KR101425464B1 - 승객 수송장치 제어 시스템에 대한 접근 제어 시스템 및 접근 제어 방법 - Google Patents

승객 수송장치 제어 시스템에 대한 접근 제어 시스템 및 접근 제어 방법 Download PDF

Info

Publication number
KR101425464B1
KR101425464B1 KR1020117014297A KR20117014297A KR101425464B1 KR 101425464 B1 KR101425464 B1 KR 101425464B1 KR 1020117014297 A KR1020117014297 A KR 1020117014297A KR 20117014297 A KR20117014297 A KR 20117014297A KR 101425464 B1 KR101425464 B1 KR 101425464B1
Authority
KR
South Korea
Prior art keywords
control system
passenger transport
authentication
access
verification
Prior art date
Application number
KR1020117014297A
Other languages
English (en)
Other versions
KR20110084552A (ko
Inventor
미하엘 빌케
마르틴 그렉 발터 힌다
한스-킬란 슈필바우어
도널드 에프. 코미넬리
Original Assignee
오티스 엘리베이터 컴파니
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 오티스 엘리베이터 컴파니 filed Critical 오티스 엘리베이터 컴파니
Publication of KR20110084552A publication Critical patent/KR20110084552A/ko
Application granted granted Critical
Publication of KR101425464B1 publication Critical patent/KR101425464B1/ko

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B25/00Control of escalators or moving walkways
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B1/00Control systems of elevators in general
    • B66B1/34Details, e.g. call counting devices, data transmission from car to control system, devices giving information to the control system
    • B66B1/46Adaptations of switches or switchgear
    • B66B1/468Call registering systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B1/00Control systems of elevators in general
    • B66B1/02Control systems without regulation, i.e. without retroactive action
    • B66B1/06Control systems without regulation, i.e. without retroactive action electric
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00896Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B2201/00Aspects of control systems of elevators
    • B66B2201/40Details of the change of control mode
    • B66B2201/46Switches or switchgear
    • B66B2201/4607Call registering systems
    • B66B2201/4615Wherein the destination is registered before boarding
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B2201/00Aspects of control systems of elevators
    • B66B2201/40Details of the change of control mode
    • B66B2201/46Switches or switchgear
    • B66B2201/4607Call registering systems
    • B66B2201/463Wherein the call is registered through physical contact with the elevator system
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B66HOISTING; LIFTING; HAULING
    • B66BELEVATORS; ESCALATORS OR MOVING WALKWAYS
    • B66B2201/00Aspects of control systems of elevators
    • B66B2201/40Details of the change of control mode
    • B66B2201/46Switches or switchgear
    • B66B2201/4607Call registering systems
    • B66B2201/4676Call registering systems for checking authorization of the passengers

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Control Of Conveyors (AREA)
  • Escalators And Moving Walkways (AREA)
  • Maintenance And Inspection Apparatuses For Elevators (AREA)
  • Lock And Its Accessories (AREA)

Abstract

승객 수송장치 제어 시스템(10)에 대한 접근 제어 시스템이 개시되며, 이는 - 적어도 하나의 추가 디바이스를 통해 직접적으로 또는 간접적으로 - 승객 수송장치 제어 시스템(10)과 통신하도록 적합화된 인증 증명 디바이스(14; 16; 20)를 포함하고; 상기 인증 증명 디바이스(14; 16; 20)는 중앙 처리 유닛, 및 외부 어플리케이션들에 의한 판독 및 기록 접근으로부터 보호되는 판독 보호 메모리를 가지며; 상기 인증 증명 디바이스(14; 16; 20)는 그 판독 보호 메모리에 프로그램 코드를 저장하여, 상기 승객 수송장치 제어 시스템(10)으로부터의 검증 요청에 응답하여 검증 절차를 수행하고, 상기 승객 수송장치 제어 시스템(10)으로 검증 신호를 보내고; 상기 검증 신호의 수신에 응답하여, 상기 승객 수송장치 제어 시스템(10)은 상기 승객 수송장치 제어 시스템의 특정 섹션들로의 접근, 및/또는 상기 승객 수송장치 제어 시스템(10)에서 구현되는 특정 기능들로의 접근을 선택적으로 허용하거나 거절한다.

Description

승객 수송장치 제어 시스템에 대한 접근 제어 시스템 및 접근 제어 방법{ACCESS CONTROL SYSTEM AND ACCESS CONTROL METHOD FOR A PEOPLE CONVEYOR CONTROL SYSTEM}
본 발명은 승객 수송장치 제어 시스템에 대한 접근 제어 시스템, 및 승객 수송장치 제어 시스템에 대한 접근 제어 방법에 관한 것이다.
요즘, 엘리베이터, 에스컬레이터 또는 무빙 워크웨이(moving walkway)들과 같은 승객 수송장치들의 작동은, 통상적으로 적어도 하나의 마이크로제어기, 하지만 통상적으로는 서로 통신하는 수개의 마이크로제어기들을 포함하는 전자 제어 시스템에 의해 제어되며, 주요 제어기에 의해, 또한 RAM/ROM 메모리, 인터페이스, I/O 디바이스, 버스 시스템들 등과 같은 대응하는 주변기기에 의해 제어된다. 이러한 승객 수송장치 제어 시스템들의 유지보수는 통상적으로 특정한 절차들, 및 이에 따른 수송장치 제어 시스템과의 상호작용 및 조작을 수행하도록 요구한다. 유지보수 작업들을 수행하기 위해서는, 적합한 연결기들을 통해 수송장치 제어 시스템과 통신하고 외부로부터 승객 수송장치 제어 시스템에 접근하여, 다양한 유지보수 루틴을 수행하고 수송장치 제어 시스템에 저장된 작동 파라미터들을 조작하는 외부 유지보수 툴들이 더 많이 사용된다. 외부 유지보수 툴들은 흔히 PC 기반 컴퓨터 디바이스, 예를 들어 랩톱 컴퓨터(laptop computer) 또는 팜(palm)들이다.
유지보수 목적을 위해 수송장치 제어 시스템으로의 접근을, 허가되고(qualified) 승인된 직원(authorized personnel)으로만 제한하고, 나아가 특정하게 지정된 유지보수 루틴에 대해서만 제한하는 것이 강하게 요구된다. 유지보수는 통상적으로 수송장치 제어 시스템의 소유 작동 데이터(proprietary operational data)로의 접근, 및 및 이러한 데이터의 조작을 요구하며, 이 결과 유지보수는 수송장치 제어 시스템으로의 판독 접근(read access)뿐만 아니라 판독 및 기록 접근을 모두 요구한다. 또한, 유지보수는 흔히, 매우 특별한 작업 절차[예를 들어, 새로운 디바이스들을 캘리브레이션(calibration)하거나, 브레이크와 같은 필수 디바이스(critical device)들의 성능을 테스트하기 위해, 특정 속도에서 또한 특정 이동 패턴들에서 수송장치의 시운전(test run)]들을 수행하도록 요구한다. 분명한 것은, 이러한 작업 절차들이 비-승인된 사용자들에 대해 엄격하게 접근-불가능하게 유지되어야 한다는 점이다.
적어도 이러한 기능들 및/또는 유지보수 관련 데이터에 대해 수송장치 제어 시스템으로의 접근의 부여(grant)를 제한하도록 패스워드가 사용될 수 있다(다음에서, 이러한 데이터/기능들은 유지보수 데이터/기능들로도 칭해질 것이다). 하지만, 특정 수송장치 설치들에 대해 각각 패스워드가 할당되어야 하고, 서비스 담당자들이 특정 설치에 사용될 패스워드를 기억해야 하기 때문에, 한편으로는 패스워드가 불편하다. 이는 사용될 수 있는 패스워드의 번호를 제한하며, 단순하고, 아마도 쉽게 바뀔 수 없는 비-고유한(non-unique) 패스워드의 사용을 요구한다. 이러한 패스워드를 찾아내는 것은 비교적 쉬울 것이며, 따라서 소유 제어 소프트웨어(proprietary control software)는 낮은 수준으로만 보호될 수 있다. 대안적으로, 더 복잡한 패스워드나 심지어는 암호화 키(encryption key)들이 사용될 수 있다. 효율성을 위해, 이러한 패스워드/암호화 키들은 외부 툴들과 연계하여 소정 형식으로 저장되어야 할 것이다. 하지만, PC 기반 디바이스들인 외부 툴들에 기인하여, 비-승인된 사람들이 외부 툴의 메모리로부터 이러한 패스워드/암호화 키들을 판독해내는 것이 그다지 어려운 일이 아니기 때문에, 이러한 접근법은 심각한 데이터 안전성 문제들을 유발한다. 키가 PC 기반 외부 디바이스에 저장되는 한, 유사한 문제들이 여하한의 암호화 접근법들에 적용된다.
엘리베이터의 어느 곳에(예를 들어, 제어 패널에) 제공된 대응하는 슬롯 내에 삽입될 메모리 카드들의 사용에 의해 엘리베이터 제어 시스템으로의 접근을 부여하는 것이 알려져 있다(예를 들어, EP 0 615 945 A1 참조). 수행될 유지보수 절차들에 관한 정보 및 관련 파라미터들을 저장한 메모리 카드를 삽입함으로써, 엘리베이터 제어 시스템 내에서 메모리 카드로부터 유지보수 작업을 수행하도록 관련 데이터를 판독할 수 있으며, 따라서 특정 엘리베이터 설치에서 원하는 유지보수 작업들을 제공하는데 필요한 메모리 카드를 단순히 서비스 담당자에게 건네줌으로써, 유지보수 절차들의 제어가 시행(effect)될 수 있다. 하지만, 메모리 카드를 잃어버린 경우, 그 안의 데이터는 어떤 사람이라도 엘리베이터 제어에 접근하게 할 수 있을 것이다. 더욱이, 한편에서는 이러한 메모리 카드들 상의 데이터 구조들이 비-승인된 사람들에 의해 판독될 수 있는 유효 절차들이 존재한다.
승객 수송장치의 제어 시스템으로 비-승인된 접근을 차단할 수 있는 개선된 가능성을 갖는 것이 유익할 것이다. 이러한 비-승인된 접근의 차단은 보다 안전하지만, 그럼에도 실제 사용 시에 더 많은 노력을 들이지 않는다는 점에서 특히 유익할 것이다.
본 발명의 예시적인 실시예는, - 적어도 하나의 추가 디바이스를 통해 직접적으로 또는 간접적으로 - 승객 수송장치 제어 시스템과 통신하도록 적합화된(adapted) 인증 증명 디바이스(authentication prooving device)를 포함하는 승객 수송장치 제어 시스템에 대한 접근 제어 시스템을 제공하고, 상기 인증 증명 디바이스는 중앙 처리 유닛(CPU), 및 외부 어플리케이션들에 의한 판독 및 기록 접근으로부터 보호되는 판독 보호 메모리(read protected memory)를 가지며, 상기 인증 증명 디바이스는 그 판독 보호 메모리에 프로그램 코드를 저장하여, 상기 승객 수송장치 제어 시스템으로부터의 검증 요청(verification request)에 응답하여 검증 절차를 수행하고, 상기 승객 수송장치 제어 시스템으로 검증 신호를 보내며, 상기 검증 신호의 수신에 응답하여, 상기 승객 수송장치 제어 시스템은 상기 승객 수송장치 제어 시스템의 특정 섹션(specific section)들로의 접근, 및/또는 상기 승객 수송장치 제어 시스템에서 구현되는 특정 기능들로의 접근을 선택적으로 허용하거나 거절한다.
또 다른 예시적인 실시예는 승객 수송장치 제어 시스템으로의 접근을 제어하는 방법을 제공하고, 상기 방법은: 중앙 처리 유닛(CPU), 및 외부 어플리케이션들에 의한 판독 및 기록 접근으로부터 보호되는 판독 보호 메모리를 갖는 인증 증명 디바이스를 제공하는 단계; 상기 인증 증명 디바이스의 상기 판독 보호 메모리에 프로그램 코드를 저장하여, 검증 요청에 응답하여 검증 절차를 수행하고, 검증 신호를 출력하는 단계; 상기 인증 증명 디바이스가 - 적어도 하나의 추가 디바이스를 통해 직접적으로 또는 간접적으로 - 상기 승객 수송장치 제어 시스템과 통신하는 단계; 상기 승객 수송장치 제어 시스템으로부터 상기 인증 증명 디바이스로 검증 요청을 보내는 단계; 상기 인증 증명 디바이스에서, 상기 검증 요청의 수신에 응답하여, 검증 신호를 결정하고, 상기 검증 신호를 상기 승객 수송장치 제어 시스템으로 보내는 단계; 및 상기 승객 수송장치 제어 시스템에서, 상기 검증 신호의 수신에 응답하여, 상기 승객 수송장치 제어 시스템의 특정 섹션들로의 접근, 및/또는 상기 승객 수송장치 제어 시스템에서 구현되는 특정 기능들로의 접근을 선택적으로 허용하거나 거절하는 단계를 포함한다.
이하, 첨부한 도면들을 참조하여 본 발명의 예시적인 실시예들이 더 자세히 설명될 것이다.
도 1은 승객 수송장치의 제어 시스템과 상기 수송장치 제어 시스템으로의 접근을 요청하는 외부 툴 간의 통신을 예시하는 간략화된 개략적인 블록도(이 경우, 외부 툴은 검증 절차를 수행할 수 없음);
도 2는 승객 수송장치의 제어 시스템과 상기 수송장치 제어 시스템으로의 접근을 요청하는 외부 툴 간의 통신을 예시하는 도 1과 유사한 간략화된 개략적인 블록도로, 상기 외부 툴은 패스-스루 동글 디바이스(pass-through dongle device)를 통해 수송장치 제어 시스템에 연결되고;
도 3은 승객 수송장치의 제어 시스템과 상기 수송장치 제어 시스템으로의 접근을 요청하는 외부 PC 기반 툴 간의 통신을 예시하는 도 1 및 도 2와 유사한 간략화된 개략적인 블록도로, 애드-온 동글 디바이스(add-on dongle device)가 외부 툴에 연결되며; 및
도 4는 승객 수송장치의 제어 시스템과 상기 수송장치 제어 시스템으로의 접근을 요청하는 외부 툴 간의 통신을 예시하는 도 1 내지 도 3과 유사한 간략화된 개략적인 블록도로, 상기 외부 툴은 인증 증명 디바이스를 포함한다.
모든 도면들에서, 동일하거나 대응하는 기능들을 갖는 각각의 실시예들의 구성요소들은 동일한 참조 번호들로 표시되어 있다. 다음의 설명에서, 이러한 구성요소들은 이러한 구성요소들을 포함하는 실시예들 중 하나에 대해서만 설명된다. 동일한 구성요소가 포함되어 있고 동일한 참조 번호로 표시된 다음의 각각의 실시예들에 동일한 설명이 적용된다는 것을 이해하여야 한다. 다르게 언급되어 있지 않는 한, 이는 일반적으로 이전의 각각의 실시예에서 해당 구성요소의 대응하는 설명을 참조한다.
도 1 내지 도 4 모두는 각각 승객 수송장치, 예를 들어 엘리베이터, 에스컬레이터 또는 무빙 워크웨이의 제어 시스템(10)과, 상기 수송장치 제어 시스템으로의 접근을 요청하는 외부 툴(12 또는 18), 예를 들어 유지보수 툴 간의 통신을 예시하는 간략화된 개략적인 블록도이다. 도 1 내지 도 4 모두에서, 외부 툴(12 또는 18)과 수송장치 제어 시스템(10) 사이에서 교환된 통신들은, 상기 통신들이 교환된 순서(sequence)로 번호가 매겨진 굵은 형태의 화살표들로 표시되어 있다.
도 1은, 화살표 (1)로 나타낸 바와 같이, 여하한의 인증을 필요로 하지 않는 보호되지 않는 섹션과 인증을 필요로 하는 보호되는 섹션 모두로의 접근이 요청되는 방식으로, 외부 툴(12)이 수송장치 제어 시스템(10)으로의 접근을 요청하는 경우를 나타낸다. 화살표 (2a)는 보호되지 않는 섹션으로의 접근이 수송장치 제어 시스템(10)에 의해 허용되는 것을 나타낸다. 보호되는 섹션으로의 접근이 허용되기 이전에, 수송장치 제어 시스템(10)은 검증 계산(verification calculation)을 위한 요청을 외부 툴(12)로 보낸다. 도 1의 외부 툴(12)은 요청된 검증 계산을 수행하는 여하한의 수단들을 포함하지 않기 때문에, 정확한(correct) 검증 신호를 수송장치 제어 시스템(10)으로 보낼 수 없다. 그러므로, 수송장치 제어 시스템은 화살표 (3)으로 나타낸 바와 같이 보호되는 섹션들로의 접속을 거절한다.
도 2는 도 1과 동일한 상황을 나타내지만, 도 2에서는 외부 툴(12)[마찬가지로, 수송장치 제어 시스템(10)에 의한 대응하는 요청에 응답하여 검증 계산을 수행하는 여하한의 수단들을 포함하지 않음]이 패스-스루 동글 디바이스(14)를 통해 간접적으로 수송장치 제어 시스템(10)에 연결된다. 이 패스 스루 동글 디바이스는 직렬로 연결된 (예를 들어, USB 연결장치의 형태의) 제 1 및 제 2 단자들을 갖는 "전통적인(classical)" 동글을 포함할 수 있다. 예를 들어, 스마트카드 또는 무선 통신 디바이스 형태의 패스-스루 동글(14)의 다른 실현들이 가능하다. 동글(14)은 프로세서 및 프로그램 코드를 포함하며, 이는 동글(14)로 하여금 검증 계산이 요청되는지를 나타내는 사전설정된 데이터 시퀀스의 존재에 대해 적어도 수송장치 제어 시스템(10)에 연결된 제 1 단자에서 수신된 데이터를 모니터링하게 한다. 원하는 데이터 포맷을 갖는 다른 데이터의 스트림 내에 이러한 데이터 시퀀스를 포함하고 식별하는 기술들이 알려져 있으며, 예를 들어 US 5 848 155 및 US 5 915 155에 개시된 바와 같이, 소위 "디지털 워터-마크(digital water-mark)"들이 적용될 수 있다. 사전설정된 데이터 시퀀스를 수신하지 않으면, 동글(14)은 제 1 단자에서 수신된 데이터를 변경하지 않을 것이므로, 이러한 데이터는 변경되지 않은 채로 동글(14)을 통과할 것이다. [화살표 (2b)로 나타낸 바와 같이, 검증 계산에 대한 요청을 나타내는] 사전설정된 데이터 시퀀스의 식별 시, 동글(14)은 제 1 단자로부터 제 2 단자로의 데이터 전송을 차단(interrupt)하고, 검증 신호의 계산을 초기화할 것이다[화살표 (3) 참조]. 상기 검증 신호는 제 1 단자로부터 수송장치 제어 시스템(10)으로 다시 보내질 것이다[화살표 (4) 참조]. 검증 신호의 수신 시, 수송장치 제어 시스템(10)은 인증이 성공했는지[이 경우, 이는 접근을 부여할 것임(화살표 (5) 참조)], 또는 추가 검증 계산들이 필요할 것인지[이 경우, 이는 화살표 (2b) 및 진행 화살표 (3)에 따라 검증 계산에 대한 또 다른 요청을 보낼 것이며, 화살표 (4)가 반복될 것임]를 결정한다. 접근이 부여된 후, 제어기(10)로부터 동글(14)로 전송된 데이터는 사전설정된 시퀀스를 포함하지 않음에 따라, 이러한 데이터는 변경되지 않고 동글(14)의 제 1 단자로부터 제 2 단자로 전달될 것이다. [외부 툴(12)에 연결된] 동글(14)의 제 2 단자에 의해 수신된 데이터에 대해서는, 동글(14)이 이러한 변경되지 않은 데이터를 제 1 단자로 항상 전달하는 경우, 이러한 데이터는 변경되지 않고 수송장치 제어 시스템(10)에서 수신되기에 충분하다. 원한다면, 제 1 단자에서 수신된 데이터에 대해 앞서 설명된 절차와 유사한 절차가 적용될 수 있다.
외부 툴(12)과 수송장치 제어 시스템(10) 사이에 패스-스루 동글(14)을 상호연결시킴으로써, 접근 권한의 전용 구조(dedicated structure)에 따라 제어 시스템으로의 접근의 관리를 수반하는 현대적 수송장치 제어 시스템들(10)로의 접근에 대한 장비가 기본적으로 갖춰지지 않은 여하한의 오래된 유지보수 툴들(12)이 여전히 유지보수를 제공하기 위해 사용될 수 있다. 필요하다면, 수송장치 제어 시스템(10)으로의 접근을 부여하고, 데이터 흐름을 차단하는데 필요한 절차들이 동글 디바이스(14) 내에 포함된다.
도 3은 승객 수송장치의 제어 시스템으로의 접근을 부여하는 동글 디바이스(16)의 사용의 또 다른 형태를 예시하는 도 1 및 도 2와 유사한 간략화된 개략적인 블록도를 나타낸다. 도 3에서, 외부 툴(12)은 PC 기반 툴(예를 들어, 표준 운영 시스템을 구현한 랩톱 컴퓨터)이며, 접근 권한의 관리를 구현하기 위해, 수송장치 제어 시스템(10)으로의 PC 기반 툴(12)의 연결과 상이한 단자에서 외부 PC-기반 툴(12)에 애드-온 동글 디바이스(16)가 연결된다. 도 3으로부터 알 수 있는 바와 같이, 검증 계산에 대한 요청이 PC 기반 툴(12)에 의해 수신되는 경우[화살표 (2b)], PC 기반 툴(12)은 이 요청을 애드-온 동글 디바이스(16)로 재지향(redirect)시킨다[화살표 (3)]. 검증 계산에 대한 요청의 수신 시, 애드-온 동글 디바이스(16)는 검증 신호를 계산하고[화살표 (4)], 이 검증 신호를 PC 기반 툴로 다시 보낸다[화살표 (5)]. 그 후, PC 기반 툴(12)은 상기 검증 신호를 수송장치 제어 시스템으로 재지향시킨다[화살표 (6)]. 검증 신호의 수신 후, 수송장치 제어 시스템(10)은 접근이 부여되었는지[화살표 (7)] 또는 검증 계산을 위한 추가 요청이 PC 기반 툴(12)로 보내졌는지를 결정하고, 이에 따라 화살표들 (2b), (3), (4), (5), (6)에 따른 단계들의 시퀀스를 반복한다. 이 실시예에서는, 검증 계산을 실행하는데 필요한 동글 디바이스(16)가 수송장치 제어 시스템(10)과 직접적으로 통신하는 것이 아니라 PC 기반 툴(12)과만 직접적으로 통신함에 따라, 수송장치 제어 시스템(10)으로의 PC 기반 툴(12)의 연결은 변경되지 않고 유지된다. 이는 검증 신호의 계산에 대한 요청의 식별을 위한 프로그램 코드가 애드-온 동글 디바이스(16) 내에서가 아닌 PC 기반 툴(12) 상에서 구현될 것을 요구한다. 또한, 수송장치 제어 시스템(10)은, 검증 절차가 성공적으로 완료되지 않았다면, 소유 데이터가 내보내지지 않는 방식으로 구현될 것이다[패스-스루 동글 디바이스(14)가 검증 계산을 위한 요청을 식별하는 한 여하한의 데이터의 전송을 중지할 것이기 때문에, 도 2의 실시예를 이용하면, 원칙적으로 수송장치 제어 시스템(10)이 검증 계산을 위한 요청과 함께 여하한의 소유 데이터를 보낼 수 있음을 유의한다].
또한, 도 3의 애드-온 동글 디바이스(16)는 스마트카드 형태의, 또는 여하한의 적합한 이동 통신 디바이스 형태의 "전통적인" 동글로서 구현될 수 있다.
도 4는 승객 수송장치의 제어 시스템(10)과 상기 수송장치 제어 시스템(10)으로의 접근을 요청하는 외부 툴(18) 간의 통신을 예시하는 도 1 내지 도 3과 유사한 간략화된 개략적인 블록도를 나타내며, 상기 외부 툴(18)은 내부 인증 증명 디바이스(20)를 포함한다. 상기 인증 증명 디바이스(20)는 도 2에 도시된 외부 패스-스루 동글 디바이스(14)에 대응하는 구성, 또는 도 3에 도시된 외부 애드-온 동글 디바이스(16)에 대응하는 구성을 가질 수 있다.
앞서 언급된 바와 같이, 여기에 설명된 실시예들은 승객 수송장치의 제어 시스템으로의 비-승인된 접근을 차단하게 한다. 특히, 알려진 접근법들에 대하여, 이러한 비-승인된 접근의 차단은 보다 안전할 수 있지만, 그럼에도 실제 사용 시에 더 많은 노력을 요구하지 않는다.
본 발명의 예시적인 실시예는 - 적어도 하나의 추가 디바이스를 통해 직접적으로 또는 간접적으로 - 승객 수송장치 제어 시스템과(예를 들어, 이의 I/O 섹션과) 통신하도록 적합화된 인증 증명 디바이스를 포함하는 승객 수송장치 제어 시스템에 대한 접근 제어 시스템을 제공하고, 상기 인증 증명 디바이스는 중앙 처리 유닛(CPU), 및 외부 어플리케이션들에 의한 판독 및 기록 접근으로부터 보호되는 판독 보호 메모리를 가지며, 상기 인증 증명 디바이스는 그 판독 보호 메모리에 프로그램 코드를 저장하여, 상기 승객 수송장치 제어 시스템으로부터의 검증 요청에 응답하여 검증 절차를 수행하고, 상기 승객 수송장치 제어 시스템으로 검증 신호를 보내며, 상기 검증 신호의 수신에 응답하여, 상기 승객 수송장치 제어 시스템은 상기 승객 수송장치 제어 시스템의 특정 섹션들로의 접근, 및/또는 상기 승객 수송장치 제어 시스템에서 구현되는 특정 기능들로의 접근을 선택적으로 허용하거나 거절한다.
승객 수송장치 제어 시스템의 특정 섹션들로의 접근은 수송장치 제어 시스템에 저장된 데이터를 판독하고, 및/또는 수송장치 제어 시스템 내에 데이터를 기록하며, 심지어는 기존의 데이터를 교체하는 것을 수반할 수 있다. 승객 수송장치 제어 시스템에서 구현되는 특정 기능들로의 접근은 특정 제어 루틴들을 호출하여, 이러한 루틴들이 수송장치 제어 시스템에 의해 수행되게 하는 것을 수반할 수 있다.
인증 증명 디바이스는 판독 보호 메모리를 포함할 수 있으며, 상기 메모리에는 검증 요청의 수신 시 인증 증명 디바이스가 검증 응답의 계산을 수행할 수 있는 소프트웨어 코드가 저장된다. 특히, 이 보호 메모리는 외부 어플리케이션들에 의한 여하한의 접근에 대해, 다시 말해 판독 접근뿐만 아니라 기록 접근에 대해서도 보호될 수 있다. 이와 유사하게, 인증 증명 디바이스의 CPU 또한 여하한의 외부 어플리케이션들에 의해 접근 불가능할 수 있으며, 이에 따라 보호되는 마이크로제어기 섹션을 형성한다. 예를 들어, 판독 및/또는 기록 보호 메모리 회로들 및 더욱이 OTP(one-time programmable) 메모리 회로들을 이용하고, 인증 증명 디바이스의 CPU와 보호되는 메모리 간의 통신들로 데이터 버스를 제한함으로써, 하드웨어에 의해서도 접근의 차단이 달성될 수 있다. 검증 요청의 수신, 및 계산된 검증 응답에 따른 검증 신호의 출력을 위해, 일 실시예에서는 인증 증명 디바이스에 특별 지정된 1 이상의 I/O 포트들이 제공될 수 있으며, I/O 포트들은 기능들을 잠근(lock), 다시 말해 보호되는 메모리/보호되는 마이크로제어기 섹션으로부터 및/또는 수송장치 제어 시스템으로부터 I/O 포트들에 데이터가 놓일 수 있으며, 보호되는 메모리/보호되는 마이크로제어기 섹션에 의해 및/또는 수송장치 제어 시스템에 의해 I/O 포트들로부터 데이터가 판독될 수 있지만, 이러한 데이터의 교환은 보호되는 메모리가 인증 증명 디바이스의 CPU와 통신하는 보호되는 마이크로제어기 섹션의 내부 데이터 버스와 상이한 데이터 링크들을 통해 실현된다. 당업자라면, 이러한 개념들의 다수의 다양한 실현들을 쉽게 적용할 수 있을 것이다.
일 실시예에서, 승객 수송장치 제어 시스템은 (RAM 및 ROM 섹션들을 포함하는) 적어도 하나의 판독 보호 메모리 및 CPU를 포함하는 보호되는 섹션을 갖고, 적어도 하나의 I/O 섹션, 특히 직렬 I/O 섹션 및/또는 무선 통신(예를 들어, 블루투스 또는 RFID) I/O 섹션을 갖는 적어도 하나의 마이크로제어기를 포함할 수 있다. 마이크로제어기의 보호되는 섹션은 적어도 하나의 암호 보조 처리기(cryptoprocessor), 특히 비대칭 암호 보조 처리기를 포함할 수 있다.
또 다른 실시예에서, 검증을 위한 요청은 승객 수송장치 제어 시스템으로부터의 입력 데이터를 포함할 수 있으며, 상기 입력 데이터는 승객 수송장치 제어 시스템에 대해 특정화된다(예를 들어, 수송장치 제어 시스템의 일련 번호 및 수송장치 설치를 나타낸다).
설명된 실시예들에서, 수송장치 제어 시스템은 인증 절차에 따라 외부 디바이스들 또는 외부 어플리케이션들로부터의 접근을 허용하며, 부연하면 외부 디바이스 또는 외부 어플리케이션은 특정 검증 요청에 응답하여 검증 신호를 제공해야 한다. 통상적으로, 응답 신호는 수송장치 제어 시스템에 의해 검증 요청이 제공된 특정 입력 데이터에 기초하여 계산을 수반할 것이다. 인증 증명 디바이스가 암호 보조 처리기를 포함하는 경우, 이러한 계산은 인증 증명 디바이스에서 행해질 수 있으며, 검증 요청 및 검증 신호만이, 요구된다면 암호화된 형태로, 통신되어야 할 필요가 있다. 검증 절차는 개인 및 공개 키(public key)들을 이용하여 비대칭 암호화 방식을 이용할 수 있다.
검증 요청은 외부 디바이스들 또는 외부 어플리케이션들로부터 수신된 수송장치 제어 시스템으로의 접근을 위한 요청들의 특정 부류(class)들에 따라 결정될 수 있다. 이러한 방식으로, 특정한 접근 요청에 응답하여 수송장치 제어 시스템의 다양한 섹션들에 대한 접근의 부여를 관리할 수 있다. 예를 들어, 수송장치 제어 시스템은 어떠한 검증 절차를 필요로 하지 않고 외부 디바이스들 또는 외부 어플리케이션들에 의해 제한된 접근 형태를 부여하도록 적합화될 수 있다(이러한 접근은 승객 수송장치의 통상적인 사용을 위한 접근일 수 있거나, 긴급 상황에서 수송 장치를 안전한 위치로 이동시키기 위한 접근일 수 있다). 예를 들어, 사전설정된 유지보수 절차들을 수행하거나, 수송장치의 사전설정된 추가 작동 기능들을 가능하게 하는 접근의 다른 형태들은 단지 유효 검증 신호의 수신에 응답하여야 허용될 수 있다.
본 명세서에 개시된 접근 제어 시스템 및 대응하는 접근 제어 방법의 실시예들은 엘리베이터, 에스컬레이터 또는 무빙 워크웨이들과 같은 다양한 타입의 승객 수송장치에 적용될 수 있다.
인증 증명 디바이스는 외부 디바이스, 예를 들어 이동식 유지보수 툴에 연결될 수 있으며, 이 외부 디바이스는 수송장치 제어 시스템에 접근하여 수송장치 제어 시스템에 저장된 데이터를 조작하고 및/또는 수송장치 제어 시스템에 구현된 기능들을 호출하기에 적합하게 된 물리적인 외부 디바이스이다.
본 명세서에서 사용되는 바와 같은 데이터는, 특히 승객 수송장치 시스템의 작동 파라미터들을 일컫는다. 본 명세서에서 사용되는 바와 같은 수송장치 제어 시스템의 유지보수 기능들은 운전(commissioning) 시 캘리브레이션 런(calibration run), 브레이크 성능을 테스트하는 런 등과 같이, 기본적으로 승객 수송장치의 유지보수 및 테스트 목적을 위한 특정 절차들을 수행하는 작동 루틴들을 일컬을 수 있다. 또한, 본 개시내용은 표준 작동 기능들을 넘는 승객 수송장치의 작동 기능들을 인에이블(enable)/디스에이블(disable)하는 승객 수송장치 제어 시스템의 소위 "애드-온 기능들"의 활성화 및/또는 비활성화에 적용될 수 있다.
인증 증명 디바이스는, 요구된다면 암호 보조 처리기의 도움으로, 개인 키 및 공개 키들을 이용하여 비대칭 암호화/복호화 절차를 수행하도록 적합화될 수 있다. 특히, 이 경우 인증 증명 디바이스는 적어도 하나의 공개 키에 할당된 적어도 하나의 개인 키를 그 판독 보호 메모리에 저장할 수 있다. 공개 키는 수송장치 제어 시스템에 적용할 수 있을 것이며, 예를 들어 판독 접근을 위해 엘리베이터 제어 시스템에 의해 접근가능한 인증 증명 디바이스의 메모리에 저장되거나, 엘리베이터 제어 시스템에 의해 접근가능한 - 로컬 또는 원격 - 데이터베이스에 저장된다. 이러한 비대칭 암호화/복호화 절차에서는 공개 키의 지식(knowledge)으로부터 개인 키가 추측될 수 없기 때문에, 공개 키를 보호할 필요가 없으며, 따라서 공중 네트워크(public network)를 포함한 여하한의 데이터 통신 경로를 통해 공개 키가 교환될 수 있다. 개인 키는 판독 보호 메모리에만 저장되며, 그 메모리로부터 판독될 수 없다.
또한, 인증 증명 디바이스는 승객 수송장치 제어 시스템으로부터 검증을 위한 요청에 응답하여 소위 대화형 증명(interactive proof) 인증 절차를 수행하도록 적합화될 수 있다. 대화형 증명 시스템은 두 집단, 즉 검증자(본 명세서의 경우, 수송장치 제어 시스템)와 증명자(본 명세서의 경우, 인증 증명 디바이스) 사이의 메세지 교환으로서 연산(computation)을 모델링하는 추상 기계(abstract machine)의 관점에서 이해될 수 있다. 본 명세서와 관련하여, 수송장치 제어 시스템으로의 접근을 위해 주어진 요청이 승인되었는지 여부를 확인하기 위해, 검증 요청들 및 검증 신호들을 각각 교환함으로써 수송장치 제어 시스템과 인증 증명 디바이스가 대화(interact)한다. 수송장치 제어 시스템이 접근을 위한 요청이 승인되었음을 "확인"할 때까지, 검증 요청들 및 검증 신호들은 수송장치 제어 시스템과 인증 증명 디바이스 사이에서 반복적으로 보내진다. 이러한 대화형 접근법의 특징은, 승인 목적을 위해 여하한의 패스 프레이즈(pass phrase)의 직접적인 교환이 요구되지 않는다는 점이다. 오히려, 이러한 패스 프레이즈는 인증 증명 디바이스의 판독 보호 메모리 내에 항상 유지된다.
전형적인 대화형 증명 인증 절차는 다음과 같이 진행될 수 있다: 검증 요청 시, 수송장치 제어 시스템은 인증 증명 디바이스에게 수송장치 제어 시스템에 의해 무작위로 선택된 입력 데이터에 기초하여 특정 계산을 수행하고, 이 계산의 결과를 검증 신호 내에 포함시켜 수송장치 제어 시스템으로 다시 보낼 것을 요청한다. 상기 결과가 입력 데이터 및 인증 증명 디바이스의 판독 보호 메모리에 저장된 특정 패스 프레이즈에 의존하도록, 요청된 계산이 선택된다. 상기 계산은 인증 증명 디바이스의 판독 보호 CPU 및 메모리 내에서 수행된다. 이 계산의 결과만이 검증 신호와 함께 인증 증명 디바이스로부터 수송장치 제어 시스템으로 다시 보내진다. 패스 프레이즈는 인증 증명 디바이스의 CPU/메모리의 판독 보호 섹션들 외부에 제공되지 않는다. 검증 신호를 수신한 후, 수송장치 제어 시스템은 계산의 결과가 정확한지를 검증할 수 있지만, 검증 신호로부터 패스 프레이즈를 추측할 수 없다.
계산의 난이도(difficulty)에 의존하여 이 절차를 한 번만 수행한다면, 정확한 패스 프레이즈를 알고 있지 않은 인증 증명 디바이스가 그럼에도 우연히 정확한 결과를 생성하고, 이에 따라 참이라고 간주된 검증 신호를 생성할 수 있는 가능성이 존재한다(이 경우, 거짓 승인이 유도될 것이다). 어려운 계산이 요구되는 경우에는, 이러한 우연히 정확한 결과의 가능성은 0에 가까울 수 있지만, 더 단순한 계산의 경우에는 이러한 가능성이 훨씬 더 높을 수 있다. 이전에 언급된 바와 같이, 대화형 증명 시퀀스를 여러 번(매번 무작위로 선택된 상이한 입력 파라미터들을 이용함) 반복함으로써, 계산이 반복되는 회수를 증가시킴에 따라 우연히 성공한 승인의 발생가능성이 감소할 것이다. 그러므로, 대화형 증명 시퀀스는 충분한 회수로 반복된다.
특정 실시예에서, 인증 증명 디바이스는 승객 수송장치 제어 시스템으로부터의 검증을 위한 요청에 응답하여 소위 영-지식 대화형 증명(zero knowledge interactive proof: ZKIP) 인증 절차를 수행하도록 적합화될 수 있다. 이러한 영-지식 증명 또는 영-지식 프로토콜은 대화형 절차에 의해 구현될 수 있으며, 이러한 절차에서 인증 증명 디바이스는 (통상적으로 수학적) 문장(statement)을 계산하고, 이 문장이 참인지를 증명하는 수송장치 제어 시스템으로 상기 문장을 보낸다. 상기 문장의 참 또는 거짓보다 더 많은 정보가 수송장치 제어 시스템으로 보내지지 않는다. 예를 들어, (1988년에 공개된) US 4 748 668 및 (1990년에 공개된) US 4 926 479에 개시된 바와 같이, 영-지식 대화형 증명 검증 절차들을 구현하는 몇 가지 방식이 존재하며, 이의 내용은 본 명세서에서 인용 참조된다.
앞서 설명된 바와 같은 영-지식 대화형 증명 검증 절차의 주요한 특징은, 수송장치 제어 시스템의 메모리 내에 저장된 여하한의 프로그램 코드, 및 인증 증명 디바이스의 판독 보호 메모리에 저장된 개인 시퀀스 또는 개인 암호화 키에 관한 지식이 수송장치 제어 시스템과 인증 증명 디바이스 사이에서 통신된 메세지들로부터, 특히 검증 신호로부터 추측될 수 있다는 점이다.
대안적인 또는 추가적인 방책(measure)으로서, 여하한의 다른 비대칭 암호화 방식, 예를 들어 공개 및 개인 키들에 의한 패스워드 시퀀스의 암호화 및 복호화가 고려될 수 있다.
일 실시예에서, 인증 증명 디바이스는 동글 디바이스 및/또는 스마트카드를 포함할 수 있다.
본 명세서에서 사용되는 바와 같은 동글 디바이스는, 소정의 방식으로 승객 수송장치 제어 시스템에 접속하고, 기능을 위해 승객 수송장치 제어 시스템의 특정 섹션에 요구되는 여하한의 물리적 전자 키 또는 양도가능한(transferable) ID를 가지고 있거나(carry) 생성할 수 있는 물리적 보안 디바이스를 포함할 수 있다. 본 명세서에 따른 동글 디바이스는 유선 연결(wired connection), 예를 들어 직렬 연결기를 통해, 또는 예를 들어 블루투스 또는 RFID 기술들을 이용하는 무선 연결을 통해 승객 수송장치 제어 시스템에 접속할 수 있다. 이러한 동글 디바이스들이 유선 또는 무선 네트워크를 통해 원격으로 승객 수송장치 제어 시스템에 접속하는 것도 고려될 수 있다. 이러한 네트워크는 인터넷 또는 소유 네트워크와 같은 공중 네트워크일 수 있다.
최근, 이전의 "전통적인" 동글들에 의해 제공된 기능들을 제공하는데 자신의 중앙 처리 유닛 및 메모리를 포함하는 스마트카드들이 각광을 받고 있으며, 따라서 본 명세서의 관점에서 동글 디바이스로서 간주될 수 있다. 특히, 스마트카드들로, 블루투스 또는 RFID와 같은 무선 연결 기술들이 실현될 수 있다. 스마트카드의 주요한 장점은 스마트카드당 단지 몇 센트의 가격대로 이러한 스마트카드들을 대량으로 제조할 수 있는 비용 효율적인 제조 가능성이고, 각각의 스마트카드는 판독/기록 보호 마이크로제어기에 요구되는 회로를 포함하며, 이는 대응하는 판독/기록 보호 메모리들을 포함한다. 또한, 스마트카드들의 포맷은 서비스 담당자를 사이에 배포되기에 이상적이다.
동글 디바이스들의 제공에 대해 몇몇 대안예들 또는 추가 구성요소들이 고려될 수 있다: 예를 들어, 가능한 실시예에서는, 유지보수 절차가 수행되어야 하는 경우, 유선 네트워크(인터넷 또는 소유 네트워크와 같은 공중 네트워크)를 통해 또는 이동 통신 네트워크를 통해 승객 수송장치 제어 시스템으로의 연결을 구축하는 외부 디바이스로서 중앙 서버가 제공될 수 있다. 인증 증명 디바이스는 중앙 서버 내에 통합될 수 있거나, 서버 외부의 디바이스일 수 있으며, 서버 및/또는 수송장치 제어 시스템과 통신하도록 적합화될 수 있다.
앞서 설명된 바와 같은 접근 제어 시스템은, 상이한 부류들의 서비스 담당자들에 각각 할당될 수 있는 [예를 들어, 루틴 유지보수, 업그레이드, 오버홀링(overhauling) 등의] 수송장치 제어 시스템으로의 접근의 상이한 부류들 및/또는 상이한 접근 레벨들의 세트를 정의하도록 허용한다. 특정 설치의 특정 파라미터들은 특정 유지보수 작업을 행하기 위해 접근을 가져야 하는 특정한 부류의 서비스 담당자들에 대해서만 접근가능하다. 이는 이들의 상이한 접근 레벨에 따라 또한 설치를 위해 예정된 유지보수 절차들에 따라 단지 각각의 동글 디바이스들을 서비스 담당자들에게 배포함으로써 매우 간단히 달성될 수 있다.
일 실시예에서, 인증 증명 디바이스는 일시적으로 제한된 방식으로 판독 보호 메모리에 정보 및/또는 데이터를 저장하도록 적합화될 수 있다. 한번 부여된 수송장치 제어 시스템으로의 접근 권한들이 사전설정된 시간의 경과 후에 만료될 것임에 따라, 이는 훨씬 양호한 보호를 제공한다. 또한, 이는 서비스 담당자들에 대해 접근 권한들 및 서비스 중의 설치들을 정기적으로 업데이트하도록 허용한다.
앞서 언급된 바와 같은 동글, 스마트카드 또는 다른 대안예들은 접근 권한들의 복잡한 구조에 다루기 쉽고 투명한 하드웨어 솔루션을 제공한다. 또한, 동글 및 특히 스마트 카드들은 생산 효율적이며, 따라서 비용 효율적이다.
동글 디바이스는 승객 수송장치 제어 시스템의 단자에 연결가능한 제 1 단자를 가질 수 있다. 동글 디바이스는, 예를 들어 USB-연결, 다른 적합한 직렬 연결 또는 병렬 연결을 통해 또는 스마트 카드 판독 디바이스를 통해 현지에서(on-site) 간단히 플러깅될(plugged) 수 있다. 대안적으로, 동글 디바이스는 수송장치 제어 시스템의 무선 포트, 예를 들어 블루투스 연결부와 통신할 수 있다.
또한, 동글 디바이스는 외부 디바이스, 예를 들어 PC 기반 유지보수 툴의 단자에 연결가능한 제 2 단자를 가질 수 있다.
특히, 외부 디바이스는 (통상적으로, 랩톱 컴퓨터, 또는 마이크로프로세서 및 주변 구성요소들을 포함하는 유사한 이동식 디바이스 형태의) 이동식 유지보수 툴, 예를 들어 표준 PC 구성요소들에 기초한 유지보수 툴일 수 있다. 제 2 단자는 외부 디바이스의 직렬 I/O 포트에 연결가능할 수 있다.
일 실시예에서는, 동글 디바이스의 제 1 및 제 2 단자들이 직렬로 연결될 수 있다. 이러한 방식으로, 소위 "패스 스루 동글 디바이스"가 실현된다. 이러한 "패스-스루 동글 디바이스"의 주요한 장점은, 동글 디바이스가 수송장치 제어 시스템과 유지보수 툴을 연결하는 라인에 연결된 경우, 검증 절차를 수행하고 수송장치 제어 시스템의 검증 요청에 응답하여 검증 신호를 제공하는 기능이 갖춰지지 않은 외부 디바이스들, 특히 더 오래된 유지보수 툴들이 여전히 서비스를 위해 사용될 수 있다는 점이다. 그 후, 인증 절차를 위해, 패스 스루 동글 디바이스는 유지보수 툴을 시뮬레이션하여, 수송장치 제어 시스템에 대해 이러한 상황이 인증 처리기를 포함한 유지보수 툴에 연결된 것과 동일하게 한다. 패스-스루 동글 디바이스는 외부 디바이스와 수송장치 제어 시스템 간의 다른 모든 데이터가 차단되거나 수정되는 것이 아니라, 그보다는 동글 디바이스를 지나가도록(pass-through) 구성될 수 있다.
또한, 패스-스루 동글 디바이스는 제 2 단자와 상이한 타입으로 되어 있는 제 1 단자를 가짐에 따라, 승객 수송장치 제어 시스템 및 외부 디바이스의 상이한 단자들에 부응(accommodate)할 수 있다.
대안적으로, 동글 디바이스는 제 1 단자만을 가지거나, 동글 디바이스는 병렬로 연결된 제 1 및 제 2 단자들을 갖는 것이 고려될 수 있다. 이러한 방식으로, 소위 "애드-온 동글 디바이스"가 실현될 수 있다. 또한, 이러한 애드-온 동글 디바이스는 더 오래된 유지보수 툴들과 같이 인증 절차를 수행하는 기능이 갖춰지지 않은 외부 디바이스들에 연결하는데 유용할 수 있다. 이러한 경우, 외부 디바이스는 수송장치 제어 시스템에 바로 연결될 것이며, 동글 디바이스는 외부 디바이스의 적합한 단자에 연결될 것이다. 외부 디바이스와 엘리베이터 제어 시스템 간의 직접적인 연결은 적합한 연결기들을 매개로(예를 들어, USB, 다른 직렬 연결기, 병렬 연결기를 통해) 또는 (예를 들어 블루투스, RFID를 통해) 무선으로, 또한 유선 또는 무선인 여하한의 적합한 네트워크들의 사용에 의해 원격으로도 실현될 수 있다. 이러한 네트워크들은 인터넷 또는 소유 네트워크들과 같은 공중 네트워크들일 수 있다. 외부 디바이스가 수송장치 제어 시스템으로부터 동글 디바이스로 검증 요청을 재지향할 것이고, 동글 디바이스가 수송장치 제어 시스템으로 재지향된 외부 디바이스로 검증 신호를 보낼 것임에 따라, 수송장치 제어 시스템으로 동글 디바이스의 직접적인 연결은 필수적이지 않다.
앞서 설명된 실시예들에 따른 접근 제어 시스템의 주요한 장점은, 상이한 사용자들(예를 들어, 서비스 담당자들)에게 인증 증명 디바이스들을 배포하는 방식으로, 수송장치 제어 시스템의 상이한 섹션들 및/또는 레벨들로 접근하는 다수의 상이한 접근 권한들을 제어할 수 있는 가능성이다. 이는 다수의 상이한 목적을 위해, 또한 매우 상이한 기술을 가진 사용자들, 예를 들어 서비스 담당자들을 위해 구현될 수 있다.
앞서 언급된 것과 동일한 장점들 및 가능성들을 제공하는 또 다른 특정 실시예에서는, 승객 수송장치 제어 시스템으로의 접근을 제어하는 방법이 제공되고, 상기 방법은: 중앙 처리 유닛(CPU), 및 외부 어플리케이션들에 의한 판독 및 기록 접근으로부터 보호되는 판독 보호 메모리를 갖는 인증 증명 디바이스를 제공하는 단계; 상기 인증 증명 디바이스의 상기 판독 보호 메모리에 프로그램 코드를 저장하여, 검증 요청에 응답하여 검증 절차를 수행하고, 검증 신호를 출력하는 단계; 상기 인증 증명 디바이스가 - 적어도 하나의 추가 디바이스를 통해 직접적으로 또는 간접적으로 - 상기 승객 수송장치 제어 시스템과 통신하는 단계; 상기 승객 수송장치 제어 시스템으로부터 상기 인증 증명 디바이스로 검증 요청을 보내는 단계; 상기 인증 증명 디바이스에서, 상기 검증 요청의 수신에 응답하여, 검증 신호를 결정하고, 상기 검증 신호를 상기 승객 수송장치 제어 시스템으로 보내는 단계; 및 상기 승객 수송장치 제어 시스템에서, 상기 검증 신호의 수신에 응답하여, 상기 승객 수송장치 제어 시스템의 특정 섹션들로의 접근, 및/또는 상기 승객 수송장치 제어 시스템에서 구현되는 특정 기능들로의 접근을 선택적으로 허용하거나 거절하는 단계를 포함한다.
본 발명은 예시적인 실시예들을 참조하여 설명되었지만, 당업자라면 본 발명의 범위를 벗어나지 않고 다양한 변경들이 행해질 수 있으며, 이의 요소들이 균등물로 대체될 수 있음을 이해할 것이다. 또한, 본 발명의 본질적인 범위를 벗어나지 않고 본 발명의 내용에 따라 특정 상황 또는 물질을 적합화하기 위해 다수의 변형들이 행해질 수 있다. 그러므로, 본 발명은 개시된 특정 실시예들로 제한되는 것이 아니라, 본 발명은 첨부된 청구항들의 범위에 속하는 모든 실시예들을 포함하도록 의도된다.

Claims (17)

  1. 승객 수송장치 제어 시스템(10)에 대한 접근 제어 시스템에 있어서,
    - 적어도 하나의 추가 디바이스를 통해 직접적으로 또는 간접적으로 - 승객 수송장치 제어 시스템(10)과 통신하도록 구성된 인증 증명 디바이스(authentication prooving device)(14; 16; 20)를 포함하고;
    상기 인증 증명 디바이스(14; 16; 20)는 중앙 처리 유닛, 및 외부 어플리케이션들에 의한 판독 및 기록 접근으로부터 보호되는 판독 보호 메모리(read protected memory)를 가지며;
    상기 인증 증명 디바이스(14; 16; 20)는 그 판독 보호 메모리에 프로그램 코드를 저장하여, 상기 승객 수송장치 제어 시스템(10)으로부터의 검증 요청(verification request)에 응답하여 검증 절차를 수행하고, 상기 승객 수송장치 제어 시스템(10)으로 검증 신호를 보내며;
    상기 검증 신호의 수신에 응답하여, 상기 승객 수송장치 제어 시스템(10)은 ⅰ) 상기 승객 수송장치 제어 시스템의 특정 섹션들(specific sections), 및 ⅱ) 상기 승객 수송장치 제어 시스템(10)에서 구현되는 특정 기능들 중 적어도 어느 하나로의 접근을 선택적으로 허용하거나 거절하는 접근 제어 시스템.
  2. 제 1 항에 있어서,
    상기 승객 수송장치는 엘리베이터, 에스컬레이터, 또는 무빙 워크웨이(moving walkway)인 접근 제어 시스템.
  3. 제 1 항에 있어서,
    상기 인증 증명 디바이스(14; 16; 20)는 외부 디바이스(12; 18)에 연결가능하며, 상기 외부 디바이스(12; 18)는 상기 승객 수송장치 제어 시스템(10)에 접근하고, ⅰ) 상기 승객 수송장치 제어 시스템에 저장된 데이터, 및 ⅱ) 상기 승객 수송장치 제어 시스템(10)에서 구현되는 호출 기능들 중 적어도 어느 하나를 조작하도록 구성된 접근 제어 시스템.
  4. 제 3 항에 있어서,
    상기 외부 디바이스(12; 18)는 이동식 유지보수 툴(portable maintenance tool)인 접근 제어 시스템.
  5. 제 1 항에 있어서,
    상기 인증 증명 디바이스(14; 16; 20)는 개인 키들 및 공개 키(public key)들을 이용하여 비대칭 인증 절차(asymmetric authentication procedure)를 수행하도록 구성되고, 상기 인증 증명 디바이스(14; 16; 20)는 그 판독 보호 메모리에 적어도 하나의 개인 키를 저장하는 접근 제어 시스템.
  6. 제 1 항에 있어서,
    상기 인증 증명 디바이스(14; 16; 20)는 상기 승객 수송장치 제어 시스템(10)으로부터의 검증을 위한 요청에 응답하여 대화형 증명 인증 절차(interactive proof authentication procedure)를 수행하도록 구성된 접근 제어 시스템.
  7. 제 6 항에 있어서,
    상기 인증 증명 디바이스(14; 16; 20)는 상기 승객 수송장치 제어 시스템(10)으로부터의 검증을 위한 요청에 응답하여 영-지식 대화형 증명(zero knowledge interactive proof: ZKIP) 인증 절차를 수행하도록 구성된 접근 제어 시스템.
  8. 제 1 항에 있어서,
    상기 인증 증명 디바이스(14; 16; 20)는, 사전설정된 시간의 경과 후 상기 판독 보호 메모리에 저장된 정보 및 데이터 중 적어도 어느 하나를 삭제하도록 구성된 접근 제어 시스템.
  9. 제 3 항에 있어서,
    상기 인증 증명 디바이스(14; 16)는 동글 디바이스(dongle device)를 포함하는 접근 제어 시스템.
  10. 제 9 항에 있어서,
    상기 동글 디바이스(14; 16)는 상기 승객 수송장치 제어 시스템(10)의 단자에, 또는 상기 외부 디바이스(12)의 단자에 연결가능한 제 1 단자를 갖는 접근 제어 시스템.
  11. 제 10 항에 있어서,
    상기 제 1 단자는 상기 승객 수송장치 제어 시스템(10)의 직렬 I/O 포트에, 또는 상기 외부 디바이스(12)의 직렬 I/O 포트에 연결가능한 접근 제어 시스템.
  12. 제 9 항에 있어서,
    상기 동글 디바이스(14; 16)는 상기 승객 수송장치 제어 시스템(10)의 단자에 연결가능한 제 1 단자, 및 상기 외부 디바이스(12)의 단자에 연결가능한 제 2 단자를 갖는 접근 제어 시스템.
  13. 제 12 항에 있어서,
    상기 제 2 단자는 상기 외부 디바이스(12)의 직렬 I/O 포트에 연결가능한 접근 제어 시스템.
  14. 제 12 항에 있어서,
    상기 제 1 및 제 2 단자들은 직렬로 연결되는 접근 제어 시스템.
  15. 제 12 항에 있어서,
    상기 제 1 및 제 2 단자들은 병렬로 연결되는 접근 제어 시스템.
  16. 제 3 항에 있어서,
    상기 인증 증명 디바이스(14; 16; 20) 및 상기 외부 디바이스(12; 18) 중 적어도 어느 하나는 상기 승객 수송장치 제어 시스템(10)으로부터 떨어져 위치되는 접근 제어 시스템.
  17. 승객 수송장치 제어 시스템(10)으로의 접근을 제어하는 방법에 있어서,
    중앙 처리 유닛, 및 외부 어플리케이션들에 의한 판독 및 기록 접근으로부터 보호되는 판독 보호 메모리를 갖는 인증 증명 디바이스(14; 16; 20)를 제공하는 단계;
    검증 요청에 응답하여 검증 절차를 수행하고 검증 신호를 출력하기 위하여, 상기 인증 증명 디바이스(14; 16; 20)의 상기 판독 보호 메모리에 프로그램 코드를 저장하는 단계;
    상기 인증 증명 디바이스(14; 16; 20)가 - 적어도 하나의 추가 디바이스를 통해 직접적으로 또는 간접적으로 - 상기 승객 수송장치 제어 시스템(10)과 통신하는 단계;
    상기 승객 수송장치 제어 시스템(10)으로부터 상기 인증 증명 디바이스(14; 16; 20)로 검증 요청을 보내는 단계;
    상기 인증 증명 디바이스(14; 16; 20)에서, 상기 검증 요청의 수신에 응답하여, 검증 신호를 결정하고, 상기 검증 신호를 상기 승객 수송장치 제어 시스템(10)으로 보내는 단계; 및
    상기 승객 수송장치 제어 시스템(10)에서, 상기 검증 신호의 수신에 응답하여, ⅰ) 상기 승객 수송장치 제어 시스템(10)의 특정 섹션들, 및 ⅱ) 상기 승객 수송장치 제어 시스템(10)에서 구현되는 특정 기능들 중 적어도 어느 하나로의 접근을 선택적으로 허용하거나 거절하는 단계를 포함하는 접근 제어 방법.
KR1020117014297A 2008-12-18 2008-12-18 승객 수송장치 제어 시스템에 대한 접근 제어 시스템 및 접근 제어 방법 KR101425464B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2008/010846 WO2010069347A1 (en) 2008-12-18 2008-12-18 Access control system and access control method for a people conveyor control system

Publications (2)

Publication Number Publication Date
KR20110084552A KR20110084552A (ko) 2011-07-25
KR101425464B1 true KR101425464B1 (ko) 2014-08-01

Family

ID=40933807

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020117014297A KR101425464B1 (ko) 2008-12-18 2008-12-18 승객 수송장치 제어 시스템에 대한 접근 제어 시스템 및 접근 제어 방법

Country Status (6)

Country Link
US (1) US8770350B2 (ko)
EP (1) EP2368229B1 (ko)
KR (1) KR101425464B1 (ko)
CN (1) CN102257536B (ko)
RU (1) RU2496144C2 (ko)
WO (1) WO2010069347A1 (ko)

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102666336B (zh) * 2009-12-11 2014-10-15 三菱电机株式会社 电梯系统
KR101410798B1 (ko) * 2009-12-14 2014-06-23 오티스 엘리베이터 컴파니 엘리베이터 보안 시스템
CN102712441A (zh) * 2010-01-20 2012-10-03 三菱电机株式会社 电梯组群管理系统
US9019071B1 (en) * 2011-09-06 2015-04-28 George Mallard Method and apparatus for integrating a plurality of legacy access control systems with partitionable resources
FI20116170L (fi) * 2011-11-23 2013-05-24 Kone Corp Hissijärjestelmä
IN2014DN09110A (ko) * 2012-06-22 2015-05-22 Otis Elevator Co
WO2014028004A1 (en) * 2012-08-14 2014-02-20 Otis Elevator Company Security system for elevator
AU2014323212B2 (en) * 2013-09-18 2017-07-20 Inventio Ag Method for operating an elevator control device
US9452909B2 (en) 2013-10-25 2016-09-27 Thyssenkrupp Elevator Ag Safety related elevator serial communication technology
AU2014377913B2 (en) 2014-01-16 2018-11-08 Kone Corporation Validity check of a license of a maintenance unit for accessing a controller of a passenger transportation/access device of a building
MY189922A (en) * 2014-12-02 2022-03-21 Inventio Ag Access control system with feedback to portable electronic device
CN105984763A (zh) * 2015-02-27 2016-10-05 上海三菱电梯有限公司 电梯预约和登记系统及电梯预约和登记方法
CN104751037B (zh) 2015-04-10 2018-06-12 无锡海斯凯尔医学技术有限公司 医疗检测设备的使用控制方法、系统和医疗检测设备
ES2964006T3 (es) * 2015-05-12 2024-04-03 Otis Elevator Co Método para actualizar software relacionado con la seguridad
WO2017051059A1 (en) 2015-09-21 2017-03-30 Kone Corporation Application programming interface manager
EP3290374B1 (en) 2016-08-31 2021-04-28 Inventio AG Elevator access system
CN110023223B (zh) * 2016-11-30 2021-09-28 因温特奥股份公司 配置对电梯控制系统的访问权限
WO2018134110A1 (en) 2017-01-20 2018-07-26 Inventio Ag Method and devices for authenticated controlling of safety relevant actions in a passenger transport system
US10486937B2 (en) * 2017-03-31 2019-11-26 Otis Elevator Company User management of door and elevator access control
EP3904268B1 (en) 2017-04-21 2023-08-23 Inventio Ag Elevator control system
US20190084794A1 (en) * 2017-09-20 2019-03-21 Otis Elevator Company Elevator request authorization system
US10875741B2 (en) 2017-09-29 2020-12-29 Otis Elevator Company Elevator request authorization system for a third party
AU2018356262C1 (en) 2017-10-27 2022-03-03 Inventio Ag Safety system for a building-related passenger transportation system
EP3511280B1 (en) * 2018-01-11 2022-08-24 Otis Elevator Company Rescue operation in an elevator system
US10414629B2 (en) * 2018-01-22 2019-09-17 Otis Elevator Company Mechanical system service tool
FR3079653B1 (fr) * 2018-03-29 2022-12-30 Airtag Procede de verification d'une authentification biometrique
CN110759193B (zh) * 2018-07-27 2022-10-04 奥的斯电梯公司 电梯服务请求的授权管理和授权请求
CN115515876A (zh) * 2020-05-13 2022-12-23 通力股份公司 用于输送机系统的访问解决方案
JP7151941B2 (ja) 2020-06-19 2022-10-12 三菱電機ビルソリューションズ株式会社 エレベーター制御装置、エレベーター監視システム及びエレベーター監視方法
WO2023117833A1 (en) * 2021-12-20 2023-06-29 Inventio Ag Method of deploying a safety-related software in a passenger transport installation, passenger transport installation, and safety-related software update infrastructure
EP4276045A1 (de) * 2022-05-10 2023-11-15 Inventio Ag Methode und authentifizierungs-system zur zugriffskontrolle einer schnittstelle zur wartung einer personenbeförderungseinrichtung

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001501004A (ja) 1996-09-24 2001-01-23 エリクソン オーストリア アクチェンゲゼルシャフト 電子装置をプロテクトするためのデバイス
JP2002060156A (ja) * 2000-08-22 2002-02-26 Mitsubishi Electric Building Techno Service Co Ltd エレベータのメンテンナンスシステム
JP2002356281A (ja) * 2001-05-30 2002-12-10 Hitachi Building Systems Co Ltd エレベータの制御プログラム変更システム
JP2006143361A (ja) 2004-11-17 2006-06-08 Hitachi Building Systems Co Ltd エレベーター作業支援装置

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3817484A1 (de) * 1988-05-21 1989-11-30 Thomas Prof Beth Verfahren und schaltungsanordnung zur identifikation und echtheitspruefung aller arten von spezifischen merkmalen
JPH0737306B2 (ja) * 1989-05-18 1995-04-26 三菱電機株式会社 エレベータ遠隔制御方法
FI112068B (fi) * 1992-12-22 2003-10-31 Kone Corp Kauko-ohjainliityntä hissijärjestelmään
FI93339C (fi) * 1993-03-17 1995-03-27 Kone Oy Menetelmä hissin ohjaustietojen toimittamiseksi, tallentamiseksi ja näyttämiseksi
DE19800714A1 (de) * 1998-01-09 1999-07-15 Kone Oy Verfahren zur Wartung einer Aufzugsanlage und Aufzugsanlage
US6707374B1 (en) * 1999-07-21 2004-03-16 Otis Elevator Company Elevator access security
AU6837200A (en) * 1999-08-13 2001-03-13 Fraunhofer-Gesellschaft Zur Forderung Der Angewandten Forschung E.V. Home intercom system, transport platform for an intercom system and an intelligent mains receiver for a home intercom system
ZA200101798B (en) * 2000-03-20 2001-09-11 Inventio Ag Method for operating an elevator.
JP2003201071A (ja) * 2001-11-01 2003-07-15 Inventio Ag 人もしくは物の輸送もしくはアクセス制御のためのシステム、このシステムを保守するための方法、装置およびコンピュータプログラム製品、およびこのシステムにより建物を改造する方法
RU2310597C2 (ru) 2002-03-06 2007-11-20 Валерий Иванович Корюнов Способ санкционированного доступа к управлению лифтом и система для его осуществления
ZA200307740B (en) * 2002-10-29 2004-07-02 Inventio Ag Device and method for remote maintenance of a lift.
CN100567120C (zh) * 2003-05-28 2009-12-09 因温特奥股份公司 维护电梯或自动扶梯设备的方法和装置
US8028807B2 (en) * 2004-11-09 2011-10-04 Inventio Ag Remote recording of maintenance operations for an elevator or escalator installation
FI20050130A0 (fi) * 2005-02-04 2005-02-04 Kone Corp Hissijärjestelmä
MY149287A (en) * 2005-09-30 2013-08-15 Inventio Ag Elevator installation operating method for transporting elevator users
EP1900672B1 (de) * 2006-09-12 2010-12-15 Inventio AG Verfahren zur Modernisierung der Steuerung einer Aufzugsanlage
SG141325A1 (en) 2006-09-12 2008-04-28 Inventio Ag Method for modernizing the control of an elevator system
WO2010002378A1 (en) * 2008-06-30 2010-01-07 Otis Elevator Company Security-based elevator control
IL201844A0 (en) * 2009-10-29 2010-06-16 Zweig Zvi System and method for pre-programmable elevator operation

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001501004A (ja) 1996-09-24 2001-01-23 エリクソン オーストリア アクチェンゲゼルシャフト 電子装置をプロテクトするためのデバイス
JP2002060156A (ja) * 2000-08-22 2002-02-26 Mitsubishi Electric Building Techno Service Co Ltd エレベータのメンテンナンスシステム
JP2002356281A (ja) * 2001-05-30 2002-12-10 Hitachi Building Systems Co Ltd エレベータの制御プログラム変更システム
JP2006143361A (ja) 2004-11-17 2006-06-08 Hitachi Building Systems Co Ltd エレベーター作業支援装置

Also Published As

Publication number Publication date
WO2010069347A1 (en) 2010-06-24
RU2011124771A (ru) 2013-01-27
EP2368229A1 (en) 2011-09-28
RU2496144C2 (ru) 2013-10-20
BRPI0823337A2 (pt) 2015-06-23
EP2368229B1 (en) 2019-09-11
US8770350B2 (en) 2014-07-08
CN102257536A (zh) 2011-11-23
CN102257536B (zh) 2017-08-08
KR20110084552A (ko) 2011-07-25
US20110247901A1 (en) 2011-10-13

Similar Documents

Publication Publication Date Title
KR101425464B1 (ko) 승객 수송장치 제어 시스템에 대한 접근 제어 시스템 및 접근 제어 방법
US6088450A (en) Authentication system based on periodic challenge/response protocol
US8868907B2 (en) Device, method, and system for processing communications for secure operation of industrial control system field devices
CN1770688B (zh) 用户认证系统和方法
CN100435063C (zh) 带加密协处理器的装置
EP1414216A2 (en) System and methodology providing automation security architecture in an industrial controller environment
CN108259497B (zh) 用于燃料分配器安全的系统和方法
KR20090033250A (ko) 가상 사용자 인증 시스템 및 방법
IL176378A (en) Method for activation of an access to a computer system or to a program
CN105610871B (zh) 一种基于半在线密钥的车辆出入控制系统和控制方法
US10956618B2 (en) ID token having a protected microcontroller
CN107077666B (zh) 用于对自助系统处的动作进行授权的方法和装置
CN115935318B (zh) 一种信息处理方法、装置、服务器、客户端及存储介质
WO2005119397A1 (en) Controlling access to a secure service by means of a removable security device.
JP2009251656A (ja) ユーザ認証システム、ユーザ認証方法及びプログラム
CA2655927A1 (en) Method for delegating privileges to a lower-level privilege instance by a higher-level privilege instance
WO2012121497A2 (ko) 고유식별자 기반 인증시스템 및 방법
KR100957651B1 (ko) 사용자에 대한 id 값 결정 방법 및 개인용 장치
CN111406259A (zh) 借助有轨车辆的数据处理系统提供数据技术功能的方法和系统
EP4250209B1 (en) Devices, methods and a system for secure electronic payment transactions
US20240045945A1 (en) Systems and methods for computer security
BRPI0823337B1 (pt) Sistema de controle de acesso e método para controle de acesso a um sistema de controle de transportador de pessoas
CN115314212A (zh) 用于与系统时间无关认证交互的方法、装置和火焰监测器
EP2912822B1 (en) Security-device and secure data transmission method
CN114254379A (zh) 获得对现场设备的紧急设备访问的方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170710

Year of fee payment: 4