述个人识别码的装置，[0031] 用于响应于所认可的输入的个人识别码而生成并随后显示问题的模块，[0032] 用于验证在所述键盘上输入的对所述问题的答案是否正确并且用于在答案正确的情况下使所述锁解锁的模块。\n[0033] 该锁适用于前述的方法；该锁的优点还在于不是必须需要易受攻击并且昂贵的钥匙读取器。\n[0034] 本发明还涉及一种用于中心站管理电子锁池(pool)的方法，该方法包括下述步骤：\n[0035] 向多个用户分发个人代码，以便允许关于所述锁的至少某个锁(atleast certain)识别用户，\n[0036] 确定每个用户对每个锁的访问权限，\n[0037] 通过远程通信网络接收由所述用户的其中之一发送的问题，\n[0038] 验证所述问题的合理性，\n[0039] 通过保密算法计算所述问题的答案，\n[0040] 将所述答案发送给所述用户。\n[0041] 该方法可以通过为这些不同任务进行编程的计算机以完全自动化的方式实现，或者可以借助使用计算机的人工操作员或人工操作员组来实现。\n附图说明\n[0042] 本发明实施例的示例是在附图所示的描述中给出的，附图中：\n[0043] 图1以框图形式示出了实施本发明的方法和锁的系统。\n[0044] 图2以流量图形式示出了在本发明的方法过程中的信息交换。\n具体实施方式\n[0045] 图1以框图形式示出了包括中心站1的系统，不同用户4可在移动设备3的帮助下通过网络2连接到中心站1。该系统进一步包括保护装置(未显示，例如柜员机、保险柜、所保护的房间或其它空间(volume))的一个或几个锁5。\n[0046] 中心站1可以由例如呼叫台构成，并由几个人工操作员或执行特定应用的服务器或服务器组激励(animate)。中心站一般负责开启所有锁(a whole stock of locks)的决定。网络2例如是远程通信网络，例如是传统电话网络、因特网或企业内部网类型的网络，或者优选是移动蜂窝网络。用户可通过经网络2建立语音或数据通信而与中心站1连接。\n[0047] 在优选实施例中，用户通过移动蜂窝网络2并通过经例如GSM、GPRS、HSCSD、EDGE或GPRS类型的网络2发送数据(例如，SMS(短消息系统)、电子邮件或I P数据包)与中心站1连接。中心站优选地通过适合的调制解调器或路由器自动接收数据，并且可通过经过相同的信道或不同的信道发送其自身的数据而对用户作出应答。在其中一个方向或在两个方向上交换的数据可由中心站1和/或移动设备3例如通过使用移动设备3中的芯片卡来进行电子签名和/或加密。\n[0048] 在另一个变形实施例中，用户4通过语音通信与中心站1连接。在这种情况中，中心站1采用人工操作员对该语音呼叫和/或IVR(交互式语音应答)语音识别系统作出反应以分析请求的内容和/或用户的DTMF代码的内容并合成语音应答。\n[0049] 中心站1还包括被授权用户的数据库10，该数据库包含每个用户的至少一个个人代码-或验证个人代码的数据以及授权，例如用户被授权打开的锁的列表。对应于每个用户的注册可进一步指示授权访问一个或几个锁的时间窗、包括例如名字、详细资料、每个用户的加密通信密匙的用户资料(profile)、系统的使用历史(成功尝试次数、不成功尝试次数、日期、时间等)以及其它识别或鉴权数据，包括例如对应于移动设备3的MSISDN呼叫者号码、生物测量数据等。\n[0050] 中心站1中的计算装置11允许执行应用程序以在数据库10中管理不同用户及他们的权限。计算装置还允许执行使得可能计算从用户接收的问题(“挑战”)的答案的算法。例如，该算法可查询指示每个预期问题的答案的ROM对应表，或优选地计算来自每个问题的数学函数。优选地选择被执行的函数，使得知道先前问题的任意数量的答案也不能预测下一个问题的答案(伪随机函数)。所选算法或允许其被参数化的值(例如伪随机函数中的种子)优选是机密的。而且，不同的算法或不同的值优选用于每个锁5和/或甚至每个用户4。\n[0051] 中心站1可进一步包括锁数据库(未示出)，该锁数据库中有每个锁5的资料，如地理位置、所保护的装置的类型、加密通信密钥等的信息。\n[0052] 移动设备3取决于使用的网络类型。在优选实施例中，该设备是由移动蜂窝设备构成的，例如蜂窝电话或PDA，智能电话或配备蜂窝网络连接卡的个人计算机、调制解调器或路由器。也可以使用专用于这种用途的通信装置。\n[0053] 移动设备3可以包括地理定位装置30，例如GPS类型的卫星接收机，其允许确定移动设备3的位置并可能将该位置传送到中心站1。孤单工作者保护(lone worker protection)设备(LWP)31使得可能检查移动设备3的用户4是否是醒着的，例如通过检查他是否移动，直立，对应答请求作出反应等。移动设备3可进一步包括其他识别和/或鉴权装置32(例如芯片卡(如SIM卡))、用于输入并验证PIN码的装置、生物测量传感器等。\n用户4的识别和/或鉴权可以本地进行，即在移动设备或插入到该设备中的芯片卡中进行，或者可以远程进行，即例如在具有用于验证芯片卡的数据、PIN码和/或记录的生物测量数据的装置的中心站1中进行。例如，移动设备3可以是便携式的或被安装到车辆中。\n[0054] 然而，使用传统的移动电话作为本发明框架内的移动设备也是可行的；用户只需要使用该设备与中心站1连接以发送问题并接收相应的答案。为了提高安全性，通过不同类型的信道在不同用户和中心站之间建立通信是更为有利的。例如，中心站可以发送这个附加的信息并与运送人员达成一致，例如即使运送人员具有允许数据通信的设备也将口头发送问题。\n[0055] 用户4例如是银行雇员、现金补充员、技术维修人员或由中心站1授权打开锁5的任何自然人。用户4知道已经由中心站1发送的保密个人代码，用该代码可关于中心站1管理的锁池中的一个或几个锁5识别用户4。而且优选地，能够通过另一个密码(例如电话的PIN码和/或SIM卡的PIN码)关于用户4的移动设备3对其进行识别。可以在本发明的框架内想到关于锁5和/或移动设备3识别用户4的其它方式；例如用户可以通过出示诸如钥匙或芯片卡之类的个人物品或通过借助于指纹、虹膜、视网膜、语音、面部等的生物测量识别来证明他的身份。显然，可以使用其它方法来关于移动设备3和锁5识别或鉴权用户4。而且可以共同使用几个识别方法。此外，在移动设备3中输入的识别数据可被发送到中心站1以用于验证目的。\n[0056] 锁5包括电机元件52，例如螺栓，其位置由锁5内的逻辑器件控制以按照机械机制(“连接杆”)行动，允许对受保护空间(例如柜员机内部)的访问被锁定或相反地被解锁。\n该锁优选地被设计成与包含要被保护的空间的装置共同使用，例如与柜员机或保险柜共同使用；因此它本身并不构成这种保险箱，并且不具有受保护的空间，但具有机械地和/或电学地以难以被移动的方式将其与这种保险柜或柜员机相关联的装置(未示出)。\n[0057] 与锁5关联的数字或字母数字键盘51允许用户输入他的个人代码以及被提问问题的答案。其它数据输入元件(未示出)，例如生物测量传感器、照相机、麦克风等也可以在锁5中被提供。该锁进一步包括用于以文本或矩阵模式显示消息(包括问题、输入答案的邀请及状态消息)的屏幕50。\n[0058] 该锁进一步优选地包括一个或几个任选接口53，该接口允许其与必须保护的装置(例如，柜员机)和/或与中心站1通过任何适用的网络(如电话网络或因特网)交换数据。\n由于信息交换允许通过线索组合检测可能的欺骗，并且由于内部审计跟踪日志的生成考虑了由该锁和受保护的装置两者收集的数据，所以与受保护的其中安装有锁的装置的数据通信使得可能显著提高安全性。如果需要，该通信也可以用来通过柜员机的键盘控制锁5，以在柜员机的屏幕上根据锁5的行为显示消息，通过柜员机转发由该锁触发的警报或触发由柜员机执行的其他动作。锁5和中心站1之间的优选为双向的通信使得可能例如远程修改关于每个锁5要识别的被授权用户的列表(除非这种验证是由中心站执行的)，远程修改答案验证算法，查询由该锁生成的日志文件并远程检测与该锁的使用有关的其它事件。与中心站1的这种通信也可以通过受该锁保护的装置执行，例如通过使用该装置的调制解调器或路由器执行。在一个实施例中，对该锁和中心站1交换的数据进行电子签名和加密，例如通过虚拟专用网络(VPN)以便保持关于要被保护的柜员机的机密性和真实性。\n[0059] 此外，锁5优选地包括电子时钟54，该电子时钟允许该锁自动确定日期和时间，并计算时间间隔。例如微控制器、具有存储器的微处理器、工业微型计算机专用集成电路类型(asic-type)的电路和/或FPGA电路等的计算装置(未示出)允许处理与用户的对话，并允许控制导致锁的锁定或解锁的电机装置。计算装置进一步优选地包括例如软件模块的用于响应于所输入的认可的个人识别码生成并随后显示问题的模块，以及例如软件模块的用于验证问题的答案是否正确，并且如果答案正确则使该锁解锁的模块。\n[0060] 计算装置优选地被保护以不受物理或软件操纵的影响，并且在欺骗性操纵过程中例如可以自毁，同时保持锁被关闭(closed)。锁5可进一步包括与移动设备3的无线连接元件，例如蓝牙类型的接口，以便例如在附近探测并检查该设备的存在；然而，如果这些装置会增加易受攻击的可能，则可放弃这些装置。\n[0061] 锁5优选是电自动化的，并通过电池或电池组供电；当电池或电池组没有电时，锁\n5保持机械锁定。在不用开启锁的情况下可对电池或电池组进行充电或更换。在变形实施例中，锁是由其中安装锁的装置(例如柜员机)供电的。在又一个实施例中，锁是通过由用户启动的发电机供电的；在该情况中，时钟54使用其自身的能源来记录时间，即使系统的其余部分不再被供电。\n[0062] 将借助图2描述本发明方法的实施例。\n[0063] 最初，希望开启锁5的用户4的身体位于该锁的前方，并在步骤100在键盘51上输入个人代码，例如数字代码或字母数字代码，例如6位数字代码。\n[0064] 在步骤101中，该锁中的计算装置验证输入的个人代码。在第一变形实施例中，个人代码与存储在该锁中的所认可的代码列表(“白名单”)进行比较。然而，该变形的缺点在于这种列表必须通过例如远程通信网络或通过运送人员发送到该锁。这种传输受到被截获或窥探的风险。为了避免这种风险，在第二优选实施例中，在步骤101中该锁只验证输入的个人代码是否合理，如代码的格式是否是可容许的，可能的奇偶代码是否正确或输入的个人代码是否因为不存在或属于被拒绝的用户而不属于被拒绝代码列表(“黑名单”)。在该第二实施例中，由用户输入的个人代码的验证被委托给中心站，然后代码必须显式或隐式地被传送到该中心站。\n[0065] 如果在步骤101中该锁检测到输入的个人代码是无效的，则该代码被拒绝，并且可以在显示器50上显示错误消息以通知用户并请用户输入新代码。为了阻止“强力”攻击，即通过连续测试大量的不同代码，例如可能在每次尝试之间引入截止时间(deadline)和/或在封锁该锁较长时间之前或直到发起解锁操作限制可能的不成功尝试的次数。\n[0066] 在变形实施例中，通过证明对物体(例如钥匙、电子钥匙、芯片卡等)的拥有，关于该锁识别用户。出示的物体本身可由代码保护，特别是在芯片卡的情况下。然而，该解决方案的缺点是要求有分发并管理要出示的物体的机构。也可以通过借助生物测量传感器获得的生物测量数据来识别用户，例如在其指纹、虹膜、视网膜、面部、语音等的帮助下。然而，这些生物测量数据的缺点是它们不能轻易由可以在最后时刻发送给用户的个人代码所替代；\n而且需要用户的记录以获得其参考生物测量数据。\n[0067] 此外，可以组合不同的识别方法。也可以根据情况请求额外或不同的识别；例如，如果在预定次数的尝试之后通过个人代码的识别失败，或者当受保护的空间中可用的金额超过一定金额或无论何时其它情况要求提高安全性时，则可以请求生物测量识别或用钥匙识别。\n[0068] 如果个人代码是有效的，则该锁的计算装置(或者，随后，中心站的计算装置)验证与该代码所识别的用户相关联的访问权限。该访问权限可以取决于时间；例如，可以仅在对应于期望用户的时间的有限时间窗期间授权该锁的解锁。在以下进一步描述的中心站的应答中，可以用其它信息编码该时间窗。\n[0069] 根据受保护的物体，也可以允许不同用户访问受保护空间的不同部分；例如，可以设想授权技术服务代表仅访问柜员机的不同部分，以例如重新放入钞票、检索日志文件或执行其它维修操作，而访问保险柜则被局限于用其它代码识别的其它用户。\n[0070] 锁5还可以验证当用户4输入的个人代码是想发出他此时处于被胁迫(例如，由于攻击者正迫使他输入代码)的信号时，是否已经执行了特定的操纵。该特定的操纵可以涉及，例如输入不同的个人代码、按其他键或部分、延长按压一个键的时间或可被锁5明确识别但观察该操作的攻击者难以察觉的其它操纵。检测到特殊操纵使该锁表现出不同行为，如从下文可以看出的。\n[0071] 在有效识别的情况下，在步骤102中，锁5然后在显示器50上显示问题。该显示的问题可以取决于时间、日期、识别的用户、锁、由锁收集的其它参数和/或发出胁迫信号的操纵的可能检测。此外，问题的选择取决于随机因素。每个问题优选地只显示一次，并不会被重新使用，或者至少不会对同一用户重新使用。显示的问题可以由数学函数(例如，伪随机函数)生成和/或在预定问题的表中选择。在优选实施例中，伪随机函数至少部分取决于每次打开保险柜和/或每次解锁尝试时递增的计数器的值；计数器永远不会被递减，并且可以计数的最大值足以确保计数器不会再循环。也可以使用由该锁的时钟计数的时间来初始化伪随机函数；然而，时钟应该能够被设置，因此可被延时，这可以用于“在时间上返回”以便迫使锁再次生成答案已知的问题。\n[0072] 成功识别和不成功识别的尝试与事件的日期和时间优选地被记录在该锁的日志文件中。该文件可由技术服务代表查询，例如通过在键盘51上输入特定代码，通过在锁前侧的连接器上插上计算机和/或远程地从中心站1通过通信网络来查询。\n[0073] 在步骤103中用户4读取显示的问题，然后在步骤104中在他的移动设备3的键盘上输入该问题。由于在显示器50上显示的问题是无法预测的，并且可以区分不正当(illicit)的问题和可能的问题，所以可确保用户4确实处在要被打开的锁5的附近。\n[0074] 在步骤105中，用户输入的问题通过移动设备3发送到中心站，例如以短消息的形式，例如SMS，电子邮件，数据包，DTMF代码或用户所讲的语音消息。\n[0075] 移动设备3可以执行例如Java应用程序(注册商标)的专用应用以使得更容易输入问题并将其发送到中心站1。在变形实施例中，问题只由用户输入，并被发送到用户已知的电子邮件地址或电话号码。\n[0076] 对移动设备3或应用移动设备的访问可以受到密码、PIN码或来自用户4请求其它识别或鉴权措施的保护。\n[0077] 除了用户输入的问题以外，在步骤105中发送到中心站1的消息可包括其它信息，例如包括所使用的移动设备3的识别(例如MSISDN呼叫者号码)、用户识别数据(包括其个人代码，也包括例如密码、PIN码、生物测量数据、从移动设备的芯片卡中提取的数据等)、由地理定位模块30提供的位置信息、由LWP模块31提供的信息等。该消息可进一步由移动设备3中的芯片卡进行电子签名以证明其真实性和完整性，和/或被加密以确保其机密性。\n[0078] 在步骤106中，中心站1接收由用户发送的消息并对其进行验证。验证意味着例如根据使用问题的用户、根据他前方的锁、根据时间等检查所发送的问题是否是正当(licit)问题。如果用户的个人代码已经连同该问题被发送，或者如果个人代码隐合地包括在该问题中，则中心站1也可以根据例如之前为在不同锁之间运动的运送人员建立的运送计划确保该用户确实被授权在此刻访问该锁。其它验证可考虑用户的地理位置、由LWP装置提供的数据、直接由锁提供的潜在数据、发送表明受胁迫的操纵的信息验证等。\n[0079] 如果在步骤106中执行的验证允许确定该问题是在正确时间由授权用户发送的合法问题，则优选地确定该用户的权限。如果该用户至少具有某些权限，则在步骤107中借助用户未知的并由计算装置11执行的算法计算该问题的答案。该答案优选由数字或字母数字串构成，这使得用户不能立即确定答案是否包含对锁的隐式指示。\n[0080] 在所接收的问题是无效的相反情况下，或者如果问题是由未被授权的用户发送的，或者当用户没有必需的访问权限时，或者检测到其它异常时，不计算答案。在一个变形实施例中，通知用户的错误消息之后被发送给移动设备3，并由后者显示，以便例如允许用户更正输入问题时的打字错误。可选地，中心站可提供导致锁的经过修改的行为的经修改的答案。中心站的反应和所发送的答案也可以取决于检测到的异常、取决于不成功尝试的次数或取决于其它条件。\n[0081] 如果例如在所接收问题的基础上中心站检测到用户已经采取特殊操纵来指示他正处于胁迫下，则中心站优选地计算与正常答案相关的经修改的答案，以便使锁产生特殊行为。不同的经过修改的答案可被自动选择，或由人工操作员根据情况选择，以便触发不同的反应。\n[0082] 其它附加信息可被编码到答案中，例如作为时间的函数限定用户对锁的访问权限。\n[0083] 然后在步骤108中问题的答案被发送到移动设备，在步骤109中被显示并被用户读取。该答案可以包括例如数字或字母数字代码，并在步骤110中由用户4在锁5的键盘\n51上输入。\n[0084] 在步骤111中，锁5中的计算装置检查所接收的答案是否正确。在一个实施例中，该验证需要(entail)与由锁本身通过执行与中心站1执行的算法相同的算法而计算出的答案的比较。在一个实施例中，对所接收答案的检查是在不独立地重新对其进行计算的情况下执行的，例如通过借助于作为问题和/或其它参数的函数的验证密钥来验证所接收的答案，该验证密钥允许区分问题的一个可能答案或几个可能答案和非有效答案。该变形实施例的优点是不要求在管区(territory)内分布的多个锁中复制算法；而且与向同一问题提供几个有效答案的算法是兼容的。\n[0085] 在步骤111中，计算装置5还检查所接收的答案是否考虑了对处于胁迫下的用户的操纵的检测，或者在该答案中是否编码了其它参数。\n[0086] 在一个实施例中，当用户在步骤110中在键盘上输入答案时，例如通过输入附加数字等，用户向锁5指出处于胁迫状态。然而，这种解决方案不太安全，原因是盗用者自己可能在不实施任何附加操纵的情况下输入答案。而且，不通知中心站任何操纵。\n[0087] 在另外的实施例中，胁迫状态是由锁5直接从附加的传感器或数据、由锁所联接的柜员机发送的数据或直接由中心站1发送的数据中检测的。\n[0088] 如果在步骤111中该锁确定所输入的答案是正确的，并且该答案不对应于胁迫状态，则在步骤112中该锁被开启，直到下一次手动锁定或在有限周期(period)中。因此，用户可访问受保护的空间或该空间的一部分。该事件被记录在日志文件中，其中具有解锁时间和长度的指示。此外，用来初始化伪随机函数的计数器是不可逆地递增的。\n[0089] 如果在步骤111中该锁确定所输入的答案是不正确的，则锁保持锁定，并且可以在显示器50上显示错误消息。在预定次数的不成功尝试之后，可本地触发警报，或将警报发送到中心站1或另一个预定地址。在一个实施例中，柜员机中的纸币被自动毁坏或用不能消除的油墨做标记。\n[0090] 如果在步骤111中该锁确定所输入的答案是正确的，但是其对应于胁迫状态，则该锁根据答案执行下列各项中的一项：\n[0091] ●使锁锁定或将锁保持锁定，可能即使在有限的周期中随后输入了正确的答案，也使锁保持锁定，\n[0092] ●锁的正常解锁，\n[0093] ●在一短的但比正常周期长的周期之后锁的延迟解锁，\n[0094] ●在长的周期(例如比3分钟长的时间)之后，锁的延迟解锁，\n[0095] ●在锁的显示器50上显示特殊的消息，例如向攻击者指示他已经被发现，[0096] ●触发警报，例如声音警报，\n[0097] ●毁坏由锁保护的空间的内容，例如通过借助于不能消除的油墨对纸币做标记，[0098] ●其它。\n[0099] 不过最后两个选项必须克制使用，以便避免合法用户被充当人质或成为报复受害者的风险。\n[0100] 可进一步合并使用这些不同措施。\n[0101] 在输入正确答案或指示操纵的答案之后，在附加步骤(未示出)中优选地在显示器50上显示接收码。然后用户在他的移动设备上输入该接收码，并以与之前针对问题的相同的方式将其发送到中心站1，以便向中心站表明他已经完成任务。所需的接收码优选地是唯一的，并且事先是不可预测的，以便确保用户在操纵之后确实已经读到了该接收码，并且用户不是以其它方式推断出它的。不过中心站能够验证所发送的接收码是否是正当的。\n[0102] 再次，由该锁生成的或由用户再次输入的接收码可包含给中心站发出的特殊事件消息的指示，例如指示锁是否已经被打开、胁迫或其它任何事件的新状态。对于先前的问题，所发送的接收码可进一步被签名、加密或带有诸如日期、时间、用户识别、移动设备、地理位置等的数据。因此中心站可验证这些数据或在预定周期之后检测到没有发送接收消息，以决定采取适当的措施，包括触发警报、触发干涉和/或锁定附近或者甚至在正确操作的情况下在用户的预知路线上的其它锁。\n[0103] 所生成的接收码优选地以与问题或应答相同的方式依赖于在途中(en route)的用户、当前锁和/或诸如日期、时间、可能的操纵的检测之类的其它参数。\n[0104] 在上面的方法中，由特定用户开启特定锁的授权可由中心站1通过以下方式之一修改：\n[0105] ●通过向用户传送新的个人代码，例如借助于电话呼叫、SMS、电子邮件或发送给移动设备3的其它消息或者口头发送给用户。\n[0106] ●通过修改锁5所接收的个人代码，例如通过发送新的所认可的代码列表(白名单；仅在这些列表存储在锁中的实施例中)、被拒绝代码的新列表(黑名单)、需要附加验证的可疑代码的新列表(灰名单)或者通过修改与这些代码相关的访问权限。代码列表和访问权限可通过下列途径被发送：由远程通信信道通过锁中的远程通信接口和/或借助于与受锁保护的装置相关联的远程通信接口或由负责维修的技术代表通过物理数据载体直接输入。\n[0107] ●通过根据白名单、灰名单或黑名单或诸如用户的计划路线的其它参数修改由中心站认可的个人代码。\n[0108] ●通过修改给由用户发送的问题的答案或通过拒绝回答这些问题。\n[0109] ●通过直接向锁发送命令，例如在时间流逝期间保持锁定的命令。\n[0110] 此外，不管中心站的行为如何，锁5自身可根据下列所述授权或拒绝解锁：根据直接获得的参数或经由受保护的装置获得的参数(例如在连接到锁或装置的传感器、照相机或麦克风的帮助下)、通过分析用户在键盘5上的操纵获得的参数，或者根据该用户的操纵和/或锁5的内部历史日志。\n[0111] 然而，在本发明的框架内可以只提供本文上述的解锁授权可能性中的一些可能性。\n[0112] 本文上面描述的锁可用来确保除了取款机之外的空间的安全，例如警察局或军队使用的武器箱、保险箱或只有被远程中心站授权才能由本地用户锁定或解锁的其它空间。\n[0113] 此外，本发明性的锁在任何时候都可被编程，例如从中心站和/或借助附近的用户输入的特殊代码，以便以不同于本文上面描述的交互模式的模式起作用。例如，也可以对锁重新编程以授权特定用户或甚至全部用户对其解锁而不必建立与中心站的连接。