KR101314445B1 - 통합된 네트워크 및 물리적 구내 접근 제어 서버 - Google Patents

통합된 네트워크 및 물리적 구내 접근 제어 서버 Download PDF

Info

Publication number
KR101314445B1
KR101314445B1 KR1020087012611A KR20087012611A KR101314445B1 KR 101314445 B1 KR101314445 B1 KR 101314445B1 KR 1020087012611 A KR1020087012611 A KR 1020087012611A KR 20087012611 A KR20087012611 A KR 20087012611A KR 101314445 B1 KR101314445 B1 KR 101314445B1
Authority
KR
South Korea
Prior art keywords
network
access
physical
access control
server
Prior art date
Application number
KR1020087012611A
Other languages
English (en)
Other versions
KR20080065299A (ko
Inventor
마크 윌리엄 파리노
마크 안소니 콜라
데이비드 크리스토퍼 트위남
로버트 프리오 주니어. 벨리레스
Original Assignee
시스코 테크놀러지, 인크.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 시스코 테크놀러지, 인크. filed Critical 시스코 테크놀러지, 인크.
Publication of KR20080065299A publication Critical patent/KR20080065299A/ko
Application granted granted Critical
Publication of KR101314445B1 publication Critical patent/KR101314445B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/27Individual registration on entry or exit involving the use of a pass with central registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/30Individual registration on entry or exit not involving the use of a pass
    • G07C9/38Individual registration on entry or exit not involving the use of a pass with central registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

본 발명은, 네트워크 접근 및 설비 접근의 양자에 관한 정보를 보유하는 접근 제어 서버를 제공한다. 접근 제어 서버[도 6의 참조 번호 400]는 위치, 리소스의 유형, 시각, 기간, 또는 다른 이벤트에 기초해 정책을 규약하고, 소정 리소스가 네트워크에 또는 설비에 위치하는지에 상관없이, 소정 리소스에 접근하기 위한 성공적인 그리고 비성공적인 모든 시도를 로그한다. 접근 제어 서버[도 6의 참조 번호 400]는 자격 증명 검증 및 정책 엔진[도 10의 참조 번호 410]에 의해 조정되는, 속성 및 정책의 공통 리스트 또는 테이블이나 속성 및 정책의 별도 리스트 또는 테이블에 대해 동작한다. 이러한 통합된 접근 제어 서버[도 10의 참조 번호 400]는 네트워크 및/또는 물리적 구내 기반 디바이스와 함께 동작하는 프로토콜을 구현한다. 통합된 접근 제어 서버는 설비에서의 이벤트가 네트워크에서의 이벤트와 연관되게 그리고 그 반대이게 하며, 물리적 또는 네트워크 영역에서 실행될 수 있는 정책을 지시한다.
네트워크 접근, 설비 접근, 통합된 접근 제어 서버, 자격 증명 검증, 속성 및 정책의 리스트 또는 테이블

Description

통합된 네트워크 및 물리적 구내 접근 제어 서버{UNIFIED NETWORK AND PHYSICAL PREMISES ACCESS CONTROL SERVER}
본 발명은 일반적으로 물리적 및 네트워크 기반 보안의 양자를 위한 접근 제어(access control)에 관한 것이다. 좀더 구체적으로, 본 발명은 빌딩, 홈, 물리적 인프라스트럭처, 또는 정보 및 네트워크 시스템과 같은 리소스에의 물리적 접근 제어 및/또는 네트워크 접근 제어를 제공하기 위한 통합된 장치 및 방법에 관한 것인데, 이 경우, 레거시 물리적 보안 디바이스 및/또는 네트워크 가능(network-enabled) 디바이스가 접근 제어 시스템에 포함된다.
보안 노력은 사람, (물리적 및 지적 재산권, 그리고 설비와 같은) 물리적 자산 및 정보 자산을 보호하기 위한 것이다. 이러한 목적을 실현하기 위해, 보안 계획/그룹은 통상적으로: 한 세트의 사전 조건(예를 들어, 정책들(policies))에 기초해, (물리적 뿐만 아니라 전자적/컴퓨터화된) 자산으로의 접근 제어, 이벤트 및 경보의 모니터링, 그리고 지정된 위치에서의 실시간 감시를 제공한다. 많은 기업, 조직, 또는 공공 장소에서, 이러한 보안 프로그램은 2개 부분으로 분리되어 왔다. 일 보안 그룹 및 연관된 시스템은 물리적 설비 또는 리소스로의 접근을 제어하고, 인가된 그리고 인가되지 않은 방문자를 보호하기 위한 것이다. 다른 보안 그룹 및 연관된 시스템은 정보 시스템 및 네트워크로의 접근을 제어하여, 전자 정보 자산 및 다른 네트워크 부착 디바이스를 보호하기 위한 것이다. 이러한 양자의 보안 그룹 및 연관된 시스템은, 시각(time of day)과 같은, 특정 세트의 기준에 기초해, 특정된 개개인에 의한 접근을 제어하는 것에 의해 보안 위험을 관리한다.
물리적 접근 제어 시스템의 컴포넌트 사이에서 사용되는 유형, 위치, 및 통신 프로토콜이 어느 정도 달라질 수도 있지만; 일반적으로, 소정의 물리적 접근 제어 이벤트의 프로세싱 및 시스템 기능성은 모두를 위해 동일하다. 통상적인 물리적 보안 (접근 제어) 환경에서, 물리적 보안 시스템은: 입구 잠금 메커니즘(entry lock mechanisms), 입구 개방/폐쇄 또는 (비디오 감시 카메라와 같은) 다른 센서, 자격 증명(credentials)(디바이스 또는 개인의 전자적 또는 물리적 ID의 소정 형태), 자격 증명 ID 입력 디바이스(예를 들어, 배지 판독기, PIN(Personal Identification Number) 키패드, 생체 인식), 통신 및 접속 디바이스(예를 들어, 도어 제어 패널), 자격 증명 검증 및 정책 기반의 접근 제어 디바이스(예를 들어, 접근 제어 패널), 자격 증명 및 정책 생성국(예를 들어, 물리적 보안 서버), 물리적 보안 관리국(예를 들어, 모니터링, 이벤트 로깅(event logging), 및 경보 보고 플랫폼), 및 설비 사용자 리스트/데이터베이스(즉, 인적 자원 인사 데이터베이스(human resource personnel database))를 포함한다.
물리적 접근 제어는, 배지 판독기, 전자 잠금, 및 다양한 다른 도어 소자와 같은, 다양한 접근 제어 디바이스(ACDs; access control devices)를 사용해, 설비의 입장 및 때로는 퇴장 시점에서뿐만 아니라 설비의 소정 부분 또는 룸(room)에 대해 구현된다. 이러한 ACD는 적당하고 유효한 자격 증명을 제시하지 않으면서 소정 리소스에 자유롭게 진입하거나, 소정 리소스를 자유롭게 벗어나거나, 소정 리소스에 자유롭게 접근하는 모든 사용자에게 능동적으로 또는 수동적으로 이의를 제기한다.
물리적 접근 제어 시스템의 자격 증명은 식별 정보, 키패드에서 입력되는 비밀 코드나 패스워드 또는, 지문이나 망막 스캔의 이미지와 같은 다른 생체 인식 정보로써 인코딩된 플라스틱 카드일 수 있다. 많은 조직이 직원들에게, 전자 식별자 또는 PIN(Personal ID Number)의 형태로 고유한 정보가 인코딩되어 있는 조직 ID 또는 전자 키 카드의 형태로 자격 증명을 제공한다. 일단 자격 증명이 배지 판독기, 키패드 등에 의해 제출/판독되고 나면, 자격 증명은 유효한 자격 증명 보유자 및 그것의 연관된 정책에 대하여 검증된다. 이러한 정책은 시각, 다른 구성원의 존재 등에 기초해 리소스에 접근하기 위한 다른 특정 요구 사항을 제공할 수 있거나, 단순히 명령어를 송신하여 접근을 허용하거나 거부할 수도 있다.
소정 입장을 위한 ACD(배지 판독기, 생체 인식 판독기, 전자-기계 잠금, 도어 개방/폐쇄 센서 또는 다른 접점 닫힘(contact closures))는 직렬 Wiegand 접속, 직렬 RS485 접속, 또는 단순한 구리 케이블 접점 닫힘에 의해 DCP(door control panel)에 접속되고 DCP에 의해 집합되는 것이 일반적이다. DCP는 통상적으로, 접근 제어하의 소정 입구 또는 리소스에 근접하게 위치한다. 이러한 디바이스는 통상적으로 간단한 시그널링 프로토콜을 통해 통신한다. 많은 경우, 시그널링 프로토콜은 단일 벤더의 접근 제어 제품에 대해 특정적일 수 있다.
DCP는 통상적으로 다양한 다수 ACD에 접속한다. DCP의 사용은, 각각의 접근 제어 디바이스가 그 자신의 자격 증명 검증 및 규약 리스트 또는 그 자신의 검증 및 규약 디바이스로의 전용 접속을 가져야 할 필요성을 제거한다. 일부 DCP는 완전한 또는 부분적 자격 증명 리스트를 가질 수도 있지만; 이러한 구현은 얼마간의 단점을 가진다. 대다수 설비는 다중 입/퇴장 포인트를 가질 수 있거나 설비내의 특정 룸 또는 리소스의 접근 제어를 요구할 수 있으므로, 대다수 설비는, 모든 DCP가 최신 정보를 가진다는 것을 보장하기 위해 추가 작업을 요구할 수도 있다. 일부 경우에서는, 소정 접근 제어 디바이스를 설비의 안전한 실내 바깥에 배치해야 할 수도 있다. 그에 따라, 자격 증명 리스트를 갖는 DCP는 부당하게 변조될 수 있거나 손상될 수 있어, 보안 침해를 초래할 수 있다(즉, 리스트는 접근될 수 있어, 패스워드 및 자격 증명을 노출시킬 수 있다). 따라서, 많은 접근 제어 시스템은 접근 제어 리스트 및 연관 정책의 추가적 집중화(centralization)를 제안한다. 이와 같이, 일부 DCP는 단순히 ACD 접속을 집합하고, 자격 증명 정보를 ACP(Access Control Panel)에서의 집중화된 자격 증명 검증 및 정책 규약을 위한 다른 디바이스로 전달할 것이다.
ACP는 DCP에 접속된 판독기(들)에 의해 공급되는 자격 증명 정보를 사용해, 지참인(bearer)에게 입장 또는 퇴장 권한을 부여할 것인지, 아니면 접근 요청을 거부할 것인지를 판정한다. ACP는 자격 증명의 소정 세트에 연관된 실제 리스트 및 정책을 생성하기 위해 물리적 보안 서버 및 관리국에 의존한다.
ACP와 물리적 보안 서버 사이의 접속 및 통신은 달라질 수 있지만, 통상적으 로 직렬 또는 모뎀 접속에 기초한다. 일부 설치에서, ACP는 물리적 보안 서버로의 이더넷 (프레임 기반) 접속을 사용할 수도 있지만, 그러한 물리적 접근 제어 시스템은 이더넷 네트워크를 접속성(connectivity)에만 사용한다는 것에 주의해야 한다. 물리적 접근 제어 컴포넌트 사이의 실제 통신은 통상적으로 단일 벤더의 사유(proprietary)인데, 예를 들어, 시그널링은 이더넷 접속성 및 통신으로 터널링된다. 그에 따라, 다른 네트워크 리소스(전통적인 다른 네트워크 서버)는 통상적으로 ACP와 통신하지 않으며 ACP를 제어할 수 없다. 추가적으로, 정보 시스템의 보안(예를 들어, http://www.cordis.lu/infosec/home.html의 InfoSec을 참고한다)은 인가되지 않은 접근에 관한 것이거나, 네트워크 기반 ACP의 침입 공격은 거의 모든 네트워크 기반 ACP 제공자에 의해 완벽하게 대처되지 않는다.
물리적 보안 서버는, 모든 ACP가 정확한 자격 증명 및 정책 정보를 가진다는 것을 보장한다. 물리적 보안 서버는 새로운 자격 증명을 등록하고, (미래의 물리적 접근을 방지하기 위해) 만료된 자격 증명을 시스템으로부터 제거하며, 설비에서의 자격 증명 각각을 위한 물리적 접근 제어 정책을 정의하기 위해 보안 애플리케이션을 구현한다. 물리적 보안 서버는 (사용자 이름, 사용자 배지 번호, 그리고 지문, 망막 스캔, 성문(voice print) 또는 다른 생체 인식 정보와 같은 이용 가능한 다른 사용자 특정 속성과 같은) 자격 증명 및 그것의 관리하에 있는 ACP 모두를 위한 물리적 접근 제어 정책 모두의 마스터 테이블(master table)을 보유한다. 다시 말해, 서버는, 조직에서의 특정 포털로의 접근이 인가되는 때를 판정하기 위해, 각각의 사용자와 연관된 규칙도 보유한다. 그것은 각각의 ACP를 업데이트하여, 정 확한 자격 증명 리스트 및 정책이 적소에 위치한다는 것을 보장한다. 그에 따라, 사용자가 조직의 주차장, 정문, 실험실 문, 엘리베이터, 비품 캐비넷, 컴퓨터 네트워크, 또는 조직이 접근을 제어하고 모니터링하기를 원하는 다른 영역으로 입장하는 것을 인가하는 규칙이 구현될 수 있다. 또한, 이러한 규칙은 시각, 특정 요일, 또는 소정 기간에 대해 특정적일 수도 있다. 또한, 물리적 보안 서버는 관리국에 인터페이스한다.
물리적 보안 서버는 프레임(예를 들어, 이더넷)/패킷(예를 들어, 인터넷 프로토콜) 기반 네트워크를 통해 접속되어, 인적 자원 데이터베이스 서버와 같은, 다른 네트워크 부착 서버와 통신할 수도 있지만; 물리적 보안 서버는 네트워크 접근 제어 또는 다른 네트워크 보안 역량을 관리하기 위한 지원 기능성을 제공하지 않으며, 더 나아가, 네트워크 접근 이벤트를 알아차리지 못한다.
관리국은 경보 모니터링 및 물리적 보안 요원에 의한 일반적인 물리적 접근 제어 관리를 제공한다. 추가적으로, 관리국은 대체로 자격 증명을 인쇄하고 인코딩하기 위한 한 세트의 애플리케이션을 지원한다. 관리국은 원격지에 배치되거나 상이한 수개 설비에 분산될 수 있다.
유효한 자격 증명 및 연관 정책이 할당되는 사용자의 리스트는 다수 소스로부터 유래할 수 있다. 좀더 큰 조직 또는 기업에서는, SAP, PeopleSoft, 및 Oracle과 같은 회사로부터의 소프트웨어 애플리케이션 프로그램을 통해 지원될 수 있는 정기적으로 업데이트되는 직원/인적 자원 데이터베이스로부터 이러한 잠재적 리스트가 획득될 수도 있다. 물리적 보안 시스템 관리자가 소정 사용자에게 카드, 카드 자격 증명, 및 연관된 접근 권한을 공급한다.
도 1은 통상적인 종래 기술의 설비 접근 제어 시스템(100)을 예시한다. 각각의 설비 또는 설비의 플로어 각각은, 전자-기계 도어 잠금(111), 판독기(112), 도어 접점(door contact)(113), 키패드(114), 도어 경보(115), 및 각각의 도어 또는 다른 포털에 배치된 모션 센서(116)와 같은 수개의 접근 제어 디바이스(ACD;110)를 포함할 수도 있는 같은 장소에 배치된 컴포넌트(101)를 가질 것이다. 접근 제어 디바이스의 추가 유형은 지문 센서, 카메라, 또는 다른 디바이스, 컴포넌트 또는 소프트웨어 구동 ID 장비(identification equipment)를 포함할 수도 있다.
설비로의 도어 각각에서, 하나 이상의 ACD(110)는 전용 DCP에 결합된다. DCP는 성형 구성(star configuration)으로 ACP(120)에 직접적으로 접속될 수 있거나(예를 들어, DCP 118 및 119), 또는 DCP(117 및 118)에 의해 예시되는 바와 같이 ACP(120)에 접속되는 다른 DCP에 차례로 결합될 수도 있다. DCP는 통상적으로 RS485 직렬 케이블링을 통해 ACP(120)에 링크된다. DCP(117-119)는 ACP(120)에 의해 제공되는 제어 정보에 응답하여 ACD(110)의 동작을 제어한다.
각각의 ACP(120)가 수개 DCP(117-119)를 제어한다. 예를 들어, ACP(120)가, 다중 플로어 건물의 특정 플로어 또는 설비의 특정 영역에서의 설비의 도어 제어 패널 모두를 제어할 수도 있다. 대다수 보안 시스템에서는, 직렬 또는 이더넷 링크가 ACP(120)를 물리적 보안 서버(121)에 결합한다. 물리적 보안 서버(121)뿐만 아니라 물리적 보안 관리국(122)은 ACP로부터 멀리 떨어져 배치되어 건물 내에 집 중될 수 있거나 상이한 건물에 배치될 수 있다.
사람이 도어에 접근할 때와 같이, 물리적 접근 제어 요청 이벤트가 발생할 때, ACD(111-116) 중 하나 이상은 시스템으로의 입력 신호를 발생시킨다. 예를 들어, 판독기(112)는 인코딩된 사용자 ID를 검출하고 DCP(117)에 자격 증명을 전송할 수 있으며, DCP(117)는 도어를 위한 로컬 메시지 버퍼링 및 ACD 접속성 집합을 수행한다. DCP(117)는 ACD 발생 정보를, 접근 요청 메시지의 형태로, ACP(120)에 중계한다. ACP(120)는 검출된 자격 증명을 유효한(인가된) 자격 증명 리스트 및 연관 정책에 대하여 비교하여 자격 증명이 유효한지를 그리고 물리적 접근 정책이 이러한 입/퇴장 포인트를 위한 자격 증명과 연관되는지를 판정하는 것에 의해 자격 증명을 검증한다. 유효한 자격 증명 정보 리스트 및 연관된 접근 정책이 물리적 보안 서버(121)에 의해 공급되고, 접근 제어 이벤트 이전에, ACP에 전송된다.
정책이 도어가 개방되어야 한다는 것을 지시하면, 접근 제어 응답 메시지가 ACP(120)로부터 DCP(117)에 전송되어, DCP(117)에게, 그러한 특정 도어를 위한 전자-기계 잠금(111)을 활성화(개방)할 것을 지시한다. 자격 증명이 무효이기 때문에, 정책이 접근을 거부해야 한다면, 예를 들어, 경보가 관리국(122)에 트리거(trigger) 또는 송신될 수 있고, 도어는 잠긴 상태를 유지한다.
상이한 별도의 시스템이, 대다수 조직 또는 다른 엔티티에 의해 동작되는 정보 시스템 및 사유 네트워크로의 접근을 제어한다. 이러한 접근 제어 시스템은 네트워크 기반 정보 자산을 보호하고 다른 네트워크 부착 디바이스로의 접근을 제어하고자 노력한다. 네트워크 접근 제어 시스템은 통상적으로 다수의 네트워크 에지 부착 디바이스(network edge-attached devices)(예를 들어, 컴퓨터, 서버, IP 폰 등), 전자 자격 증명(예를 들어, 사용자 또는 디바이스 이름, 네트워크 어드레스, 패스워드 등), 프레임/패킷 기반 네트워크 인프라스트럭처 디바이스(예를 들어, 라우터, 스위치, 부하 균형기(load-balancer), 방화벽), 전자 자격 증명 검증 및 정책 기반 접근 제어 디바이스(예를 들어, 네트워크 접근 제어 서버), 자격 증명 및 정책 생성국과 어플라이언스(예를 들어, 네트워크 보안 서버), 네트워크 사용자 리스트/데이터베이스(즉, 인적 자원 인사 데이터베이스), 및 네트워크 관리 워크스테이션을 포함하지만, 그것으로 제한되는 것은 아니다.
모든 네트워크 디바이스는 이더넷 및 IP와 같은 프레임/패킷 기반 네트워크 프로토콜을 사용해 통신하는 유선/광섬유 또는 무선 매체를 통해 공통 접속된다. 네트워크 디바이스의 서로 통신하는 능력이 반드시, 하나의 네트워크 디바이스가 다른 네트워크 디바이스를 제어할 수 있다는 것을 내포할 필요는 없다. 디바이스를 제어하는 능력은 (OSI 7 계층 네트워크 통신 모델에 의해 제공되는 것과 같은) 좀더 고급 애플리케이션 및 프로토콜의 기능이다.
퍼스널 컴퓨터, 서버, PDA(personal digital assistants) 뿐만 아니라 IP 폰, IP 비디오 감시 카메라 등과 같은, 네트워크 부착 디바이스는 유선/광섬유 또는 무선 통신 기능성을 가지며, 일반적인 네트워크 부착 에지 디바이스라는 것을 이해해야 한다. 이 디바이스 중 다수는, 전자 자격 증명을 위한 기초를 형성하는 네트워크 어드레스 정보를 제공하고 요청할 수 있는 내장 회로(embedded circuitry)와 함께 자격 증명 정보를 입력하고 제출하는데 사용될 수 있는 키보드 또는 다른 입력 디바이스를 제공할 수도 있다.
네트워크 접근 자격 증명은 네트워크 접근 및 네트워크에 부착된 다양한 리소스로의 접근을 용인/거부하는데 사용된다. 통상적으로, 네트워크 접근 자격 증명 정보는 네트워크 에지 디바이스로부터, 네트워크 인프라스트럭처 디바이스(라우터 및 스위치)와 같은, 중간 디바이스를 통해 네트워크 접근 제어 서버에 전달된다. 네트워크 접근 제어에 사용되는 자격 증명은 달라질 수 있는데, 가장 단순한 형태 중 하나가 사용자의 이름과 패스워드의 조합이다. 패스워드는 다중 로그온(네트워크 접근 요청) 세션에 사용될 수 있거나 단일 로그온 접근 이벤트를 위해 생성될 수 있다. 또한, 자격 증명은, 네트워크에의 접속을 시도중인 네트워크 디바이스의 사전 정의된 네트워크 어드레스(예를 들어, 이더넷 MAC 어드레스 또는 IP 어드레스)일 수도 있다.
라우터 및 스위치와 같은, 네트워크 인프라스트럭처 디바이스(NIDs;Network Infrastructure Devices)는 네트워크 에지 부착 디바이스로부터 다른 네트워크 부착 리소스로의 접속을 제공한다. 라우터 및 스위치는 일반적으로, 다양한 다른 네트워크 부착 디바이스에 전달될 정보를 캡슐화(encapsulate)하는 프레임 및/또는 패킷 기반 네트워크 프로토콜을 지원하고 그것을 통해 통신한다. NID는 물리적 보안 접근 제어 시스템 컴포넌트 사이의 통신 목적을 위해 네트워크 접속 가능한 물리적 보안 접근 제어 시스템 컴포넌트로의 네트워크 접속성을 제공할 수도 있지만; 종래 기술의 NID는 소정 리소스의 물리적 접근이라는 목적을 위해 이러한 물리적 보안 접근 시스템 컴포넌트를 제어할 수 없다.
네트워크 접근은, 네트워크 접근을 인가된 사용자 및 디바이스로 제한하도록 설계되는 로그인 시스템(log-in system)에 의해 제어되는 것이 아주 일반적이다. 이러한 로그인 시스템을 AAA 서버(Authentication, Authorization and Accounting servers)라고 한다. AAA는, 네트워크 및 네트워크 디바이스로의 접근을 요구하는 사용자의 액션의 고유성(identity)을 검증하고, 사용자의 액션으로의 접근을 용인하며, 사용자의 액션을 추적하기 위해 인증, 인가, 및 어카운팅(accounting) 서비스를 수행하는 모듈식 방법을 제공한다.
인증은 네트워크에의 접속을 시도중인 사용자를 식별하기 위한 방법을 제공한다(즉, 소정 사용자가 바로 그 사람이라는 것을 알려줄 수 있다). 이것은 일반적으로, 전통적인 사용자 이름/패스워드로써 그리고 최근에는 (CHAP처럼) 시도 및 응답(challenge and response), 1회 패스워드(one-time password; OTP) 및 PKI 인증서와 같은 좀더 현대적이고 안전한 방법을 통해 수행된다. 인가는, 인가된 사용자가 어떤 서비스 또는 디바이스로의 접근을 갖는지를 제어(즉, 소정 사용자가 일단 로그온하고 나면, 소정 사용자가 수행할 수 있는 범위를 판정)하기 위한 방법을 제공한다. 어카운팅은 네트워크에서의 사용자의 거동 추적을 유지하고, 특정 개인이, 일단 로그온하고 나면, 무엇을 수행중인지를 알려줄 수 있는 방법을 제공한다. 수집된 정보는 과금(billing), 감사, 및 보고 목적에 사용될 수 있다. 또한, 네트워크 사용자 접근 제어의 개념은 구성 및 모니터링을 위한 네트워크 관리 솔루션 및 네트워크 디바이스로의 관리적 접근으로 확장될 수 있다.
그러한 일 로그인 시스템이 Cisco Secure ACS의 정책 기반 네트워크 접근 제 어 서버이다. 네트워크 접근 제어 서버는 네트워크 접근 중심 테이블 또는 유효한 전자 자격 증명의 리스트 및 소정 자격 증명 보유자/사용자가 소정 조건(예를 들어, 정책)에 기초해 접근할 수 있는 네트워크 리소스의 연관 리스트를 유지 보수한다. 그것은, 네트워크 접근 획득을 시도중인 사용자 또는 컴퓨터를 위해 인가된 네트워크 접근 레벨을 판정하는데 사용된다. 서버의 이러한 테이블은, 네트워크로의 접근을 요구할 수 있는 각각의 사용자 또는 디바이스와 연관된 사용자 이름, 사용자 ID, 네트워크 패스워드, 및 규칙을 보유할 수 있다. 이러한 규칙을 네트워크 접근 제어 정책(유효한 전자 자격 증명의 리스트 및 소정 자격 증명 보유자/사용자가 소정 조건에 기초해 접근할 수 있는 네트워크 리소스의 연관된 리스트)이라고 한다. 네트워크 접근 제어 서버는 네트워크로 로그온하기 위한 사용자 인터페이스를 제공하고, 네트워크 접근 제어 시스템을 구성하고 공급하는데도 사용된다. ACS 서버는 이벤트의 공통 로그를 유지 보수하므로, 보안 요원은 설비 접근을 갖는 기업 네트워크에 대한 사용자 활동을 모니터링할 수 있고, 상관지을 수 있으며, 검증할 수 있다.
ACS 서버 및 그것의 기능은 한 곳에 배치될 수 있거나 하나보다 많은 접근 제어 서버 사이에 분산될 수 있다. ACS 서버는 정책, 규칙, 및 인가된 사용자의 전부 또는 일부를 집중화되거나 분산된 방식으로 보유할 수 있다. ACS 서버는 미인가 사용자에 관한 정보를 보유할 수도 있고, 그에 따라, 보안 요원은 설비 또는 네트워크 보안을 교묘하게 회피하는 시도를 하는 범인을 식별할 수 있다.
네트워크 접근을 위한 유효한 자격 증명 및 연관 정책이 할당되는 사용자의 리스트는 다수 소스로부터 유래할 수 있다. 좀더 큰 조직 또는 기업에서는, 정기적으로 업데이트되는 직원/인적 자원 데이터베이스(즉, SAP, Peoplesoft, Oracle)로부터 이러한 잠재적 리스트가 획득될 수도 있다. 네트워크 접근 제어 서버는 때때로 그것의 유효한 사용자 리스트를 인적 자원 또는 다른 조직 데이터베이스와 동기화하겠지만, 모든 정책은 네트워크 접근 제어 서버에서 직접적으로 생성, 유지, 및 업데이트된다.
Cisco ACS 서버와 같은, 네트워크 접근 제어 서버는 통상적으로 다수 벤더의 전통적인 프레임/패킷 기반 네트워크 장비와 상호 작용 가능하다. 접근 제어 서버가 각각의 IP 가능 디바이스(IP-enabled device)에 SNMP 폴(polls)을 주기적으로 송신하여 건전성(health) 및 네트워크 접속성을 검증하는 것이 일반적이다. SNMP 폴링은 네트워킹 업계에 널리 공지되어 있다. 그럼에도 불구하고, 종래 기술의 네트워크 접근 제어 서버는 물리적 접근 제어 디바이스를 지원하기 위한 능력을 가지고 있지 않을 뿐만 아니라, 물리적 보안 서버, 또는 물리적 보안 관리국, 또는 도어 제어 패널과 상호 작용하지 않거나 ACP 기능성을 제공하지 않는다. 더 나아가, 종래 기술의 네트워크 접근 서버는 물리적/설비 접근 이벤트를 알아차리지 못한다.
네트워크 보안 서버는 시스템 구성 및 관리와 일반적으로 연관된 기능의 범위를 제공한다. 이 서버는 대체로 백엔드 과금 및 어카운팅(back-end billing and accounting), 이벤트 로깅, 및 사용자 인터페이스 통신을 제공한다. 네트워크 보안 서버는 대체로, 실시간 네트워크 접근 제어 서비스를 제공중인 네트워크 접근 제어 서버와 통신한다. 종래 기술의 네트워크 보안 서버는 물리적 보안 접근 제어 기능을 지원하지 않으며, 더 나아가, 물리적 접근 보안 이벤트를 알아차리지 못한다.
다른 네트워크 보안 기능이 네트워크 인프라스트럭처의 일부일 수도 있다는 것을 이해해야 한다. 이러한 기능 및 서비스는 방화벽 서비스, VPN 암호화/복호화, 네트워크 침입 검출 서비스를 포함하지만, 이들은 일반적으로 네트워크 접근을 위한 초기 로그온 인증 및 인가를 위해 네트워크 접근 제어 서버에 의존한다. 일부 경우에서, 이 서비스는 네트워크 인프라스트럭처 디바이스로 통합될 수도 있다. 추가적으로, NID는 프록시로서 기능할 수 있거나 일부 AAA 역량을 제공할 수도 있다.
네트워크 관리 워크스테이션은 경보 모니터링과, 네트워크 관리 및 운영 요원에 의한 일반적인 네트워크 동작 관리를 제공한다. 네트워크 관리 워크스테이션은 원격지에 배치될 수 있거나 상이한 수개의 설비에 분산될 수 있다.
도 2는 통상적인 종래 기술의 네트워크 접근 제어 시스템을 예시한다. 네트워크는 물리적 위치에 의해 속박되지 않는다. 네트워크는 컴퓨터(151), 네트워크 폰(예를 들어, IP 폰)(152), 네트워크 카메라(153), 네트워크 접속성이 이용 가능한 어느 곳에든 가상적으로 배치되는 네트워크 접속된 I/O 디바이스(예를 들어, 판매 단말의 포인트, 제조 프로세스 제어 센서 및 기계 장치 등)(154)와 같은 수개의 네트워크 에지 디바이스(Network Edge Devices; NED)(150)를 포함할 수 있다.
NED(150)는 일반적으로 네트워크 인프라스트럭처 디바이스(Network Infrastructure Devices; NID)(155)에 직접적으로 접속된다. NID(155)는 일반적으 로 라우터, 스위치, 및/또는 무선 접근점이다. NID(155)는 NED(150)에, 궁극적으로 다른 NED, 애플리케이션 서버 컴퓨터, 또는 다른 네트워크 접속 통신 디바이스(즉, IP 폰, 비디오 카메라 등)의 집합이고 인터넷 접근을 포함할 수 있는 다양한 다른 네트워크 리소스(156)로의 접근을 제공한다. 다양한 NED(150) 또는 다른 네트워크 리소스(156) 사이에 배치되는 다수의 상호 접속된 NID가 존재할 수도 있다. NID(155)는 직접적으로 또는 다른 NID를 통해 간접적으로 네트워크 접근 제어 서버(Network Access Control Servers; NACS)(157), 네트워크 관리 워크스테이션(158), 또는 네트워크 보안 서버(159)에 접속된다. 네트워크 디바이스(157-159)는 NED(150)로부터 멀리 떨어져 그리고/또는 네트워크 운영 센터 또는 데이터 센터와 같은 집중된 위치에 배치될 수 있다.
어떤 한 사람이 그의 컴퓨터를 도 2의 네트워크에 접속하기를 원할 때와 같이, 네트워크 접근 제어 요청 이벤트가 발생할 때, 컴퓨터는 네트워크 접근(로그온) 요청을 발생시켜야 한다. 예를 들어, 컴퓨터(151)는, 사용자가 컴퓨터의 키보드를 통해 그의 이름 및 사전 할당된 패스워드를 입력할 것을 요청하는 작은 스크린을 제시할 것이다. 이러한 전자 자격 증명(사용자 이름 및 패스워드)은, 전자 자격 증명 정보를 네트워크 접근 제어 서버(157)에 전달하는 네트워크 인프라스트럭처 디바이스(155)에 송신된다.
네트워크 접근 제어 서버(157)는 사용자 자격 증명을 유효한 네트워크 자격 증명 리스트와 비교하는 것에 의해 사용자 자격 증명을 확인한다. 또한, 그것은 연관된 네트워크 접근 정책을 점검하여, 자격 증명 보유자가, 사용자가 요청된 네 트워크 리소스(156) 또는 다른 네트워크 리소스에 접근하는데 적용 가능한 모든 정책을 준수하는지를 판정한다. 네트워크 접근 제어 리스트 및 연관 정책은 네트워크 접근 제어 이벤트 이전에 서버에 저장된다.
유효한 사용자 이름이 인적 자원 데이터베이스에 의해 제공되고, 또한, 접근 이벤트 이전에 네트워크 접근 제어 서버의 리스트에 저장되었다. 소정 사용자 이름을 위한 패스워드는 이전에 ACS 사용자 구성 인터페이스를 통해 또는 소정의 다른 네트워크 관리 서버로부터의 엔트리(entry)를 통해 리스트에 입력되었다. 소정 사용자를 위한 네트워크 리소스 접근 정책은 조직의 정책에 기초해 네트워크 관리자를 통해 할당되었다.
사용자 이름 및 패스워드가 네트워크 접근 리스트/테이블에서의 엔트리와 정합하면, 사용자에게는 네트워크 접근 특권이 용인된다. 이러한 용인은, 다른 네트워크 부착 리소스(156)(예를 들어, 다양한 애플리케이션, 인터넷으로의 접근 등을 갖춘 서버)로의 접근을 제공하는 다양한 네트워크 인프라스트럭처 디바이스(155)에 송신된다. 이제, 사용자는 요청된 리소스에 접근할 수 있다. 사용자 이름 및 패스워드가 네트워크 접근 리스트에서의 엔트리와 정합하지 않으면, 사용자는 정보를 입력하기 위한 다른 기회를 제공받을 수 있거나, NID(155)는 다른 네트워크 접근 요청이 이루어질 수 있을 때까지 소정 기간 동안 네트워크 에지 디바이스(150)로의 접속성을 차단하도록 지시받을 수도 있다. 네트워크 접근 요청의 유효성과 무관하게, 네트워크 접근 제어 서버(157)는 요청 및 결과를 로그(log)한다. 이 로그는 네트워크 관리 요원에 의해 직접적으로 접근될 수 있거나 네트워크 관리 워크스테 이션(158)에 송신될 수 있다. 확인된 네트워크 접근 요청이 또한 네트워크 접근 제어 서버(157)로부터 네트워크 보안 서버(159)에 송신될 수 있다.
앞서 언급된 바와 같이, 일부 물리적 보안 시스템 및 일부 물리적 보안 시스템 컴포넌트는, 하나의 물리적 보안 시스템 컴포넌트로부터 다른 물리적 보안 시스템 컴포넌트에 정보를 전송하기 위해, 이더넷/IP 기반 네트워크에 접속하도록 설계되었다. 그러나, 이러한 이더넷/IP 접속의 물리적 보안 컴포넌트는, AAA 또는 네트워크 접근 제어 서버와 같은, 프레임/패킷 네트워크의 리소스 모두를 이용하지 않으며, 더 나아가, 네트워크 접근 이벤트를 알아차리지 못한다.
도 3에 도시된 블록 125와 같은, 다양한 접근 제어 시스템 디바이스 벤더의 시그널링 포맷 및 프로토콜을 다른 접근 제어 시스템 벤더의 컴포넌트 포맷으로 변환할 수 있는 레거시 물리적 보안 디바이스 접근 게이트웨이가 이용 가능하다. 이러한 게이트웨이는 이종의 물리적 보안 벤더 시스템 컴포넌트 사이에서 좀더 큰 상호 운용성(interoperability)을 제공하고, 물리적 보안 정보가 프레임/패킷 기반 네트워크를 통해 전송되게 할 수 있지만; 이러한 게이트웨이는 네트워크 접근 제어 서버가 물리적/설비 접근 제어 디바이스를 제어하게 할 수는 없다. ACP는, 도 1의 예에서 앞서 논의된 바와 같이, 여전히 자격 증명을 확인할 것이 요구된다.
또한, (도 4에 도시된 블록 129와 같은) 일부의 종래 기술 DCP 및 일부의 접근 제어 디바이스(예를 들어, 도 5에 도시된 블록 131과 같은, 배지 판독기)에 의해, 이더넷과 같은 프레임/패킷 기반 네트워크 접속을 지원할 수도 있다. 그의 연관된 ACD로부터 DCP에 정보가 전달될 때, 그것은 데이터를 집합하고, 로컬 이더넷 네트워크 또는 다른 유선 또는 무선 패킷 기반 네트워크를 통해 데이터를 에지 라우터에 전송하기 전에, 데이터를 패킷 또는 이더넷 프레임의 페이로드(payload) 부분에 배치한다.
물리적 보안 접근 게이트웨이와 유사하게, 이러한 네트워크-접속 가능 DCP 및 ACD는, 물리적 보안 정보가 프레임/패킷 기반 네트워크를 가로질러 전송되게 할 수 있지만, 물리적 접근 제어 시스템의 지시하에 계속해서 자격 증명을 확인하고 그러한 자격 증명에 기초해 정책 기반 액션을 부과하도록 동작한다. 따라서, 그것은 물리적 보안 서버 또는 물리적 접근 제어 패널로부터 접근 제어 리스트 및 정책 업데이트를 수신한다. 이러한 네트워크-접속 가능 DCP 및 ACD는 네트워크 접근 제어/AAA 서버로부터 업데이트를 수신하지 않으며, 더 나아가, DCP 및/또는 ACD는 네트워크 접근 이벤트를 알아차리지 못한다.
처음에 배치될 때, 이러한 종래 기술의 네트워크 접속형 접근 제어 게이트웨이, DCP, 및 ACD는 일반적으로 단일 서브네트(sub-net)를 통해 통신하도록(물리적 접근 이벤트를 브로드캐스트하도록) 구성되고; 그에 따라, 하나의 물리적 접근 제어 시스템에 의해 관리되는 디바이스의 수는 크기에 있어 어느 정도 제한적이다. 그러나, ACP의 또는 물리적 접근 제어 서버의 네트워크 어드레스로써 또는 라우팅된 인터페이스를 통해 상호 접속되게 하는 디폴트 네트워크 접근 게이트웨이의 어드레스로써 수개의 네트워크 접속형 물리적 접근 제어 게이트웨이, DCP, 및 ACD가 구성될 수도 있다. 디폴트 네트워크 접근 게이트웨이를 업계에서는 대체로 DNS(domain name server)라고 한다는 것을 알 것이다. 이러한 게이트웨이는, 좀더 많은 수의 물리적 접근 제어 컴포넌트가 하나의 ACP/물리적 접근 정책 서버에 의한 관리하에 배치되는 것을 용이하게 한다.
설비 및 네트워크 리소스의 양자를 위한 접근 제어 프로그램을 공동으로 관리하고 통합할 수 없는 것이 전반적인 기업 보안의 효과를 방해한다는 것을 알 수 있었다. 간단하게, 예를 들어, 스마트 카드 기술을 사용해 물리적 보안 접근 제어와 네트워크 접근 제어 자격 증명을 통합하는 것은, 물리적 접근 제어와 네트워크 접근 제어 시스템을 통합하는 것이나 물리적 보안 접근 제어 정책을 네트워크 접근 제어 정책과 강하게 결부시키고 반대로 네트워크 접근 제어 정책을 물리적 보안 접근 제어 정책과 강하게 결부시키는데 그다지 도움이 되지 않는다. 그에 따라, 설비 접근 시스템 및 네트워크 접근 시스템의 양자가 공들여 모니터링되고 관리되는 경우라 하더라도, 물리적 보안과 네트워크 보안 정책을 다같이 결합시키지 않는 것에 의해, 조직은 오용 또는 태만(negligence)에 취약한 상태를 유지한다.
네트워크 보안 관점으로부터, 물리적 및 네트워크 접근을 다같이 결부시킬 수 없다는 것은 취약성을 발생시켜, 네트워크 시스템의 소유자를 귀중한 기밀 또는 사유 정보의 소실 또는 네트워크 자체에 대한 손상에 노출시킨다. 이러한 취약성을 예시하기 위해, 어떤 직원이 일과의 끝에 설비를 떠나면서 컴퓨터의 로그아웃을 잊어 버렸다고 가정한다. 직원들이 떠난 후, 컴퓨터는 네트워크에 접속된 상태를 유지하고, 설비에 남아 있던 어떤 사람에 의해, 이들이 네트워크에 접근하는 것이 인가되지 않았다 하더라도, 사용될 수 있다. 분명히, 인가된 사용자가 설비를 떠난 후에, 방치된 단말이 네트워크에 접속된 상태를 유지하게 하는 것은 바람직하지 않다. 네트워크 접근 제어 서버가, "배징아웃(badging-out)" 또는 얼굴 인식 비디오 감시를 통해, 사용자 설비 이탈 로그(user facility departure log)로의 접근을 가진다면, 방치된 컴퓨터의 네트워크 접근은 종료될 수 있어, 취약성을 제거할 수 있다.
단순히, 설비의 인가된 모든 사용자에게 네트워크 접근을 제공하는 정책을 확립하는 것은 선행 취약성을 다루지 못한다. 아웃소싱된 보호 관리 직원을 포함한 관리 스태프가 청소 및 유지 보수를 위해 건물에 접근하는 것은 허용 가능할 수 있지만, 이러한 동일 설비의 인가된 직원들이 네트워크 리소스 및 지적 재산권에 접근하는 것은 허용 불가능할 수도 있다는 것을 고려한다.
물리적 안전 및 보안 관점으로부터의 다른 취약성을 예시하기 위해, 그들이 그룹으로서 설비에 입장중일 때, 인가된 다른 사용자의 "뒤에 바짝 붙어 입장하는 것(tailgating)"에 의해 도어를 통해 설비에 입장하는 하나 이상의 설비 및 네트워크 인가된 사용자의 가능성을 고려한다(예를 들어, 뒤에 바짝 붙어 입장하는 사람은 그의 자격 증명을 확인을 위해 제시하지 않는다). 뒤에 바짝 붙어 입장하는 일이 발생할 때, 설비 보안은, 임의의 소정 시점에 누가 설비 내에 있는지를 정확하게 판정할 수 없다. 그에 따라, 설비에 공식적으로 입장되지 않은 사람이 설비의 컴퓨터에 접속한 것이 관찰되면, 기업 보안은 어떤 일이 일어났는지를 판정해야 한다. 더 나아가, 화재 또는 폭발과 같은 비상 사태의 발생시에, 기업 보안 및 구조 요원은, 사람들이 신속하고 안전하게 피난될 수 있도록 하기 위해, 누가 설비내에 존재하며 그들이 어디에 위치하는지를 알 필요가 있다. 물리적 및 네트워크 보안 접근 제어가 통합되지 않으면, 물리적 안전 및 보안 요원은, 누가 건물내에 존재할 수 있는지를 좀더 광범위하게 판정하기 위해, 물리적 보안 로그 및 네트워크 접근 로그의 양자를 조사해야 할 것이다.
다수의 네트워크 보안 침해 및 지적 재산권의 절도는 원격지로부터 발생한다. 네트워크 오퍼레이터가 소정 네트워크 접속으로부터 소정 네트워크 리소스로의 접근을 제한하는 능력에도 불구하고, 다수의 네트워크 보안 침해는, 소위 컴퓨터 "해커"가 네트워크 접근 제어 서버 및 NID를, 해커 또는 사용자가 "인가된" 네트워크 접속에 접속되는 것으로 생각하게끔 속임수를 쓸 수 있기 때문에 발생한다. 네트워크 접근 정책이 물리적 접근 서버 제어 로그에 링크될 수 있다면, 이것은 최근의 유효한 물리적 접근 자격 증명의 제시를 통해 사용자의 승인된 설비 또는 룸에서의 물리적 위치에 대한 교차-확인(cross-validation)을 제공할 것이다. 그에 따라, 도용되거나 "해킹된" 패스워드는 네트워크 리소스 접근에 충분하지 않을 것이다.
분명히, 새로운 보안 정책을 용이하게 하며 물리적 보안 및 네트워크 보안의 양자를 개선하는, 물리적 보안 (접근 제어) 및 네트워크 접근 시스템의 통합을 위한 필요성이 존재한다. 종래 기술의 물리적 및 네트워크 보안 시스템의 단점을 극복하기 위해, 본 발명은 통합된 접근 제어 시스템 및 방법을 개시하는데, 그것의 사양 및 이점은 상세한 설명 및 다음에 오는 연관된 도면의 검토로부터 명백해질 것이다.
도 1은 통상적인 종래 기술의 설비 접근 제어 시스템을 예시한 도면.
도 2는 프레임/패킷 기반 네트워크를 위한 통상적인 종래 기술의 네트워크 접근 제어 시스템을 예시한 도면.
도 3은 종래 기술의 네트워크 접속 가능한 물리적 보안 접근 제어 게이트웨이의 물리적 보안 접근 제어 시스템의 일부로서의 사용을 예시한 도면.
도 4는 종래 기술의 네트워크 접속 가능한 물리적 보안 도어 제어 패널의 물리적 보안 접근 제어 시스템의 일부로서의 사용을 예시한 도면.
도 5는 종래 기술의 네트워크 접속 가능한 물리적 보안 접근 제어 디바이스의 물리적 보안 접근 제어 시스템의 일부로서의 사용을 예시한 도면.
도 6은 본 발명의 일 실시예에 따른 통합된 설비 접근 제어 및 네트워크 접근 제어 시스템을 예시한 도면.
도 7A 내지 도 7C는 본 발명의 다양한 실시예를 나타내는 블록도.
도 8은, 본 발명의 실시예에 따른, 통합된 접근 제어 기능의 네트워크 인프라스트럭처 디바이스의 통합된 일부로서의 애플리케이션을 예시한 도면.
도 9는 본 발명의 실시예에 따른 통합된 네트워크 및 물리적 구내(premises) 접근 제어 서버의 동작을 예시한 도면.
도 10은 본 발명의 다른 실시예에 따른 통합된 접근 제어 시스템의 실시예를 예시한 도면.
본 발명의 실시예를 위한 여기에서의 설명에서는, 본 발명의 실시예에 대한 완전한 이해를 제공하기 위해, 컴포넌트 및/또는 방법의 일례와 같은, 다수의 특정 세부 사항이 제공된다. 그러나, 통상의 기술자라면, 본 발명의 실시예가 특정 세부 사항 중 하나 이상이 없이도 실시될 수 있거나, 다른 장치, 시스템, 어셈블리, 방법, 컴포넌트, 부품, 및/또는 기타로써 실시될 수 있다는 것을 알 수 있을 것이다. 다른 경우에, 주지의 구조, 재료, 또는 동작은, 본 발명의 실시예의 양태를 불명료하게 하는 것을 방지하기 위해, 구체적으로 도시되거나 상세하게 설명되지 않는다.
도 6은, 네트워크 및 물리적 구내 접근을 위한 통합된 접근 제어 서버(200)가 도시되는 본 발명의 일 실시예를 예시한다. 서버(200)는 레거시 물리적 보안 시스템(202) 및 프레임/패킷 네트워크(204)의 양자와 인터페이스하여 통합된 물리적 접근 및/또는 네트워크 접근을 제어한다. 이 시스템은 건물, 가정, 물리적 인프라스트럭처 뿐만 아니라 정보 및 네트워크 시스템으로의 접근을 모니터링하고 제어하도록 적응될 수 있다. 유익하게는, 서버(200)는 물리적 설비 및 네트워크 가능 디바이스를 위한 자격 증명 검증 및 연관된 정책들, 및 정책 규약(policy enforcement)을 통합한다. 이러한 통합은, 물리적 보안 및 네트워크 보안의 양자를 강화하는 새로운 보안 정책의 구현을 용이하게 한다. 이러한 정책은 물리적 접근 제어 시스템 및 네트워크 접근 제어 시스템의 양자에서 보안 결함을 제거하고, 설비 접근 시스템 및 네트워크 접근 시스템의 양자가 공들여 모니터링되고 관리된다는 것을 보장한다. 그에 따라, 조직의 보안은, 오용 또는 태만에 대한 취약성을 최소화하는 것에 의해, 개선된다.
통합된 접근 제어 서버(200)는, 유효한 자격 증명 리스트 및 접근 정책을 이들 디바이스에 의해 앞서 지원된 테이블에 유지하면서, 접근 제어 패널 및 네트워크 접근 제어 서버를 위한 필요성을 제거한다. 또한, 서버(200)는 모든 접근 정책을 규약한다. 더 나아가, 통합된 접근 제어 서버(200)는, 물리적 접근 이벤트 및 네트워크 접근 이벤트가 모니터링되고, 상관되며(correlated), 다같이 결부되게 하여, 물리적 및 네트워크 접근 제어 정책 양자를 강화시킨다.
이제 본 발명의 일 실시예가 예시되는 도 7A를 참조한다. 본 발명에 따르면, 접근 제어 시스템은 설비와 그의 물리적 리소스 및 네트워크 리소스를 제어 및/또는 모니터링하는데 사용된다. 본 발명은, 하나 이상의 접근 제어 디바이스(ACD;110) 및 컴퓨터(151) 또는 다른 네트워크 에지 디바이스가, 각각, 설비 및 그의 네트워크의 일부라고 가정한다. 일반적인 접근 제어 디바이스로는 카드 판독기, 생체 인식 센서, 카메라, 경보, 모션 센서, 및 전자-기계 도어 잠금을 들 수 있다. 각각의 ACD(110)는 디바이스 제어 패널(DCP;119)에 결합되고, 디바이스 제어 패널(119)은 패킷/프레임 가능 접근 제어 게이트웨이(125)에 결합된다. 접근 제어 게이트웨이(125)는, 물리적 접근 제어 시스템에 대한 추가적 변경 없이, 앞서 설비 내에 그리고 설비 주위에 배치되었던 레거시 ACD 및 DCP가 본 발명에 사용될 수 있게 한다. 접근 제어 게이트웨이(125)는 단순히, 레거시 DCP 통신이 프레임 또는 패킷 기반 네트워크(155)를 통해 전송되는 것을 가능하게 한다. DCP 접근 요청 메시지가 통합된 접근 제어 서버(200)에 의해 수신되고 응답된다.
일반적으로, 통합된 접근 제어 서버(200)는 자격 증명을 확인하고, 위치, 리 소스의 유형, 시각, 기간(duration), 또는 다른 이벤트에 기초해, 접근 정책을 규약하며, 소정 리소스가 네트워크에 또는 물리적 구내(premises)에 위치하는지에 상관없이, 소정 리소스에 접근하기 위한 성공적인 그리고 비성공적인 모든 시도를 로그한다. 컴퓨터(151), 및/또는 다른 네트워크 인프라스트럭처 디바이스, 및/또는 DCP(119)가 (설비에서, 예를 들어, 경보를 유발하거나 도어를 개방하는 것에 의해) 통합된 접근 제어 서버의 복귀 명령어(returned instructions)를 구현하는 것을 담당한다.
또한, 통합된 접근 제어 서버(200)는 접근 제어 모니터링 기능 및 접근 제어 이벤트를 지원한다. 실시간 정보를 사용해, 보안 요원은 물리적 리소스 및 네트워킹된 리소스로의 접근을 동시에 모니터링하고 관리하여, 설비에서 작업중인 사람 및 정보 자산을 좀더 포괄적으로 보호할 수 있다.
또한, 통합된 접근 제어 서버(200)는, 이더넷 네트워크 또는 인터넷과 같은, 프레임/패킷 기반 네트워크(28)를 통해 네트워크 보안 서버(159) 및 물리적 보안 서버(121)의 양자와 통신한다는 것에 주의해야 한다. 네트워크 보안 서버(159)는, 새로운 디바이스가 네트워크에 추가될 때, 새로운 디바이스의 등록을 제어하고, 새로운 그리고 만료된 사용자 자격 증명을 관리한다. 네트워크 접근 정책에 대한 개정이 이루어질 때, 개정된 정책은 네트워크 보안 서버(159)로부터 통합된 접근 제어 서버(200) 및, 존재한다면, 미러링된 서버(mirrored servers)에 전송된다. 마찬가지로, 사용자 자격 증명이 업데이트될 때, 이 정보는 통합된 접근 제어 서버(200)에 전파된다. 물리적 보안 접근 제어 시스템의 관점으로부터, 물리적 보안 서버(121)는, 추가되었을 때 새로운 물리적 시스템 사용자의 등록을 제어할 뿐만 아니라 새로운 그리고 만료된 사용자 자격 증명을 계속해서 관리한다. 물리적 접근 제어 정책에 대한 개정이 이루어질 때, 개정된 정책은 물리적 보안 서버(121)로부터 통합된 접근 제어 서버(200)에 전송된다. 따라서, 통합된 접근 제어 서버(200)는 네트워크 접근 제어 서버와 앞서 연관된 모든 기능성을 제공할 뿐만 아니라 물리적 접근 제어 자격 증명을 확인하고, 접근 제어 패널에 의해 앞서 제공된, 연관된 유효한 물리적 접근 제어 정책을 규약한다.
접근 제어 이벤트는 네트워크 접근을 요청하는 사용자 또는 컴퓨터이거나 설비 도어 또는 사무실, 창고, 또는 실험실과 같은 룸으로의 접근을 요청하는 사용자일 수 있다. 예시적으로, 통합된 접근 제어 서버(200)가 접근 제어 게이트(125)에 접속된 컴퓨터(151) 또는 DCP(119)로부터 프레임/패킷 기반 네트워크(228)를 통해 접근 요청 메시지를 수신할 때, 통합된 접근 제어 서버(200)는, 자격 증명의 유효성, 요청하는 디바이스 또는 요청자의 위치를 검증하고, 제공되는 정보에 기초해, 특정 정책을 실행하는 것에 의해, 요청 메시지에 응답한다. 이러한 접근 제어 정책을 실행하는 것의 결과는, 접근 제어 게이트웨이(125)에 부착된 컴퓨터(151) 또는 DCP(119)에 프레임/패킷 기반 네트워크(228)를 통해 송신되는 대응되는 접근 제어 응답 메시지이다.
더 나아가, 본 발명은, 물리적 접근 이벤트를 네트워크 접근 이벤트와 결부시키는 새로운 정책이 생성되고 구현되게 하는 것에 의해, 새로운 사양을 가능하게 한다. 예를 들어, 네트워크 로그온 이벤트 이전에, 소정 사용자가 네트워크 리소 스에 접근하기 위해서, 통합된 접근 제어 서버는, 사용자가 과거 1 시간내에 특정 룸 또는 건물에서도 호의적인 물리적 접근 확인을 받아야 했다는 정책을 규약할 수 있다. 추가적으로, 직원이 그들의 사무실 또는 설비를 떠날 때, 네트워크 접근은 배지 판독기 또는 비디오 감시 카메라 및 연관된 얼굴 인식 역량에 의해 발생되는 물리적 설비 퇴장 요청 이벤트에 기초해 종료될 수 있다. 이것은, 개방된 네트워크 접속이, 인가된 사용자가 설비를 떠난 후에 방치된 상태로 남겨지지 않는다는 것을 보장한다. 그에 따라, 물리적 및 네트워크 접근 이벤트는 다같이 결부되어, 네트워크 접근 보안을 강화시킨다. 또한, 그러한 정책은 미인가 당사자가 원격 또는 상이한 위치로부터 네트워크로의 접근을 획득할 가능성을 감소시킨다. 추가적으로, 물리적 접근 확인의 프로세스를 가능하게 하고 물리적 접근 확인이 네트워크 접근을 위해 필수적이게 하는 것에 의해, 그것은, 유효한 자격 증명 보유자가 설비쪽으로 "뒤에 바짝 붙어 입장하는 것"을 중단하게 하기 위한 좀더 강한 동기를 제공하는 새로운 정책을 가능하게 한다.
물리적 접근 로그 및 네트워크 접근 로그 양자로의 통합된 접근을 제공하는 것은 물리적 및 네트워크 보안 양자를 향상시킨다. 예를 들어, 사용자가 소정 건물에서 물리적 접근 이벤트를 생성한 이후로 시간이 꽤 길었다면, 사용자의 존재는 통합된 접근 제어 서버의 네트워크 접근/활동 로그 부분을 재검토하는 것에 의해, 부분적으로, 확인될 수 있다. 이것은 비상 사태 상황에서 소정 사용자의 위치를 찾아내는데 도움이 될 것이다. 상보적 사양(complementary feature)으로서, 본 발명은, 네트워크 접근이 특정 위치로부터 확립되었을 때, 물리적 접근 이벤트가 앞 서 등록되지 않았다 하더라도, 물리적 접근 로그의 업데이트를 가능하게 한다.
통합된 접근 제어 서버(예를 들어, 연관된 테이블(들) 또는 리스트(들)를 사용하는 자격 증명 검증 및 정책 규약 엔진)에 의해 제공되는 추가적 장점 및 이점으로는, 설비 내에 있는 것은 인가되었지만 네트워크에 접근하는 것은 인가되지 않은 계약자, 파트너, 컨설턴트, 및 임시직에 대해 네트워크 접근을 거부하는 능력을 들 수 있다. 고용주는 흔히, 중요한 시스템으로의 제한된 접근까지도 이용하는 외부인의 능력을 과소 평가한다. 그것의 정책 엔진 및 연관된 테이블(들) 또는 리스트(들)를 갖춘 통합된 접근 제어 서버의 또 다른 장점은, 더 이상 조직에서 근무하지 않지만 네트워크 기반 정보 리소스로의 접근을 직접적으로, 부정 수단(back door)을 통해, 또는 이전의 동료를 통해 간접적으로 보유하고 있는, 과거의 직원 또는 다른 범인의 쟁점에 대처하는 것이다. 고용주와의 충돌 또는 심지어 해고를 예상하면서, 이러한 범인은, 이후의 사용을 위해 다른 패스워드를 생성하거나 네트워크 인프라스트럭처 및 그것의 접속에 대한 정보를 단순히 저장하는 것에 의해, 네트워크로의 은밀한 접근을 준비할 수도 있다. 통합된 접근 제어 서버에 의해, 네트워크 접근은 설비에서의 인가된 물리적 실재(authorized physical presence)와 상관될 수 있다.
운용의 관점으로부터, 네트워크 및 물리적 보안 서버(159 및 121)는, 각각, 네트워크 및 물리적 보안 관리자에 의해 정의된 접근 제어 정책 뿐만 아니라 자격 증명 및 모든 접근 제어 요청자 각각의 고유성에 관한 정보를 계속해서 유지 보수한다. 그러나, 자격 증명을 확인하고 정책을 규약하는 관점에서, 통합된 접근 제 어 서버는 종래 기술의 접근 제어 패널 및 종래 기술의 네트워크 접근 제어 서버를 유지 보수하는데 필요한 총 시간보다 짧은 유지 보수 시간을 요구할 수 있다. 하나의 통합된 접근 제어 서버(200)가 ACP 및 네트워크 접근 제어 서버의 양자로서 기능한다고 가정하면, 그것은 양 시스템의 계층 구조를 무너뜨려, 물리적 및 네트워크 접근 제어 시스템을 설치하고 유지 보수하는 비용을 최소화한다.
본 발명은 사용자/직원 데이터의 효율적인 유지 보수, 리소스 접근을 위한 규칙의 좀더 일관적이고 광범위한 세트, 그리고 설비로의 물리적 접근 및 네트워크 접근의 양자를 위한 강화된 보안을 제공한다.
더 나아가, 일부 경우에서는, 통합된 접근 제어 서버가 물리적 접근 보안 서버 및 네트워크 접근 보안 서버를 제거하는 것도 가능할 수 있다. 이러한 제거는 추가적 보안 서버 기능을 구현할 것을 통합된 접근 제어 서버에 요구할 것이고 그 결과 통합된 접근 제어 서버와 연관된 운용 절감의 추가적 향상을 초래할 것이다. 다시 도 7A를 참조하면, 본 발명의 최소화된 구성 실시예에서, 물리적 및 네트워크 보안 서버(121 및 159) 각각, 및 통합된 접근 제어 서버(200)는 단일 플랫폼으로 조합될 수 있거나 복수개의 동시적으로 활성인 플랫폼 사이에 분산될 수도 있다.
다른 실시예에서는, 도 7B의 블록도에서 도시된 바와 같이, 컴퓨터(151) 및 복수의 ACD(110)가 네트워크 접속형 DCP(229)에 결합된다. DCP(229)는 ACD로부터 데이터를 수집하고, 그 데이터를 패킷화하며, 패킷들을 프레임/패킷 기반 네트워크(228)를 통해 통합된 접근 제어 서버(200)에 전달한다. 통합된 접근 제어 서버(200)는, 관련된 접근 제어 정책에 의해 지시되는 바와 같이 제어 정보를 리턴할 것이다. 도 7A와 관련한 이전의 이벤트 예의 논의와 유사하게, 본 발명은, 물리적 접근 제어 패널 및 네트워크 접근 제어 서버의 양자를 대체하는 것에 의해, 도 7B의 실시예에서 동일한 기능을 지원할 뿐만 아니라 범용 접근 제어 서버(200)와 연관된 앞서 논의된 추가적 장점 및 이점을 제공한다.
도 7C는 본 발명의 또 다른 실시예를 예시한다. 이 경우, 각각의 ACD(231)는 네트워크 접속형이고, 프레임 또는 패킷 기반 네트워크 인프라스트럭처 네트워크(228)를 통해 통합된 접근 제어 서버(200)와 통신한다. 도 7A와 관련한 이벤트 예의 논의와 유사하게, 본 발명은 도 7C의 실시예와 관련하여 동일한 기능을 지원할 수 있을 뿐만 아니라 통합된 접근 제어 서버와 연관된 앞서 논의된 추가적 장점 및 이점을 제공할 수 있다. ACD(110), DCP(119) 및 게이트웨이(125), DCP(229) 및 ACD(231)의 다양한 조합이 하나의 통합 시스템에 공존할 수도 있다는 것에 주의해야 한다. 더 나아가, 통합 시스템은 하나의 건물에 배치될 수 있거나, 각각이 네트워크 접속된 ACD, 레거시 디바이스, 또는 네트워크 접속형 ACD 및 레거시 디바이스의 조합으로써 구성되는 다중 설비를 포함할 수도 있다는 것에 주의해야 한다.
도 7A 내지 도 7C에 도시된 실시예에서, 예시된 컴퓨터(151)와 같은, 컴퓨터 디바이스 또한 프레임 또는 패킷 기반 네트워크 인프라스트럭처 네트워크(228)에 결합된다. 통상적 애플리케이션에서는, 퍼스널 컴퓨터, IP 가능 전화기, 또는 네트워킹된 다른 컴퓨팅 디바이스와 같은, 수백 또는 심지어 수천개의 컴퓨터 디바이스가 프레임 또는 패킷 기반 네트워크 인프라스트럭처 네트워크(228)에 결합되고, 전 세계의 일 또는 다중 설비에 배치될 수 있다. 통합된 접근 제어 서버(200)는, 설비에 존재하도록 인가되고 또한 네트워크 접속형 디바이스를 사용하도록 허가된 사용자에 의한 네트워크 리소스로의 접근을 제어하는 기능을 한다. 통합된 접근 제어 서버(200)는 네트워크 리소스 및 물리적 리소스의 양자를 위해 통합된 접근 정책을 구현한다.
네트워크 디바이스를 통합된 접근 제어 서버에 등록하는 프로세스는, 종래 기술의 네트워크 접근 제어 서버가 프로세스를 지원했던 방식으로부터 약간 수정된다. 네트워크 접속형 물리적 접근 제어 게이트웨이나 네트워크 접속형 DCP 또는 ACD가 통합된 접근 제어 서버와의 사용에 필수적이라는 것을 인식하면, 이러한 게이트웨이, DCP, 및 ACD는, 임의의 공지 방식으로, 통합된 접근 제어 서버(200)에 구성되고 등록될 것이다. 통합된 접근 제어 서버는 게이트웨이, DCP, 및 연관된 ACD의 IP 및/또는 MAC 어드레스를 기록할 것인데, 이들 디바이스는 ARP 요청 등과 같은 주지의 네트워크 프로토콜을 통해 네트워크에 도입되고 접속되기 때문이다. 네트워크 접속형 ACD, DCP, 및 게이트웨이는, 네트워크 접속형 ACP/물리적 보안 서버와 통신할 때와 동일한 방식으로, 통합된 접근 제어 서버의 어드레스로써 수동 또는 자동 구성되거나, 디폴트 네트워크 어드레스 게이트웨이(예를 들어, DNS 서버)를 사용할 것이다.
또한, 통합된 접근 제어 서버가 별도의 물리적 접근 제어 시스템 및 네트워크 접근 제어 시스템에 배치될 수 있다는 것도 이해해야 한다. 통합된 접근 제어 서버는 단순히 종래 기술의 접근 제어 패널 기능 또는 종래 기술의 네트워크 접근 제어 서버 기능을 각각 지원할 것이다. 통합된 접근 제어 서버가 레거시 물리적 접근 제어 시스템에 배치되는 경우에, 네트워크 접속형 물리적 접근 제어 컴포넌트는, 도 7A 내지 도 7C에서 약술된 바와 같이, 통합된 접근 제어 서버가 다양한 물리적 접근 제어 디바이스와 통신하기 위해 필수적일 것이다.
다른 실시예에서, 설비에 존재하며 일반적인 프레임-/패킷 기반 네트워크 인프라스트럭처를 사용하는 다른 정책 기반의 건물 관리 디바이스는 설비에서 직원이 존재하는 장소에 대한 지식을 이용하여, 설비의 그 영역 또는 구역에서의 환경 제어(예를 들어, 냉난방 정책, 조명 정책 등)를 활성화할 수 있다. 마찬가지로, 직원이 그 영역을 떠날 때, 환경 제어는 비활성화될 수 있다. 이러한 디바이스는 각각의 설비 전체에 걸쳐 배치되는, 예시적으로, 화재 및 연기 센서 또는 경보 그리고 전용의 보안 전화 또는 비상 버튼과 같은 추가적인 보안 및 안전 디바이스를 포함할 수도 있다. 통합된 접근 제어 서버는 이러한 다른 건물 관리 디바이스에 대한 적합한 정책 및 응답을 확인하고 규약할 수 있다.
유익하게는, 컴퓨터 네트워크로의 사용자 접근 권한을 유지 보수하는 통합된 접근 제어 서버(자격 증명 검증 및 정책 규약 엔진 그리고 연관된 테이블(들) 또는 리스트(들))는 설비 및 다른 설비 기능(예를 들어, HVAC 및 조명)으로의 접근 권한을 판정하는데 사용되는 것과 동일한 테이블일 수 있다. 이러한 통합된 접근 제어 서버는, 다수의 다른 장점 중에서도, 유지 보수 요구 사항 및 동작 오버헤드를 최소화한다. 통합된 접근 제어 서버는, 물리적 권역에서의 이벤트가 네트워크 리소스의 이벤트 또는 접근에 결부되게 하거나 그 반대이게 하는 정책 서버로서 기능한다. 정책 기반 디바이스의 병합은 물리적 보안의 다른 양태에 대한 통합을 가능하 게 한다.
도 7A 내지 도 7C의 선행 예에서는 단일 디바이스로서 예시되지만, 통합된 접근 제어 서버(200)는, 하나 이상의 서버가 동시적으로 활성인 상태에서 분산된 또는 미러링된(mirrored) 기능성 특징으로 구현될 수 있다는 것에도 주의해야 한다. 접근 제어 서버 기능 및 연관된 테이블 및/또는 리스트는 다양한 사이트에서 미러링되어 신뢰도, 생존 가능성, 또는 응답 시간을 개선한다. 더 나아가, 테이블 및/또는 리스트는, 접근 제어 정보가 종래 기술의 디바이스에 저장되는 것과 동일한 방식으로, 각각의 설비에서의 플래시 메모리 또는 업데이트 가능한 다른 비휘발성 메모리에 저장될 수 있다. 일부 실시예에서, 미러링된 테이블(들)은 프라이버시 및 다른 보안 관심사에 대처하기 위해 마스터 테이블에 보유된 정보의 서브세트를 포함할 수도 있다.
통합된 접근 제어 서버는, 하나의 통합된 접근 제어 서버가 다중 네트워크 접근 제어 서버 또는 물리적 보안 접근 제어 패널로서 동작할 수 있게 하는 "가상화된(virtualized)" 기능성도 제공할 수 있다. 이 능력은, 가정 및 기업 보안 모니터링 서비스에서 일반적인 바와 같이, 아웃소싱된 물리적 및 네트워크 보안 모니터링 및 관리 제공자에게 유용할 것이다. 물리적 보안 배지는 사용자의 배지를 발행한 엔티티, 즉, 사용자 및 배지와 연관된 조직에 대한 추가 정보를 포함하는 것이 일반적이다. 따라서, 가상화된 통합된 접근 제어 서버는 이러한 추가 정보를, 접근 제어하에 있는 그러한 특정 조직 및 리소스에 관련된 접근 제어 테이블 및 정책의 부분을 재빨리 격리하는데 사용될 수 있는데, 예를 들어, 실제로는, 관련된 리스트 및 정책이 상이한 다수 조직을 위한 엔트리를 포함하고 있는 완전한 통합된 접근 제어 서버의 테이블의 서브세트이지만, 테이블 및 서버는 하나의 조직에 "가상적으로" 전용된다.
통합된 접근 제어 서버는, 다중 설비로의 사용자 접근을 조정하는 접근 정책을 구현한다. 일단 사용자가 소정 설비에 존재하도록 인가되고 나면, 통합된 접근 제어 서버는 설비의 네트워크 리소스로의 접근도 조정한다. 다시 말해, 통합된 접근 제어 서버는 다중 설비에서의 공통 접근 정책을 구현할 수 있거나, 각각의 설비에서 상이한 접근 정책을 구현할 수 있다.
통합된 접근 제어 서버(200)와 연관된 테이블은 물리적 보안 접근 제어 시스템 및 네트워크 접근 제어 시스템의 양자를 지원하기 위한 정보를 포함하고 있다. 이 테이블은: 소정 설비로의 물리적 접근 또는 리소스 및/또는 네트워크 리소스 접근을 위해 인가된 사용자의 완전한 또는 부분적 리스트, 사용자 ID 번호, 시각, 요일, 네트워크 어드레스, 생체 인식 정보, 인가 코드(authorization code), 및 유사한 정보뿐만 아니라 물리적 접근 제어 정책 정보 및 네트워크 접근 제어 정책도 포함하지만, 그것으로 제한되는 것은 아니다. 추가적으로, 테이블은, 물리적 접근 이벤트 및 네트워크 접근 이벤트의 양자가 결합적으로 모니터링/통합되는 경우에만 구현될 수 있는 새로운 정책을 포함할 수도 있다.
도 8에 도시된 다른 실시예에서, 통합된 접근 제어 서버의 기능성은, 블록 300에 의해 묘사되는 바와 같이, 하나 또는 수개의 네트워크 인프라스트럭처 디바이스(즉, 라우터, 스위치, 무선 접근점(wireless access point))와 통합 및 병합된 다. 구체적으로, 물리적 접근 및 네트워크 접근 제어를 위한 통합된 접근 제어 정책 및 연관된 테이블(들)/리스트(들)는 하나 이상의 다양한 네트워크 인프라스트럭처 디바이스에 의해 통합되고 지원된다. 접근 제어 테이블/리스트 그리고 자격 증명 검증 및 정책 규약 엔진을 네트워크 전체에 걸쳐 편재하는 이러한 디바이스들에 통합하는 것에 의해, 추가적 접근 제어 서버를 추가하지 않고, 리던던시의 추가 레벨(additional level of redundancy)이 접근 제어 시스템에 추가된다. 이러한 통합은 네트워크 접근 제어 및 물리적 접근 제어 시스템에서 요구되는 디바이스의 수를 추가적으로 병합할 수 있다. 또한, 그것은 배치 및 진행중인 유지 보수(on-going maintenance)를 포함하는 동작 양태에서 추가적으로 도움이 될 수 있다.
통합된 접근 제어 서버의 테이블, 자격 증명 검증 및 정책 규약 엔진(들)은 기능적으로 몇 가지 방법으로 구현될 수 있다. 일 실시예에서, 물리적 접근 제어 및 네트워크 접근 제어 테이블은, 자격 증명 검증 및 정책 규약 엔진(들)이 접근하는 단일 테이블 내로 병합된다. 통합된 접근 제어 서버의 다른 실시예는 물리적 접근 제어 및 네트워크 접근 제어 테이블을 별도로 유지할 수도 있고, 자격 증명 검증 엔진 및 정책 규약 엔진이 2 이상의 접근 제어 자격 증명 및 정책 테이블에 대한 동시적 또는 연속적 룩업(look-up)을 수행할 것을 요구할 수도 있다. 양자의 또는 모든 테이블을 위한 룩업 결과로써, 엔진들은 조정 로직을 사용해 적합한 물리적 또는 네트워크 접근 응답을 확인하고 판정할 수 있다.
이러한 조정 로직은 "글로벌" 접근 제어 정책과 "로컬" 접근 제어 정책 사이의 충돌을 해결하는데도 사용될 수 있다. 예를 들어, 글로벌 정책은, 정부의 기밀 문서 취급 인가(government security clearance)를 가진 인가된 사용자만이 소정 네트워크 리소스에 접근할 수 있는 것과 같은, 정부의 지시를 준수하도록 확립될 수 있다. 그러나, 사용자와 무관하게, 물리적으로 소정 설비에 배치된 모든 사용자가 이러한 동일 네트워크 리소스에 접근하는 것을 허용하는 "로컬" 정책이 확립될 수도 있다. 이러한 로컬 정책은, 설비에 위치하는 모든 사용자가 적당한 기밀 문서 취급 인가를 가진다는 가정에 기초할 수도 있다. 따라서, 적당한 정부의 기밀 문서 취급 인가를 가지고 있지 않은, 다른 위치로부터의 사용자가, "로컬" 접근 정책이 실시중인 이러한 상기 로컬 설비를 방문하고 방문중인 이 사용자가 제한된 리소스에 접근하고자 시도한다면, 글로벌 접근 정책과 로컬 접근 정책은 충돌할 것이다. 그러한 경우, 통합된 접근 제어 서버 조정 로직은 우선하는 글로벌 정책에 기초해 접근 요청을 적절히 거부할 것이다.
통합된 접근 제어 서버 또는 엔진은, LDCP(Lightweight Directory Access Protocol) 및 ODBC(Open Database Connectivity); 사용자 인증 지원; EAP-TLS(Extensible Authentication Protocol Transport Layer Security), PEAP(Protected EAP), Cisco LEAP, EAP-FAST(EAP-Flexible Authentication via Secure Tunneling), 및 EAP-MD5(EAP-Message Digest Algorithm 5)를 포함하는 802.1X 인증과 같은, 소정 표준과 호환 가능할 수 있거나, 또는 구현될 수 있다. 통합된 접근 제어 서버 또는 엔진은 임의의 네트워크 접근 디바이스를 위해 접근 제어 리스트를 다운로드하는 것도 담당한다.
도 9는 통합된 물리적 및 네트워크 접근 제어 시스템이 도 6에서의 예시적 컴포넌트를 사용해 조직의 전반적인 물리적 및 네트워크 보안 방침을 증가시키기 위해 취할 일련의 이벤트 및 액션을 예시한다. 다음의 예시적 정책은, 물리적 접근 제어 이벤트가 네트워크 접근 이벤트를 우선할 것으로 가정한다(즉, 사용자는 소정 설비 또는 장소로 배지를 달고 입장한 다음, 그의 작업 영역으로 진행하여 기업 네트워크에 로그인할 것이다).
사용자는 판독기 또는 다른 ACD에서 자격 증명을 제시한다. 검출된 요청 및 연관된 자격 증명 정보는, 하나 이상의 패킷의 접근 요청 메시지로서, 통합된 접근 제어 서버(200)에 전송된다. 통합된 접근 제어 서버(200)는, 단계 381에서 지시되는 바와 같이, 예시적 테이블에서 자격 증명의 전자 버전을 룩업하여 인증한다(자격 증명이 유효한지를 판정한다). 접근 제어 디바이스 네트워크 어드레스 또한, 단계 382에서 지시되는 바와 같이, 통합된 접근 제어 서버(200)에 의해 판독되고 기록되며, 그에 따라, 이 정보는 미래의 네트워크 접근 요청 이벤트뿐만 아니라 진행중인 물리적 접근 요청 이벤트에도 사용될 수 있다. 통합된 접근 제어 서버(200)는, 단계 383에서 지시되는 바와 같이, 단계 382에서 기록된 ACD 네트워크 어드레스에 의해 식별되는, 자격 증명과 물리적 위치의 특정 조합을 위한 접근 정책을 판정한다. 그 다음, 결과적인 용인 또는 거부 응답이 네트워킹된 접근 제어 디바이스에 전송되는데; 자격 증명이 유효하고 정책이 대응되는 리소스 ACD 디바이스를 통한 접근을 승인한다고 가정하면, 사용자는 설비로 입장 또는 접근할 수 있다.
그 다음, 사용자는 컴퓨터(151)나 다른 네트워크 부착형 통신 또는 컴퓨팅 디바이스에 도달한다. 이러한 예를 위해, PC는 비교적 근접하게 위치하거나 단계 381 내지 단계 383에서 사용되는 ACD의 물리적 접근 제어하에 있다. 그 다음, 사용자는 네트워크에 로그온하기를 원한다. 이러한 로그온 요청은 네트워크 인프라스트럭처 디바이스(155) 및 통합된 접근 제어 서버(200)에 의해 수신된다(단계 384).
단계 385는, 사용자가 소정 네트워크 포트(예를 들어, 단계 381 내지 단계 384에서 사용되는 물리적 ACD와 동일한 일반적인 물리적 영역에 배치된 스위치와 같은 특정 네트워크 인프라스트럭처 디바이스상의 특정 포트 접속)에서 네트워크로의 접근을 요청할 때 발생한다. 이러한 초기 로그인 요청은 통합된 접근 제어 서버(200)에 송신된다. 서버(200)는 자격 증명의 검증에 기초해 컴퓨터를 위한 연관된 접근 제어 정책을 실행한다. 좀더 구체적으로, 서버(200)는, 사용자가 현재 위치로부터 네트워크에 접근하도록 인가되는지를 검증한다. 사용자가 설비에 위치하는 것이 인가되지 않거나 또는 특정 설비에서의 소정 컴퓨터 리소스에 접근하는 것이 인가되지 않으면, 접근은 거부될 수 있고, 경보 또는 경고가 보안 요원에게 발행될 수 있다. 정책이 접근을 허용하는 것이라면, 사용자는 네트워킹된 컴퓨터 리소스에 접근하는 것이 용인된다. 그 다음, 서버(200)는, 단계 386에서 지시되는 바와 같이, (스위치와 같은) 네트워크 인프라스트럭처 디바이스에게 이 컴퓨터를 위한 네트워크 정책을 다운로드할 것을 요청할 수 있다. 따라서, 본 발명은 물리적 영역에서의 이벤트와 기업 네트워크 리소스에서 발생하는 이벤트의 상관(correlation)을 그리고 그 반대를 가능하게 한다.
일부 경우에서는, 다른 설비에서의 네트워크 접근 및 물리적 접근을 지원하고 제어하는 상이한 통합된 접근 제어 서버에 사용자 프로파일을 전송하는 것이 필요할 수도 있다. 사용자 프로파일은, 예를 들어, 사용자가 상이한 설비를 방문중인 경우에 전송될 수 있다. 본 발명은, 사용자/직원 속성의 공통 데이터베이스를 조작하는 통합된 정책 기반의 네트워크 및 물리적 구내 접근 서버를 구현한다. 네트워크 보안 서버(159) 및 물리적 보안 서버(121)는 간단하게 사용자의 프로파일을 업데이트하고, 그에 따라, 그들의 개인적인 선호도는 설비내의 사이트에서 사이트로 사용자를 뒤따른다. 이 사양은, 예를 들어, 사용자 위치 및 사용자가 그 장소에 머무르는 동안 사용할 내선 번호에 기초한 VoIP 통신 시스템 데이터베이스의 구성 업데이트를 허용한다.
도 10은 다양한 별도의 물리적 접근 및 네트워크 접근 정책(402 및 406)과 리스트(404 및 408)를 제어하기 위한 통합된 접근 정책 엔진(400)의 사용을 예시한다. 통합된 접근 정책 엔진(400)의 일부인 통합된 정책 엔진(410)은 물리적 접근 정책 및 이벤트를 네트워크 정책 및 이벤트에 결부시키는 리스트 및 정책을 위한 통합 포인트로서 기능한다. 통합 정책 엔진(410) 및 통합된 접근 정책 엔진(400)은, 물리적 접근 리스트 또는 정책이 네트워크 접근 제어 리스트 및 정책과 논리적으로 일치하지 않을 때, 사전 정의된 디폴트 정책을 제공할 수도 있다. 통합된 접근 정책 엔진(400)은 설비 접근 또는 네트워크 접속형 디바이스에 대한 이벤트 또는 이벤트들의 조합에 응답하여 정책 기반 명령어를 발생시켜 물리적 보안 시스템(200)뿐만 아니라 프레임/패킷 네트워크(204)에 전송하고, 그에 따라, 접근 제어 및 네트워크 접속형 디바이스는 특정 액션을 수행한다. 통합된 접근 정책 엔진(400)은 물리적 설비 또는 네트워크 리소스에 접근하기 위한 모든 시도를 로그하고, 각각의 또는 임의의 접근 시도에 응답하여, 정책 기반 명령어를 구현한다. 통합된 접근 정책 엔진(400)은, 시스템이 다중 설비 및 다중 네트워크에 이르는 경우라 하더라도, 시스템 전체에 걸쳐 네트워크 리소스 및 접근 제어 이벤트를 모니터링하기 위해 별도의 관리국과 통신할 수도 있다.
자격 증명 및 정책의 리스트가, 일부 실시예에서는, 라우터, 스위치, 및 접근점 뿐만 아니라 다목적 서버와 같은, 그러나 엄격하게 그것으로 제한되는 것은 아닌, 네트워크 인프라스트럭처 디바이스에 상주하며 통합될 수 있다는 것에 주의해야 한다.
엔진(410)은, 통합된 물리적 접근 및 네트워크 접근 제어 서버 또는 유사한 플랫폼에 대해 구현되고, 조정되며, 응답 명령어를 제공하는 소정 엔티티 또는 엔티티들의 그룹으로부터의 네트워크 기반 리소스 접근 요청 또는 이벤트와 물리적 리소스 접근 요청 또는 이벤트를 연관짓는 정책을 구현할 수 있다. 이 정책은, 네트워크 리소스의 이벤트 또는 접근에 결부될 수 있는 물리적 영역의 이벤트를 상관짓고 특정하며, 그 반대일 수도 있다. 물리적 리소스 접근 요청 또는 이벤트를 소정 엔티티 또는 엔티티의 그룹으로부터의 네트워크 기반 리소스 접근 요청 또는 이벤트와 연관짓는 정책이 통합된 물리적 접근 및 네트워크 접근 정책 서버 또는 유사한 플랫폼에 대해 구현될 수 있고, 조정될 수 있으며, 응답 명령어가 제공될 수 있다.
본 발명은 자격 증명(패스워드, 지문, 배지 등을 통한 고유성 확립)에 의해 정의되고, 조건(정책)의 특정 세트에 기초해 물리적 또는 네트워크 설비/리소스로의 접근이 허용되는, 인가된 엔티티를 포함하고 있는 공통 리스트 및/또는 테이블 또는 리스트/테이블의 동기화된 세트를 가능하게 한다는 것에 주의해야 한다. 리스트 및/또는 테이블의 동기화된 세트는, 자격 증명(패스워드, 지문, 배지 등을 통한 고유성 확립)에 의해 정의되고, 조건(정책)의 특정 세트뿐만 아니라, 인가시에 조명, 냉난방 등과 같은, 그러나 그것으로 제한되는 것은 아닌, 특정된 다른 물리적 리소스 파라미터를 변경하기 위한 명령어들에 기초해 물리적 또는 네트워크 설비/리소스에 접근하는 것이 허용되는 인가된 엔티티를 포함한다. 대안적으로, 리스트 및/또는 테이블의 분산된 공통 세트는, 자격 증명(패스워드, 지문, 배지 등을 통한 고유성 확립)에 의해 정의되고, 조건(정책)의 특정된 세트뿐만 아니라, 인가시에 조명, 냉난방 등과 같은, 그러나 그것으로 제한되는 것은 아닌, 특정된 다른 물리적 리소스 파라미터를 변경하기 위한 명령어들에 기초해 물리적 또는 네트워크 설비/리소스에 접근하는 것이 허용되는 인가된 엔티티를 포함한다.
정책 엔진(410)을 갖는 서버(400)는 프레임 및/또는 패킷 기반 네트워크로의 접속을 통해 그리고 프레임 및/또는 패킷 기반 네트워크상의 통신을 통해 물리적 및/또는 네트워크 설비/리소스에 접근하기 위한 접근 제어 정책(예를 들어, 리스트)을 수집하고, 유지 보수하며, 분산하기 위한 역량을 더 포함한다. 또한, 그것은, 자격 증명 검증 및 정책 판정을 요구하면서, 물리적 및 네트워크 기반 리소스 중 어느 하나로부터 또는 양자로부터 접근 요청 또는 이벤트 요청을 수신 및/또는 검출하기 위한 역량도 포함한다. 더 나아가, 그의 정책 엔진(410)을 갖는 서 버(400)는, 소정 이벤트(들)에 기초해 정책 기반 응답을 발생시키고, 대응되는 사전 정의된 액션을 위해 다른 디바이스에 전송하는 물리적 및/또는 네트워크 접근 제어 정책을 구현하고, 규약하며, 실행하기 위한 역량(정책 집행기(policy enforcer))을 포함한다. 인가된 직원들은 자격 증명 및 정책을 생성할 수 있고, 접근 제어 시스템 디바이스를 구성할 수 있으며, 안전한 관리국에서 접근 제어 시스템을 관리할 수 있는데, 이러한 역량은 적합한 컴퓨터 소프트웨어 코드, 테이블, 및 리스트로 프로그램되어 서버(400)에서 실행될 수도 있다.
본 발명은 그것에 관한 특정 실시예에 관하여 설명되었지만, 이 실시예는 본 발명을 한정하는 것이 아니라 단지 예시일 뿐이다. 여기에서의 설명에서는, 본 발명의 실시예에 대한 완전한 이해를 제공하기 위해, 컴포넌트 및/또는 방법의 예와 같은, 특정 세부 사항이 제공된다. 그러나, 통상의 기술자라면, 본 발명의 실시예가 특정 세부 사항 중 하나 이상이 없이 또는 다른 장치, 시스템, 어셈블리, 방법, 컴포넌트, 재료, 부분, 및/또는 기타로써 실시될 수 있다는 것을 알 수 있을 것이다. 다른 경우로서, 주지의 구조, 재료, 또는 동작은 본 발명의 실시예에 대한 양태를 불명료하게 하는 것을 방지하기 위해 구체적으로 도시되거나 상세하게 설명되지 않는다.
이 명세서 전체에 걸쳐 "일 실시예", "실시예", 또는 "특정 실시예"에 대한 참조는, 실시예와 관련하여 설명된 특정 사양, 구조, 또는 특징이 본 발명의 적어도 하나의 실시예에 포함된다는 것과 반드시 모든 실시예에 포함될 필요는 없다는 것을 의미한다. 그에 따라, 이 명세서 전체에 걸친 다양한 위치에서의 "일 실시예 에서", "실시예에서", 또는 "특정 실시예에서"라는 문구의 각각의 등장이 반드시 동일한 실시예를 의미할 필요는 없다. 더 나아가, 본 발명의 임의의 특정 실시예에 대한 특정 사양, 구조, 또는 특징은 하나 이상의 다른 실시예와 적당한 임의 방식으로 조합될 수도 있다. 여기에서 설명되고 예시된 본 발명의 실시예에 대한 다른 변경 및 변형이, 여기에서의 교시에 비추어, 가능할 수 있고, 그것은 본 발명의 정신 및 범위의 일부로서 고려되어야 한다는 것을 이해해야 한다.
일반적으로, 본 발명의 기능은 업계에 공지되어 있는 임의 수단에 의해 실현될 수 있다. 통합된 접근 제어 서버는 독립형 서버 또는, 서버 또는 네트워크 인프라스트럭처 디바이스와 같은, 공유 플랫폼에 상주하는 다른 컴퓨팅 디바이스 또는 엔진일 수도 있다는 것을 알 수 있을 것이다. 또한, 특정 애플리케이션에 따라 유용한 바와 같이, 그림/도면에서 묘사된 구성 요소 중 하나 이상이 좀더 분리된 또는 좀더 통합된 방식으로 구현될 수 있거나, 소정 경우에서는 심지어 제거되거나 동작 불가능하게 될 수 있다는 것도 알 수 있을 것이다.
추가적으로, 그림/도면에서의 임의의 신호 화살표는, 구체적으로 그와 다르게 지적되지 않는다면, 한정이 아닌, 일례로써 고려되어야 한다. 더 나아가, 여기에서 사용되는 바와 같은 "또는"이라는 용어는, 다르게 지시되지 않는다면, 일반적으로 "및/또는"을 의미하려는 것이다. 컴포넌트 또는 단계의 조합 또한 주목되는 것으로 고려될 것인데, 이 경우, 분리 또는 조합하는 능력을 렌더링하는 것은 불분명하므로, 전문 술어가 예견된다.
여기에서의 설명 및 다음에 오는 청구항 전체에 걸쳐 사용되는 바와 같이, 관사("a", "an", 및 "the")는, 분명히 다르게 기술하지 않는 한, 복수개 참조를 포함한다. 또한, 여기에서의 설명 및 다음에 오는 청구항 전체에서 사용되는 바와 같이, "in"의 의미는, 문맥이 분명히 다르게 기술하지 않는 한, "in" 및 "on"을 포함한다.
요약서에서 설명되는 것을 포함하는, 본 발명의 예시된 실시예에 대한 상기 설명이 본 발명을 여기에서 개시된 정확한 형태로 총망라하거나 제한하려는 것은 아니다. 본 발명의 특정 실시예 및 본 발명을 위한 예가 여기에서는 예시적 목적만을 위해 설명되지만, 통상의 기술자라면 알 수 있고 이해할 수 있는 바와 같이, 본 발명의 정신 및 범위내에서 다양한 등가 변경이 가능하다. 지시되는 바와 같이, 이러한 변경은 본 발명의 예시된 실시예에 대한 상기 설명을 고려하여 본 발명에 대해 이루어질 수 있고, 본 발명의 정신 및 범위내에 포함되어야 한다.
그에 따라, 본 발명이 여기에서는 그것에 관한 특정 실시예를 참조하여 설명되었지만, 변경의 폭, 다양한 변화, 및 대체가 상기 설명서에서 의도되며, 일부 경우에서, 본 발명의 실시예의 일부 사양은, 기술되는 본 발명의 범위 및 정신을 벗어나지 않으면서, 다른 사양의 대응되는 사용없이 이용될 것이라는 것을 이해할 수 있을 것이다. 따라서, 본 발명의 본질적인 범위 및 정신을 위한 특정 상황 또는 재료에 대한 다수 변경이 이루어질 수도 있다. 본 발명이 다음의 청구항에서 사용되는 특정 용어 및/또는 이 발명을 실행하기 위한 최선 모드로서 개시된 특정 실시예로 제한되지는 않지만, 본 발명은 첨부된 청구항의 범위내에 해당되는 임의의 그리고 모든 실시예 및 등가물을 포함할 것이 의도된다.

Claims (20)

  1. 접근 제어 시스템으로서,
    접근 요청들에 대한 자격 증명들(credentials)을 수신할 수 있는 복수의 디바이스 - 상기 복수의 디바이스는 물리적 설비(facility)로의 접근을 제공하기 위한 물리적 설비 디바이스 및 네트워크 리소스로의 접근을 제공하기 위한 네트워크 리소스 디바이스를 포함하고, 상기 물리적 설비 디바이스는 상기 물리적 설비로의 접근을 위한 자격 증명을 갖는 제1 접근 요청을 수신하도록 구성되고, 상기 네트워크 리소스 디바이스는 상기 네트워크 리소스로의 접근을 위한 자격 증명을 갖는 접근 요청을 수신하도록 구성되고, 상기 물리적 설비 디바이스 및 상기 네트워크 리소스 디바이스는 상기 자격 증명들의 확인을 미루고(defer) 상기 자격 증명들을 포함하는 접근 요청들을 생성 및 송신함 -; 및
    상기 자격 증명들을 포함하는 접근 요청들을 수신하도록 구성되고, 자격 증명들에 의해 정의되며, 지정된 특정 기준 또는 정책(policy)에 기초해 상기 물리적 설비 및 상기 네트워크 리소스에 접근하는 것이 허용되는, 인가된 엔티티들을 포함하는 리스트에 접근하는 서버 - 상기 서버는 상기 물리적 설비 디바이스 및 상기 네트워크 리소스 디바이스 둘 다에 의해 제출되는 자격 증명들을 검증하고 상기 물리적 설비 디바이스 및 상기 네트워크 리소스 디바이스를 이용하여 상기 정책들을 분산시키고 구현하기 위한 명령들을 발행하도록 구성되고, 상기 서버는 상기 물리적 설비에 접근하기 위한 상기 물리적 설비 디바이스 및 상기 네트워크 리소스에 접근하기 위한 상기 네트워크 리소스 디바이스 둘 다로부터 수신된 접근 요청들에서 수신된 자격 증명들의 최초의 검증자가 되도록 구성됨 -
    를 포함하고,
    상기 물리적 설비 디바이스는 상기 접근 요청에서 송신된 상기 자격 증명의 자격 증명 검증에 관한 명령을 상기 서버로부터 수신하고, 상기 명령에 기초하여 접근을 시행하고, 상기 서버는 상기 물리적 설비 디바이스에서 접근을 시행하기 위한 상기 자격 증명의 최초의 검증자이고,
    상기 네트워크 리소스 디바이스는 상기 접근 요청에서 송신된 상기 자격 증명의 자격 증명 검증에 관한 명령을 상기 서버로부터 수신하고, 상기 명령에 기초하여 접근을 시행하고, 상기 서버는 상기 네트워크 리소스 디바이스에서 접근을 시행하기 위한 상기 자격 증명의 최초의 검증자인 접근 제어 시스템.
  2. 제1항에 있어서,
    상기 리스트는 리스트들의 동기화된 세트인 접근 제어 시스템.
  3. 제1항에 있어서,
    상기 리스트는 리스트들의 분산된 공통 세트인 접근 제어 시스템.
  4. 제1항에 있어서,
    상기 디바이스들은 물리적 접근 제어 디바이스들, 네트워크-접속형 디바이스들, 또는 물리적 접근 제어 디바이스들 및 네트워크-접속형 디바이스들 양자를 포함하고, 상기 리스트는 물리적 리소스 파라미터들 및 네트워크 접근 파라미터들을 변경하기 위한 명령어들을 발행하기 위한 정책을 더 포함하고 있는 접근 제어 시스템.
  5. 제4항에 있어서,
    상기 물리적 리소스 파라미터들은 조명, 난방, 및 냉방을 포함하는 접근 제어 시스템.
  6. 제4항에 있어서,
    상기 서버는 또한, 이벤트 또는 이벤트들의 조합에 응답해 정책 기반 명령어들을 발생시켜 상기 네트워크 접속형 디바이스들에 전송하여, 상기 네트워크 접속형 디바이스들이 대응하는 사전 정의된 액션을 수행하도록 하는 접근 제어 시스템.
  7. 제1항에 있어서,
    상기 서버는 물리적 설비들 및 네트워크 리소스들로의 접근을 위한 접근 제어 정책들을 수집하고, 유지 보수하며, 분산하기(distribute) 위한 수단을 포함하는 접근 제어 시스템.
  8. 제1항에 있어서,
    프레임 기반 네트워크를 더 포함하는 접근 제어 시스템.
  9. 제1항에 있어서,
    패킷 기반 네트워크를 더 포함하는 접근 제어 시스템.
  10. 제1항에 있어서,
    물리적 설비 및 네트워크 리소스에 접근하기 위한 시도들을 로그(log)하기 위한 통합된 서버 및 관리국을 더 포함하는 접근 제어 시스템.
  11. 제10항에 있어서,
    각각의 접근 시도에 응답하여 정책 기반 명령어들을 로그하기 위한 수단을 더 포함하는 접근 제어 시스템.
  12. 제10항에 있어서,
    네트워크 리소스들 및 접근 제어 이벤트들을 모니터링하기 위한 수단을 더 포함하는 접근 제어 시스템.
  13. 제10항에 있어서,
    다중 설비들 및 다중 네트워크들로의 사용자 접근을 조정하기 위한 접근 정책을 구현하기 위한 수단을 더 포함하는 접근 제어 시스템.
  14. 제1항에 있어서,
    상기 리스트 및 정책들은 네트워크 인프라스트럭처 디바이스(network infrastructure device)에 통합되는 접근 제어 시스템.
  15. 서버에서 물리적 설비들 및 네트워크 리소스들을 위한 접근 제어 정책들을 구현하기 위한 방법으로서,
    엔티티 또는 엔티티들의 그룹을 위한 정책들을 정의하는 단계;
    물리적 리소스 디바이스로부터 물리적 리소스 접근 요청에 대한 제1 자격 증명 검증 요청을 수신하는 단계 - 상기 제1 자격 증명 검증 요청은 제1 자격 증명들을 포함하고, 상기 제1 자격 증명 검증 요청은 물리적 설비 디바이스로부터 상기 서버로 상기 제1 자격 증명들의 확인을 미룸 -;
    네트워크 기반 리소스 디바이스로부터 네트워크 기반 리소스 접근 요청에 대한 제2 자격 증명 검증 요청을 수신하는 단계 - 상기 제2 자격 증명 검증 요청은 제2 자격 증명들을 포함하고, 상기 제2 자격 증명 검증 요청은 상기 물리적 설비 디바이스로부터 상기 서버로 상기 제2 자격 증명들의 확인을 미룸 -;
    상기 서버에서, 상기 정책들 내의 정책에 기초하여 상기 제1 자격 증명 검증 요청을 검증하는 단계 - 상기 검증하는 단계는 상기 제1 자격 증명들의 최초의 검증자인 상기 서버에 의해 행해짐 -;
    상기 서버에서, 상기 정책들 내의 정책에 기초하여 상기 제2 자격 증명 검증 요청을 검증하는 단계 - 상기 검증하는 단계는 상기 제2 자격 증명들의 최초의 검증자인 상기 서버에 의해 행해짐 -;
    상기 제1 자격 증명 검증 요청의 검증에 기초하여 상기 물리적 리소스 디바이스에게 상기 제1 자격 증명 검증 요청에 대한 제1 응답을 송신하는 단계 - 상기 제1 응답은 상기 물리적 리소스 디바이스로 하여금 상기 제1 응답에 기초하여 접근을 시행할 수 있게 함 -; 및
    상기 제2 자격 증명 검증 요청의 검증에 기초하여 상기 네트워크 기반 리소스 디바이스에게 상기 제2 자격 증명 검증 요청에 대한 제2 응답을 송신하는 단계 - 상기 제2 응답은 상기 네트워크 기반 리소스 디바이스로 하여금 상기 제2 응답에 기초하여 접근을 시행할 수 있게 함 -
    를 포함하는 접근 제어 정책 구현 방법.
  16. 제15항에 있어서,
    상기 정책들은 물리적 영역에서의 이벤트들을 네트워크 리소스들의 이벤트들 또는 접근과 상관짓고(correlating) 특정하는 것에 의해 정의되는 접근 제어 정책 구현 방법.
  17. 제15항에 있어서,
    물리적 리소스 접근 요청들 또는 이벤트들을 소정 엔티티 또는 엔티티들의 그룹으로부터의 네트워크 기반 리소스 접근 요청들 또는 이벤트들과 연관짓는 단계를 더 포함하는 접근 제어 정책 구현 방법.
  18. 제17항에 있어서,
    상기 네트워크 리소스들로의 접근을 물리적 영역에서의 이벤트들과 상관짓고 특정하는 단계를 더 포함하는 접근 제어 정책 구현 방법.
  19. 서버에서 물리적 및 네트워크 기반 자산들(assets)로의 접근을 관리하는 방법으로서,
    물리적 설비들 및 네트워크 리소스들로의 접근 권한들을 정의하는 사용자 자격 증명들을 갖는 통합 리스트를 제공하는 단계 - 상기 통합 리스트는 네트워크 리소스들 및 물리적 설비들로의 접근 권한들을 정의하는 사용자 정보를 더 포함함 -;
    서버에서, 공통 플랫폼으로부터의 물리적 및 네트워크 기반 자산들로의 접근을 관리하는 단계 - 상기 공통 플랫폼은 상기 물리적 설비들 및 상기 네트워크 리소스들로의 접근에 대한 사용자 자격 증명들을 검증하고, 상기 서버는 상기 물리적 설비들 및 상기 네트워크 리소스들로부터 수신된 접근 요청들에서의 사용자 자격 증명들의 최초의 검증자임 -; 및
    상기 물리적 설비들 및 상기 네트워크 리소스들로 하여금 접근을 시행할 수 있게 하기 위해 상기 서버의 검증들에 기초하여 상기 물리적 설비들 및 상기 네트워크 리소스들에게 검증 응답들을 송신하는 단계 - 상기 물리적 설비들 및 상기 네트워크 리소스들은 상기 사용자 자격 증명들의 검증을 상기 서버로 미룸 -
    를 포함하는 접근 관리 방법.
  20. 물리적 설비들 및 네트워크 리소스들을 위한 접근 제어 정책들을 구현하도록 구성된 장치로서,
    하나 이상의 프로세서; 및
    상기 하나 이상의 프로세서에 의한 실행을 위해 하나 이상의 유형의(tangible) 매체로 인코딩된 로직
    을 포함하고,
    상기 로직은, 실행될 때,
    엔티티 또는 엔티티들의 그룹을 위한 정책들을 정의하고;
    물리적 리소스 디바이스로부터 물리적 리소스 접근 요청에 대한 제1 자격 증명 검증 요청을 수신하고 - 상기 제1 자격 증명 검증 요청은 제1 자격 증명들을 포함하고, 상기 제1 자격 증명 검증 요청은 물리적 설비 디바이스로부터 상기 장치로 상기 제1 자격 증명들의 확인을 미룸 -;
    네트워크 기반 리소스 디바이스로부터 네트워크 기반 리소스 접근 요청에 대한 제2 자격 증명 검증 요청을 수신하고 - 상기 제2 자격 증명 검증 요청은 제2 자격 증명들을 포함하고, 상기 제2 자격 증명 검증 요청은 상기 물리적 설비 디바이스로부터 상기 장치로 상기 제2 자격 증명들의 확인을 미룸 -;
    상기 정책들 내의 정책에 기초하여 상기 제1 자격 증명 검증 요청을 검증하고 - 상기 검증하는 것은 상기 제1 자격 증명들의 최초의 검증자인 상기 장치에 의해 행해짐 -;
    상기 정책들 내의 정책에 기초하여 상기 제2 자격 증명 검증 요청을 검증하고 - 상기 검증하는 것은 상기 제2 자격 증명들의 최초의 검증자인 상기 장치에 의해 행해짐 -;
    상기 제1 자격 증명 검증 요청의 검증에 기초하여 상기 물리적 리소스 디바이스에게 상기 제1 자격 증명 검증 요청에 대한 제1 응답을 송신하고 - 상기 제1 응답은 상기 물리적 리소스 디바이스로 하여금 상기 제1 응답에 기초하여 접근을 시행할 수 있게 함 -; 및
    상기 제2 자격 증명 검증 요청의 검증에 기초하여 상기 네트워크 기반 리소스 디바이스에게 상기 제2 자격 증명 검증 요청에 대한 제2 응답을 송신하도록 - 상기 제2 응답은 상기 네트워크 기반 리소스 디바이스로 하여금 상기 제2 응답에 기초하여 접근을 시행할 수 있게 함 -
    동작가능한 접근 제어 정책 구현 장치.
KR1020087012611A 2005-10-26 2006-10-19 통합된 네트워크 및 물리적 구내 접근 제어 서버 KR101314445B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/260,532 2005-10-26
US11/260,532 US7437755B2 (en) 2005-10-26 2005-10-26 Unified network and physical premises access control server
PCT/US2006/041201 WO2007050481A2 (en) 2005-10-26 2006-10-19 Unified network and physical premises access control server

Publications (2)

Publication Number Publication Date
KR20080065299A KR20080065299A (ko) 2008-07-11
KR101314445B1 true KR101314445B1 (ko) 2013-11-21

Family

ID=37968422

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020087012611A KR101314445B1 (ko) 2005-10-26 2006-10-19 통합된 네트워크 및 물리적 구내 접근 제어 서버

Country Status (6)

Country Link
US (1) US7437755B2 (ko)
EP (1) EP1941383A4 (ko)
JP (1) JP5129148B2 (ko)
KR (1) KR101314445B1 (ko)
CN (1) CN101297282B (ko)
WO (1) WO2007050481A2 (ko)

Families Citing this family (256)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6940998B2 (en) * 2000-02-04 2005-09-06 Cernium, Inc. System for automated screening of security cameras
US7650058B1 (en) 2001-11-08 2010-01-19 Cernium Corporation Object selective video recording
US6658091B1 (en) 2002-02-01 2003-12-02 @Security Broadband Corp. LIfestyle multimedia security system
US7530112B2 (en) * 2003-09-10 2009-05-05 Cisco Technology, Inc. Method and apparatus for providing network security using role-based access control
US7836490B2 (en) 2003-10-29 2010-11-16 Cisco Technology, Inc. Method and apparatus for providing network security using security labeling
US10142392B2 (en) 2007-01-24 2018-11-27 Icontrol Networks, Inc. Methods and systems for improved system performance
US11190578B2 (en) 2008-08-11 2021-11-30 Icontrol Networks, Inc. Integrated cloud system with lightweight gateway for premises automation
US10721087B2 (en) 2005-03-16 2020-07-21 Icontrol Networks, Inc. Method for networked touchscreen with integrated interfaces
US11159484B2 (en) 2004-03-16 2021-10-26 Icontrol Networks, Inc. Forming a security network including integrated security system components and network devices
US11916870B2 (en) 2004-03-16 2024-02-27 Icontrol Networks, Inc. Gateway registry methods and systems
US10237237B2 (en) 2007-06-12 2019-03-19 Icontrol Networks, Inc. Communication protocols in integrated systems
US11811845B2 (en) 2004-03-16 2023-11-07 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US20170118037A1 (en) 2008-08-11 2017-04-27 Icontrol Networks, Inc. Integrated cloud system for premises automation
US10339791B2 (en) 2007-06-12 2019-07-02 Icontrol Networks, Inc. Security network integrated with premise security system
US11113950B2 (en) 2005-03-16 2021-09-07 Icontrol Networks, Inc. Gateway integrated with premises security system
US9531593B2 (en) 2007-06-12 2016-12-27 Icontrol Networks, Inc. Takeover processes in security network integrated with premise security system
US20090077623A1 (en) 2005-03-16 2009-03-19 Marc Baum Security Network Integrating Security System and Network Devices
US9141276B2 (en) 2005-03-16 2015-09-22 Icontrol Networks, Inc. Integrated interface for mobile device
US10200504B2 (en) 2007-06-12 2019-02-05 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US10062273B2 (en) 2010-09-28 2018-08-28 Icontrol Networks, Inc. Integrated security system with parallel processing architecture
US11343380B2 (en) 2004-03-16 2022-05-24 Icontrol Networks, Inc. Premises system automation
US8635350B2 (en) 2006-06-12 2014-01-21 Icontrol Networks, Inc. IP device discovery systems and methods
US10522026B2 (en) 2008-08-11 2019-12-31 Icontrol Networks, Inc. Automation system user interface with three-dimensional display
US7711796B2 (en) 2006-06-12 2010-05-04 Icontrol Networks, Inc. Gateway registry methods and systems
US11316958B2 (en) 2008-08-11 2022-04-26 Icontrol Networks, Inc. Virtual device systems and methods
US10156959B2 (en) 2005-03-16 2018-12-18 Icontrol Networks, Inc. Cross-client sensor user interface in an integrated security network
US11368429B2 (en) 2004-03-16 2022-06-21 Icontrol Networks, Inc. Premises management configuration and control
US11277465B2 (en) 2004-03-16 2022-03-15 Icontrol Networks, Inc. Generating risk profile using data of home monitoring and security system
US11244545B2 (en) 2004-03-16 2022-02-08 Icontrol Networks, Inc. Cross-client sensor user interface in an integrated security network
US11582065B2 (en) 2007-06-12 2023-02-14 Icontrol Networks, Inc. Systems and methods for device communication
US11489812B2 (en) 2004-03-16 2022-11-01 Icontrol Networks, Inc. Forming a security network including integrated security system components and network devices
US9729342B2 (en) 2010-12-20 2017-08-08 Icontrol Networks, Inc. Defining and implementing sensor triggered response rules
US20160065414A1 (en) 2013-06-27 2016-03-03 Ken Sundermeyer Control system user interface
US20050216302A1 (en) 2004-03-16 2005-09-29 Icontrol Networks, Inc. Business method for premises management
US11201755B2 (en) 2004-03-16 2021-12-14 Icontrol Networks, Inc. Premises system management using status signal
US11677577B2 (en) 2004-03-16 2023-06-13 Icontrol Networks, Inc. Premises system management using status signal
US7669244B2 (en) 2004-10-21 2010-02-23 Cisco Technology, Inc. Method and system for generating user group permission lists
US7877796B2 (en) 2004-11-16 2011-01-25 Cisco Technology, Inc. Method and apparatus for best effort propagation of security group information
US7886145B2 (en) * 2004-11-23 2011-02-08 Cisco Technology, Inc. Method and system for including security information with a packet
US7721323B2 (en) * 2004-11-23 2010-05-18 Cisco Technology, Inc. Method and system for including network security information in a frame
US7827402B2 (en) 2004-12-01 2010-11-02 Cisco Technology, Inc. Method and apparatus for ingress filtering using security group information
US8245280B2 (en) * 2005-02-11 2012-08-14 Samsung Electronics Co., Ltd. System and method for user access control to content in a network
US20120324566A1 (en) 2005-03-16 2012-12-20 Marc Baum Takeover Processes In Security Network Integrated With Premise Security System
US20110128378A1 (en) 2005-03-16 2011-06-02 Reza Raji Modular Electronic Display Platform
US11700142B2 (en) 2005-03-16 2023-07-11 Icontrol Networks, Inc. Security network integrating security system and network devices
US10999254B2 (en) 2005-03-16 2021-05-04 Icontrol Networks, Inc. System for data routing in networks
US9306809B2 (en) 2007-06-12 2016-04-05 Icontrol Networks, Inc. Security system with networked touchscreen
US11496568B2 (en) 2005-03-16 2022-11-08 Icontrol Networks, Inc. Security system with networked touchscreen
US11615697B2 (en) 2005-03-16 2023-03-28 Icontrol Networks, Inc. Premise management systems and methods
US20170180198A1 (en) 2008-08-11 2017-06-22 Marc Baum Forming a security network including integrated security system components
JP2007004605A (ja) * 2005-06-24 2007-01-11 Brother Ind Ltd 通信システム、クライアント、サーバおよびプログラム
US8026945B2 (en) 2005-07-22 2011-09-27 Cernium Corporation Directed attention digital video recordation
US7974395B2 (en) * 2005-09-28 2011-07-05 Avaya Inc. Detection of telephone number spoofing
US8775586B2 (en) * 2005-09-29 2014-07-08 Avaya Inc. Granting privileges and sharing resources in a telecommunications system
US8452961B2 (en) * 2006-03-07 2013-05-28 Samsung Electronics Co., Ltd. Method and system for authentication between electronic devices with minimal user intervention
EP2013810A4 (en) * 2006-04-25 2012-03-28 Vetrix Llc LOGICAL AND PHYSICAL SECURITY
US7956735B2 (en) * 2006-05-15 2011-06-07 Cernium Corporation Automated, remotely-verified alarm system with intrusion and video surveillance and digital video recording
US20070288487A1 (en) * 2006-06-08 2007-12-13 Samsung Electronics Co., Ltd. Method and system for access control to consumer electronics devices in a network
US7827275B2 (en) * 2006-06-08 2010-11-02 Samsung Electronics Co., Ltd. Method and system for remotely accessing devices in a network
US10079839B1 (en) 2007-06-12 2018-09-18 Icontrol Networks, Inc. Activation of gateway device
US8429708B1 (en) * 2006-06-23 2013-04-23 Sanjay Tandon Method and system for assessing cumulative access entitlements of an entity in a system
US8326296B1 (en) 2006-07-12 2012-12-04 At&T Intellectual Property I, L.P. Pico-cell extension for cellular network
US20080031259A1 (en) * 2006-08-01 2008-02-07 Sbc Knowledge Ventures, Lp Method and system for replicating traffic at a data link layer of a router
US8549588B2 (en) * 2006-09-06 2013-10-01 Devicescape Software, Inc. Systems and methods for obtaining network access
US8191124B2 (en) * 2006-09-06 2012-05-29 Devicescape Software, Inc. Systems and methods for acquiring network credentials
US8194589B2 (en) * 2006-09-06 2012-06-05 Devicescape Software, Inc. Systems and methods for wireless network selection based on attributes stored in a network database
US8196188B2 (en) * 2006-09-06 2012-06-05 Devicescape Software, Inc. Systems and methods for providing network credentials
US8554830B2 (en) * 2006-09-06 2013-10-08 Devicescape Software, Inc. Systems and methods for wireless network selection
US9326138B2 (en) * 2006-09-06 2016-04-26 Devicescape Software, Inc. Systems and methods for determining location over a network
US8743778B2 (en) * 2006-09-06 2014-06-03 Devicescape Software, Inc. Systems and methods for obtaining network credentials
US20080068183A1 (en) * 2006-09-15 2008-03-20 Diamant John R Methods and apparatus for accessing, or providing access to, user-configurable or different response policies for different duress codes
JP4229163B2 (ja) * 2006-09-27 2009-02-25 ブラザー工業株式会社 情報処理装置およびプログラム
US8341405B2 (en) * 2006-09-28 2012-12-25 Microsoft Corporation Access management in an off-premise environment
US20080104393A1 (en) * 2006-09-28 2008-05-01 Microsoft Corporation Cloud-based access control list
US11706279B2 (en) 2007-01-24 2023-07-18 Icontrol Networks, Inc. Methods and systems for data communication
US7633385B2 (en) 2007-02-28 2009-12-15 Ucontrol, Inc. Method and system for communicating with and controlling an alarm system from a remote server
US8136147B2 (en) * 2007-04-16 2012-03-13 International Business Machines Corporation Privilege management
US8451986B2 (en) 2007-04-23 2013-05-28 Icontrol Networks, Inc. Method and system for automatically providing alternate network access for telecommunications
US8549584B2 (en) * 2007-04-25 2013-10-01 Cisco Technology, Inc. Physical security triggered dynamic network authentication and authorization
US20090133111A1 (en) * 2007-05-03 2009-05-21 Evans Security Solutions, Llc System for centralizing personal identification verification and access control
US8365256B2 (en) * 2007-05-22 2013-01-29 Cisco Technology, Inc. Authentication server with link state monitor and credential cache
FR2916557A1 (fr) * 2007-05-24 2008-11-28 Frederic Alexandre Glaubert Dispositif electronique de securite,servant a la surveillance et a la protection en continu et temps reel de tous types d'equipements informatiques et en particulier des ordinateurs portables et fixe.
US11212192B2 (en) 2007-06-12 2021-12-28 Icontrol Networks, Inc. Communication protocols in integrated systems
US11089122B2 (en) 2007-06-12 2021-08-10 Icontrol Networks, Inc. Controlling data routing among networks
US11423756B2 (en) 2007-06-12 2022-08-23 Icontrol Networks, Inc. Communication protocols in integrated systems
US11218878B2 (en) 2007-06-12 2022-01-04 Icontrol Networks, Inc. Communication protocols in integrated systems
US11237714B2 (en) 2007-06-12 2022-02-01 Control Networks, Inc. Control system user interface
US11646907B2 (en) 2007-06-12 2023-05-09 Icontrol Networks, Inc. Communication protocols in integrated systems
US11601810B2 (en) 2007-06-12 2023-03-07 Icontrol Networks, Inc. Communication protocols in integrated systems
US10666523B2 (en) 2007-06-12 2020-05-26 Icontrol Networks, Inc. Communication protocols in integrated systems
US12003387B2 (en) 2012-06-27 2024-06-04 Comcast Cable Communications, Llc Control system user interface
US10523689B2 (en) 2007-06-12 2019-12-31 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US11316753B2 (en) 2007-06-12 2022-04-26 Icontrol Networks, Inc. Communication protocols in integrated systems
US10616075B2 (en) 2007-06-12 2020-04-07 Icontrol Networks, Inc. Communication protocols in integrated systems
EP2174310A4 (en) 2007-07-16 2013-08-21 Cernium Corp DEVICE AND METHOD FOR VERIFYING VIDEO ALARMS
US7840708B2 (en) * 2007-08-13 2010-11-23 Cisco Technology, Inc. Method and system for the assignment of security group information using a proxy
US11831462B2 (en) 2007-08-24 2023-11-28 Icontrol Networks, Inc. Controlling data routing in premises management systems
US8239922B2 (en) * 2007-08-27 2012-08-07 Honeywell International Inc. Remote HVAC control with user privilege setup
US8819763B1 (en) * 2007-10-05 2014-08-26 Xceedium, Inc. Dynamic access policies
US20090119762A1 (en) * 2007-11-06 2009-05-07 Cisco Technology, Inc. WLAN Access Integration with Physical Access Control System
US20090228963A1 (en) * 2007-11-26 2009-09-10 Nortel Networks Limited Context-based network security
US8204273B2 (en) * 2007-11-29 2012-06-19 Cernium Corporation Systems and methods for analysis of video content, event notification, and video content provision
FR2924843A1 (fr) * 2007-12-10 2009-06-12 Marco Fratti Procede et dispositif pour le controle d'acces multi-facteur base sur informations contextuelles
US8620269B2 (en) * 2007-12-31 2013-12-31 Honeywell International Inc. Defining a boundary for wireless network using physical access control systems
US11916928B2 (en) 2008-01-24 2024-02-27 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US20090205018A1 (en) * 2008-02-07 2009-08-13 Ferraiolo David F Method and system for the specification and enforcement of arbitrary attribute-based access control policies
US8353005B2 (en) * 2008-02-29 2013-01-08 Microsoft Corporation Unified management policy
US20090260066A1 (en) * 2008-04-09 2009-10-15 Aspect Software Inc. Single Sign-On To Administer Target Systems with Disparate Security Models
US8645423B2 (en) * 2008-05-02 2014-02-04 Oracle International Corporation Method of partitioning a database
US8626223B2 (en) 2008-05-07 2014-01-07 At&T Mobility Ii Llc Femto cell signaling gating
US8179847B2 (en) 2008-05-13 2012-05-15 At&T Mobility Ii Llc Interactive white list prompting to share content and services associated with a femtocell
US8719420B2 (en) 2008-05-13 2014-05-06 At&T Mobility Ii Llc Administration of access lists for femtocell service
US8743776B2 (en) 2008-06-12 2014-06-03 At&T Mobility Ii Llc Point of sales and customer support for femtocell service and equipment
US20170185278A1 (en) 2008-08-11 2017-06-29 Icontrol Networks, Inc. Automation system user interface
US7970931B2 (en) * 2008-06-26 2011-06-28 Microsoft Corporation Policy-based routing in a multi-homed computer
US20100011432A1 (en) * 2008-07-08 2010-01-14 Microsoft Corporation Automatically distributed network protection
US8013730B2 (en) * 2008-07-29 2011-09-06 Honeywell International Inc. Customization of personal emergency features for security systems
US7917616B2 (en) * 2008-08-08 2011-03-29 Microsoft Corporation Secure resource name resolution
US8429715B2 (en) 2008-08-08 2013-04-23 Microsoft Corporation Secure resource name resolution using a cache
US11258625B2 (en) 2008-08-11 2022-02-22 Icontrol Networks, Inc. Mobile premises automation platform
US11792036B2 (en) 2008-08-11 2023-10-17 Icontrol Networks, Inc. Mobile premises automation platform
US11729255B2 (en) 2008-08-11 2023-08-15 Icontrol Networks, Inc. Integrated cloud system with lightweight gateway for premises automation
US11758026B2 (en) 2008-08-11 2023-09-12 Icontrol Networks, Inc. Virtual device systems and methods
US20100077208A1 (en) * 2008-09-19 2010-03-25 Microsoft Corporation Certificate based authentication for online services
US20100077467A1 (en) * 2008-09-19 2010-03-25 Microsoft Corporation Authentication service for seamless application operation
CN101378358B (zh) * 2008-09-19 2010-12-15 成都市华为赛门铁克科技有限公司 一种实现安全接入控制的方法及系统、服务器
WO2010045249A1 (en) * 2008-10-13 2010-04-22 Devicescape Software, Inc. Systems and methods for identifying a network
US20100263022A1 (en) * 2008-10-13 2010-10-14 Devicescape Software, Inc. Systems and Methods for Enhanced Smartclient Support
US20100115624A1 (en) * 2008-11-05 2010-05-06 Appsware Wireless, Llc Method and system for securing data from a point of sale device over a lan
US8966610B2 (en) * 2008-11-05 2015-02-24 Apriva, Llc Method and system for securing data from a non-point of sale device over an external network
US20100115600A1 (en) * 2008-11-05 2010-05-06 Appsware Wireless, Llc Method and system for securing data from an external network to a point of sale device
US20100115599A1 (en) * 2008-11-05 2010-05-06 Appsware Wireless, Llc Method and system for securing data from a point of sale device over an external network
US20100115127A1 (en) * 2008-11-05 2010-05-06 Appsware Wireless, Llc Method and system for securing data from a non-point of sale device over a lan
US9215467B2 (en) 2008-11-17 2015-12-15 Checkvideo Llc Analytics-modulated coding of surveillance video
WO2010080821A1 (en) * 2009-01-06 2010-07-15 Vetrix, Llc Integrated physical and logical security management via a portable device
US20100262688A1 (en) * 2009-01-21 2010-10-14 Daniar Hussain Systems, methods, and devices for detecting security vulnerabilities in ip networks
JP5243283B2 (ja) * 2009-01-28 2013-07-24 株式会社オービック システム利用時間管理装置、システム利用時間管理方法およびシステム利用時間管理プログラム
US10818119B2 (en) * 2009-02-10 2020-10-27 Yikes Llc Radio frequency antenna and system for presence sensing and monitoring
WO2010102176A1 (en) 2009-03-06 2010-09-10 Vetrix, Llc Systems and methods for mobile tracking, communications and alerting
US9602499B2 (en) * 2009-04-07 2017-03-21 F-Secure Corporation Authenticating a node in a communication network
US8571261B2 (en) * 2009-04-22 2013-10-29 Checkvideo Llc System and method for motion detection in a surveillance video
US8638211B2 (en) 2009-04-30 2014-01-28 Icontrol Networks, Inc. Configurable controller and interface for home SMA, phone and multimedia
US9112879B2 (en) * 2009-05-12 2015-08-18 Hewlett-Packard Development Company, L.P. Location determined network access
US7690032B1 (en) 2009-05-22 2010-03-30 Daon Holdings Limited Method and system for confirming the identity of a user
EP2446347A4 (en) * 2009-06-24 2013-11-13 Devicescape Software Inc SYSTEMS AND METHODS FOR OBTAINING NETWORK PERMISSIONS
US9081958B2 (en) * 2009-08-13 2015-07-14 Symantec Corporation Using confidence about user intent in a reputation system
US8621654B2 (en) * 2009-09-15 2013-12-31 Symantec Corporation Using metadata in security tokens to prevent coordinated gaming in a reputation system
CN101674268A (zh) * 2009-09-25 2010-03-17 中兴通讯股份有限公司 接入因特网控制装置及其方法、网关
US8325033B2 (en) * 2009-09-25 2012-12-04 At&T Intellectual Property I, L.P. Systems and methods for remote building security and automation
US20110234829A1 (en) * 2009-10-06 2011-09-29 Nikhil Gagvani Methods, systems and apparatus to configure an imaging device
US8510801B2 (en) * 2009-10-15 2013-08-13 At&T Intellectual Property I, L.P. Management of access to service in an access point
US8443418B2 (en) 2010-04-06 2013-05-14 Samsung Electronics Co., Ltd Method and apparatus for managing remote access authority in UpnP remote access service
AU2011250886A1 (en) 2010-05-10 2013-01-10 Icontrol Networks, Inc Control system user interface
US20120044050A1 (en) * 2010-08-23 2012-02-23 Samir Vig Smart Doorbell Security System and Method to Identify Visitors
WO2012035697A1 (ja) 2010-09-17 2012-03-22 パナソニック株式会社 基地局及び通信システム
US8836467B1 (en) 2010-09-28 2014-09-16 Icontrol Networks, Inc. Method, system and apparatus for automated reporting of account and sensor zone information to a central station
JP2012108643A (ja) * 2010-11-16 2012-06-07 Nec Computertechno Ltd コンピュータ制御システム、コンピュータ、制御方法、及び制御プログラム
US8438185B2 (en) * 2010-11-17 2013-05-07 Hitachi, Ltd. File storage apparatus and access control method
US8854177B2 (en) * 2010-12-02 2014-10-07 Viscount Security Systems Inc. System, method and database for managing permissions to use physical devices and logical assets
US8836470B2 (en) * 2010-12-02 2014-09-16 Viscount Security Systems Inc. System and method for interfacing facility access with control
US11750414B2 (en) 2010-12-16 2023-09-05 Icontrol Networks, Inc. Bidirectional security sensor communication for a premises security system
KR20120068611A (ko) * 2010-12-17 2012-06-27 한국전자통신연구원 공간 연동을 통한 보안 상황 인지와 상황 정보 생성 장치 및 방법
US9147337B2 (en) 2010-12-17 2015-09-29 Icontrol Networks, Inc. Method and system for logging security event data
US9208332B2 (en) * 2010-12-24 2015-12-08 Microsoft Technology Licensing, Llc Scoped resource authorization policies
US20120169457A1 (en) * 2010-12-31 2012-07-05 Schneider Electric Buildings Ab Method and system for dynamically assigning access rights
WO2012112607A1 (en) 2011-02-14 2012-08-23 Devicescape Software, Inc. Systems and methods for network curation
US20120218075A1 (en) * 2011-02-28 2012-08-30 Thomas Casey Hill Methods and apparatus to control access
US8671073B2 (en) * 2011-03-23 2014-03-11 Verizon Patent And Licensing Inc. Synchronizing human resource database with authorization database
US9047715B2 (en) * 2011-08-02 2015-06-02 Ecredentials, Inc. System and method for credential management and administration
US8528101B1 (en) * 2011-09-20 2013-09-03 Amazon Technologies, Inc. Integrated physical security control system for computing resources
TWI477117B (zh) * 2011-10-06 2015-03-11 Av Tech Corp 網路連線狀態檢測系統及其方法
US9143530B2 (en) 2011-10-11 2015-09-22 Citrix Systems, Inc. Secure container for protecting enterprise data on a mobile device
US9280377B2 (en) 2013-03-29 2016-03-08 Citrix Systems, Inc. Application with multiple operation modes
US20140032733A1 (en) 2011-10-11 2014-01-30 Citrix Systems, Inc. Policy-Based Application Management
US8756655B2 (en) 2012-07-13 2014-06-17 International Business Machines Corporation Integrated physical access control and information technology (IT) security
US9253179B2 (en) 2012-07-13 2016-02-02 International Business Machines Corporation Managing security restrictions on a resource in a defined environment
US8984641B2 (en) * 2012-10-10 2015-03-17 Honeywell International Inc. Field device having tamper attempt reporting
US9774658B2 (en) 2012-10-12 2017-09-26 Citrix Systems, Inc. Orchestration framework for connected devices
US9392077B2 (en) 2012-10-12 2016-07-12 Citrix Systems, Inc. Coordinating a computing activity across applications and devices having multiple operation modes in an orchestration framework for connected devices
US20140109176A1 (en) 2012-10-15 2014-04-17 Citrix Systems, Inc. Configuring and providing profiles that manage execution of mobile applications
US8910239B2 (en) 2012-10-15 2014-12-09 Citrix Systems, Inc. Providing virtualized private network tunnels
US9971585B2 (en) 2012-10-16 2018-05-15 Citrix Systems, Inc. Wrapping unmanaged applications on a mobile device
WO2014062804A1 (en) 2012-10-16 2014-04-24 Citrix Systems, Inc. Application wrapping for application management framework
US9606774B2 (en) 2012-10-16 2017-03-28 Citrix Systems, Inc. Wrapping an application with field-programmable business logic
US20140108793A1 (en) 2012-10-16 2014-04-17 Citrix Systems, Inc. Controlling mobile device access to secure data
US9565194B2 (en) * 2012-10-19 2017-02-07 Mcafee, Inc. Utilizing a social graph for network access and admission control
JP2016507838A (ja) * 2013-01-30 2016-03-10 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. 電子制御システム及び設備制御システムの統合制御
US10284627B2 (en) 2013-03-29 2019-05-07 Citrix Systems, Inc. Data management for an application with multiple operation modes
US9355223B2 (en) 2013-03-29 2016-05-31 Citrix Systems, Inc. Providing a managed browser
US9413736B2 (en) 2013-03-29 2016-08-09 Citrix Systems, Inc. Providing an enterprise application store
US9985850B2 (en) 2013-03-29 2018-05-29 Citrix Systems, Inc. Providing mobile device management functionalities
US9509719B2 (en) 2013-04-02 2016-11-29 Avigilon Analytics Corporation Self-provisioning access control
JP6053646B2 (ja) * 2013-09-11 2016-12-27 三菱電機株式会社 監視装置及び情報処理システム及び監視方法及びプログラム
JP2015072654A (ja) * 2013-10-04 2015-04-16 富士ゼロックス株式会社 情報処理装置及び情報処理プログラム
US10154026B2 (en) * 2013-10-15 2018-12-11 Microsoft Technology Licensing, Llc Secure remote modification of device credentials using device-generated credentials
US9105000B1 (en) * 2013-12-10 2015-08-11 Palantir Technologies Inc. Aggregating data from a plurality of data sources
CN113203168A (zh) 2013-12-11 2021-08-03 霍尼韦尔国际公司 建筑物自动化控制系统
SG2013096227A (en) * 2013-12-26 2015-07-30 Certis Cisco Security Pte Ltd An integrated access control and identity management system
WO2015130744A1 (en) * 2014-02-28 2015-09-03 Tyco Fire & Security Gmbh Correlation of sensory inputs to identify unauthorized persons
US10152864B2 (en) 2014-02-28 2018-12-11 Tyco Fire & Security Gmbh Distributed rules engines for robust sensor networks
US11405463B2 (en) 2014-03-03 2022-08-02 Icontrol Networks, Inc. Media content management
US11146637B2 (en) 2014-03-03 2021-10-12 Icontrol Networks, Inc. Media content management
US9870460B2 (en) * 2014-06-02 2018-01-16 Schlage Lock Company Llc Systems and methods for a credential including multiple access privileges
US20160020955A1 (en) * 2014-07-16 2016-01-21 Larry Bunch, JR. Policy Governed Software Agent System & Method of Operation
US9520008B2 (en) * 2014-09-26 2016-12-13 Tyco Safety Products Canada Ltd. Auto enrollment for configuring access control systems
US20170316215A1 (en) * 2014-10-24 2017-11-02 Carrier Corporation Policy-based auditing of static permissions for physical access control
US9609022B2 (en) * 2014-12-10 2017-03-28 Sybase, Inc. Context based dynamically switching device configuration
US11615199B1 (en) * 2014-12-31 2023-03-28 Idemia Identity & Security USA LLC User authentication for digital identifications
GB2538697A (en) * 2015-03-24 2016-11-30 Idgateway Ltd Systems and methods for controlling access of assets to security restricted areas within an airport
US10397233B2 (en) * 2015-04-20 2019-08-27 Bomgar Corporation Method and apparatus for credential handling
KR101572111B1 (ko) * 2015-07-01 2015-11-27 주식회사 이노스코리아 랜덤하면서 유일한 코드를 생성하는 전자 장치 및 방법
US10277713B2 (en) 2015-07-14 2019-04-30 Cisco Technology, Inc. Role-based access to shared resources
US10404714B1 (en) * 2015-08-11 2019-09-03 Schweitzer Engineering Laboratories, Inc. Policy-managed physical access authentication
US9799155B2 (en) * 2015-11-20 2017-10-24 Bohnas LLC Tracking and access system
WO2017142970A1 (en) * 2016-02-16 2017-08-24 Illumio, Inc. Enforcing label-based rules on a per-user basis in a distributed network management system
EP3208777A1 (en) * 2016-02-16 2017-08-23 ILESO Engineering GmbH Control panel, use, and process for the manufacture thereof
WO2017205715A1 (en) * 2016-05-27 2017-11-30 Wandering WiFi LLC Transparently connecting mobile devices to multiple wireless local area networks
CN110114541B (zh) 2016-10-19 2021-08-13 多玛凯拔美国股份有限公司 电子机械锁芯
CN106507359A (zh) * 2016-11-16 2017-03-15 广东浪潮大数据研究有限公司 一种限定上网的方法、路由器和系统
US11054166B2 (en) 2016-12-01 2021-07-06 Carrier Corporation Environmental conditioning system and method for conditioning environment of occupiable region
WO2018201121A1 (en) * 2017-04-28 2018-11-01 Cherry Labs, Inc. Computer vision based monitoring system and method
KR101858530B1 (ko) * 2017-07-14 2018-05-17 주식회사 코리아세븐 무인 점포 시스템, 그의 제어 방법 및 컴퓨터 프로그램, 무인 계산 장치
WO2019014775A1 (en) * 2017-07-21 2019-01-24 Bioconnect Inc. BIOMETRIC ACCESS SECURITY PLATFORM
EP3679207B1 (en) 2017-09-08 2022-08-03 Dormakaba USA Inc. Electro-mechanical lock core
EP3525498B1 (en) * 2018-02-08 2022-04-20 Sony Group Corporation Electronic devices, systems and methods for vehicular communication
CA3094398A1 (en) 2018-03-19 2019-09-26 Simpello Llc System and method for detecting presence within a strictly defined wireless zone
US11425115B2 (en) 2018-03-27 2022-08-23 Workday, Inc. Identifying revoked credentials
US11531783B2 (en) 2018-03-27 2022-12-20 Workday, Inc. Digital credentials for step-up authentication
US11700117B2 (en) 2018-03-27 2023-07-11 Workday, Inc. System for credential storage and verification
US11522713B2 (en) 2018-03-27 2022-12-06 Workday, Inc. Digital credentials for secondary factor authentication
US11770261B2 (en) 2018-03-27 2023-09-26 Workday, Inc. Digital credentials for user device authentication
US11627000B2 (en) 2018-03-27 2023-04-11 Workday, Inc. Digital credentials for employee badging
US11716320B2 (en) 2018-03-27 2023-08-01 Workday, Inc. Digital credentials for primary factor authentication
US11698979B2 (en) 2018-03-27 2023-07-11 Workday, Inc. Digital credentials for access to sensitive data
US11641278B2 (en) 2018-03-27 2023-05-02 Workday, Inc. Digital credential authentication
US11683177B2 (en) 2018-03-27 2023-06-20 Workday, Inc. Digital credentials for location aware check in
US11792180B2 (en) 2018-03-27 2023-10-17 Workday, Inc. Digital credentials for visitor network access
US11792181B2 (en) 2018-03-27 2023-10-17 Workday, Inc. Digital credentials as guest check-in for physical building access
US11466473B2 (en) 2018-04-13 2022-10-11 Dormakaba Usa Inc Electro-mechanical lock core
WO2019200257A1 (en) 2018-04-13 2019-10-17 Dormakaba Usa Inc. Electro-mechanical lock core
US10867061B2 (en) 2018-09-28 2020-12-15 Todd R. Collart System for authorizing rendering of objects in three-dimensional spaces
WO2020176876A1 (en) * 2019-02-28 2020-09-03 Jpmorgan Chase Bank, N.A. Method for controlling and provisioning resource access
US11743265B2 (en) * 2019-03-24 2023-08-29 Zero Networks Ltd. Method and system for delegating control in network connection access rules using multi-factor authentication (MFA)
EP3716224B1 (en) * 2019-03-27 2023-10-25 Carrier Corporation System and method for providing secure access
KR102190268B1 (ko) * 2019-06-17 2020-12-11 세종대학교산학협력단 이종 사물인터넷 플랫폼을 위한 보안 상호운용성 지원 접근 제어 프레임워크
US11443036B2 (en) * 2019-07-30 2022-09-13 Hewlett Packard Enterprise Development Lp Facial recognition based security by a management controller
US11244058B2 (en) 2019-09-18 2022-02-08 Bank Of America Corporation Security tool
US10952077B1 (en) * 2019-09-30 2021-03-16 Schlage Lock Company Llc Technologies for access control communications
CN110866243B (zh) * 2019-10-25 2022-11-22 北京达佳互联信息技术有限公司 登录权限校验方法、装置、服务器及存储介质
CN111241519B (zh) * 2020-01-19 2022-07-26 北京工业大学 基于证书的访问控制系统和方法
US11282317B1 (en) 2020-03-18 2022-03-22 GoTek, LLC System and methods for access control
US11106825B1 (en) 2020-11-10 2021-08-31 Netskope, Inc. Predetermined credential system for remote administrative operating system (OS) authorization and policy control
CN112511569B (zh) * 2021-02-07 2021-05-11 杭州筋斗腾云科技有限公司 网络资源访问请求的处理方法、系统及计算机设备
US20220385481A1 (en) * 2021-06-01 2022-12-01 International Business Machines Corporation Certificate-based multi-factor authentication
US20230370452A1 (en) * 2022-05-12 2023-11-16 Microsoft Technology Licensing, Llc Networked device security posture management
US20230370334A1 (en) * 2022-05-12 2023-11-16 Microsoft Technology Licensing, Llc Networked device discovery and management

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030023874A1 (en) * 2001-07-16 2003-01-30 Rudy Prokupets System for integrating security and access for facilities and information systems
JP2004326580A (ja) * 2003-04-25 2004-11-18 Mitsubishi Electric Corp 認証方法および認証システム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5987611A (en) * 1996-12-31 1999-11-16 Zone Labs, Inc. System and methodology for managing internet access on a per application basis for client computers connected to the internet
WO2000078004A2 (en) * 1999-06-10 2000-12-21 Alcatel Internetworking, Inc. Policy based network architecture
US20020078372A1 (en) 2000-09-08 2002-06-20 Gaspare Aluzzo Systems and methods for protecting information on a computer by integrating building security and computer security functions
JP2002233228A (ja) * 2001-02-09 2002-08-20 Kawasaki Engineering Inc 走行体の扛上手段を具えた乗用式茶園管理機
US20030005326A1 (en) * 2001-06-29 2003-01-02 Todd Flemming Method and system for implementing a security application services provider
JP2004246553A (ja) * 2003-02-13 2004-09-02 Mitsubishi Electric Corp 管理機器及び管理システム及び管理方法及び管理プログラム
US7526541B2 (en) * 2003-07-29 2009-04-28 Enterasys Networks, Inc. System and method for dynamic network policy management
JP4665406B2 (ja) * 2004-02-23 2011-04-06 日本電気株式会社 アクセス制御管理方法、アクセス制御管理システムおよびアクセス制御管理機能付き端末装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030023874A1 (en) * 2001-07-16 2003-01-30 Rudy Prokupets System for integrating security and access for facilities and information systems
JP2004326580A (ja) * 2003-04-25 2004-11-18 Mitsubishi Electric Corp 認証方法および認証システム

Also Published As

Publication number Publication date
JP5129148B2 (ja) 2013-01-23
US20070094716A1 (en) 2007-04-26
JP2009514100A (ja) 2009-04-02
EP1941383A2 (en) 2008-07-09
EP1941383A4 (en) 2011-06-22
WO2007050481A2 (en) 2007-05-03
KR20080065299A (ko) 2008-07-11
US7437755B2 (en) 2008-10-14
WO2007050481A3 (en) 2007-11-22
CN101297282A (zh) 2008-10-29
CN101297282B (zh) 2011-10-26

Similar Documents

Publication Publication Date Title
KR101314445B1 (ko) 통합된 네트워크 및 물리적 구내 접근 제어 서버
US8907763B2 (en) System, station and method for mustering
AU2015265782B2 (en) Method and network element for improved access to communication networks
US8620269B2 (en) Defining a boundary for wireless network using physical access control systems
US8941465B2 (en) System and method for secure entry using door tokens
US20140002236A1 (en) Door Lock, System and Method for Remotely Controlled Access
US9237139B2 (en) Controlling access to a secure resource based on user credentials and location
US8549584B2 (en) Physical security triggered dynamic network authentication and authorization
US20130214902A1 (en) Systems and methods for networks using token based location
US20140019768A1 (en) System and Method for Shunting Alarms Using Identifying Tokens
US20120297461A1 (en) System and method for reducing cyber crime in industrial control systems
US20220014388A1 (en) Virtual security guard
CN110875923B (zh) 对网络提供增强型网络访问控制的方法和系统
JP2007317027A (ja) 連携制御装置
US8780921B2 (en) Secure procedure for accessing a network and network thus protected
Salas IoTFC: A Secure and Privacy Preserving Architecture for Smart Buildings
JP2008077364A (ja) 連携制御装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160909

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170913

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180906

Year of fee payment: 6