CN101052970B - 访问控制系统 - Google Patents
访问控制系统 Download PDFInfo
- Publication number
- CN101052970B CN101052970B CN2005800363714A CN200580036371A CN101052970B CN 101052970 B CN101052970 B CN 101052970B CN 2005800363714 A CN2005800363714 A CN 2005800363714A CN 200580036371 A CN200580036371 A CN 200580036371A CN 101052970 B CN101052970 B CN 101052970B
- Authority
- CN
- China
- Prior art keywords
- reader
- token
- certificate
- ccl
- district
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00817—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/27—Individual registration on entry or exit involving the use of a pass with central registration
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00817—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed
- G07C2009/00849—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the lock can be programmed programming by learning
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/22—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
- G07C9/25—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
- G07C9/257—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition electronically
Abstract
一种用于有选择地由多个用户(5,6)访问的两个访问点(3,4)的访问控制系统(1)。系统(1)针对相应用户(5,6)包括具有包含数字证书和令牌证书变化列表(CCL)的存储器(10)的访问令牌(7,8)。各个令牌响应询问信号来产生从证书中得到的令牌信号。计算机网络(11)包含指示系统证书的信息,并允许系统(1)提供指示一个或多个那些证书需要的变化的中央CCL。连接的访问阅读器(15)设在相邻访问点(3)处,并与网络(11)通信以维护与中央CCL实时合并的第一本地CCL。阅读器(15)产生询问信号并响应对应的令牌信号以便:确定访问点(3)是否跳动到开锁配置;以及合并本地CCL和令牌CCL。
Description
技术领域
本发明涉及访问控制系统以及访问控制方法。
目前已主要针对具有许多访问点和许多用户的访问控制系统的多场所大规模安装而开发本发明,并且下文将参考该应用进行描述。然而,将会理解本发明不限于特定使用领域,并且也适于单个场所的安装以及只具有少量访问点和用户的访问系统。
背景技术
在整个说明书中,对现有技术的任何讨论决不应被看作是承认这种现有技术是广泛已知的或构成本领域的公共常识的一部分。
已知的访问控制系统包括分设在或邻接于给定设施的相应访问点上的多个访问阅读器。通常,设施是建筑物,而访问点是建筑物中相应的门。阅读器与相应的在闭锁配置和开锁配置之间跳动的锁定装置连接。默认情况下,锁定装置保持在闭锁配置下,以防止用户通过访问点通行,并在作出合适的请求时跳动到开锁配置下。给开锁配置的“跳动”通常是几秒钟,之后锁定装置返回到闭锁配置。
系统的各个用户发有令牌如通行卡,其包含存于卡上的唯一标识符。当将卡出示给阅读器时,后者从卡中提取标识符。
现有技术中的一类访问控制系统包括主服务器或作为计算机网络一部分的几个服务器。此网络不仅包含访问控制系统,而且还包含包括至少一个包含有关访问控制系统的记录的数据库的其他计算机装置和软件。主服务器或几个服务器读写往来于数据库和系统的其他组件的数据。设在主服务器或几个服务器和阅读器之间的是多个控制器,它们是各自控制大约二到二十个阅读器以及相关联的锁定装置的专用计算装置。这些控制器均包括用于保持阅读器和锁定装置的所有必要的配置信息的存储器,并可针对有关阅读器作出访问控制决定。
当阅读器向相关联的控制器回复卡被出示给阅读器的每次情况时,这些控制器不必向主服务器或几个服务器回复有关每一个那些情况。换句话说,控制器用来减少与主服务器直接通信的装置的数量。也就是说,主服务器不必与所有阅读器通信,而只直接与控制器进行通信。因此,主服务器在每次访问控制决定期间不进行查询,因为那些决定在控制器上作出。然而由于在控制器中用来保持关于用户的信息的存储器是有限的,因此通常对用户数量的限制为几百个。这严重危害到这种系统的扩展性。
一旦阅读器的数量和用户的数量增加,主服务器为保证控制器实时地具有作出准确访问控制决定所需的信息,则在那些控制器之间存在相当大的网络流量。此网络流量随给定系统的规模增大而增加,而且很快便会达到流量损害网络性能的这个点上。这不仅减慢了访问控制系统的操作,而且在总体上也减慢了网络的操作。
采用此结构的大规模实现也会使成本高得惊人,这是因为控制器的相当高的成本、控制器可用存储器的有限容量,因而控制器的较低水平规定了给定成本。这是因为控制器在物理上连接到主服务器或几个服务器上而形成的。更具体地说,此电气连接限制了主服务器和控制器之间的距离,使得控制器更容易受到单个点故障的影响,具有较高的安装成本,并提供较差的认证处理。
为努力解决这些问题,目前已设计出采用智能卡的访问控制系统。这些系统主要集中于通过在智能卡上存储有关用户身份的信息来改善认证处理。基本原理是阅读器随后可通过把人的知识或物理标识与卡上保持的信息进行比较来验证身上持有该卡的人。但上述现有技术系统的所有其他局限性仍然存在。此外,早先系统上由于卡而的增加的成本通常是不合理的,因为这仅获得了功能上的逐渐改善。
为进一步解决这些局限性,一些最新基于访问控制系统的智能卡除持有认证信息之外还保持用户的授权信息,并在请求的时候将其传送给阅读器。此信息指示用户可用的访问权的级别。通常,该信息放在智能卡上以部分弥补控制器的有限存储容量,并且不需要那些控制器常去访问主服务器。在一些系统中授权信息和认证信息共同形成用户保持在卡上的数字证书。在一些情况下,尽管控制器和阅读器之间的通信链路会暂时中断失败,但此系统可允许有限的连续操作。然而,还存在相当多的缺点,因为智能卡上记录的用户授权信息对于主服务器和控制器是不可访问的。因此,如果要变化相应卡上记录的授权信息(在大规模系统中经常发生),则只有这些卡与系统接口上为止才可通过该系统而完成。对于大规模系统而言,这在相当程度上可危害到作出访问控制决定的准确性。
试图至少部分地解决这一重要问题包括采用证书撤回列表(称为CRL)。顾名思义,CRL是系统上不再有效使用并由控制器保持的证书的描述。因此,当卡出示给阅读器并且阅读器把标识信息和/或授权信息传递给控制器时,该控制器能够交叉校验授权信息的有效性并作出正确的访问控制决定。虽然这在表面上看起来提供了可行的解决方案,但要有效的话它需要在控制器和主服务器之间连续实时访问以确保CRL是最新的。同样如此;它最终具有上述许多缺点。这还包括特别难以应用到大规模安装中。
在任何实际系统中,CRL中记录的数量随时间而不断增长。这导致了CRL的大小很快超过令牌能够承载CRL的可用容量。为解决此难题试图提供在均在很短的时间内有效的相应卡上具有证书的访问控制系统。更具体地说,CRL在每个短的周期的开始时再次出现或重新初始化,而在任何先前一段时间内发出的所有证书不再有效。在一个先前提出的系统中,授权信息每过一天就会失效,而在其他系统中它每隔几个小时就会失效。虽然这允许使用断开连接的阅读器,但它也会遇到可扩展的问题。例如,如果所有用户比方说每天必须得获得新的证书,那么对于那些阅读器这在那些证书下载到卡中的高峰时间产生了瓶颈。此外,下载仅出现在连接的阅读器上,对于断开连接的阅读器将不能访问控制器或主服务器以便知道最新授权信息。在有许多用户的地方,这种系统通常产生时延以及伴随这种延迟的不可避免的人员波动。发布周期更加短,这更加恶化这些缺点。
总体来说,现有技术系统由于所使用结构的内在局限性而不能很好地适于提供灵活的大规模实现。
发明内容
本发明的主要目的是克服或改进现有技术的至少一个缺点或提供有用的备选方案。
根据本发明的第一方面,提供了用于选择性地由多个用户访问的至少一个访问点的访问控制系统,访问点在闭锁和开锁配置之间跳动以相应地防止和允许用户在访问点上访问,该系统包括:
每个用户的访问令牌,每个令牌包括用于包含证书和令牌证书变化列表(令牌CCL)的存储器,每个令牌响应询问信号来产生从证书得到的令牌信号;
计算机网络,它用于包含指示证书的信息并用于提供指示一个或多个那些证书所需要的变化的中央CCL;和
用于各个访问点的访问阅读器,它与网络进行通信以维护本地CCL,该阅读器或各个阅读器产生相应询问信号,并响应对应令牌信号以便:确定相应访问点是否跳动到开锁配置;以及合并本地CCL和令牌CCL。
在一个实施例中,存储器包含其他信息。在一些实施例中,例如存储器包含用户的标识信息。在其他实施例中,存储器包含有关令牌的一个或多个特征的信息。这些特征的例子包括:发出令牌的组织;令牌的所有者;令牌的唯一标识符等。
令牌信号优选从证书和令牌CCL中得到。在一个实施例中,各个证书包括相应的用户授权信息。在其他实施例中,各个证书包括相应用户授权信息和以下中的一个或多个:认证信息;以及标识信息。例如,在一个实施例中各个证书包括相应用户标识信息、认证信息和授权信息。在另一些实施例中,证书包括除了上述类型信息之外的信息。
在一个实施例中,各个CCL包括多条记录,其中各个记录是以下中的一个:
指示证书要变化的变化请求记录;
指示确认特定证书已发生变化的变化完成记录;
CCL的时间标记;以及
有效证书的基本创建日期。
中央CCL优选不包括变化完成记录。
在一个实施例中,中央CCL指示的变化包括以下的一个或多个:一个或多个证书的撤回;一个或多个证书的认证信息的变化;和针对一个或多个证书的授权信息的变化。在备选实施例中,CCL指示的变化仅是一个或多个证书的撤回。
在一个实施例中,证书包括指示证书的创建和/或到期条件的有效信息。有效信息优选指示一个或多个日期和/或时间。然而,在其他实施例中有效信息指示证书的创建或到期的顺序,即有效信息是一组按顺序的数字中的一个或多个数字。中央CCL、本地CCL和令牌CCL优选包括指示相应CCL创建的时间的相应的有效信息。CCL最好包括指示所有有效证书的基本创建日期的信息。后一种特征允许覆盖在基本创建日期之前发出的证书的变化。
标识信息优选指示与用户关联的唯一标识符。认证信息最好指示用于确认用户将令牌出示给阅读器的真实性的一个或多个参考点。甚至更好的是,授权信息指示用户作为其中成员的一个或多个组。在优选实施例中,这些组基于相应用户在组织内的角色或多个角色。
在一个实施例中,阅读器包含指示下列信息中的一个或多个的配置信息:时间表;以及访问控制信息。时间表最好指示时间段。例如,一个段由以下来定义:星期一至星期五(节假日除外)的从本地时间的早上9点到下午5点。其他段定义不同,并包括更复杂的数据结构。
在一个实施例中,访问控制信息响应时间表在阅读器确定相应访问点是否跳动、即在阅读器作出授权决定时指示哪一组或哪几个组被授权。在一些实施例中,访问控制信息包括允许作出更完善的访问控制决定的其他信息。例如,针对多个威胁级别作出有关访问控制的决定。在一些实施例中,威胁级别定义通常由系统的管理人员察觉到的对访问点的整体安全威胁。
在优选实施例中,令牌CCL包括多条记录,在一个实施例中,各个记录是:
指示证书要变化的变化请求记录;或
指示确认特定证书已被变化的变化完成记录。
将会理解中央CCL只有变化请求记录。
该阅读器或至少一个阅读器优选与网络通信,并且令牌CCL和本地CCL的合并包括相应阅读器:
从令牌CCL中读取任何变化完成记录;以及
将本地CCL写入令牌CCL。
在优选形式中,把本地CCL写到令牌CCL包括重写令牌CCL。在一个实施例中,在把本地CCL写到令牌CCL之前将变化完成记录提供给网络。将可以明白,如果在本地CCL中有对应的变化请求则变化完成记录仅发送给网络。这使得服务器:从中央CCL中删除变化请求以定义新的中央CCL;以及随后使新的中央CCL可用于连接的阅读器。
在一个实施例中,本地CCL和令牌CCL的合并发生在确定访问点是否跳动之前。优选地,合并本地CCL和中央CCL。本地CCL和中央CCL最好实时合并。也就是说,在上述或各个连接的阅读器上持有的本地CCL是网络可用的最新CCL。
在一个实施例中,访问控制系统还包括没有相关联的阅读器的访问点。例如,允许用户退出但不进入给定场所的访问点。在其他实施例中,访问系统包括经由令牌与网络通信的断开连接的阅读器。
在优选实施例中,一个或几个阅读器在询问令牌时产生传递到网络的相应的事务日志。该系统优选包括不与网络通信的一个或多个阅读器(即断开连接的阅读器),其中那些阅读器在询问令牌时产生相应的事务日志。事务日志最好指示相应阅读器的一个或多个动作。在此实施例中,不与网络通信的一个或多个阅读器中的每一个把相应的事务日志写到令牌的存储器中。当令牌由与网络通信的阅读器(即连接的阅读器)查询时,从令牌的存储器中读取事务日志。一旦读取了事务日志,最好是从令牌的存储器中将它们删除。将会理解,在优选实施例中连接的阅读器在询问令牌之后把事务日志提供给网络。由于断开连接的阅读器不能直接作出那种操作,因此要产生事务日志并把其写到令牌中。当接下来把令牌提供给连接的阅读器时,读取所存储的事务日志、传递给网络并随后从令牌存储器中将其删除。这允许把所有阅读器的事务日志提供给网络,同时还确保删除任何给定日志以便不止一次地提供它们,以及使令牌存储器的使用最小。在一些实施例中,存储在令牌的存储器中的一个或几个事务日志涉及该特定令牌的事务。然而,在其他实施例中与其他令牌有关的事务日志可存储在该特定令牌的存储器中。事务日志优选包括报警条件等。任何这种日志最好均写到提供给断开连接的阅读器的第一令牌,并随后从阅读器的存储器中删除。在一些实施例中,阅读器在给定时间段内把记录写到出示给阅读器的那些令牌上。
根据本发明的第二方面,提供了一种用于有选择地由多个用户访问的至少一个访问点的访问控制系统,该访问点在闭锁和开锁配置之间跳动以便相应地阻止和允许用户在访问点上访问,该系统包括:
各个用户的访问令牌,各个令牌包括包含以下内容的存储器:
(a)具有标识信息的证书、认证信息和授权信息的证书,和
(b)令牌证书变化列表(CCL),
其中各个令牌响应询问信号以便产生从该证书得到的令牌信号;
计算机网络,用于包含指示系统的证书的信息并提供指示那些证书中的一个或多个需要的变化的中央CCL;和
各个访问点的访问阅读器,它与网络进行通信以维护本地CCL,该阅读器或各个阅读器产生相应询问信号并响应对应的令牌信号以便:确定相应访问点是否跳动到开锁配置;以及合并本地CCL和令牌CCL。
令牌信号优选从证书和令牌CCL中得到。在一个实施例中,合并发生在确定访问点是否跳动之前。优选地,合并本地CCL和中央CCL。本地CCL和中央CCL最好实时合并。即该阅读器或各个阅读器上持有的本地CCL是网络可用的最新CCL。
在一个实施例中,询问信号和令牌信号是无线信号。然而,在其他实施例中询问信号和/或令牌信号由在阅读器和令牌之间延伸的一个或多个传导通路和/或光通路传送。例如,在一个实施例中,令牌包括与阅读器的对应传导触点物理接合的传导触点,以在这二者之间建立一个或多个电连接。
证书对于各个令牌优选是唯一的。
在一个实施例中,一个阅读器或几个阅读器连接到网络上,并且本地CCL和中央CCL的合并实时发生。在另一实施例中,本系统包括至少一个从网络断开连接的其他阅读器。将会理解,这一其他阅读器由于是断开连接的阅读器,因此不直接与中央CCL合并本地CCL。相反,对于断开连接的阅读器,本地CCL与出示给阅读器以发起访问请求的各个令牌的令牌CCL合并。因此:该其他单个阅读器或几个阅读器不与中央CCL实时合并。
根据本发明的第三方面,提供了一种用于有选择地由多个用户访问的多个访问点的访问控制系统,访问点在闭锁和开锁配置之间跳动以便相应地防止和允许用户在访问点上访问,该系统包括:
针对各个用户的访问令牌,各个令牌包括用于包含证书和令牌证书变化列表(CCL)的存储器,各个令牌响应询问信号以产生从证书中得到的令牌信号;
计算机网络,用于包含指示证书的信息并提供指示一个或多个那些证书所需要的变化的中央CCL;
对于至少一个访问点的访问阅读器,该阅读器与相应令牌通信以维护与中央CCL实时合并的连接的CCL,该阅读器或各个阅读器产生相应的询问信号并响应对应的令牌信号以便:确定相应访问点是否跳动到开锁配置;以及合并连接的CCL和令牌CCL;以及
对于剩余访问点中的每一个的访问阅读器,它与对应令牌进行通信以维护与对应令牌CCL合并的断开连接的CCL,该阅读器或各个阅读器产生相应的询问信号并响应对应的令牌信号以便确定相应访问点是否跳动到开锁配置。
根据本发明的第三方面,提供了用于有选择地由多个用户访问的至少一个访问点的访问控制的方法,访问点在闭锁和开锁配置之间跳动以便相应地防止和允许用户在访问点上访问,本方法包括:
为各个用户提供访问令牌,各个令牌包括用于包含证书和令牌证书变化列表(令牌CCL)的存储器,各个令牌响应询问信号以便产生从证书中得到的令牌信号;
在计算机网络上包含指示这些证书的信息,网络提供指示一个或多个那些证书所需要的变化的中央CCL;和
为各个访问点提供与网络进行通信以便维护本地CCL的访问阅读器,该阅读器或各个阅读器产生相应询问信号并响应对应的令牌信号以便:确定相应访问点是否跳动到开锁配置;以及合并本地CCL和令牌CCL。
根据本发明的第五方面,提供了用于有选择地由多个用户访问的至少一个访问点的访问控制的方法,访问点在闭锁和开锁配置之间跳动以便相应地防止和允许用户在访问点上访问,该方法包括:
提供针对各个用户的访问令牌,各个令牌包括用于包含以下内容的存储器:
(a)具有标识信息、认证信息和授权信息的证书,和
(b)令牌证书变化列表(CCL),
其中,各个令牌响应于询问信号以便产生从证书中得到的令牌信号;
在计算机网络上包含为系统指示证书的信息,网络提供指示一个或多个那些证书所需要的变化的中央CCL;以及
为各个访问点提供与网络进行通信以维护本地CCL的访问阅读器,该阅读器或各个阅读器产生相应询问信号并响应对应的令牌信号以便:确定相应访问点是否跳动到开锁配置;以及合并本地CCL和令牌CCL。
根据本发明的第六方面,提供了用于有选择地由多个用户访问的至少一个访问点的访问控制系统的方法,访问点在闭锁和开锁配置之间跳动以便相应地防止和允许用户在访问点上访问,该方法包括:
提供针对各个用户的访问令牌,各个令牌包括用于包含证书和令牌证书变化列表(CCL)的存储器,各个令牌响应询问信号以产生从证书中得到的令牌信号;
在计算机网络上包含指示证书的信息,该网络提供指示一个或多个那些证书所需的变化的中央CCL;
为至少一个访问点提供与网络进行通信以便维护与中央CCL实时合并的连接的CCL的的访问阅读器,该阅读器或各个阅读器产生相应询问信号,并响应对应的令牌信号以便:确定相应访问点是否跳动到开锁配置;以及合并本地CCL和令牌CCL;以及
为剩余访问点中的每一个提供与相应令牌进行通信以便维护与对应令牌CCL合并的断开连接的CCL的访问阅读器,该阅读器或各个阅读器产生相应询问信号,并响应对应的令牌信号以便确定相应访问点是否跳动到开锁配置。
根据本发明的第七方面,提供了用于有选择地由多个用户访问的相应成对的区之间的多个访问点的访问控制系统,该访问点有选择地在闭锁和开锁配置之间跳动以便准予或拒绝用户在相应成对的区中的区之间访问,该系统包括:
用于各个用户的访问令牌,各个令牌包括用于包含指示至少一个区的区记录的存储器,各个令牌响应询问信号以便产生从记录中得到的令牌信号;和
针对各个访问点的访问阅读器,该阅读器具有指示成对的区中的一对区的相应阅读器记录,该阅读器产生询问信号并响应对应的令牌信号和阅读器记录以便确定准予或拒绝访问。
在一个实施例中,当查询访问点时阅读器记录指定一个区作为用户处于其中的退出区,以及在准予访问时指定为用户将前进到的进入区。阅读器记录优选还指示一对防反传(APB)区。该对APB区最好包括在查询访问点时用户所处的退出APB区,以及在准予访问时用户将前进到的进入APB区。在一个实施例中,阅读器响应于进入APB区和退出APB区的中一个或二者以确定准予或拒绝访问。
进入区和退出区优选是物理空间。然而,在其他实施例中一个或多个区是虚拟区。即在一些实施例中,一个或多个区是计算机环境。
阅读器记录还优选指示:当查询访问点时用户所处的退出防反传(APB)区;和在准予访问时用户将前进到的进入APB区。在一个实施例中,阅读器响应于进入APB区和退出APB区以确定准予或拒绝访问。
在一个实施例中,区记录指示以下中的一个或两个:令牌最后准予访问的APB区(“最后APB区”);和令牌最后准予访问的区(“当前区”)。如果准予访问的话这两个区在查询时由阅读器有选择地写到令牌上。
在一个实施例中,如果阅读器具有不同于进入APB区的退出APB区的话,阅读器响应于令牌信号以确定最后APB区是否匹配退出APB区。如果该确定的结果是真的话,则准予访问。否则不发生任何动作,并拒绝访问。
在一个实施例中,如果准予访问的话,则阅读器更新区记录。阅读器优选更新区记录以变化最后APB区和当前区二者。
在一个实施例中,令牌把用户信息存储到存储器中,并且令牌信号从用户信息中得到。阅读器最好从令牌信号提取用户信息,并作出关于访问点是否应当在闭锁和开锁配置之间跳动的用户确定。阅读器优选从令牌信号中提取区记录,并作出有关访问点是否应当在闭锁和开锁配置之间跳动的APB确定。在优选实施例中,在APB确定之前作出用户确定。然而,在其他实施例中用户确定在APB确定之后作出。在另一些实施例中,基本上作出第一确定需要的所有操作在作出第二确定需要的操作之前进行。
用户信息优选包括以下的一个或多个:相应用户的标识信息;相应用户的认证信息;以及其他形式的信息如令牌证书等。
根据本发明的第八方面,提供了用于由多个用户有选择地在相应成对的区之间访问的多个访问点的访问控制系统的方法,访问点有选择地在闭锁和开锁配置之间跳动以便准予或拒绝用户在相应成对的区中的区之间访问,该方法包括:
为各个用户提供访问令牌,各个令牌包括用于包含指示至少一个区的区记录的存储器,各个令牌响应于询问信号来产生从记录中得到的令牌信号;以及
为各个访问点提供访问阅读器,阅读器具有指示成对区中的一个区的相应阅读器记录,阅读器产生询问信号并响应对应的令牌信号和阅读器记录以确定是否准予或拒绝访问。
附图说明
下面将仅通过举例方式参考附图来描述本发明的优选实施例,附图中:
图1是本发明的实施例的访问控制系统的原理图示;
图2是用于图1的系统的智能卡的原理图示;
图3是图2的卡上的处理电路的放大图;
图4是说明用于登记图1系统中的用户的步骤的流程图;
图5是说明在图1系统中新令牌持有者的典型登记期间图1系统的组件之间的信息流的原理图;
图6是说明图1的系统的组件之间用以实现现有令牌持有者的访问权利的典型变化的信息流的原理图,其中令牌持有者把相应令牌出示给连接的阅读器;
图7是说明图1的系统的组件之间用以实现现有令牌持有者的访问权利的典型变化的的信息流的原理图,其中令牌持有者把相应令牌出示给断开连接的阅读器;
图8(a)是说明将变化记录增加到图1系统的连接的阅读器的本地CCL的典型步骤的流程图;
图8(b)是在图8(a)的步骤中的一个步骤内的子步骤的流程图;
图9是合并图1系统的令牌CCL和本地CCL的典型步骤的流程图;
图10是由图1系统进行用以认证用户的典型步骤的流程图;
图11是由图1系统进行用以验证证书的典型步骤的流程图;
图12是由图1系统进行用以确定令牌持有者是否有权访问所希望的访问控制点的典型步骤的流程图;
图13是由图1系统提供的APB功能性的原理总图;
图14是举例用以提供图13的APB功能性的APB逻辑的流程图;
图15是类似于图13用于进一步阐明阅读器配置的原理总图;
图16是用于图1系统的备选阅读器的原理图示;
图17是说明在构成本发明的备选实施例的图1系统中登记用户的步骤的流程图,其中该登记不同于图4中的登记;
图18是说明本发明的备选实施例中新用户的登记的序列图;
图19是说明针对本发明的备选实施例证书变化请求的有效管理的序列图;
图20说明针对本发明的备选实施例由于用户的访问权利的变化而产生的信息流的序列图,其中用户在变化之后先将它们的令牌出示给连接的阅读器;
图21是说明针对本发明的备选实施例由于用户的访问权利的变化而产生的的信息流的序列图,其中用户在变化之后先将它们的令牌出示给断开连接的阅读器;
图22是说明在备选实施例中用以更新中央CCL的步骤的流程图;
图23是说明在备选实施中用以合并CCL的步骤的流程图;和
图24是说明在备选实施例中由阅读器用来写令牌CCL的步骤的流程图。
具体实施方式
交叉引用
本公开包括在于2004年8月27日提交的澳大立亚临时专利申请2004904895和于2004年9月16日提交的2004905346中。它们通过交叉引用的方式结合于此。
术语表
在更详细地描述本发明实施例之前,针对以下用于说明书中的术语提供一些指导:
(a)术语“用户”指单个人、组织、公司、一组个体或其他有选择地被准予有权访问至少一个设施、网络、场所、建筑物或由访问控制系统控制的其他财产的至少一个访问点(作为物理或逻辑访问点)的人。
(b)术语“访问令牌”指通常发给用户并仅由该用户使用的承载信息的装置。令牌通常包括以下陈述的与用户有关的信息。各个用户优选只发有一个令牌。在所述实施例中,令牌是无触点智能卡。然而,在其他实施例中采用其他令牌如具有触点的智能卡、包括有触点和无触点组件二者的混合智能卡、磁条卡、RFID卡、USB令牌等。
(c)术语“识别”指通常从访问令牌获得的代码或其他标识符(即指示正试图访问访问控制点的用户的身份)的过程。也就是说,用户回答问题“你说你是谁?”的过程。
(d)术语“标识信息”指提供作为指示用户身份的信息。标识信息通常包括代码或字符串(不管是否加密),它多数情况下对于访问令牌是唯一的,并且在登记过程期间分配给特定用户。在一些实施例中,标识信息是最小的,并作为令牌信号的加密密钥的一部分。
(e)术语“认证”指验证提供标识信息的人是否有权提供该信息的过程。即回答问题“你(提供标识信息的用户)是你说的那个人吗?”的过程。
(f)术语“认证信息”指由用户提供以协助用户验证为合适的人的信息。认证信息通常包括PIN、口令、签名、一个或多个生物特征模板(Biometric Template)以及一个或多个数字证书或其他数字签名。在一些实施例中此信息存储在令牌上。
(g)术语“组”指对一个或多个访问点具有共同访问权利的作为该组的成员的一个或多个用户的集合。即,组中的各个用户能够基于访问控制系统的一个或多个时间表经由给定访问点或几个访问点访问。一个用户包括在一个或多个组中,同样两个用户虽然他们在一个组中也可具有不同的访问权利。
(h)术语“时间表”指一组一个或多个离散的时间段。例如,一个段由在星期一到星期五(节假日之除外)从本地时间的早上9点到下午5点的那些时间段定义。其他段定义不同,并包括更复杂的数据结构。如果一天的当前时间包括在相应表中的至少一个段内的话时间表被认为是“有效的”。例如,无论何时确定出一天的当前时间为早上9点到下午5点之间并且确定出一周的当前日期为星期一至星期五但一年的当前天被认为不是假日时,则上述时间表是“有效的”(该阅读器配置了指示一年里哪几天是假日的信息)。
(i)术语“授权”是确定被识别和/或验证的人是否有权访问给定访问点的过程。即回答问题“你有权做你试图要做的事情吗?”的过程。
(j)术语“授权信息”指被评估以确定用户的授权的信息。授权信息通常包括字符串和/或一列数字(无论是否加密)。在下述本发明的实施例中,给定用户的授权信息存储在相应令牌上,并指示用户已成为其中一个成员的组或多个组。
(k)术语“访问阅读器”共同指与访问点关联并直接与主服务器通信的的硬件和软件。在一些实施例中,访问阅读器包括锁定装置、门触点、任何用户输入装置(如生物阅读器、键盘、按钮或触摸屏)、I/O硬件和软件、存储器(称为“本地存储器”)等。访问阅读器具有所需的信息(即标识信息和/或认证信息和/或授权信息)以便为对来自用户的访问的请求作出确定,在多数情况下不必求助于与主服务器进行中间通信。将会理解,在下述实施例中访问阅读器和主服务器之间没有设置单独的或额外的控制器。
(l)术语“证书”指分配给用户以允许用户与系统交互的电子记录。在所述实施例中,各个证书是存储在相应令牌的存储器中的数字记录,并且其包括令牌(因而是已分配了该令牌的用户)的标识信息、认证信息和授权信息。将会理解,在其他实施例中证书包括另外的信息或备选信息。例如在一个实施例中证书仅包括授权信息。
(m)术语“证书变化列表”(简写为CCL)指指示需要变化的相应证书的一条或多条记录的列表。CCL中记录的示例是不再有效用于访问控制系统的证书(即证书被撤回或变化)的标识符。(此记录称为“变化请求记录”)。CCL中记录的另一示例是其中撤回或其他变化已执行但还未传递给中央主服务器的证书的标识符。(此记录称为“变化完成记录”)。在一些实施例中,还存在应用于CCL中的变化请求记录的时间限制。例如,如果变化完成记录不应提供给中央CCL以影响变化请求记录在预定时段内(通常按照天的顺序)从中央CCL中删除,那么系统发出报警以进行人工干预和校正。此功能性针对不同实施例而定制。
(n)术语“令牌CCL”指令牌上存储或持有的CCL,并且它包括0条、一条或多条变化请求记录和0条、一条或多条变化完成记录。将会理解,能够包含这两类记录的令牌CCL允许在中央主服务器和阅读器之间双向通信。即变化请求记录促使从服务器向外部通信,而变化完成记录促使向内部到服务器的通信。
(o)术语“本地CCL”指阅读器上存储或保持的CCL。将会理解,在本发明的所述实施例中连接的阅读器和断开连接的阅读器二者均包括相应的CCL。对于连接的阅读器,由于在包括在网络内的连接的阅读器和主服务器之间的实时连接,本地CCL实际上等效于中央CCL。由于此连接,连接的阅读器的本地CCL对于实际目的而言不将包含变化完成记录,因为它这将实时传递给服务器。然而,断开连接的阅读器的本地CCL存储变化完成记录,直到它们被更多的更新令牌CCL重写时候为止。将会理解,断开连接的阅读器的本地CCL象令牌CCL一样更不可靠,因为断开连接的阅读器和令牌不与主服务器实时连接。为便于参考,称断开连接的阅读器为具有断开连接的CCL,而称连接的阅读器为具有连接的CCL。如果连接的阅读器暂时放松与服务器实时连接,则存在本地CCL将不同于中央CCL的风险。类似地,如果实时连接建立在服务器和其他断开连接的阅读器之间,则存在本地CCL将不同于中央CCL的高风险。在优选实施例中,这些风险由可检测与服务器的实时连接的建立或重新建立的阅读器减轻。此外,阅读器可请求中央服务器使得中央CCL有用以允许阅读器使本地CCL与中央CCL同步。
(p)术语“中央CCL”指网络存储或以其它方式保持的CCL。
(q)术语“合并”,在两个CCL的上下文中使用时指那些CCL的一个或两个相互更新以确保两个CCL中的记录反映最新的可用信息。虽然合并可以多种方式中的一种方式发生,但在所述实施例中它主要包括两步骤的处理。具体而言,第一步骤是处理变化完成记录(逐步把信息返回给中央主服务器),而第二步骤是用其他CCL的记录重写一个CCL的剩余记录,即逐步从中央主服务器传送信息给断开连接的阅读器。在一些情况下,合并的第二步骤包括对被合并的两个CCL的比较,例如在合并断开连接的阅读器的令牌CCL和本地CCL时该比较用以确定哪个CCL是最新的。然而,在其他情况下例如当合并连接的阅读器的本地CCL与中央CCL时,合并的第二步骤是通过把一个CCL的变化顺序传送到另一个上。
(r)术语“访问控制决定”指关于是否准予给定访问点上的访问请求的决定。在本发明的所述实施例中,访问控制决定由相应阅读器作出,而不管那些阅读器是连接的阅读器还是断开连接的阅读器。
(s)术语“实时”,在与阅读器进行通信的上下文中指在阅读器必须作出随后的访问控制决定之前,通信足够同期产生以允许连接的阅读器的相应本地CCL与中央CCL对应,
(t)术语“跳动”,在访问点的上下文中指从闭锁配置到开锁配置的前进。对于物理访问点这通常需要具有在闭锁配置和开锁配置之间前进的锁定装置的门,并在预定延迟之后返回到闭锁配置。在虚拟访问点的上下文中,术语“跳动”指虚拟锁前进到开锁配置并且给用户提供相关的计算机访问。虚拟锁定期或在用户从准予访问的计算机或网络注销时返回到闭锁配置。
(u)术语“区”,在阅读器和令牌的上下文中指受保护区域或空间(作为物理区或虚拟区如计算环境),其只经由一个或多个访问点访问。如果那些访问点中的任何一个准予访问到该区域,那么不再进行访问控制直到用户经由任何受控的或不受控的访问点离开那一区域为止。将会理解,物理和虚拟环境并行共同存在,但如所需要的那样相互联系。
(v)术语“防反传区”或“APB区”,在阅读器和令牌的上下文中指受保护区域或空间(作为物理区或虚拟区如计算环境),其只经由一个或多个访问点访问。如果那些访问点中的任何一个准予访问到该区域,则不再进行访问控制直到用户经由任何由相应阅读器控制的访问点离开那一区域为止。本领域的那些技术人员将会理解,在一些实施例中APB区在其区域内整个包含一个或多个区或APB区。
访问控制系统的体系结构概述
参考图1,其中原理上显示了针对两个门的访问点3和4的访问控制系统1,它们有选择地由多个用户(代表性地显示为用户5和6)访问。访问点在闭锁配置和开锁配置之间跳动以便相应地防止和允许用户5和6在访问点3和4访问。系统1包括针对相应用户5和6的形式为无触点智能卡7和8的访问令牌。如图2和图3中最佳显示的,各个智能卡包括用于包含数字证书和令牌证书变化列表(CCL)的存储器10。各个令牌响应于询问信号以产生从证书中得到的令牌信号。计算机网络11包括包含指示系统的证书的信息的许多组件(下面将对其进行更详细的描述),并且它允许系统1提供指示一个或多个那些证书所需的变化的中央CCL。连接的访问阅读器15设在访问点3附近,并与网络11通信以便维护与中央CCL实时合并的第一本地CCL。阅读器15产生询问信号。并响应对应的令牌信号以便:确定访问点3是否跳动到开锁配置;以及合并本地CCL和令牌CCL。断开连接的访问阅读器16设在访问点4附近并与智能卡8通信以便维护与对应的令牌CCL合并的第二本地CCL。阅读器16产生询问信号并响应来自智能卡8的对应的令牌信号以便确定访问点4是否跳动到开锁配置。
在本实施例中,访问点3是提供建筑物17的主要进入的外部前门。另一方面,访问点4是建筑物17内部的门。在本实施例中,在建筑物17内系统1还经由相应阅读器(未显示)容纳了许多其他访问点,为简明起见图1省略了它们。这些其他阅读器中的一些是连接的阅读器,而另一些是断开连接的阅读器。
在其他实施例中,访问点3和4设在不同的建筑物或设施中。例如,在一个实施例中,第一多个访问点设在给定设施内,而第二多个访问点设在另外的设施中。在一些实施例中这些设施彼此相邻,而在其他实施例中这些设施是隔开的。在另外一些实施例中,系统1容纳不止两个设施。
在此实施例中,网络11设在建筑物17内。然而,在其他实施例中网络设在建筑物远处。其中系统1在多个建筑物或多个设施之上实现,网络11通常分布在那些设施之间。
阅读器15作为连接的阅读器通过物理电缆18与网络11电链接,而阅读器16从网络中断开连接,在其他实施例中阅读器15通过物理电缆或无线连接连接到网络11。
而连接的阅读器连续地与网络连接,在其他实施例中它们配置成可容许暂时地断开连接,并在此期间充当断开连接的阅读器。当恢复阅读器和网络之间的连接时,阅读器将回复到充当连接的阅读器。类似地,当断开连接的阅读器通常连续从网络断开连接时,它们针对已连接的操作配置,如果这发生的话。例如,在一些实施例中,断开连接的阅读器包括到网络的无线连接,该连接由于带宽和成本限制仅定期有效。即阅读器和网络之间的连接不建立实时连接。
网络11包括数据库21,它包含用于管理系统1的各种记录,以下将会对此进行详细说明。此数据库上的记录是紧密受控的,并且对于系统1的正确操作而言完整性是重要的。因此,需要确保数据库21的物理安全性和虚拟安全性是高级的。包含在数据库内的信息的例子包括:
·各个用户的标识信息,其在本实施例中为字符串形式。这还补充了有关用户登记的时间、用户的登记细节的查看日期的信息。
·各个用户的认证信息,其在本实施例中包括各种数据。例如PIN、口令、用户的数字签名和若干生物特征模板。这些模板包括一个或多个虹膜模板、一个或多个指纹模板、一个或多个面部模板以及一个或多个手形模板。对于给定生物特征的各种模板需要容纳系统1所用的不同生物特征输入装置所需要的不同标准。(在一个备选实施例中,数据库21仅包括可从中得到相关模板的相关生物特征的高质量图象)。
·授权信息,在本实施例中它为字符串和/或一列数字。
·系统1中所有访问阅读器的地址,不管那些阅读器是连接的还是断开连接的。
·已由系统1发出的证书和关于那些证书的有效信息。此有效信息指示证书的创建和/或到期条件。例如,这在一些实施例中包括发出各个证书的定时和证书到期的定时。然而,在其他实施例中有效信息指示证书创建或到期的顺序,即有效信息是一组一个或多个按顺序的数字。
·中央CCL,它是一列包括变化请求记录、指示CCL最后变化的时间的时间标记和指示所有有效证书的基本创建日期的时间标记的记录。
·时间标记日志,它指示阅读器和已传递给网络11的令牌之间的交互。这些交互称为事务处理。在一些实施例中,这些日志是指示以下中的一个或多个:寻求访问的用户的身份;所用的令牌的身份;访问请求的定时;对应的访问控制决定的结果;变化完成记录。
虽然对于用户典型的访问操作是试图获得访问某空间或区域(作为物理空间或比方说是计算机网络上的虚拟空间),但在一些实施例中访问控制还延伸为施放物理锁以允许其他一些人进入空间,或允许一些人访问限定组织的基础设施的逻辑或物理资源。
在网络11中还包括登记终端22以便促进新用户登记到系统1上,并修改现有用户以说明状态变化、升级、降级和各个用户可用的访问权利的变化。在其他实施例中终端22的功能由任何合适配置的桌上电脑或膝上型电脑提供。
主服务器23与数据库21和终端22交互操作以便允许整体控制和管理系统1,并且它通常由系统管理员(未显示)或其他合适授权的人员监视。服务器23和连接的阅读器、如阅读器11之间的所有通信采用安全的加密通信。例如,在一些实施例中利用IPSEC IPv6协议,而在其他实施例中采用备选协议。
网络11还包括域控制器24以便管理网络和对该网络的逻辑访问。在备选实施例中控制器24的功能由其他装置、例如服务器23提供。
网络11的组件由任何合适的以太网线缆25链接。然而,在其他实施例中采用其他形式的内部网络连接。
为简明起见,系统1显示为只具有两个阅读器、两张卡和相对最低限的网络11。然而,将会理解系统1在使用时容纳上万张卡和上万个阅读器,而不管那些卡和阅读器是否与一个或许多各种管辖区上分布的分离建筑物关联。
在其他实施例中,系统1在希望其访问权利受控制或管制的设施而非建筑物上实现。这种设施的例子包括以下中的一个或多个:
·有围墙和门的围场。
·具有外围围墙和一个或多个访问口的场所、如工业场所。
·计算机网络。
·监狱。
·保险箱或安全储蓄箱。
将会理解,在一些实施例中提供多个嵌套的阅读器以便提供多级访问控制,并且这与以下描述的防反传功能组合以提供更高的安全级别。
在其他实施例中,系统1用于控制和/或调节如计算机装置,诸如桌面型计算机、膝上型计算机、PDA、蜂窝电话、测量设备、动力工具等设备的使用。如以下更详细描述的,该控制和/或调节采取一种或多种形式,包括确定用户是否可以访问包含该设备的存储空间,并随后专门或定期确定用户是否能够开始或持续使用从该存储空间获得的特定设备。例如,在一些实施例中授权信息从指示用户训练的流行性或程度的数据中得到。因此,如果针对该用户的训练不在操作特定设备需要的级别上,则将拒绝访问该设备。在一套设备需要两个用户的情况下,系统1配置成仅在这两个用户在预定的时间帧内单独并相继向给定阅读器出示他们的访问卡的情况下允许访问。通常此功能通过把用户分配到组中来管理。例如,具有共同技术证书的那些用户包括在给定组内。
包含在单独卡上的标识信息是唯一的,它们一经提取便允许识别相应用户。在本实施例中,证书整个是采用1024比特加密密钥加密的PKI,但是备选实施例可采用不同级别的加密,如1060比特或其他长度的密钥。然而,在其他实施例中采用备选方法和各种级别的加密。由于处理PKI加密代码的迟缓,因此其他实施例作为整体对称地加密证书。另一些实施例还包括数字签名,它也作为证书的一部分或封装于其中。
如图2中最佳显示的,卡7为ID-00格式,并包括通常具有大约33mmx66mmx0.76mm的尺寸的矩形衬底30。采用其他格式时衬底也具有其他备选尺寸。卡7在衬底30上包括临近其一个角的处理电路31。在其他实施例中,电路7设在衬底上更为中央的位置。卡7还包括由多个串联的传导环路构成的天线32,它们连接到电路31以便允许在电路31和阅读器15与16之间进行无线通信。
电路31包括在电路31和另一装置(未显示)之间需要直接通信(相对于无线通信)的情况下用于与外部触点(未显示)接合的两个并行触点阵列33和34。
在电路31中还包括处理器35。在其他实施例中,采用没有处理器的卡。还将会理解,卡7包括其他电路,如电源电路、收发机电路以及为更清楚地阐明所示特征而未明确包括在附图中的其他电路。
卡7是可进行触点操作和无触点操作的混合卡。在其他实施例中,令牌是只可进行触点操作的一个或多个智能卡。即,这种卡未配备用于无触点操作的装置。目前看来,最好采用无触点卡。后一种情况的这些卡虽然具有类似于混合卡的电路但通常具有基本上完全嵌入到卡内的电路。即该电路肉眼看不见。
在其他实施例中,系统采用无触点卡、混合卡、触点卡或除智能卡之外的阅读器能读写数据的令牌的组合或其中的一个。
主服务器23以及数据库21还保持以下内容:
·所有用户的标识信息。
·所有访问点的授权信息。
·目前正访问系统1的授权用户。
·各个用户已试图获得访问的事务日志,以及他们是拒绝或准予访问以及作出访问控制决定的任何原因。其他事务日志包括指示以下情形的一个或多个记录:报警条件如强行进入、门保持无意打开;阅读器故障;其他不合时宜或未预料到的系统条件;以及其他这种事件。
将会理解,在优选实施例中连接的阅读器在令牌询问之后给网络提供事务日志。当断开连接的阅读器不能直接这样做的时候,便产生事务日志,并写到事务处理所涉及的令牌上。当随后把该令牌出示给连接的阅读器时,阅读器读取所存储的事务日志,并传递给网络,并且随后从令牌存储器中删除。这对于所有的阅读器允许事务日志提供给网络,同时还确保删除给定日志以便不会再次提供,从而使令牌存储器的使用率最小。在一些实施例中,令牌的存储器中存储的事务处理日志与该特定令牌的事务处理有关。然而,在其他实施例中与其他令牌有关的事务处理日志可存储在特定令牌的存储器中。将会理解,在那些实施例中事务日志包括报警条件等,把任何这种记录写到出示给断开连接的阅读器的第一令牌上,并随后将其从阅读器的存储器上删除。在一些实施例中,阅读器把记录写到在给定时间段里出示给阅读器的那些令牌上。
在图1的实施例中,获得访问的试图包括:
·试图打开物理锁(即“跳动”)以允许一些人进入某空间。
·试图允许一些人访问限定组织的基础结构的逻辑或物理资源。例如IT资源。
阅读器15包括驱动若干组件的I/O电路,在本实施例中那些组件包括:
·门触点的传感器15a。此传感器具有在门打开时的第一状态,和在门关闭时的第二状态。在其他实施例中,采用具有其他状态的传感器。
·门的锁15b。即阅读器15驱使锁以将其在闭锁配置和开锁配置之间跳动。
·阅读器的生物特征传感器15c,用于经由阅读器收集来自请求访问的用户的生物特征输入。此传感器通常不包括在所有的阅读器上。
·请求退出(REX)传感器,在本实施例中它的形式为红外传感器15d。在其他实施例中包括形式为安装在墙上的按钮的REX传感器。在其他实施例中,没有REX传感器,因为用户简单地操作门把手来允许退出,在后一种情况下,传感器15a用于监视门返回到关闭的配置。
·辅助I/O通道15e,用于包括任何额外的传感器或操作装置。例如,为容纳其他生物特征传感器或操作装置(如键盘)的追溯(retrospective)安装。
将会理解,阅读器16包括类似的组件,并且这些组件设计有对应的附加物。
访问控制系统的操作
当登记新用户时,利用终端22来创建指示用户的标识和他或她的生物特征参数的记录。这些记录提交给服务器23并与必要的访问组和令牌持有者的其他访问控制信息进行合并。接下来服务器23产生提供给新用户的令牌证书,并使证书发送给终端22以便写到相应令牌上。用于系统1的登记过程在图4的流程图中显示出来,这些内容将在以下进行更详细的描述。参考图17将单独描述备选登记过程。
在其他实施例中收集关于用户的附加或备选信息。例如,在一些实施例中没有收集生物特征参数,而在附加实施例中收集了许多生物特征图象。类似的选择有PIN、口令等。
参考图4,初始步骤是获得用户的身份信息(通常为文本形式),并在步骤36让它输入到终端22中。同时为用户选择具有唯一序列号的令牌。在本实施例中此令牌形式为物理上由用户携带的智能卡。序列号由终端22在步骤37从卡读取,文本也是如此。序列号也可手动输入到终端22中。所有这些收集的文本信息在步骤38上共同存储到数据库21中。另外,在步骤39上在一个或多个用户的高质量生物特征图象上获得其他身份信息。
在本实施例中用于收集图象的硬件连接到终端21上并由它驱动。然而在其他实施例中采用备选连接和驱动。图象是以下中的一个或多个:一个或多个指纹图象;面部图象;虹膜图象;一个或多个手印图象;或其他生物特征图象。
在一些实施例中,如目本实施例容纳交叉登记。交叉登记是在步骤40上提取高质量生物特征图象并连同所有其他该用户的识别和访问控制信息将其保存在数据库21中的过程。所保存的图象可用于稍后转换成适合已安装的各种生物特征阅读器的生物特征模板,并允许在随后安装的生物特征阅读器需要不同于目前所用的模板的情况下根据存储的图象创建新模板。这通过使重新登记的需要最小话而进一步减小了与登记关联的瓶颈。
在步骤41根据所捕获的图象创建生物特征模板。在步骤42所得的模板存储在数据库21中。在不支持或不需要交叉登记或本地法律不允许图象存储装置的情况下,在创建模板之后丢弃较早捕获的图象。在其他实施例中,本地法律需要的情况下,图象以电子或物理方式传输到相关机构。
登记过程还包括把用户的访问信息输入到终端21的步骤43。通常此步骤涉及把用户包括到一个或多个预定组中,其中各个组具有时间和位置特定的预定的访问权利。该用户的访问信息随后在步骤44保存到数据库21中。
进行步骤36至44即获得用户的身份信息和访问信息的步骤以创建该用户的资格证书。这称为给用户“供应”必要装置以在给定角色和组织内执行他/她的功能。
在登记过程中采集的身份信息(通常比标识信息和认证信息的组合更大的信息组)用于提供许多可能的唯一标识符和用户的授权者如姓名、地址、性别、部门、位置、生物特征信息以及其他信息。登记过程中采集的访问信息(通常比授权信息更大的信息集合)旨在用以提供用户的授权历史情况。
由服务器23在登记期间采集的所有信息存储在数据库21中。此信息中的一些属于组织的IT基础设施,并因此由IT系统保持并管理。然而,不是需要单独IT登记,而是终端22把所需要的信息传递给单独的IT系统,因此影响了单个点供应。在其他实施例中,所需要的信息已存在于IT系统上,终端22请求从IT系统中得到该信息,因此不需要重新输入信息。这允许降低在各种功能的各个位置上供应用户所涉及的组织成本。
登记过程中的下一步骤即步骤45需要为用户创建新证书。这由服务器23来进行,它组合:
·身份信息的子集。
·生物特征模板。这些模板通常是压缩的。
·访问信息子集,它定义了授权信息。前者指示可用的访问权利,而后者指示用户已被分配到的访问组。
·其他用户特定的访问控制信息。
前两项共同定义用户的标识信息。
步骤45中的子步骤还包括用物理令牌标识(即步骤37上获得的卡的序列号)把证书强化到利用预定散列算法计算并采用不对称PKI密钥的专用部分加密的预定数据结构和散列。此子步骤的输出是存储在数据库21的证书存储段46中的证书,并且可用于所有连接的阅读器。实际上不对称密钥的公共部分和散列法算法标识符在前面已作为它们的配置的一部分分布到阅读器中。这允许阅读器译码并验证证书。
当证书可用于连接的阅读器时,这允许那些阅读器从网络访问证书以便接下来上载到卡中。将会理解,不把证书发送给所有的阅读器,而只发给在将卡出示给阅读器之后请求证书上载到卡中的那些阅读器。考虑卡T1或其他令牌的例子,它发给了Fred。当此卡出示给连接的阅读器(在本示例中为阅读器15)时,该卡将由阅读器15询问。作为响应,卡T1提供识别信号。此识别信号将向阅读器15告警卡T1不包含有效证书,并且该阅读器将从服务器23请求证书并把它写到卡上。
在其他实施例中证书包括其他信息或备选信息。例如,在一个实施例中证书仅包括少量信息,如只有授权信息和一些基本标识信息(如卡的序列号或令牌正使用的诸如此类的信息)。
在另一个实施例中,服务器把新证书广播给所有连接的阅读器,并且该证书本地存储在阅读器上,直到证书必须发给卡(或其他令牌)为止。在本实施例中如图4和5所示的当阅读器15被告警该卡没有证书时,它便用识别信号来确认存储在本地存储器的证书是否要写到卡T1上。在此情况下发现证书C1,以及从本地存储器访问和作为证书写信号54传送到卡T1的对应的数据。该卡响应信号54来把证书C1存储在卡上的存储器中以便以后检索。在把证书C1下载到卡T1中之后,阅读器15产生关于该证书的证书请求信号55并将其发送给服务器23。响应证书请求事件,服务器23向所有连接的阅读器广播证书C1的证书删除请求56。一旦请求56由阅读器接收,证书C1便从相应本地存储器删除,因为不再需要把它存储在阅读器上。这使Fred以及系统1的管理员具有允许把卡T1在最开始出示给任何连接的阅读器的灵活性。因此,减小了由于登记而造成出现瓶颈的风险。
一些网络通信协议如IPSEC使广播不切实际。此外,本地存储器相对较小,而大量的证书存储在本地存储器产生了可扩展性的问题。这些局限性由本发明的不采用广播技术的备选实施例来解决。
为简便起见,相应阅读器的存储器称为“本地存储器”,因为它对于阅读器是本地的,并且与直接可用于服务器23的存储器容量截然不同。
在其他实施例中,新用户的登记发生在接近与终端22关联的专用连接的阅读器。此专用的阅读器允许向阅读器出示卡T1,并在证书成为可用的时候把证书下载到卡T1上。服务器23优选响应于信号52向终端22提供报警以告诉操作员证书C1现在是可用的。这允许包含保持在阅读器的证书总数,这是由于在给定证书C1的创建和向专用阅读器出示需要的令牌之间的短时间。
在其他实施例中,备选方法用来包含由于登记过程而保持在单个阅读器的大量信息。例如,在一个这种实施例中必须把新登记的用户的令牌出示给一个或多个预定的阅读器中的一个,因为证书C1仅广播给了那些一个或多个预定的阅读器。即那些一个或多个阅读器包括系统1中所有连接的阅读器的子集,这又使超出剩余阅读器上的存储器容量的风险最小。
如果存储在阅读器15上的数字证书是针对已在系统1中登记的具有预先存在的卡的预先存在的用户的话,那么需要撤回与用户和卡有关的较早的证书。该撤回发生在图4的步骤48上,并且以下将进行详细描述。
总体来说,登记的特征在于:
·主服务器(服务器23)登记新用户,以及撤回或变化他们的访问权利。
·登记过程主要经由终端22进行,在其上输入所有必要的用户信息。
·卡(或其他令牌)的序列号从登记阅读器中检索(即阅读器在登记用户之前询问卡)或由登记操作员手工输入。
·可选地,生物特征图象或图像从登记阅读器读取。
·如果需要交叉登记则图象保存在图象数据库中,否则将在转换成相关模板中之后丢弃。
·用户的访问信息还通过登记操作员经由终端22提供。
·为重新登记或变化现有用户的访问权利,从数据库21检索相关信息。
·用以创建新证书的所有必需的信息保存在数据库21中。
·通过产生包括在中央CCL内的相应的“变化请求”来撤回因变化而变得过时的所有证书。在其他实施例中,其期满也被单独撤回的证书以及对应的变化请求包括在中央CCL中。
·在一些实施例中,把新证书广播给所有连接的阅读器以允许将那些证书写到相关卡或其他令牌上,在其他实施例中证书被中央存储。
在本实施例中包含在证书内的标识信息和授权信息包括指示以下内容的加密数据:
■令牌的序列号。
■主服务器、即服务器23确定的证书数字。
■用户的身份。
■一个或多个预定的生物特征模板。
■一个或多个访问组的标识符。
■访问控制标志,包括:
◆需要的长期访问。
◆两个人的规则。
◆所需要的监视者。
◆监视者。
◆保安。
■证书有效日期。
■1-7的SHn散列。
在其他实施例中,证书包括指示不同类型或形式的信息的加密数据。
如果已有用户在他或她的授权上有变化(由于组织内状态的变化如他或她的角色或职责的变化),则为此需要把它输入到系统1中并通过其进行传播。在图6中说明性地阐述了如应用于采用广播的系统以变化用户的登记的这些步骤以及相关信息流的例子。具体而言,已发给了证书C1的用户(再次作为“Fred”)现在需要修正他的访问权利以正确地匹配在给定组织已分配的新角色。访问权利的变化通过操作员(如登记办事员)经由终端22选择Fred作为其成员的一个组或几个组来反映出来。将会理解,取决于角色变化的性质所选择的组在一定程度上完全对应或根本不对应于最初选择的组。一旦操作员已作出了合适的选择,即一旦操作员已执行了图4的步骤43,则新创建的访问信息便存储在数据库21中,即在图4的步骤44上。响应于此把登记请求或授权变化请求60发送给服务器23,接下来又开始图4的步骤46至48。即创建称为证书C2的新证书,并把证书C1的参考增加到中央CCL。此参考作为证书变化请求记录保持在中央CCL中。再次参考图6,在创建证书C2之后,服务器23向所有连接的阅读器广播包含了指示证书C2的数据的证书信号61。证书C1的证书变化请求记录62同时并且对于系统1实时地广播到连接的阅读器。此广播是新变化请求记录输入到中央CCL中的结果,并导致所有连接的阅读器的本地CCL被更新以包括记录62。
连接的阅读器响应请求61把证书存储在本地存储器中。
存储在本地CCL中的变化请求记录62的包含物确保所有那些阅读器包括一旦把C1出示给那些阅读器中的任何一个时需要撤回它的参考。所有连接的阅读器的本地CCL均实时对应于中央CCL。如果在Fred向连接的阅读器出示卡T1之前,系统的其他用户在本示例中称为“Peter”向连接的阅读器出示他的卡T2,则发生以下一序列步骤。最初,这包括响应阅读器15提供的询问信号而提供识别信号63的卡T2。信号63包含指示保持在卡T2上的证书的数据,此外它由阅读器15用来确定是否准予Peter在该访问点上在给定时刻进行访问。接下来,卡T2上的令牌CCL与阅读器15的本地CCL合并。令牌CCL与连接的阅读器的本地CCL的合并包括初始化处理来自令牌CCL的任何变化完成记录(这在以下进一步讨论),随后在令牌CCL上写本地CCL。本地CCL优先于令牌CCL(除变化完成记录以外),这是因为本地CCL用中央CCL更新,而令牌CCL的可靠性更低。在本示例中这种层次结构的结果是令牌CCL现在包括证书C1的变化请求记录。在图6中,把变化请求记录从本地CCL写到令牌CCL标识为信号64。
在合并CCL之后,阅读器15针对Peter作出在给定访问点上的访问控制决定。如上所述,卡T2包括在更早的登记过程之前发给Peter的证书。此证书在图中未标识或指出,因为它与在中央CCL、断开连接的阅读器的本地CCL和令牌CCL之间记录的双向传播的步骤没有密切关系。
如果在以上步骤之后,Peter向断开连接的阅读器16出示卡T2,并且没有任何其他相关的干预事件,则该阅读器以正常方式询问卡T2以访问Peter存储在卡T2上的相关证书。类似于阅读器15、阅读器16的以上示例,在作出访问控制决定之前,将访问相应令牌CCL并与本地CCL合并。然而,在此情况下由于阅读器15是断开连接的阅读器,一旦查明了那些CCL的相关年龄则仅发生CCL的合并。CCL的合并包括首先确保来自本地CCL的任何变化完成记录由阅读器从令牌CCL读取,作为用于把记录或多个记录传送到断开连接的阅读器并因而传送到中央CCL的手段。CCL内的变化完成记录和变化请求记录的包含物以及CCL通过合并的系统处理允许在断开连接的阅读器和服务器23之间进行有效的双向通信。
系统1内的层次结构包括在其顶点上的服务器23。在此以下全部是连接的阅读器。在连接的阅读器以下是任何断开连接的装置,它包括断开连接的阅读器和令牌。当对中央CCL作出变化(通常为在接下来把给定证书出示给阅读器时命令撤回它)时,把这些变化传播给连接的阅读器的本地CCL。此操作是信息通过该层次结构向下传送,它按顺序从中央服务器23到连接的阅读器15、从连接的阅读器到令牌7和8以及从令牌到断开连接的阅读器16。系统1还通过该层次结构回溯提供与以上给出的顺序相反的顺序通信。通过该层次结构回溯进行的通信通过传送指示给定证书的变化完成的记录(即变化完成记录)而发生。
在系统1中当令牌与连接的阅读器交互时,这些变化完成记录在剩余变化请求记录合并之前处理。不像令牌CCL中的其他记录,由于令牌和连接的阅读器的相对的层次位置这确保了变化完成记录在重写令牌CCL之前处理。
由于服务器23位于该层次结构的较高位置,因此中央CCL的所有变化均通过所有连接的阅读器的本地CCL中所包括的对应记录而实时反映出来。因此,在中央CCL内包括的新记录指示证书将撤回的情况下,所有连接的阅读器的本地CCL与中央CCL合并。当合并出现时,本地CCL的时间标记被更新为当前时间。当变化完成事务处理由连接的阅读器发送给服务器23时CCL的时间标记也被更新。完成的变化请求从本地CCL和中央CCL中删除。
当令牌出示给断开连接的阅读器时,并在阅读器的最初交互之后,向令牌写变化完成记录,比较应用于令牌CCL和本地CCL的时间标记。随后基于来自两个中最新的CCL的记录合并变化请求记录,以便用来重写其他CCL的记录。重要的是,不变化CCL的时间标记,而是令牌CCL和本地CCL将具有在合并之前包括在相应CCL中的那两个时间标记中最新的时间标记。
此过程(与在此干预期间在向连接的阅读器出示卡T1之前出示给连接的阅读器的所有其他卡或令牌一起发生的)的共同结果是断开连接的阅读器将被通知有证书变化请求。对于断开连接的阅读器而言唯一例外的是在该时间段里不出示卡。在大型系统中如本实施例有许多用户的情况下,已发现在所有要被更新的阅读器中通常只有较小的延迟。为进一步减小具有留下更不可靠的本地CCL的断开连接的阅读器的风险,在设计系统1时要留心。例如,通过用连接的阅读器替代一些断开连接的阅读器。重要的是,这改善了系统的性能,不仅是因为有更少的连接的阅读器需要更新相应的本地CCL,而且还因为有更多的连接的阅读器要更新令牌CCL。
用于系统1中的令牌(在本示例中为卡7和8)允许更新断开连接的阅读器的本地CCL。此操作由以上所述的两步骤的合并处理来进行。即,变化完成请求的最初处理确保那些请求适当地传播给服务器23,而合并CCL中其余项(在本实施例中变化请求记录)的第二步骤确保本地CCL和令牌CCL二者包含在它们之间共享的最新信息。
回到图6中提供的示例,将会理解在把证书C2广播到所有连接的阅读器之后,Fred向那些阅读器中的一个出示卡T1,在本示例中为阅读器15。该出示操作主要由Fred执行以请求在相应访问点上访问,并且最初该过程是相同的,因为证书C1由阅读器15从令牌T1读取以允许阅读器从确定Fred在该位置以及该时间准予还是拒绝访问开始。由阅读器15的读取包括还包含指示证书C1的数据的识别信号65。接下来,重新处理令牌CCL上的任何变化完成记录,因为将它们发送给了服务器23。在本示例中,没有这种请求,并且同样继续合并本地CCL和令牌CCL。这导致令牌CCL中的变化请求记录由本地CCL中的变化请求记录重写。事实上,本地CCL(作为连接的阅读器的CCL)是最新的,并优先于只与连接的阅读器的最后合并一样是最近的具有较低可靠性的令牌CCL。
一旦阅读器将证书C1识别为在本地CCL内存在变化请求记录的证书,阅读器便向卡T1发送信号66,从而导致证书C1撤回并从中删除或在卡T1上重写。在相同情况下,对于断开连接的阅读器证书C1不被删除相反会留在卡T1的存储器中,因为在断开连接的阅读器上没有保持新证书C2的拷贝。然而,证书C1的状态被变化成“撤回”的状态,并在一定程度上仍可用于系统1。使用的程度由系统1的配置确定,范围从完全授权到没有授权。更典型的是,授权将是有限的,并且将应用获得证书C2的时间段。
为确认证书C1从卡T1中撤回,阅读器15随后向服务器23发送变化完成记录67。作为响应,服务器23产生变化完成记录68,该被广播到所有连接的阅读器的证书C1并由那些阅读器处理以从所有连接的阅读器的本地CCL删除证书C1的对应的变化请求记录。
阅读器15则产生把证书C2写到卡T1上的写信号69,随后把证书完成信号70发送给服务器23以确认证书C2已发给Fred。阅读器随后合并本地CCL与令牌CCL,以确保后者利用本地CCL并因此利用中央CCL来更新。此合并确保卡T1的令牌CCL是最新的。在本示例中,本地CCL的最新版本反映了证书C1的变化请求记录从本地CCL的最新删除。在完成合并之后,令牌CCL也将不再包括证书的变化请求记录。
服务器23响应信号70以产生广播给所有连接的阅读器的证书C2的发出完成信号71。此信号由那些阅读器处理以从相应本地存储器中删除证书C2。将会理解,在任何阅读器上不再需要证书C2,因为它已被下载到卡T1中。
将会理解,在此时间点上断开连接的阅读器16将不接收信号68,并且同样将仍然将证书C1的变化请求记录包括在本地CCL中。然而,对于本发明的典型系统这通常是短暂存在的现象。具体而言,有许多卡或其他令牌在使用,通常在具有更新令牌CCL的卡出示给阅读器16之前只有很短的时间。作为更新的令牌CCL的意思是在从中央CCL删除证书C1之后相应卡已被出示给连接的阅读器。因此,在与那一更新令牌CCL合并之后令牌CCL不包括证书C1的变化请求,本地CCL也不包括。
对于另一示例图7显示了用于变化用户的登记的步骤和信息流,并且利用对应的标识指示对应的特征。具体而言,已发有证书C1的用户(又例如“Fred”)现在需要修正他的访问权利以正确地匹配他在给定组织内已分配的新角色。在本示例中,在登记变化和相关记录由Peter从连接的阅读器1 5传播到断开连接的阅读器16之后,Fred首先向断开连接的阅读器16出示卡T1。将会记得在图6的示例中,在登记中的变化之后,Fred首先向连接的阅读器出示卡T1。
重要的区别在于图7的示例由于证书C2在阅读器16上不将可用而不能下载到卡T1。尽管阅读器16的本地CCL将包含证书C1的证书变化请求,但这将处理成证书C1的状态变化到“撤回”的状态的最终结果。此外,变化完成记录由阅读器16产生并写到卡T1上的令牌CCL。
当卡T1后来出示给连接的阅读器时,变化完成记录将由连接的阅读器读取并发送给服务器23,然后把证书C2写到卡T1。
在图7阐述的背境下,证书C1保持有效使用至少一段预定的时间,而不管所撤回的状态。然而,在其他实施例中如果证书C1出示给断开连接的阅读器的话,则系统1立即使它无效。
图8(a)和图8(b)显示了让新变化请求记录发送到连接的阅读器的本地CCL并包括在其中的步骤。总体来说:
·主机(服务器23)把相关变化请求(变化请求记录或已执行的变化记录)广播给所有连接的阅读器。
·阅读器各自把新请求增加到CCL中并从CCL删除已执行的请求。
·在所有情况下更新本地CCL的时间标记。
·当把记录添加到本地CCL时,如果本地存储器中没有可用空间,则删除已执行的记录(最旧的第一的)直到在存储器内有足够的空间为止。
图9说明合并令牌CCL和本地CCL的步骤。总体来说:
·令牌CCL的CCL时间标记和断开连接的阅读器的本地CCL用来确定哪一个是更新的CCL。对于连接的阅读器,假设本地CCL是当前的。
·把来自更老的CCL(SCCL)的请求记录的执行状态合并到更新的CCL(DCCL)中。
·简单地忽略DCCL中不存在的SCCL请求记录(因为它们不被传送到DCCL)。
·连接的阅读器寻找任何变化完成记录,并将它们送回服务器23然后从CCL中删除它们。如果发现这些项则更新CCL时间标记。
·所得的CCL成为阅读器的新本地CCL并且还被写到令牌CCL。
图10显示了通常用来验证用户的步骤。总体来说:
·在验证有效的令牌之后,阅读器从令牌读取证书。
·采用为此分配的加密密钥来对证书进行译码。
·对于采用数字签名的实施例,阅读器计算数字签名并将它与证书上的签名进行比较,以验证它。
·如果该签名验证通过,则阅读器与证书上的一个序列号匹配。如果匹配失败,则拒绝该令牌。
·如果阅读器配备了生物特征装置,它提示用户需要对应的生物特征印记、图象或其他生物特征测量。
·所接收的生物特征印记传送到模板并与证书上存储的一个或多个生物特征模板比较。
·如果失败,则阅读器重试三次以得到生物特征匹配。在其他实施例中,采用不同次数的重试。
·当成功匹配时,或如果阅读器未配置为具有生物特征装置,则令牌持有者被验证通过。
·否则令牌持有者被拒绝。
·如果被配置,则阅读器可破坏或撤回拒绝的令牌。
一旦令牌和对应的证书被验证通过,则阅读器检查任何相关已知变化。此过程在图11中显示出来,且总体来说包括:
·令牌的CCL与阅读器的本地CCL合并,并把所得的本地CCL写到令牌的存储器以定义新令牌CCL。
·所得的本地CCL(即在阅读器上的CCL)(等于现在包含在令牌上的CCL)用来检查证书是否撤回。
·搜索阅读器的存储器所保持的本地证书以确定新证书是否可为令牌持有者所用。如果这样的话新证书被验证有效并在令牌上更新。
·最后两个步骤重复进行,直到不再有可用于用户的新证书为止。
·如果最后的证书被撤回,则拒绝令牌。否则接受令牌。
·在一些实施例中,阅读器配置成可保持撤回的证书在有限的时间段里是当前的。即虽然证书具有撤回的状态,但它也能用一段有限的时间或用于有限的用途。
一旦接受了令牌,则相关阅读器从证书提取访问组列表。此过程在图12显示,且总体来说包括:
·在阅读器的访问表中搜索访问组列表中的各个组。
·如果发现该组有任何访问时间表的项,其时间表对于当前时间是有效的,则授权令牌。
·如果没有具有任何有效的时间表的访问组,则拒绝令牌。
在图16中显示了系统1的备选阅读器100,其中对应的参考标号指示对应的特征。阅读器100不像阅读器15和16,它包括1用于与门触点的传感器101a、门的锁15b和红外REX传感器101d接口的专用I/O模块10。模块101还提供大量辅助I/O通道101e。在其他实施例中,模块101与其他和/或备选外部装置接口。
在备选实施例中系统1配置成可以不同方式运作,如下所述。本领域的技术人员通过这里给出示教将会理解,系统1还能以其他方式运作,这取决于它所安装的场所的特定环境。
在此备选实施例中,用户的证书作为最小单位指示相应用户的授权信息。即本实施例中的证书不一定指示标识信息或认证信息。令牌各自包括相应用户的一些形式的标识信息,并且这保持在令牌的存储器中。此外,令牌各自包括相应用户的一些形式的认证信息,并且这保持在令牌的存储器中。
此备选实施例仅允许在中央CCL上对CCL进行变化,结果那些变化从那里传播。例如,当连接的阅读器从令牌CCL接收到变化完成请求时,便将完成请求传递给变化请求从中央CCL中删除的服务器。中央CCL随后与连接的阅读器的本地CCL合并。该合并还通过以下发生:服务器与阅读器通信以开始合并;或阅读器与服务器通信以单独开始合并。即,前者是从服务器向外的“推式”通信,而后者是通过阅读器并向其进行的“拉式”通信。
本领域的技术人员通过这里包含的示教将会理解,当变化请求由该阅读器执行时连接的阅读器把变化完成请求传递给服务器。这确保将所有执行的变化请求传递给服务器,而不管那些请求是由连接的阅读器执行还是由断开连接的阅读器执行。在连接的阅读器上竞争的变化请求将不经过延迟或经过很小的延迟而传递给服务器,而对于断开连接的阅读器通常会有一些延迟。
一些阅读器特别是在高安全的区域中的那些阅读器需要除保持在令牌的存储器之外的额外识别或认证。在这种情况下,这些备选实施例的阅读器还包括存储需要的信息(例如实际只有很少用户被授权在该访问点上访问)或基于所需从网络11搜索信息。
对于备选实施例,变化请求仅通过服务器23产生,并且所有执行的变化请求被送回给服务器23。对于连接的阅读器而言那是相对简单的。然而,对于断开连接的阅读器而言,执行的变化请求从相关阅读器传递到令牌,从令牌传递到连接的阅读器,然后从连接的阅读器传递到服务器23。已发现,管理中央CCL的最有效率的方式是通过连接的阅读器把所有已知已执行的请求送回给中央服务器(这随后可通过删除执行的请求和添加新请求而可靠地更新中央CCL)。此外,在中央CCL的每次变化之后服务器23便更新CCL的时间标记。更新的CCL由服务器23按要求或按命令送回给阅读器。例如,在一些实施例中服务器23定期向所有连接的阅读器发送更新的中央CCL(如果在预先时间里它发生变化的话)。或者,连接的阅读器在处理新出示的令牌之前请求来自服务器23的CCL更新。在其他实施例中,连接的阅读器定期请求CCL的更新。无论何时连接的阅读器从服务器23接收新CCL,便会丢弃保持在本地CCL上的先前版本。后一种功能基于(如在本段落的开头所陈述的)对于连接的阅读器已知的所有已完成的请求而言通信已被发送给服务器23。
由于没有通过服务器23发送给连接的阅读器的单独的变化请求,因此阅读器不更新相应本地CCL的时间标记。因此,中央CCL将总是具有最近时间标记,并且在将其传递给连接的阅读器时,将导致本地CCL重写。
由于具有以上适当的功能,因此改善了由连接的阅读器保持的本地CCL是最新的确定水平。因此当向连接的阅读器出示令牌并由它询问时,该阅读器需要有仅关于令牌CCL上的任何完整的请求,而丢弃所有其他的请求。已完成的请求通过向服务器23发送通信而处理,并还更新来自服务器23的悬挂任何中央CCL的本地CCL。连接的阅读器只需要在令牌CCL上写未执行的请求。否则在断开连接的阅读器上合并CCL的逻辑实质上与本文献中先前描述的保持相同。
图17中显示了该备选实施例的登记过程,并且这对于更早说明的实施例而言代表图4的登记过程。将会理解图4和17中的对应步骤用对应的参考标号指示。开始的步骤类似于图4的那些步骤,因为基本上编译并保存相同的信息。然而,当在图17的步骤46中创建证书时,仅关心访问信息。如早先描述的实施例,访问信息指示用户作为其成员的组。
注释图17的过程的其他一些要点是:
·主机或服务器登记新用户以及撤回或变化他和其他用户的访问权利。权利的任何撤回或变化使得已有证书被撤回,对于只有权利变化而言把新证书发给用户。因此,针对每个变化中央CCL将具有包括在其中的变化请求。由于中央CCL与连接的阅读器的相应本地CCL合并,因此变化请求还将出现在本地CCL上。
·从登记终端22得到所有身份信息的登记过程,不管该身份信息是在登记时从数据直接捕获中得到,还是通过访问早先存储的数据而得到。后一种情况的示例包括交叉登记,用户已进行登记以便允许访问网络11的其他功能。
·令牌序列号从登记阅读器中检索得到或者由操作员手工输入。
·从登记阅读器读取生物特征图象和相关模板。如果需要交叉登记则将图象保存在图象数据库中,否则将它丢弃。
·访问信息还由操作员提供。
·对于再次登记或变化,从数据库中检索得到相关信息。
·所有必要的信息用来创建新证书,它保存在数据库中。
·所有变为过时的证书由于到期或变化而被撤回。即不是变化证书,而是撤回旧的证书并发出新的一个证书。一旦发了新证书,那么它可用于在相应令牌上更新。
而证书主要只包括授权信息,其他信息用来允许系统1操作。例如,在一些实施例中一些标识信息如雇员代码包括在令牌的存储器中,在其他实施例中用户的一个或多个生物特征模板的加密记录存储在相应令牌的存储器中,在本实施例中,连接的阅读器与服务器23通信以获得仅用于实现高级访问控制功能、如监视人员需要的控制或最小占用或最大占用控制的其他授权信息。
图18原理上显示了在新用户在本实施例中指“Fred”登记之后的一序列步骤和信息流。在为Fred创建证书、即证书C1之后,便把它存储在服务器23上。由于已发有令牌T1,因此Fred将在某些时间希望在一个访问点上获准访问。为此把令牌T1出示给阅读器。在本实施例中新登记的用户的令牌最初肯定是出示给连接的阅读器。一旦Fred向阅读器100出示令牌T1,则阅读器便询问令牌T1。此询问使得阅读器100向服务器23提供证书C1请求事件,服务器作为响应向阅读器提供证书C1。阅读器随后把证书C1写到令牌T1上。在此点上,令牌C1用于允许作出访问控制决定。
图19原理上显示了由本发明的备选实施例提供的变化请求的有效管理。如上所述,变化请求只可输入到中央CCL,并且当此发生时,便更新中央CCL的时间标记。参考图19,一旦变化请求添加到中央CCL中,则连接的阅读器的本地CCL全部被更新以对应于中央CCL。在本实施例中,定期或按照需要采用本文档中所描述的一个或多个“推式”和“拉式”机制更新本地CCL。
当把令牌出示给连接的阅读器时,阅读器从该令牌的存储器读取令牌CCL,从令牌CCL提取任何变化完成请求,并随后合并本地CCL和令牌CCL。任何变化完成请求(或其他执行的请求事件)传递给服务器23,它们接下来又通过删除相关变化请求来更新中央CCL。连接的阅读器随后把本地CCL写到令牌的存储器以定义令牌CCL。此时,因为系统1实时运作,因此令牌CCL是最新的。重要的是连接的阅读器不可变化本地CCL的时间标记,因为该功能对于服务器23是预留的。因此,在本示例中本地CCL和令牌CCL的时间标记将是本地CCL最后与中央CCL同步即由其重写的的时间和日期。
还如图19所示,当把令牌出示给断开连接的阅读器时,操作如上所示。即令牌CCL基于本地CCL和令牌CCL的时间标记由断开连接的阅读器读取,并进行CCL的合并。如果这导致了本地CCL的任何变化,那么令牌CCL由新本地CCL重写。
图20显示了由用户Fred的访问权利变化而引起的操作序列和信息流,并且其中Fred在该变化之后首先向连接的阅读器100出示令牌T1。在本实施例中,访问权利中的变化通过撤回指示更早的访问权利的证书C1并产生指示新访问权利的新证书C2来处理。一旦已进行了相关的输入(通常经由终端22或类似终端),中央CCL便被更新为包括用以撤回证书C1的变化请求,而证书的中央存储被更新为包括证书C2。
如果除Fred之外的用户在本示例中称为“Peter”的用户向连接的阅读器出示他们的令牌T2之后Fred才做这些的话,令牌T2的令牌CCL将变化成反映Fred的变化请求。接下来如果Peter向断开连接的阅读器出示令牌T2,变化请求将传播给断开连接的阅读器,因为令牌CCL将与本地CCL合并。即断开连接的阅读器逐步更新成包括最新请求。
当Fred确实向阅读器100出示令牌T1时,证书C1将被删除,而证书C2从中央证书存储器中检索到并被写到令牌T2。令牌随后配置成允许基于已分配给Fred的新访问权利作出访问控制决定。
图21除了在访问权利变化之后Fred最初向断开连接的阅读器16出示卡之外其他类似于图20。
下面参考图22说明本发明的此备选实施例中采用的以更新中央CCL的步骤。具体而言:
·登记系统(形式为终端22)向服务器23发送包括在中央CCL中的变化请求。
·连接的阅读器向服务器23发送已执行的变化请求,作为响应服务器从中央CCL删除这些已执行的请求。
·如果中央CCL有任何变化则更新中央CCL的时间标记。
图23是说明备选实施例中采用的用以合并CCL的步骤的流程图。
具体而言:
·当对应的令牌由该阅读器查询时阅读器无论是连接的阅读器还是断开连接的阅读器合并本地CCL与令牌CCL。
·连接的阅读器具有与中央CCL同步的本地CCL。
·令牌CCL和本地CCL的时间标记用来决定哪一个是更当前的CCL。此外,阅读器不可能更新任何CCL的时间标记。
·来自更老的CCL(SCCL)的请求的执行状态被合并到更新的CCL(DCCL)中。
·在DCCL中不存在的SCCL请求简单地被忽略。即它们不传送DCCL中)。
·连接的阅读器查询任何执行的变化请求并作为事件将它们发送回服务器23,并且随后从本地CCL删除它们。
·所得的CCL成为阅读器的新本地CCL,并且还被写到令牌。
图24是说明备选实施例中由阅读器用以写到令牌CCL中的步骤的流程图。具体而言:
·阅读器用它们更新的本地CCL的拷贝来更新令牌CCL。
·令牌CCL的尺寸是有限的。
·首先写最新的未执行的条目。
·如果空间允许的话则写已执行的条目。
·不加变化地拷贝CCL时间标记。
·不加变化地变化基础证书的发出日期。
在备选实施例中,认证用户的步骤基本上与更早描述的实施例相同。为完整起见这包括:
·在验证令牌之后,阅读器从令牌中读取证书。
·采用为此目的分配的相关密钥来译码该证书。
·如果数字签名正在使用,则阅读器计算数字签名并将它与证书上的签名比较以验证签名。如果签名未验证通过的话,则令牌被拒绝。
·如果签名被使用并验证通过的话,阅读器将把令牌序列号与证书上的一个进行匹配。如果此失败的话,则令牌被拒绝。
·如果阅读器配备了生物特征装置,它提示用户并随后获得相关生物特征信息的样本。
·所接收的生物特征模板与存储在证书上的模板匹配。
·如果匹配失败的话,则阅读器重试三次以得到生物特征匹配。在其他实施例中采用其他次数的重试。
·当匹配成功时,或如果阅读器未配置成具有生物特征装置,则令牌持有者被认证。
·否则令牌持有者被拒绝。
·如果配置了生物特征装置,阅读器可破坏所拒绝的令牌或撤回它们。
一旦令牌和证书被验证,则阅读器检查任何相关的已知变化。对于连接的阅读器,这包括来自服务器23的对于最新CCL的请求。来自令牌的CCL随后与本地CCL合并,并且用基础系统发布日期检查证书发布日期。任何证书在撤回基础系统日期之前发布。
所得的CCL用来检查从令牌读取的证书是否被撤回,如果是的话则连接的阅读器试图得到令牌的新证书。如果得到新证书,则这也被检查以确定它是否有效。如果无效的话,则新证书也被撤回,并进一步搜索证书。此过程重复进行直到得到有效证书,或没有新证书可用于令牌为止。由于断开连接的阅读器不可访问服务器23来获得任何新证书,如果向该阅读器出示包含撤回的证书的令牌,则它将仍作为当前的证书而被接受,但通常只持续一段有限的时间。然而,在一些实施例中断开连接的阅读器配置成拒绝具有撤回的证书的令牌。
一旦令牌被接受,则阅读器便从证书提取访问组列表。在阅读器的访问表中搜索访问组列表中的各个组。如果对于该组发现有其时间表对于当前时间是有效的任何访问时间表项,则令牌被授权。备选的是如果没有访问组具有任何有效的时间表,则令牌被拒绝。
备选实施例特定地提供有效的访问权利管理,它包括以下:
·主服务器提供中央CCL作为连接的阅读器的参考CCL。只有服务器把新请求增加到中央CCL中并从中删除已执行的请求。连接的阅读器的本地CCL定期从中央CCL更新。
·令牌在连接的和断开连接的阅读器之间传递证书变化列表。
·如本文档先前所描述的阅读器合并本地CCL与令牌CCL。
有效访问权利管理实际上是允许包含CCL的尺寸,在典型实施例中,这允许整个CCL容易地存储在令牌的存储器中,并因此允许它方便地传递给所有断开连接的阅读器。由于所有的阅读器实质上知道最新的变化请求,因此本发明的优选实施例可提供:
·针对证书的长有效期。
·防止峰值期间的瓶颈,因为证书不必重新定期载入到卡中。
·由于记录所有事务处理历史事件因此提供强审计追踪。令牌承载来自断开连接的阅读器的事务处理日志;以及连接的阅读器从令牌提取历史情况,并把记录连同它们自己的事务处理传送给主服务器。
·身份管理得到改进,因为令牌可承载物理和逻辑访问二者的多要素识别和认证。
由优选实施例提供的主要功能包括:
·阅读器本身结合从令牌获取的信息足以知道如何作出访问控制决定。
·不需要访问控制面板。
·容纳断开连接的阅读器。即阅读器不必连接便可获得该功能。(然而,假设各个系统具有至少一个连接的阅读器)。
这些主要功能带来以下优点:
·减小了系统的总生命周期成本。
·断开连接的结构。
·减少了线路和安装成本。
·在移动车辆或其他地方上安装不与主服务器通信(或连续通信)的阅读器。
·容易维护。
·可高度扩展为具有遍布到多个权限中的设施的许多访问点和许多用户。
·不像现有技术的控制器,阅读器不保持指示令牌用户的任何数据。
·令牌承载它们自己的配置数据。
·容纳无限数量的令牌。
·容纳无限数量的阅读器。
·无限数量的嵌套防反传区(这将在以下更详细地描述)。
·强的多要素认证。。
·在阅读器和令牌之间进行安全防回放通信。
防反传(APB)功能
系统1配置成在选定的访问点之间提供防反传(APB)功能。通过举例,参考图13其中显示了一些形式为场所80的设施,系统1(仅显示了一些单元)安装在其上。场所80由外围围墙围成,并包括若干区,它们中的一些是嵌套的区,另一些是防反传(APB)区。将会理解,APB区是需要用户请求并由阅读器准予访问以进入到该区和离开该区的一个区。即一旦用户已进入了APB区,对于该系统有必要在允许相同的用户进入该区的下一进入之前通知用户从该区退出。
系统包括有选择地由多个用户在相应成对的区之间访问的多个访问点。如早先所描述的实施例,访问点在闭锁和开锁配置之间跳动以便相应地防止和允许用户在成对的区中的各个区之间访问。
在场所80的外围围墙远处的区定义为区0。在外围围墙内以及不由嵌套的区约束的区定义为区A。在本实施例中,区A和区C是APB区,而区B和区D不是APB区。区B整个包括在APB区A内,因此如果用户访问区A或区B,则认为他或她在APB区A中。类似地,如果用户访问区C或区D,则认为他或她在APB区C中。本领域的那些技术人员将会理解区中的“最后APB区”令牌记录指示此信息。
场所80包括(未显示)两个访问点,与它们相邻地设置有相应阅读器81和82。系统的用户向阅读器81和阅读器82出示访问令牌以搜索从区0到区A和相应地从区A到区0的访问。通常对于APB区,把用于确定是否准予从一个区到其他区访问的阅读器安装在确定是否准予从其他区到这一个区访问的阅读器的不同访问点上。这就是说:在一些实施例中,单个访问点包括两个阅读器,它们中的一个设在相应成对区中的相应区中。
位于场所80上并在区A内的是两个间隔开的建筑物83和84,它们的内部相应地定义为区B和区C。这后两个区嵌套到区A内。区C是APB区,而区B不是。
建筑物83包括阅读器85,而建筑物84包括两个间隔开的阅读器86和87,它们相邻对应访问点(未显示)而设置以便允许用户试图对那些建筑物访问。由于区B不是APB区,因此与阅读器85关联的访问点包括退出请求(REX)装置。将会理解,阅读器85相邻区A中的访问点设置,而REX装置相邻相同的访问点设置,但它不在区B中。当用户触发REX装置时,访问点跳动到开锁配置以允许用户从区B进入到区A。
REX装置通常采取通过用户手动输入的按钮或开关或红外传感器或检测用户从与该访问点关联的成对区中的相关一个区接近访问点的可能出现的其他传感器的形式。在其他实施例中,REX装置设在除了其上设置有阅读器85的访问点以外的退出(未显示)上。在此情况下退出通常“仅是退出”外部的门。可选的是,REX装置包括退出门的门把手,该把手在正常使用时可访问并只由区B内的用户手动操作。
建筑物84包括内室89,其内部定义为不是APB区的区D。阅读器90设在相邻访问点(未显示)处,以便允许用户在区C和区D之间选择性的通过。类似于阅读器85,阅读器90包括对应的REX装置以促使自动准予用户希望从区D进入区C的访问。
而在本实施例中,所有阅读器81、82、85、86、87和90是断开连接的阅读器,在其他实施例中一个或多个那些阅读器是连接的阅读器。将会理解,根据这里的示教本发明的实施例提供的APB功能与连接的或断开连接的阅读器配置无关。同样,备选实施例容纳连接的和断开连接的阅读器的不同组合。
将会理解,虽然图13在临近的成对区之间仅提供了最小数量的访问点,但这仅是为了说明。而一些实施例更典型的是尤其在较大的安装内仅包括最小数量的访问点,一些区或各个区将具有多个阅读器和关联访问点,用户可通过它们进入和退出给定区。
如图13所示的系统1提供嵌套APB功能的有限级别。即可以有有限级别的嵌套的APB区。此外,APB功能在只具有断开连接的阅读器系统中获得,如图13或具有连接的和断开连接的阅读器的组合的系统中所示。
APB功能性意指如果用户进入给定区,则他或她不能再次进入相同的区,除非系统1具有用户在已进入该区之后离开该区的记录。APB功能的目的是为了防止用户无意或有意地把他们的相应智能卡或其他令牌与其他用户或未授权的人员共享。例如,在没有APB功能的系统中,无道德或不守纪律的用户能够进入某区并随后将他的令牌丢给同事用户(例如通过建筑物的外窗),以允许同事用户或其他个体进入同一区。
APB功能性使得用户在没有单独出示他们的相应令牌的情形下进入某区变得很难使用,并因此提供改善的环境以鼓励正确和完整地使用系统1。例如,如果两个彼此认识的授权用户(称为第一用户和第二用户)同时靠近访问点的话,则那些用户中只有一个(如第一用户)出示他们的相应令牌以使访问点跳动是不正常的。即第一和第二用户均可访问给定区,尽管系统1上包含的信息明显只有第一用户已进入该区。当第二用户访问该区是,一旦该第二用户试图进入嵌套的区或退出当前区时,则相关阅读器将由于APB逻辑的操作而不允许访问。此功能性在应用于物理访问例如建筑物的进入处和虚拟访问例如登陆计算机网络的能力的组合时具有特别的效率。即系统1可配置成仅允许系统1指示其在给定建筑物或其他设施内的那些用户访问网络。这不仅应用于经由线缆或其他物理连接到网络上的用户登陆,而且还应用于经由无线连接的那些登陆。
通常,APB功能用于建筑物的外部门。然而,在一些实施例中特别是对于高度保安的区域它也在内部使用。
术语“区”。在图13的上下文中指具有一个或多个访问点和对应的阅读器的有边界的区或空间。访问点是进入访问点(用户试图进入某区),或者是退出访问点(用户试图从某区出来)。进入访问点和退出访问点相应地包括对应的进入阅读器和退出阅读器。因此,APB区和非APB区各自将具有含有对应的进入阅读器的至少一个访问点。APB区另外将具有至少一个含有对应的退出阅读器的访问点。用户必须利用进入阅读器来进入给定区。如果包括退出阅读器的话,用户还必须使用该退出阅读器离开那一区。这允许系统1获得进入该区以及离开该区的记录。
在访问点没有退出阅读器的那些情况下,通常包括自动的请求退出按钮或动作传感器以便触发访问点在锁定与开锁配置之间跳动。
常识规定APB功能的实现需要进入阅读器和退出阅读器来彼此直接或经由控制器或服务器进行通信。这基于阅读器需要关于用户进入和用户出去的信息,否则不可能作出访问控制决定。然而,在图13中的实施例通过以下操作而在进入阅读器和退出阅读器之间不需要这种通信:
·配置各个阅读器(作为进入阅读器或退出阅读器)以具有指示成对的进入区和退出区以及成对的进入APB区和退出APB区(这在以下描述)的阅读器记录。
·在各个令牌上保持有指示至少一个区的区记录。在本实施例中区记录指示:令牌最后准予访问的APB区(“最后APB区”);和令牌最后准予访问的区(“当前区”)。
在本实施例中,阅读器记录把一个区指示为在查询访问点时用户位于其中的进入区,以及如果准予访问的话把其他区作为用户将前进到的进入APB区。
阅读器记录还指示成对的防反传(APB)区,它包括:当查询访问点时用户处于其中的退出APB区;和如果访问准予的话用户将前进到的进入APB区。如果访问准予或拒绝的话该阅读器响应于进入APB区和退出APB区中的一个或两个。
在一个实施例中,阅读器响应于进入APB区和退出APB区来确定访问是准予还是拒绝。
阅读器器的进入区和退出区是有关阅读器的成对的区中的两个区。例如,阅读器81包括退出区定义为区0,和进入区定义为区A的阅读器记录。退出APB区定义为区0,而进入APB区定义为区A。类似地,阅读器82包括把退出区定义为区A而进入区定义为区0、退出APB区定义为区A而进入APB区定义为区0的阅读器记录。然而,区B不是APB区但包括在APB区A内。在此情况下,进入阅读器85包括退出区定义为区A而进入区定义为区B的阅读器记录。进入APB区以及退出APB区均定义为区A。
当向阅读器出示令牌并且获准访问时,阅读器写令牌以更新区记录。即至少把当前区更新为该阅读器的进入区,即用户刚准予访问的区。此外,如果进入APB区不同于退出APB区,区记录也被更新以确保令牌上的最后APB区等于阅读器的进入APB区。在另一实施例中,当前区和最后APB区在每次准予访问之后更新。
区记录和包含在令牌上的其他信息被加密以保护它们的完整和安全。然而,在其他实施例中没有采用加密或只加密一些信息。
当前区基于已发生的询问阅读器历史情况指示令牌应当在的区。如上所述当前区从阅读器的进入区记录中得到,最后准予访问令牌。
在一个实施例中如果退出APB区不同于进入APB区,则阅读器确定最后APB区是否匹配退出APB区。如果此确定的结果是真的话,则准予访问,否则拒绝访问。
以上步骤称为APB逻辑,并在图14的流程图中原理上示出。
如上所述,场所80外的区构成区0。因此,在要求进入到区A的第一请求之前所有令牌的当前区初始化为区0,最后APB区初始化为区0。这基于令牌远离场所80而配置和发布。在其他实施例中,令牌被配置并先发给场所80内的用户,该配置对应于在那时令牌所设的区和APB区。即在所有优选实施例中,新发出的令牌用对应于卡发出的相应区的当前区和APB区初始化。
例如,如果用户首先尝试进入场所80,则他或她的令牌是当前区=0且最后APB区=0。阅读器81将配置为退出区=0,进入区=A。而且阅读器81配置成退出APB区=0,进入APB区=A。当令牌在阅读器81上出示时,因为退出APB区不同于进入APB区,因此系统1检查以确保最后APB区保持有匹配阅读器的退出APB区的令牌。如果它保持的是真的话,并且所有其他访问测试均满足,则准予用户访问。作为该过程的一部分,阅读器81写令牌以设定当前区=A,最后APB区=A。
在令牌保持的信息没有其他变化时,如果它出示给阅读器81以获得对区A的请求访问,则以上APB逻辑将失败,并且用户将未获准访问。即最后APB区=A,这不同于阅读器的配置为0的退出APB区。
将会理解,如果阅读器设在控制对非APB区的访问的访问点上,则阅读器记录的进入APB区和退出APB区相同。
当令牌出示给阅读器82以请求从区A退出时,以上APB逻辑在应用于令牌上保持的信息时将是成功的。基于肯定要实施所有其他必须的确定,因此允许退出(即准予所请求的访问)。在此过程期间,阅读器82把令牌更新成包括当前区=0。即把阅读器82的当前区更新成与进入区相等。此外,最后APB区更新为0。
在以上步骤之后,用户将被允许再次进入场所80。
已参考从区0到区A并返回到区0的通行对APB功能性进行了描述。然而,从这里的示教将会理解图13中的区中任何一个之间的通信用类似步骤控制,并且图14的相同APB逻辑的应用也如此。
只要APB区是嵌套的(在本发明的实施例中总是如此),则以上APB逻辑将无限地工作。因此,这些实施例提供了无限的APB功能等级,即使在用于断开连接的阅读器时也如此。
APB功能性基于出示给给定阅读器的给定令牌提供用户过滤以及他们在访问点上获得访问的能力。令牌上承载的标识信息和/或其他信息(如证书和/或授权信息)提供用户的另一种过滤和经由访问点并基于出示给相同阅读器的相同令牌获得访问的能力。为简便起见,称这两个过滤器允许APB确定和用户确定。在本实施例中,阅读器在作出用户确定之前作出APB确定。然而,在其他实施例中用户确定在APB确定之后作出。在其它实施例中,基本上所有需要作出第一确定的动作发生在需要作出第二确定的动作之前。
在图13所示的实施例中,APB功能在系统1的所有正常的操作周期内在所有的相关阅读器上运行。然而,在其他实施例中APB功能仅在一天内的给定时间上应用于给定用户,或由于不同威胁或告警级别而应用。
总体来说,以下应用于图13的实施例:
·不像正常的区,防反传(APB)区没有请求退出(REX)装置。有效令牌如进入某区一样必须用来从APB区退出。
·所有阅读器配置有进入区和退出区,以及进入APB区和退出APB区。
·非APB区被认为是包括在直接封闭APB区中(如果有的话)。例如,在此图中区A和区C是APB区。区B包括在APB区A中,而区D包括在APB区C中。
·持有关于当前区和最后APB区的信息(记录)的令牌。
·如果阅读器的进入APB区不同于阅读器的退出APB区,则令牌的最后APB区必定匹配令牌的退出APB区以便准予访问。
图15原理上显示出本发明的另一实施例。该系统包括若干阅读器、针对下表中提供的每一个的配置。
上述本发明的实施例允许通过有效管理中央CCL、本地CCL和令牌CCL而有利地得到扩展。此管理在按某结构的阅读器、令牌和主服务器之间提供了双向通信。系统1内的CCL的层次结构是构成实施例的功能的一个要素。另一要素是在CCL内的包含物不仅有证书变化请求记录,而且还有证书变化完成记录。这些接合变化完成记录和变化请求记录结构处理允许系统1的连接的和断开连接的元件进行有效通信。
由优选实施例的系统提供的有效管理不需要CCL的任何重新初始化,因为其尺寸自动包含在其中。因此,这些证书可具有长久的发布周期,在本实施例中长达一年或更长。期限的限制多数通常是系统用的加密密钥期望的安全工作寿命,而非阅读器或系统内其他组件的存储容量。
优选实施例的系统提供的APB逻辑不需要APB区的进入阅读器和退出阅读器通过任何几个商业可得的有线或无线装置物理上彼此连接。
虽然本发明已参考特定实施例来描述但本领域的技术人员将会理解它可用许多其他形式实现。
Claims (24)
1.一种用于由多个用户有选择地访问的至少一个访问点的访问控制系统,所述访问点在闭锁和开锁配置之间跳动以便相应地防止和允许所述用户在所述访问点上进行访问,所述系统包括:
各个所述用户的访问令牌,各个令牌包括包含证书和令牌证书变化列表的存储器,各个令牌响应于询问信号以便产生从所述证书中得到的令牌信号;
计算机网络,用于包含指示所述证书的信息并用于提供指示那些证书中的一个或多个所需要的变化的中央证书变化列表;和
用于各个访问点的访问阅读器,其与所述网络进行通信以便维护与中央证书变化列表实时合并的本地证书变化列表,所述访问阅读器产生相应的询问信号并响应所述对应的令牌信号以便:确定所述相应访问点是否跳动到所述开锁配置;和合并所述本地证书变化列表和所述令牌证书变化列表。
2.根据权利要求1所述的系统,其中,所述存储器包含其他信息。
3.根据权利要求1所述的系统,其中,所述令牌信号从所述证书和所述令牌证书变化列表中得到。
4.根据权利要求1所述的系统,其中,各个证书包括所述相应用户授权信息。
5.根据权利要求1所述的系统,其中,各个证书包括所述相应用户授权信息和以下信息的一个或多个:认证信息;和标识信息。
6.根据权利要求1所述的系统,其中,所述中央证书变化列表指示的变化包括以下一个或多个:一个或多个证书的撤回;所述一个或多个证书的所述认证信息的变化;和所述一个或多个证书的所述授权信息的变化。
7.根据权利要求1所述的系统,其中,所述证书包括指示所述证书的创建和/或到期条件的有效信息。
8.根据权利要求1所述的系统,其中,各个证书变化列表包括多个记录。
9.根据权利要求8所述的系统,其中,各个记录是以下中的一个:
指示证书要变化的变化请求记录;
指示确认特定证书已发生变化的变化完成记录;
所述证书变化列表的时间标记;和
所述证书有效的基本创建日期。
10.根据权利要求9所述的系统,其中,所述中央证书变化列表不包括变化完成记录。
11.根据权利要求9所述的系统,其中,所述阅读器或所述阅读器中的至少一个与所述网络进行通信以及所述令牌证书变化列表和本地证书变化列表的合并包括所述相应阅读器:
从所述令牌证书变化列表读取任何变化完成记录;和
把所述本地证书变化列表写到所述令牌证书变化列表。
12.根据权利要求11所述的系统,其中,把所述本地证书变化列表写到所述令牌证书变化列表包括重写所述令牌证书变化列表。
13.根据权利要求1所述的系统,其中,所述阅读器或多个阅读器在询问所述令牌时产生传递给所述网络的相应事务日志。
14.根据权利要求1所述的系统,包括与所述网络断开连接从而不与所述网络通信的一个或多个阅读器,其中所述一个或多个阅读器在询问所述令牌时产生相应事务日志。
15.根据权利要求13或权利要求14所述的系统,其中,所述事务日志指示相应阅读器的一个或多个动作。
16.根据权利要求14所述的系统,其中,不与所述网络通信的一个或多个阅读器中的每一个把所述相应事务日志写到所述令牌的存储器中。
17.根据权利要求16所述的系统,其中,当所述令牌随后由确实与所述网络通信的阅读器询问时,所述事务日志从所述令牌的存储器中被读取并传递给所述网络。
18.一种用于有选择地由多个用户访问的相应成对的区之间的多个访问点的访问控制系统,所述访问点有选择地在闭锁和开锁配置之间跳动以准予或拒绝所述用户在所述相应成对的区中的区之间访问,所述系统包括:
各个所述用户的访问令牌,各个令牌包括包含指示至少一个所述区的区记录的存储器,各个令牌响应于询问信号以便产生从所述记录中得到的令牌信号;和
各个访问点的访问阅读器,所述阅读器具有指示所述成对的区中的一个区的相应阅读器记录,所述阅读器产生询问信号并响应所述对应的令牌信号和阅读器记录来确定准予还是拒绝所述访问,所述阅读器与计算机网络进行通信以便维护与中央证书变化列表实时合并的本地证书变化列表。
19.根据权利要求18所述的系统,其中,所述阅读器记录在查询所述访问点时将所述区中的一个指定为所述用户位于其中的退出区,而在准予访问时指定为所述用户将前进到的进入区。
20.根据权利要求19所述的系统,其中,所述进入区和退出区是物理空间。
21.根据权利要求19所述的系统,其中,所述阅读器记录指示:当查询所述访问点时所述用户位于其中的退出防反传区;和在准予访问时所述用户将前进到的进入防反传区。
22.根据权利要求21所述的系统,其中,所述阅读器响应所述进入防反传区和退出防反传区来确定准予还是拒绝所述访问。
23.根据权利要求18所述的系统,其中,所述区中的至少一个是防反传区。
24.根据权利要求23所述的系统,其中,所述区记录指示所述一个或多个区是否是防反传区。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| AU2004904895 | 2004-08-27 | ||
| AU2004904895A AU2004904895A0 (en) | 2004-08-27 | An access control system | |
| AU2004905346A AU2004905346A0 (en) | 2004-09-16 | An access control system | |
| AU2004905346 | 2004-09-16 | ||
| PCT/AU2005/001285 WO2006021047A1 (en) | 2004-08-27 | 2005-08-25 | An access control system and a method of access control |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101052970A CN101052970A (zh) | 2007-10-10 |
| CN101052970B true CN101052970B (zh) | 2011-07-13 |
Family
ID=35967120
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005800363714A Expired - Fee Related CN101052970B (zh) | 2004-08-27 | 2005-08-25 | 访问控制系统 |
Country Status (4)
| Country | Link |
|---|---|
| EP (1) | EP1807788A4 (zh) |
| CN (1) | CN101052970B (zh) |
| HK (1) | HK1113213A1 (zh) |
| WO (1) | WO2006021047A1 (zh) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8232860B2 (en) | 2005-10-21 | 2012-07-31 | Honeywell International Inc. | RFID reader for facility access control and authorization |
| ES2323213B1 (es) * | 2007-10-03 | 2010-03-16 | Talleres De Escoriaza S.A. | Sistema electronico programable de control de accesos. |
| US8341695B2 (en) | 2008-05-01 | 2012-12-25 | Honeywell International Inc. | Method of access control implemented in an Ethernet switch |
| US8052060B2 (en) | 2008-09-25 | 2011-11-08 | Utc Fire & Security Americas Corporation, Inc. | Physical access control system with smartcard and methods of operating |
| WO2010039598A2 (en) | 2008-09-30 | 2010-04-08 | Honeywell International Inc. | Systems and methods for interacting with access control devices |
| WO2010099575A1 (en) | 2009-03-04 | 2010-09-10 | Honeywell International Inc. | Systems and methods for managing video data |
| US9019070B2 (en) | 2009-03-19 | 2015-04-28 | Honeywell International Inc. | Systems and methods for managing access control devices |
| DE102009037224A1 (de) * | 2009-08-12 | 2011-02-17 | Repower Systems Ag | Verfahren und Vorrichtung zur Zugriffsregelung auf Anlagensteuerungen von Windenergieanlagen |
| US9280365B2 (en) | 2009-12-17 | 2016-03-08 | Honeywell International Inc. | Systems and methods for managing configuration data at disconnected remote devices |
| NL2004825C2 (en) | 2010-06-04 | 2011-12-06 | Ubiqu B V | A method of authorizing a person, an authorizing architecture and a computer program product. |
| CN102567697B (zh) * | 2010-12-08 | 2016-01-06 | 中国电信股份有限公司 | 阅读器、rfid标签及其读取方法 |
| US9894261B2 (en) | 2011-06-24 | 2018-02-13 | Honeywell International Inc. | Systems and methods for presenting digital video management system information via a user-customizable hierarchical tree interface |
| US9344684B2 (en) | 2011-08-05 | 2016-05-17 | Honeywell International Inc. | Systems and methods configured to enable content sharing between client terminals of a digital video management system |
| CN104137154B (zh) | 2011-08-05 | 2019-02-01 | 霍尼韦尔国际公司 | 用于管理视频数据的系统和方法 |
| US10362273B2 (en) | 2011-08-05 | 2019-07-23 | Honeywell International Inc. | Systems and methods for managing video data |
| DE102011122461A1 (de) * | 2011-12-22 | 2013-06-27 | Airbus Operations Gmbh | Zugangssystem für ein Fahrzeug und Verfahren zum Verwalten des Zugangs zu einem Fahrzeug |
| ES2653950T3 (es) | 2012-12-21 | 2018-02-09 | Nida Tech Sweden Ab | Método, nodo, programa informático y dispositivo de herramienta alimentada, para permitir trabar y destrabar una herramienta alimentada |
| US10523903B2 (en) | 2013-10-30 | 2019-12-31 | Honeywell International Inc. | Computer implemented systems frameworks and methods configured for enabling review of incident data |
| EP2958083A1 (de) * | 2014-06-17 | 2015-12-23 | Burg-Wächter Kg | Verfahren zur Konfiguration elektronischer Schlösser |
| CN107615806A (zh) | 2015-04-07 | 2018-01-19 | 奈达科技瑞典有限公司 | 改进的到达时间定位系统 |
| CN109074618B (zh) * | 2016-04-11 | 2024-04-09 | 开利公司 | 在与多个访问控件交互时捕获用户意图 |
| EP3562089A1 (de) * | 2018-04-23 | 2019-10-30 | Siemens Aktiengesellschaft | Automatisiertes zertifikatsmanagement |
| EP3871199B1 (en) * | 2018-10-22 | 2023-07-19 | dormakaba Schweiz AG | Uwb access rights update |
| EP4140656A1 (de) * | 2021-08-31 | 2023-03-01 | Adolf Würth GmbH & Co. KG | Diversifizierte handwerkerausstattung mit token-kompatiblen handwerkergeräten |
| EP4140657A1 (de) * | 2021-08-31 | 2023-03-01 | Adolf Würth GmbH & Co. KG | Handgerät mit über universelle busverbindung gleichberechtigt kommunizierfähigen komponenten |
| EP4140654A1 (de) * | 2021-08-31 | 2023-03-01 | Adolf Würth GmbH & Co. KG | Kryptographisch kommunizierfähiges token zum mechanischen koppeln und kommunizieren mit handgeräten |
| EP4140655A1 (de) * | 2021-08-31 | 2023-03-01 | Adolf Würth GmbH & Co. KG | Token zum benutzerbezogenen steuern eines handwerkergeräts |
| WO2023030779A1 (de) * | 2021-08-31 | 2023-03-09 | Adolf Würth GmbH & Co. KG | Handgerät mit über universelle busverbindung gleichberechtigt kommunizierfähigen komponenten |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3860911A (en) * | 1973-11-01 | 1975-01-14 | Pitney Bowes Inc | Electronic combination lock and lock system |
| EP0122244A2 (en) * | 1983-04-08 | 1984-10-17 | Besam Security Aktiebolag | A lock system |
| US5591950A (en) * | 1992-11-04 | 1997-01-07 | Talleres De Escoriaza, S.A. (Tesa) | Programmable electronic lock |
| CN1474018A (zh) * | 2002-08-05 | 2004-02-11 | 上海阿艾依智控系统有限公司 | 钥匙自动管理和监控系统 |
| CN1512028A (zh) * | 2002-12-31 | 2004-07-14 | 深圳市高科智能系统有限公司 | 无线集中控制门禁/门锁的方法及系统设备 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3906447A (en) * | 1973-01-31 | 1975-09-16 | Paul A Crafton | Security system for lock and key protected secured areas |
| US3857018A (en) * | 1973-12-07 | 1974-12-24 | Business Electronics Inc | Controlled access systems |
| CA1101513A (en) * | 1976-11-08 | 1981-05-19 | Leonard J. Genest | Security system |
| US4095739A (en) * | 1977-08-26 | 1978-06-20 | A-T-O Inc. | System for limiting access to security system program |
| US4283710A (en) * | 1978-10-25 | 1981-08-11 | J.S. Lock Company | Security system |
| US4385231A (en) * | 1980-06-27 | 1983-05-24 | Omron Tateisi Electronics Co. | Unlocking system for use with cards |
| ATE53683T1 (de) * | 1983-01-10 | 1990-06-15 | Figgie Int Inc | Kartenleser fuer sicherheitssystem. |
| EP0152678A3 (en) * | 1984-02-13 | 1988-03-16 | James W. Raymond | Electronic lock and key system for hotels and the like |
| US4887292A (en) * | 1985-12-30 | 1989-12-12 | Supra Products, Inc. | Electronic lock system with improved data dissemination |
| NO300045B1 (no) * | 1990-12-03 | 1997-03-24 | Trioving As | Tidskontrollert elektrisk styrt låssystem |
| JP3259232B2 (ja) * | 1992-07-06 | 2002-02-25 | 清水建設株式会社 | カードによる入退管理システム |
| US7019614B2 (en) * | 1995-02-07 | 2006-03-28 | Harrow Products, Inc. | Door security system audit trail |
| EP1024239B1 (en) * | 1999-01-28 | 2005-03-23 | International Business Machines Corporation | Electronic access control system and method |
| ES2253971B1 (es) * | 2004-02-05 | 2007-07-16 | Salto Systems, S.L. | Sistema de control de acceso. |
-
2005
- 2005-08-25 CN CN2005800363714A patent/CN101052970B/zh not_active Expired - Fee Related
- 2005-08-25 WO PCT/AU2005/001285 patent/WO2006021047A1/en active Application Filing
- 2005-08-25 EP EP05773644A patent/EP1807788A4/en not_active Withdrawn
-
2008
- 2008-03-26 HK HK08103363.5A patent/HK1113213A1/xx not_active IP Right Cessation
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3860911A (en) * | 1973-11-01 | 1975-01-14 | Pitney Bowes Inc | Electronic combination lock and lock system |
| EP0122244A2 (en) * | 1983-04-08 | 1984-10-17 | Besam Security Aktiebolag | A lock system |
| US5591950A (en) * | 1992-11-04 | 1997-01-07 | Talleres De Escoriaza, S.A. (Tesa) | Programmable electronic lock |
| CN1474018A (zh) * | 2002-08-05 | 2004-02-11 | 上海阿艾依智控系统有限公司 | 钥匙自动管理和监控系统 |
| CN1512028A (zh) * | 2002-12-31 | 2004-07-14 | 深圳市高科智能系统有限公司 | 无线集中控制门禁/门锁的方法及系统设备 |
Non-Patent Citations (1)
| Title |
|---|
| US 5591950 A,全文. |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1807788A1 (en) | 2007-07-18 |
| WO2006021047A1 (en) | 2006-03-02 |
| CN101052970A (zh) | 2007-10-10 |
| EP1807788A4 (en) | 2010-03-31 |
| HK1113213A1 (en) | 2008-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101052970B (zh) | 访问控制系统 | |
| US10565809B2 (en) | Method, system and device for securing and managing access to a lock and providing surveillance | |
| US20180262891A1 (en) | Electronic access control systems and methods using near-field communications, mobile devices and cloud computing | |
| US7145434B2 (en) | System and method for key control in an electronic locking system | |
| CN103473844B (zh) | 公租房智能控制方法及系统 | |
| KR100680637B1 (ko) | 생체 정보를 이용하는 인증 시스템 | |
| CN108475447A (zh) | 用于控制对物理空间的访问的系统和方法 | |
| KR101814719B1 (ko) | 이동 단말을 이용한 디지털 도어락 원격제어 시스템 및 방법 | |
| US20040263315A1 (en) | Information security system interworking with entrance control device and control method thereof | |
| US20070061272A1 (en) | Access administration system and method for a currency compartment | |
| CN110677436A (zh) | 物体访问权限管理后台系统、装置、用户终端 | |
| WO2001042598A1 (en) | Key control system for electronic locks | |
| CN110599653A (zh) | 一种门禁解锁方法、设备及存储介质 | |
| US20030126465A1 (en) | Internet-based card access and security systems and methods | |
| CN101065789B (zh) | 记录对区域的访问尝试 | |
| JP2003307061A (ja) | 鍵管理システム | |
| JP4044393B2 (ja) | 入退室管理システムおよび入退室管理方法 | |
| CN114140913B (zh) | 基于物联网及边缘计算的款箱管控方法和设备 | |
| JP4462911B2 (ja) | 出入管理システム | |
| KR101159984B1 (ko) | 자동금전입출기를 위한 온라인 도어락 관리 시스템 | |
| US20190199701A1 (en) | Securitization of Temporal Digital Communications Via Authentication and Validation for Wireless User and Access Devices | |
| JP2005155236A (ja) | 鍵開閉管理システム | |
| EP2207146A2 (en) | Programmable electronic access control system | |
| US20180122171A1 (en) | Smart card duplication device | |
| JP4563007B2 (ja) | 携帯端末を組合せて用いた多機能スキャナシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1113213 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1113213 Country of ref document: HK |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110713 |