Beleuchtungseinrichtung und Verfahren zur Bereitstellung einer Datenübertragung an ein mobiles Endgerät

Die Erfindung betrifft eine Beleuchtungseinrichtung zur

Bereitstellung einer Datenübertragung an ein mobiles Endgerät gemäß dem Oberbegriff des Patentanspruchs 1. Weiterhin betrifft die Erfindung ein System mit mindestens zwei derartigen Beleuchtungseinrichtungen. Überdies betrifft die Erfindung ein Verfahren zur Bereitstellung einer

Datenübertragung an ein mobiles Endgerät gemäß dem

Oberbegriff des Patentanspruchs 8. Eine Beleuchtungseinrichtung, welche Daten an ein mobiles Endgerät überträgt, ist beispielsweise aus der

WO 2015/148696 AI bekannt. Diese offenbart Techniken für positionsbasierte Aktionen mithilfe von lichtbasierter

Kommunikation. Überdies ist aus der EP 1 263 150 Bl ein

Daten-Übertragungssystem mit einer lokalen Bake bekannt, die auf der einen Seite mit steuernden und/oder Informationen übermittelnden Infrastruktur-Einrichtungen, beispielsweise einem zentralen Diensteserver oder dem Internet, und/oder mit einer oder mehreren weiteren lokalen Baken in

Kommunikationsverbindung steht und die auf der anderen Seite zur drahtlosen Kommunikationsverbindung mit einem oder mehreren, sich in ihrer Umgebung befindenden Endgeräten eine kombinierte Sende-/Empfangseinrichtung oder in besonderen Fällen nur eine reine Sendeeinrichtung enthält und die in, an oder an der Stelle einer elektrischen Beleuchtungsvorrichtung angeordnet ist. Die lokale Bake ist mit einer die drahtlos zu übertragenden Daten betreffenden, in intelligenter Weise betriebenen Speicher- und/oder Verarbeitungsfunktionalität versehen, wobei die Speicherfunktionalität der lokalen Bake darin besteht, Informationen vorzuhalten, so dass diese

Informationen dann mehrfach an mit einem passenden Endgerät ausgerüstete Nutzer abgegeben werden können, ohne jedes Mal von den Infrastruktur-Einrichtungen eingeholt werden zu müssen, und dass die Verarbeitungsfunktionalität darin besteht, dass bestimmte Verarbeitungsvorgänge, die sonst in einer zentralen Verarbeitungseinheit der Infrastruktur- Einrichtungen oder im Endgerät selber ausgeführt werden, auf die lokale Bake ausgelagert werden.

Die aus dem Stand der Technik bekannten Wege zur

Datenübertragung, insbesondere die Datenübertragung über ein von einer Leuchte ausgestrahltes Licht, ermöglichen Dritten den Zugang zu den übertragenen Daten und macht diese für Dritte somit für die Erstellung eigener Dienstleistungen verwendbar .

Es ist daher Aufgabe der vorliegenden Erfindung, eine

Beleuchtungseinrichtung, ein System sowie ein Verfahren bereitzustellen, durch welche die Nutzbarkeit der

übertragenen Daten für die Erstellung von fremden Diensten durch Drittanbieter eingeschränkt wird. Diese Aufgabe wird gelöst durch eine Beleuchtungseinrichtung mit den Merkmalen des Patentanspruchs 1, ein System mit den Merkmalen des Patentanspruchs 5 sowie durch ein Verfahren mit den Merkmalen des Patentanspruchs 8. Vorteilhafte

Weiterbildungen der vorliegenden Erfindung sind Gegenstand der abhängigen Ansprüche.

Die Erfindung geht aus von einer Beleuchtungseinrichtung zur Bereitstellung einer Datenübertragung an ein mobiles

Endgerät, umfassend ein Leuchtmittel und ein elektronisches Betriebsgerät zum Betreiben des Leuchtmittels.

Erfindungsgemäß wird die Beleuchtungseinrichtung

weitergebildet durch eine Datenspeichereinheit, in der in einem dafür reservierten Speicherbereich ein Satz von ersten Schlüsseln gespeichert ist, eine Auswahleinheit, welche dazu ausgelegt ist, in Abhängigkeit von einem an einer

Datenschnittstelle der Beleuchtungseinrichtung

bereitstellbaren Schlüsselwechselsignal und/oder in

Abhängigkeit von einem durch einen Schlüsselwechseltaktgeber der Beleuchtungseinrichtung bereitstellbaren

beleuchtungseinrichtungsinternen Schlüsselwechselsignal einen ersten Schlüssel aus dem Satz von ersten Schlüsseln

auszuwählen, eine Verschlüsselungseinheit, welche dazu ausgelegt ist, den ausgewählten ersten Schlüssel aus dem reservierten Speicherbereich auszulesen und Messwertedaten und/oder Identifikationsdaten, welche zur Übertragung an das mobile Endgerät bestimmt sind, gemäß einer vorgebbaren

Verschlüsselungsoperation in eine mit dem ausgewählten ersten Schlüssel verschlüsselte Nachricht umzusetzen, und eine

Sendeeinheit, welche dazu ausgelegt ist, die verschlüsselte Nachricht an das mobile Endgerät zu senden.

Die Erfinder haben erkannt, dass statische

Identifikationsnummern, die von einer Beleuchtungseinrichtung ausgesendet werden, auch von anderen ausgelesen und benutzt werden können. Die Identifikationsnummer kann somit von einem Dritten ausgelesen werden und in eigene Karten eingetragen werden, sodass eine Verknüpfung zwischen

Identifikationsnummer und Position entsteht. Somit können Dienstleistungsangebote von Dritten erstellt werden, ohne dafür ein eigenes System aus Informations- und Sendequellen aufzubauen, oder sich an den Kosten für die bestehende

Infrastruktur zu beteiligen. Somit ist dieser Service nicht mehr exklusiv für den denjenigen verfügbar, der das System und die Infrastruktur finanziert.

Der Erfindung liegt die weitere Erkenntnis zugrunde, dass beispielsweise die Identifikationsnummer einer

Beleuchtungseinrichtung (Leuchte) stets eine statische

Identifikationsnummer ist. Dies gilt in gleicher Weise für Sende-Baken (Beacons) , welche Teil einer

Beleuchtungseinrichtung sein können und ebenfalls über eine eindeutige Identifikationsnummer verfügen können. Wird eine feste Identifikationsnummer mit einem festen Schlüssel verschlüsselt, entsteht wieder eine feststehende Code- Sequenz. Da die feste Code-Sequenz ebenfalls als Pseudo ^¬ Identifikationsnummer benutzt werden kann, ohne die eigentliche, dahinterliegende Identifikationsnummer zu kennen, lässt sich ein Pseudo-Identifikationsnummer-basiertes Positionsbestimmungssystem aufbauen. Dies gilt in gleicher Weise, wenn anstelle einer eindeutigen Identifikationsnummer die Bauposition der Beleuchtungseinrichtung direkt als

Ortsinformation gemäß einem vorgebbaren Koordinatensystem ausgesendet wird, was ebenfalls zu einem gleichbleibenden Dateninhalt führt. Daher ist gemäß der Erfindung vorgesehen, dass wechselnde Schlüssel verwendet werden. So verändert sich das von der Beleuchtungseinrichtung ausgesendete Signal mit jedem neuen Schlüssel. Wird der Schlüssel zum Beispiel wöchentlich verändert, so lohnt es sich für einen unbefugten Dritten nicht, einen Dienst immer wieder aufs Neue auf die neuen Pseudo-Identifikationsnummern umzustellen. Zu diesem Zweck werden deshalb eine Reihe von Schlüsseln, nämlich ein Satz von ersten Schlüsseln, in der Beleuchtungseinrichtung vorgehalten, aus welchen dann eine Auswahl vorgenommen werden kann . Die Beleuchtungseinrichtung kann neben einer lichttechnisch wirksamen Komponente in Form einer Leuchte weitere

Komponenten umfassen, welche außerhalb der eigentlichen

Leuchte angeordnet sind. Das Leuchtmittel kann durch ein LED- Leuchtmittel oder durch eine Niederdruckentladungslampe

(Leuchtstofflampe) gebildet sein. Das elektronische

Betriebsgerät kann eine programmgesteuerte Recheneinheit umfassen, beispielsweise in Form eines Mikroprozessors oder eines MikroControllers . Bevorzugt kann die

Datenspeichereinheit in einem Datenspeicher eines solchen Mikrocontrollers/Mikroprozessors realisiert sein. Besonders bevorzugt ist die Auswahleinheit und/oder die

Verschlüsselungseinheit als ausführbarer Programmcode in einem Programmspeicher eines solchen

Mikrocontrollers/Mikroprozessors gespeichert, insbesondere in demselben. Die Sendeeinheit kann das Leuchtmittel umfassen, wenn es sich bei der Datenübertragung um eine lichtbasierte Datenübertragung handelt. Alternativ oder zusätzlich kann vorgesehen sein, dass die Sendeeinheit durch eine Funk-Bake gegeben ist.

Gemäß einer vorteilhaften Weiterbildung ist die

Auswahleinheit dazu ausgelegt, den ausgewählten ersten

Schlüssel in Abhängigkeit von dem Schlüsselwechselsignal gemäß einem vorgebbaren Schema aus dem Satz von ersten

Schlüsseln zu ermitteln. Beispielsweise können die ersten Schlüssel in einer Tabelle angeordnet sein, wobei die

Ermittlung des ausgewählten ersten Schlüssels durch

Ermittlung einer Tabellenposition anhand einer

Rechenvorschrift ermittelt wird, und der ausgewählte erste Schlüssel somit derjenige Schlüssel ist, welcher in dieser Tabelle an der jeweiligen Tabellenposition angeordnet ist.

Alternativ kann vorgesehen sein, die Tabellenposition des ausgewählten ersten Schlüssels aus einer Folge von

gespeicherten Zeigern zu ermitteln, welche jeweils auf eine Tabellenposition der Tabelle zeigen. Bevorzugt ist die Folge von gespeicherten Zeigern in einem Datenspeicher eines

Mikrocontrollers/Mikroprozessors gespeichert, besonders bevorzugt in demselben Datenspeicher.

Eine derartige Ausgestaltung ermöglicht eine Vielzahl von unterschiedlichen Codierungen der jeweiligen

Identifikationsnummern, und gleichzeitig eine einfache

Möglichkeit, die Schlüssel auf der Sende- und Empfangsseite synchron zu halten. Ein Empfangsgerät, welches Kenntnis von dem vorgebbaren Schema und dem Satz von ersten Schlüsseln hat, kann somit auf sehr einfache Weise mit der

Beleuchtungseinrichtung synchronisiert werden. Beispielsweise kann vorgesehen sein, dass die Beleuchtungseinrichtung selbst zusammen mit dem verschlüsselten Signal einen codierten

Hinweis sendet, welcher Schlüssel aktuell verwendet wird. Hierzu kann beispielsweise eine Signalisierungsfolge mit einzelnen Signalisierungsbits vorgesehen sein, welche eine vorab definierbare Bedeutung zur Schlüsselfindung aufweisen, insbesondere einen direkten Adressierungswert, welcher auf die Tabellenposition zeigt, oder einen indirekten Adressierungswert, welcher auf eine Folge von gespeicherten Zeigern weist. Weitere Signalisierungsbits können beispielsweise anzeigen, ob der jeweils ausgewählte Schlüssel direkt in der

ausgelesenen Form verwendet werden soll, oder ob zuvor bestimmte mathematische Operationen mit diesem Schlüssel durchzuführen sind, beispielsweise ein Verschieben des

Schlüssel in einem Schieberegister, genauer ein Rotieren, bei welchem die einzelnen Bits des Schlüssels zyklisch verschoben werden können. Hierbei können sowohl eine Richtung als auch eine Länge der Verschiebung, d.h. um wie viele Bits der

Schlüssel zu verschieben ist, festgelegt sein.

Gemäß einer weiteren vorteilhaften Ausführungsform ist die Auswahleinheit dazu ausgelegt, die Auswahl des ersten

Schlüssels zumindest anteilig in Abhängigkeit von einer

Zufallsvariablen zu treffen, welche mittels eines

Zufallsgenerators bereitstellbar ist. Hierdurch kann

vermieden werden, dass bei einer ausreichend langen

Aufzeichnungsdauer eines ausgewerteten Signals eine zugrunde liegende Gesetzmäßigkeit erkannt und analysiert wird und basierend auf dieser Gesetzmäßigkeit eine Vorhersage

getroffen werden kann, zu welchem Zeitpunkt welcher Schlüssel aktiv ist bzw. welche verschlüsselte Wert zu welchem

Zeitpunkt vorliegen wird.

Gemäß einer weiteren vorteilhaften Ausführungsform ist die Verschlüsselungseinheit dazu ausgelegt, den ausgewählten ersten Schlüssel vor der Verwendung mit der

Verschlüsselungsoperation um eine vorgebbare Anzahl von

Bitpositionen in einem Schieberegister zu verschieben und dabei in Schieberichtung aus dem Schieberegister

herausgeschobene Bits auf der gegenüberliegenden Seite wieder einzuschieben. Mittels einer derartigen Rotation von

Schlüsseln kann eine Erhöhung der Anzahl der Schlüssel realisiert werden. Die Länge des ersten Schlüssels und die Anzahl und Art der Schlüssel-Verschiebungen bestimmt hierbei den zusätzlichen Verschlüsselungsraum. Wenn beispielsweise die Länge einer Identifikationsnummer zehn Bit beträgt und die Länge des ersten Schlüssels ebenfalls zehn Bit, so wiederholt sich der erste Schlüssel nach zehn Schritten im Schieberegister wieder. In dem genannten Beispiel bedeutet dies, dass jeder erste Schlüssel aus dem Satz von ersten Schlüsseln zehnmal benutzt werden kann, ehe er sich

wiederholt .

Bevorzugt weist ein System mindestens eine erste

erfindungsgemäße Beleuchtungseinrichtung und mindestens eine zweite erfindungsgemäße Beleuchtungseinrichtung auf, wobei die mindestens eine erste und die mindestens eine zweite Beleuchtungseinrichtung jeweils einen eigenen Satz von ersten Schlüsseln aufweist, wodurch sich ein erfindungsgemäßes

System ergibt. Besonders bevorzugt kann vorgesehen sein, dass der Satz von ersten Schlüsseln der mindestens einen ersten Beleuchtungseinrichtung und der Satz von ersten Schlüsseln der mindestens einen zweiten Beleuchtungseinrichtung durch zwei vollständig verschiedene Schlüsselsätze gebildet sind. Der Aufwand, der notwendig ist, ein derartiges

erfindungsgemäßes System zu entschlüsseln, ohne die Kenntnis der Schlüssel zu besitzen, kann somit erhöht werden, wenn die Gültigkeit von Schlüsseln in eine lokale Abhängigkeit gesetzt wird. Beispielsweise kann vorgesehen sein, dass ein

bestimmter Satz von ersten Schlüsseln nur für

Beleuchtungseinrichtungen innerhalb eines bestimmten Raums gültig ist.

Gemäß einer vorteilhaften Weiterbildung umfasst das System eine Bake zur Bereitstellung von Positionsbestimmungsdaten mittels eines Funksignals, wobei die

Positionsbestimmungsdaten in dem System einem Bereich

zugeordnet sind, der eine Montageposition der ersten

Beleuchtungseinrichtung umfasst. Insbesondere umfasst der Bereich nicht eine Montageposition der zweiten

Beleuchtungseinrichtung. Auf diese Weise ergibt sich der Vorteil, dass eine Gültigkeitszuordnung der lokal vergebenen ersten Schlüsselsätze möglich ist, indem über die Bake

(Beacon) eine grobe Lokalisierung erfolgen kann, aus der dann weiter ermittelbar ist, welcher Schlüsselsatz in diesem

Bereich gültig ist.

Gemäß einer weiteren vorteilhaften Ausführungsform umfasst das System eine zentrale Schlüsselverwaltungseinheit, welche dazu ausgelegt ist, ein Schlüsselwechselsignal an die

mindestens eine erste und die mindestens eine zweite

Beleuchtungseinrichtung zu senden, wobei das

Schlüsselwechselsignal zumindest anteilig

Schlüsselgenerierungsmaterial umfasst, und wobei die

jeweilige Verschlüsselungseinheit dazu ausgelegt ist, in Abhängigkeit von dem jeweils ausgewählten ersten Schlüssel und von dem übertragenen Schlüsselgenerierungsmaterial gemäß einer vorgebbaren Berechnungsvorschrift einen jeweils neuen zweiten Schlüssel zu ermitteln, wobei die jeweilige

Datenspeichereinheit dazu ausgelegt ist, den jeweiligen zweiten Schlüssel als zusätzlichen ersten Schlüssel in dem jeweiligen Satz von ersten Schlüsseln zu ergänzen. Somit können unter Verwendung von einem für alle

Beleuchtungseinrichtungen innerhalb des Systems verwendbaren Schlüsselgenerierungsmaterial individuelle lokale Schlüssel erzeugt werden, welche aufgrund der Einbindung eines der ersten Schlüssel, welche innerhalb des jeweiligen Satzes von ersten Schlüsseln gespeichert sind, eine unabhängige

Schlüsseldiversifizierung erhalten. Damit kann auch unter Verwendung von Schlüsselgenerierungsmaterial mit im Vergleich zu dem Satz von ersten Schlüsseln geringen Datenumfang eine Vielfalt von ersten Schlüsselsätzen erhalten und ausgebaut werden .

Bevorzugt kann vorgesehen sein, dass ein derart erzeugter zusätzlicher erster Schlüssel in einer Datentabelle, welche den Satz von ersten Schlüsseln umfasst, an einem noch freien, für derartige Ergänzungen reservierten Speicherplatz

eingefügt wird, um damit jeweils neue, noch nicht verwendete Schlüssel zu generieren. Besonders bevorzugt kann vorgesehen sein, einen vorgebbaren Bereich vorzuhalten, in dem

zusätzliche erste Schlüssel, die in Abhängigkeit von

Schlüsselgenerierungsmaterial erzeugt wurden, abgespeichert werden. Dabei kann vorgesehen sein, dass dieser Bereich zyklisch überschrieben wird, wenn ein Schlüsselwechselsignal an die Beleuchtungseinrichtungen gesendet wird. Bevorzugt kann der vorgebbare Bereich zur Ergänzung mit zusätzlichen ersten Schlüsseln dieselbe Größe aufweisen wie der Satz von ersten Schlüsseln, sodass für jeden der ersten Schlüssel aus dem Satz von ersten Schlüsseln durch die Anwendung der vorgebbaren Berechnungsvorschrift zusammen mit dem

Schlüsselgenerierungsmaterial jeweils ein zusätzlicher neuer Schlüssel in den erweiterten Bereich eingetragen wird.

Die Erfindung geht weiterhin aus von einem Verfahren zur Bereitstellung einer Datenübertragung an ein mobiles Endgerät mittels einer Beleuchtungseinrichtung. Erfindungsgemäß wird das Verfahren weitergebildet durch Speichern eines Satzes von ersten Schlüsseln in einem dafür reservierten Speicherbereich einer Datenspeichereinheit der Beleuchtungseinrichtung, Auswählen eines ersten Schlüssels aus dem Satz von ersten Schlüsseln in Abhängigkeit von einem an einer

Datenschnittstelle der Beleuchtungseinrichtung

bereitstellbaren Schlüsselwechselsignal und/oder in

Abhängigkeit von einem durch einen Schlüsselwechseltaktgeber der Beleuchtungseinrichtung bereitstellbaren

beleuchtungseinrichtungsinternen Schlüsselwechselsignal. Das Verfahren umfasst weiterhin Auslesen des ausgewählten ersten Schlüssels aus dem reservierten Speicherbereich, Umsetzen von Messwertedaten und/oder Identifikationsdaten, welche zur Übertragung an das mobile Endgerät bestimmt sind, gemäß einer vorgebbaren Verschlüsselungsoperation in eine mit dem

ausgewählten ersten Schlüssel verschlüsselte Nachricht, und Senden der verschlüsselten Nachricht an das mobile Endgerät durch eine Sendeeinheit der Beleuchtungseinrichtung. Insbesondere in Fällen, in denen das Schlüsselmanagement über eine Datenschnittstelle der Beleuchtungseinrichtung mit einer in der Regel begrenzte Datenübertragungskapazität erfolgt, beispielsweise über eine Steuerungsschnittstelle mit

Anschluss an ein übergeordnetes Beleuchtungssteuerungssystem (Lichtmanagementsystem/Gebäudemanagementsystem) , kann auf diese Weise mittels Bereitstellung von

Schlüsselwechselsignalen mit im Vergleich zu den Schlüsseln geringem Datenumfang eine Verschlüsselung der Messwertedaten und/oder Identifikationsdaten auf vielfältige Weise erfolgen, sodass eine Rekonstruktion praktisch unmöglich ist. Die

Erfindung dient somit nicht nur dazu, einen Dateninhalt zu verschlüsseln, sondern gleichzeitig auch dazu, die Identität des zugrunde liegenden Datenpakets, beispielsweise der

Identifikationsdaten, zu verbergen.

Gemäß einer vorteilhaften Weiterbildung umfasst das Verfahren Senden eines Schlüsselwechselsignals an die

Beleuchtungseinrichtung, wobei das Schlüsselwechselsignal zumindest anteilig Schlüsselgenerierungsmaterial umfasst, Ermitteln eines zweiten Schlüssels in Abhängigkeit von dem ausgewählten ersten Schlüssel und von dem übertragenen

Schlüsselgenerierungsmaterial gemäß einer vorgebbaren

Berechnungsvorschrift, und Ergänzen des zweiten Schlüssels als zusätzlichen ersten Schlüssel in dem Satz von ersten Schlüsseln. Dadurch können weitere, von den innerhalb der Beleuchtungseinrichtung vorhandenen ersten Schlüsseln

aufgrund des zusätzlich eingebrachten

Schlüsselgenerierungsmaterial nicht ableitbare weitere

Schlüssel erzeugt werden, deren Bildungsvorschriften von einem Dritten, welcher die verschlüsselten Nachrichten analysiert, nicht mehr rekonstruiert werden können.

Insbesondere dadurch, dass die beispielsweise über eine

Steuerungsschnittstelle bereitgestellten

Schlüsselgenerierungsmaterialien für einen unbefugten Dritten nicht zugänglich sind, wird durch dieses Verfahren ein hoher Schutz erreicht. Ein für den Empfang der Datenübertragung von der Beleuchtungseinrichtung bzw. dem System autorisierter Benutzer kann beispielsweise von der zentralen

Schlüsselverwaltungseinheit, beispielsweise einem

Schlüsselserver im Netzwerk, welches über einen WLAN-Zugang oder einen Mobilfunkzugang abfragbar ist, das zu dem

aktuellen Zeitpunkt verwendete Schlüsselgenerierungsmaterial zugesendet bekommen, um damit basierend auf dem

ursprünglichen Satz von ersten Schlüsseln den jeweils

geltenden zweiten Schlüssel zu berechnen.

Gemäß einer weiteren vorteilhaften Ausführungsform umfasst das Verfahren Erzeugen eines zweiten Schlüssels zur

Verwendung mit der Verschlüsselungsoperation durch

Kombination von zumindest zwei ersten Schlüsseln aus dem Satz von ersten Schlüsseln gemäß einer vorgebbaren

Kombinationsrechenvorschrift. Hierdurch können weitere

Schlüssel aus den ursprünglich vorhandenen ersten Schlüsseln sowie aus den weiteren, durch Kombination mit einem

Schlüsselgenerierungsmaterial gewonnenen Schlüsseln erzeugt werden. Die Verfahrensschritte können hierbei beliebig miteinander kombiniert werden.

Eine derartige Kombinationsrechenvorschrift kann

beispielsweise derart gebildet werden, dass eine bitweise Exklusiv-Oder-Verknüpfung der beiden Operanden ausgeführt wird. Weitere Kombinationsmöglichkeiten und/oder

Kaskadierungen von Verfahrensschritten sind ebenfalls möglich und ermöglichen eine nahezu unerschöpfliche Vielfalt von verwendbaren ersten Schlüsseln, sodass selbst bei einem täglichen Wechsel des Schlüssels in dem System insbesondere die Wiederholung einer ganzen Schlüsselsequenz auszuschließen ist .

Die für die erfindungsgemäße Beleuchtungseinrichtung

beschriebenen Vorteile und bevorzugten Ausführungsformen gelten auch für das erfindungsgemäße System. Ebenso gelten die für die erfindungsgemäßen Vorrichtungen beschriebenen Vorteile und Merkmale sowie Ausführungsformen gleichermaßen für entsprechende Verfahren und umgekehrt. Folglich können für Vorrichtungsmerkmale entsprechende Verfahrensmerkmale und umgekehrt vorgesehen sein. Die vorstehend in der Beschreibung genannten Merkmale und Merkmalskombinationen sowie die nachfolgend in der

Figurenbeschreibung genannten und/oder in den Figuren alleine gezeigten Merkmale und Merkmalskombinationen sind nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar, ohne den Rahmen der Erfindung zu verlassen. Es sind somit auch Ausführungen als von der Erfindung offenbart anzusehen, die in den Figuren nicht explizit gezeigt oder erläutert sind, jedoch durch separierte Merkmalskombinationen aus den

erläuterten Ausführungen hervorgehen und erzeugbar sind.

Weitere Vorteile und Merkmale ergeben sich anhand der folgenden Beschreibung von Ausführungsbeispielen unter

Berücksichtigung der beigefügten Figuren. In den Figuren bezeichnen gleiche Bezugszeichen gleiche Merkmale und

Funktionen .

Es zeigen: Fig. 1 in vereinfachter schematischer Darstellung ein

Beleuchtungssystems mit einer lokalen

clientbasierten Entschlüsselung,

Fig. 2 in vereinfachter schematischer Darstellung ein

Beleuchtungssystem mit einem asymmetrischen

Kryptosystem,

Fig. 3 in vereinfachter schematischer Darstellung ein

Beleuchtungssystem mit einer serverbasierten

Entschlüsselung, Fig. 4 in vereinfachter schematischer Darstellung das

Aufbringen und den Transport der Schlüssel für die Verwendung in einem Beleuchtungssystem, Fig. 5 in vereinfachter schematischer Darstellung eine

beispielhafte Schlüsselverteilung über ein unter Nutzung einer Beacon-Funktionalität aufgebautes drahtloses Netzwerk zur Schlüsselverteilung für die Verwendung in einem Beleuchtungssystem,

Fig. 6 in schematischer Darstellung ein vereinfachtes

Beispiel für eine symmetrische Verschlüsselung einer Leuchten-Identifikationsnummer und deren Entschlüsselung,

Fig. 7 in vereinfachter schematischer Darstellung eine

beispielhafte Zusammensetzung einer verschlüsselten Nachricht, Fig. 8 in vereinfachter schematischer Darstellung die

Auswahl eines Schlüssels aus einem Satz von

Schlüsseln gemäß einer bevorzugten Ausführungsform der Erfindung, Fig. 9 in vereinfachter schematischer Darstellung eine

beispielhafte Bedeutungszuweisung der

Signalisierungsbits für Rotation und

Rotationsrichtung eines Schlüssels zur Verwendung mit der Erfindung,

Fig. 10 in vereinfachter schematischer Darstellung die

Erzeugung neuer Schlüssel durch bitweise Rotation eines vorhandenen Schlüssels zur Verwendung mit der Erfindung, und

Fig. 11 in vereinfachter schematischer Darstellung die

Erzeugung eines neuen Schlüssels aus zwei vorhandenen Schlüsseln zum Einsatz mit der

Erfindung .

Ein Beleuchtungssystem 100 umfasst zumindest eine Leuchte 12 beispielsweise in Form einer Deckenleuchte. Die Leuchte 12 umfasst ein Leuchtmittel 13. Weiterhin umfasst das

Beleuchtungssystem 100 ein mobiles Endgerät 14.

Das Beleuchtungssystem 100 kann des Weiteren unabhängig voneinander und in beliebiger Kombination mindestens eine der nachfolgenden Komponenten aufweisen: eine Bake 16, einen WLAN-Router 18 sowie eine Servereinheit 20. Eine Bake 16, welche in einer direkten Datenverbindung mit der Leuchte 12 steht, wird ebenso wie das Leuchtmittel 13 und ein

zugehöriges Betriebsgerät (Treiber) als Teil der jeweiligen Beleuchtungseinrichtung betrachtet .

Das Leuchtmittel 13 kann zur lichtbasierten Kommunikation ausgelegt sein. Diese ist beispielsweise für die Navigation im Innenraum von Gebäuden, sogenannte Indoor-Navigation, geeignet. Lichtbasierte Indoor-Navigation beruht auf der Aussendung einer Licht-ID (LID) , die mithilfe des mobilen Endgeräts 14 empfangen und detektiert werden kann. Die Licht- ID wird hierzu in den Lichtstrom - unsichtbar für das

menschliche Auge - aufmoduliert . Um das Signal mit dem mobilen Endgerät 14 zu detektieren, muss eine Sichtverbindung (line-of-sight) zwischen dem Detektor, beispielsweise einer Kamera des mobilen Endgeräts 14, und dem Leuchtmittel 13 bestehen, welches die modulierte Lichtquelle darstellt. Die Licht-ID wird von dem mobilen Endgerät 14 wieder aus dem Licht herausgefiltert und demoduliert.

Der Erfindung liegt die weitere Erkenntnis zugrunde, dass Sendeeinheiten, welche zur lokalen Abstrahlung von Signalen, welche ortsspezifische Messwertedaten und/oder

Identifikationsdaten beinhalten, vielfach keinen Rückkanal aufweisen, wie es bei der lichtbasierten Kommunikation über das Leuchtmittel 13 der Fall ist, wodurch Verschlüsselungen, die auf bidirektionaler Kommunikation beruhen, nicht

einsetzbar sind.

Die Licht-ID selbst kann direkt eine Positionsinformation der Lichtquelle beinhalten oder aber indirekt über eine Look-up- Tabelle ermittelt werden. Hierzu findet in der Look-up- Tabelle eine Zuordnung von Licht-ID und

Positionsinformationen der Lichtquelle statt. Um die

Positionsgenauigkeit weiter zu erhöhen, kann eine optische Auswertung über einen Bildsensor (Kamera) durchgeführt werden. Hierzu werden die unterschiedlichen Winkel ermittelt, unter welchen der Bildsensor die verschiedenen Licht-IDs empfängt. Aus drei verschiedenen Licht-IDs lässt sich somit im Raum über Triangulation eine eindeutige Position

ermitteln. Die eigene Lage des Empfängers, beispielsweise der Kamera, in dem mobilen Endgerät 14 wird in dem Empfänger mittels Sensoren ( 3D-Beschleunigungssensoren) ermittelt, um die eigene Lage zu detektieren und einen daraus

resultierenden lageabhängigen Fehler in der

Positionsermittlung zu kompensieren.

Neben der Positionsinformation können beliebige weitere Meta- Daten, beispielsweise ortsspezifische Messwertedaten, welche von der Leuchte 12 bereitgestellt werden, mit der Licht-ID verknüpft werden. Die Look-up-Tabelle kann als integrierter Teil in einer Anwendung hinterlegt sein, welche auf dem mobilen Endgerät 14 abläuft, oder aber auf der externen

Serverreinheit 20 hinterlegt sein, auf welche das mobile Endgerät 14 zugreift.

Umgekehrt kann die Look-up-Tabelle auch dynamische

Informationen aufnehmen, beispielsweise welches mobile

Endgerät 14 welche Positionsinformationen abgefragt hat.

Somit lässt sich ein dynamisches Bewegungsprofil aufzeichnen (tracking) und mit einem Zeitstempel abspeichern (tracing) . Diese Bewegungsinformationen bilden die Grundlage für

verschiedenste ortsbezogene Dienste und Analysen. Es gibt verschiedene drahtlose funkbasierte Systeme wie WLAN oder Bluetooth, die für eine Indoor-Positionsbestimmung verwendet werden können. Hierbei ist zum einen die Position des Senders (WLAN Access Point) in der Fig. 1 als optionaler WLAN-Router 18 dargestellt oder einer Bake 16 - bei

Bluetooth-basierten Funksystemen auch als Beacon bezeichnet - bekannt und anhand der Signalfeldstärke des empfangenen

Signals (received signal strength, RSSI) kann der Abstand zwischen Sender und mobilem Empfänger abgeschätzt werden. Für eine eindeutige Positionsbestimmung werden mindestens drei verschiedene Sendequellen benötigt (Trilateration) .

Erschwerend tritt hinzu, dass die Licht-ID , welche also beispielsweise eine Identifikationsnummer einer Leuchte sein kann, stets einen statischen Wert annimmt. Das gleiche gilt für ( Sende- ) Baken 16 (Beacons) , was der Einfachheit halber nachfolgend am Beispiel einer Leuchten-ID (im Folgenden synonym mit Licht-ID verwendet) und der zugehörigen

Verschlüsselung beschrieben wird. Wird eine feste Leuchten-ID mit einem festen Verschlüsselungsschlüssel EKey

verschlüsselt, entsteht wieder eine feststehende Code- Sequenz, nämlich die verschlüsselte Nachricht Code. Diese feste Code-Sequenz kann ebenfalls als Pseudo-ID genutzt werden. Ohne die eigentliche dahinterliegende Leuchten-ID zu kennen, lässt sich ein Pseudo-ID-basiertes

Positionsbestimmungssystem aufbauen .

Gemäß der Erfindung wird nun in dem Beleuchtungssystem 100 die Licht-ID nicht statisch offen übertragen, sondern

verschlüsselt. Eine besondere Herausforderung besteht darin, dass Licht zur Standard-Beleuchtung keinen direkten Rückkanal besitzt. Insofern lassen sich klassische Verfahren nicht einsetzen, die auf dem Prinzip der bidirektionalen

Kommunikation beruhen. In der Fig. 1 sind verschiedene Wege dargestellt, wie ein Entschlüsselungsschlüssel DKey zur

Entschlüsselung einer verschlüsselten Nachricht Code, welcher über das Leuchtmittel 13 auf dem Wege einer lichtbasierten Kommunikation bereitgestellt wird, bezogen werden kann. Zur Verhinderung einer unberechtigten Mitbenutzung können wechselnde Verschlüsselungsschlüssel EKey verwendet werden. So verändert sich das die verschlüsselte Nachricht Code transportierende Signal mit jedem neuen

Verschlüsselungsschlüssel EKey. Wird der

Verschlüsselungsschlüssel EKey beispielsweise wöchentlich verändert, so lohnt es sich für einen unberechtigten

Mitbenutzer nicht, seine parasitäre Applikation immer wieder neu auf die neuen Pseudo-IDs umzustellen. Zu diesem Zweck kann vorgesehen sein, eine Reihe von

Verschlüsselungsschlüsseln EKey [ l...m] in dem

Beleuchtungssystem 100 vorzuhalten, die dann nach einem vorgegebenen Muster verwendet werden. Der jeweils aktive Verschlüsselungsschlüssel EKey[n] und das Muster sind dann auf Sende- und Empfangsseite synchron zu halten.

Bei Anwendung von symmetrischen Kryptographieverfahren sind der erste Schlüssel, das heißt der Verschlüsselungsschlüssel EKey, und der zweite Schlüssel, das heißt der

Entschlüsselungsschlüssel DKey, identisch.

Nachfolgend wird eine Abhängigkeit des

Verschlüsselungsschlüssels EKey vom Ort durch Ekey[loc] gekennzeichnet, eine Abhängigkeit des

Verschlüsselungsschlüssels EKey von der Zeit durch

Ekey [temp] , und eine Abhängigkeit von sowohl von der Zeit als auch vom Ort EKey [temp, loc] . So kennzeichnet beispielsweise EKey[n,loc] einen jeweils aktuell aktivierten und für die Verschlüsselungsoperation verwendeten

Verschlüsselungsschlüssel der jeweiligen lokalen

Beleuchtungseinrichtungen, welche gemeinsam denselben

Schlüssel benutzen, also im Extremfall jeweils einer einzigen Beleuchtungseinrichtung, wenn alle Beleuchtungseinrichtungen innerhalb des Beleuchtungssystems eigene Schlüssel verwenden. In letzterem Fall repräsentiert loc einen Laufindex von 1 bis Anzahl der einzelnen Beleuchtungseinrichtungen in dem

BeieuchtungsSystem. Ein Verschlüsselungsschlüssel EKey [n-1 , loc] kennzeichnet einen Schlüssel, der vor dem Verschlüsselungsschlüssel

EKey [n, loc] aktiv war und durch letzteren ersetzt wurde. In gleicher Weise beschreibt EKey [n+1 , loc] einen

Verschlüsselungsschlüssel, der noch nicht aktiviert ist, aber dazu bestimmt ist, an die Stelle des aktuellen

Verschlüsselungsschlüssels EKey [n, loc] zu treten. Dasselbe gilt entsprechend für Entschlüsselungsschlüssel

DKey, welche - sofern nicht ohnehin identisch bei Verwendung einer symmetrischen Verschlüsselung - zu dem jeweiligen

Verschlüsselungsschlüssel EKey passend zuzuordnen sind. Für eine clientseitige Entschlüsselung, also eine

Entschlüsselung auf dem mobilen Endgerät 14, benötigt das mobile Endgerät 14 den Entschlüsselungsschlüssel DKey, um die verschlüsselte Nachricht Code zu entschlüsseln. Der

Entschlüsselungsschlüssel DKey kann hierzu bereits ein Teil der Anwendung sein, die auf dem mobilen Endgerät

beispielsweise als Smartphone-App ausgeführt wird.

Alternativ kann der Entschlüsselungsschlüssel DKey dem mobilen Endgerät 14 beziehungsweise der darauf ablaufenden Anwendung während des Betriebs bereitgestellt werden. Die

Bereitstellung des Entschlüsselungsschlüssels DKey kann i.) über eine externe Servereinheit 20 erfolgen, wobei wahlweise ein lokal gültiger Entschlüsselungsschlüssel DKey[loc], der für jede Leuchte 12 individuell zugewiesen wird, oder ein globaler Entschlüsselungsschlüssel DKey, der für alle

Leuchten 12 innerhalb des Beleuchtungssystems 100 gleich, aber gegebenenfalls nur zeitlich begrenzt gültig ist, erfolgen. Gemäß ii.) kann der Entschlüsselungsschlüssel DKey über die Leuchte 12 selbst zur Verfügung gestellt werden. Zusätzlich oder alternativ kann gemäß iii.) über eine lokale Informationsquelle der Entschlüsselungsschlüssel DKey zur Verfügung gestellt werden, beispielsweise über die Bake 16 oder über den WLAN-Router 18. Bevorzugt kann vorgesehen sein, dass ein jeweils lokal zur Verfügung gestellter Schlüssel auch nur lokale Gültigkeit hat. Die Bereitstellung des Entschlüsselungsschlüssels DKey erfolgt nur nach vorangegangener Authentifizierung des mobilen Endgeräts 14 und zeitlich begrenzt. Der

Entschlüsselungsschlüssel DKey wird über sichere

Verbindungen, beispielsweise Bluetooth oder WLAN, übertragen. Die Verschlüsselung kann auch gemäß der Darstellung in Fig. 2 individuell pro mobilem Endgerät 14 erfolgen. Hierzu erzeugt das mobile Endgerät 14 ein Schlüsselpaar bestehend aus einem öffentlichen Schlüssel PuKey und einen privaten Schlüssel PrKey, wobei in einem ersten Schritt der öffentliche

Schlüssel PuKey an die Leuchte 12 übertragen wird. Der öffentliche Schlüssel PuKey kann beispielsweise über die Bake 16, den WLAN-Router 18 oder die Servereinheit 20 an die

Leuchte 12 übertragen werden. Von der Leuchte 12 werden die Identifikationsdaten ID verschlüsselt und mittels des

Leuchtmittels 13 gesendet, sodass nur das mobile Endgerät 14, welches den zugehörigen privaten Schlüssel PrKey besitzt, diese Identifikationsdaten ID wieder entschlüsseln kann.

Eine Datenverbindung zwischen der Servereinheit 20 und der Leuchte 12 ist gemäß der Darstellung in der Fig. 2 über ein

Lichtmanagementsystem beziehungsweise Gebäudemanagementsystem 21 gegeben.

Eine serverseitige Entschlüsselung und RückÜbertragung zu dem mobilen Endgerät 14 ist in der Fig. 3 dargestellt. Die verschlüsselte Nachricht Code wird zu der Servereinheit 20 übertragen und dort entschlüsselt. Von dort werden die aus der verschlüsselten Nachricht Code gewonnen

Identifikationsdaten ID zurück zu dem mobilen Endgerät 14 übertragen. Dies hat den Vorteil, dass die Verschlüsselung beliebig verändert werden kann und der

Entschlüsselungsschlüssel DKey nicht auf viele lokale

Endgeräte 14 oder andere vergleichbare Clients übertragen werden muss, was somit ein sichereres System darstellt. Die Identifikationsdaten ID können vor Ort für die Freischaltung von weiteren Dienstleistungen wie beispielsweise einer

Lichtsteuerung verwendet werden.

Um die Sicherheit weiter zu erhöhen, kann eine „lokale

Authentifizierung" stattfinden. Hier kann durch weitere lokale Signale und Informationsquellen sichergestellt werden, dass die Anfragen an die Servereinheit 20 mit den lokalen Identifikationsdaten ID tatsächlich vor Ort erfolgt und kein Auslesen der Daten von Dritten beispielsweise durch

automatisierte Abfragen erfolgt. Eine lokale

Authentifizierung LocAuth kann beispielsweise dadurch

erfolgen, dass über die Bake 16 oder den WLAN-Router 18 eine Ortsverifikation VerLoc bei der Servereinheit 20 vorgenommen wird .

Bei einer serverseitigen Entschlüsselung der verschlüsselten Nachricht Code können auch direkt Positionsinformationen Pos zu dem mobilen Endgerät 14 zurückgesendet werden. Die

verschlüsselte Nachricht Code wird hierzu auf die

Servereinheit 20 übertragen und dort mittels des

Entschlüsselungsschlüssels DKey entschlüsselt. Weiterhin erfolgt dort auch die Umsetzung der Identifikationsdaten ID in die Positionsinformation Pos, wobei die

Positionsinformationen Pos auch für beliebig andere Daten, welche eindeutig den Identifikationsdaten ID zugeordnet werden können, repräsentieren. Somit können die

Positionsdaten Pos stellvertretend für beliebig weitere der Leuchte 12 zuordenbare Daten betrachtet werden. Die

Positionsdaten Pos (oder weitere der Leuchte 12 zuordenbare Daten) werden dann zurück an das mobile Endgerät 14

übertragen. Vorteil dieser Ausführung ist, dass auf der Seite des mobilen Endgeräts 14 kein Zusammenhang zwischen der verschlüsselten Nachricht Code und den unverschlüsselten

Identifikationsdaten ID hergestellt werden kann, da nur die verschlüsselte Nachricht Code dem mobilen Endgerät 14 bekannt ist . Die Übertragung eines Verschlüsselungsschlüssels EKey in eine Leuchte 12 ist in der Fig. 4 dargestellt. Die Übertragung des Verschlüsselungsschlüssels EKey kann beispielsweise in der Produktion der jeweiligen Leuchte 12, also statisch,

erfolgen. Die Abspeicherung eines oder mehrerer lokaler

Verschlüsselungsschlüssel EKey in einer Leuchte 12

beziehungsweise in einem Treiber 11 (Betriebsgerät) einer Leuchte 12 kann bereits während der Produktion erfolgen.

Insbesondere kann die Übertragung des lokalen

Verschlüsselungsschlüssels EKey gemeinsam mit dem

Programmieren einer Leuchten-ID in Form der

Identifikationsdaten ID erfolgen. Anhand der

Identifikationsdaten ID kann bei der Inbetriebnahme und

Lokalisierung einer Leuchte 12 an einer bestimmten Position auch die Schlüsselzuordnung erfolgen.

Während des Betriebs einer Leuchte 12 in einem

Beleuchtungssystem 100 kann die Übertragung eines

Verschlüsselungsschlüssels EKey auch dynamisch erfolgen.

Während des Betriebs lassen sich neue

Verschlüsselungsschlüssel EKey in den Treiber 11 der Leuchte 12 einspielen. Dabei kann die Einspielung manuell über eine drahtgebundene oder drahtlose Schnittstelle stattfinden.

Hierzu eignet sich auch in besonderer Weise ein bereits bestehendes Netzwerk zur Lichtsteuerung, da hierfür in der Regel nur geringe Daten notwendig sind und es sich um ein nicht öffentlich zugängliches Netzwerk handelt. Dieses

Netzwerk zur Lichtsteuerung ist über ein Gebäudebeziehungsweise Lichtmanagementsystem 21 bei entsprechender Autorisierung zugänglich. Beispielsweise kann die

Servereinheit 20 als Schlüsselserver auf das Gebäude ^¬ beziehungsweise Lichtmanagementsystem 21 zugreifen.

Auch funkbasierte Sende- und Empfangseinheiten, die mit dem Treiber 11 verbunden sind, beispielsweise die Bake 16, die in diesem Fall zweckmäßigerweise für bidirektionale Funkübertragungen ausgelegt ist, können für das Einspielen der Verschlüsselungsschlüssel EKey dienen. Hier bieten sich Baken oder Beacons an, die mit dem Leuchten-Treiber 11 verbunden sind. Diese lassen sich auch als Empfänger für Daten verwenden und somit auch als Datenpfad für die

Schlüsselverteilung nutzen. Die Sende-Empfangs-Einheiten in Form der bidirektional arbeitenden Baken 16 können

untereinander ein drahtloses Netzwerk (Mesh) aufbauen, sodass an nur einem Zugangspunkt dieses drahtlosen Netzwerkes ein Gateway 22 vorgesehen ist, an welchem die

Verschlüsselungsschlüssel EKey eingespielt werden können.

In der Fig. 5 sind mehrere Leuchten 12 sowie mehrere Baken 16 dargestellt, die ein drahtloses Kommunikationsnetzwerk bilden. Ein solches Netzwerk wird als Maschennetz Mesh bezeichnet. Für den Zugang zu diesem drahtlosen

Kommunikationsnetzwerk ist das Gateway 22 vorgesehen. Die Verteilung der Entschlüsselungsschlüssel DKey an die

verschiedenen Leuchten 12 erfolgt hierbei entsprechend der Vermaschung des Netzes jeweils von einer Bake 16 zu einer im Maschennetz folgenden Bake 16.

Die Verschlüsselungsschlüssel EKey können von einer

Servereinheit 20 an das lokale Gateway 22 übertragen werden oder über das mobile Endgerät 14 an das Gateway 22 übertragen werden .

Ebenso kann auch vorgesehen sein, den

Verschlüsselungsschlüssel EKey in eine Sende-Empfangs- Einheit, beispielsweise in eine bidirektional betreibbare Bake 16, zu übertragen. Auch derartige Sende-Empfangs- Einheiten können statische Identifikationsdaten ID aussenden, die nicht geschützt sind. Um die Identifikationsdaten ID auch bei diesen Sende-Empfangs-Einheiten zu schützen, kann die gleiche Methode zur Schlüsselverteilung verwendet werden. Nur wird hierzu der Entschlüsselungsschlüssel DKey nicht an die Leuchte 12 weitergereicht, sondern direkt von den Sende- Empfangs-Einheiten (Bake 16) verwendet. Falls nicht ein zentraler, für alle Leuchten 12 und/oder Sende-Empfangs-Einheiten einheitlich gültiger

Verschlüsselungsschlüssel EKey verwendet werden soll ist, sondern für jede Leuchte 12 / Sende-Empfangs-Einheit

individuelle Verschlüsselungsschlüssel EKey verteilt werden sollen, kann für die Adressierung der

Entschlüsselungsschlüssel DKey bei der Verteilung vorgesehen sein, die Schlüssel individuell zuzuordnen, wie in der Fig. 2 dargestellt. Hierbei ist es wichtig, den richtigen

Verschlüsselungsschlüssel EKey der vorgesehenen Leuchte 12 beziehungsweise den Sende-Empfangs-Einheiten (welche im

Übrigen als Teil derjenigen Beleuchtungseinrichtung

betrachtet werden, mit der sie in direkter

Kommunikationsverbindung stehen) zu senden. Dies kann über eine Routing-Tabelle geschehen, wo alle Leuchten 12

beziehungsweise Sende-Empfangs-Einheiten lokal abgebildet sind. In dieser Routing-Tabelle sind die möglichen

Kommunikationswege eingezeichnet, über die ein

Verschlüsselungsschlüssel EKey an die richtige Position gebracht werden kann. Die Synchronisierung der

Schlüsselauswahl und Abfolge kann durch eine zeitliche

Synchronisierung erreicht werden, wofür eine einheitliche Zeitbasis auf beiden Seiten erforderlich ist, was den

Nachteil aufweist, dass beide Komponenten (Sender und

Empfänger) einen synchronen Taktgeber benötigen, was einen nicht unerheblichen Aufwand bedeutet.

Die Synchronisierung der Schlüssel kann vorteilhaft über den Datenstrom der verschlüsselten Nachricht Code selbst

erfolgen. Hierzu werden neben den eigentlichen

verschlüsselten Identifikationsdaten ID weitere

Signalisierungsbits x in einer Signalisierungsbitfolge KeySig der verschlüsselten Nachricht Code verwendet, wie in der Fig. 6 dargestellt. Über diese Signalisierungsbits x kann dem Empfänger mitgeteilt werden, welcher der jeweiligen

Entschlüsselungsschlüssel DKey [ l...m] zur Entschlüsselung verwendet werden muss. Gemäß der Darstellung in der Fig. 6 kann eine Leuchten-ID mit dem binären Wert 1010101 durch einen

Verschlüsselungsschlüssel EKey mit dem binären Wert 1110000 mittels einer XOR-Operation zu dem binären Wert 0100101 codiert werden. Dem codierten Wert wird außerdem noch eine Signalisierungsbitfolge KeySig bestehend aus drei

Signalisierungsbits x angehängt, mittels derer der Empfänger erkennen kann, welchen Schlüssel er zur Entschlüsselung der Nachricht Code anwenden muss. In dem dargestellten Beispiel handelt es sich um eine Form der symmetrischen

Verschlüsselung, bei der der Verschlüsselungsschlüssel EKey gleich dem Entschlüsselungsschlüssel DKey ist. Durch die bitweise Anwendung eines XOR-Operators auf die Nachricht Code und den Entschlüsselungsschlüssels DKey ergibt sich wiederum die ursprüngliche Leuchten-ID L-ID.

Fig. 7 zeigt beispielhaft, welche Informationen mittels einer Signalisierungsbitfolge KeySig an einen Empfänger der

verschlüsselten Nachricht Code bereitgestellt werden können. Beispielsweise kann die Bitfolge signalisieren, dass eine Verschlüsselung aktiv ist (EncryptionActive) , einen der aktuellen Verschlüsselung zugrundeliegenden Schlüssel aus einem Pool von zur Verfügung stehenden Schlüsseln zu

referenzieren (KeySelection) , sowie eine mögliche

Verschiebung des jeweiligen Ausgangsschlüssels durch eine bitweise Rotation in eine vorgebbare Anzahl Bits mit

vorgebbarer Richtung anzuzeigen ( Shift&Direction) . Fig. 8 zeigt die Möglichkeit, aus einem Pool vorgegebener Schlüssel Key_000, Key_001, Key_010, Key_011 ... Key_lll in Abhängigkeit von der Signalisierungsbitfolge KeySig den jeweiligen Schlüssel auszuwählen. Bei einer Anzahl N = 3 der Signalisierungsbits x ergibt sich somit über 2 ^N = 8 mögliche Schlüssel.

Weiterhin kann die Generierung eines eindeutigen

Verschlüsselungsschlüssels EKey jeweils in der lokalen Leuchte 12, insbesondere in deren Treiber 11, beziehungsweise in der jeweiligen lokalen Sende-Empfangs-Einheit ,

stellvertretend in der Fig. 5 dargestellt durch die Baken 16, erfolgen. Werden die Verschlüsselungsschlüssel EKey[loc] lokal erzeugt und diese erzeugten individuell lokalen

Verschlüsselungsschlüssel EKey[loc] an die Servereinheit 20 zur Verwaltung übermittelt, entsteht eine wesentlich

geringere Komplexität, da es nur einen Empfänger gibt und somit keine Routing-Tabelle erzeugt und gepflegt werden muss. Jede Leuchte 12 sendet hierzu ihren eigenen individuell erzeugten Verschlüsselungsschlüssel EKey [loc] zusammen mit den jeweils festen Identifikationsdaten ID aus, die der

Leuchte 12 zugeordnet wurden. Anstatt der

Identifikationsdaten ID kann auch die genaue lokale Position der Leuchte 12 übermittelt werden, wo dieser Schlüssel zum

Einsatz kommt. So wird auf der Servereinheit 20 eine Tabelle aufgebaut, welche die lokalen Schlüssel und die individuellen Identifikationsdaten ID beziehungsweise die Position der Leuchte 12 / der Bake 16 (Sende-Empfangs-Einheit) enthält.

Um das Beleuchtungssystem 100 noch besser zu schützen, kann die Schlüsselgenerierung von der Servereinheit 20 ausgelöst werden. Hierzu wird ein Signal an alle Baken 16 / Leuchten 12 / Sende-Empfangs-Einheiten gesendet, wie in der Fig. 5 dargestellt. Idealerweise wird dieser Prozess in Zeiten ausgeführt, wo das Beleuchtungssystem 100 nicht im Einsatz ist beziehungsweise kein oder nur ein geringes Datenaufkommen herrscht, beispielsweise nachts. Somit wechselt auf der Seite der Servereinheit 20 jeweils nur einmal der

Verschlüsselungsschlüssel EKey [temp] , während die Leuchten 12 beziehungsweise die Baken 16 dann lokal jeweils einen

unabhängigen Verschlüsselungsschlüssel EKey [temp, loc] daraus erzeugen . Um die Datenmenge zu verteilen, die bei der Rückmeldung der neuen Verschlüsselungsschlüssel EKey entsteht, kann ein individueller zeitlicher Versatz definiert werden. Um nicht jeder Einheit, also den in dem Maschennetz Mesh eingebundenen Komponenten in Form der Leuchte 12, Baken 16 sowie sonstige Sende-Empfangs-Einheiten wie WLAN-Router 18, welche jeweils über einen eigenen Schlüsselgenerator verfügen, einen

individuellen Zeitversatz zwischen dem Signal zur neuen

Schlüsselgenerierung und dem Senden der neuen

Verschlüsselungsschlüssel EKey an die Servereinheit 20 mitteilen zu müssen, was einen erheblichen Adressierungs- und Kommunikationsaufwand bedeutet, kann dieser Zeitversatz bei der Herstellung der jeweiligen Geräte einprogrammiert werden.

Alternativ oder zusätzlich kann eine fest abgelegte

individuelle Identifikationsnummer beziehungsweise

Herstellernummer als Offset/Zeitversatz verwendet werden. An dem Netzwerk wechseln somit nicht alle Teilnehmer

gleichzeitig den Verschlüsselungsschlüssel EKey, sondern schalten diesen zeitversetzt gültig und übermitteln ihn dann. Die Erzeugung und die Aktivierung des Schlüssels können somit getrennt vorgenommen werden. Die Anzahl N der Signalisierungsbits x bestimmt die Anzahl der möglichen Schlüssel m = 2 ^N . Bei N = 8 ergibt sich eine Auswahl von m=256 verschiedenen Schlüsseln, oder bei N = 3 wie in der Fig. 8 dargestellt m = 8. Um die Anzahl der

Schlüssel weiter zu erhöhen, aber die Anzahl der

Signalisierungsbits x nicht weiter ansteigen zu lassen oder den Adressraum für die eigentliche Identifikationsdaten ID nicht weiter zu verringern, können auch ganze Gruppen von Schlüsseln verwendet werden, die über die Signalisierungsbits x adressiert werden. Bei der Verwendung von 256 Gruppen mit jeweils 100 Schlüsseln ergeben sich somit 25.600 verschiedene Schlüssel. Bei einer Übertragungsrate von 100 Millisekunden je verschlüsselter Identifikationsdaten ID würde sich also ein Schlüssel alle 2.560 Sekunden beziehungsweise nach circa 42 Minuten wiederholen, sodass ein Auslesen entsprechend lange dauern würde.

Um den Schutz des Beleuchtungssystems 100 noch weiter zu erhöhen, kann anstatt einer zentralen Aufforderung zur Schlüsselerzeugung auch eine lokale individuelle zufallsgesteuerte Schlüsselerzeugung erfolgen. Diese

Zufallssteuerung kann über interne Zähler ausgelöst werden, die mit Zufallswerten starten. Die Zeitbasis kann so gewählt werden, dass eine Schlüsselerzeugung innerhalb von Stunden, Tagen oder Wochen erfolgen kann. Sobald ein neuer lokaler Verschlüsselungsschlüssel EKey [n+1 , loc] erzeugt wird, wird dieser an die Servereinheit 20 übermittelt. Solange die Servereinheit 20 den neuen individuellen

Verschlüsselungsschlüssel EKey [n, loc] noch nicht empfangen und zugeordnet hat, ist es vorteilhaft, wenn der alte

Verschlüsselungsschlüssel EKey [n-1 , loc] temporär beibehalten wird, sodass der Dienst unterbrechungsfrei sichergestellt wird. Auf der Servereinheit 20 sind alter und neuer

Verschlüsselungsschlüssel EKey [n-1 , loc] , EKey [n, loc] bekannt und können somit beispielsweise sowohl eine alte als auch eine neue Abfrage der Identifikationsdaten ID beantworten. Zur Detektion und Lokalisierung von unerlaubten

Serviceabfragen beziehungsweise Positionsabfragen können auf der Servereinheit 20 die „alten" Verschlüsselungsschlüssel EKey [n-1 , loc] , EKey [n-2 , loc] , EKey [n-2 , loc] etc. weiter abgespeichert werden, sodass eine Schlüsselhistorie entsteht. Erfolgt nun eine Abfrage von Identifikationsdaten ID, welche mit einem veralteten Verschlüsselungsschlüssel EKey [n-2 , loc] verschlüsselt wurde, ist dies ein Hinweis darauf, dass es sich hierbei um einen nicht authentifizierten Zugriff

handelt. Hierdurch lassen sich weitere Maßnahmen ableiten, beispielsweise eine gezielte Deaktivierung einer eventuell veralteten App auf dem mobilen Endgerät 14, welche

Verschlüsselung noch nicht unterstützt, oder das Anbieten einer neuen App-Version. Ebenso kann eine Lokalisierung des mobilen Endgeräts 14 vorgenommen werden, welches die nicht authentifizierten Zugriffe durchführt.

Alternativ oder zusätzlich können die Signalisierungsbits x über einen weiteren Kanal lokal verteilt werden, beispielsweise über eine mit dem jeweiligen Treiber 11 einer Leuchte 12 verbundenen Bake 16 (Beacon) oder über einen

Mobilfunkkanal zwischen der Servereinheit 20 beziehungsweise dem mobilen Endgerät 14 und der Leuchte 12.

Der Aufwand, auf ein solches Beleuchtungssystem 100 zugreifen zu können ohne die Kenntnis der Entschlüsselungsschlüssel DKey, kann weiter erhöht werden, wenn die Gültigkeit von Entschlüsselungsschlüsseln DKey in eine lokale Abhängigkeit gesetzt werden, das heißt ein bestimmter Satz an

Entschlüsselungsschlüsseln DKey[loc] nur für Teile des

Beleuchtungssystems 100 innerhalb eines bestimmten Raumes gültig ist. So kann über eine Bake 16 (Beacon) eine grobe Lokalisierung erfolgen. Hieraus kann abgeleitet werden, welcher Entschlüsselungsschlüssel DKey[loc] in diesem Bereich gültig ist.

Um die Zugriffsmöglichkeiten auf eine statische Leuchten-ID durch statische Verschlüsselungsschlüssel EKey - insbesondere bei einer symmetrischen Verschlüsselung - einzuschränken, kann neben der Erhöhung der Anzahl N der Schlüssel und

Rotation dieser Schlüssel auch der Schlüssel selbst wie in der Fig. 9 dargestellt rotieren. Die Länge des Schlüssels und die Anzahl und Art der Schlüsselverschiebungen bestimmen dabei den zusätzlichen Verschlüsselungsraum. Unter der

Annahme, dass die Länge der Identifikationsdaten ID 10 Bit und die Länge des Schlüssels ebenfalls 10 Bit beträgt, so wiederholt sich der Schlüssel nach zehn Schritten in einem Schieberegister wieder. Für das oben genannte Beispiel bedeutet dies, dass jeder der 100 Schlüssel zehnmal benutzt werden kann, ehe er sich wiederholt. Hierdurch erhöht sich die Zeit, bis sich ein Schlüssel wiederholt, auf 420 Minuten.

Durch eine Verlängerung der Schlüssellänge von 10 Bit auf 1024 Bit erhöht sich linear auch die Dauer auf das 1.224- fache (1.024 * 420 Minuten = 7.168 Stunden = ungefähr

300 Tage) . Aus vorhandenen Schlüsseln können durch Kombination neue Schlüssel erzeugt werden. Wird ein Schlüssel Key_l mit einem anderen Schlüssel Key_2 über eine Rechenvorschrift verknüpft, beispielsweise eine XOR-Verknüpfung, entsteht ein neuer

Schlüssel Key_12 wie in der Fig. 11 dargestellt. Bei

100 Schlüsseln lassen sich somit 4.950 neue Schlüssel

erzeugen (N * (N-l)/2) mit N = Anzahl der Schlüssel). In diesem weiterentwickelten Beispiel würde dies eine Zeitdauer bis zum Wiederholen der gleichen Nachricht Code, welche die verschlüsselten Identifikationsdaten ID beinhaltet, auf das ungefähr 50-fache verlängern, also auf 15.000 Tage oder

41 Jahre.

Diese Methoden für die Verschlüsselung einer Leuchten-ID als Identifikationsdaten ID lassen sich auch auf Daten erweitern, die ebenfalls über Licht übertragen werden könnten und nach diesem Verfahren gesichert übertragen werden können.

Fig. 9 zeigt mögliche Operationen, die auf einen vorhandenen Schlüssel angewendet werden können. Beispielsweise kann das linke Bit anzeigen, dass ein Schlüssel nach links zu

verschieben ist (key shift left, KSL) und/oder das rechte Bit in der Signalisierungsbitfolge KeySig kann anzeigen, dass der Schlüssel nach rechts geschoben werden soll (key shift right, KSR) . Tatsächlich ist auf Bitebene mit Verschieben/Shift das Rotieren der Bits in einem Schieberegister gemeint, bei welchem ein aus dem Schieberegister herausgeschobenes Bit auf der gegenüberliegenden Seite wieder eingeschoben wird. Das mittlere Bit kann dazu benutzt werden anzuzeigen, dass ein vordefinierter Algorithmus Calc zur Veränderung des

Schlüssels beziehungsweise der Parameter zur Anwendung einer Rechenvorschrift ausgeführt werden soll.

Fig. 10 zeigt, wie ausgehend von einem Ausgangsschlüssel KeyO ein erster Schlüssel Keyl, ein zweiter Schlüssel Key2, ein dritter Schlüssel Key3, ein vierter Schlüssel Key4 und so weiter durch bitweise Rotation des Schlüssels erzeugt werden. Die Anwendung des ersten Schlüssels Keyl auf die Identifikationsdaten ID ergibt somit eine erste Nachricht Code_l, eine Anwendung des zweiten Schlüssels Key2 auf die Identifikationsdaten ID ergibt dementsprechend eine zweite Nachricht Code_2 und entsprechend weiter.

Fig. 11 zeigt schließlich, wie aus dem Schlüssel Key_l und dem Schlüssel Key_2 durch bitweise Anwendung eines XOR- Operators der neue Schlüssel Key_12 erzeugt werden kann. Die Ausführungsbeispiele dienen lediglich der Erläuterung der Erfindung und sind für diese nicht beschränkend. So kann insbesondere die Erzeugung von neuen zweiten Schlüsseln in Abhängigkeit von vorhandenen ersten und/oder zweiten

Schlüsseln und/oder Schlüsselgenerierungsmaterial beliebig gestaltet sein, ohne den Gedanken der Erfindung zu verlassen.

Somit wurde voranstehend gezeigt, wie eine Schlüsselerzeugung und/oder eine Schlüsselrotation für die Verschlüsselung von ortsgebundenen Informationen zweckmäßig ausgestaltet sein können.