KR20150126423A - 자가-프로비저닝 접근 제어 - Google Patents

자가-프로비저닝 접근 제어 Download PDF

Info

Publication number
KR20150126423A
KR20150126423A KR1020157031331A KR20157031331A KR20150126423A KR 20150126423 A KR20150126423 A KR 20150126423A KR 1020157031331 A KR1020157031331 A KR 1020157031331A KR 20157031331 A KR20157031331 A KR 20157031331A KR 20150126423 A KR20150126423 A KR 20150126423A
Authority
KR
South Korea
Prior art keywords
access
processor
credentials
directory
controller
Prior art date
Application number
KR1020157031331A
Other languages
English (en)
Other versions
KR102030225B1 (ko
Inventor
이. 테리 닐리
Original Assignee
9423664 캐나다 아이엔씨.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 9423664 캐나다 아이엔씨. filed Critical 9423664 캐나다 아이엔씨.
Publication of KR20150126423A publication Critical patent/KR20150126423A/ko
Application granted granted Critical
Publication of KR102030225B1 publication Critical patent/KR102030225B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00571Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/27Individual registration on entry or exit involving the use of a pass with central registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Lock And Its Accessories (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Alarm Systems (AREA)
  • Time Recorders, Dirve Recorders, Access Control (AREA)

Abstract

프로세서로 구현되는 접근 제어 방법은 접근 제어기의 디렉토리의 주기적이고 자동화된 질의를 통해 접근 제어기의 자가-프로비저닝을 허용하도록 접근 제어기를 구성하기 위해 자격증명 및 정책 디렉토리 정보를 수신하는 단계, 프로세서를 이용해, 디렉토리로부터, 접근을 요구할 수 있는 한 명 이상의 개인에 대한 자격증명 및 정책 정보를 획득하는 단계, 프로세서에 의해 접근 가능한 로컬 캐시에, 획득된 자격증명 및 정책 정보를 저장하는 단계, 프로세서에서, 개인 접근을 허용하기 위해 접근 요청을 수신하는 단계, 프로세서에 의해, 접근 요청을 캐시 내 자격증명 및 정책 정보에 비교하는 단계, 및 비교가 일치(match)를 가리킬 때, 개인의 접근을 허가하는 단계를 포함한다.

Description

자가-프로비저닝 접근 제어{SELF-PROVISIONING ACCESS CONTROL}
접근 제어 시스템(access control system)은 폐쇄된 구역, 가령, 건물, 건물 안의 방, 펜스 구역으로의 입장을 입장 권한을 갖는 자에게만로 제한할 수 있다. 현재의 접근 제어 시스템은 건물 입구 지점(즉, 문)에 있는 접근 카드 판독기를 포함한다. 건물에 입장할 권한을 갖는 개인에게 접근 카드 판독기에 의해 판독될 수 있는 접근 제어 카드가 제공된다. 접근 카드 판독기는 접근 카드로부터 정보를 획득하고 상기 정보를 제어 패널로 통신한다. 상기 제어 패널은 문이 잠금해제(unlock)되어야 하는지 여부를 결정한다. 문이 잠금해제되어야 한다면(즉, 접근 카드가 입장 권한을 갖는 개인과 연관된 경우), 제어 패널이 신호를 문 잠금 수단으로 전송하여, 상기 수단이 잠금해제되게 한다.
프로세서로 구현되는 접근 제어 방법은 접근 제어기의 디렉토리의 주기적이고 자동화된 질의를 통해 접근 제어기의 자가-프로비저닝을 허용하도록 접근 제어기를 구성하기 위해 자격증명 및 정책 디렉토리 정보를 수신하는 단계; 프로세서를 이용해, 디렉토리로부터, 접근을 요구할 수 있는 한 명 이상의 개인에 대한 자격증명 및 정책 정보를 획득하는 단계; 프로세서에 의해 접근 가능한 로컬 캐시에, 획득된 자격증명 및 정책 정보를 저장하는 단계; 프로세서에서, 개인 접근을 허용하기 위해 접근 요청을 수신하는 단계; 프로세서에 의해, 접근 요청을 캐시 내 자격증명 및 정책 정보에 비교하는 단계, 및 비교가 일치(match)를 가리킬 때, 개인의 접근을 허가하는 단계를 포함한다.
개인에 의한 구역으로의 접근을 제어하기 위한 시스템은 프로세서와 컴퓨터 판독형 저장 매체 상에서 구현되는 접근 제어기를 포함하며, 상기 접근 제어기는 프로세서에 의해 실행될 때 프로세서로 하여금: 접근 제어기에 의한 디렉토리의 주기적이고 자동화된 질의를 통한 접근 제어기의 자가-프로비저닝(self-provisioning)을 가능하게 하는 원격 디렉토리로부터의 자격증명 및 정책 디렉토리 정보, 및 상기 구역으로의 접근을 요구할 수 있는 한 명 이상의 개인에 대한 디렉토리로부터의 자격증명 및 정책 정보를 수신하도록 접근 제어기를 구성하게 하고; 프로세서에 의해 접근 가능한 로컬 캐시에, 디렉토리의 수신 획득된 자격증명 및 정책 정보와 한 명 이상의 개인의 자격증명 및 정책 정보를 저장하게 하며; 개인이 폐쇄된 구역을 접근하도록 허용하기 위한 접근 요청을 수신하게 하고; 상기 접근 요청을 상기 캐시 내 자격증명 및 정책 정보에 비교하게 하며; 비교가 일치를 가리킬 때, 개인의 폐쇄된 구역 접근을 허가하게 하도록 하는 기계 명령을 포함한다.
개인에 의한 자산으로의 접근을 제어하도록 접근 제어기를 구성하기 위한 프로세서로 구현되는 방법은, 상기 프로세서가 자산으로의 접근을 요구하는 개인에 대한 자격증명 및 정책 정보를 획득하기 위한 자격증명 및 정책 디렉토리 주소를 프로세서에 의해 수신하는 단계, 상기 자격증명 및 정책 정보에 대한 도착지 주소를 수신하는 단계, 자격증명 및 정책 정보를 획득하기 위한 주기(periodicity)를 확립하는 단계, 자산으로의 접근을 요구하는 개인에 대한 자격증명 및 정책 정보를 획득하는 단계, 및 확립된 주기로 자산으로의 접근을 요구하는 개인에 대한 자격증명 및 정책 정보를 자동 업데이트하는 단계를 포함한다.
자가-프로비저닝(self-provisioning)/자가-리포팅(self-reporting)하는 접근 제어기는 자산으로의 접근을 제어하기 위한 기계 명령을 저장하기 위한 수단, 및 기계 명령을 실행하기 위한 수단을 포함하고, 상기 기계 명령을 실행하기 위한 수단은 기계 명령을 실행하기 위한 수단을 자가-프로비저닝하기 위한 수단, 자산으로의 접근을 허가/거부하기 위한 수단, 및 자산으로의 접근의 허가 및 거부와 관련된 이벤트를 리포팅하기 위한 수단을 포함한다.
상세한 설명은 다음의 도면을 참조하며, 여기서 유사한 번호가 유사한 아이템을 지칭한다.
도 1a-1c는 예시적 접근 제어 시스템 및 이의 선택적 구성요소를 도시한다.
도 2는 도 1a-1c의 시스템과 함께 사용되는 예시적 접근 제어기의 구성요소를 도시한다.
도 3은 도 2의 접근 제어기를 통해 활성화되는 예시적 인터페이스를 도시한다.
도 4는 도 2의 접근 제어기의 예시적 접근 제어 엔진을 도시한다.
도 5a-5c는 도 1a-1c의 시스템 및 도 2의 접근 제어기의 예시적 방법을 도시하는 흐름도이다.
인가된 사람만 보호 또는 보안 구역을 접근할 수 있게 하는 것은 (가령, 공항, 군 시설, 사무실 건물 등에서) 매우 중요할 수 있다. 보호 또는 보안 구역은 물리적인 문(가령, 사람이 입장할 때 통과할 수 있는 문)과 벽으로 형성되거나, 그 밖의 다른 방식으로 가상으로 형성될 수 있다. 예를 들어, 보호 구역은, 인가되지 않은 입장에 의해 검출기가 침입을 시그널링하고 허가가 제공되지 않으면 신호 또는 소리를 전송하게 되는 구역으로 정의될 수 있다.
접근 제어 시스템은 건물, 건물의 방, 또는 펜스 구역, 또는 이들 내부의 자산 및 자원의 보호 또는 보안 구역으로의 입장을 입장 권한을 갖는 사람들로만 제한할 수 있다.
따라서 접근 제어 시스템은, 기본적으로, 보안 구역에 입장하려 시도하거나 자산에 접근하려는 사람을 식별해야 하고 상기 사람이 현재 입장 또는 접근을 인가 받았는지를 검증해야 한다. 여기서 개시된 접근 제어 시스템, 장치, 및 방법은 다음을 포함하는 임의의 접근 기술을 포함할 수 있다:
(1) 접근 지점(가령, 문)과 연관된 키 패드에 입력될 수 있는 PIN 및 패스워드를 이용하는 것,
(2) 문과 연관된 특수 판독기를 통해 사람에 의해 입력될 수 있는 생체측정치(biometric)를 이용하는 것,
(3) 문과 연관된 특수 패드를 통해 사람에 의해 제공되는 전통적인 서명을 이용하는 것,
(4) 스마트 카드 또는 비접촉식 카드를 이용하는 것(가령, 특수 판독기/수신기를 통해 PIN을 문으로 전송하는 것),
(5) 카드 판독기 또는 그 밖의 다른 수신기를 통해 "문으로 전달될 수 있는" 디지털 인증서, 가령, 스마트 카드, 비접촉식 카드, 또는 무선 장치에 저장된 것을 이용하는 것,
(6) 문 잠금 장치로 삽입되는 물리적 키를 이용하는 것 - 이러한 키/잠금 수단은 잠금 장치에서 판독되는 키 상의 특수 인코딩을 포함할 수 있다.
상기의 접근 기법의 리스트는 배타적인 것이 아니다. 덧붙여, 일부 시설은 이들 기법의 조합을 이용할 수 있다. 상기 기법은 임의의 환경, 가령, 정부 시설, 사설 사업체, 공중 시설, 및 개인의 집에서 사용될 수 있다.
상기 접근 기법들 중 일부에 대해 추가 설명을 하자면, 현재의 일부 접근 제어 시스템은 개인이 PIN 또는 패스워드를 입력하는 입장 장치, 가령, 키 패드가 구비된 문을 이용한다. 키 패드는 유효 PIN/패스워드의 리스트가 저장되는 부착된 메모리 또는 기본 프로세서를 가지며, 이로써, PIN/패스워드가 체크되어, 아직 유효한지 여부를 결정할 수 있다. PIN/패스워드가 유효한 경우, 문이 열리며, 그렇지 않은 경우, 문은 잠금 상태를 유지한다. 이러한 기본적인 접근 제어 수단은 최소한의 보안을 제공한다. 예를 들어, 고용이 종료된 사람은 더는 문을 통과할 권한이 없을 수 있지만, 자신의 PIN을 기억하고 있으면 여전히 문을 열 수 있다. 따라서 고용이 종료된 사람의 PIN을 "프로그래밍-해제(deprogram)"할 필요가 있을 것이다. 그러나 이러한 절차는, 매우 번거롭고 비쌀 수 있는데, 가령, 시설이 수백 개의 문을 가질 수 있기 때문에, 고용인이 떠날 때마다 또는 고용이 종료될 때마다 이러한 문 모두를 프로그래밍-해제하는 것이 비실용적일 수 있다.
현재의 일부 카드-기반 접근 제어 시스템은 라디오 주파수 식별(RFID) 기법을 이용한다. 접근 카드 판독기는 RFID 송수신기(transceiver)를 포함하며, 상기 접근 카드는 RFID 태그 또는 트랜스폰더(transponder)를 포함한다. 카드가 RFID 송수신기 위를 통과할 때, 상기 RFID 송수신기는 라디오 주파수(RF) 질의(query)를 카드로 전송한다. RF 트랜스폰더는 실리콘 칩, 및 카드가 RF 질의를 수신하고 응답할 수 있게 하는 안테나를 포함한다. 응답은 일반적으로 사전-프로그램(pre-program)된 신분증명(ID) 번호를 포함하는 RF 신호이다. 카드 판독기는 신호를 수신하고, 유선 또는 무선 연결을 이용해 ID 번호를 제어 패널로 전송한다. 현재의 카드 판독기는 데이터를 제어 패널로 전송하기 전에 신원증명 데이터의 일부 기본 포맷팅을 수행할 수 있지만, 일반적으로 더 높은 레벨의 기능은 수행할 수 없다.
현대의 접근 제어기는 자격증명(credential)을 프로비전(provision)/디-프로비전(de-provision)하고, 구성 정보(configuration information)를 제공하며, 트랜잭션(transaction)을 리포팅하기 위해 사설 프로토콜 및 소프트웨어에 의존한다. 이들 현재 접근 제어기의 사적인 특성이, 특정 제조업체의 제품이 선택되고 설치되면, 변경의 구현, 새 특징의 추가, 및 일반적으로 다른 기법 솔루션으로의 이동과 관련하여, 고객의 옵션을 제한한다. 접근 제어기가 RS232/485 통신으로부터 TCP/IP 네트워크 통신 매체 상으로 이동함에 따라, 사설 프로토콜이 고객에 의해 훨씬 덜 받아들여진다.
덧붙여, 물리적 보안 시스템이 조직의 정보 기술(IT) 인프라구조의 의존성을 증가시킴에 따라, IT 부서가 배치 비용 및 시간을 감소시키기 위한 옵션을 찾을 수 있다. 이는 시스템이 설치 및 통신 모두에서 표준을 따를 것을 필요로 한다. 추가 이점은 표준 및 상업적 기성품을 이용해 논리적 보안 시스템과 물리적 보안 시스템 간에 상호운용성을 제공한다.
현재의 접근 제어 시스템의 이들 및 그 밖의 다른 고질적인 문제를 극복하기 위해, 본 명세서에, 자가-프로비저닝 접근 제어기 및 관련 접근 제어 시스템 및 사용 방법이 개시된다. 본 명세서에 건물, 구조물, 및 구역으로의 물리적 접근을 제어하기 위해 사용될 수 있는 접근 제어기, 시스템, 및 방법이 개시된다. 본 명세서에 개시된 접근 제어기, 시스템, 및 방법은 기존 정보 기술(IT) 인프라구조를 이용하면서 컴퓨터 네트워크 상에 분산된 접근 제어 정책, 절차, 및 자격증명을 제공한다.
자산, 가령, 물리적 구역으로의 접근의 프로비저닝/디-프로비저닝에 추가로, 본 명세서에 개시된 접근 제어기, 시스템 및 방법이 논리적 특권(logical privilege)을 이용해 사용자/자격증명 신원 스토어를 프로비저닝하여, 논리적 자산 또는 자원, 가령, 파일, 컴퓨팅 자원, 또는 그 밖의 다른 컴퓨팅 시스템으로의 접근을 제공할 수 있다. 덧붙여, 논리적 자산 또는 자원으로의 접근은 이러한 접근을 요청하는 사람의 물리적 위치에 따라 달라질 수 있다.
접근 제어기, 제어 시스템, 및 제어 방법이 다음의 용어를 참조하여 이하에서 기재된다:
접근 제어기 - 신원 스토어에 의해 공급되는 캐싱된 데이터베이스를 기초로 접근 결정을 하기 위한 프로그램된 장치 또는 프로그램 자체. 감지 장치(카드 판독기, 누름 버튼 등)를 통해 접근 요청이 이뤄지며, 권한이 프로세싱되기 위해 로컬하게 또는 원격 신원 스토어를 참조함으로써 체크된다. 접근 요청이 승인되면, 출력 및 입력 장치/시스템(가령, 입장 문)이 접근을 허용하도록 조작된다.
문 제어기 - 접근 제어기와 통신하며 자격증명 판독기 및 연관된 입력 및 출력 하드웨어에 물리적으로(가령, 유선 또는 무선으로) 부착된 장치. 상기 문 제어기는 상태 변경 및 자격증명 판독값을 접근 제어기로 전송하고, 상기 접근 제어기로부터의 인가 응답을 기다리며, 인가 응답에 따라 부착된 입력, 출력 및 자격증명 판독기에게 명령한다.
브라우저 - 인터넷 웹 페이지에 접근 및 이를 디스플레이하도록 사용되는 소프트웨어 프로그램 또는 펌웨어이며, 현재 브라우저는 Internet Explorer, Google Chrome, Mozilla Firefox, 및 Apple Safari를 포함한다.
신원 스토어(identity store)(또는 디렉토리) - 개인에 대한 인가 및 인증 데이터, 자격증명, 자원, 및 그룹 멤버쉽을 포함하는 관계형, 계층형, 네트워킹형 또는 그 밖의 다른 아키텍처를 포함하는 데이터베이스. 신원 스토어는 보호 구역을 소유 및/또는 운영하는 개체와 다른 개체에 의해 소유되고 운영되는 시설에 위치할 수 있다.
이벤트 집성(event aggregation) - 접근 제어기 운영 중에 발생하거나 생성된 이벤트들을 저장하고 복수의 시스템으로 전달할 수 있는 접근 제어기의 능력.
하나의 실시예에서, 접근 제어기는 예를 들어 리눅스(Linux) 운영 체제를 실행하는 상업적 기성품 컴퓨터 상에서 실행할 수 있는 소프트웨어 애플리케이션이다. 컴퓨터는 데스크톱, 랙 장착형, 클라우드 기반 또는 임베디드 플랫폼, 가령, 접근 제어기를 위해 설계될 수 있다. 컴퓨터는 소프트웨어 애플리케이션을 위해 필요한 프로세서, 스토리지, 및 연결성을 제공한다. 그 밖의 다른 임의의 컴퓨터 시스템으로 소프트웨어의 임의의 설치를 필요로 하지 않고, 모든 필요한 소프트웨어가 컴퓨터로 로딩된다.
접근 제어기는 자격증명 및 연관된 접근 특권(access privilege)을 유지하고 접근할 필요 없이 또는 그 밖의 다른 방식으로 사설 통신 프로토콜을 이용할 필요 없이, 기존 정보 기술(IT) 인프라구조 및 데이터베이스를 이용해 이벤트를 실시간으로 전송하기 위한 개선된 방식을 제공한다.
접근 제어기는, 자가-프로비저닝 접근 장치로서, 자격증명 및 연관된 접근 특권의 캐싱된 리스트를 획득 및 유지관리할 수 있으며, 이들 데이터에 의해, 그 밖의 다른 임의의 접근 제어 시스템(들)으로의 통신 없이, 접근 제어기가 즉각적인 실시간 접근 결정을 할 수 있다. 자격증명 및 연관된 접근 특권의 캐시가 하나 이상의 호스트 시스템으로부터 주기적으로, 가령, 스케줄에 따라, 실시간으로, 또는 완전한 스냅샷으로서 획득될 수 있다. 예를 들어, 접근 제어기는, 접근 자격증명 및 연관된 접근 특권의 호스트 시스템 디렉토리에 사실상 연속적으로 접근하고, 모든 자격증명 및 특권 중 일부를 다운로드할 수 있다. 하나의 양태에서, 접근 제어기는 선택된 다수의 개인에 대해 이들 데이터를 다운로드한다. 데이터가 다운로드된 개인이 고유하게 식별되거나, 그룹 연합에 의해 식별되거나, 할당된 역할(들)에 의해 식별될 수 있다.
접근 제어기는 실시간으로, 또는 요구될 때, 또는 스케줄에 따라, 사용되어, 실시간 이벤트를 로깅 및 모니터링 장치 또는 시스템으로 전송할 수 있다. 하나의 양태에서, 이벤트는 접근 문 잠금해제 또는 잠금, (가령, 제한 스위치 또는 위치 센서로부터 또는 로직 루틴을 기초로) 접근 문 개방 또는 폐쇄 신호, 접근 문 고장 또는 특이한 동작(가변 임계치를 초과하는 시간 동안 열려 있음) 등일 수 있다. 상기 이벤트는 임의의 복수의 포맷, 가령, XML의 포맷으로, 임의의 개수의 원격 장치 또는 시스템의 관계형 데이터베이스 또는 시스템 로깅 시설로 직접 전송될 수 있다. 연결성이 손실되면, 접근 제어기가 이벤트를 버퍼링할 수 있고 연결성이 재확립될 때 이벤트 전송을 계속할 수 있다.
접근 제어기는 브라우저-접근 가능한 사용자 인터페이스를 포함 또는 제공할 수 있다. 인터페이스는 접근 제어 시스템 운영자에게 임의의 개수의 접근 지점(가령, 문) 및 이의 동작을 구성할 수 있는 능력, 및 (개인 단위, 그룹 단위, 및/또는 규정된 역할 단위로) 개인 및/또는 그룹으로의 연관된 맵핑(mapping)을 제공하여, 접근 특권을 전달할 수 있다. 동일한 인터페이스를 이용해, 자격증명 소스, 가령, 관계형 데이터베이스, 디렉토리 또는 계층적 데이터 스토어, 또는 플랫 파일(flat file), 가령, 콤마-분리 값(comma-separated value)(CSV) 파일, 또는 임의의 일반적인 ASCII 파일을 이용해 자격증명 소스와 통신하도록, 운영자가 접근 제어기를 구성할 수 있다.
인터페이스를 이용해, 운영자는 데이터 동기화의 유형, 가령, 타이밍된 간격으로, 스케줄에 따라, 필요할 때, 실시간을 선택 및 구성한다. 동기화 방법은 호스트 접근 자격증명 및 정책 시스템이 정보 변경을 접근 제어기로 "푸시(push)"하는 구독; 접근 제어기가 정보 업데이트를 요청하는 감사 추적(audit trail); 또는 호스트 시스템에 써진 코드가 정보 변경을 검출하고 변경된 정보를 접근 제어기로 전송하는 데이터 수정 트리거를 포함할 수 있다. 구독 방법은 호스트 시스템과 접근 제어기 간 영속적이고, 항상 온(always-on) 상태인 연결을 필요로 할 수 있지만, 그 밖의 다른 예시적 두 방법이 과도기적 연결을 이용할 수 있다.
접근 제어기는 소스로의 연결(들)을 개시하고 자격증명 및 정책 정보를 불러와서 제어기의 로컬 캐시를 구축할 수 있다. 각각의 개인은 복수의 소스로부터의 개인의 정보를 단일 기록으로 조합(collate)하기 위해 고유 식별자를 가질 수 있다. 로컬 캐시로 전송되면, 자격증명이 접근 제어 포인트에서 제시될 때 접근 결정에 상기 정보가 사용될 수 있다.
접근 제어기는 이벤트를 로그기록(log)할 수 있고, 사용자 인터페이스에 의해 로그가 구성되어, 임의의 개수의 장치, 서비스, 및 시스템을 이벤트 수신자로서 확립할 수 있다. 상기 접근 제어기는 이벤트를, 임의의 개수의 포맷, 가령, SNMP, XML으로 직접 소켓 연결(GSM, LAN, WAN, WiFi), Syslog을 통해 그리고 직렬 포트를 통해 원격 모니터링 서비스로 전송할 수 있다.
접근 제어기가 사용되어 이벤트에 우선순위를 할당할 수 있다. 이벤트 우선순위는 어느 이벤트인지를 결정할 수 있고, 이들 이벤트가 원격 모니터링 서비스로 전송되는 순서를 결정할 수 있다.
도 1a-c는 예시적 접근 제어 시스템을 도시하고 이의 구성요소를 선택한다. 도 1a에서, 접근 제어 시스템(10)은 문 시스템(20), 접근 제어기(100), 자격증명 및 정책 디렉토리(200), 및 이벤트 모니터링 워크스테이션(300)을 포함하고, 이들 모두는 구역 또는 공간으로의 접근을 제한하거나 제어하려는 의도를 가진다. 상기 제어기(100)는 가령, TCP/IP 백본(50)을 이용해 디렉토리(200) 및 워크스테이션(300)과 통신한다(110). 상기 TCP/IP 백본(50)은 유선 또는 무선, 또는 유무선의 조합일 수 있다. 상기 백본(50)은 로컬 영역 네트워크(LAN) 및 광역 네트워크(WAN), 가령, 인터넷의 요소를 포함할 수 있다. 접근 제어기(100)와 디렉토리(200) 간, 그리고 제어기(100)와 워크스테이션(300) 간 통신(110)이 보안 통신(가령, HTTP 통신)일 수 있다.
도 1b는 폐쇄된 구역(12)으로의 개인에 의한 접근을 제한 또는 제어하기 위한 접근 시스템(10)의 선택된 구성요소를 도시한다. 도시된 바와 같이, 폐쇄된 구역(12)은 입구 문 시스템(20) 및 출구 문 시스템(20)을 갖는 6면 구조체이다. 상기 문 시스템(20)은 도 1a 및 1c를 참조하여 기재된다. 문 시스템(20)은 일반적인 인간 접근에 대해 의도된다. 그 밖의 다른 접근 지점(가령, 창문)가 존재할 수 있으며, 그 밖의 다른 동작이 모니터링, 경고, 및 제어될 수 있지만, 이러한 접근 지점는 본 명세서에서 추가로 설명되지 않는다.
폐쇄된 구역(12)은 문 시스템(20)의 동작에 대해 제어, 모니터링, 및 리포팅하는 접근 제어 특징부가 구현되는 컴퓨팅 플랫폼(101)을 포함한다. 상기 컴퓨팅 플랫폼(101)은 고정형 또는 이동형일 수 있다. 컴퓨팅 플랫폼(101)은 폐쇄된 구역(12) 내부에서 나타나지만, 반드시 그럴 필요는 없다. 이의 제어, 모니터링, 및 리포팅 기능을 실행할 때, 이의 접근 제어 특징부를 갖는 컴퓨팅 플랫폼(101)이 폐쇄된 구역(12) 외부에서, 네트워크(50)에 의해, (원격) 디렉토리(200) 및 (원격) 이벤트 모니터링 워크스테이션(300)과 통신할 수 있다. 네트워크(50)는 유선 또는 무선일 수 있으며, 비-보안(non-secure) 통신 및 시그널링에 추가로 보안 통신 및 시그널링을 제공할 수 있다.
폐쇄된 구역(12)은 건물 내 방, 건물 자체, 또는 그 밖의 다른 임의의 구조물일 수 있다. 상기 폐쇄된 구역(12)은 6면 구성으로 한정되지 않는다. 상기 폐쇄된 구역(12)은 개방 구조물(가령, 스포츠 스타디움), 펜스 구역(가령, 활주로 주변 구역), 또는 "보이지 않는" 펜스 또는 "가상 벽"을 갖는 구역일 수 있다. 폐쇄된 구역(12)은 지리적으로 고정되거나(가령, 건물, 건물 내 방), 이동 가능할 수 있다(가령, 트레일러, 항공기, 배, 또는 컨테이너).
폐쇄된 구역(12)은 정부 또는 사업체의 기밀 문서 또는 이를 담고 있는 장치로의 접근, 및 컴퓨터 시스템으로의 접근, 개인 접근, 귀중한 아이템, 가령, 희귀 그림, 보석 등으로의 접근, 및 위험한 물질 또는 시스템으로의 접근을 제어하도록 사용될 수 있다. 폐쇄된 구역(12)은 은행의 금고, 핵반응에 대한 제어실, 기밀인 새로운 기술 항공기를 위한 격납고, 또는 공항에서의 승객 게이트일 수 있다.
이동형 구성에서, 폐쇄된 구역(12)은, 예를 들어, 전 세계 임의의 곳의 보안 시설을 빠르게 확립하기 위한 실무 동작에서 사용될 수 있다. 이러한 이동형 폐쇄된 구역(12)의 보안은 다음의 설명으로부터 자명해질 것이다. 덧붙여, 이동형 폐쇄된 구역은 매우 상이한 동작에 대해 사용될 수 있고, 이의 의도된 사용에 따라, 사용자 인터페이스를 통해 구현되는 단순한 구성 변경에 의해, 서로 다른 개인이 모바일 폐쇄된 구역(12)을 접근할 수 있다. 따라서 시스템(10)은 단지 높은 레벨의 보안, 접근 제어, 이벤트 모니터링 및 리포팅뿐 아니라, 접근 제어가 희망되는 전 세계 임의의 곳에서 임의의 동작 또는 임무에 이동형 폐쇄된 구역(12)을 빠르게 채용할 수 있는 유연성까지 제공한다.
도 1a를 참조하면, 접근 제어기(100)는 또한 피어-투-피어(peer-to-peer) 통신(120)을 이용해 자신들 간에 통신할 수 있다. 이러한 피어-투-피어 통신(120)은 예를 들면 보안 LAN을 이용함으로써 가능해질 수 있다. 대안적으로, 피어-투-피어 통신(120)은 무선 보안 통신일 수 있다. 피어-투-피어 통신(120)은 또한 TCP/IP 프로토콜을 따를 수 있다.
피어-투-피어 통신(120)에 의해, 접근 제어기(100)는 접근 상태 정보 및 이벤트를 폐쇄된 구역(12)에서 사용되는 다른 접근 제어기로 전송 및 이로부터 수신할 수 있다. 따라서 문 시스템(20)이 작동 불능인 경우, 이의 연관된 접근 제어기(100)는 이 정보를 다른 접근 제어기(100)로 제공할 수 있다. 피어-투-피어 통신(120)에 의해 하나의 접근 제어기(100)는 부모(마스터) 접근 제어기로서 동작하고 나머지 접근 제어기(100)가 자식(종속) 접근 제어기로서 동작할 수 있다. 이 양태에서, 정보 및 구성이 부모 접근 제어기 상에 저장 또는 구현될 수 있고, 그 후, 자식 접근 제어기 상으로 복제될 수 있다.
마지막으로, 접근 제어기(100)는 유선 또는 무선 보안 통신(130)을 이용해 문 시스템(20)과 통신할 수 있다.
도 1b를 참조하여 더 상세히 기재되는 문 시스템(20)은 폐쇄 구역(12)으로의 정규 인간 접근을 제어한다. 도 1a의 예시에서, 6개의 문 시스템(20)이 도시되어 있다. 하나의 양태에서, 6개의 문 시스템(20)은 3개의 폐쇄된 구역 접근 지점을 제공하고 문 시스템(20)은 쌍으로 동작하는데, 즉, 쌍 중 하나의 문 시스템(20)은 폐쇄된 구역(12)으로의 입장을 허용하고 상기 쌍의 다른 하나의 문 시스템(20)은 폐쇄된 구역(12)으로부터 퇴장을 허용한다. 또 다른 양태에서, 폐쇄된 구역(12)으로의 입장과 퇴장 모두를 위해 하나의 단일 문 시스템(20)이 사용될 수 있다.
도 1a는 개별 접근 제어기(100)와 통신하는 각각의 문 시스템 쌍을 도시한다. 그러나 제어기(100) 및 문 시스템(20)의 그 밖의 다른 조합이 시스템(10)에서 구현될 수 있다. 예를 들어, 단일 제어기(100)는 폐쇄된 구역(12)에 대해 모든 문 시스템(20)을 제어할 수 있다.
도 1a에 도시된 자격증명 및 정책 디렉토리(200)가 하나 또는 복수의 실제 디렉토리를 나타낼 수 있다. 상기 디렉토리는 폐쇄된 구역(12)에서 원격으로 위치할 수 있다. 상기 디렉토리는 폐쇄된 구역(12)의 운영자가 아닌 다른 개체에 의해 운영될 수 있다. 예를 들어, 폐쇄된 구역(12)은 정부 계약자를 위한 SCIF(sensitive compartmented information facility)일 수 있고, 디렉토리(200)는 정부 계약자에 대한 디렉토리 및 정부 에이전시에 대한 디렉토리를 나타낼 수 있다.
디렉토리(200)는 폐쇄된 구역(12)으로의 접근가 허용될 수 있는 개인에 대한 신원증명 정보(이름, 나이, 물리적 특성, 사진), 개인의 신원 자격증명(PIN/패스워드, RFID 태그, 증명서), 및 그 밖의 다른 정보를 포함할 수 있다.
이벤트 모니터링 워크스테이션(300)은 폐쇄된 구역(12)과 동일한 개체에 의해 구현될 수 있다. 대안적으로, 이벤트 모니터링 워크스테이션(300)이 폐쇄된 구역(12)과 별개인 개체에 의해 구현될 수 있다.
이벤트 모니터링 워크스테이션(300)은 접근 제어기(100)로부터의 이벤트 데이터를 수신할 수 있다.
도 1c는 도 1a의 시스템에서 구현될 수 있는 예시적 문 시스템을 도시한다. 도 1c에서, 문 시스템(20)은 통신 경로(110)를 통해 접근 제어기(100)와 통신하는 것처럼 도시된다. 문 시스템(20)은 접근 문(22), 문 잠금 수단(24), 문 제어기(26), 및 자격증명 판독기(28)를 포함한다. 문(22)은 개인이 폐쇄된 구역으로 입장 또는 폐쇄된 구역에서 떠날 수 있게 하는 임의의 문일 수 있다. 상기 문(22)은 문(22)이 완전히 폐쇄되지 않을 때를 지시하는 위치 센서(가령, 제한 스위치 - 도시되지 않음)를 포함할 수 있다. 상기 위치 센서는 완전-폐쇄는-아님 신호(not-fully-closed signal)를 신호 경로(21)를 통해 문 제어기(26)로 전송할 수 있다. 상기 완전-폐쇄는-아님 신호는 연속적으로 또는 주기적으로 전송될 수 있으며, 지정 시간이 만료된 후에는 전송되지 않을 수 있다.
잠금 수단은 원격으로 동작하는 전자-기계 잠금 요소(도시되지 않음), 가령, 문 제어기(26)로부터 신호 경로(21)를 통해 전송되는 전기 신호에 응답하여 포지셔닝되는(잠금 또는 잠금해제되는) 데드 볼트(dead bolt)를 포함한다.
상기 문 제어기(26)는 자격증명 판독기(28)로부터 신호 경로(29)를 통해 자격증명 정보를 수신하고 상기 정보를 신호 경로(130)를 통해 접근 제어기(100)로 전달한다. 상기 문 제어기(26)는 신호 경로(130)를 통해 접근 제어기로부터 잠금/잠금해제 신호를 수신한다. 상기 문 제어기(26)는 신호 경로(130)를 통해 접근 제어기로부터 잠금/잠금해제 신호를 수신한다. 상기 문 제어기(26)는 신호 경로(21)를 통해 잠금 수단(24)으로 잠금 수단 잠금/잠금해제 신호를 전송한다.
자격증명 판독기(28)가 개인(42)에 대한 자격증명 정보(40)를 수신한다. 상기 자격증명 정보(40)는, 예를 들어, RFID 칩에 인코딩된 것, 스마트 카드 상의 자격증명, 키 패드를 이용해 입력된 PIN/패스워드, 생체 측정 데이터, 가령, 지문, 홍채 스캔 데이터일 수 있다.
문 시스템(20)은 접근 제어기(100)로 전송된 접근 요청 신호 및 이에 응답하여 접근 제어기(100)로부터 수신된 접근 인가 신호를 기초로 동작한다. 문 시스템(20)은 문(22)이 열린 후 특정된 시간 내에 문(22)을 활성화(잠금)하고, 잠금해제 신호가 잠금 수단(24)으로부터 전송되었지만 문(22)이 특정 시간 내에 열리지 않으면 또는 그 밖의 다른 조건 하에서 차단(shut)되는 자동 잠금 특징(auto lock feature)을 포함시킬 수 있다. 문 제어기(26) 또는 잠금 수단(24)에서 자동 잠금 로직이 구현될 수 있다.
문 시스템(20)은 접근 제어기(100)에 의해 이벤트 신호를 이벤트 모니터링 시스템(300)으로 전송할 수 있다. 이러한 신호는 문 열림, 문 닫힘, 잠금 수단 잠금 및 잠금 수단 잠금해제를 포함한다. 앞서 언급된 바와 같이, 신호는 문 시스템(20)에서 제한 스위치로부터 올 수 있다.
하나의 양태에서, 문 시스템(20)은 입장을 위해서만 사용될 수 있고, 개별 문 시스템(20)은 퇴장을 위해서만 사용될 수 있다.
그러나 구성될 때, 문 시스템(20)은 입장 및 퇴장 시 개인(42)의 자격증명 정보(40)를 판독함으로써 획득된 정보를 기초로, 개인(42)이 폐쇄된 구역(12)에 있을 때 및 개인(42)이 폐쇄된 구역(12)을 빠져나올 때를 지시할 수 있다. 이들 신호는 예를 들어 중간 퇴장 없는 재입장을 막도록 사용될 수 있다. 폐쇄된 구역 내 구역 및 시스템으로의 접근을 막기 위해 신호(또는 신호의 부재)가 또한 사용될 수 있다. 예를 들어, 개인(42)은 폐쇄된 구역(12)의 문 시스템(20)들 중 하나로부터 기원된 입장 신호의 부재 시, 폐쇄된 구역(12)에서 자신의 컴퓨터를 로그인하도록 허용되지 않을 수 있다. 따라서 접근 제어기 및 이의 구현되는 보안 기능이 개인이 겪을 수 있는 일련의 접근 동작 중 첫 단계일 수 있다.
문 시스템(20)은 다양한 알람(alarm), 가령, 버팀대에 의해 열려 있는 문(22), 끼임에 의해 잠금해제된 잠금 수단(24), 및 그 밖의 다른 위반 또는 고장 지시자를 포함할 수 있다.
도 1a-1c는 주로 구역, 가령, 건물 또는 건물 안 방으로의 물리적 접근에 적용되는 접근 제어 시스템(10)을 기재한다. 그러나 접근 제어 시스템(10), 및 이의 선택 구성요소는, 앞서 기재된 바와 같이, 조직의 자산 및 자원, 가령, 논리적 자원으로의 접근을 제어하도록 사용될 수 있다. 예를 들어, 자가-프로비저닝 접근 제어기(100)가 조직의 컴퓨터 시스템으로의 접근 및 상기 컴퓨터 시스템 상에 담긴 파일로의 접근(즉, 논리적 자원)를 제어하도록 사용될 수 있다. 덧붙여, 접근 제어기(100)는 개인에게 논리적 자원으로의 단계별 접근을 제공하도록 자가-프로비저닝할 수 있다. 예를 들어, 개인은 제1 폐쇄 구역에서 파일 1-10을 접근하도록 허용되고, 더 보안이 강화된 제2 폐쇄 구역에서 파일 1-20을 접근하도록 허용될 수 있다. 이 예시에서, 제1 폐쇄 구역은 건물이고, 제2 폐쇄 구역은 건물 내 SCIF일 수 있다. 따라서 자가-프로비저닝 접근 제어기(100)는 개인의 접근 특권, 가령, 물리적 접근 및 논리적 접근에 대해 매우 미세한 제어를 확립할 수 있고, 개인의 자격증명의 판독에 의해 지시되는 바와 같은 개인의 물리적 위치를 기초로 하여 논리적 접근을 조절할 수 있다.
도 2는 도 1a-1c의 시스템(10)과 함께 사용되는 예시적 접근 제어기(100)의 구성요소를 도시한다. 도 2에서, 접근 제어기(100)는 컴퓨팅 플랫폼(101) 상에서 구현되는 것처럼 도시된다. 상기 컴퓨팅 플랫폼(101)은 임의의 컴퓨팅 장치, 가령, 메인-프레임 컴퓨터, 데스크톱 컴퓨터, 랩톱 컴퓨터 또는 태블릿, 및 스마트폰일 수 있다. 상기 접근 제어기(100)는 소프트웨어, 하드웨어, 또는 펌웨어, 또는 이들의 임의의 조합으로 구현될 수 있다. 소프트웨어로 구현될 때, 상기 접근 제어기(100)는 비-일시적(non-transitory) 컴퓨터 판독형 저장 매체에 저장될 수 있다.
컴퓨팅 플랫폼(101)은 리눅스 운영 체제를 채용할 수 있다. 대안적으로, 그 밖의 다른 운영 체제가 사용될 수 있다. 상기 컴퓨팅 플랫폼(101)은 데이터 스토어(102)를 포함하며, 상기 데이터 스토어는 로컬 캐시(103) - 상기 로컬 캐시는 개인, 가령, 개인(42)에 대한 자격증명 및 접근 정책 정보를 로컬하게 저장하도록 사용될 수 있음 - , 접근 제어기(100)가 저장될 수 있는 비-일시적 컴퓨터 판독형 저장 매체(104) 및 이벤트 모니터링 워크스테이션(300)으로의 전송될 이벤트를 임시 저장할 수 있는 이벤트 버퍼(107)를 포함할 수 있다.
접근 제어기(100)는 로컬 캐시(103)와 통신하고, 브라우저(105)를 이용해, 디렉토리, 가령, 디렉토리(200) 및 그 밖의 다른 컴퓨팅 장치, 가령, 이벤트 모니터링 워크스테이션(300)과 통신한다. 그러나 디렉토리(200) 및 워크스테이션(300)과의 통신은 그 밖의 다른 수단, 가령, 전용 로컬 영역 네트워크에 의해 이뤄질 수 있다.
접근 제어기(100)는 인터페이스 엔진(150) 및 접근 제어 엔진(190)을 포함한다. 상기 인터페이스 엔진(150)은 접근 제어기(100)에 의한 이벤트 리포팅을 위해 도 3과 관련하여 상세히 기재되는 바와 같이, 자가-프로비저닝 특징을 확립하기 위해 접근 제어 시스템(10)의 운영자(인간)에 의해 채용될 수 있는 사용자 인터페이스(160)(도 3 참조)를 제공한다.
접근 제어 엔진(190)은 캐시(103)를 자가-프로비저닝하여 자가-프로비저닝된 캐시(103)에 담긴 정보를 기초로 문 시스템(20)을 동작시키기 위해 디렉토리(200)와 통신하기 위한 로직을 포함한다. 접근 제어 엔진(190)은 이벤트를 로그기록하고 이벤트를 이벤트 모니터 워크스테이션(300)으로 리포팅하기 위한 로직을 포함한다. 상기 로직은 접근 제어기(100)가 이벤트를 저장하고 이를 복수의 도착지로 리포팅하는 이벤트 집성을 가능하게 할 수 있다. 상기 접근 제어 엔진(190)은 도 4와 관련하여 상세히 기재된다.
도 3은 도 2의 접근 제어기(100)를 통해 활성화되는 예시적 사용자 인터페이스(160)를 도시한다. 사용자 인터페이스(160)는 운영자에게 폐쇄 구역(12)에 대한 임의의 개수의 문 시스템(20)의 동작을 구성 및 제어할 수 있는 능력을 제공한다. 사용자 인터페이스(160)에 의해 운영자는 인가된 개인의 그룹으로의 맵핑을 만들고, 개인 신원, 그룹 멤버쉽, 및 조직 내 할당된 역할을 기초로 접근 특권을 전달한다. 동일한 인터페이스(160)에 의해, 운영자는 자격증명 소스, 가령, 디렉토리(200), 가령, 임의의 관계형 데이터베이스, 디렉토리 또는 계층적 데이터 스토어, 또는 플랫 파일, 가령, CSV 또는 임의의 일반적인 ASCII 파일과 통신하도록 접근 제어기(100)를 구성할 수 있다.
도 3에 도시된 바와 같이, 예시적 사용자 인터페이스(160)는 개인과 관련된 정보를 위한 접근 윈도(170), 및 이벤트와 관련된 정보를 위한 이벤트 윈도(180)를 포함한다. 개인 접근 윈도(170)는 운영자가 디렉토리(200)의 주소(가령, URL)를 입력하는 디렉토리 주소 윈도(171), 개인의 이름이 입력되거나 풀-다운 메뉴(pull-down menu)로 나열될 수 있는 개인 이름 윈도(172), 개인의 조직이 입력될 수 있는 소속 윈도(173), 개인이 속하는 그룹이 입력될 수 있는 그룹 윈도(174), 개인에게 할당된 역할 또는 작업이 입력될 수 있는 역할 윈도(175), 할당된 고유 신분증명이 나타나는 신분증명 번호 윈도(176), 개인의 가장 높은 레벨의 접근을 나열하는 접근 레벨 윈도(177), 및 자격증명 및 정책 디렉토리(200)를 참조함으로써 개인의 접근 데이터를 업데이트하기 위한 주기가 특정될 수 있는 동기화 윈도(178)를 포함한다. 윈도(171-178) 중 일부가 풀-다운 메뉴의 형태를 가질 수 있다. 일부 윈도, 가령, 동기화 윈도(178)가 한 번 디스플레이되어 이의 선택된 값이 모든 개인에게 적용된다. 윈도(171-178)가 운영자의 디스플레이에 한 번에 하나씩 나타날 수 있다. 데이터가 입력되면, 운영자에게 선택을 확인하기 위한 확인 페이지가 제시될 수 있다. 모든 윈도가 채워질 필요는 없으며, 하나의 양태에서, 운영자는 디렉토리 접근 및 개인의 이름을 제공할 수 있고, 나머지 데이터가 디렉토리(200)로부터 접근 제어기에 의해 불러와 진다. 덧붙여, 접근 제어기(100)는 주기적으로 디렉토리(200)를 참조함으로써 데이터를 불러오거나 리프레시할 수 있으며, 이는 거의 실시간 또는 연속적인 위탁일 수 있다. 대안적으로, 데이터는 더 긴 간격으로, 스케줄에 따라, 또는 필요에 따라, 불러와질 수 있다. 따라서 접근 제어기(100)는 폐쇄된 구역(12)으로의 접근 권한을 필요로 할 수 있는 개인에 대한 접근 제어 정보로 스스로 자가-프로비저닝할 수 있다. 앞서 언급된 바와 같이, 불러온 데이터가 로컬 캐시(103)에 저장될 수 있고, 접근 제어기(100)는 접근 결정을 할 때 로컬 캐시(103)를 참조할 수 있다.
이벤트 윈도(180)는 풀-다운 메뉴를 더 포함할 수 있고, 이벤트 모니터링 워크스테이션(300)으로 이벤트를 리포팅하기 위해 접근 제어기(100)의 초기 구성을 확립하기 위해 시스템 운영자가 사용할 수 있는 복수의 데이터 입력 윈도를 제공한다. 이벤트 윈도(180)는 이벤트 명칭 또는 제목, 짧은 설명, 측정 파라미터, 및 그 밖의 다른 정보가 입력될 수 있는 이벤트 설명 윈도(event description window)(181)를 포함한다. 예를 들어, 이벤트 윈도(180)는 문 열림 이벤트, 문 열림 측정치를 제공하는 장치의 신원, 문 열림 이벤트가 의미하는 바, 및 문 열림 이벤트가 제공되는 형태를 특정하도록 사용될 수 있다.
이벤트 윈도(180)는 시스템 운영자가 이벤트에 우선순위를 할당할 수 있는 이벤트 우선순위 윈도(182)를 더 포함한다. 상기 우선순위는 이벤트가 접근 제어기(100)로부터 이벤트 모니터링 워크스테이션(300)으로 전송되는 순서를 결정할 수 있다. 따라서 예를 들어, 경고나 고장을 나타내는 이벤트가 문 열림 이벤트보다 높은 우선순위를 가질 수 있다.
또한, 이벤트 윈도(180)는 시스템 운영자가 이벤트 모니터링 워크스테이션(300)으로 이벤트를 리포팅하기 위한 시간 프레임을 설정하는 리포트 주기 윈도(report periodicity window)(183)를 포함한다.
마지막으로, 이벤트 윈도(180)는 시스템 운영자가 이벤트 모니터링 워크스테이션(300)의 주소를 입력하는 리포트 도착지 창(184)을 포함한다. 윈도(184)를 이용해, 시스템 운영자는 이벤트 리포트를 수신할 여러 다른 개체를 지정할 수 있다. 서로 다른 개체가 서로 다른 리포트를 수신할 수 있다. 예를 들어, 제1 이벤트 모니터링 워크스테이션은 문 열림 및 문 닫힘 이벤트만 수신할 수 있지만, 제2 이벤트 모니터링 워크스테이션은 모든 이벤트를 수신할 수 있다. 지정 도착지는 동일한 개체에 속할 필요는 없다.
도 4는 접근 제어기(100)의 접근 엔진(190)의 예시를 도시한다. 상기 접근 엔진(190)은 자가-프로비저닝 모듈(191), 비교기(195), 결정 모듈(196), 이벤트 검출기/로거(logger)(197), 및 이벤트 리포터(198)를 포함한다.
시스템(10)이 복수의 접근 제어기(100)를 포함하는 하나의 실시예에서, 하나의 접근 제어기(100)가 부모 접근 제어기로서 지정될 수 있고, 나머지 접근 제어기가 자식 접근 제어기로 지정될 수 있다. 마스터 접근 제어기는 디렉토리(200)로부터 데이터를 획득할 수 있고, 그 후 피어-투-피어 통신(120)을 이용해, 획득된 데이터를 자식 접근 제어기로 복사한다. 대안적으로 각각의 접근(100)는 디렉토리(200)와 개별적으로 통신할 수 있다.
앞서 언급된 바와 같이, 본 명세서에 개시된 접근 제어 시스템, 장치, 및 방법의 하나의 양태에 따르면, 접근 제어기(100)는 접근 제어기(100)로부터 원격으로 위치할 수 있으며, 접근 제어기(100)를 소유하고 동작시키는 것과 다른 개체가 소유하고 동작할 수 있는 자격증명 및 정책 디렉토리(200)로부터 획득된 접근 제어 정보로 자가-프로비저닝할 수 있다. 자가-프로비저닝 모듈(191)은 자가-프로비저닝 기능 중 일부를 제공한다. 자가-프로비저닝 모듈(191)은 통신 서브-모듈(192), 캐시 필러(cache filler)(193), 및 캐시 커뮤니케이터(cache communicator)(194)를 포함한다. 통신 서브-모듈(192)은 가능한 복수의 디렉토리(200) 중 어느 것을, 접근 제어기(100)가 자격증명 및 정책 정보를 획득 및 업데이트하기 위해 주소지정해야 하는지를 결정한다. 그 후 서브-모듈(192)은 선택된 디렉토리(200)와의 보안(암호화된, 가령, HTTPS) 통신을 확립하고 정보를 획득한다. 대안적으로, 일부 정보는 비보안(암호화되지 않은) 통신을 이용해 획득될 수 있다.
또한 통신 서브-모듈(192)은 이벤트 정보를 실시간, 준실시간으로(가령, 이벤트의 수초 내에), 스케줄에 따라, 이벤트 모니터링 워크스테이션(300)으로부터의 요구에 따라, 또는 그 밖의 다른 기준으로, 이벤트 정보를 전송하기 위해 이벤트 모니터링 워크스테이션(300)과의 보안(또는 비보안) 통신을 확립할 수 있다.
통신 서브-모듈(192), 디렉토리(200), 및 이벤트 모니터링 워크스테이션(300) 간 통신이 브라우저(105)에 의해 이뤄질 수 있다. 통신 서브-모듈(192)은 (아웃고잉 요청/리포트에 대해) 데이터 암호화 및 (디렉토리(200)로부터 수신된 데이터 패킷 또는 이벤트 모니터링 워크스테이션(300)으로부터 수신된 요청에 대해) 해역을 수행할 수 있다.
캐시 필러(193)는 통신 서브-모듈(192)로부터 획득된 정보를 수신하고 이에 따라 로컬 캐시(103)를 채운다. 캐시(103)에 정보를 저장하기 전에, 캐시 필러(192)는 수신된 정보에 대한 에러 체크를 실행할 수 있다.
캐시 커뮤니케이터(194)는 접근 제어 엔진(190)의 그 밖의 다른 구성요소에서 사용되도록, 가령, 캐시(103)에 나열된 특정 개인에게 접근을 허가하기 위해 문(22)을 잠금해제할지 여부를 결정하기 위해, 캐시(103)로부터 데이터를 불러올 수 있다. 캐시 커뮤니케이터(104)는 시스템 운영자가 캐시를 검색하고 캐시 내용물 중 일부 또는 모두에 대한 리포트(디스플레이)를 수신할 수 있게 하는 검색/디스플레이 수단을 포함할 수 있다. 리포트는 인터페이스(160)에 제공될 수 있고 인쇄될 수 있다.
비교기(195)는 문 시스템(20)에서 획득된 자격증명 정보를 수신하고 캐시 커뮤니케이터(194)와 통신하여 캐시(103)로부터 적절한 정보를 불러올 수 있다. 획득된 자격증명 정보 및 불러온 정보가 결정 모듈(196)로 제공되며, 상기 결정 모듈은 정보가 (충분하게) 일치하는지 여부를 결정하여 폐쇄된 구역(12)으로의 개인 접근을 허가할 수 있다.
이벤트 검출기/로거(197)는 문 시스템(20)으로부터 신호를 수신하고, 사전-정의된 이벤트에 따라 신호를 분류하고, 데이터를 리포팅 가능한 이벤트(reportable event)로서 포맷팅하며, 이벤트를 이벤트 버퍼(107)에 로그 기록한다. 그 후 이벤트 리포터(198)는 통신 서브-모듈(192) 및 브라우저(105)에 의해 로그 기록된 이벤트를 이벤트 모니터링 워크스테이션(300)으로 리포팅한다.
도 5a-5c는 도 1a-1c의 시스템 및 도 2-4의 구성요소의 예시적 방법을 도시하는 흐름도이다.
도 5a 및 5b는 예시적 방법(500)을 도시하며, 여기서 시작 블록(505)에서, 접근 제어기(100)가 자격증명 및 정책 디렉토리(200) 및 이벤트 모니터링 워크스테이션(300) 정보(가령, 이들 장치/시스템의 URL)를 수신하고, 정보가 접근 제어기(100)를 구성하도록 사용된다. 복수의 접근 제어기(100)를 갖는 접근 제어 시스템에서, 제1(부모) 접근 제어기의 구성이 나머지(자식) 접근 제어기로 복사될 수 있다.
블록(510)에서, 폐쇄된 구역(12)으로의 접근 권한을 획득할 수 있는 한 명 이상의 개인에 대한 자격증명 및 정책 정보를 획득하기 위해 디렉토리 정보가 사용된다.
블록(515)에서, 이에 따라 획득된 자격증명 및 정책 정보가 각각의 접근 제어기(100)의 로컬 캐시로 로딩된다.
블록(520)에서, 접근 제어기(100)는 개인(42)이 (특정 문(22)을 통해) 폐쇄된 구역(12)으로 입장(또는 퇴장)할 수 있도록 하기 위해 접근 요청을 수신한다. 접근 요청이 자격 증명(40)으로부터 판독된 데이터를 기초로 할 수 있다.
블록(525)에서, 수신된 요청으로부터의 정보가 접근 제어기(100)에서 사용되어, 개인(42)에 대해 캐시(103)에서 자격증명 및 정책 정보를 불러올 수 있고, 그 후 불러온 정보가 접근 요청에 담긴 정보와 비교된다.
블록(530)에서, 접근 제어기(100)는 개인(42)이 폐쇄된 구역(12)으로 접근할 수 있도록 비교가 충분한 매칭을 지시하는지 여부를 결정한다. 예를 들어, 캐시(103)로부터 불러온 각각의 정보 아이템이 증명서(40)로부터 판독된 것과 정확히 일치할 것이 요구될 수 있다. 블록(530)에서, 매칭이 결정된 경우, 방법(500)은 블록(535)으로 이동한다. 어떠한 매칭도 결정되지 않는 경우, 방법(500)은 블록(545)으로 진행된다.
블록(535)에서, 접근 제어기(100)는 잠금해제 신호를 문 시스템(20)으로 전송한다. 블록(540)에서, 접근 제어기(100)는 문 시스템(20)의 동작을 모니터링하여 문(22)이 (개인(42)을 들어오게 하도록) 열려 있는지 여부를 결정할 수 있다(그렇다면 닫고 잠근다).
블록(545)에서, 시스템(10)으로 구현되는 경우, 접근 제어기(100)는 접근 요청을 디렉토리(200)로 전송하고, 상기 디렉토리(200)는 이의 고유 내부 프로세싱을 이용해 자격증명(40)으로부터 수신된 정보가 개인(42)에 대한 디렉토리(200) 내 정보와 매칭되는지 여부를 결정할 수 있다.
블록(550)에서, 접근 제어기(100)는 디렉토리(200)로부터, 매칭 또는 매칭 아님을 지시하는 신호를 수신한다. 매칭이 지시되는 경우, 방법(500)은 블록(540)으로 이동한다. 매칭 아님이 지시되는 경우, 상기 방법(500)은 블록(555)으로 이동하고 접근 제어기(100)는 개인(42)의 접근을 부인한다.
블록(560)에서, 블록(540)의 동작 후에, 접근 제어기(100)는 문 시스템(20)으로부터 이벤트 정보를 수신하고, 이벤트 정보를 이벤트로 포맷팅하며, 이벤트를 이벤트 모니터링 워크스테이션(300)으로 전송한다.
블록(555 또는 560) 후에, 상기 방법(500)은 블록(565)으로 이동하고 종료한다.
도 5c는 특히 접근 제어기(100)를 구성하기 위해, 도 5a의 블록(505)의 프로세스의 예시적 양태를 도시하는 흐름도이다. 도 5c에서, 방법(505)이 블록(571)에서 시작하며, 상기 블록(571)에서, 시스템 운영자가 인터페이스(160)를 이용하여, 접근 제어기(100)가 폐쇄된 구역(12)으로의 접근을 요구하는 개인(42)에 대해 자격증명 및 정책 정보를 획득할 디렉토리 (원본) 주소를 설정할 수 있다. 블록(573)에서, 도착지 주소(즉, 캐시(103)의 주소)가 설정된다. 블록(575)에서, 동기화 시간이 설정된다. 블록(577)에서, 접근 제어기가 캐시(103)로 입력될 자격증명 및 관련 정보를 갖는 특정 개인(42)의 지시자를 수신한다.
블록(579)에서, 접근 제어기는 접근 제어기(100)에 의해 모니터링될 이벤트의 정의를 수신한다. 상기 이벤트는 사전-정의되거나 시스템 운영자에 의해, 가령, 인터페이스(160)를 이용해 확립되고 정의될 수 있다. 블록(581)에서, 접근 제어기(100)는 이벤트 정보를 수신할 이벤트 모니터의 도착지 주소(들)를 수신한다. 블록(583)에서, 접근 제어기(100)는 요구되는 리포팅 간격 또는 주기를 수신한다. 마지막으로, 블록(585)에서, 접근 제어기(100)는 각각의 이벤트에 의해 제공되거나 기록될 정보를 정의하는 파라미터를 수신한다. 그 후 상기 방법(505)이 종료한다.
도면에 도시된 장치들 중 일부 장치는 컴퓨팅 시스템을 포함한다. 상기 컴퓨팅 시스템은 다양한 시스템 구성요소들, 가령, 시스템 메모리, 가령, 리드 온리 메모리(ROM) 및 랜덤 접근 메모리(RAM)를 프로세서로 연결하는 프로세서(CPU) 및 시스템 버스를 포함한다. 또 다른 시스템 메모리가 이용 가능할 수 있다. 컴퓨팅 시스템은 더 큰 프로세싱 능력을 제공하기 위해 서로 네트워크-연결된 둘 이상의 프로세서 또는 컴퓨팅 시스템의 그룹 또는 클러스터를 포함할 수 있다. 시스템 버스는 메모리 버스 또는 메모리 제어기를 포함하는 몇 가지 유형의 버스 구조체 중 임의의 것일 수 있으며, 가령, 다양한 버스 아키텍처 중 임의의 것을 이용하는 메모리 버스 또는 메모리 제어기, 주변장치 버스, 및 로컬 버스일 수 있다. ROM 등에 저장된 기본 입/출력(BIOS)이, 가령, 시동 동안 컴퓨팅 시스템 내 요소들 간 정보를 전달하는 것을 보조하는 기본 루틴을 제공할 수 있다. 컴퓨팅 시스템은 알려진 데이터베이스 관리 시스템에 따라 데이터베이스를 유지관리하는 데이터 스토어를 더 포함한다. 데이터 스토어는 많은 형태, 가령, 하드 디스크 드라이브, 자기 디스크 드라이브, 광학 디스크 드라이브, 테이프 드라이브, 또는 프로세서에 의해 접근 가능한 데이터를 저장할 수 있는 또 다른 유형의 컴퓨터 판독형 매체, 가령, 자기 카세트, 플래시 메모리 카드, 디지털 다목적 디스크, 카트리지, 랜덤 접근 메모리(RAM) 및 리드 온리 메모리(ROM)로 구현될 수 있다. 데이터 스토어는 드라이브 인터페이스에 의해 시스템 버스로 연결될 수 있다. 상기 데이터 스토어는 컴퓨터 판독형 명령, 데이터 구조, 프로그램 모듈, 및 컴퓨팅 시스템의 그 밖의 다른 데이터의 비휘발성 저장을 제공한다.
인간(및 일부 경우, 기계) 사용자 상호대화를 가능하게 하기 위해, 컴퓨팅 시스템은 입력 장치, 가령, 음성 및 오디오를 위한 마이크로폰, 제스처 또는 그래픽 입력을 위한 터치 감지형 스크린, 키보드, 마우스, 모션 입력 등을 포함할 수 있다. 출력 장치는 복수의 출력 수단 중 하나 이상을 포함할 수 있다. 일부 경우, 멀티모드 시스템에 의해 사용자는 컴퓨팅 시스템과 통신하도록 복수 유형의 입력을 제공할 수 있다. 일반적으로 통신 인터페이스는 다양한 통신 및 네트워크 프로토콜을 이용해 컴퓨팅 장치 시스템이 하나 이상의 다른 컴퓨팅 장치와 통신할 수 있게 한다.
상기의 내용은 도 5a-5c에 나타난 실시예를 도시하기 위해 흐름도 및 관련 설명을 참조한다. 개시된 장치, 구성요소, 및 시스템은 도시된 단계들을 수행하기 위한 임의의 적합한 기법을 이용 또는 구현하는 것을 고려한다. 따라서 도 5a-5c는 설명 목적만 가지며 기재되거나 유사한 단계들은 임의의 적절한 때에, 가령, 동시에, 개별적으로, 또는 조합되어 수행될 수 있다. 덧붙여, 흐름도의 단계들은 도시되고 기재된 것과 동시에 및/또는 서로 다른 순서로 발생할 수 있다. 덧붙여, 개시된 시스템은 추가, 더 적은, 및/또는 상이한 단계들을 갖는 프로세서 및 방법을 이용할 수 있다.
본 명세서에 개시된 실시예가 디지털 전자 회로, 또는 컴퓨터 소프트웨어, 펌웨어, 또는 하드웨어, 가령, 본 명세서에 개시된 구조물 및 이들의 균등물로 구현될 수 있다. 일부 실시예가 하나 이상의 프로세서에 의해 실행되기 위해 컴퓨터 프로그램 매체 상에 인코딩된 하나 이상의 컴퓨터 프로그램으로서, 즉, 컴퓨터 프로그램 명령의 하나 이상의 모듈로서 구현될 수 있다. 컴퓨터 저장 매체는, 컴퓨터 저장 장치, 컴퓨터 판독형 저장 기판, 또는 랜덤 또는 직렬 접근 메모리이거나 여기에 포함될 수 있다. 컴퓨터 저장 매체는 하나 이상의 개별적인 물리 구성요소 또는 매체, 가령, 복수의 CD, 디스크, 또는 그 밖의 다른 저장 장치이거나, 여기에 포함될 수 있다. 컴퓨터 판독형 저장 매체는 일시적 신호(transitory signal)를 포함하지 않는다.
본 명세서에 개시된 방법은 하나 이상의 컴퓨터 판독형 저장 장치 상에 저장되거나 그 밖의 다른 소스로부터 수신된 데이터에 대한 프로세서에 의해 수행되는 동작으로 구현될 수 있다.
컴퓨터 프로그램(또한 프로그램, 모듈, 엔진, 소프트웨어, 소프트웨어 애플리케이션, 스크립트, 또는 코드)이 임의의 형태의 프로그래밍 언어, 가령, 컴파일링된 또는 번역된 언어, 선언 또는 절차 언어로 써질 수 있으며, 임의의 형태, 가령, 자립형 프로그램 또는 모듈, 구성요소, 서브루틴, 객체, 또는 컴퓨팅 환경에서 사용되기 적합한 또 다른 유닛으로 전개될 수 있다. 컴퓨터 프로그램은, 파일 시스템 내 파일에 대응할 수 있지만, 반드시 그럴 필요는 없다. 프로그램이 또 다른 프로그램 또는 데이터(가령, 마크업 언어 문서에 저장된 하나 이상의 스크립트)를 보유하는 파일의 일부분, 또는 관심 프로그램에 특화된 단일 파일, 또는 복수의 조정된 파일(가령, 하나 이상의 모듈, 서브프로그램, 또는 코드의 일부분을 저장하는 파일)에 저장될 수 있다. 컴퓨터 프로그램은 하나의 사이트에 위치하거나 복수의 사이트에 분산되어 통신 네트워크에 의해 상호연결되는 하나의 컴퓨터 또는 복수의 컴퓨터 상에서 실행되도록 전개될 수 있다.

Claims (31)

  1. 프로세서로 구현되는 접근 제어 방법으로서, 상기 방법은
    프로세서에서, 자격증명 및 정책 디렉토리 정보를 수신하여, 접근 제어기에 의한 디렉토리의 주기적이며 자동화된 질의를 통해, 상기 접근 제어기의 자가-프로비저닝(self-provisioning)을 가능하게 하도록 상기 접근 제어기를 구성하는 단계,
    프로세서를 이용해, 디렉토리로부터, 접근을 요구할 수 있는 한 명 이상의 개인에 대한 자격증명 및 정책 정보를 획득하는 단계,
    프로세서에 의해 접근 가능한 로컬 캐시에, 획득된 자격증명 및 정책 정보를 저장하는 단계,
    프로세서에서, 개인 접근을 허용하기 위해 접근 요청을 수신하는 단계,
    프로세서에 의해, 접근 요청을 캐시 내 자격증명 및 정책 정보에 비교하는 단계, 및
    비교가 일치(match)를 가리킬 때, 개인의 접근을 허가하는 단계
    를 포함하는, 접근 제어 방법.
  2. 제1항에 있어서, 상기 접근 요청은 폐쇄된 구역으로의 접근에 대한 것인, 접근 제어 방법.
  3. 제2항에 있어서, 상기 폐쇄된 구역은 복수의 접근 제어기를 포함하며, 상기 접근 제어기를 구성하는 단계는
    사용자 인터페이스를 통해 제1 접근 제어기를 구성하는 단계, 및
    나머지 접근 제어기 각각에 구성(configuration)을 자동으로 복제하는 단계
    를 포함하는, 접근 제어 방법.
  4. 제2항에 있어서, 디렉토리 정보는 디렉토리의 URL을 포함하는, 접근 제어 방법.
  5. 제2항에 있어서, 접근 요청이 폐쇄된 구역의 자격증명 판독기에서 수신되며, 상기 자격증명 판독기는 개인의 자격증명을 판독하고, 접근 요청은 로컬 캐시 내 자격증명 및 정책 정보에 비교하기 위한 자격증명 및 자격증명으로부터의 정책 정보를 포함하는, 접근 제어 방법.
  6. 제2항에 있어서, 비교는 접근 요청 내 정보와 로컬 캐시 내 대응하는 자격증명 및 정책 정보 간 정확한 일치를 요구하는, 접근 제어 방법.
  7. 제2항에 있어서, 폐쇄된 구역으로의 접근 문을 잠금해제하여 접근을 허가하는 단계를 더 포함하는, 접근 제어 방법.
  8. 제2항에 있어서,
    프로세서에 의해, 이벤트 모니터의 주소를 수신하는 단계,
    이벤트 정의 정보를 수신하는 단계, 및
    수신된 이벤트 정의 정보에 따라 이벤트를 모니터링하고 수집하도록 상기 접근 제어기를 구성하는 단계
    를 더 포함하는, 접근 제어 방법.
  9. 제8항에 있어서,
    수집된 이벤트를 버퍼링하고 이벤트 모니터로 리포팅하도록 접근 제어기를 구성하는 단계
    를 더 포함하는, 접근 제어 방법.
  10. 제9항에 있어서, 프로세서는 복수의 이벤트 모니터 각각의 주소를 수신하고, 상기 방법은 이벤트를 상기 복수의 이벤트 모니터 중 다수의 이벤트 모니터로 동시에 전송하는 단계를 포함하는, 접근 제어 방법.
  11. 제10항에 있어서, 상기 이벤트는 문 열림, 문 닫힘, 끼임에 의한 문 열림(door stuck open), 문 잠금, 및 문 잠금해제를 포함하는, 접근 제어 방법.
  12. 제1항에 있어서, 접근 요청은 자원을 접근하기 위한 요청인, 접근 제어 방법.
  13. 제12항에 있어서, 상기 자원은 논리적 자원인, 접근 제어 방법.
  14. 제12항에 있어서, 상기 접근 제어기는 자원과 관련된 개인의 위치를 기초로 하여 자원으로의 접근을 자가-프로비저닝하는, 접근 제어 방법.
  15. 제1항에 있어서, 상기 비교가 어떠한 일치도 가리키지 않을 때, 상기 방법은 일치 여부를 결정하기 위해 자격증명 및 정책 디렉토리에 대한 접근 요청을 전송하는 단계를 포함하는, 접근 제어 방법.
  16. 제1항에 있어서, 로컬 캐시에서 자격증명 및 정책 정보를 주기적으로 자동 업데이트하는 단계를 더 포함하는, 접근 제어 방법.
  17. 제1항에 있어서, 업데이트하는 단계는 실시간으로 연속적으로 수행되는, 접근 제어 방법.
  18. 개인에 의한 구역으로의 접근을 제어하기 위한 시스템으로서, 상기 시스템은
    프로세서, 및
    컴퓨터 판독형 저장 매체 상에 구현되는 접근 제어기 - 상기 접근 제어기는
    프로세서에 의해 실행될 때, 상기 프로세서로 하여금:
    접근 제어기에 의한 디렉토리의 주기적이고 자동화된 질의를 통한 접근 제어기의 자가-프로비저닝을 가능하게 하는 원격 디렉토리로부터의 자격증명 및 정책 디렉토리 정보, 및
    상기 구역으로의 접근을 요구할 수 있는 한 명 이상의 개인에 대한 디렉토리로부터의 자격증명 및 정책 정보
    를 수신하도록 접근 제어기를 구성하게 하고,
    프로세서에 의해 접근 가능한 로컬 캐시에, 디렉토리의 수신 획득된 자격증명 및 정책 정보와 한 명 이상의 개인의 자격증명 및 정책 정보를 저장하게 하며,
    개인이 폐쇄된 구역을 접근하도록 허용하기 위한 접근 요청을 수신하게 하고,
    상기 접근 요청을 상기 캐시 내 자격증명 및 정책 정보에 비교하게 하며,
    비교가 일치를 가리킬 때, 개인의 구역 접근을 허가하게 하도록 하는
    기계 명령을 포함하는, 접근을 제어하기 위한 시스템.
  19. 제18항에 있어서, 상기 구역은 복수의 접근 제어기를 포함하며, 접근 제어기를 구성할 때, 상기 프로세서는:
    사용자 인터페이스를 통해 제1 접근 제어기를 구성하며,
    나머지 접근 제어기 각각에 구성을 자동으로 복제하는, 접근을 제어하기 위한 시스템.
  20. 제18항에 있어서, 상기 디렉토리 정보는 디렉토리의 URL을 포함하고, 상기 디렉토리와 프로세서는 TCP/IP 프로토콜을 이용해 통신하는, 접근을 제어하기 위한 시스템.
  21. 제18항에 있어서, 상기 접근 요청은 구역의 자격증명 판독기에서 수신되며, 상기 자격증명 판독기는 개인의 자격증명을 판독하며, 상기 접근 요청은 로컬 캐시 내 자격증명 및 정책 정보에 비교하도록 자격증명으로부터의 자격증명 및 정책 정보를 포함하는, 접근을 제어하기 위한 시스템.
  22. 제18항에 있어서, 상기 프로세서는 지정된 이벤트 정의 정보에 따라 이벤트를 모니터링하고 수집하도록 접근 제어기를 구성하는, 접근을 제어하기 위한 시스템.
  23. 제18항에 있어서,
    수집된 이벤트를 저장하기 위한 버퍼를 더 포함하는, 접근을 제어하기 위한 시스템.
  24. 제23항에 있어서, 상기 프로세서는 복수의 이벤트 모니터 각각의 주소를 수신하고, 상기 프로세서는 복수의 이벤트 모니터 중 다수의 이벤트 모니터로 이벤트를 동시에 전송하는, 접근을 제어하기 위한 시스템.
  25. 개인에 의한 자산으로의 접근을 제어하도록 접근 제어기를 구성하기 위한 프로세서로 구현되는 방법으로서, 상기 방법은
    상기 프로세서가 자산으로의 접근을 요구하는 개인에 대한 자격증명 및 정책 정보를 획득하기 위한 자격증명 및 정책 디렉토리 주소를 프로세서에 의해 수신하는 단계,
    상기 자격증명 및 정책 정보에 대한 도착지 주소를 수신하는 단계,
    자격증명 및 정책 정보를 획득하기 위한 주기(periodicity)를 확립하는 단계,
    자산으로의 접근을 요구하는 개인에 대한 자격증명 및 정책 정보를 획득하는 단계, 및
    확립된 주기로 자산으로의 접근을 요구하는 개인에 대한 자격증명 및 정책 정보를 자동 업데이트하는 단계
    를 포함하는, 개인에 의한 자산으로의 접근을 제어하도록 접근 제어기를 구성하기 위한 프로세서로 구현되는 방법.
  26. 제25항에 있어서, 상기 자산은 물리적 구역인, 개인에 의한 자산으로의 접근을 제어하도록 접근 제어기를 구성하기 위한 프로세서로 구현되는 방법.
  27. 제25항에 있어서, 상기 자산은 논리적 자산이고, 상기 프로세서는 제1 정의된 물리적 구역 내 논리적 자산으로 제1 접근 레벨을 제공하고, 제2 정의된 구역 내에 제1 접근 레벨보다 높은 제2 접근 레벨을 제공하는, 개인에 의한 자산으로의 접근을 제어하도록 접근 제어기를 구성하기 위한 프로세서로 구현되는 방법.
  28. 제27항에 있어서, 개인은 개인의 자격증명의 제1 판독을 기초로 하여 제1 정의된 구역에 위치하는 것으로 식별되고, 자격증명의 제2 판독을 기초로 제2 정의된 구역 내에 위치하는 것으로 식별되며, 개인이 제2 정의된 구역에 위치하는 것으로 식별될 때 상기 개인은 제2 접근 레벨에서 논리적 자산으로의 접근을 허가 받는, 개인에 의한 자산으로의 접근을 제어하도록 접근 제어기를 구성하기 위한 프로세서로 구현되는 방법.
  29. 자가-프로비저닝(self-provisioning)/자가-리포팅(self-reporting)하는 접근 제어기로서, 상기 접근 제어기는
    자산으로의 접근을 제어하기 위한 기계 명령을 저장하기 위한 수단, 및
    기계 명령을 실행하기 위한 수단
    을 포함하고, 상기 기계 명령을 실행하기 위한 수단은
    기계 명령을 실행하기 위한 수단을 자가-프로비저닝하기 위한 수단,
    자산으로의 접근을 허가/거부하기 위한 수단, 및
    자산으로의 접근의 허가 및 거부와 관련된 이벤트를 리포팅하기 위한 수단
    을 포함하는, 접근 제어기.
  30. 제29항에 있어서, 자가-프로비저닝하기 위한 수단은
    자격증명 및 정책 디렉토리와 보안 통신하기 위한 수단,
    디렉토리로부터 획득된 자격증명 및 정책 정보를 실행 수단에 의해 로컬하게 저장하기 위한 수단, 및
    로컬하게 저장된 자격증명 및 정책 정보를 업데이트하기 위한 수단
    을 포함하는, 접근 제어기.
  31. 제29항에 있어서, 자산으로의 접근의 허가 및 거부와 관련된 이벤트를 보고하기 위한 수단은
    실행 수단에 의해 이벤트를 로컬하게 버퍼링하기 위한 수단, 및
    복수의 모니터링 시스템으로 이벤트를 보고하기 위한 수단
    을 포함하는, 접근 제어기.
KR1020157031331A 2013-04-02 2014-03-13 자가-프로비저닝 접근 제어 KR102030225B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/855,543 2013-04-02
US13/855,543 US9509719B2 (en) 2013-04-02 2013-04-02 Self-provisioning access control
PCT/US2014/026177 WO2014165305A1 (en) 2013-04-02 2014-03-13 Self-provisioning access control

Publications (2)

Publication Number Publication Date
KR20150126423A true KR20150126423A (ko) 2015-11-11
KR102030225B1 KR102030225B1 (ko) 2019-10-08

Family

ID=51622197

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020157031331A KR102030225B1 (ko) 2013-04-02 2014-03-13 자가-프로비저닝 접근 제어

Country Status (14)

Country Link
US (2) US9509719B2 (ko)
EP (1) EP2981884B1 (ko)
JP (2) JP6966195B2 (ko)
KR (1) KR102030225B1 (ko)
CN (1) CN105378648B (ko)
AU (2) AU2014248457A1 (ko)
BR (1) BR112015025282B1 (ko)
CA (1) CA2908734C (ko)
HK (1) HK1221309A1 (ko)
IL (1) IL241867B (ko)
MX (1) MX356761B (ko)
SG (1) SG11201507955YA (ko)
WO (1) WO2014165305A1 (ko)
ZA (1) ZA201508224B (ko)

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9548973B2 (en) * 2007-08-24 2017-01-17 Assa Abloy Ab Detecting and responding to an atypical behavior
WO2014075070A2 (en) 2012-11-12 2014-05-15 Sielox, Llc Emergency notification system and methods
US11163901B2 (en) 2012-11-12 2021-11-02 Sielox, Llc Emergency notification system and methods
US11017106B2 (en) * 2012-11-12 2021-05-25 Sielox, Llc Emergency notification, access control, and monitoring systems and methods
US20150106150A1 (en) * 2013-10-15 2015-04-16 Kastle Systems International Llc System and method for managing event participant authorizations
US9407615B2 (en) 2013-11-11 2016-08-02 Amazon Technologies, Inc. Single set of credentials for accessing multiple computing resource services
US10375013B2 (en) 2013-11-11 2019-08-06 Amazon Technologies, Inc. Managed directory service connection
US10908937B2 (en) 2013-11-11 2021-02-02 Amazon Technologies, Inc. Automatic directory join for virtual machine instances
US9736159B2 (en) 2013-11-11 2017-08-15 Amazon Technologies, Inc. Identity pool bridging for managed directory services
US10115256B2 (en) 2014-04-07 2018-10-30 Videx, Inc. Remote administration of an electronic key to facilitate use by authorized persons
WO2015168386A2 (en) * 2014-04-30 2015-11-05 Cubic Corporation Failsafe operation for unmanned gatelines
US20150319685A1 (en) * 2014-05-02 2015-11-05 Qualcomm Incorporated Techniques for managing wireless communications using a distributed wireless local area network driver model
US10257184B1 (en) 2014-09-29 2019-04-09 Amazon Technologies, Inc. Assigning policies for accessing multiple computing resource services
WO2016086315A1 (en) 2014-12-05 2016-06-09 Avigilon Corporation Method and system for tracking and pictorially displaying locations of tracked individuals
US10509663B1 (en) 2015-02-04 2019-12-17 Amazon Technologies, Inc. Automatic domain join for virtual machine instances
US10706654B2 (en) 2015-03-23 2020-07-07 Paul K. Luker LLC Worksite ingress/egress system
GB2538963A (en) * 2015-06-01 2016-12-07 Idcontrol Oy Access control controller, related system, method and computer program
EP3529437B1 (en) 2016-10-19 2023-04-05 Dormakaba USA Inc. Electro-mechanical lock core
US11164413B2 (en) 2017-01-23 2021-11-02 Carrier Corporation Access control system with secure pass-through
US11913254B2 (en) 2017-09-08 2024-02-27 dormakaba USA, Inc. Electro-mechanical lock core
US11151240B2 (en) 2017-12-11 2021-10-19 Carrier Corporation Access key card that cancels automatically for safety and security
US11062543B2 (en) * 2017-12-11 2021-07-13 Carrier Corporation On-demand credential for service personnel
CN108366368A (zh) * 2018-01-08 2018-08-03 国网江苏省电力有限公司 一种基于Wi-Fi的电力云平台系统及其无线接入方法
US11681781B2 (en) * 2018-02-21 2023-06-20 Comcast Cable Communications, Llc Systems and methods for content security
EP3775445A4 (en) 2018-04-13 2022-01-05 Dormakaba USA Inc. ELECTROMECHANICAL LOCK CENTRAL PART
US11466473B2 (en) 2018-04-13 2022-10-11 Dormakaba Usa Inc Electro-mechanical lock core
US10970949B2 (en) * 2018-05-04 2021-04-06 Genetec Inc. Secure access control
US20200119586A1 (en) * 2018-10-15 2020-04-16 Avigilon Corporation Wireless charging of depleted mobile device for access control
EP3979219A1 (en) 2018-11-02 2022-04-06 Assa Abloy AB System, methods, and devices for access control
US11201871B2 (en) 2018-12-19 2021-12-14 Uber Technologies, Inc. Dynamically adjusting access policies
CN109582431A (zh) * 2018-12-25 2019-04-05 杭州达现科技有限公司 一种显示界面的目录更新方法及装置
AU2020247386B2 (en) 2019-03-25 2023-07-06 Assa Abloy Ab Ultra-wide band device for access control reader system
WO2020193578A1 (en) * 2019-03-25 2020-10-01 Assa Abloy Ab Physical access control systems with localization-based intent detection
EP3716224B1 (en) * 2019-03-27 2023-10-25 Carrier Corporation System and method for providing secure access
US11010995B2 (en) 2019-09-06 2021-05-18 Videx, Inc. Access control system with dynamic access permission processing
US11281794B2 (en) * 2019-09-26 2022-03-22 Microsoft Technology Licensing, Llc Fine grained access control on procedural language for databases based on accessed resources
US11356432B2 (en) * 2020-03-27 2022-06-07 Securkart Llc Mobile secure network system and device
US11736836B2 (en) 2020-03-27 2023-08-22 Deng Ip Holder, Llc Mobile secure network system and device
US11386731B2 (en) * 2020-08-24 2022-07-12 Delphian Systems, LLC Bridge device for access control in a multi-tenant environment
CN112562138B (zh) * 2020-11-24 2022-11-22 北京百度网讯科技有限公司 用于管理闸机的方法、装置、设备以及存储介质
US20220269811A1 (en) * 2021-02-19 2022-08-25 Capital One Services, Llc Automated database provisioning and methods thereof
US20230004679A1 (en) * 2021-06-30 2023-01-05 Lenovo (United States) Inc. Role-based component access control

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030200442A1 (en) * 2001-08-06 2003-10-23 Shivaram Bhat Uniform resource locator access management and control system and method
US20090070571A1 (en) * 2007-09-10 2009-03-12 Neely E Terry Networked physical security access control system and method

Family Cites Families (64)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06249825A (ja) 1993-02-26 1994-09-09 Tokyo Gas Co Ltd Fetセンサ
US7353396B2 (en) 1995-10-02 2008-04-01 Corestreet, Ltd. Physical access control
US8171524B2 (en) 1995-10-02 2012-05-01 Corestreet, Ltd. Physical access control
US7716486B2 (en) 1995-10-02 2010-05-11 Corestreet, Ltd. Controlling group access to doors
US7822989B2 (en) 1995-10-02 2010-10-26 Corestreet, Ltd. Controlling access to an area
US7600129B2 (en) 1995-10-02 2009-10-06 Corestreet, Ltd. Controlling access using additional data
US8015597B2 (en) 1995-10-02 2011-09-06 Corestreet, Ltd. Disseminating additional data used for controlling access
US7337315B2 (en) 1995-10-02 2008-02-26 Corestreet, Ltd. Efficient certificate revocation
US8261319B2 (en) 1995-10-24 2012-09-04 Corestreet, Ltd. Logging access attempts to an area
JP2000259567A (ja) * 1999-03-09 2000-09-22 Toshiba Corp アクセス制御装置、アクセス制御方法および記憶媒体
US6390697B1 (en) 1999-10-29 2002-05-21 Fargo Electronics, Inc. Printhead mounting guide frame
US20020118096A1 (en) * 2000-05-26 2002-08-29 Hector Hoyos Building security system
US7194764B2 (en) 2000-07-10 2007-03-20 Oracle International Corporation User authentication
AU7593601A (en) 2000-07-14 2002-01-30 Atabok Inc Controlling and managing digital assets
JP2004528655A (ja) * 2001-05-04 2004-09-16 キュービック コーポレイション 周波数方式
US7308714B2 (en) 2001-09-27 2007-12-11 International Business Machines Corporation Limiting the output of alerts generated by an intrusion detection sensor during a denial of service attack
WO2003038669A1 (en) * 2001-11-01 2003-05-08 Sun Microsystems, Inc. Directory request caching in distributed computer systems
US20030126464A1 (en) 2001-12-04 2003-07-03 Mcdaniel Patrick D. Method and system for determining and enforcing security policy in a communication session
US20030115243A1 (en) * 2001-12-18 2003-06-19 Intel Corporation Distributed process execution system and method
JP2004062980A (ja) * 2002-07-29 2004-02-26 Toyota Gakuen 磁性合金、磁気記録媒体、および磁気記録再生装置
WO2005001653A2 (en) 2003-06-24 2005-01-06 Corestreet, Ltd. Access control
JP3971408B2 (ja) * 2004-04-16 2007-09-05 日立情報通信エンジニアリング株式会社 入退室管理システムおよびログモニタ装置
US8232862B2 (en) 2004-05-17 2012-07-31 Assa Abloy Ab Biometrically authenticated portable access device
WO2006025067A1 (en) * 2004-08-31 2006-03-09 Suresh Kumar Sawhney A software controlled access control door controller
US20060143292A1 (en) * 2004-12-28 2006-06-29 Taubenheim David B Location-based network access
US20080222426A1 (en) * 2005-02-10 2008-09-11 Koninklijke Philips Electronics, N.V. Security Device
US7706778B2 (en) 2005-04-05 2010-04-27 Assa Abloy Ab System and method for remotely assigning and revoking access credentials using a near field communication equipped mobile phone
JP4822738B2 (ja) * 2005-05-13 2011-11-24 株式会社日立製作所 サービス認証システムおよびサービス認証方法
US20090320088A1 (en) * 2005-05-23 2009-12-24 Jasvir Singh Gill Access enforcer
US20070055517A1 (en) * 2005-08-30 2007-03-08 Brian Spector Multi-factor biometric authentication
US8183980B2 (en) 2005-08-31 2012-05-22 Assa Abloy Ab Device authentication using a unidirectional protocol
US7586413B2 (en) 2005-09-01 2009-09-08 Assa Abloy Ab Human feedback using parasitic power harvesting of RFID tags
US7437755B2 (en) 2005-10-26 2008-10-14 Cisco Technology, Inc. Unified network and physical premises access control server
US7734572B2 (en) 2006-04-04 2010-06-08 Panduit Corp. Building automation system controller
US20070254713A1 (en) * 2006-04-28 2007-11-01 Isaac Lagnado System and method for managing operation of a system based at least in part on a component of the system being physically accessible
JP2007304785A (ja) * 2006-05-10 2007-11-22 Hitachi Ltd ビルセキュリティシステム、利用者情報生成装置および入退室管理方法
US8074271B2 (en) 2006-08-09 2011-12-06 Assa Abloy Ab Method and apparatus for making a decision on a card
US8060620B2 (en) * 2006-10-05 2011-11-15 Microsoft Corporation Profile deployment using a generic format
DE102007004073B4 (de) 2007-01-26 2012-03-01 Assa Abloy Sicherheitstechnik Gmbh Schließsystem mit Kraftsensor
US8203426B1 (en) * 2007-07-11 2012-06-19 Precision Edge Access Control, Inc. Feed protocol used to report status and event information in physical access control system
US8543684B2 (en) 2007-08-24 2013-09-24 Assa Abloy Ab Method for computing the entropic value of a dynamical memory system
US8009013B1 (en) 2007-09-21 2011-08-30 Precision Control Systems of Chicago, Inc. Access control system and method using user location information for controlling access to a restricted area
US8620269B2 (en) * 2007-12-31 2013-12-31 Honeywell International Inc. Defining a boundary for wireless network using physical access control systems
US20090183264A1 (en) * 2008-01-14 2009-07-16 Qualcomm Incorporated System and method for protecting content in a wireless network
US20090195445A1 (en) * 2008-01-31 2009-08-06 Dehaas Ronald J System and method for selecting parameters based on physical location of a computer device
US8232879B2 (en) 2008-08-08 2012-07-31 Assa Abloy Ab Directional sensing mechanism and communications authentication
EP2316180A4 (en) 2008-08-11 2011-12-28 Assa Abloy Ab SECURE WIEGAND INTERFACE COMMUNICATIONS
US20100137143A1 (en) 2008-10-22 2010-06-03 Ion Torrent Systems Incorporated Methods and apparatus for measuring analytes
WO2011145190A1 (ja) * 2010-05-19 2011-11-24 トヨタ自動車株式会社 車両制御システム
AU2011203255B2 (en) 2010-07-02 2015-07-23 Assa Abloy Australia Pty Limited Coupling plug lock
US8924715B2 (en) 2010-10-28 2014-12-30 Stephan V. Schell Methods and apparatus for storage and execution of access control clients
US20120297461A1 (en) 2010-12-02 2012-11-22 Stephen Pineau System and method for reducing cyber crime in industrial control systems
US8726348B2 (en) * 2010-12-15 2014-05-13 The Boeing Company Collaborative rules based security
EP2479696A1 (en) 2011-01-19 2012-07-25 British Telecommunications public limited company Data security
AU2012220675A1 (en) * 2011-02-22 2013-08-29 Stanley Security Solutions, Inc. Wireless lock with lockdown
JP5695455B2 (ja) * 2011-03-08 2015-04-08 株式会社日立システムズ アクセス制御システム
US8601541B2 (en) * 2011-08-15 2013-12-03 Bank Of America Corporation Method and apparatus for session validation to access mainframe resources
AU2012100460B4 (en) * 2012-01-04 2012-11-08 Uniloc Usa, Inc. Method and system implementing zone-restricted behavior of a computing device
US8648689B2 (en) * 2012-02-14 2014-02-11 Ford Global Technologies, Llc Method and system for detecting door state and door sensor failures
US8756655B2 (en) 2012-07-13 2014-06-17 International Business Machines Corporation Integrated physical access control and information technology (IT) security
US9609022B2 (en) * 2014-12-10 2017-03-28 Sybase, Inc. Context based dynamically switching device configuration
US10303647B2 (en) * 2015-07-15 2019-05-28 Mellanox Technologies, Ltd. Access control in peer-to-peer transactions over a peripheral component bus
US10282927B1 (en) * 2017-03-29 2019-05-07 Alarm.Com Incorporated Access control provisioning
US10374803B2 (en) * 2017-10-06 2019-08-06 Stealthpath, Inc. Methods for internet communication security

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030200442A1 (en) * 2001-08-06 2003-10-23 Shivaram Bhat Uniform resource locator access management and control system and method
US20090070571A1 (en) * 2007-09-10 2009-03-12 Neely E Terry Networked physical security access control system and method

Also Published As

Publication number Publication date
MX2015013925A (es) 2016-06-06
EP2981884B1 (en) 2021-01-20
AU2014248457A1 (en) 2015-10-15
CA2908734A1 (en) 2014-10-09
US20170039789A1 (en) 2017-02-09
KR102030225B1 (ko) 2019-10-08
JP2016515784A (ja) 2016-05-30
US10629019B2 (en) 2020-04-21
US20140298398A1 (en) 2014-10-02
MX356761B (es) 2018-06-12
AU2019275589A1 (en) 2020-01-02
CN105378648A (zh) 2016-03-02
IL241867B (en) 2021-09-30
HK1221309A1 (zh) 2017-05-26
JP2020013591A (ja) 2020-01-23
AU2019275589B2 (en) 2021-04-01
EP2981884A1 (en) 2016-02-10
BR112015025282A2 (pt) 2017-07-18
CA2908734C (en) 2023-05-09
BR112015025282B1 (pt) 2022-01-04
JP6966195B2 (ja) 2021-11-10
CN105378648B (zh) 2020-04-21
SG11201507955YA (en) 2015-10-29
JP7051766B2 (ja) 2022-04-11
US9509719B2 (en) 2016-11-29
EP2981884A4 (en) 2016-12-07
ZA201508224B (en) 2018-09-26
WO2014165305A1 (en) 2014-10-09

Similar Documents

Publication Publication Date Title
AU2019275589B2 (en) Self-provisioning access control
US11595479B2 (en) Web-cloud hosted unified physical security system
JP2016515784A5 (ko)
US11354955B2 (en) Universal access control device
US8941465B2 (en) System and method for secure entry using door tokens
US8907763B2 (en) System, station and method for mustering
US10515493B2 (en) Method and system for tracking and pictorially displaying locations of tracked individuals
US10839628B2 (en) Virtual panel access control system
US20140002236A1 (en) Door Lock, System and Method for Remotely Controlled Access
KR102612502B1 (ko) Iot 네트워크의 데이터 및 데이터 사용 관리
US11620865B2 (en) Access control in a multi-tenant environment
Ismail et al. Intelligent Door Locking System
Irdian et al. APPLICATION OF INTERNET OF THINGS BASED ROOM SECURITY SYSTEM USING ANDROID APPLICATION

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant