CN110178160B - 具有可信第三方的访问控制系统 - Google Patents

具有可信第三方的访问控制系统 Download PDF

Info

Publication number
CN110178160B
CN110178160B CN201880008079.9A CN201880008079A CN110178160B CN 110178160 B CN110178160 B CN 110178160B CN 201880008079 A CN201880008079 A CN 201880008079A CN 110178160 B CN110178160 B CN 110178160B
Authority
CN
China
Prior art keywords
access
authentication
user
control system
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201880008079.9A
Other languages
English (en)
Other versions
CN110178160A (zh
Inventor
A.肯尼迪-福斯特
B.霍姆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Carrier Corp
Original Assignee
Carrier Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Carrier Corp filed Critical Carrier Corp
Publication of CN110178160A publication Critical patent/CN110178160A/zh
Application granted granted Critical
Publication of CN110178160B publication Critical patent/CN110178160B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00571Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • G07C9/25Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
    • G07C9/26Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition using a biometric sensor integrated in the pass
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/66Trust-dependent, e.g. using trust scores or trust relationships
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • G07C9/23Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder by means of a password

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Lock And Its Accessories (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

提供了一种访问控制系统,并且所述访问控制系统包括被布置成限制对受保护资源的访问的控制装置以及被布置为与所述控制装置进行信号通信的连网装置。所述连网装置响应于在对所述受保护资源的访问的请求中向所述控制装置呈现凭证,而从可信装置请求对用户的认证,所述凭证与所述用户的访问权限相关联,所述连网装置接收所述认证,以及所述控制装置在所述认证的所述接收时根据所述访问权限而准许对所述受保护资源的某种程度的访问。

Description

具有可信第三方的访问控制系统
技术领域
以下描述涉及访问控制系统,并且更具体地,涉及具有用于基于读取器或无读取器的访问控制装置的可信第三方的访问控制系统。
背景技术
访问控制系统通常通过在物理密钥卡上编码数据进行操作,所述数据指示由该密钥卡的经授权持有者所持有的某些访问权限。一些访问控制系统通常以在线模式来操作,其中读取器经由网络而与访问控制系统的集中式服务器进行通信,以确定是否对呈现此类密钥卡的用户准予(grant)访问。在此类在线系统中,访问权限通常是参考标识符或某一其它类似元素。其它访问控制系统是离线的,其具有被编码为数据的访问权限,所述数据可由离线锁来解码和解译以在用户呈现密钥卡时检索访问权限。一个示例是旅馆锁系统,在其中前台工作人员对客人卡进行编码,并且当客人接近他的被指派的客房门并将客人卡呈现给门锁上的读取器时,客房门上离线的、电池提供动力的锁对密钥卡进行解码。这里,门锁上的读取器读取被编码在客人卡上的数据、解码所述数据、并基于与所解码的数据相关联的权限而准许或拒绝访问。
诸如上述示例性旅馆系统之类的访问控制系统可能具有个人找到客人卡或密钥卡并然后冒充经授权的客人以获得对在旅馆内他们正常将不能访问的区域的访问(例如,经授权的客人的被指派的客房)的问题。因此,已经提出了当前的解决方案,其中访问控制系统采用双因素认证或生物测定验证特征。这些特征要求在准予对受保护资源的访问之前认证将客人卡或密钥卡呈现给读取器的客人卡或密钥卡持有者作为客人卡或密钥卡的用户或经授权的持有者。因此,除了用于敏感信息的数据存储以及将敏感信息作为数据而捕获、审计和维护的商业工作流程系统之外,所述特征还需要硬件和软件,诸如虚拟专用网络(VPN)令牌或指纹/视网膜扫描仪。这在许多市场中引起了隐私和责任关注,并且与相当大的构建和维护成本相关联。
发明内容
根据本公开的一个方面,提供了一种访问控制系统,并且所述访问控制系统包括被布置成限制对受保护资源的访问的控制装置以及被布置为与所述控制装置进行信号通信的连网装置。所述连网装置响应于在对所述受保护资源的访问的请求中向所述控制装置呈现凭证,而向可信装置请求对用户的认证,所述凭证与所述用户的访问权限相关联,所述连网装置接收所述认证,以及所述控制装置在所述认证的所述接收时根据所述访问权限而准许对所述受保护资源的某种程度的访问。
根据附加或备选实施例,所述控制装置包括门锁。
根据附加或备选实施例,所述连网装置包括服务器。
根据附加或备选实施例,所述可信装置包括便携式计算装置。
根据附加或备选实施例,所述可信装置包括智能电话。
根据附加或备选实施例,所述凭证可呈现为卡或标记卡。
根据附加或备选实施例,所述认证是字母数字的或生物测定的。
根据附加或备选实施例,与所述控制装置和所述连网装置远程地存储与所述用户的认证有关的数据。
根据本公开的另一方面,提供了一种访问控制系统。所述访问控制系统包括控制装置,所述控制装置被布置成限制对受保护资源的访问;以及连网装置。所述连网装置被布置为与所述控制装置进行信号通信,并被配置成将认证应用分发给用户的可信装置,访问权限的凭证被准予给所述用户。所述连网装置响应于在对所述受保护资源的访问的请求中向所述控制装置呈现所述凭证,而请求所述可信装置通过执行所述认证应用来认证所述用户,并且接收来自所述可信装置的对所述用户的所述认证的肯定或否定指示。所述控制装置在由所述连网装置所进行的所述认证的所述肯定指示的所述接收时根据所述访问权限而准许对所述受保护资源的某种程度的访问。
根据附加或备选实施例,所述控制装置包括门锁。
根据附加或备选实施例,所述连网装置包括服务器。
根据附加或备选实施例,所述可信装置包括便携式计算装置。
根据附加或备选实施例,所述可信装置包括智能电话。
根据附加或备选实施例,所述凭证可呈现为卡或标记卡。
根据附加或备选实施例,所述认证应用需要字母数字认证或生物测定认证。
根据附加或备选实施例,与所述控制装置和所述连网装置远程地存储与所述字母数字认证或生物测定认证有关的数据。
根据本公开的又一方面,提供了一种操作访问控制系统的方法。所述方法包括在被布置成限制对受保护资源的访问的控制装置处接收对所述受保护资源的访问的请求中的凭证的呈现、识别所述凭证与用户的访问权限相关联、向可信装置请求对所述用户的认证、以及在所述认证的接收时根据所述访问权限而准许对所述受保护资源的某种程度的访问。
根据附加或备选实施例,所述方法还包括将所述凭证发给所述用户。
根据附加或备选实施例,所述方法还包括将认证应用分发给所述可信装置。
根据附加或备选实施例,所述认证应用需要字母数字认证或生物测定认证,并且与所述访问控制系统远程地存储与所述字母数字认证或生物测定认证有关的数据。
根据结合附图的以下描述,这些和其它优点及特征将变得更显而易见。
附图说明
在说明书结尾的权利要求中特别指出并清楚地要求保护被视为本公开内容的主题。根据结合附图的以下具体实施方式,本公开的前述和其它特征及优点是显而易见的,在附图中:
图1是根据实施例的访问控制系统的示意图示;
图2是图1的访问控制系统的组件的示意图示;
图3是根据实施例的图示访问控制系统的操作的流程图;
图4是以不同方式来图示图3的操作的流程图;
图5是根据实施例的图示访问控制系统的操作的流程图;以及
图6是以不同方式来图示图5的操作的流程图。
具体实施方式
如下面将描述的,提供了一种访问控制系统,在其中用户使用他们的便携式计算装置或电话来认证他们自己的标识,以便获得对具有凭证的受保护资源的访问。访问控制系统的管理员可以选择信任特定的第三方认证器或生物测定验证应用,这两者在便携式计算装置或电话上通常是可用的。访问控制系统可以补充具有诸如门读取器和其它类似访问控制装置的特征的传统访问控制系统。也就是说,当请求对受保护资源的访问的人将他们的标记卡(badge)呈现给正常阻止这种访问的门锁的读取器时,访问控制系统向经授权的标记卡持有者的便携式计算装置或电话(无论哪个都已被预先标识为值得信任)发送对于认证的请求。如果经授权的标记卡持有者是请求访问的人,则他/她使用存储在便携式计算装置或电话上的经认证或经生物测定地锁定的应用来确认他们刚刚已请求对门的访问(即,认证他们自己),以便验证呈现标记卡的人也是便携式计算装置或电话的所有者,并且也是经授权的标记卡持有者。另一方面,如果经授权的标记卡持有者不是请求访问的人,则将相对容易确定请求访问的人可能正在不正确地这样做。
参考图1,提供了访问控制系统10,并且访问控制系统10可以被部署在建筑物11中(诸如旅馆或办公楼)以用于与移动装置12进行交互。访问控制系统10包括服务器14,多个访问控制装置16a、16b、...、16n,对应的多个受保护资源17a、17b、...、17n,并且在一些情况下包括认证模块18。
移动装置12可以是具有无线能力的手持装置(诸如便携式计算装置、平板计算机或智能电话)其可操作以与服务器14、访问控制装置16a、16b、...、16n和/或认证模块18进行通信。
服务器14可以提供访问凭证和其它编码或非编码数据的生成,所述访问凭证和其它编码或非编码数据可以被传递或呈现给访问控制装置16a、16b、...、16n中的一个或多个,以便获得对受保护资源17a、17b、...、17n中的一个或多个的访问。尽管服务器14被描绘为单个装置,但服务器14可以被实施为多个系统。访问控制装置16a、16b、...、16n中的每个可以是具有无线能力的、访问受限或使用受限的装置,诸如无线锁、用于建筑物或房间入口的访问控制读取器、电子银行业务控制、数据转移装置、密钥分配器装置、工具分配装置、电梯信息亭(elevator kiosk)、交通工具控制系统和/或另一使用受限的机器。如此,访问控制装置16a、16b、...、16n中的每个可以被布置成限制对受保护资源17a、17b、...、17n中的对应一个受保护资源的访问。也就是说,访问控制装置16a可以被设置为门锁,并且受保护资源17a可以被设置为客房。认证模块18可以被设置为BluetoothTM模块180。
参考图2,提供了用于与移动装置12进行交互的访问控制系统20的框图。如图2中所示,访问控制系统20包括访问控制装置16a、服务器14和认证模块18,访问控制装置16a在这种情况下是门锁。访问控制装置16a通常包括锁致动器22、锁控制器24、锁天线26、锁收发器28、锁处理器30、锁存储器32、锁功率供应34和锁卡读取器90,并且可进一步包括凭证模块36。访问控制装置16a能够通过解锁到客房的门来响应于正确凭证的呈现。
在典型操作中,认证模块18或凭证模块36确定被呈现给锁卡读取器90的凭证是不正确的或正确的,据此锁控制器24命令锁致动器22维持被锁定状态或解锁机械锁或电子锁。锁控制器24和锁致动器22可以是单个电子锁或机电锁单元的一部分,或者可以是被单独出售或安装的组件。锁收发器28能够至少向和从移动装置12、服务器14和认证模块18传送和接收数据。锁收发器28例如可以是近场通信(NFC)装置、BluetoothTM模块、Wi-Fi收发器或另一适当的无线收发器。锁天线26可以是被适当耦合到锁收发器28的任何天线。锁处理器30和锁存储器32分别是数据处理装置和数据存储装置。例如,锁处理器30可以是微处理器,其可以处理指令以证实卡数据并确定卡数据中所包含的访问权限或者将消息从收发器传递到凭证模块36以及从凭证模块36接收回对卡数据的响应指示。锁存储器32可以是RAM、EEPROM或其它存储介质,其中锁处理器30可以读取和写入数据,所述数据包括但不限于锁配置选项和锁审计尾迹(lock audit trail)。锁审计尾迹可以是统一的审计尾迹,其包括通过经由锁卡读取器90或移动装置12来访问锁而发起的事件。锁功率供应34是功率源,诸如线路功率连接、功率提取系统或对锁控制器24提供动力的电池。在其它实施例中,锁功率供应34可以仅对锁控制器24提供动力,其中锁致动器22主要或完全由另一源(例如用户工作(例如,转动螺栓))来提供动力。
认证模块18和凭证模块36可以被布置成与锁处理器30进行通信,并且可操作以解密和证实凭证以提取被传送到锁控制器24中的虚拟卡数据作为“虚拟卡读取”。
虽然图2示出了被连接到处理器30的收发器28和锁天线26,但这不是限制可以具有直接连接到凭证模块36的附加天线26和收发器28的其它实施例。凭证模块36可以包含作为凭证模块36的一部分的收发器28和天线26,或者凭证模块36可以具有与处理器30分离的收发器28和天线26,处理器30还具有相同类型或不同类型的单独的收发器28和天线26。在一些实施例中,处理器30可以将经由收发器28接收的通信路由到凭证模块36。在其它实施例中,凭证模块36可以被实施为在处理器30内完全或部分执行的软件模块。
根据实施例,移动装置12可以包括密钥天线40、密钥收发器42、密钥处理器44、密钥存储器46、GPS接收器48、输入装置50、输出装置52和密钥功率供应54。密钥收发器42是与锁收发器28对应类型的收发器,并且密钥天线40是对应天线。在一些实施例中,密钥收发器42和密钥天线40还可用于与服务器14、认证模块18和凭证模块36进行通信。在其它实施例中,可以包括一个或多个单独的收发器和天线以与服务器14、认证模块18和凭证模块36进行通信。密钥存储器46可以存储各种类型的字母数字数据或生物测定数据。
因此,继续参考图1和图2,提供了访问控制系统20,并且访问控制系统20包括访问控制装置16a和连网装置,所述连网装置是诸如服务器14(下文称为“连网装置14”)。例如,访问控制装置16a可以被设置为旅馆中客房的门锁,并且被布置为限制对受保护资源17a的访问。受保护资源17a可被设置为客房本身。连网装置14被布置成与访问控制装置16a进行信号通信,并且被配置成将认证应用分发给用户的可信装置,访问权限的凭证由一个或多个系统(例如,连网装置14)准予给所述用户。可信装置可以被设置为便携式计算装置或被设置为电话(诸如上面讨论的移动装置12),并且在下文中将被称为“可信装置12”。
认证应用可被设置为字母数字认证应用或生物测定认证应用,并且可被存储在可信装置12的密钥存储器46或任何其它存储器单元中。因此,虽然与字母数字标识或生物测定标识相关联的数据可能相当大,尤其是在生物测定数据的情况下,但访问控制系统20不需要包括足以独自存储和维持字母数字标识数据或生物测定标识数据的每个实例的存储器或存储能力。
根据实施例,访问控制系统20的管理员可以自己确定什么类型的装置将有资格作为可信装置12。此类资格可以基于在考虑中的装置中的可用安全性级别以及装置的便携性。凭证可以是任何类型的访问权限凭证,并且在用户确实被授权获得对受保护资源17a的访问时在给定时间段内与用户相关联。出于清楚和简洁的目的,将假设凭证是发给用户并且用户必须呈现给锁卡读取器90以便获得对受保护资源17a的访问的密钥卡上的编码数据。备选地,可以假设凭证是被存储在可信装置12上的编码数据,在这种情况下,可信装置12被用于请求和获得对受保护资源17a的访问。
在访问控制系统20的操作中,当凭证作为密钥卡被人(这个人可以是被授权使用密钥卡的用户或未被这样授权的另一人)呈现给访问控制装置16a的锁卡读取器90时,连网装置14向可信装置12发出请求以验证该人实际上是用户。可信装置12通过执行认证应用来完成此操作,该认证应用将认证用户或以其它方式证实该人是用户,或者该认证应用将指示正在进行对安全访问的未经授权的尝试。根据实施例,认证应用可以向用户请求字母数字密码或者请求用户将生物测定标识(例如,指纹或声纹)提交到可信装置12中。如果呈现凭证的人是用户,则用户将继续输入字母数字密码或将生物测定标识提交到可信装置12中以便完成并满足认证应用。当这发生时,可信装置将向连网装置14发送肯定标识信号,连网装置14然后将把解锁信号传递到访问控制装置16a。另一方面,如果呈现凭证的人不是用户,则用户可以根据输入字母数字密码或提交生物测定标识的请求而识别对未经授权的访问的请求正被尝试。在这里,用户可能只是拒绝遵从或采取某种程度的适当行动。同时,由于连网装置14将不会接收到肯定标识信号(或者如果接收到否定标识信号),则连网装置14将指示访问控制装置16a维持被锁定状态,并且访问控制装置16a将不准许呈现凭证的人获得所请求的访问。
当凭证作为可信装置12呈现给锁卡读取器90时,连网装置14再次向可信装置12发出请求以验证该人实际上是用户。如上,可信装置12通过执行认证应用来完成此操作,该认证应用可以向用户请求字母数字密码或者请求将生物测定标识提交到可信装置12中。如果呈现凭证的人是用户,则用户将继续输入字母数字密码或将生物测定标识提交到可信装置12中,以便完成并满足认证应用,从而产生肯定标识信号和解锁指令。另一方面,如果呈现凭证的人不是用户,则用户将因为他没有拥有他的电话而不知道对未经授权的访问的请求正被尝试,但是呈现凭证的人将不能完成并满足认证应用。因此,将不会接收到肯定标识信号(或将接收到否定标识信号),将指示访问控制装置16a维持被锁定状态并且将不准许呈现凭证的人获得所请求的访问。
此时,要理解的是,即使呈现凭证的人被认证或以其它方式验证了他/她的身份,访问控制装置16a也将仅准许呈现凭证的人根据与凭证相关联的访问权限来获得所请求的访问。也就是说,如果呈现他自己的经授权凭证的人被认证但是正尝试获得对旅馆中受限区域(例如,另一人的客房或旅馆经理的办公室)的访问,则对应访问控制装置16a将拒绝准许所请求的访问。
根据权利要求15所述的访问控制系统,其中,与所述控制装置和所述连网装置远程地存储与所述字母数字认证或生物测定认证有关的数据。
参考图3和图4,示出了访问控制系统20的操作情况,其中凭证作为密钥卡而被呈现给访问控制装置16a的锁卡读取器90。如图3和图4中所示,行动者向锁卡阅读器90呈现物理标记卡(图3中的301和图4中的401),据此访问控制装置16a向访问控制系统20,或者更具体地向连网装置14请求访问指令(图3中的302和图4中的402)。此时,连网装置14向可信装置12请求身份验证(图3中的303和图4中的403),可信装置12响应地执行认证应用(图3中的304和图3中的404),并且行动者或以字母数字方式或以生物测定方式来确认他的身份或者未能这样做(图3中的305和图4中的405)。如果行动者确认,则可信装置12向连网装置14提供行动者的身份和授权确认(图3中的306和图4中的406)。随后,连网装置14向访问数据库查询行动者的身份(图3中的307和图4中的407),接收访问控制数据(图3中的308和图4中的408),并确定行动者是否具有获得所请求的访问的准许(图3中的309和图4中的409)。如果是的话,则连网装置14指示访问控制装置16a准许所请求的访问,并且访问控制装置16a遵从(图3中的310和图4中的410)。
参考图5和图6,示出了访问控制系统20的操作情况,其中使用可信装置12来呈现凭证。如图5和图6中所示,行动者使用可信装置12来请求访问(图5中的501和图6中的601),据此访问控制装置16a向访问控制系统20,或者更具体地向连网装置14请求访问指令(图5中的502和图6中的602)。此时,连网装置14向可信装置12请求身份验证(图5中的503和图6中的603),可信装置12响应地执行认证应用(图5中的504和图5中的604),并且行动者或以字母数字方式或以生物测定方式来确认他的身份或者未能这样做(图5中的505和图6中的605)。如果行动者确认,则可信装置12向连网装置14提供行动者的身份和授权确认(图5中的506和图6中的606)。随后,连网装置14向访问数据库查询行动者的身份(图5中的507和图6中的607),接收访问控制数据(图5中的508和图6中的608),并确定行动者是否具有获得所请求的访问的准许(图5中的509和图6中的609)。如果是的话,则连网装置14指示访问控制装置16a准许所请求的访问,并且访问控制装置16a遵从(图5中的510和图6中的610)。
虽然仅结合有限数量的实施例详细地提供了本公开,但是应该容易理解的是,本公开不限于此类公开的实施例。相反,可以修改本公开以结合此前未描述但与本公开的精神和范畴相称的任何数量的变化、变更、替换或等同布置。另外,虽然已经描述了本公开的各种实施例,但要理解的是,(一个或多个)示例性实施例可以仅包括所描述的示例性方面中的一些。因此,本公开要不被视为受前述描述所限制,而是仅受所附权利要求的范畴所限制。

Claims (15)

1.一种访问控制系统,包括:
控制装置,所述控制装置被布置成限制对受保护资源的访问;以及
连网装置,所述连网装置被布置为与所述控制装置进行信号通信并且被配置成将认证应用分发给用户的可信装置,
其中:
响应于由所述用户在对所述受保护资源的访问的请求中向所述控制装置呈现凭证,所述连网装置向所述可信装置请求对所述用户的认证,所述可信装置与所述连网装置分离、与所述控制装置和所述连网装置通信并且配置成执行所述认证应用以认证所述用户,
所述凭证与所述用户的访问权限相关联,
所述连网装置接收所述认证,以及
所述控制装置在所述认证的接收时根据所述访问权限而准许对所述受保护资源的某种程度的访问,
其中:
所述可信装置包括便携式计算装置,其配置成执行所述认证应用以认证所述用户并且在所述用户按所述认证被认证时向所述连网装置发送肯定标识信号,以及
所述可信装置是某种类型的装置,其被所述访问控制系统的管理员基于在所述可信装置中的可用安全性级别并且基于所述可信装置的便携性确定有资格作为可信装置。
2.根据权利要求1所述的访问控制系统,其中,所述控制装置包括门锁。
3.根据权利要求1所述的访问控制系统,其中,所述连网装置包括服务器。
4.根据权利要求1所述的访问控制系统,其中,所述凭证可呈现为卡或标记卡。
5.根据权利要求1所述的访问控制系统,其中,所述认证是字母数字的或生物测定的。
6.根据权利要求1所述的访问控制系统,其中,与所述控制装置和所述连网装置远程地存储与对所述用户的认证有关的数据。
7.一种访问控制系统,包括:
控制装置,所述控制装置被布置成限制对受保护资源的访问;以及
连网装置,所述连网装置被布置为与所述控制装置进行信号通信,并被配置成将认证应用分发给用户的可信装置,访问权限的凭证被准予给所述用户,
其中:
所述可信装置与所述连网装置分离并且与所述控制装置和所述连网装置通信,
响应于在对所述受保护资源的访问的请求中向所述控制装置呈现所述凭证,所述连网装置请求所述可信装置通过执行所述认证应用来认证所述用户,
所述连网装置接收来自所述可信装置的对所述用户的所述认证的肯定或否定指示,以及
所述控制装置在由所述连网装置所进行的所述认证的所述肯定指示的接收时根据所述访问权限而准许对所述受保护资源的某种程度的访问,
其中:
所述可信装置包括便携式计算装置,其配置成执行所述认证应用以认证所述用户,并且在所述用户按对所述用户的所述认证的所述肯定或否定指示被认证时向所述连网装置发送肯定标识信号,以及
所述可信装置是某种类型的装置,其被所述访问控制系统的管理员基于在所述可信装置中的可用安全性级别并且基于所述可信装置的便携性确定有资格作为可信装置。
8.根据权利要求7所述的访问控制系统,其中,所述控制装置包括门锁。
9.根据权利要求7所述的访问控制系统,其中,所述连网装置包括服务器。
10.根据权利要求7所述的访问控制系统,其中,所述凭证可呈现为卡或标记卡。
11.根据权利要求7所述的访问控制系统,其中,所述认证应用需要字母数字认证或生物测定认证。
12.根据权利要求11所述的访问控制系统,其中,与所述控制装置和所述连网装置远程地存储与所述字母数字认证或生物测定认证有关的数据。
13.一种操作访问控制系统的方法,所述方法包括:
在被布置成限制对受保护资源的访问的控制装置处,接收对所述受保护资源的访问的请求中的凭证的呈现;
识别所述凭证与用户的访问权限相关联;
由连网装置并且向用户的可信装置分发认证应用以认证所述用户,所述可信装置与所述连网装置分离并且与所述控制装置和所述连网装置通信;
由所述连网装置向可信装置请求通过执行所述认证应用的对所述用户的认证;以及
在由所述连网装置从所述可信装置接收到所述认证的肯定指示时根据所述访问权限而准许对所述受保护资源的某种程度的访问,
其中:
所述可信装置包括便携式计算装置,其配置成执行所述认证应用并且在所述用户按对所述用户的所述认证的肯定或否定指示被认证时向所述连网装置发送肯定标识信号,以及
所述方法还包括:由所述访问控制系统的管理员基于在所述可信装置中的可用安全性级别并且基于所述可信装置的便携性确定所述可信装置有资格作为可信装置。
14.根据权利要求13所述的方法,还包括将所述凭证发给所述用户。
15.根据权利要求13所述的方法,其中:
所述认证应用需要字母数字认证或生物测定认证,以及
与所述访问控制系统远程地存储与所述字母数字认证或生物测定认证有关的数据。
CN201880008079.9A 2017-01-23 2018-01-19 具有可信第三方的访问控制系统 Active CN110178160B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201762449393P 2017-01-23 2017-01-23
US62/449393 2017-01-23
PCT/US2018/014429 WO2018136740A2 (en) 2017-01-23 2018-01-19 Access control system with trusted third party

Publications (2)

Publication Number Publication Date
CN110178160A CN110178160A (zh) 2019-08-27
CN110178160B true CN110178160B (zh) 2023-01-24

Family

ID=61768395

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880008079.9A Active CN110178160B (zh) 2017-01-23 2018-01-19 具有可信第三方的访问控制系统

Country Status (3)

Country Link
US (1) US11477649B2 (zh)
CN (1) CN110178160B (zh)
WO (1) WO2018136740A2 (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018075605A1 (en) 2016-10-19 2018-04-26 Best Access Solutions, Inc. Electro-mechanical lock core
AU2018330295B2 (en) 2017-09-08 2023-11-30 Dormakaba Usa Inc. Electro-mechanical lock core
US11466473B2 (en) 2018-04-13 2022-10-11 Dormakaba Usa Inc Electro-mechanical lock core
WO2019200257A1 (en) 2018-04-13 2019-10-17 Dormakaba Usa Inc. Electro-mechanical lock core
JP2020101035A (ja) * 2018-12-25 2020-07-02 株式会社デンソーウェーブ 認証システム
US11457019B2 (en) * 2019-05-08 2022-09-27 International Business Machines Corporation Access control authentication scheme based on continuous authentication
JP7391685B2 (ja) * 2020-01-30 2023-12-05 株式会社東芝 アクセス制御装置
US11089119B1 (en) 2020-03-31 2021-08-10 Atlassian Pty Ltd. Service provider managed applications in secured networks
EP3916686A1 (de) * 2020-05-25 2021-12-01 dormakaba Schweiz AG Verfahren zum betätigen einer schlossanordnung
US12021861B2 (en) * 2021-01-04 2024-06-25 Bank Of America Corporation Identity verification through multisystem cooperation

Family Cites Families (63)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6035406A (en) 1997-04-02 2000-03-07 Quintet, Inc. Plurality-factor security system
US8831970B2 (en) * 2000-08-24 2014-09-09 Martin Herman Weik, III Virtual attendant system and parking management system
US20020066040A1 (en) * 2000-11-30 2002-05-30 Roman Rozenberg Secure computerized network access system and method
US8590013B2 (en) * 2002-02-25 2013-11-19 C. S. Lee Crawford Method of managing and communicating data pertaining to software applications for processor-based devices comprising wireless communication circuitry
FR2864289B1 (fr) * 2003-12-17 2007-02-02 Bouygues Telecom Sa Controle d'acces biometrique utilisant un terminal de telephonie mobile
US20070186099A1 (en) 2004-03-04 2007-08-09 Sweet Spot Solutions, Inc. Token based two factor authentication and virtual private networking system for network management and security and online third party multiple network management method
US8065674B2 (en) * 2004-09-01 2011-11-22 Microsoft Corporation Privileged used control of device installation and/or availability
US20060136741A1 (en) 2004-12-16 2006-06-22 Saflink Corporation Two factor token identification
US8065712B1 (en) * 2005-02-16 2011-11-22 Cisco Technology, Inc. Methods and devices for qualifying a client machine to access a network
US7983979B2 (en) 2005-03-10 2011-07-19 Debix One, Inc. Method and system for managing account information
US20090138953A1 (en) * 2005-06-22 2009-05-28 Dennis Bower Lyon User controlled identity authentication
US20070107050A1 (en) 2005-11-07 2007-05-10 Jexp, Inc. Simple two-factor authentication
US8458465B1 (en) 2005-11-16 2013-06-04 AT&T Intellectual Property II, L. P. Biometric authentication
KR101268432B1 (ko) * 2006-01-09 2013-05-28 삼성전자주식회사 스마트 커뮤니케이터를 이용한 지능형 출입 인증 시스템 및방법
US8307412B2 (en) 2008-10-20 2012-11-06 Microsoft Corporation User authentication management
US20100246902A1 (en) 2009-02-26 2010-09-30 Lumidigm, Inc. Method and apparatus to combine biometric sensing and other functionality
US20130214902A1 (en) * 2010-12-02 2013-08-22 Viscount Systems Inc. Systems and methods for networks using token based location
US8941465B2 (en) * 2010-12-02 2015-01-27 Viscount Security Systems Inc. System and method for secure entry using door tokens
MX2013011116A (es) * 2011-03-29 2013-10-17 Inventio Ag Distribucion de informacion de acceso a instalaciones.
EP2710562A1 (en) * 2011-05-02 2014-03-26 Apigy Inc. Systems and methods for controlling a locking mechanism using a portable electronic device
US8473748B2 (en) 2011-09-27 2013-06-25 George P. Sampas Mobile device-based authentication
US9076273B2 (en) * 2012-02-24 2015-07-07 Identive Group, Inc. Method and system for providing identity, authentication, and access services
US9323912B2 (en) 2012-02-28 2016-04-26 Verizon Patent And Licensing Inc. Method and system for multi-factor biometric authentication
US20130262873A1 (en) 2012-03-30 2013-10-03 Cgi Federal Inc. Method and system for authenticating remote users
US8494576B1 (en) * 2012-05-03 2013-07-23 Sprint Communications Company L.P. Near field communication authentication and validation to access corporate data
US20130307670A1 (en) * 2012-05-15 2013-11-21 Jonathan E. Ramaci Biometric authentication system
CN202904698U (zh) * 2012-05-25 2013-04-24 北京时代凌宇科技有限公司 一种门禁管理系统
CN102769623B (zh) 2012-07-24 2014-03-05 北京华财理账顾问有限公司 基于数字证书和生物识别信息进行双重认证的方法
US8863252B1 (en) * 2012-07-25 2014-10-14 Sprint Communications Company L.P. Trusted access to third party applications systems and methods
AU2013302377B2 (en) * 2012-08-16 2016-10-20 Schlage Lock Company Llc Operation communication system
NZ706030A (en) * 2012-08-16 2016-01-29 Schlage Lock Co Llc Wireless reader system
US9058702B2 (en) * 2013-03-12 2015-06-16 Qualcomm Incorporated Method for securely delivering indoor positioning data and applications
US9763097B2 (en) * 2013-03-13 2017-09-12 Lookout, Inc. Method for performing device security corrective actions based on loss of proximity to another device
US9704314B2 (en) * 2014-08-13 2017-07-11 August Home, Inc. BLE/WiFi bridge that detects signal strength of Bluetooth LE devices at an exterior of a dwelling
US9003196B2 (en) * 2013-05-13 2015-04-07 Hoyos Labs Corp. System and method for authorizing access to access-controlled environments
US9723487B2 (en) * 2013-08-19 2017-08-01 American Megatrends, Inc. Mobile device security system
WO2015058300A1 (en) 2013-10-25 2015-04-30 Nanopay Inc. Systems, methods and devices for generating secure electronic authentication and payment processing
CN106415632A (zh) * 2014-02-24 2017-02-15 汉索知识产权私人有限公司 便携式基于生物特征的身份设备
US9590984B2 (en) 2014-06-04 2017-03-07 Grandios Technologies, Llc Smartphone fingerprint pass-through system
US9501881B2 (en) * 2014-08-20 2016-11-22 Gate Labs Inc. Access management and resource sharing system based on biometric identity
US9514589B2 (en) * 2014-08-25 2016-12-06 Accenture Global Services Limited Secure short-distance-based communication and access control system
WO2016036661A1 (en) * 2014-09-05 2016-03-10 Utc Fire & Security Corporation System and method for access authentication
CN104376621B (zh) * 2014-10-27 2017-06-09 深圳市汇顶科技股份有限公司 酒店退房的实现方法及系统
WO2016070295A1 (es) 2014-11-06 2016-05-12 Toc S.A. Método de autenticación de dos factores para aumentar la seguridad de las transacciones entre un usuario y un punto o sistema de transacción
CA2968537A1 (en) * 2014-12-02 2016-06-09 Carrier Corporation Access control system with virtual card data
US20180108192A1 (en) * 2014-12-23 2018-04-19 Gate Labs Inc. Access management system
US10296734B2 (en) 2015-01-27 2019-05-21 Idx Technologies Inc. One touch two factor biometric system and method for identification of a user utilizing a portion of the person's fingerprint and a vein map of the sub-surface of the finger
CN204731851U (zh) * 2015-04-14 2015-10-28 胡来杰 一种新型门禁装置
TW201638890A (zh) * 2015-04-22 2016-11-01 Thank You My Friends Inc 門禁管理識別系統及其實施方法
US9946857B2 (en) * 2015-05-12 2018-04-17 Echostar Technologies International Corporation Restricted access for home automation system
US9713002B2 (en) * 2015-05-15 2017-07-18 Honeywell International Inc. Access control via a mobile device
US9589403B2 (en) * 2015-05-15 2017-03-07 Honeywell International Inc. Access control via a mobile device
US10389756B2 (en) * 2015-06-09 2019-08-20 Intel Corporation System, apparatus and method for security interoperability path analysis in an internet of things (IOT) network
US9672674B2 (en) * 2015-07-06 2017-06-06 Acsys Ip Holding, Inc. Systems and methods for secure lock systems with redundant access control
US9847020B2 (en) * 2015-10-10 2017-12-19 Videx, Inc. Visible light communication of an access credential in an access control system
US10492066B2 (en) * 2015-11-13 2019-11-26 Sensormatic Electronics, LLC Access and automation control systems with mobile computing device
US9965911B2 (en) * 2015-12-07 2018-05-08 Capital One Services, Llc Electronic access control system
US20190043289A1 (en) * 2016-01-07 2019-02-07 Jeff Cahill Offline lock system and method thereof
US10313351B2 (en) * 2016-02-22 2019-06-04 At&T Intellectual Property I, L.P. Dynamic passcodes in association with a wireless access point
CN105869243A (zh) * 2016-03-31 2016-08-17 浪潮通信信息系统有限公司 一种门禁安全管理方法及管理系统
CN105956678A (zh) * 2016-06-30 2016-09-21 李玉婷 一种酒店网络化管理方法
US20180174076A1 (en) * 2016-12-21 2018-06-21 Shuji Fukami Automated Property Management, Authorized Entry, and Reservation System Platform
US10218697B2 (en) * 2017-06-09 2019-02-26 Lookout, Inc. Use of device risk evaluation to manage access to services

Also Published As

Publication number Publication date
CN110178160A (zh) 2019-08-27
US11477649B2 (en) 2022-10-18
WO2018136740A2 (en) 2018-07-26
US20190357050A1 (en) 2019-11-21
WO2018136740A3 (en) 2018-08-30

Similar Documents

Publication Publication Date Title
CN110178160B (zh) 具有可信第三方的访问控制系统
US10467832B2 (en) Configurable digital badge holder
CN111884806B (zh) 用于认证用户或确保交互安全的系统和硬件认证令牌
CN110178161B (zh) 采用安全通过的访问控制系统
US10868815B2 (en) Leveraging flexible distributed tokens in an access control system
US10629012B1 (en) Multi-factor authentication for vehicles
CN103827811A (zh) 管理基本输入/输出系统(bios)的访问
JP4651016B2 (ja) セキュリティシステム
KR101191345B1 (ko) Nfc 휴대단말기에 탑재된 어플리케이션의 사용 권한 관리 시스템 및 그 방법
US20230072114A1 (en) Access control system and a method therein for handling access to an access-restricted physical resource
US11787367B1 (en) Systems for shared vehicle access
WO2013124088A1 (en) Method for authenticating a user
NZ761966B2 (en) Leveraging flexible distributed tokens in an access control system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant