针对利用虚拟卡数据的进入控制系统的远程编程的制作方法

针对利用虚拟卡数据的进入控制系统的远程编程
1.相关申请的交叉引用
2.本发明要求2014年12月2日提交的题为“remote programmingfor access control system with virtual card data”的美国临时专利申请号62/086,271的权益，所述美国专利申请的公开内容如同详细阐述般以引用的方式全部并入本文中。
3.发明背景
4.本公开大体涉及进入控制系统，并且更具体地，涉及对进入控制进行远程编程的系统和方法。
5.通常通过对物理密钥卡上的指示进入权限的数据进行编码来操作进入控制系统。一些进入控制系统是在线的，其中读取器可以使用一些装置以便与进入控制系统进行通信。在线系统中，进入权限通常是参考标识符。其他进入控制系统是离线的，并且进入权限被编码作为可以由离线锁解码和解释以便检索进入权限的数据。一个实例是酒店锁定系统，其中前台对客人卡进行编码，并且客房门上的离线电池供电锁具有用于对密钥卡进行解码并且基于已编码进入权限而允许或拒绝进入的装置。对进入权限进行编码的一些方法包括排序，其中后续进入权限具有大于先前进入权限的序列号。
6.一些进入控制系统已经利用除物理密钥卡之外的装置以便与锁进行通信，诸如通过来自移动装置的音频音调，其中还有一种与密钥卡上的数据不同的指示进入权限的单独方法。因为人可以通过任何一种方法来开锁，所以此类系统是部分有效的。但是因为用于指示进入权限的单独方法(其中锁不能确定哪个进入权限被排序在另一个进入权限之前)，所以这些系统不允许与移动装置一起使用普遍存在的物理密钥卡。使用虚拟卡数据的优点是在用于指示进入权限的不同系统之间不需要同步，并且锁可以具有统一的审计跟踪。
7.常规酒店锁定系统利用加密(即aes、rsa、ecc等)来执行加密操作，以便验证数字凭证并且加密/解密/验证这些凭证中的数据。加密可用于对通过近场通信(nfc)或蓝牙传递到锁的物理卡或虚拟卡进行认证。锁要求加密密钥在输入服务中之前被编程，或者偶尔被改变作为正常加密密钥管理的一部分。这些加密密钥的管理和锁的配置需要编程装置和编程操作，以便配置专用于酒店物业或专用于正在投入使用的锁和加密密钥。另一个常规加密操作是在工厂中预加载加密密钥，并且在投入使用之前针对所述物业预配置锁。
发明概要
8.根据本公开的一个公开的非限制性实施方案的进入控制系统包括：凭证服务，其可操作以便生成加密的编程凭证；移动装置上的安装者移动应用程序，其可操作以便与凭证服务通信，安装者移动应用程序可操作以便从凭证服务接收加密的编程凭证；以及用于进入控制的凭证模块，凭证模块可操作以便从加密的编程凭证提取编程数据，编程数据可用于对进入控制进行编程。
9.本公开的另一实施方案包括：其中凭证模块可操作以便解密和验证加密的编程凭证。
10.本公开的前述实施方案中的任一个的另一实施方案包括：其中编程数据可操作以
便设置锁加密密钥。
11.本公开的前述实施方案中的任一个的另一实施方案包括：其中编程数据可操作以便滚动锁加密密钥。
12.本公开的前述实施方案中的任一个的另一实施方案包括：其还包括解密和提取编程数据。
13.本公开的前述实施方案中的任一个的另一实施方案包括：其中编程数据与物理密钥卡上物理编码的卡元数据相同。
14.本公开的前述实施方案中的任一个的另一实施方案包括：其中移动装置包括智能电话。
15.本公开的前述实施方案中的任一个的另一实施方案包括：其中进入控制是锁。
16.本公开的前述实施方案中的任一个的另一实施方案包括：其中移动装置包括酒店维护所使用的移动应用程序。
17.本公开的前述实施方案中的任一个的另一实施方案包括：其中进入控制是锁。
18.本公开的前述实施方案中的任一个的另一实施方案包括：其中移动装置包括密钥卡。
19.本公开的前述实施方案中的任一个的另一实施方案包括：其中进入控制是锁。
20.一种管理移动装置的加密的方法，根据本公开另一公开的非限制性实施方案的方法包括：将加密的移动凭证下载到移动装置；将加密的编程凭证传送到进入控制中的凭证模块；解密和验证加密的编程凭证；从加密的编程凭证提取编程数据；以及从凭证模块传送编程数据以便对进入控制进行编程。
21.本公开的前述实施方案中的任一个的另一实施方案包括：响应于编程数据而设置锁加密密钥。
22.本公开的前述实施方案中的任一个的另一实施方案包括：响应于编程数据而滚动锁加密密钥。
23.本公开的前述实施方案中的任一个的另一实施方案包括：其中将加密的编程凭证下载到移动装置包括将加密的编程凭证下载到智能电话。
24.本公开的前述实施方案中的任一个的另一实施方案包括：其中将加密的编程凭证下载到移动装置包括将加密的编程凭证下载到密钥卡。
25.一种管理移动装置的凭证的方法，根据本公开另一公开的非限制性实施方案的方法包括：将加密的编程凭证和加密的移动凭证下载到移动装置；将加密的编程凭证传送到进入控制中的凭证模块；解密和验证加密的编程凭证；从加密的编程凭证提取编程数据；从凭证模块传送编程数据以便对进入控制进行编程；在从凭证模块传送编程数据以便对进入控制进行编程之后，将加密的移动凭证传送到进入控制中的凭证模块；解密和验证所述加密的移动凭证；从加密的移动凭证提取虚拟卡数据；以及从凭证模块传送虚拟卡数据，以便操作进入控制作为“虚拟卡读取”。
26.本公开的前述实施方案中的任一个的另一实施方案包括：响应于编程数据而设置锁加密密钥。
27.本公开的前述实施方案中的任一个的另一实施方案包括：响应于编程数据而滚动锁加密密钥。
28.本公开的前述实施方案中的任一个的另一实施方案包括：其中除了具有用于特定进入控制的虚拟卡数据的移动凭证之外，加密的移动凭证还包括进入类别。
29.前述特征和元件可组合成各种组合而不具排他性，除非另外明确地指示。这些特征和元件以及其操作将根据以下描述和附图变得更显而易见。然而，应理解下述描述和附图意图在本质上是示例性的并且是非限制性的。
30.附图简述
31.各种特征将从以下所公开的非限制性实施方案的详细描述中对本领域技术人员变得显而易见。随附于详细描述的附图可简要描述如下：
32.图1是用户认证系统的大体示意系统图；
33.图2是用户认证系统的框图；
34.图3是由用户认证系统执行的凭证管理方法的流程图；
35.图4是根据一个公开的非限制性实施方案的由用户认证系统执行的凭证管理方法的流程图；
36.图5是根据另一个公开的非限制性实施方案的凭证的示意图；
37.图6是根据另一个公开的非限制性实施方案的锁初始化方法的示意图；以及
38.图7是根据另一个公开的非限制性实施方案的锁初始化方法的示意图。
具体实施方式
39.图1示意性地示出了进入控制系统10。系统10通常包括：移动装置12、服务器14和多个进入控制16(其示意性地被示出为16a、16b、...、16n)。应了解，尽管特定的系统在示意框图中被单独定义，但系统中的每个或任一个可通过硬件和/或软件被另外组合或分离。
40.移动装置12是具有无线通信能力的手持装置(诸如智能电话)，其可操作以便与服务器14和进入控制16进行通信。服务器14可以向移动装置12提供凭证和其他数据，诸如将被传送到一个或多个进入控制16的固件或软件更新。虽然服务器14在本文中被描述为单个装置，应当理解，服务器14可以替代地被体现为移动装置12从其接收凭证和其他数据的多个系统。
41.每个进入控制16是具有无线通信能力的、限制进入的、或限制使用的装置，诸如无线锁、用于建筑物入口的进入控制读取器、电子银行控制、数据转移装置、密钥分配器装置、工具分配装置和其他限制使用的机器。移动装置12将凭证提交到进入控制16，由此选择性地允许用户进入或激活进入控制16的功能。例如，用户可以将凭证提交到机电锁以将其解锁，并且由此获得对受限区域的进入。在另一个实例中，用户可以将凭证提交到电子银行控制以便提取资金。在另一个实例中，用户可以将凭证提交到一个单元，所述单元给密钥卡分配与凭证相关联的数据或从凭证检索的数据。移动装置12可以存储上述的一个或所有或其他的实例的凭证，并且此外可以同时存储用于每种类型的应用的多个凭证。一些凭证可以用于多个进入控制16。例如，设施中的多个电子锁可以响应于相同的凭证。其他凭证可以专用于单个进入控制16。
42.参考图2，示例性电子锁系统20的框图包括进入控制16a、移动装置12和服务器14。进入控制部16a通常包括：锁致动器22、锁控制器24、锁天线26、锁收发器28、锁处理器30、锁存储器32、锁电源34、锁读卡器90和凭证模块36。进入控制16a响应于来自移动装置12的凭
证，并且可以例如是锁箱的锁、门锁或锁芯。虽然本公开主要关注进入控制的凭证，但是应当理解，其他系统将从中受益，在所述其他系统中将凭证从移动装置发射到进入控制，以便识别在线系统的用户、或验证离线系统中的用户进入权限或许可。此类系统包括虚拟或电子银行系统、机器操作系统、分配系统和数据访问系统。
43.在使用凭证模块36从移动装置12接收并且验证适当凭证时，或者在从锁读卡器90接收卡数据之后，锁控制器24命令锁致动器22对机械锁或电子锁进行锁定或解锁。锁控制器24和锁致动器22可以是单个电子或机电锁定单元的零件，或者可以是单独出售或安装的部件。
44.锁收发器28能够向至少移动装置12发射数据以及从其接收数据。例如，锁收发器28可以是近场通信(nfc)、蓝牙、或wi-fi收发器、或另一适当的无线收发器。锁天线26是适合于锁收发器28的任何天线。锁处理器30和锁存储器32分别是数据处理装置和存储装置。例如，锁处理器30可以是微处理器，其可以处理指令以便验证卡数据并且确定卡数据中包含的进入权限，或将消息从收发器传递到凭证模块36，并且接收从卡凭证模块36返回的具有卡数据的响应指示。锁存储器32可以是ram、eeprom、或其他存储介质，其中锁处理器30可以读取和写入包括但不限于锁配置选项和锁检查跟踪的数据。锁检查跟踪可能是统一的检查跟踪，其包括通过经由锁读卡器90或移动装置12访问锁而发起的事件。锁电源34是电源，诸如线路电源连接、电力清除系统、或给锁控制器24供电的电池。在其他实施方案中，锁电源34可能仅给锁控制器24供电，其中锁致动器22主要或完全由另一个源(诸如用户工作(例如，转动螺栓))供电。
45.凭证模块36与锁处理器30通信，并且可操作以便解密和验证凭证以提取将传送到锁控制器24中的虚拟卡数据作为“虚拟卡读取”。也就是说，进入控制16a基本上具有两个读取器，一个读取器90用于读取物理密钥卡92；以及凭证模块36用于通过锁处理器30和收发器28以及天线26与移动装置12进行通信。
46.虽然图示出了连接到处理器30的锁天线26和收发器28，这不是限制可能具有直接连接到凭证模块36的附加天线26和收发器28的其他实施方案。凭证模块36可以包含作为凭证模块的一部分的收发器28和天线26。或者凭证模块36可以具有与处理器30分开的收发器28和天线26，其还具有相同类型或不同类型的单独的收发器28和天线26。在一些实施方案中，处理器30可以将通过收发器28接收的通信路由到凭证模块36。在其他实施方案中，凭证模块可以通过收发器28与移动装置12直接通信。
47.移动装置12通常包括：密钥天线40、密钥收发器42、密钥处理器44、密钥存储器46、gps接收器48、输入装置50、输出装置52和密钥电源54。密钥收发器42是对应于锁收发器28的类型的收发器，并且密钥天线40是对应的天线。在一些实施方案中，密钥收发器42和密钥天线40也可以用于与服务器14通信。在其他实施方案中，可以包括一个或多个单独的收发器和天线以便与服务器14通信。密钥存储器46是用于在移动装置12上本地存储多个凭证的类型。在其他实施方案中，移动装置12在其与进入控制16a通信的同时与服务器14进行通信。这是在线配置，并且在本实施方案中，移动凭证被实时检索并且传递到凭证模块36，而不首先存储在移动装置12上的密钥存储器46中。
48.参考图3，用于促进表示通常将在密钥卡92上物理编码的数据的凭证的传送的方法100是：以数字形式检索(步骤110)数据，将数据封装在加密凭证中(步骤112)，将加密凭
证下载到移动装置12(步骤114)，安全地将加密凭证传递到凭证模块36(步骤116)，所述凭证模块36解密和验证凭证(步骤118)，提取虚拟卡数据(步骤120)，然后将虚拟卡数据传递到锁控制器24中作为“虚拟卡读取”(步骤122)。例如，如将要进一步描述的，这将允许用户绕过酒店的前台并且直接进入他们的房间。服务器14可以使用用于数字凭证创建和加密的众所周知的技术来生成加密凭证，所述技术使用密码算法(诸如aes、ecc、rsa等)。例如，凭证可以包含但不限于包括凭证标识符、指示凭证的类型或格式的参数，它可以包含诸如虚拟卡数据的加密数据，并且它可以包含数字签名。可以通过凭证模块36可能已知的aes-128加密密钥对加密数据进行加密。或者可以通过可根据凭证中包含的信息确定的派生加密密钥对其进行加密。另外，数字签名可以是例如凭证模块36可能已知的基于aes-128加密密钥的cbc-mac型签名。或者，它可以是基于服务器14已知的私用密钥的数字签名，并且可以由凭证模块36所知的公共密钥来验证。
49.参考图4，绕过前台方法200的一个实例由用户发起，所述用户首先通过酒店支持的任何过程(诸如移动预订、网站、旅行社等)预订酒店房间(步骤210)。之后，签入程序确认了其入住(步骤212)。再次，这可以通过酒店支持的任何过程来执行。
50.接下来，基于客人偏好(或房间选择)和签入时的房间可用性，在酒店物业管理系统60中分配房间(步骤214)。酒店物业管理系统60可以使用由前台应用程序62提供的软件到软件应用程序编程界面(api)以便数字形式请求卡数据(步骤216)。前台应用程序62的范围可以从独立编码器64到云中运行的完整软件包，其可操作以便对所选择的房间的虚拟卡进行编码，并且将虚拟卡数据返回酒店系统(步骤218)。
51.接下来，在酒店系统已认证用户并已经分配了房间入住预订之后，酒店物业管理系统60将对凭证服务70进行另一个软件到软件api调用(步骤220)。相关信息被传送到凭证服务70，其中指示包括例如什么酒店物业、什么房间、什么客人(例如，用户id)、什么日期、以及还有入住的虚拟卡数据。
52.同时或依次将虚拟卡数据发送到凭证服务70，酒店物业管理服务60向用户(再次通过任何常规方法)传送确认签入并且分配房间的指示(步骤222)。
53.接下来，基于移动装置12的酒店忠诚度移动应用80将利用移动库82中的软件到软件api(步骤224)，以便从凭证服务70下载凭证(步骤226)。移动库82将通过可以在每个成功连接上改变的先前建立的共享秘密来安全地对凭证服务70进行认证。
54.一旦被认证，凭证服务70在从移动库82进行通信时生成用户的凭证，并且将步骤220中接收的虚拟卡数据加密到凭证中以用于与此移动库实例相关联的客人。为每个门或访问点生成一个凭证，并且虚拟卡数据在这些单独凭证中的每一个中将是相同的，但可以通过唯一密钥为特定门或访问点进行加密。加密方法可以是aes、3des、或其他此类加密方法。所使用的凭证的方法和类型可以是压缩数字凭证或基于标准的凭证(如x.509)或本领域已知的其他凭证格式。也就是说，例如，通过凭证模块36和凭证服务70已知的唯一密钥将虚拟卡数据加密到凭证中。
55.移动库82将使用对具有装置特定信息(例如，udid、imei、imsi、mac地址等)的数据的本地os保护和附加加密来下载凭证列表并且将其存储在移动装置12上。既然签入完成并且加密移动凭证(具有虚拟卡数据)驻留在移动装置12上(图2)，用户可以稍后在离线模式下随时操作进入控制16，而不需要将移动装置12连接到凭证服务70。例如，在用户希望进入
他们的房间的同时，移动装置正在与进入控制16进行通信，与此同时，附加的实施方案可以使移动装置12下载凭证。
56.当用户希望进入他们的房间时(步骤228)，用户通过手势、点击按钮、敲击屏幕、指纹读取、密码、接近锁、触摸锁等来指示这种意图。响应于这种意图，酒店忠诚度移动应用程序80再次调用移动库82中的软件到软件api，以便发起将加密移动凭证安全转移到进入控制器16(步骤230)。当忠诚度应用程序80发起转移时，移动库在下一步骤中分别实现安全转移。
57.凭证的安全转移(步骤232)可以始于移动库82监听来自范围内进入控制16的信号通告(诸如蓝牙低能量(btle)通告)的过程。也就是说，进入控制16以周期率通过指示进入控制16的标识符的通告数据来通告其存在，并且移动装置12可以自动收听和连接，而人无需按下按钮来唤醒睡眠的电池供电锁16，或者离开车辆以便与车库门或其他装置上的读卡器访问点进行交互。读卡器访问点是另一种类型的锁16。另一个实施方案是使用近场通信(nfc)，并且人将其移动装置
′
敲击
′
到锁16，以及安全凭证交换将移动凭证转移到进入控制16(步骤232)。安全凭证交换可以使用标准技术来完成，诸如建立会话密钥、对通信消息进行加密、以及验证消息发射器和接收器的真实性。
58.在进入控制使用蓝牙低能量(btle)来进行通告的优选实施方案中，移动库82基于所接收的进入控制16的标识符，并且通过与移动凭证列表中的每个凭证中包含的或与其相关联的标识符进行比较，以及基于用产进入特定房间的意图，对所接收的通告进行过滤。一旦接收到用于目标进入控制16的通告，移动库82就发起无线连接，并且执行加密移动凭证的安全转移(步骤232)。安全转移可以利用唯一会话加密密钥以及标准加密算法和技术。应当理解，可以通过任何无线链路(包括但不限于btle、zigbee、近场通信等)安全地发射数据。
59.凭证模块36将接收加密移动凭证，然后验证和解密所述加密移动凭证以便检索虚拟卡数据。解密和验证可以包括但不限于，验证数字签名、验证凭证类型、验证凭证标识符匹配锁存储器32中的标识符、验证凭证的开始日期和到期日期、验证凭证的来源等(步骤118；图3)。一旦被验证和解密，就提取虚拟卡数据(步骤120；图3)。
60.根据实施方案，然后通过硬件和软件接口将虚拟卡数据传送到锁控制器24，其可以进一步解密虚拟卡数据，基于锁供应商规则处理数据，然后如果允许进入则开锁(步骤234)。值得注意的是，以相当于物理密钥卡数据格式的数据格式，将虚拟卡数据传送到锁控制器24作为“虚拟卡读取”。因此，这允许继续使用传统的客人密钥卡92(诸如家庭成员、或只想要物理密钥卡92的副本的客人的传统客人密钥卡92)、以及同时使用移动装置12。
61.由移动装置12上传的检查跟踪可以只是由移动装置12本身生成的检查，或者可以是统一审核，其包括客人使用物理密钥卡进行的打开。此外，当锁16打开时，可以从移动装置12向凭证服务70将电池状态或它的其他维护信息上传到检查跟踪中，以使得可向酒店通知电池电量不足的情况并且主动更换电池、或执行其他维护。与检查跟踪相关联的其他信息可能包括例如失败的打开或失败的尝试或验证失败的凭证。
62.使用“虚拟卡读取”维持连续的检查跟踪，并且还维持已经被编码到传统卡数据中的进入控制的所有已知使用案例。此外，凭证模块36是锁供应商不可知的，以使得任何锁供应商的数据可以被传递通过，以便允许每个锁供应商独立地创新卡数据。此外，凭证模块36
可以由与锁16不同的公司供应。并且另外，除了将卡数据作为将对其进行编码、加密、转移、检索和递送的数据对象之外，服务器14、移动装置12和凭证模块36可能没有用于进一步解密或验证卡数据的方法。此外，可以离线使用“虚拟卡读取”，而不需要移动装置12通过wi-fi连接或实时连接而在线连接到凭证服务。也就是说，“虚拟卡读取”的数据存储在移动装置12上，并以离线模式安全地传递到凭证模块36。这不是限制在线模式下另外发送“虚拟卡读取”的能力。附加益处是除了使用凭证模块36之外，任何进入控制16可以使用任何卡类型，其中卡类型包括但不限于磁条、rfid、proximity等。
63.在另一个公开的非限制性实施方案中，凭证模块36可用于许多目的，包括但不限于将数据传递到产生物理密钥卡92的自助服务硬密钥分配器单元98。硬密钥分配器单元98具有凭证模块36，其接收虚拟卡数据，将所述虚拟卡数据解密、提取并发送到被配置成将数据编码到物理密钥卡92上的锁控制器24。也就是说，移动装置12上的虚拟卡数据被单元98写入到物理密钥卡92，并且以自动方式分配密钥卡92。除了用于密钥卡92的分配元件和单元电源(包括但不限于电池、干路电源、能量收集等)之外，单元98不需要任何用户界面。单元98的用户界面实际上是移动装置12的接口。当单元98开始在空白密钥卡92上不足时，移动装置12可以向凭证服务器70上传状态指示，所述状态指示可以变成向酒店通知需要重新填充单元98的报告。
64.在其他公开的非限制性实施方案中，虚拟卡数据可以是用于标志进入系统的标准进入控制卡数据(即，识别数据)或被集成到自动售货机中，其中虚拟卡数据作为信用卡信息、令牌、购买参考标识符等。
65.参考图5，除了具有由凭证服务70为特定进入控制16a生成的虚拟卡数据(显式许可)302的移动凭证之外，移动库82可以包括凭证服务70基于进入类别300(隐式许可)生成的移动凭证集合。进入类别300操作以便授予用户对具有集体意义的进入控制16b的特定分组的访问。例如，一个进入类别可以是进入游泳池、商务中心、电梯和墙壁阅读器的
‘
公共房间’。在酒店预订的背景下，当移动装置12与凭证服务70通信以便下载加密移动凭证时，凭证服务70为客人已被授予进入的一个或多个进入类别中的每个锁定生成凭证。因此，加密移动凭证将具有针对每个指定访问点(例如，游泳池、商务中心等)专门编码的相同虚拟卡数据，并且可以可选地在凭证中或通过凭证下载进入类别。然而，每个移动凭证将通过用于每个进入控制16b的唯一密钥来单独加密。
66.凭证服务70提供和使用进入类别300有助于在系统中对多个进入控制16b的有效管理，在所述系统中移动装置12可以打开多个锁，其中移动装置12具有用于每个锁的特定凭证。这比常规所需的更简单，例如两个进入控制系统-酒店系统的一个进入控制系统通过酒店系统进入业务规则的所有当前技术来生成虚拟卡数据；并且另一个进入控制系统用于通过移动凭证授予对每个访问点的进入，例如客房、墙壁阅读器、游泳池、商务休息室等。换言之，酒店系统的业务规则需要在凭证服务中重复。
67.进入类别300允许多供应商集成，并且可以独立于被编码到虚拟卡数据中的酒店系统进入业务规则工作。因此，移动凭证是虚拟卡数据的“顶部”上的附加安全
‘
层’。进入类别300还允许相对更简单的维护程序，例如，当
‘
公共，进入类别中的锁被替换时，替换锁只需要被分配相同的进入类别。然而，为了下载新的移动凭证集合，移动装置12仍然需要再次与凭证服务70通信。除了将替换锁包括在正确的进入类别中，客人或系统方面不需要进一
步管理，并且即使新锁具有来自先前锁的唯一加密密钥，所有客人许可也将继续无缝地工作而不用修改。
68.参考图6，在另一个公开的非限制性实施方案中，锁初始化方法400由管理员发起，所述管理员将锁初始化请求(例如，设置锁加密密钥)输入酒店物业管理系统60中，或者将锁更新请求(例如，滚动锁加密密钥)输入酒店物业管理系统60中。应当理解，方法300不限于酒店，并且可以容易地扩展到各种进入控制系统。
69.初始，管理员创建新物业或将新物业输入酒店物业管理系统60中(步骤410)。这个物业创建过程的一部分包括酒店系统60调用软件到软件应用程序编程接口(api)，以便在凭证服务70中分配或检索相关联的酒店id，其可以用于将凭证服务70的酒店id链接到酒店物业管理系统60的物业id(步骤420)。凭证服务70分配或创建物业id与酒店id之间的链接(步骤430)。因此，在本说明书中，酒店id和物业id可以互换地使用，因为凭证服务70或者酒店物业管理系统60可以检索关联并且根据一个来确定另一个。在一个实施方案中，管理员可以将此酒店id传送给安装者，所述安装者可以将旅馆id输入移动装置12上的应用程序中(步骤440)。替代性实施方案是在移动装置12上的应用程序对于凭证服务70进行认证之后，下载与安装者的帐户相关联的酒店id。
70.接下来，安装者关联凭证模块36，并且通过关联来关联锁16，以及通过关联，使得凭证模块36的序列号与凭证服务70中的关联酒店id相关联(步骤450)。此外，序列号可以被具体地分配给如上所述的房间或进入类别。通过当锁16处于特定模式、并且btle通告特性反映所述模式以便将一个锁16与另一个锁16区分开时，经由扫描qr码检测序列号(根据主动检测btle信号)；和/或通过读取或扫描锁16或凭证模块36上的标签，可以执行这种分配(步骤460)。可替代地，在安装时，在凭证模块36或锁16中生成序列号。在所有情况下，移动装置12上的应用程序获得锁16和凭证模块36的序列号，并且将其分配给酒店id以及上传到凭证服务70(步骤470)。
71.现在，凭证服务70具有相关信息(例如，在此实例中的序列号和酒店物业id)，以便实时地创建加密的编程凭证并且在上传分配时下载在相同会话中(步骤470)。加密的编程凭证包含用于对特定锁的加密密钥进行编程的编程数据，所述加密密钥例如物业的特定aes-128密钥、专用于物业的mifare plus加密密钥、和/或用于信任的授权验证的rsa/ecc加密密钥。编程凭证中的特定加密密钥可能与特定酒店id相关联。或者，它可以是随机分配的。或者，加密密钥可以被预配置成加载到此装置序列号。以上实例将锁16分配给由移动装置12上传到凭证服务70的酒店id。一个替代性实施方案是通过酒店物业管理系统60中的单独接口来预配置锁16与酒店id的关联，所述单独接口可以使用软件api以便将所述关联传送到凭证服务70。
72.现在，编程凭证被加密并且包含凭证模块36的新加密密钥，以及被下载到移动装置12上的移动应用程序。在一个实施方案中，移动应用程序是用于在锁附近时检测锁序列号的相同安装者应用程序。或者，应用程序可以是酒店维护人员所使用的单独移动应用程序、或诸如上述应用程序的酒店客人移动电话应用程序。
73.如上所述，一旦接收适当的btle通告(步骤460)，安装者移动应用程序就发起与锁的无线连接，并且执行加密的编程凭证的安全转移(步骤480)。附加地，作为此步骤的一部分，凭证模块36将接收加密的编程凭证，然后解密和验证所述加密的编程凭证以便检索编
程数据。一旦被验证和解密，就提取编程数据并且由此初始化凭证模块36和锁16(步骤480)。
74.虽然以上说明描述了btle交换，但是可以通过各种通信协议(即蓝牙、btle、irda、wi-fi、wi-fi direct、nfc对等器、nfc读写器等)经由移动装置与锁之间的安全对等无线通信会话，或使用通过nfc功能的智能手机而进行的主机模拟(hce)将编程凭证呈现为虚拟mifare卡，执行将加密的编程凭证呈现给锁。附加地，虽然优选实施方案通过认证和加密的通信装置将编程凭证呈现给锁16，以加密形式构建编程凭证，并且并且可以在没有加密或认证的链路的情况下将其呈现给锁，而不影响编程凭证的安全性。凭证模块36能够独立于将凭证传递给锁的装置而确定编程凭证的有效性。
75.一旦锁被编程，维护人员就可以使用移动应用程序来进一步认证锁并且配置锁参数，诸如实时时钟时间、btle发射功率、btle通告速率等。此外，锁16中的加密密钥可以周期性地滚动，其中创建附加的加密编程凭证并且将其递送到移动装置12上的移动应用程序以便更新锁。例如，这种滚动可以通过使用技术人员与酒店中的每一个锁进行通信来完成，或者可以在不需要客人意识的情况下将编程凭证下载到客人电话12，并且打开锁16的正常客人活动将呈现编程凭证并因此滚动密钥。
76.参考图7，在另一公开的非限制性实施方案中，密钥卡92可用于转移加密的编程凭证以便配置锁。也就是说，酒店客人通过密钥卡92来传送加密的编程凭证。在此实施方案中，第一个尝试进入锁16的客人传送加密的编程凭证来配置锁，然后传送常规卡数据(图4)来操作进入控制16。锁读取密钥卡，首先处理加密的编程凭证，并且然后读取其余的密钥卡数据以供后续处理。应当理解，在密钥卡上存在各种实现这一点的方式，诸如通过单独的扇区、单独的数据元素、和/或多应用程序智能卡。标准酒店卡编码器可以创建此物理实施方案，所述标准酒店卡编码器被更新以便对密钥卡上的远程编程数据进行编码。
77.可替代地，密钥卡92可以是维护或清洁工作人员(而不是客人)用作
‘
主卡’，或者它可以是普通客人卡。在任一种情况下，加密的编程凭证单独存储在密钥卡上，或者除了移动凭证之外，与存储在密钥卡上的虚拟卡数据一起存储。由此，方法400允许配置锁，而不需要维护人员物理地访问每个特定锁，并且锁不需要被预编程以用于酒店。另外，由于客人、酒店清洁工作人员等可以通过与与锁的其他
‘
正常’交互来透明地配置锁，因此不需要酒店或锁特定的加密密钥，所以不需要为酒店中的每个锁建立特定编程程序。
78.本文描述和描绘的元件，包括贯穿附图的流程图和框图，暗示元件之间的逻辑边界。然而，根据软件或硬件工程实践，所描绘的元件和其功能可通过具有能够执行存储在其上的程序指令的处理器的计算机可执行介质在机器上被实现为整体软件结构，为独立软件模块或为采用外部例程、代码、服务以及等等的模块或者这些的任何组合，并且所有此类实现可以在本公开的范围内。
79.在描述的上下文中(尤其是在以下权利要求书的上下文中)术语“一个”、“一种”、“所述”的使用和类似参考将被解释为涵盖单数和复数，除非本文中另外指示或由上下文具体地否定。与数量结合使用的修饰词“约”包括所述值，并且具有由上下文所指定的意义(例如，所述修饰词包括与特定数量的测量相关联的误差的程度)。本文中所公开的所有范围包括端点，并且所述端点可独立地相互组合。
80.尽管不同的非限制性实施方案具有具体示出的部件，但本发明的实施方案不局限
于那些特定组合。有可能使用来自任何非限制性实施方案的部件或特征中的一些与来自任何其他非限制性实施方案的特征或部件进行组合。
81.应理解，贯穿若干附图，相同参考数字识别对应或相似元件。还应理解，尽管在所示出的实施方案中公开了特定的部件布置，但其他布置将从此受益。
82.尽管示出、描述和要求保护特定的步骤顺序，但应理解，除非另外指示，否则步骤可以任何顺序、单独或组合执行，并且将仍然从本公开受益。
83.前述描述是示例性的而不是由其中的限制所限定。本文中公开了各种非限制性实施方案，然而，本领域普通技术人员将意识到，根据以上教义的各种修改和变化将落入随附权利要求书的范围内。因此，应理解，在随附权利要求书的范围内，可以不同于如特定描述的方式实践本公开。因此，应研究随附权利要求书来确定真实范围和内容。