專利名稱:訪問(wèn)控制系統(tǒng)以及訪問(wèn)控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及訪問(wèn)控制系統(tǒng)以及訪問(wèn)控制方法�����。
目前已主要針對(duì)具有許多訪問(wèn)點(diǎn)和許多用戶的訪問(wèn)控制系統(tǒng)的多場(chǎng)所大規(guī)模安裝而開發(fā)本發(fā)明���,并且下文將參考該應(yīng)用進(jìn)行描述����。然而�,將會(huì)理解本發(fā)明不限于特定使用領(lǐng)域,并且也適于單個(gè)場(chǎng)所的安裝以及只具有少量訪問(wèn)點(diǎn)和用戶的訪問(wèn)系統(tǒng)���。
背景技術(shù):
在整個(gè)說(shuō)明書中�,對(duì)現(xiàn)有技術(shù)的任何討論決不應(yīng)被看作是承認(rèn)這種現(xiàn)有技術(shù)是廣泛已知的或構(gòu)成本領(lǐng)域的公共常識(shí)的一部分�。
已知的訪問(wèn)控制系統(tǒng)包括分設(shè)在或鄰接于給定設(shè)施的相應(yīng)訪問(wèn)點(diǎn)上的多個(gè)訪問(wèn)閱讀器。通常����,設(shè)施是建筑物,而訪問(wèn)點(diǎn)是建筑物中相應(yīng)的門�。閱讀器與相應(yīng)的在閉鎖配置和開鎖配置之間跳動(dòng)的鎖定裝置連接。默認(rèn)情況下���,鎖定裝置保持在閉鎖配置下�����,以防止用戶通過(guò)訪問(wèn)點(diǎn)通行��,并在作出合適的請(qǐng)求時(shí)跳動(dòng)到開鎖配置下�。給開鎖配置的“跳動(dòng)”通常是幾秒鐘,之后鎖定裝置返回到閉鎖配置����。
系統(tǒng)的各個(gè)用戶發(fā)有令牌如通行卡,其包含存于卡上的唯一標(biāo)識(shí)符��。當(dāng)將卡出示給閱讀器時(shí)�,后者從卡中提取標(biāo)識(shí)符�。
現(xiàn)有技術(shù)中的一類訪問(wèn)控制系統(tǒng)包括主服務(wù)器或作為計(jì)算機(jī)網(wǎng)絡(luò)一部分的幾個(gè)服務(wù)器�。此網(wǎng)絡(luò)不僅包含訪問(wèn)控制系統(tǒng),而且還包含包括至少一個(gè)包含有關(guān)訪問(wèn)控制系統(tǒng)的記錄的數(shù)據(jù)庫(kù)的其他計(jì)算機(jī)裝置和軟件����。主服務(wù)器或幾個(gè)服務(wù)器讀寫往來(lái)于數(shù)據(jù)庫(kù)和系統(tǒng)的其他組件的數(shù)據(jù)�����。設(shè)在主服務(wù)器或幾個(gè)服務(wù)器和閱讀器之間的是多個(gè)控制器���,它們是各自控制大約二到二十個(gè)閱讀器以及相關(guān)聯(lián)的鎖定裝置的專用計(jì)算裝置����。這些控制器均包括用于保持閱讀器和鎖定裝置的所有必要的配置信息的存儲(chǔ)器����,并可針對(duì)有關(guān)閱讀器作出訪問(wèn)控制決定��。
當(dāng)閱讀器向相關(guān)聯(lián)的控制器回復(fù)卡被出示給閱讀器的每次情況時(shí)�����,這些控制器不必向主服務(wù)器或幾個(gè)服務(wù)器回復(fù)有關(guān)每一個(gè)那些情況���。換句話說(shuō)�,控制器用來(lái)減少與主服務(wù)器直接通信的裝置的數(shù)量���。也就是說(shuō)���,主服務(wù)器不必與所有閱讀器通信,而只直接與控制器進(jìn)行通信�����。因此,主服務(wù)器在每次訪問(wèn)控制決定期間不進(jìn)行查詢���,因?yàn)槟切Q定在控制器上作出����。然而由于在控制器器用來(lái)保持關(guān)于用戶的信息的存儲(chǔ)器是有限的���,因此通常對(duì)用戶數(shù)量的限制為幾百個(gè)����。這嚴(yán)重危害到這種系統(tǒng)的擴(kuò)展性���。
一旦閱讀器的數(shù)量和用戶的數(shù)量增加,主服務(wù)器為保證控制器實(shí)時(shí)地具有作出準(zhǔn)確訪問(wèn)控制決定所需的信息����,則在那些控制器之間存在相當(dāng)大的網(wǎng)絡(luò)流量。此網(wǎng)絡(luò)流量隨給定系統(tǒng)的規(guī)模增大而增加��,而且很快便會(huì)達(dá)到流量損害網(wǎng)絡(luò)性能的這個(gè)點(diǎn)上�。這不僅減慢了訪問(wèn)控制系統(tǒng)的操作,而且在總體上也減慢了網(wǎng)絡(luò)的操作��。
采用此結(jié)構(gòu)的大規(guī)模實(shí)現(xiàn)也會(huì)使本高得驚人,這是因?yàn)榭刂破鞯南喈?dāng)高的成本�、控制器可用存儲(chǔ)器的有限容量,因而控制器的較低水平規(guī)定了給定成本��。這是因?yàn)榭刂破髟谖锢砩线B接到主服務(wù)器或幾個(gè)服務(wù)器上而形成的�。更具體地說(shuō),此電氣連接限制了主服務(wù)器和控制器之間的距離����,使得控制器更容易受到單個(gè)點(diǎn)故障的影響,具有較高的安裝成本��,并提供較差的認(rèn)證處理����。
為努力解決這些問(wèn)題,目前已設(shè)計(jì)出采用智能卡的訪問(wèn)控制系統(tǒng)���。這些系統(tǒng)主要集中于通過(guò)在智能卡上存儲(chǔ)有關(guān)用戶身份的信息來(lái)改善認(rèn)證處理�����?�;驹硎情喿x器隨后可通過(guò)把人的知識(shí)或物理標(biāo)識(shí)與卡上保持的信息進(jìn)行比較來(lái)驗(yàn)證身上持有該卡的人����。但上述現(xiàn)有技術(shù)系統(tǒng)的所有其他局限性仍然存在。此外��,早先系統(tǒng)上由于卡而的增加的成本通常是不合理的��,因?yàn)檫@僅獲得了功能上的逐漸改善�����。
為進(jìn)一步解決這些局限性��,一些最新基于訪問(wèn)控制系統(tǒng)的智能卡除持有認(rèn)證信息之外還保持用戶的授權(quán)信息�����,并在請(qǐng)求的時(shí)候?qū)⑵鋫魉徒o閱讀器��。此信息指示用戶可用的訪問(wèn)權(quán)的級(jí)別����。通常�,該信息放在智能卡上以部分彌補(bǔ)控制器的有限存儲(chǔ)容量,并且不需要那些控制器常去訪問(wèn)主服務(wù)器。在一些系統(tǒng)中授權(quán)信息和認(rèn)證信息共同形成用戶保持在卡上的數(shù)字證書�����。在一些情況下����,盡管控制器和閱讀器之間的通信鏈路會(huì)暫時(shí)中斷失敗,但此系統(tǒng)可允許有限的連續(xù)操作�����。然而��,還存在相當(dāng)多的缺點(diǎn)�����,因?yàn)橹悄芸ㄉ嫌涗浀挠脩羰跈?quán)信息對(duì)于主服務(wù)器和控制器是不可訪問(wèn)的��。因此����,如果要變化相應(yīng)卡上記錄的授權(quán)信息(在大規(guī)模系統(tǒng)中經(jīng)常發(fā)生),則只有這些卡與系統(tǒng)接口上為止才可通過(guò)該系統(tǒng)而完成�����。對(duì)于大規(guī)模系統(tǒng)而言,這在相當(dāng)程度上可危害到作出訪問(wèn)控制決定的準(zhǔn)確性��。
試圖至少部分地解決這一重要問(wèn)題包括采用證書撤回列表(稱為CRL)����。顧名思義,CRL是系統(tǒng)上不再有效使用并由控制器保持的證書的描述�。因此,當(dāng)卡出示給閱讀器并且閱讀器把標(biāo)識(shí)信息和/或授權(quán)信息傳遞給控制器時(shí)��,該控制器能夠交叉校驗(yàn)授權(quán)信息的有效性并作出正確的訪問(wèn)控制決定�����。雖然這在表面上看起來(lái)提供了可行的解決方案���,但要有效的話它需要在控制器和主服務(wù)器之間連續(xù)實(shí)時(shí)訪問(wèn)以確保CRL是最新的����。同樣如此����;它最終具有上述許多缺點(diǎn)。這還包括特別難以應(yīng)用到大規(guī)模安裝中����。
在任何實(shí)際系統(tǒng)中,CRL中記錄的數(shù)量隨時(shí)間而不斷增長(zhǎng)����。這導(dǎo)致了CRL的大小很快超過(guò)令牌能夠承載CRL的可用容量。為解決此難題試圖提供在均在很短的時(shí)間內(nèi)有效的相應(yīng)卡上具有證書的訪問(wèn)控制系統(tǒng)��。更具體地說(shuō)����,CRL在每個(gè)短的周期的開始時(shí)再次出現(xiàn)或重新初始化,而在任何先前一段時(shí)間內(nèi)發(fā)出的所有證書不再有效���。在一個(gè)先前提出的系統(tǒng)中��,授權(quán)信息每過(guò)一天就會(huì)失效��,而在其他系統(tǒng)中它每隔幾個(gè)小時(shí)就會(huì)失效�。雖然這允許使用斷開連接的閱讀器���,但它也會(huì)遇到可擴(kuò)展的問(wèn)題�。例如,如果所有用戶比方說(shuō)每天必須得獲得新的證書�����,那么對(duì)于那些閱讀器這在那些證書下載到卡中得高峰時(shí)間產(chǎn)生了瓶頸��。此外�����,下載僅出現(xiàn)在連接的閱讀器上�,對(duì)于斷開連接的閱讀器將不能訪問(wèn)控制器或主服務(wù)器以便知道最新授權(quán)信息。在有許多用戶的地方��,這種系統(tǒng)通常產(chǎn)生時(shí)延以及伴隨這種延遲的不可避免的人員波動(dòng)��。發(fā)布周期更加短����,這更加惡化這些缺點(diǎn)。
總體來(lái)說(shuō)��,現(xiàn)有技術(shù)系統(tǒng)由于所使用結(jié)構(gòu)的內(nèi)在局限性而不能很好地適于提供靈活的大規(guī)模實(shí)現(xiàn)�。
發(fā)明內(nèi)容
本發(fā)明的主要目的是克服或改進(jìn)現(xiàn)有技術(shù)的至少一個(gè)缺點(diǎn)或提供有用的備選方案。
根據(jù)本發(fā)明的第一方面�����,提供了用于選擇性地由多個(gè)用戶訪問(wèn)的至少一個(gè)訪問(wèn)點(diǎn)的訪問(wèn)控制系統(tǒng)��,訪問(wèn)點(diǎn)在閉鎖和開鎖配置之間跳動(dòng)以相應(yīng)地防止和允許用戶在訪問(wèn)點(diǎn)上訪問(wèn)�����,該系統(tǒng)包括每個(gè)用戶的訪問(wèn)令牌����,每個(gè)令牌包括用于包含證書和令牌證書變化列表(令牌CCL)的存儲(chǔ)器,每個(gè)令牌響應(yīng)詢問(wèn)信號(hào)來(lái)產(chǎn)生從證書得到的令牌信號(hào)��;計(jì)算機(jī)網(wǎng)絡(luò)����,它用于包含指示證書的信息并用于提供指示一個(gè)或多個(gè)那些證書所需要的變化的中央CCL;和用于各個(gè)訪問(wèn)點(diǎn)的訪問(wèn)閱讀器�����,它與網(wǎng)絡(luò)進(jìn)行通信以維護(hù)本地CCL�,該閱讀器或各個(gè)閱讀器產(chǎn)生相應(yīng)詢問(wèn)信號(hào),并響應(yīng)對(duì)應(yīng)令牌信號(hào)以便確定相應(yīng)訪問(wèn)點(diǎn)是否跳動(dòng)到開鎖配置��;以及合并本地CCL和令牌CCL。
在一個(gè)實(shí)施例中��,存儲(chǔ)器包含其他信息�����。在一些實(shí)施例中�����,例如存儲(chǔ)器包含用戶的標(biāo)識(shí)信息�。在其他實(shí)施例中,存儲(chǔ)器包含有關(guān)令牌的一個(gè)或多個(gè)特征的信息�。這些特征的例子包括發(fā)出令牌的組織;令牌的所有者��;令牌的唯一標(biāo)識(shí)符等���。
令牌信號(hào)優(yōu)選從證書和令牌CCL中得到�。在一個(gè)實(shí)施例中��,各個(gè)證書包括相應(yīng)的用戶授權(quán)信息����。在其他實(shí)施例中�,各個(gè)證書包括相應(yīng)用戶授權(quán)信息和以下中的一個(gè)或多個(gè)認(rèn)證信息��;以及標(biāo)識(shí)信息����。例如�,在一個(gè)實(shí)施例中各個(gè)證書包括相應(yīng)用戶標(biāo)識(shí)信息、認(rèn)證信息和授權(quán)信息����。在另一些實(shí)施例中,證書包括除了上述類型信息之外的信息��。
在一個(gè)實(shí)施例中����,各個(gè)CCL包括多條記錄,其中各個(gè)記錄是以下中的一個(gè)指示證書要變化的變化請(qǐng)求記錄�;指示確認(rèn)特定證書已發(fā)生變化的變化完成記錄;CCL的時(shí)間標(biāo)記�����;以及有效證書的基本創(chuàng)建日期。
中央CCL優(yōu)選不包括變化完成記錄�����。
在一個(gè)實(shí)施例中�����,中央CCL指示的變化包括以下的一個(gè)或多個(gè)一個(gè)或多個(gè)證書的撤回��;一個(gè)或多個(gè)證書的認(rèn)證信息的變化��;和針對(duì)一個(gè)或多個(gè)證書的授權(quán)信息的變化�����。在備選實(shí)施例中�����,CCL指示的變化僅是一個(gè)或多個(gè)證書的撤回��。
在一個(gè)實(shí)施例中�,證書包括指示證書的創(chuàng)建和/或到期條件的有效信息。有效信息優(yōu)選指示一個(gè)或多個(gè)日期和/或時(shí)間���。然而��,在其他實(shí)施例中有效信息指示證書的創(chuàng)建或到期的順序����,即有效信息是一組按順序的數(shù)字中的一個(gè)或多個(gè)數(shù)字。中央CCL��、本地CCL和令牌CCL優(yōu)選包括指示相應(yīng)CCL創(chuàng)建的時(shí)間的相應(yīng)的有效信息�����。CCL最好包括指示所有有效證書的基本創(chuàng)建日期的信息�����。后一種特征允許覆蓋在基本創(chuàng)建日期之前發(fā)出的證書的變化�。
標(biāo)識(shí)信息優(yōu)選指示與用戶關(guān)聯(lián)的唯一標(biāo)識(shí)符��。認(rèn)證信息最好指示用于確認(rèn)用戶將令牌出示給閱讀器的真實(shí)性的一個(gè)或多個(gè)參考點(diǎn)�。甚至更好的是,授權(quán)信息指示用戶作為其中成員的一個(gè)或多個(gè)組���。在優(yōu)選實(shí)施例中��,這些組基于相應(yīng)用戶在組織內(nèi)的角色或多個(gè)角色����。
在一個(gè)實(shí)施例中,閱讀器包含指示下列信息中的一個(gè)或多個(gè)的配置信息時(shí)間表��;以及訪問(wèn)控制信息���。時(shí)間表最好指示時(shí)間段��。例如���,一個(gè)段由以下來(lái)定義星期一至星期五(節(jié)假日除外)的從本地時(shí)間的早上9點(diǎn)到下午5點(diǎn)。其他段定義不同��,并包括更復(fù)雜的數(shù)據(jù)結(jié)構(gòu)�����。
在一個(gè)實(shí)施例中���,訪問(wèn)控制信息響應(yīng)時(shí)間表在閱讀器確定相應(yīng)訪問(wèn)點(diǎn)是否跳動(dòng)����、即在閱讀器作出授權(quán)決定時(shí)指示哪一組或哪幾個(gè)組被授權(quán)。在一些實(shí)施例中��,訪問(wèn)控制信息包括允許作出更完善的訪問(wèn)控制決定的其他信息����。例如,針對(duì)多個(gè)威脅級(jí)別作出有關(guān)訪問(wèn)控制的決定�����。在一些實(shí)施例中���,威脅級(jí)別定義通常由系統(tǒng)的管理人員察覺(jué)到的對(duì)訪問(wèn)點(diǎn)的整體安全威脅��。
在優(yōu)選實(shí)施例中,令牌CCL包括多條記錄�����,在一個(gè)實(shí)施例中��,各個(gè)記錄是指示證書要變化的變化請(qǐng)求記錄��;或指示確認(rèn)特定證書已被變化的變化完成記錄���。
將會(huì)理解中央CCL只有變化請(qǐng)求記錄�。
該閱讀器或至少一個(gè)閱讀器優(yōu)選與網(wǎng)絡(luò)通信,并且令牌CCL和本地CCL的合并包括相應(yīng)閱讀器從令牌CCL中讀取任何變化完成記錄���;以及將本地CCL寫入令牌CCL�。
在優(yōu)選形式中��,把本地CCL寫到令牌CCL包括重寫令牌CCL��。在一個(gè)實(shí)施例中��,在把本地CCL寫到令牌CCL之前將變化完成記錄提供給網(wǎng)絡(luò)��。將可以明白��,如果在本地CCL中有對(duì)應(yīng)的變化請(qǐng)求則變化完成記錄僅發(fā)送給網(wǎng)絡(luò)��。這使得服務(wù)器從中央CCL中刪除變化請(qǐng)求以定義新的中央CCL���;以及隨后使新的中央CCL可用于連接的閱讀器�。
在一個(gè)實(shí)施例中�����,本地CCL和令牌CCL的合并發(fā)生在確定訪問(wèn)點(diǎn)是否跳動(dòng)之前。優(yōu)選地�,合并本地CCL和中央CCL。本地CCL和中央CCL最好實(shí)時(shí)合并���。也就是說(shuō)�����,在上述或各個(gè)連接的閱讀器上持有的本地CCL是網(wǎng)絡(luò)可用的最新CCL��。
在一個(gè)實(shí)施例中��,訪問(wèn)控制系統(tǒng)還包括沒(méi)有相關(guān)聯(lián)的閱讀器的訪問(wèn)點(diǎn)����。例如�����,允許用戶退出但不進(jìn)入給定場(chǎng)所的訪問(wèn)點(diǎn)��。在其他實(shí)施例中���,訪問(wèn)系統(tǒng)包括經(jīng)由令牌與網(wǎng)絡(luò)通信的斷開連接的閱讀器����。
在優(yōu)選實(shí)施例中�����,一個(gè)或幾個(gè)閱讀器在詢問(wèn)令牌時(shí)產(chǎn)生傳遞到網(wǎng)絡(luò)的相應(yīng)的事務(wù)日志���。該系統(tǒng)優(yōu)選包括不與網(wǎng)絡(luò)通信的一個(gè)或多個(gè)閱讀器(即斷開連接的閱讀器)�,其中那些閱讀器在詢問(wèn)令牌時(shí)產(chǎn)生相應(yīng)的事務(wù)日志�。事務(wù)日志最好指示相應(yīng)閱讀器的一個(gè)或多個(gè)動(dòng)作。在此實(shí)施例中��,不與網(wǎng)絡(luò)通信的一個(gè)或多個(gè)閱讀器中的每一個(gè)把相應(yīng)的事務(wù)日志寫到令牌的存儲(chǔ)器中�。當(dāng)令牌由與網(wǎng)絡(luò)通信的閱讀器(即連接的閱讀器)查詢時(shí),從令牌的存儲(chǔ)器中讀取事務(wù)日志��。一旦讀取了事務(wù)日志�����,最好是從令牌的存儲(chǔ)器中將它們刪除����。將會(huì)理解��,在優(yōu)選實(shí)施例中連接的閱讀器在詢問(wèn)令牌之后把事務(wù)日志提供給網(wǎng)絡(luò)���。由于斷開連接的閱讀器不能直接作出那種操作,因此要產(chǎn)生事務(wù)日志并把其寫到令牌中��。當(dāng)接下來(lái)把令牌提供給連接的閱讀器時(shí)�����,讀取所存儲(chǔ)的事務(wù)日志���、傳遞給網(wǎng)絡(luò)并隨后從令牌存儲(chǔ)器中將其刪除�。這允許把所有閱讀器的事務(wù)日志提供給網(wǎng)絡(luò)����,同時(shí)還確保刪除任何給定日志以便不止一次地提供它們,以及使令牌存儲(chǔ)器的使用最小��。在一些實(shí)施例中���,存儲(chǔ)在令牌的存儲(chǔ)器中的一個(gè)或幾個(gè)事務(wù)日志涉及該特定令牌的事務(wù)。然而��,在其他實(shí)施例中與其他令牌有關(guān)的事務(wù)日志可存儲(chǔ)在該特定令牌的存儲(chǔ)器中。事務(wù)日志優(yōu)選包括報(bào)警條件等���。任何這種日志最好均寫到提供給斷開連接的閱讀器的第一令牌��,并隨后從閱讀器的存儲(chǔ)器中刪除���。在一些實(shí)施例中,閱讀器在給定時(shí)間段內(nèi)把記錄寫到出示給閱讀器的那些令牌上�����。
根據(jù)本發(fā)明的第二方面�,提供了一種用于有選擇地由多個(gè)用戶訪問(wèn)的至少一個(gè)訪問(wèn)點(diǎn)的訪問(wèn)控制系統(tǒng),該訪問(wèn)點(diǎn)在閉鎖和開鎖配置之間跳動(dòng)以便相應(yīng)地阻止和允許用戶在訪問(wèn)點(diǎn)上訪問(wèn)��,該系統(tǒng)包括各個(gè)用戶的訪問(wèn)令牌���,各個(gè)令牌包括包含以下內(nèi)容的存儲(chǔ)器(a)具有標(biāo)識(shí)信息的證書�����、認(rèn)證信息和授權(quán)信息的證書���,和(b)令牌證書變化列表(CCL)�,其中各個(gè)令牌響應(yīng)詢問(wèn)信號(hào)以便產(chǎn)生從該證書得到的令牌信號(hào)���;計(jì)算機(jī)網(wǎng)絡(luò)�,用于包含指示系統(tǒng)的證書的信息并提供指示那些證書中的一個(gè)或多個(gè)需要的變化的中央CCL�;和各個(gè)訪問(wèn)點(diǎn)的訪問(wèn)閱讀器,它與網(wǎng)絡(luò)進(jìn)行通信以維護(hù)本地CCL���,該閱讀器或各個(gè)閱讀器產(chǎn)生相應(yīng)詢問(wèn)信號(hào)并響應(yīng)對(duì)應(yīng)的令牌信號(hào)以便確定相應(yīng)訪問(wèn)點(diǎn)是否跳動(dòng)到開鎖配置���;以及合并本地CCL和令牌CCL。
令牌信號(hào)優(yōu)選從證書和令牌CCL中得到���。在一個(gè)實(shí)施例中�,合并發(fā)生在確定訪問(wèn)點(diǎn)是否跳動(dòng)之前�����。優(yōu)選地��,合并本地CCL和中央CCL�。本地CCL和中央CCL最好實(shí)時(shí)合并�。即該閱讀器或各個(gè)閱讀器上持有的本地CCL是網(wǎng)絡(luò)可用的最新CCL��。
在一個(gè)實(shí)施例中��,詢問(wèn)信號(hào)和令牌信號(hào)是無(wú)線信號(hào)����。然而�����,在其他實(shí)施例中詢問(wèn)信號(hào)和/或令牌信號(hào)由在閱讀器和令牌之間延伸的一個(gè)或多個(gè)傳導(dǎo)通路和/或光通路傳送����。例如,在一個(gè)實(shí)施例中�,令牌包括與閱讀器的對(duì)應(yīng)傳導(dǎo)觸點(diǎn)物理接合的傳導(dǎo)觸點(diǎn),以在這二者之間建立一個(gè)或多個(gè)電連接��。
證書對(duì)于各個(gè)令牌優(yōu)選是唯一的����。
在一個(gè)實(shí)施例中,一個(gè)閱讀器或幾個(gè)閱讀器連接到網(wǎng)絡(luò)上�����,并且本地CCL和中央CCL的合并實(shí)時(shí)發(fā)生。在另一實(shí)施例中�,本系統(tǒng)包括至少一個(gè)從網(wǎng)絡(luò)斷開連接的其他閱讀器。將會(huì)理解�,這一其他閱讀器由于是斷開連接的閱讀器,因此不直接與中央CCL合并本地CCL���。相反�����,對(duì)于斷開連接的閱讀器���,本地CCL與出示給閱讀器以發(fā)起訪問(wèn)請(qǐng)求的各個(gè)令牌的令牌CCL合并。因此該其他單個(gè)閱讀器或幾個(gè)閱讀器不與中央CCL實(shí)時(shí)合并�。
根據(jù)本發(fā)明的第三方面,提供了一種用于有選擇地由多個(gè)用戶訪問(wèn)的多個(gè)訪問(wèn)點(diǎn)的訪問(wèn)控制系統(tǒng)���,訪問(wèn)點(diǎn)在閉鎖和開鎖配置之間跳動(dòng)以便相應(yīng)地防止和允許用戶在訪問(wèn)點(diǎn)上訪問(wèn)��,該系統(tǒng)包括針對(duì)各個(gè)用戶的訪問(wèn)令牌���,各個(gè)令牌包括用于包含證書和令牌證書變化列表(CCL)的存儲(chǔ)器���,各個(gè)令牌響應(yīng)詢問(wèn)信號(hào)以產(chǎn)生從證書中得到的令牌信號(hào);計(jì)算機(jī)網(wǎng)絡(luò)��,用于包含指示證書的信息并提供指示一個(gè)或多個(gè)那些證書所需要的變化的中央CCL�;對(duì)于至少一個(gè)訪問(wèn)點(diǎn)的訪問(wèn)閱讀器,該閱讀器與相應(yīng)令牌通信以維護(hù)與中央CCL實(shí)時(shí)合并的連接的CCL�,該閱讀器或各個(gè)閱讀器產(chǎn)生相應(yīng)的詢問(wèn)信號(hào)并響應(yīng)對(duì)應(yīng)的令牌信號(hào)以便確定相應(yīng)訪問(wèn)點(diǎn)是否跳動(dòng)到開鎖配置�;以及合并連接的CCL和令牌CCL;以及對(duì)于剩余訪問(wèn)點(diǎn)中的每一個(gè)的訪問(wèn)閱讀器�����,它與對(duì)應(yīng)令牌進(jìn)行通信以維護(hù)與對(duì)應(yīng)令牌CCL合并的斷開連接的CCL���,該閱讀器或各個(gè)閱讀器產(chǎn)生相應(yīng)的詢問(wèn)信號(hào)并響應(yīng)對(duì)應(yīng)的令牌信號(hào)以便確定相應(yīng)訪問(wèn)點(diǎn)是否跳動(dòng)到開鎖配置���。
根據(jù)本發(fā)明的第三方面,提供了用于有選擇地由多個(gè)用戶訪問(wèn)的至少一個(gè)訪問(wèn)點(diǎn)的訪問(wèn)控制的方法�,訪問(wèn)點(diǎn)在閉鎖和開鎖配置之間跳動(dòng)以便相應(yīng)地防止和允許用戶在訪問(wèn)點(diǎn)上訪問(wèn),本方法包括
為各個(gè)用戶提供訪問(wèn)令牌����,各個(gè)令牌包括用于包含證書和令牌證書變化列表(令牌CCL)的存儲(chǔ)器��,各個(gè)令牌響應(yīng)詢問(wèn)信號(hào)以便產(chǎn)生從證書中得到的令牌信號(hào)��;在計(jì)算機(jī)網(wǎng)絡(luò)上包含指示這些證書的信息�,網(wǎng)絡(luò)提供指示一個(gè)或多個(gè)那些證書所需要的變化的中央CCL�;和為各個(gè)訪問(wèn)點(diǎn)提供與網(wǎng)絡(luò)進(jìn)行通信以便維護(hù)本地CCL的訪問(wèn)閱讀器,該閱讀器或各個(gè)閱讀器產(chǎn)生相應(yīng)詢問(wèn)信號(hào)并響應(yīng)對(duì)應(yīng)的令牌信號(hào)以便確定相應(yīng)訪問(wèn)點(diǎn)是否跳動(dòng)到開鎖配置���;以及合并本地CCL和令牌CCL����。
根據(jù)本發(fā)明的第五方面����,提供了用于有選擇地由多個(gè)用戶訪問(wèn)的至少一個(gè)訪問(wèn)點(diǎn)的訪問(wèn)控制的方法,訪問(wèn)點(diǎn)在閉鎖和開鎖配置之間跳動(dòng)以便相應(yīng)地防止和允許用戶在訪問(wèn)點(diǎn)上訪問(wèn)���,該方法包括提供針對(duì)各個(gè)用戶的訪問(wèn)令牌����,各個(gè)令牌包括用于包含以下內(nèi)容的存儲(chǔ)器(a)具有標(biāo)識(shí)信息�、認(rèn)證信息和授權(quán)信息的證書,和(b)令牌證書變化列表(CCL)�����,其中,各個(gè)令牌響應(yīng)于詢問(wèn)信號(hào)以便產(chǎn)生從證書中得到的令牌信號(hào)�����;在計(jì)算機(jī)網(wǎng)絡(luò)上包含為系統(tǒng)指示證書的信息��,網(wǎng)絡(luò)提供指示一個(gè)或多個(gè)那些證書所需要的變化的中央CCL���;以及為各個(gè)訪問(wèn)點(diǎn)提供與網(wǎng)絡(luò)進(jìn)行通信以維護(hù)本地CCL的訪問(wèn)閱讀器,該閱讀器或各個(gè)閱讀器產(chǎn)生相應(yīng)詢問(wèn)信號(hào)并響應(yīng)對(duì)應(yīng)的令牌信號(hào)以便確定相應(yīng)訪問(wèn)點(diǎn)是否跳動(dòng)到開鎖配置����;以及合并本地CCL和令牌CCL。
根據(jù)本發(fā)明的第六方面��,提供了用于有選擇地由多個(gè)用戶訪問(wèn)的至少一個(gè)訪問(wèn)點(diǎn)的訪問(wèn)控制系統(tǒng)的方法����,訪問(wèn)點(diǎn)在閉鎖和開鎖配置之間跳動(dòng)以便相應(yīng)地防止和允許用戶在訪問(wèn)點(diǎn)上訪問(wèn),該方法包括
提供針對(duì)各個(gè)用戶的訪問(wèn)令牌���,各個(gè)令牌包括用于包含證書和令牌證書變化列表(CCL)的存儲(chǔ)器�����,各個(gè)令牌響應(yīng)詢問(wèn)信號(hào)以產(chǎn)生從證書中得到的令牌信號(hào)�����;在計(jì)算機(jī)網(wǎng)絡(luò)上包含指示證書的信息�����,該網(wǎng)絡(luò)提供指示一個(gè)或多個(gè)那些證書所需的變化的中央CCL���;為至少一個(gè)訪問(wèn)點(diǎn)提供與網(wǎng)絡(luò)進(jìn)行通信以便維護(hù)與中央CCL實(shí)時(shí)合并的連接的CCL的的訪問(wèn)閱讀器�,該閱讀器或各個(gè)閱讀器產(chǎn)生相應(yīng)詢問(wèn)信號(hào)���,并響應(yīng)對(duì)應(yīng)的令牌信號(hào)以便確定相應(yīng)訪問(wèn)點(diǎn)是否跳動(dòng)到開鎖配置�����;以及合并本地CCL和令牌CCL���;以及為剩余訪問(wèn)點(diǎn)中的每一個(gè)提供與相應(yīng)令牌進(jìn)行通信以便維護(hù)與對(duì)應(yīng)令牌CCL合并的斷開連接的CCL的訪問(wèn)閱讀器,該閱讀器或各個(gè)閱讀器產(chǎn)生相應(yīng)詢問(wèn)信號(hào),并響應(yīng)對(duì)應(yīng)的令牌信號(hào)以便確定相應(yīng)訪問(wèn)點(diǎn)是否跳動(dòng)到開鎖配置���。
根據(jù)本發(fā)明的第七方面����,提供了用于有選擇地由多個(gè)用戶訪問(wèn)的相應(yīng)成對(duì)的區(qū)之間的多個(gè)訪問(wèn)點(diǎn)的訪問(wèn)控制系統(tǒng)��,該訪問(wèn)點(diǎn)有選擇地在閉鎖和開鎖配置之間跳動(dòng)以便準(zhǔn)予或拒絕用戶在相應(yīng)成對(duì)的區(qū)中的區(qū)之間訪問(wèn)����,該系統(tǒng)包括用于各個(gè)用戶的訪問(wèn)令牌,各個(gè)令牌包括用于包含指示至少一個(gè)區(qū)的區(qū)記錄的存儲(chǔ)器��,各個(gè)令牌響應(yīng)詢問(wèn)信號(hào)以便產(chǎn)生從記錄中得到的令牌信號(hào)�;和針對(duì)各個(gè)訪問(wèn)點(diǎn)的訪問(wèn)閱讀器,該閱讀器具有指示成對(duì)的區(qū)中的一對(duì)區(qū)的相應(yīng)閱讀器記錄�����,該閱讀器產(chǎn)生詢問(wèn)信號(hào)并響應(yīng)對(duì)應(yīng)的令牌信號(hào)和閱讀器記錄以便確定準(zhǔn)予或拒絕訪問(wèn)�����。
在一個(gè)實(shí)施例中�����,當(dāng)查詢?cè)L問(wèn)點(diǎn)時(shí)閱讀器記錄指定一個(gè)區(qū)作為用戶處于其中的退出區(qū)�����,以及在準(zhǔn)予訪問(wèn)時(shí)指定為用戶將前進(jìn)到的進(jìn)入?yún)^(qū)����。閱讀器記錄優(yōu)選還指示一對(duì)防反傳(APB)區(qū)。該對(duì)APB區(qū)最好包括在查詢?cè)L問(wèn)點(diǎn)時(shí)用戶所處的退出APB區(qū)����,以及在準(zhǔn)予訪問(wèn)時(shí)用戶將前進(jìn)到的進(jìn)入APB區(qū)。在一個(gè)實(shí)施例中����,閱讀器響應(yīng)于進(jìn)入APB區(qū)和退出APB區(qū)的中一個(gè)或二者以確定準(zhǔn)予或拒絕訪問(wèn)。
進(jìn)入?yún)^(qū)和退出區(qū)優(yōu)選是物理空間���。然而�����,在其他實(shí)施例中一個(gè)或多個(gè)區(qū)是虛擬區(qū)�。即在一些實(shí)施例中,一個(gè)或多個(gè)區(qū)是計(jì)算機(jī)環(huán)境�。
閱讀器記錄還優(yōu)選指示當(dāng)查詢?cè)L問(wèn)點(diǎn)時(shí)用戶所處的退出防反傳(APB)區(qū);和在準(zhǔn)予訪問(wèn)時(shí)用戶將前進(jìn)到的進(jìn)入APB區(qū)�����。在一個(gè)實(shí)施例中���,閱讀器響應(yīng)于進(jìn)入APB區(qū)和退出APB區(qū)以確定準(zhǔn)予或拒絕訪問(wèn)����。
在一個(gè)實(shí)施例中��,區(qū)記錄指示以下中的一個(gè)或兩個(gè)令牌最后準(zhǔn)予訪問(wèn)的APB區(qū)(“最后APB區(qū)”)�����;和令牌最后準(zhǔn)予訪問(wèn)的區(qū)(“當(dāng)前區(qū)”)�。如果準(zhǔn)予訪問(wèn)的話這兩個(gè)區(qū)在查詢時(shí)由閱讀器有選擇地寫到令牌上。
在一個(gè)實(shí)施例中����,如果閱讀器具有不同于進(jìn)入APB區(qū)的退出APB區(qū)的話��,閱讀器響應(yīng)于令牌信號(hào)以確定最后APB區(qū)是否匹配退出APB區(qū)。如果該確定的結(jié)果是真的話�����,則準(zhǔn)予訪問(wèn)�����。否則不發(fā)生任何動(dòng)作����,并拒絕訪問(wèn)。
在一個(gè)實(shí)施例中��,如果準(zhǔn)予訪問(wèn)的話�,則閱讀器更新區(qū)記錄。閱讀器優(yōu)選更新區(qū)記錄以變化最后APB區(qū)和當(dāng)前區(qū)二者�����。
在一個(gè)實(shí)施例中����,令牌把用戶信息存儲(chǔ)到存儲(chǔ)器中,并且令牌信號(hào)從用戶信息中得到���。閱讀器最好從令牌信號(hào)提取用戶信息,并作出關(guān)于訪問(wèn)點(diǎn)是否應(yīng)當(dāng)在閉鎖和開鎖配置之間跳動(dòng)的用戶確定。閱讀器優(yōu)選從令牌信號(hào)中提取區(qū)記錄�����,并作出有關(guān)訪問(wèn)點(diǎn)是否應(yīng)當(dāng)在閉鎖和開鎖配置之間跳動(dòng)的APB確定。在優(yōu)選實(shí)施例中�����,在APB確定之前作出用戶確定���。然而�,在其他實(shí)施例中用戶確定在APB確定之后作出��。在另一些實(shí)施例中�,基本上作出第一確定需要的所有操作在作出第二確定需要的操作之前進(jìn)行。
用戶信息優(yōu)選包括以下的一個(gè)或多個(gè)相應(yīng)用戶的標(biāo)識(shí)信息�;相應(yīng)用戶的認(rèn)證信息;以及其他形式的信息如令牌證書等�。
根據(jù)本發(fā)明的第八方面,提供了用于由多個(gè)用戶有選擇地在相應(yīng)成對(duì)的區(qū)之間訪問(wèn)的多個(gè)訪問(wèn)點(diǎn)的訪問(wèn)控制系統(tǒng)的方法����,訪問(wèn)點(diǎn)有選擇地在閉鎖和開鎖配置之間跳動(dòng)以便準(zhǔn)予或拒絕用戶在相應(yīng)成對(duì)的區(qū)中的區(qū)之間訪問(wèn),該方法包括為各個(gè)用戶提供訪問(wèn)令牌�,各個(gè)令牌包括用于包含指示至少一個(gè)區(qū)的區(qū)記錄的存儲(chǔ)器,各個(gè)令牌響應(yīng)于詢問(wèn)信號(hào)來(lái)產(chǎn)生從記錄中得到的令牌信號(hào)�;以及為各個(gè)訪問(wèn)點(diǎn)提供訪問(wèn)閱讀器,閱讀器具有指示成對(duì)區(qū)中的一個(gè)區(qū)的相應(yīng)閱讀器記錄���,閱讀器產(chǎn)生詢問(wèn)信號(hào)并響應(yīng)對(duì)應(yīng)的令牌信號(hào)和閱讀器記錄以確定是否準(zhǔn)予或拒絕訪問(wèn)����。
下面將僅通過(guò)舉例方式參考附圖來(lái)描述本發(fā)明的優(yōu)選實(shí)施例���,附圖中圖1是本發(fā)明的實(shí)施例的訪問(wèn)控制系統(tǒng)的原理圖示�����;圖2是用于圖1的系統(tǒng)的智能卡的原理圖示�����;圖3是圖2的卡上的處理電路的放大圖��;圖4是說(shuō)明用于登記圖1系統(tǒng)中的用戶的步驟的流程圖�;圖5是說(shuō)明在圖1系統(tǒng)中新令牌持有者的典型登記期間圖1系統(tǒng)的組件之間的信息流的原理圖���;圖6是說(shuō)明圖1的系統(tǒng)的組件之間用以實(shí)現(xiàn)現(xiàn)有令牌持有者的訪問(wèn)權(quán)利的典型變化的信息流的原理圖�,其中令牌持有者把相應(yīng)令牌出示給連接的閱讀器;圖7是說(shuō)明圖1的系統(tǒng)的組件之間用以實(shí)現(xiàn)現(xiàn)有令牌持有者的訪問(wèn)權(quán)利的典型變化的的信息流的原理圖��,其中令牌持有者把相應(yīng)令牌出示給斷開連接的閱讀器����;
圖8(a)是說(shuō)明將變化記錄增加到圖1系統(tǒng)的連接的閱讀器的本地CCL的典型步驟的流程圖;圖8(b)是在圖8(a)的步驟中的一個(gè)步驟內(nèi)的子步驟的流程圖��;圖9是合并圖1系統(tǒng)的令牌CCL和本地CCL的典型步驟的流程圖���;圖10是由圖1系統(tǒng)進(jìn)行用以認(rèn)證用戶的典型步驟的流程圖�;圖11是由圖1系統(tǒng)進(jìn)行用以驗(yàn)證證書的典型步驟的流程圖���;圖12是由圖1系統(tǒng)進(jìn)行用以確定令牌持有者是否有權(quán)訪問(wèn)所希望的訪問(wèn)控制點(diǎn)的典型步驟的流程圖���;圖13是由圖1系統(tǒng)提供的APB功能性的原理總圖;圖14是舉例用以提供圖13的APB功能性的APB邏輯的流程圖����;圖15是類似于圖13用于進(jìn)一步闡明閱讀器配置的原理總圖;圖16是用于圖1系統(tǒng)的備選閱讀器的原理圖示���;圖17是說(shuō)明在構(gòu)成本發(fā)明的備選實(shí)施例的圖1系統(tǒng)中登記用戶的步驟的流程圖����,其中該登記不同于圖4中的登記�;圖18是說(shuō)明本發(fā)明的備選實(shí)施例中新用戶的登記的序列圖;圖19是說(shuō)明針對(duì)本發(fā)明的備選實(shí)施例證書變化請(qǐng)求的有效管理的序列圖�;圖20說(shuō)明針對(duì)本發(fā)明的備選實(shí)施例由于用戶的訪問(wèn)權(quán)利的變化而產(chǎn)生的信息流的序列圖,其中用戶在變化之后先將它們的令牌出示給連接的閱讀器���;圖21是說(shuō)明針對(duì)本發(fā)明的備選實(shí)施例由于用戶的訪問(wèn)權(quán)利的變化而產(chǎn)生的的信息流的序列圖�����,其中用戶在變化之后先將它們的令牌出示給斷開連接的閱讀器�;圖22是說(shuō)明在備選實(shí)施例中用以更新中央CCL的步驟的流程圖���;圖23是說(shuō)明在備選實(shí)施中用以合并CCL的步驟的流程圖����;和圖24是說(shuō)明在備選實(shí)施例中由閱讀器用來(lái)寫令牌CCL的步驟的流程圖�����。
具體實(shí)施例方式
交叉引用本公開包括在于2004年8月27日提交的澳大立亞臨時(shí)專利申請(qǐng)2004904895和于2004年9月16日提交的2004905346中。它們通過(guò)交叉引用的方式結(jié)合于此�。
術(shù)語(yǔ)表在更詳細(xì)地描述本發(fā)明實(shí)施例之前,針對(duì)以下用于說(shuō)明書中的術(shù)語(yǔ)提供一些指導(dǎo)(a)術(shù)語(yǔ)“用戶”指單個(gè)人�����、組織����、公司、一組個(gè)體或其他有選擇地被準(zhǔn)予有權(quán)訪問(wèn)至少一個(gè)設(shè)施�、網(wǎng)絡(luò)、場(chǎng)所����、建筑物或由訪問(wèn)控制系統(tǒng)控制的其他財(cái)產(chǎn)的至少一個(gè)訪問(wèn)點(diǎn)(作為物理或邏輯訪問(wèn)點(diǎn))的人。
(b)術(shù)語(yǔ)“訪問(wèn)令牌”指通常發(fā)給用戶并僅由該用戶使用的承載信息的裝置���。令牌通常包括以下陳述的與用戶有關(guān)的信息���。各個(gè)用戶優(yōu)選只發(fā)有一個(gè)令牌。在所述實(shí)施例中�����,令牌是無(wú)觸點(diǎn)智能卡。然而�,在其他實(shí)施例中采用其他令牌如具有觸點(diǎn)的智能卡、包括有觸點(diǎn)和無(wú)觸點(diǎn)組件二者的混合智能卡�����、磁條卡���、RFID卡、USB令牌等���。
(c)術(shù)語(yǔ)“識(shí)別”指通常從訪問(wèn)令牌獲得的代碼或其他標(biāo)識(shí)符(即指示正試圖訪問(wèn)訪問(wèn)控制點(diǎn)的用戶的身份)的過(guò)程����。也就是說(shuō)�����,用戶回答問(wèn)題“你說(shuō)你是誰(shuí)�����?”的過(guò)程。
(d)術(shù)語(yǔ)“標(biāo)識(shí)信息”指提供作為指示用戶身份的信息���。標(biāo)識(shí)信息通常包括代碼或字符串(不管是否加密)����,它多數(shù)情況下對(duì)于訪問(wèn)令牌是唯一的��,并且在登記過(guò)程期間分配給特定用戶����。在一些實(shí)施例中,標(biāo)識(shí)信息是最小的�,并作為令牌信號(hào)的加密密鑰的一部分。
(e)術(shù)語(yǔ)“認(rèn)證”指驗(yàn)證提供標(biāo)識(shí)信息的人是否有權(quán)提供該信息的過(guò)程����。即回答問(wèn)題“你(提供標(biāo)識(shí)信息的用戶)是你說(shuō)的那個(gè)人嗎?”的過(guò)程��。
(f)術(shù)語(yǔ)“認(rèn)證信息”指由用戶提供以協(xié)助用戶驗(yàn)證為合適的人的信息���。認(rèn)證信息通常包括PIN�����、口令���、簽名�、一個(gè)或多個(gè)生物特征模板(Biometric Template)以及一個(gè)或多個(gè)數(shù)字證書或其他數(shù)字簽名���。在一些實(shí)施例中此信息存儲(chǔ)在令牌上���。
(g)術(shù)語(yǔ)“組”指對(duì)一個(gè)或多個(gè)訪問(wèn)點(diǎn)具有共同訪問(wèn)權(quán)利的作為該組的成員的一個(gè)或多個(gè)用戶的集合。即���,組中的各個(gè)用戶能夠基于訪問(wèn)控制系統(tǒng)的一個(gè)或多個(gè)時(shí)間表經(jīng)由給定訪問(wèn)點(diǎn)或幾個(gè)訪問(wèn)點(diǎn)訪問(wèn)��。一個(gè)用戶包括在一個(gè)或多個(gè)組中,同樣兩個(gè)用戶雖然他們?cè)谝粋€(gè)組中也可具有不同的訪問(wèn)權(quán)利��。
(h)術(shù)語(yǔ)“時(shí)間表”指一組一個(gè)或多個(gè)離散的時(shí)間段���。例如���,一個(gè)段由在星期一到星期五(節(jié)假日之除外)從本地時(shí)間的早上9點(diǎn)到下午5點(diǎn)的那些時(shí)間段定義。其他段定義不同���,并包括更復(fù)雜的數(shù)據(jù)結(jié)構(gòu)��。如果一天的當(dāng)前時(shí)間包括在相應(yīng)表中的至少一個(gè)段內(nèi)的話時(shí)間表被認(rèn)為是“有效的”�。例如,無(wú)論何時(shí)確定出一天的當(dāng)前時(shí)間為早上9點(diǎn)到下午5點(diǎn)之間并且確定出一周的當(dāng)前日期為星期一至星期五但一年的當(dāng)前天被認(rèn)為不是假日時(shí)��,則上述時(shí)間表是“有效的”(該閱讀器配置了指示一年里哪幾天是假日的信息)��。
(i)術(shù)語(yǔ)“授權(quán)”是確定被識(shí)別和/或驗(yàn)證的人是否有權(quán)訪問(wèn)給定訪問(wèn)點(diǎn)的過(guò)程�。即回答問(wèn)題“你有權(quán)做你試圖要做的事情嗎?”的過(guò)程�。
(j)術(shù)語(yǔ)“授權(quán)信息”指被評(píng)估以確定用戶的授權(quán)的信息。授權(quán)信息通常包括字符串和/或一列數(shù)字(無(wú)論是否加密)����。在下述本發(fā)明的實(shí)施例中,給定用戶的授權(quán)信息存儲(chǔ)在相應(yīng)令牌上�,并指示用戶已成為其中一個(gè)成員的組或多個(gè)組。
(k)術(shù)語(yǔ)“訪問(wèn)閱讀器”共同指與訪問(wèn)點(diǎn)關(guān)聯(lián)并直接與主服務(wù)器通信的的硬件和軟件�。在一些實(shí)施例中,訪問(wèn)閱讀器包括鎖定裝置����、門觸點(diǎn)、任何用戶輸入裝置(如生物閱讀器����、鍵盤�����、按鈕或觸摸屏)�、I/O硬件和軟件�����、存儲(chǔ)器(稱為“本地存儲(chǔ)器”)等�����。訪問(wèn)閱讀器具有所需的信息(即標(biāo)識(shí)信息和/或認(rèn)證信息和/或授權(quán)信息)以便為對(duì)來(lái)自用戶的訪問(wèn)的請(qǐng)求作出確定���,在多數(shù)情況下不必求助于與主服務(wù)器進(jìn)行中間通信�。將會(huì)理解��,在下述實(shí)施例中訪問(wèn)閱讀器和主服務(wù)器之間沒(méi)有設(shè)置單獨(dú)的或額外的控制器��。
(l)術(shù)語(yǔ)“證書”指分配給用戶以允許用戶與系統(tǒng)交互的電子記錄����。在所述實(shí)施例中,各個(gè)證書是存儲(chǔ)在相應(yīng)令牌的存儲(chǔ)器中的數(shù)字記錄�����,并且其包括令牌(因而是已分配了該令牌的用戶)的標(biāo)識(shí)信息�、認(rèn)證信息和授權(quán)信息。將會(huì)理解����,在其他實(shí)施例中證書包括另外的信息或備選信息。例如在一個(gè)實(shí)施例中證書僅包括授權(quán)信息����。
(m)術(shù)語(yǔ)“證書變化列表”(簡(jiǎn)寫為CCL)指指示需要變化的相應(yīng)證書的一條或多條記錄的列表。CCL中記錄的示例是不再有效用于訪問(wèn)控制系統(tǒng)的證書(即證書被撤回或變化)的標(biāo)識(shí)符�����。(此記錄稱為“變化請(qǐng)求記錄”)����。CCL中記錄的另一示例是其中撤回或其他變化已執(zhí)行但還未傳遞給中央主服務(wù)器的證書的標(biāo)識(shí)符。(此記錄稱為“變化完成記錄”)����。在一些實(shí)施例中�����,還存在應(yīng)用于CCL中的變化請(qǐng)求記錄的時(shí)間限制�。例如��,如果變化完成記錄不應(yīng)提供給中央CCL以影響變化請(qǐng)求記錄在預(yù)定時(shí)段內(nèi)(通常按照天的順序)從中央CCL中刪除����,那么系統(tǒng)發(fā)出報(bào)警以進(jìn)行人工干預(yù)和校正。此功能性針對(duì)不同實(shí)施例而定制��。
(n)術(shù)語(yǔ)“令牌CCL”指令牌上存儲(chǔ)或持有的CCL�,并且它包括0條、一條或多條變化請(qǐng)求記錄和0條����、一條或多條變化完成記錄。將會(huì)理解���,能夠包含這兩類記錄的令牌CCL允許在中央主服務(wù)器和閱讀器之間雙向通信��。即變化請(qǐng)求記錄促使從服務(wù)器向外部通信,而變化完成記錄促使向內(nèi)部到服務(wù)器的通信��。
(o)術(shù)語(yǔ)“本地CCL”指閱讀器上存儲(chǔ)或保持的CCL。將會(huì)理解��,在本發(fā)明的所述實(shí)施例中連接的閱讀器和斷開連接的閱讀器二者均包括相應(yīng)的CCL��。對(duì)于連接的閱讀器�����,由于在包括在網(wǎng)絡(luò)內(nèi)的連接的閱讀器和主服務(wù)器之間的實(shí)時(shí)連接��,本地CCL實(shí)際上等效于中央CCL�。由于此連接,連接的閱讀器的本地CCL對(duì)于實(shí)際目的而言不將包含變化完成記錄�����,因?yàn)樗@將實(shí)時(shí)傳遞給服務(wù)器�。然而,斷開連接的閱讀器的本地CCL存儲(chǔ)變化完成記錄����,直到它們被更多的更新令牌CCL重寫時(shí)候?yàn)橹埂?huì)理解����,斷開連接的閱讀器的本地CCL象令牌CCL一樣更不可靠���,因?yàn)閿嚅_連接的閱讀器和令牌不與主服務(wù)器實(shí)時(shí)連接。為便于參考���,稱斷開連接的閱讀器為具有斷開連接的CCL�����,而稱連接的閱讀器為具有連接的CCL�����。如果連接的閱讀器暫時(shí)放松與服務(wù)器實(shí)時(shí)連接���,則存在本地CCL將不同于中央CCL的風(fēng)險(xiǎn)。類似地�����,如果實(shí)時(shí)連接建立在服務(wù)器和其他斷開連接的閱讀器之間���,則存在本地CCL將不同于中央CCL的高風(fēng)險(xiǎn)�。在優(yōu)選實(shí)施例中,這些風(fēng)險(xiǎn)由可檢測(cè)與服務(wù)器的實(shí)時(shí)連接的建立或重新建立的閱讀器減輕����。此外���,閱讀器可請(qǐng)求中央服務(wù)器使得中央CCL有用以允許閱讀器使本地CCL與中央CCL同步��。
(p)術(shù)語(yǔ)“中央CCL”指網(wǎng)絡(luò)存儲(chǔ)或以其它方式保持的CCL���。
(q)術(shù)語(yǔ)“合并”,在兩個(gè)CCL的上下文中使用時(shí)指那些CCL的一個(gè)或兩個(gè)相互更新以確保兩個(gè)CCL中的記錄反映最新的可用信息�����。雖然合并可以多種方式中的一種方式發(fā)生��,但在所述實(shí)施例中它主要包括兩步驟的處理����。具體而言,第一步驟是處理變化完成記錄(逐步把信息返回給中央主服務(wù)器)����,而第二步驟是用其他CCL的記錄重寫一個(gè)CCL的剩余記錄,即逐步從中央主服務(wù)器傳送信息給斷開連接的閱讀器。在一些情況下�����,合并的第二步驟包括對(duì)被合并的兩個(gè)CCL的比較���,例如在合并斷開連接的閱讀器的令牌CCL和本地CCL時(shí)該比較用以確定哪個(gè)CCL是最新的�����。然而�,在其他情況下例如當(dāng)合并連接的閱讀器的本地CCL與中央CCL時(shí)��,合并的第二步驟是通過(guò)把一個(gè)CCL的變化順序傳送到另一個(gè)上����。
(r)術(shù)語(yǔ)“訪問(wèn)控制決定”指關(guān)于是否準(zhǔn)予給定訪問(wèn)點(diǎn)上的訪問(wèn)請(qǐng)求的決定。在本發(fā)明的所述實(shí)施例中�����,訪問(wèn)控制決定由相應(yīng)閱讀器作出�,而不管那些閱讀器是連接的閱讀器還是斷開連接的閱讀器。
(s)術(shù)語(yǔ)“實(shí)時(shí)”�����,在與閱讀器進(jìn)行通信的上下文中指在閱讀器必須作出隨后的訪問(wèn)控制決定之前,通信足夠同期產(chǎn)生以允許連接的閱讀器的相應(yīng)本地CCL與中央CCL對(duì)應(yīng)���,(t)術(shù)語(yǔ)“跳動(dòng)”����,在訪問(wèn)點(diǎn)的上下文中指從閉鎖配置到開鎖配置的前進(jìn)�����。對(duì)于物理訪問(wèn)點(diǎn)這通常需要具有在閉鎖配置和開鎖配置之間前進(jìn)的鎖定裝置的門�����,并在預(yù)定延遲之后返回到閉鎖配置�。在虛擬訪問(wèn)點(diǎn)的上下文中�,術(shù)語(yǔ)“跳動(dòng)”指虛擬鎖前進(jìn)到開鎖配置并且給用戶提供相關(guān)的計(jì)算機(jī)訪問(wèn)。虛擬鎖定期或在用戶從準(zhǔn)予訪問(wèn)的計(jì)算機(jī)或網(wǎng)絡(luò)注銷時(shí)返回到閉鎖配置�����。
(u)術(shù)語(yǔ)“區(qū)”���,在閱讀器和令牌的上下文中指受保護(hù)區(qū)域或空間(作為物理區(qū)或虛擬區(qū)如計(jì)算環(huán)境)�,其只經(jīng)由一個(gè)或多個(gè)訪問(wèn)點(diǎn)訪問(wèn)。如果那些訪問(wèn)點(diǎn)中的任何一個(gè)準(zhǔn)予訪問(wèn)到該區(qū)域�,那么不再進(jìn)行訪問(wèn)控制直到用戶經(jīng)由任何受控的或不受控的訪問(wèn)點(diǎn)離開那一區(qū)域?yàn)橹埂?huì)理解���,物理和虛擬環(huán)境并行共同存在����,但如所需要的那樣相互聯(lián)系��。
(v)術(shù)語(yǔ)“防反傳區(qū)”或“APB區(qū)”����,在閱讀器和令牌的上下文中指受保護(hù)區(qū)域或空間(作為物理區(qū)或虛擬區(qū)如計(jì)算環(huán)境),其只經(jīng)由一個(gè)或多個(gè)訪問(wèn)點(diǎn)訪問(wèn)�����。如果那些訪問(wèn)點(diǎn)中的任何一個(gè)準(zhǔn)予訪問(wèn)到該區(qū)域��,則不再進(jìn)行訪問(wèn)控制直到用戶經(jīng)由任何由相應(yīng)閱讀器控制的訪問(wèn)點(diǎn)離開那一區(qū)域?yàn)橹?����。本領(lǐng)域的那些技術(shù)人員將會(huì)理解,在一些實(shí)施例中APB區(qū)在其區(qū)域內(nèi)整個(gè)包含一個(gè)或多個(gè)區(qū)或APB區(qū)���。
訪問(wèn)控制系統(tǒng)的體系結(jié)構(gòu)概述參考圖1���,其中原理上顯示了針對(duì)兩個(gè)門的訪問(wèn)點(diǎn)3和4的訪問(wèn)控制系統(tǒng)1,它們有選擇地由多個(gè)用戶(代表性地顯示為用戶5和6)訪問(wèn)�����。訪問(wèn)點(diǎn)在閉鎖配置和開鎖配置之間跳動(dòng)以便相應(yīng)地防止和允許用戶5和6在訪問(wèn)點(diǎn)3和4訪問(wèn)���。系統(tǒng)1包括針對(duì)相應(yīng)用戶5和6的形式為無(wú)觸點(diǎn)智能卡7和8的訪問(wèn)令牌。如圖2和圖3中最佳顯示的�,各個(gè)智能卡包括用于包含數(shù)字證書和令牌證書變化列表(CCL)的存儲(chǔ)器10。各個(gè)令牌響應(yīng)于詢問(wèn)信號(hào)以產(chǎn)生從證書中得到的令牌信號(hào)�。計(jì)算機(jī)網(wǎng)絡(luò)11包括包含指示系統(tǒng)的證書的信息的許多組件(下面將對(duì)其進(jìn)行更詳細(xì)的描述),并且它允許系統(tǒng)1提供指示一個(gè)或多個(gè)那些證書所需的變化的中央CCL�����。連接的訪問(wèn)閱讀器15設(shè)在訪問(wèn)點(diǎn)3附近�,并與網(wǎng)絡(luò)11通信以便維護(hù)與中央CCL實(shí)時(shí)合并的第一本地CCL。閱讀器15產(chǎn)生詢問(wèn)信號(hào)�����。并響應(yīng)對(duì)應(yīng)的令牌信號(hào)以便確定訪問(wèn)點(diǎn)3是否跳動(dòng)到開鎖配置;以及合并本地CCL和令牌CCL����。斷開連接的訪問(wèn)閱讀器16設(shè)在訪問(wèn)點(diǎn)4附近并與智能卡8通信以便維護(hù)與對(duì)應(yīng)的令牌CCL合并的第二本地CCL。閱讀器16產(chǎn)生詢問(wèn)信號(hào)并響應(yīng)來(lái)自智能卡8的對(duì)應(yīng)的令牌信號(hào)以便確定訪問(wèn)點(diǎn)4是否跳動(dòng)到開鎖配置�。
在本實(shí)施例中,訪問(wèn)點(diǎn)3是提供建筑物17的主要進(jìn)入的外部前門���。另一方面�����,訪問(wèn)點(diǎn)4是建筑物17內(nèi)部的門��。在本實(shí)施例中�,在建筑物17內(nèi)系統(tǒng)1還經(jīng)由相應(yīng)閱讀器(未顯示)容納了許多其他訪問(wèn)點(diǎn)��,為簡(jiǎn)明起見(jiàn)圖1省略了它們�。這些其他閱讀器中的一些是連接的閱讀器,而另一些是斷開連接的閱讀器���。
在其他實(shí)施例中��,訪問(wèn)點(diǎn)3和4設(shè)在不同的建筑物或設(shè)施中�����。例如���,在一個(gè)實(shí)施例中��,第一多個(gè)訪問(wèn)點(diǎn)設(shè)在給定設(shè)施內(nèi)���,而第二多個(gè)訪問(wèn)點(diǎn)設(shè)在另外的設(shè)施中。在一些實(shí)施例中這些設(shè)施彼此相鄰����,而在其他實(shí)施例中這些設(shè)施是隔開的����。在另外一些實(shí)施例中,系統(tǒng)1容納不止兩個(gè)設(shè)施�����。
在此實(shí)施例中��,網(wǎng)絡(luò)11設(shè)在建筑物17內(nèi)。然而�����,在其他實(shí)施例中網(wǎng)絡(luò)設(shè)在建筑物遠(yuǎn)處�����。其中系統(tǒng)1在多個(gè)建筑物或多個(gè)設(shè)施之上實(shí)現(xiàn)���,網(wǎng)絡(luò)11通常分布在那些設(shè)施之間�����。
閱讀器15作為連接的閱讀器通過(guò)物理電纜18與網(wǎng)絡(luò)11電鏈接�����,而閱讀器16從網(wǎng)絡(luò)中斷開連接���,在其他實(shí)施例中閱讀器15通過(guò)物理電纜或無(wú)線連接連接到網(wǎng)絡(luò)11。
而連接的閱讀器連續(xù)地與網(wǎng)絡(luò)連接�,在其他實(shí)施例中它們配置成可容許暫時(shí)地?cái)嚅_連接���,并在此期間充當(dāng)斷開連接的閱讀器����。當(dāng)恢復(fù)閱讀器和網(wǎng)絡(luò)之間的連接時(shí),閱讀器將回復(fù)到充當(dāng)連接的閱讀器�。類似地,當(dāng)斷開連接的閱讀器通常連續(xù)從網(wǎng)絡(luò)斷開連接時(shí)�����,它們針對(duì)已連接的操作配置����,如果這發(fā)生的話。例如����,在一些實(shí)施例中,斷開連接的閱讀器包括到網(wǎng)絡(luò)的無(wú)線連接��,該連接由于帶寬和成本限制僅定期有效�����。即閱讀器和網(wǎng)絡(luò)之間的連接不建立實(shí)時(shí)連接��。
網(wǎng)絡(luò)11包括數(shù)據(jù)庫(kù)21��,它包含用于管理系統(tǒng)1的各種記錄��,以下將會(huì)對(duì)此進(jìn)行詳細(xì)說(shuō)明�。此數(shù)據(jù)庫(kù)上的記錄是緊密受控的,并且對(duì)于系統(tǒng)1的正確操作而言完整性是重要的�。因此,需要確保數(shù)據(jù)庫(kù)21的物理安全性和虛擬安全性是高級(jí)的����。包含在數(shù)據(jù)庫(kù)內(nèi)的信息的例子包括·各個(gè)用戶的標(biāo)識(shí)信息,其在本實(shí)施例中為字符串形式�。這還補(bǔ)充了有關(guān)用戶登記的時(shí)間、用戶的登記細(xì)節(jié)的查看日期的信息���。
·各個(gè)用戶的認(rèn)證信息����,其在本實(shí)施例中包括各種數(shù)據(jù)����。例如PIN、口令、用戶的數(shù)字簽名和若干生物特征模板�。這些模板包括一個(gè)或多個(gè)虹膜模板、一個(gè)或多個(gè)指紋模板�����、一個(gè)或多個(gè)面部模板以及一個(gè)或多個(gè)手形模板����。對(duì)于給定生物特征的各種模板需要容納系統(tǒng)1所用的不同生物特征輸入裝置所需要的不同標(biāo)準(zhǔn)。(在一個(gè)備選實(shí)施例中�����,數(shù)據(jù)庫(kù)21僅包括可從中得到相關(guān)模板的相關(guān)生物特征的高質(zhì)量圖象)����。
·授權(quán)信息,在本實(shí)施例中它為字符串和/或一列數(shù)字����。
·系統(tǒng)1中所有訪問(wèn)閱讀器的地址,不管那些閱讀器是連接的還是斷開連接的�����。
·已由系統(tǒng)1發(fā)出的證書和關(guān)于那些證書的有效信息��。此有效信息指示證書的創(chuàng)建和/或到期條件����。例如,這在一些實(shí)施例中包括發(fā)出各個(gè)證書的定時(shí)和證書到期的定時(shí)���。然而�,在其他實(shí)施例中有效信息指示證書創(chuàng)建或到期的順序��,即有效信息是一組一個(gè)或多個(gè)按順序的數(shù)字��。
·中央CCL�,它是一列包括變化請(qǐng)求記錄、指示CCL最后變化的時(shí)間的時(shí)間標(biāo)記和指示所有有效證書的基本創(chuàng)建日期的時(shí)間標(biāo)記的記錄�����。
·時(shí)間標(biāo)記日志�����,它指示閱讀器和已傳遞給網(wǎng)絡(luò)11的令牌之間的交互���。這些交互稱為事務(wù)處理�����。在一些實(shí)施例中����,這些日志是指示以下中的一個(gè)或多個(gè)尋求訪問(wèn)的用戶的身份;所用的令牌的身份���;訪問(wèn)請(qǐng)求的定時(shí)�����;對(duì)應(yīng)的訪問(wèn)控制決定的結(jié)果����;變化完成記錄����。
雖然對(duì)于用戶典型的訪問(wèn)操作是試圖獲得訪問(wèn)某空間或區(qū)域(作為物理空間或比方說(shuō)是計(jì)算機(jī)網(wǎng)絡(luò)上的虛擬空間),但在一些實(shí)施例中訪問(wèn)控制還延伸為施放物理鎖以允許其他一些人進(jìn)入空間�����,或允許一些人訪問(wèn)限定組織的基礎(chǔ)設(shè)施的邏輯或物理資源。
在網(wǎng)絡(luò)11中還包括登記終端22以便促進(jìn)新用戶登記到系統(tǒng)1上����,并修改現(xiàn)有用戶以說(shuō)明狀態(tài)變化�����、升級(jí)����、降級(jí)和各個(gè)用戶可用的訪問(wèn)權(quán)利的變化。在其他實(shí)施例中終端22的功能由任何合適配置的桌上電腦或膝上型電腦提供�����。
主服務(wù)器23與數(shù)據(jù)庫(kù)21和終端22交互操作以便允許整體控制和管理系統(tǒng)1�����,并且它通常由系統(tǒng)管理員(未顯示)或其他合適授權(quán)的人員監(jiān)視��。服務(wù)器23和連接的閱讀器�、如閱讀器11之間的所有通信采用安全的加密通信。例如��,在一些實(shí)施例中利用IPSEC IPv6協(xié)議,而在其他實(shí)施例中采用備選協(xié)議�����。
網(wǎng)絡(luò)11還包括域控制器24以便管理網(wǎng)絡(luò)和對(duì)該網(wǎng)絡(luò)的邏輯訪問(wèn)�。在備選實(shí)施例中控制器24的功能由其他裝置、例如服務(wù)器23提供�。
網(wǎng)絡(luò)11的組件由任何合適的以太網(wǎng)線纜25鏈接。然而����,在其他實(shí)施例中采用其他形式的內(nèi)部網(wǎng)絡(luò)連接。
為簡(jiǎn)明起見(jiàn)����,系統(tǒng)1顯示為只具有兩個(gè)閱讀器、兩張卡和相對(duì)最低限的網(wǎng)絡(luò)11����。然而,將會(huì)理解系統(tǒng)1在使用時(shí)容納上萬(wàn)張卡和上萬(wàn)個(gè)閱讀器����,而不管那些卡和閱讀器是否與一個(gè)或許多各種管轄區(qū)上分布的分離建筑物關(guān)聯(lián)。
在其他實(shí)施例中����,系統(tǒng)1在希望其訪問(wèn)權(quán)利受控制或管制的設(shè)施而非建筑物上實(shí)現(xiàn)�。這種設(shè)施的例子包括以下中的一個(gè)或多個(gè)·有圍墻和門的圍場(chǎng)��。
·具有外圍圍墻和一個(gè)或多個(gè)訪問(wèn)口的場(chǎng)所��、如工業(yè)場(chǎng)所�。
·計(jì)算機(jī)網(wǎng)絡(luò)����。
·監(jiān)獄。
·保險(xiǎn)箱或安全儲(chǔ)蓄箱��。
將會(huì)理解�,在一些實(shí)施例中提供多個(gè)嵌套的閱讀器以便提供多級(jí)訪問(wèn)控制,并且這與以下描述的防反傳功能組合以提供更高的安全級(jí)別����。
在其他實(shí)施例中,系統(tǒng)1用于控制和/或調(diào)節(jié)如計(jì)算機(jī)裝置���,諸如桌面型計(jì)算機(jī)�����、膝上型計(jì)算機(jī)�、PDA、蜂窩電話��、測(cè)量設(shè)備�、動(dòng)力工具等設(shè)備的使用。如以下更詳細(xì)描述的���,該控制和/或調(diào)節(jié)采取一種或多種形式���,包括確定用戶是否可以訪問(wèn)包含該設(shè)備的存儲(chǔ)空間,并隨后專門或定期確定用戶是否能夠開始或持續(xù)使用從該存儲(chǔ)空間獲得的特定設(shè)備��。例如�,在一些實(shí)施例中授權(quán)信息從指示用戶訓(xùn)練的流行性或程度的數(shù)據(jù)中得到。因此���,如果針對(duì)該用戶的訓(xùn)練不在操作特定設(shè)備需要的級(jí)別上���,則將拒絕訪問(wèn)該設(shè)備。在一套設(shè)備需要兩個(gè)用戶的情況下���,系統(tǒng)1配置成僅在這兩個(gè)用戶在預(yù)定的時(shí)間幀內(nèi)單獨(dú)并相繼向給定閱讀器出示他們的訪問(wèn)卡的情況下允許訪問(wèn)。通常此功能通過(guò)把用戶分配到組中來(lái)管理���。例如����,具有共同技術(shù)證書的那些用戶包括在給定組內(nèi)。
包含在單獨(dú)卡上的標(biāo)識(shí)信息是唯一的���,它們一經(jīng)提取便允許識(shí)別相應(yīng)用戶��。在本實(shí)施例中����,證書整個(gè)是采用1024比特加密密鑰加密的PKI�����,但是備選實(shí)施例可采用不同級(jí)別的加密�����,如1060比特或其他長(zhǎng)度的密鑰����。然而��,在其他實(shí)施例中采用備選方法和各種級(jí)別的加密���。由于處理PKI加密代碼的遲緩���,因此其他實(shí)施例作為整體對(duì)稱地加密證書。另一些實(shí)施例還包括數(shù)字簽名�,它也作為證書的一部分或封裝于其中。
如圖2中最佳顯示的�����,卡7為ID-00格式,并包括通常具有大約33mm×66mm×0.76mm的尺寸的矩形襯底30���。采用其他格式時(shí)襯底也具有其他備選尺寸���。卡7在襯底30上包括臨近其一個(gè)角的處理電路31�。在其他實(shí)施例中,電路7設(shè)在襯底上更為中央的位置�����???還包括由多個(gè)串聯(lián)的傳導(dǎo)環(huán)路構(gòu)成的天線32,它們連接到電路31以便允許在電路31和閱讀器15與16之間進(jìn)行無(wú)線通信���。
電路31包括在電路31和另一裝置(未顯示)之間需要直接通信(相對(duì)于無(wú)線通信)的情況下用于與外部觸點(diǎn)(未顯示)接合的兩個(gè)并行觸點(diǎn)陣列33和34。
在電路31中還包括處理器35�。在其他實(shí)施例中,采用沒(méi)有處理器的卡�����。還將會(huì)理解��,卡7包括其他電路,如電源電路����、收發(fā)機(jī)電路以及為更清楚地闡明所示特征而未明確包括在附圖中的其他電路。
卡7是可進(jìn)行觸點(diǎn)操作和無(wú)觸點(diǎn)操作的混合卡��。在其他實(shí)施例中�,令牌是只可進(jìn)行觸點(diǎn)操作的一個(gè)或多個(gè)智能卡。即�����,這種卡未配備用于無(wú)觸點(diǎn)操作的裝置�����。目前看來(lái)�����,最好采用無(wú)觸點(diǎn)卡��。后一種情況的這些卡雖然具有類似于混合卡的電路但通常具有基本上完全嵌入到卡內(nèi)的電路�。即該電路肉眼看不見(jiàn)。
在其他實(shí)施例中��,系統(tǒng)采用無(wú)觸點(diǎn)卡、混合卡�、觸點(diǎn)卡或除智能卡之外的閱讀器能讀寫數(shù)據(jù)的令牌的組合或其中的一個(gè)。
主服務(wù)器23以及數(shù)據(jù)庫(kù)21還保持以下內(nèi)容·所有用戶的標(biāo)識(shí)信息����。
·所有訪問(wèn)點(diǎn)的授權(quán)信息。
·目前正訪問(wèn)系統(tǒng)1的授權(quán)用戶����。
·各個(gè)用戶已試圖獲得訪問(wèn)的事務(wù)日志,以及他們是拒絕或準(zhǔn)予訪問(wèn)以及作出訪問(wèn)控制決定的任何原因����。其他事務(wù)日志包括指示以下情形的一個(gè)或多個(gè)記錄報(bào)警條件如強(qiáng)行進(jìn)入、門保持無(wú)意打開��;閱讀器故障����;其他不合時(shí)宜或未預(yù)料到的系統(tǒng)條件;以及其他這種事件����。
將會(huì)理解����,在優(yōu)選實(shí)施例中連接的閱讀器在令牌詢問(wèn)之后給網(wǎng)絡(luò)提供事務(wù)日志��。當(dāng)斷開連接的閱讀器不能直接這樣做的時(shí)候�����,便產(chǎn)生事務(wù)日志��,并寫到事務(wù)處理所涉及的令牌上��。當(dāng)隨后把該令牌出示給連接的閱讀器時(shí)��,閱讀器讀取所存儲(chǔ)的事務(wù)日志����,并傳遞給網(wǎng)絡(luò)�����,并且隨后從令牌存儲(chǔ)器中刪除�����。這對(duì)于所有的閱讀器允許事務(wù)日志提供給網(wǎng)絡(luò)���,同時(shí)還確保刪除給定日志以便不會(huì)再次提供��,從而使令牌存儲(chǔ)器的使用率最小���。在一些實(shí)施例中��,令牌的存儲(chǔ)器中存儲(chǔ)的事務(wù)處理日志與該特定令牌的事務(wù)處理有關(guān)�。然而�,在其他實(shí)施例中與其他令牌有關(guān)的事務(wù)處理日志可存儲(chǔ)在特定令牌的存儲(chǔ)器中。將會(huì)理解����,在那些實(shí)施例中事務(wù)日志包括報(bào)警條件等,把任何這種記錄寫到出示給斷開連接的閱讀器的第一令牌上��,并隨后將其從閱讀器的存儲(chǔ)器上刪除��。在一些實(shí)施例中����,閱讀器把記錄寫到在給定時(shí)間段里出示給閱讀器的那些令牌上。
在圖1的實(shí)施例中����,獲得訪問(wèn)的試圖包括·試圖打開物理鎖(即“跳動(dòng)”)以允許一些人進(jìn)入某空間。
·試圖允許一些人訪問(wèn)限定組織的基礎(chǔ)結(jié)構(gòu)的邏輯或物理資源��。例如IT資源�����。
閱讀器15包括驅(qū)動(dòng)若干組件的I/O電路���,在本實(shí)施例中那些組件包括·門觸點(diǎn)的傳感器15a��。此傳感器具有在門打開時(shí)的第一狀態(tài)��,和在門關(guān)閉時(shí)的第二狀態(tài)�。在其他實(shí)施例中����,采用具有其他狀態(tài)的傳感器。
·門的鎖15b����。即閱讀器15驅(qū)使鎖以將其在閉鎖配置和開鎖配置之間跳動(dòng)。
·閱讀器的生物特征傳感器15c�,用于經(jīng)由閱讀器收集來(lái)自請(qǐng)求訪問(wèn)的用戶的生物特征輸入。此傳感器通常不包括在所有的閱讀器上��。
·請(qǐng)求退出(REX)傳感器,在本實(shí)施例中它的形式為紅外傳感器15d�����。在其他實(shí)施例中包括形式為安裝在墻上的按鈕的REX傳感器�����。在其他實(shí)施例中��,沒(méi)有REX傳感器���,因?yàn)橛脩艉?jiǎn)單地操作門把手來(lái)允許退出�����,在后一種情況下��,傳感器15a用于監(jiān)視門返回到關(guān)閉的配置�。
·輔助I/O通道15e�����,用于包括任何額外的傳感器或操作裝置。例如����,為容納其他生物特征傳感器或操作裝置(如鍵盤)的追溯(retrospective)安裝。
將會(huì)理解����,閱讀器16包括類似的組件����,并且這些組件設(shè)計(jì)有對(duì)應(yīng)的附加物。
訪問(wèn)控制系統(tǒng)的操作當(dāng)?shù)怯浶掠脩魰r(shí)����,利用終端22來(lái)創(chuàng)建指示用戶的標(biāo)識(shí)和他或她的生物特征參數(shù)的記錄。這些記錄提交給服務(wù)器23并與必要的訪問(wèn)組和令牌持有者的其他訪問(wèn)控制信息進(jìn)行合并����。接下來(lái)服務(wù)器23產(chǎn)生提供給新用戶的令牌證書,并使證書發(fā)送給終端22以便寫到相應(yīng)令牌上��。用于系統(tǒng)1的登記過(guò)程在圖4的流程圖中顯示出來(lái)���,這些內(nèi)容將在以下進(jìn)行更詳細(xì)的描述��。參考圖17將單獨(dú)描述備選登記過(guò)程�����。
在其他實(shí)施例中收集關(guān)于用戶的附加或備選信息��。例如���,在一些實(shí)施例中沒(méi)有收集生物特征參數(shù)��,而在附加實(shí)施例中收集了許多生物特征圖象��。類似的選擇有PIN���、口令等。
參考圖4����,初始步驟是獲得用戶的身份信息(通常為文本形式),并在步驟36讓它輸入到終端22中��。同時(shí)為用戶選擇具有唯一序列號(hào)的令牌��。在本實(shí)施例中此令牌形式為物理上由用戶攜帶的智能卡�。序列號(hào)由終端22在步驟37從卡讀取��,文本也是如此�����。序列號(hào)也可手動(dòng)輸入到終端22中�。所有這些收集的文本信息在步驟38上共同存儲(chǔ)到數(shù)據(jù)庫(kù)21中��。另外�����,在步驟39上在一個(gè)或多個(gè)用戶的高質(zhì)量生物特征圖象上獲得其他身份信息�。
在本實(shí)施例中用于收集圖象的硬件連接到終端21上并由它驅(qū)動(dòng)��。然而在其他實(shí)施例中采用備選連接和驅(qū)動(dòng)����。圖象是以下中的一個(gè)或多個(gè)一個(gè)或多個(gè)指紋圖象;面部圖象���;虹膜圖象�����;一個(gè)或多個(gè)手印圖象�����;或其他生物特征圖象�。
在一些實(shí)施例中,如目本實(shí)施例容納交叉登記����。交叉登記是在步驟40上提取高質(zhì)量生物特征圖象并連同所有其他該用戶的識(shí)別和訪問(wèn)控制信息將其保存在數(shù)據(jù)庫(kù)21中的過(guò)程。所保存的圖象可用于稍后轉(zhuǎn)換成適合已安裝的各種生物特征閱讀器的生物特征模板��,并允許在隨后安裝的生物特征閱讀器需要不同于目前所用的模板的情況下根據(jù)存儲(chǔ)的圖象創(chuàng)建新模板�����。這通過(guò)使重新登記的需要最小話而進(jìn)一步減小了與登記關(guān)聯(lián)的瓶頸����。
在步驟41根據(jù)所捕獲的圖象創(chuàng)建生物特征模板。在步驟42所得的模板存儲(chǔ)在數(shù)據(jù)庫(kù)21中�����。在不支持或不需要交叉登記或本地法律不允許圖象存儲(chǔ)裝置的情況下�,在創(chuàng)建模板之后丟棄較早捕獲的圖象��。在其他實(shí)施例中��,本地法律需要的情況下����,圖象以電子或物理方式傳輸?shù)较嚓P(guān)機(jī)構(gòu)�����。
登記過(guò)程還包括把用戶的訪問(wèn)信息輸入到終端21的步驟43����。通常此步驟涉及把用戶包括到一個(gè)或多個(gè)預(yù)定組中��,其中各個(gè)組具有時(shí)間和位置特定的預(yù)定的訪問(wèn)權(quán)利��。該用戶的訪問(wèn)信息隨后在步驟44保存到數(shù)據(jù)庫(kù)21中����。
進(jìn)行步驟36至44即獲得用戶的身份信息和訪問(wèn)信息的步驟以創(chuàng)建該用戶的資格證書。這稱為給用戶“供應(yīng)”必要裝置以在給定角色和組織內(nèi)執(zhí)行他/她的功能�。
在登記過(guò)程中采集的身份信息(通常比標(biāo)識(shí)信息和認(rèn)證信息的組合更大的信息組)用于提供許多可能的唯一標(biāo)識(shí)符和用戶的授權(quán)者如姓名、地址���、性別�����、部門����、位置、生物特征信息以及其他信息����。登記過(guò)程中采集的訪問(wèn)信息(通常比授權(quán)信息更大的信息集合)旨在用以提供用戶的授權(quán)歷史情況。
由服務(wù)器23在登記期間采集的所有信息存儲(chǔ)在數(shù)據(jù)庫(kù)21中����。此信息中的一些屬于組織的IT基礎(chǔ)設(shè)施,并因此由IT系統(tǒng)保持并管理�����。然而��,不是需要單獨(dú)IT登記��,而是終端22把所需要的信息傳遞給單獨(dú)的IT系統(tǒng)���,因此影響了單個(gè)點(diǎn)供應(yīng)�����。在其他實(shí)施例中����,所需要的信息已存在于IT系統(tǒng)上,終端22請(qǐng)求從IT系統(tǒng)中得到該信息��,因此不需要重新輸入信息����。這允許降低在各種功能的各個(gè)位置上供應(yīng)用戶所涉及的組織成本。
登記過(guò)程中的下一步驟即步驟45需要為用戶創(chuàng)建新證書��。這由服務(wù)器23來(lái)進(jìn)行���,它組合·身份信息的子集。
·生物特征模板��。這些模板通常是壓縮的�。
·訪問(wèn)信息子集,它定義了授權(quán)信息����。前者指示可用的訪問(wèn)權(quán)利��,而后者指示用戶已被分配到的訪問(wèn)組����。
·其他用戶特定的訪問(wèn)控制信息����。
前兩項(xiàng)共同定義用戶的標(biāo)識(shí)信息。
步驟45中的子步驟還包括用物理令牌標(biāo)識(shí)(即步驟37上獲得的卡的序列號(hào))把證書強(qiáng)化到利用預(yù)定散列算法計(jì)算并采用不對(duì)稱PKI密鑰的專用部分加密的預(yù)定數(shù)據(jù)結(jié)構(gòu)和散列���。此子步驟的輸出是存儲(chǔ)在數(shù)據(jù)庫(kù)21的證書存儲(chǔ)段46中的證書�,并且可用于所有連接的閱讀器�。實(shí)際上不對(duì)稱密鑰的公共部分和散列法算法標(biāo)識(shí)符在前面已作為它們的配置的一部分分布到閱讀器中。這允許閱讀器譯碼并驗(yàn)證證書����。
當(dāng)證書可用于連接的閱讀器時(shí),這允許那些閱讀器從網(wǎng)絡(luò)訪問(wèn)證書以便接下來(lái)上載到卡中��。將會(huì)理解���,不把證書發(fā)送給所有的閱讀器�,而只發(fā)給在將卡出示給閱讀器之后請(qǐng)求證書上載到卡中的那些閱讀器??紤]卡T1或其他令牌的例子,它發(fā)給了Fred����。當(dāng)此卡出示給連接的閱讀器(在本示例中為閱讀器15)時(shí),該卡將由閱讀器15詢問(wèn)�����。作為響應(yīng)���,卡T1提供識(shí)別信號(hào)����。此識(shí)別信號(hào)將向閱讀器15告警卡T1不包含有效證書�,并且該閱讀器將從服務(wù)器23請(qǐng)求證書并把它寫到卡上。
在其他實(shí)施例中證書包括其他信息或備選信息�����。例如����,在一個(gè)實(shí)施例中證書僅包括少量信息,如只有授權(quán)信息和一些基本標(biāo)識(shí)信息(如卡的序列號(hào)或令牌正使用的諸如此類的信息)���。
在另一個(gè)實(shí)施例中�,服務(wù)器把新證書廣播給所有連接的閱讀器����,并且該證書本地存儲(chǔ)在閱讀器上,直到證書必須發(fā)給卡(或其他令牌)為止����。在本實(shí)施例中如圖4和5所示的當(dāng)閱讀器15被告警該卡沒(méi)有證書時(shí),它便用識(shí)別信號(hào)來(lái)確認(rèn)存儲(chǔ)在本地存儲(chǔ)器的證書是否要寫到卡T1上�����。在此情況下發(fā)現(xiàn)證書C1�,以及從本地存儲(chǔ)器訪問(wèn)和作為證書寫信號(hào)54傳送到卡T1的對(duì)應(yīng)的數(shù)據(jù)。該卡響應(yīng)信號(hào)54來(lái)把證書C1存儲(chǔ)在卡上的存儲(chǔ)器中以便以后檢索���。在把證書C1下載到卡T1中之后�����,閱讀器15產(chǎn)生關(guān)于該證書的證書請(qǐng)求信號(hào)55并將其發(fā)送給服務(wù)器23。響應(yīng)證書請(qǐng)求事件,服務(wù)器23向所有連接的閱讀器廣播證書C1的證書刪除請(qǐng)求56����。一旦請(qǐng)求56由閱讀器接收�,證書C1便從相應(yīng)本地存儲(chǔ)器刪除��,因?yàn)椴辉傩枰阉鎯?chǔ)在閱讀器上�。這使Fred以及系統(tǒng)1的管理員具有允許把卡T1在最開始出示給任何連接的閱讀器的靈活性。因此�,減小了由于登記而造成出現(xiàn)瓶頸的風(fēng)險(xiǎn)。
一些網(wǎng)絡(luò)通信協(xié)議如IPSEC使廣播不切實(shí)際��。此外�,本地存儲(chǔ)器相對(duì)較小,而大量的證書存儲(chǔ)在本地存儲(chǔ)器產(chǎn)生了可擴(kuò)展性的問(wèn)題���。這些局限性由本發(fā)明的不采用廣播技術(shù)的備選實(shí)施例來(lái)解決�。
為簡(jiǎn)便起見(jiàn)�����,相應(yīng)閱讀器的存儲(chǔ)器稱為“本地存儲(chǔ)器”�,因?yàn)樗鼘?duì)于閱讀器是本地的����,并且與直接可用于服務(wù)器23的存儲(chǔ)器容量截然不同����。
在其他實(shí)施例中�,新用戶的登記發(fā)生在接近與終端22關(guān)聯(lián)的專用連接的閱讀器。此專用的閱讀器允許向閱讀器出示卡T1��,并在證書成為可用的時(shí)候把證書下載到卡T1上��。服務(wù)器23優(yōu)選響應(yīng)于信號(hào)52向終端22提供報(bào)警以告訴操作員證書C1現(xiàn)在是可用的�����。這允許包含保持在閱讀器的證書總數(shù)�����,這是由于在給定證書C1的創(chuàng)建和向?qū)S瞄喿x器出示需要的令牌之間的短時(shí)間�。
在其他實(shí)施例中,備選方法用來(lái)包含由于登記過(guò)程而保持在單個(gè)閱讀器的大量信息�。例如,在一個(gè)這種實(shí)施例中必須把新登記的用戶的令牌出示給一個(gè)或多個(gè)預(yù)定的閱讀器中的一個(gè)��,因?yàn)樽C書C1僅廣播給了那些一個(gè)或多個(gè)預(yù)定的閱讀器。即那些一個(gè)或多個(gè)閱讀器包括系統(tǒng)1中所有連接的閱讀器的子集���,這又使超出剩余閱讀器上的存儲(chǔ)器容量的風(fēng)險(xiǎn)最小���。
如果存儲(chǔ)在閱讀器15上的數(shù)字證書是針對(duì)已在系統(tǒng)1中登記的具有預(yù)先存在的卡的預(yù)先存在的用戶的話,那么需要撤回與用戶和卡有關(guān)的較早的證書��。該撤回發(fā)生在圖4的步驟48上��,并且以下將進(jìn)行詳細(xì)描述��。
總體來(lái)說(shuō)�����,登記的特征在于
·主服務(wù)器(服務(wù)器23)登記新用戶���,以及撤回或變化他們的訪問(wèn)權(quán)利�����。
·登記過(guò)程主要經(jīng)由終端22進(jìn)行�,在其上輸入所有必要的用戶信息����。
·卡(或其他令牌)的序列號(hào)從登記閱讀器中檢索(即閱讀器在登記用戶之前詢問(wèn)卡)或由登記操作員手工輸入����。
·可選地�����,生物特征圖象或圖像從登記閱讀器讀取���。
·如果需要交叉登記則圖象保存在圖象數(shù)據(jù)庫(kù)中,否則將在轉(zhuǎn)換成相關(guān)模板中之后丟棄���。
·用戶的訪問(wèn)信息還通過(guò)登記操作員經(jīng)由終端22提供�。
·為重新登記或變化現(xiàn)有用戶的訪問(wèn)權(quán)利�,從數(shù)據(jù)庫(kù)21檢索相關(guān)信息。
·用以創(chuàng)建新證書的所有必需的信息保存在數(shù)據(jù)庫(kù)21中����。
·通過(guò)產(chǎn)生包括在中央CCL內(nèi)的相應(yīng)的“變化請(qǐng)求”來(lái)撤回因變化而變得過(guò)時(shí)的所有證書。在其他實(shí)施例中���,其期滿也被單獨(dú)撤回的證書以及對(duì)應(yīng)的變化請(qǐng)求包括在中央CCL中���。
·在一些實(shí)施例中�����,把新證書廣播給所有連接的閱讀器以允許將那些證書寫到相關(guān)卡或其他令牌上�,在其他實(shí)施例中證書被中央存儲(chǔ)��。
在本實(shí)施例中包含在證書內(nèi)的標(biāo)識(shí)信息和授權(quán)信息包括指示以下內(nèi)容的加密數(shù)據(jù)■令牌的序列號(hào)�����。
■主服務(wù)器���、即服務(wù)器23確定的證書數(shù)字�����。
■用戶的身份���。
■一個(gè)或多個(gè)預(yù)定的生物特征模板。
■一個(gè)或多個(gè)訪問(wèn)組的標(biāo)識(shí)符���。
■訪問(wèn)控制標(biāo)志�����,包括◆需要的長(zhǎng)期訪問(wèn)�。
◆兩個(gè)人的規(guī)則。
◆所需要的監(jiān)視者�����。
◆監(jiān)視者���。
◆保安。
■證書有效日期�。
■1-7的SHn散列。
在其他實(shí)施例中�,證書包括指示不同類型或形式的信息的加密數(shù)據(jù)。
如果已有用戶在他或她的授權(quán)上有變化(由于組織內(nèi)狀態(tài)的變化如他或她的角色或職責(zé)的變化)��,則為此需要把它輸入到系統(tǒng)1中并通過(guò)其進(jìn)行傳播���。在圖6中說(shuō)明性地闡述了如應(yīng)用于采用廣播的系統(tǒng)以變化用戶的登記的這些步驟以及相關(guān)信息流的例子�。具體而言�����,已發(fā)給了證書C1的用戶(再次作為“Fred”)現(xiàn)在需要修正他的訪問(wèn)權(quán)利以正確地匹配在給定組織已分配的新角色。訪問(wèn)權(quán)利的變化通過(guò)操作員(如登記辦事員)經(jīng)由終端22選擇Fred作為其成員的一個(gè)組或幾個(gè)組來(lái)反映出來(lái)���。將會(huì)理解���,取決于角色變化的性質(zhì)所選擇的組在一定程度上完全對(duì)應(yīng)或根本不對(duì)應(yīng)于最初選擇的組。一旦操作員已作出了合適的選擇���,即一旦操作員已執(zhí)行了圖4的步驟43�,則新創(chuàng)建的訪問(wèn)信息便存儲(chǔ)在數(shù)據(jù)庫(kù)21中����,即在圖4的步驟44上。響應(yīng)于此把登記請(qǐng)求或授權(quán)變化請(qǐng)求60發(fā)送給服務(wù)器23�,接下來(lái)又開始圖4的步驟46至48。即創(chuàng)建稱為證書C2的新證書���,并把證書C1的參考增加到中央CCL���。此參考作為證書變化請(qǐng)求記錄保持在中央CCL中。再次參考圖6�,在創(chuàng)建證書C2之后,服務(wù)器23向所有連接的閱讀器廣播包含了指示證書C2的數(shù)據(jù)的證書信號(hào)61。證書C1的證書變化請(qǐng)求記錄62同時(shí)并且對(duì)于系統(tǒng)1實(shí)時(shí)地廣播到連接的閱讀器�。此廣播是新變化請(qǐng)求記錄輸入到中央CCL中的結(jié)果,并導(dǎo)致所有連接的閱讀器的本地CCL被更新以包括記錄62���。
連接的閱讀器響應(yīng)請(qǐng)求61把證書存儲(chǔ)在本地存儲(chǔ)器中�����。
存儲(chǔ)在本地CCL中的變化請(qǐng)求記錄62的包含物確保所有那些閱讀器包括一旦把C1出示給那些閱讀器中的任何一個(gè)時(shí)需要撤回它的參考����。所有連接的閱讀器的本地CCL均實(shí)時(shí)對(duì)應(yīng)于中央CCL����。如果在Fred向連接的閱讀器出示卡T1之前,系統(tǒng)的其他用戶在本示例中稱為“Peter”向連接的閱讀器出示他的卡T2�����,則發(fā)生以下一序列步驟���。最初,這包括響應(yīng)閱讀器15提供的詢問(wèn)信號(hào)而提供識(shí)別信號(hào)63的卡T2�����。信號(hào)63包含指示保持在卡T2上的證書的數(shù)據(jù),此外它由閱讀器15用來(lái)確定是否準(zhǔn)予Peter在該訪問(wèn)點(diǎn)上在給定時(shí)刻進(jìn)行訪問(wèn)�����。接下來(lái)�,卡T2上的令牌CCL與閱讀器15的本地CCL合并。令牌CCL與連接的閱讀器的本地CCL的合并包括初始化處理來(lái)自令牌CCL的任何變化完成記錄(這在以下進(jìn)一步討論)�,隨后在令牌CCL上寫本地CCL。本地CCL優(yōu)先于令牌CCL(除變化完成記錄以外)����,這是因?yàn)楸镜谻CL用中央CCL更新,而令牌CCL的可靠性更低�����。在本示例中這種層次結(jié)構(gòu)的結(jié)果是令牌CCL現(xiàn)在包括證書C1的變化請(qǐng)求記錄���。在圖6中���,把變化請(qǐng)求記錄從本地CCL寫到令牌CCL標(biāo)識(shí)為信號(hào)64。
在合并CCL之后��,閱讀器15針對(duì)Peter作出在給定訪問(wèn)點(diǎn)上的訪問(wèn)控制決定。如上所述����,卡T2包括在更早的登記過(guò)程之前發(fā)給Peter的證書。此證書在圖中未標(biāo)識(shí)或指出�����,因?yàn)樗c在中央CCL���、斷開連接的閱讀器的本地CCL和令牌CCL之間記錄的雙向傳播的步驟沒(méi)有密切關(guān)系���。
如果在以上步驟之后,Peter向斷開連接的閱讀器16出示卡T2��,并且沒(méi)有任何其他相關(guān)的干預(yù)事件�����,則該閱讀器以正常方式詢問(wèn)卡T2以訪問(wèn)Peter存儲(chǔ)在卡T2上的相關(guān)證書���。類似于閱讀器15、閱讀器16的以上示例����,在作出訪問(wèn)控制決定之前��,將訪問(wèn)相應(yīng)令牌CCL并與本地CCL合并����。然而���,在此情況下由于閱讀器15是斷開連接的閱讀器����,一旦查明了那些CCL的相關(guān)年齡則僅發(fā)生CCL的合并��。CCL的合并包括首先確保來(lái)自本地CCL的任何變化完成記錄由閱讀器從令牌CCL讀取����,作為用于把記錄或多個(gè)記錄傳送到斷開連接的閱讀器并因而傳送到中央CCL的手段。CCL內(nèi)的變化完成記錄和變化請(qǐng)求記錄的包含物以及CCL通過(guò)合并的系統(tǒng)處理允許在斷開連接的閱讀器和服務(wù)器23之間進(jìn)行有效的雙向通信�。
系統(tǒng)1內(nèi)的層次結(jié)構(gòu)包括在其頂點(diǎn)上的服務(wù)器23。在此以下全部是連接的閱讀器�����。在連接的閱讀器以下是任何斷開連接的裝置���,它包括斷開連接的閱讀器和令牌���。當(dāng)對(duì)中央CCL作出變化(通常為在接下來(lái)把給定證書出示給閱讀器時(shí)命令撤回它)時(shí)���,把這些變化傳播給連接的閱讀器的本地CCL。此操作是信息通過(guò)該層次結(jié)構(gòu)向下傳送���,它按順序從中央服務(wù)器23到連接的閱讀器15�����、從連接的閱讀器到令牌7和8以及從令牌到斷開連接的閱讀器16����。系統(tǒng)1還通過(guò)該層次結(jié)構(gòu)回溯提供與以上給出的順序相反的順序通信�����。通過(guò)該層次結(jié)構(gòu)回溯進(jìn)行的通信通過(guò)傳送指示給定證書的變化完成的記錄(即變化完成記錄)而發(fā)生��。
在系統(tǒng)1中當(dāng)令牌與連接的閱讀器交互時(shí)�����,這些變化完成記錄在剩余變化請(qǐng)求記錄合并之前處理��。不像令牌CCL中的其他記錄�,由于令牌和連接的閱讀器的相對(duì)的層次位置這確保了變化完成記錄在重寫令牌CCL之前處理。
由于服務(wù)器23位于該層次結(jié)構(gòu)的較高位置�,因此中央CCL的所有變化均通過(guò)所有連接的閱讀器的本地CCL中所包括的對(duì)應(yīng)記錄而實(shí)時(shí)反映出來(lái)。因此�,在中央CCL內(nèi)包括的新記錄指示證書將撤回的情況下,所有連接的閱讀器的本地CCL與中央CCL合并�����。當(dāng)合并出現(xiàn)時(shí)���,本地CCL的時(shí)間標(biāo)記被更新為當(dāng)前時(shí)間����。當(dāng)變化完成事務(wù)處理由連接的閱讀器發(fā)送給服務(wù)器23時(shí)CCL的時(shí)間標(biāo)記也被更新�����。完成的變化請(qǐng)求從本地CCL和中央CCL中刪除����。
當(dāng)令牌出示給斷開連接的閱讀器時(shí)���,并在閱讀器的最初交互之后,向令牌寫變化完成記錄���,比較應(yīng)用于令牌CCL和本地CCL的時(shí)間標(biāo)記���。隨后基于來(lái)自兩個(gè)中最新的CCL的記錄合并變化請(qǐng)求記錄,以便用來(lái)重寫其他CCL的記錄����。重要的是,不變化CCL的時(shí)間標(biāo)記���,而是令牌CCL和本地CCL將具有在合并之前包括在相應(yīng)CCL中的那兩個(gè)時(shí)間標(biāo)記中最新的時(shí)間標(biāo)記��。
此過(guò)程(與在此干預(yù)期間在向連接的閱讀器出示卡T1之前出示給連接的閱讀器的所有其他卡或令牌一起發(fā)生的)的共同結(jié)果是斷開連接的閱讀器將被通知有證書變化請(qǐng)求���。對(duì)于斷開連接的閱讀器而言唯一例外的是在該時(shí)間段里不出示卡。在大型系統(tǒng)中如本實(shí)施例有許多用戶的情況下���,已發(fā)現(xiàn)在所有要被更新的閱讀器中通常只有較小的延遲��。為進(jìn)一步減小具有留下更不可靠的本地CCL的斷開連接的閱讀器的風(fēng)險(xiǎn)��,在設(shè)計(jì)系統(tǒng)1時(shí)要留心�����。例如���,通過(guò)用連接的閱讀器替代一些斷開連接的閱讀器。重要的是���,這改善了系統(tǒng)的性能���,不僅是因?yàn)橛懈俚倪B接的閱讀器需要更新相應(yīng)的本地CCL,而且還因?yàn)橛懈嗟倪B接的閱讀器要更新令牌CCL�����。
用于系統(tǒng)1中的令牌(在本示例中為卡7和8)允許更新斷開連接的閱讀器的本地CCL��。此操作由以上所述的兩步驟的合并處理來(lái)進(jìn)行�����。即���,變化完成請(qǐng)求的最初處理確保那些請(qǐng)求適當(dāng)?shù)貍鞑ソo服務(wù)器23��,而合并CCL中其余項(xiàng)(在本實(shí)施例中變化請(qǐng)求記錄)的第二步驟確保本地CCL和令牌CCL二者包含在它們之間共享的最新信息�。
回到圖6中提供的示例,將會(huì)理解在把證書C2廣播到所有連接的閱讀器之后��,F(xiàn)red向那些閱讀器中的一個(gè)出示卡T1����,在本示例中為閱讀器15。該出示操作主要由Fred執(zhí)行以請(qǐng)求在相應(yīng)訪問(wèn)點(diǎn)上訪問(wèn)�����,并且最初該過(guò)程是相同的����,因?yàn)樽C書C1由閱讀器15從令牌T1讀取以允許閱讀器從確定Fred在該位置以及該時(shí)間準(zhǔn)予還是拒絕訪問(wèn)開始。由閱讀器15的讀取包括還包含指示證書C1的數(shù)據(jù)的識(shí)別信號(hào)65���。接下來(lái)����,重新處理令牌CCL上的任何變化完成記錄,因?yàn)閷⑺鼈儼l(fā)送給了服務(wù)器23����。在本示例中,沒(méi)有這種請(qǐng)求����,并且同樣繼續(xù)合并本地CCL和令牌CCL。這導(dǎo)致令牌CCL中的變化請(qǐng)求記錄由本地CCL中的變化請(qǐng)求記錄重寫�。事實(shí)上��,本地CCL(作為連接的閱讀器的CCL)是最新的����,并優(yōu)先于只與連接的閱讀器的最后合并一樣是最近的具有較低可靠性的令牌CCL。
一旦閱讀器將證書C1識(shí)別為在本地CCL內(nèi)存在變化請(qǐng)求記錄的證書����,閱讀器便向卡T1發(fā)送信號(hào)66,從而導(dǎo)致證書C1撤回并從中刪除或在卡T1上重寫���。在相同情況下����,對(duì)于斷開連接的閱讀器證書C1不被刪除相反會(huì)留在卡T1的存儲(chǔ)器中,因?yàn)樵跀嚅_連接的閱讀器上沒(méi)有保持新證書C2的拷貝���。然而���,證書C1的狀態(tài)被變化成“撤回”的狀態(tài),并在一定程度上仍可用于系統(tǒng)1���。使用的程度由系統(tǒng)1的配置確定��,范圍從完全授權(quán)到?jīng)]有授權(quán)�。更典型的是�,授權(quán)將是有限的,并且將應(yīng)用獲得證書C2的時(shí)間段��。
為確認(rèn)證書C1從卡T1中撤回���,閱讀器15隨后向服務(wù)器23發(fā)送變化完成記錄67�。作為響應(yīng)����,服務(wù)器23產(chǎn)生變化完成記錄68,該被廣播到所有連接的閱讀器的證書C1并由那些閱讀器處理以從所有連接的閱讀器的本地CCL刪除證書C1的對(duì)應(yīng)的變化請(qǐng)求記錄�����。
閱讀器15則產(chǎn)生把證書C2寫到卡T1上的寫信號(hào)69,隨后把證書完成信號(hào)70發(fā)送給服務(wù)器23以確認(rèn)證書C2已發(fā)給Fred����。閱讀器隨后合并本地CCL與令牌CCL,以確保后者利用本地CCL并因此利用中央CCL來(lái)更新�����。此合并確?���?═1的令牌CCL是最新的�。在本示例中,本地CCL的最新版本反映了證書C1的變化請(qǐng)求記錄從本地CCL的最新刪除���。在完成合并之后�����,令牌CCL也將不再包括證書的變化請(qǐng)求記錄���。
服務(wù)器23響應(yīng)信號(hào)70以產(chǎn)生廣播給所有連接的閱讀器的證書C2的發(fā)出完成信號(hào)71。此信號(hào)由那些閱讀器處理以從相應(yīng)本地存儲(chǔ)器中刪除證書C2。將會(huì)理解����,在任何閱讀器上不再需要證書C2,因?yàn)樗驯幌螺d到卡T1中��。
將會(huì)理解���,在此時(shí)間點(diǎn)上斷開連接的閱讀器16將不接收信號(hào)68��,并且同樣將仍然將證書C1的變化請(qǐng)求記錄包括在本地CCL中���。然而,對(duì)于本發(fā)明的典型系統(tǒng)這通常是短暫存在的現(xiàn)象���。具體而言�����,有許多卡或其他令牌在使用�,通常在具有更新令牌CCL的卡出示給閱讀器16之前只有很短的時(shí)間��。作為更新的令牌CCL的意思是在從中央CCL刪除證書C1之后相應(yīng)卡已被出示給連接的閱讀器���。因此�,在與那一更新令牌CCL合并之后令牌CCL不包括證書C1的變化請(qǐng)求,本地CCL也不包括���。
對(duì)于另一示例圖7顯示了用于變化用戶的登記的步驟和信息流��,并且利用對(duì)應(yīng)的標(biāo)識(shí)指示對(duì)應(yīng)的特征���。具體而言,已發(fā)有證書C1的用戶(又例如“Fred”)現(xiàn)在需要修正他的訪問(wèn)權(quán)利以正確地匹配他在給定組織內(nèi)已分配的新角色�����。在本示例中�,在登記變化和相關(guān)記錄由Peter從連接的閱讀器15傳播到斷開連接的閱讀器16之后,F(xiàn)red首先向斷開連接的閱讀器16出示卡T1����。將會(huì)記得在圖6的示例中�,在登記中的變化之后,F(xiàn)red首先向連接的閱讀器出示卡T1���。
重要的區(qū)別在于圖7的示例由于證書C2在閱讀器16上不將可用而不能下載到卡T1���。盡管閱讀器16的本地CCL將包含證書C1的證書變化請(qǐng)求�,但這將處理成證書C1的狀態(tài)變化到“撤回”的狀態(tài)的最終結(jié)果�����。此外���,變化完成記錄由閱讀器16產(chǎn)生并寫到卡T1上的令牌CCL�。
當(dāng)卡T1后來(lái)出示給連接的閱讀器時(shí)�,變化完成記錄將由連接的閱讀器讀取并發(fā)送給服務(wù)器23,然后把證書C2寫到卡T1�。
在圖7闡述的背境下,證書C1保持有效使用至少一段預(yù)定的時(shí)間����,而不管所撤回的狀態(tài)。然而�,在其他實(shí)施例中如果證書C1出示給斷開連接的閱讀器的話,則系統(tǒng)1立即使它無(wú)效�����。
圖8(a)和圖8(b)顯示了讓新變化請(qǐng)求記錄發(fā)送到連接的閱讀器的本地CCL并包括在其中的步驟����?�?傮w來(lái)說(shuō)·主機(jī)(服務(wù)器23)把相關(guān)變化請(qǐng)求(變化請(qǐng)求記錄或已執(zhí)行的變化記錄)廣播給所有連接的閱讀器���。
·閱讀器各自把新請(qǐng)求增加到CCL中并從CCL刪除已執(zhí)行的請(qǐng)求。
·在所有情況下更新本地CCL的時(shí)間標(biāo)記�����。
·當(dāng)把記錄添加到本地CCL時(shí)���,如果本地存儲(chǔ)器中沒(méi)有可用空間����,則刪除已執(zhí)行的記錄(最舊的第一的)直到在存儲(chǔ)器內(nèi)有足夠的空間為止�。
圖9說(shuō)明合并令牌CCL和本地CCL的步驟?�?傮w來(lái)說(shuō)·令牌CCL的CCL時(shí)間標(biāo)記和斷開連接的閱讀器的本地CCL用來(lái)確定哪一個(gè)是更新的CCL���。對(duì)于連接的閱讀器,假設(shè)本地CCL是當(dāng)前的����。
·把來(lái)自更老的CCL(SCCL)的請(qǐng)求記錄的執(zhí)行狀態(tài)合并到更新的CCL(DCCL)中�。
·簡(jiǎn)單地忽略DCCL中不存在的SCCL請(qǐng)求記錄(因?yàn)樗鼈儾槐粋魉偷紻CCL)���。
·連接的閱讀器尋找任何變化完成記錄���,并將它們送回服務(wù)器23然后從CCL中刪除它們。如果發(fā)現(xiàn)這些項(xiàng)則更新CCL時(shí)間標(biāo)記�����。
·所得的CCL成為閱讀器的新本地CCL并且還被寫到令牌CCL�。
圖10顯示了通常用來(lái)驗(yàn)證用戶的步驟?����?傮w來(lái)說(shuō)·在驗(yàn)證有效的令牌之后���,閱讀器從令牌讀取證書��。
·采用為此分配的加密密鑰來(lái)對(duì)證書進(jìn)行譯碼�����。
·對(duì)于采用數(shù)字簽名的實(shí)施例���,閱讀器計(jì)算數(shù)字簽名并將它與證書上的簽名進(jìn)行比較��,以驗(yàn)證它���。
·如果該簽名驗(yàn)證通過(guò),則閱讀器與證書上的一個(gè)序列號(hào)匹配���。如果匹配失敗�����,則拒絕該令牌��。
·如果閱讀器配備了生物特征裝置�����,它提示用戶需要對(duì)應(yīng)的生物特征印記����、圖象或其他生物特征測(cè)量。
·所接收的生物特征印記傳送到模板并與證書上存儲(chǔ)的一個(gè)或多個(gè)生物特征模板比較���。
·如果失敗,則閱讀器重試三次以得到生物特征匹配�。在其他實(shí)施例中,采用不同次數(shù)的重試����。
·當(dāng)成功匹配時(shí),或如果閱讀器未配置為具有生物特征裝置��,則令牌持有者被驗(yàn)證通過(guò)�。
·否則令牌持有者被拒絕。
·如果被配置����,則閱讀器可破壞或撤回拒絕的令牌。
一旦令牌和對(duì)應(yīng)的證書被驗(yàn)證通過(guò)�����,則閱讀器檢查任何相關(guān)已知變化��。此過(guò)程在圖11中顯示出來(lái)���,且總體來(lái)說(shuō)包括·令牌的CCL與閱讀器的本地CCL合并��,并把所得的本地CCL寫到令牌的存儲(chǔ)器以定義新令牌CCL�����。
·所得的本地CCL(即在閱讀器上的CCL)(等于現(xiàn)在包含在令牌上的CCL)用來(lái)檢查證書是否撤回��。
·搜索閱讀器的存儲(chǔ)器所保持的本地證書以確定新證書是否可為令牌持有者所用�。如果這樣的話新證書被驗(yàn)證有效并在令牌上更新。
·最后兩個(gè)步驟重復(fù)進(jìn)行��,直到不再有可用于用戶的新證書為止�。
·如果最后的證書被撤回,則拒絕令牌��。否則接受令牌��。
·在一些實(shí)施例中��,閱讀器配置成可保持撤回的證書在有限的時(shí)間段里是當(dāng)前的����。即雖然證書具有撤回的狀態(tài),但它也能用一段有限的時(shí)間或用于有限的用途���。
一旦接受了令牌�����,則相關(guān)閱讀器從證書提取訪問(wèn)組列表�����。此過(guò)程在圖12顯示�,且總體來(lái)說(shuō)包括·在閱讀器的訪問(wèn)表中搜索訪問(wèn)組列表中的各個(gè)組����。
·如果發(fā)現(xiàn)該組有任何訪問(wèn)時(shí)間表的項(xiàng),其時(shí)間表對(duì)于當(dāng)前時(shí)間是有效的���,則授權(quán)令牌�。
·如果沒(méi)有具有任何有效的時(shí)間表的訪問(wèn)組���,則拒絕令牌�����。
在圖16中顯示了系統(tǒng)1的備選閱讀器100�����,其中對(duì)應(yīng)的參考標(biāo)號(hào)指示對(duì)應(yīng)的特征�����。閱讀器100不像閱讀器15和16�����,它包括1用于與門觸點(diǎn)的傳感器101a���、門的鎖15b和紅外REX傳感器101d接口的專用I/O模塊10�����。模塊101還提供大量輔助I/O通道101e�。在其他實(shí)施例中���,模塊101與其他和/或備選外部裝置接口���。
在備選實(shí)施例中系統(tǒng)1配置成可以不同方式運(yùn)作,如下所述����。本領(lǐng)域的技術(shù)人員通過(guò)這里給出示教將會(huì)理解�����,系統(tǒng)1還能以其他方式運(yùn)作�����,這取決于它所安裝的場(chǎng)所的特定環(huán)境。
在此備選實(shí)施例中���,用戶的證書作為最小單位指示相應(yīng)用戶的授權(quán)信息����。即本實(shí)施例中的證書不一定指示標(biāo)識(shí)信息或認(rèn)證信息��。令牌各自包括相應(yīng)用戶的一些形式的標(biāo)識(shí)信息���,并且這保持在令牌的存儲(chǔ)器中���。此外,令牌各自包括相應(yīng)用戶的一些形式的認(rèn)證信息�,并且這保持在令牌的存儲(chǔ)器中���。
此備選實(shí)施例僅允許在中央CCL上對(duì)CCL進(jìn)行變化,結(jié)果那些變化從那里傳播��。例如�����,當(dāng)連接的閱讀器從令牌CCL接收到變化完成請(qǐng)求時(shí)�����,便將完成請(qǐng)求傳遞給變化請(qǐng)求從中央CCL中刪除的服務(wù)器�。中央CCL隨后與連接的閱讀器的本地CCL合并。該合并還通過(guò)以下發(fā)生服務(wù)器與閱讀器通信以開始合并���;或閱讀器與服務(wù)器通信以單獨(dú)開始合并���。即,前者是從服務(wù)器向外的“推式”通信����,而后者是通過(guò)閱讀器并向其進(jìn)行的“拉式”通信。
本領(lǐng)域的技術(shù)人員通過(guò)這里包含的示教將會(huì)理解���,當(dāng)變化請(qǐng)求由該閱讀器執(zhí)行時(shí)連接的閱讀器把變化完成請(qǐng)求傳遞給服務(wù)器�����。這確保將所有執(zhí)行的變化請(qǐng)求傳遞給服務(wù)器�����,而不管那些請(qǐng)求是由連接的閱讀器執(zhí)行還是由斷開連接的閱讀器執(zhí)行���。在連接的閱讀器上競(jìng)爭(zhēng)的變化請(qǐng)求將不經(jīng)過(guò)延遲或經(jīng)過(guò)很小的延遲而傳遞給服務(wù)器��,而對(duì)于斷開連接的閱讀器通常會(huì)有一些延遲�。
一些閱讀器特別是在高安全的區(qū)域中的那些閱讀器需要除保持在令牌的存儲(chǔ)器之外的額外識(shí)別或認(rèn)證���。在這種情況下,這些備選實(shí)施例的閱讀器還包括存儲(chǔ)需要的信息(例如實(shí)際只有很少用戶被授權(quán)在該訪問(wèn)點(diǎn)上訪問(wèn))或基于所需從網(wǎng)絡(luò)11搜索信息���。
對(duì)于備選實(shí)施例��,變化請(qǐng)求僅通過(guò)服務(wù)器23產(chǎn)生����,并且所有執(zhí)行的變化請(qǐng)求被送回給服務(wù)器23。對(duì)于連接的閱讀器而言那是相對(duì)簡(jiǎn)單的���。然而����,對(duì)于斷開連接的閱讀器而言���,執(zhí)行的變化請(qǐng)求從相關(guān)閱讀器傳遞到令牌���,從令牌傳遞到連接的閱讀器,然后從連接的閱讀器傳遞到服務(wù)器23��。已發(fā)現(xiàn)�����,管理中央CCL的最有效率的方式是通過(guò)連接的閱讀器把所有已知已執(zhí)行的請(qǐng)求送回給中央服務(wù)器(這隨后可通過(guò)刪除執(zhí)行的請(qǐng)求和添加新請(qǐng)求而可靠地更新中央CCL)��。此外�,在中央CCL的每次變化之后服務(wù)器23便更新CCL的時(shí)間標(biāo)記。更新的CCL由服務(wù)器23按要求或按命令送回給閱讀器����。例如��,在一些實(shí)施例中服務(wù)器23定期向所有連接的閱讀器發(fā)送更新的中央CCL(如果在預(yù)先時(shí)間里它發(fā)生變化的話)��?;蛘撸B接的閱讀器在處理新出示的令牌之前請(qǐng)求來(lái)自服務(wù)器23的CCL更新����。在其他實(shí)施例中��,連接的閱讀器定期請(qǐng)求CCL的更新�。無(wú)論何時(shí)連接的閱讀器從服務(wù)器23接收新CCL,便會(huì)丟棄保持在本地CCL上的先前版本。后一種功能基于(如在本段落的開頭所陳述的)對(duì)于連接的閱讀器已知的所有已完成的請(qǐng)求而言通信已被發(fā)送給服務(wù)器23���。
由于沒(méi)有通過(guò)服務(wù)器23發(fā)送給連接的閱讀器的單獨(dú)的變化請(qǐng)求���,因此閱讀器不更新相應(yīng)本地CCL的時(shí)間標(biāo)記�����。因此,中央CCL將總是具有最近時(shí)間標(biāo)記����,并且在將其傳遞給連接的閱讀器時(shí)�,將導(dǎo)致本地CCL重寫。
由于具有以上適當(dāng)?shù)墓δ埽虼烁纳屏擞蛇B接的閱讀器保持的本地CCL是最新的確定水平。因此當(dāng)向連接的閱讀器出示令牌并由它詢問(wèn)時(shí)���,該閱讀器需要有僅關(guān)于令牌CCL上的任何完整的請(qǐng)求�,而丟棄所有其他的請(qǐng)求��。已完成的請(qǐng)求通過(guò)向服務(wù)器23發(fā)送通信而處理��,并還更新來(lái)自服務(wù)器23的懸掛任何中央CCL的本地CCL���。連接的閱讀器只需要在令牌CCL上寫未執(zhí)行的請(qǐng)求。否則在斷開連接的閱讀器上合并CCL的邏輯實(shí)質(zhì)上與本文獻(xiàn)中先前描述的保持相同�����。
圖17中顯示了該備選實(shí)施例的登記過(guò)程����,并且這對(duì)于更早說(shuō)明的實(shí)施例而言代表圖4的登記過(guò)程��。將會(huì)理解圖4和17中的對(duì)應(yīng)步驟用對(duì)應(yīng)的參考標(biāo)號(hào)指示。開始的步驟類似于圖4的那些步驟�,因?yàn)榛旧暇幾g并保存相同的信息�����。然而����,當(dāng)在圖17的步驟46中創(chuàng)建證書時(shí)��,僅關(guān)心訪問(wèn)信息���。如早先描述的實(shí)施例�����,訪問(wèn)信息指示用戶作為其成員的組�����。
注釋圖17的過(guò)程的其他一些要點(diǎn)是·主機(jī)或服務(wù)器登記新用戶以及撤回或變化他和其他用戶的訪問(wèn)權(quán)利��。權(quán)利的任何撤回或變化使得已有證書被撤回��,對(duì)于只有權(quán)利變化而言把新證書發(fā)給用戶����。因此,針對(duì)每個(gè)變化中央CCL將具有包括在其中的變化請(qǐng)求�。由于中央CCL與連接的閱讀器的相應(yīng)本地CCL合并,因此變化請(qǐng)求還將出現(xiàn)在本地CCL上�����。
·從登記終端22得到所有身份信息的登記過(guò)程��,不管該身份信息是在登記時(shí)從數(shù)據(jù)直接捕獲中得到���,還是通過(guò)訪問(wèn)早先存儲(chǔ)的數(shù)據(jù)而得到��。后一種情況的示例包括交叉登記���,用戶已進(jìn)行登記以便允許訪問(wèn)網(wǎng)絡(luò)11的其他功能。
·令牌序列號(hào)從登記閱讀器中檢索得到或者由操作員手工輸入�。
·從登記閱讀器讀取生物特征圖象和相關(guān)模板。如果需要交叉登記則將圖象保存在圖象數(shù)據(jù)庫(kù)中,否則將它丟棄��。
·訪問(wèn)信息還由操作員提供����。
·對(duì)于再次登記或變化,從數(shù)據(jù)庫(kù)中檢索得到相關(guān)信息�。
·所有必要的信息用來(lái)創(chuàng)建新證書,它保存在數(shù)據(jù)庫(kù)中��。
·所有變?yōu)檫^(guò)時(shí)的證書由于到期或變化而被撤回���。即不是變化證書,而是撤回舊的證書并發(fā)出新的一個(gè)證書�����。一旦發(fā)了新證書�,那么它可用于在相應(yīng)令牌上更新。
而證書主要只包括授權(quán)信息���,其他信息用來(lái)允許系統(tǒng)1操作�。例如�,在一些實(shí)施例中一些標(biāo)識(shí)信息如雇員代碼包括在令牌的存儲(chǔ)器中,在其他實(shí)施例中用戶的一個(gè)或多個(gè)生物特征模板的加密記錄存儲(chǔ)在相應(yīng)令牌的存儲(chǔ)器中���,在本實(shí)施例中��,連接的閱讀器與服務(wù)器23通信以獲得僅用于實(shí)現(xiàn)高級(jí)訪問(wèn)控制功能����、如監(jiān)視人員需要的控制或最小占用或最大占用控制的其他授權(quán)信息。
圖18原理上顯示了在新用戶在本實(shí)施例中指“Fred”登記之后的一序列步驟和信息流���。在為Fred創(chuàng)建證書��、即證書C1之后��,便把它存儲(chǔ)在服務(wù)器23上�。由于已發(fā)有令牌T1�,因此Fred將在某些時(shí)間希望在一個(gè)訪問(wèn)點(diǎn)上獲準(zhǔn)訪問(wèn)。為此把令牌T1出示給閱讀器����。在本實(shí)施例中新登記的用戶的令牌最初肯定是出示給連接的閱讀器。一旦Fred向閱讀器100出示令牌T1���,則閱讀器便詢問(wèn)令牌T1��。此詢問(wèn)使得閱讀器100向服務(wù)器23提供證書C1請(qǐng)求事件�����,服務(wù)器作為響應(yīng)向閱讀器提供證書C1��。閱讀器隨后把證書C1寫到令牌T1上�。在此點(diǎn)上,令牌C1用于允許作出訪問(wèn)控制決定����。
圖19原理上顯示了由本發(fā)明的備選實(shí)施例提供的變化請(qǐng)求的有效管理。如上所述�,變化請(qǐng)求只可輸入到中央CCL,并且當(dāng)此發(fā)生時(shí)���,便更新中央CCL的時(shí)間標(biāo)記。參考圖19�����,一旦變化請(qǐng)求添加到中央CCL中�����,則連接的閱讀器的本地CCL全部被更新以對(duì)應(yīng)于中央CCL。在本實(shí)施例中����,定期或按照需要采用本文檔中所描述的一個(gè)或多個(gè)“推式”和“拉式”機(jī)制更新本地CCL。
當(dāng)把令牌出示給連接的閱讀器時(shí)�����,閱讀器從該令牌的存儲(chǔ)器讀取令牌CCL�����,從令牌CCL提取任何變化完成請(qǐng)求����,并隨后合并本地CCL和令牌CCL。任何變化完成請(qǐng)求(或其他執(zhí)行的請(qǐng)求事件)傳遞給服務(wù)器23��,它們接下來(lái)又通過(guò)刪除相關(guān)變化請(qǐng)求來(lái)更新中央CCL��。連接的閱讀器隨后把本地CCL寫到令牌的存儲(chǔ)器以定義令牌CCL�。此時(shí),因?yàn)橄到y(tǒng)1實(shí)時(shí)運(yùn)作�����,因此令牌CCL是最新的。重要的是連接的閱讀器不可變化本地CCL的時(shí)間標(biāo)記��,因?yàn)樵摴δ軐?duì)于服務(wù)器23是預(yù)留的�。因此,在本示例中本地CCL和令牌CCL的時(shí)間標(biāo)記將是本地CCL最后與中央CCL同步即由其重寫的的時(shí)間和日期�。
還如圖19所示,當(dāng)把令牌出示給斷開連接的閱讀器時(shí)�,操作如上所示。即令牌CCL基于本地CCL和令牌CCL的時(shí)間標(biāo)記由斷開連接的閱讀器讀取����,并進(jìn)行CCL的合并。如果這導(dǎo)致了本地CCL的任何變化��,那么令牌CCL由新本地CCL重寫�。
圖20顯示了由用戶Fred的訪問(wèn)權(quán)利變化而引起的操作序列和信息流,并且其中Fred在該變化之后首先向連接的閱讀器100出示令牌T1���。在本實(shí)施例中�,訪問(wèn)權(quán)利中的變化通過(guò)撤回指示更早的訪問(wèn)權(quán)利的證書C1并產(chǎn)生指示新訪問(wèn)權(quán)利的新證書C2來(lái)處理���。一旦已進(jìn)行了相關(guān)的輸入(通常經(jīng)由終端22或類似終端),中央CCL便被更新為包括用以撤回證書C1的變化請(qǐng)求���,而證書的中央存儲(chǔ)被更新為包括證書C2���。
如果除Fred之外的用戶在本示例中稱為“Peter”的用戶向連接的閱讀器出示他們的令牌T2之后Fred才做這些的話�,令牌T2的令牌CCL將變化成反映Fred的變化請(qǐng)求���。接下來(lái)如果Peter向斷開連接的閱讀器出示令牌T2���,變化請(qǐng)求將傳播給斷開連接的閱讀器,因?yàn)榱钆艭CL將與本地CCL合并�����。即斷開連接的閱讀器逐步更新成包括最新請(qǐng)求��。
當(dāng)Fred確實(shí)向閱讀器100出示令牌T1時(shí)���,證書C1將被刪除���,而證書C2從中央證書存儲(chǔ)器中檢索到并被寫到令牌T2。令牌隨后配置成允許基于已分配給Fred的新訪問(wèn)權(quán)利作出訪問(wèn)控制決定����。
圖21除了在訪問(wèn)權(quán)利變化之后Fred最初向斷開連接的閱讀器16出示卡之外其他類似于圖20�。
下面參考圖22說(shuō)明本發(fā)明的此備選實(shí)施例中采用的以更新中央CCL的步驟���。具體而言·登記系統(tǒng)(形式為終端22)向服務(wù)器23發(fā)送包括在中央CCL中的變化請(qǐng)求��。
·連接的閱讀器向服務(wù)器23發(fā)送已執(zhí)行的變化請(qǐng)求���,作為響應(yīng)服務(wù)器從中央CCL刪除這些已執(zhí)行的請(qǐng)求。
·如果中央CCL有任何變化則更新中央CCL的時(shí)間標(biāo)記���。
圖23是說(shuō)明備選實(shí)施例中采用的用以合并CCL的步驟的流程圖�。具體而言·當(dāng)對(duì)應(yīng)的令牌由該閱讀器查詢時(shí)閱讀器無(wú)論是連接的閱讀器還是斷開連接的閱讀器合并本地CCL與令牌CCL����。
·連接的閱讀器具有與中央CCL同步的本地CCL。
·令牌CCL和本地CCL的時(shí)間標(biāo)記用來(lái)決定哪一個(gè)是更當(dāng)前的CCL���。此外�,閱讀器不可能更新任何CCL的時(shí)間標(biāo)記��。
·來(lái)自更老的CCL(SCCL)的請(qǐng)求的執(zhí)行狀態(tài)被合并到更新的CCL(DCCL)中��。
·在DCCL中不存在的SCCL請(qǐng)求簡(jiǎn)單地被忽略�。即它們不傳送DCCL中)。
·連接的閱讀器查詢?nèi)魏螆?zhí)行的變化請(qǐng)求并作為事件將它們發(fā)送回服務(wù)器23����,并且隨后從本地CCL刪除它們。
·所得的CCL成為閱讀器的新本地CCL�,并且還被寫到令牌。
圖24是說(shuō)明備選實(shí)施例中由閱讀器用以寫到令牌CCL中的步驟的流程圖��。具體而言·閱讀器用它們更新的本地CCL的拷貝來(lái)更新令牌CCL��。
·令牌CCL的尺寸是有限的���。
·首先寫最新的未執(zhí)行的條目����。
·如果空間允許的話則寫已執(zhí)行的條目�����。
·不加變化地拷貝CCL時(shí)間標(biāo)記�。
·不加變化地變化基礎(chǔ)證書的發(fā)出日期。
在備選實(shí)施例中�����,認(rèn)證用戶的步驟基本上與更早描述的實(shí)施例相同。為完整起見(jiàn)這包括·在驗(yàn)證令牌之后�,閱讀器從令牌中讀取證書。
·采用為此目的分配的相關(guān)密鑰來(lái)譯碼該證書����。
·如果數(shù)字簽名正在使用,則閱讀器計(jì)算數(shù)字簽名并將它與證書上的簽名比較以驗(yàn)證簽名����。如果簽名未驗(yàn)證通過(guò)的話,則令牌被拒絕����。
·如果簽名被使用并驗(yàn)證通過(guò)的話,閱讀器將把令牌序列號(hào)與證書上的一個(gè)進(jìn)行匹配��。如果此失敗的話�,則令牌被拒絕。
·如果閱讀器配備了生物特征裝置�����,它提示用戶并隨后獲得相關(guān)生物特征信息的樣本�����。
·所接收的生物特征模板與存儲(chǔ)在證書上的模板匹配。
·如果匹配失敗的話����,則閱讀器重試三次以得到生物特征匹配���。在其他實(shí)施例中采用其他次數(shù)的重試���。
·當(dāng)匹配成功時(shí),或如果閱讀器未配置成具有生物特征裝置�,則令牌持有者被認(rèn)證。
·否則令牌持有者被拒絕���。
·如果配置了生物特征裝置�����,閱讀器可破壞所拒絕的令牌或撤回它們�。
一旦令牌和證書被驗(yàn)證���,則閱讀器檢查任何相關(guān)的已知變化���。對(duì)于連接的閱讀器����,這包括來(lái)自服務(wù)器23的對(duì)于最新CCL的請(qǐng)求����。來(lái)自令牌的CCL隨后與本地CCL合并,并且用基礎(chǔ)系統(tǒng)發(fā)布日期檢查證書發(fā)布日期�。任何證書在撤回基礎(chǔ)系統(tǒng)日期之前發(fā)布。
所得的CCL用來(lái)檢查從令牌讀取的證書是否被撤回�,如果是的話則連接的閱讀器試圖得到令牌的新證書。如果得到新證書���,則這也被檢查以確定它是否有效���。如果無(wú)效的話,則新證書也被撤回�,并進(jìn)一步搜索證書。此過(guò)程重復(fù)進(jìn)行直到得到有效證書���,或沒(méi)有新證書可用于令牌為止�����。由于斷開連接的閱讀器不可訪問(wèn)服務(wù)器23來(lái)獲得任何新證書����,如果向該閱讀器出示包含撤回的證書的令牌,則它將仍作為當(dāng)前的證書而被接受�,但通常只持續(xù)一段有限的時(shí)間。然而���,在一些實(shí)施例中斷開連接的閱讀器配置成拒絕具有撤回的證書的令牌。
一旦令牌被接受�����,則閱讀器便從證書提取訪問(wèn)組列表����。在閱讀器的訪問(wèn)表中搜索訪問(wèn)組列表中的各個(gè)組。如果對(duì)于該組發(fā)現(xiàn)有其時(shí)間表對(duì)于當(dāng)前時(shí)間是有效的任何訪問(wèn)時(shí)間表項(xiàng)���,則令牌被授權(quán)��。備選的是如果沒(méi)有訪問(wèn)組具有任何有效的時(shí)間表�����,則令牌被拒絕�。
備選實(shí)施例特定地提供有效的訪問(wèn)權(quán)利管理,它包括以下·主服務(wù)器提供中央CCL作為連接的閱讀器的參考CCL�����。只有服務(wù)器把新請(qǐng)求增加到中央CCL中并從中刪除已執(zhí)行的請(qǐng)求��。連接的閱讀器的本地CCL定期從中央CCL更新�����。
·令牌在連接的和斷開連接的閱讀器之間傳遞證書變化列表���。
·如本文檔先前所描述的閱讀器合并本地CCL與令牌CCL�。
有效訪問(wèn)權(quán)利管理實(shí)際上是允許包含CCL的尺寸���,在典型實(shí)施例中�,這允許整個(gè)CCL容易地存儲(chǔ)在令牌的存儲(chǔ)器中�����,并因此允許它方便地傳遞給所有斷開連接的閱讀器����。由于所有的閱讀器實(shí)質(zhì)上知道最新的變化請(qǐng)求��,因此本發(fā)明的優(yōu)選實(shí)施例可提供·針對(duì)證書的長(zhǎng)有效期�����。
·防止峰值期間的瓶頸���,因?yàn)樽C書不必重新定期載入到卡中。
·由于記錄所有事務(wù)處理歷史事件因此提供強(qiáng)審計(jì)追蹤�����。令牌承載來(lái)自斷開連接的閱讀器的事務(wù)處理日志��;以及連接的閱讀器從令牌提取歷史情況�,并把記錄連同它們自己的事務(wù)處理傳送給主服務(wù)器���。
·身份管理得到改進(jìn)����,因?yàn)榱钆瓶沙休d物理和邏輯訪問(wèn)二者的多要素識(shí)別和認(rèn)證���。
由優(yōu)選實(shí)施例提供的主要功能包括·閱讀器本身結(jié)合從令牌獲取的信息足以知道如何作出訪問(wèn)控制決定��。
·不需要訪問(wèn)控制面板����。
·容納斷開連接的閱讀器。即閱讀器不必連接便可獲得該功能�。(然而,假設(shè)各個(gè)系統(tǒng)具有至少一個(gè)連接的閱讀器)��。
這些主要功能帶來(lái)以下優(yōu)點(diǎn)·減小了系統(tǒng)的總生命周期成本�。
·斷開連接的結(jié)構(gòu)。
·減少了線路和安裝成本�。
·在移動(dòng)車輛或其他地方上安裝不與主服務(wù)器通信(或連續(xù)通信)的閱讀器。
·容易維護(hù)�。
·可高度擴(kuò)展為具有遍布到多個(gè)權(quán)限中的設(shè)施的許多訪問(wèn)點(diǎn)和許多用戶。
·不像現(xiàn)有技術(shù)的控制器��,閱讀器不保持指示令牌用戶的任何數(shù)據(jù)����。
·令牌承載它們自己的配置數(shù)據(jù)。
·容納無(wú)限數(shù)量的令牌�����。
·容納無(wú)限數(shù)量的閱讀器。
·無(wú)限數(shù)量的嵌套防反傳區(qū)(這將在以下更詳細(xì)地描述)�����。
·強(qiáng)的多要素認(rèn)證���。���。
·在閱讀器和令牌之間進(jìn)行安全防回放通信。
防反傳(APB)功能系統(tǒng)1配置成在選定的訪問(wèn)點(diǎn)之間提供防反傳(APB)功能�。通過(guò)舉例,參考圖13其中顯示了一些形式為場(chǎng)所80的設(shè)施�����,系統(tǒng)1(僅顯示了一些單元)安裝在其上�����。場(chǎng)所80由外圍圍墻圍成��,并包括若干區(qū)��,它們中的一些是嵌套的區(qū)����,另一些是防反傳(APB)區(qū)。將會(huì)理解��,APB區(qū)是需要用戶請(qǐng)求并由閱讀器準(zhǔn)予訪問(wèn)以進(jìn)入到該區(qū)和離開該區(qū)的一個(gè)區(qū)��。即一旦用戶已進(jìn)入了APB區(qū)���,對(duì)于該系統(tǒng)有必要在允許相同的用戶進(jìn)入該區(qū)的下一進(jìn)入之前通知用戶從該區(qū)退出���。
系統(tǒng)包括有選擇地由多個(gè)用戶在相應(yīng)成對(duì)的區(qū)之間訪問(wèn)的多個(gè)訪問(wèn)點(diǎn)。如早先所描述的實(shí)施例�����,訪問(wèn)點(diǎn)在閉鎖和開鎖配置之間跳動(dòng)以便相應(yīng)地防止和允許用戶在成對(duì)的區(qū)中的各個(gè)區(qū)之間訪問(wèn)���。
在場(chǎng)所80的外圍圍墻遠(yuǎn)處的區(qū)定義為區(qū)0�����。在外圍圍墻內(nèi)以及不由嵌套的區(qū)約束的區(qū)定義為區(qū)A��。在本實(shí)施例中�����,區(qū)A和區(qū)C是APB區(qū)���,而區(qū)B和區(qū)D不是APB區(qū)����。區(qū)B整個(gè)包括在APB區(qū)A內(nèi)���,因此如果用戶訪問(wèn)區(qū)A或區(qū)B�,則認(rèn)為他或她在APB區(qū)A中����。類似地,如果用戶訪問(wèn)區(qū)C或區(qū)D�����,則認(rèn)為他或她在APB區(qū)C中�。本領(lǐng)域的那些技術(shù)人員將會(huì)理解區(qū)中的“最后APB區(qū)”令牌記錄指示此信息��。
場(chǎng)所80包括(未顯示)兩個(gè)訪問(wèn)點(diǎn)���,與它們相鄰地設(shè)置有相應(yīng)閱讀器81和82�����。系統(tǒng)的用戶向閱讀器81和閱讀器82出示訪問(wèn)令牌以搜索從區(qū)0到區(qū)A和相應(yīng)地從區(qū)A到區(qū)0的訪問(wèn)���。通常對(duì)于APB區(qū)�����,把用于確定是否準(zhǔn)予從一個(gè)區(qū)到其他區(qū)訪問(wèn)的閱讀器安裝在確定是否準(zhǔn)予從其他區(qū)到這一個(gè)區(qū)訪問(wèn)的閱讀器的不同訪問(wèn)點(diǎn)上�。這就是說(shuō)在一些實(shí)施例中��,單個(gè)訪問(wèn)點(diǎn)包括兩個(gè)閱讀器�,它們中的一個(gè)設(shè)在相應(yīng)成對(duì)區(qū)中的相應(yīng)區(qū)中。
位于場(chǎng)所80上并在區(qū)A內(nèi)的是兩個(gè)間隔開的建筑物83和84����,它們的內(nèi)部相應(yīng)地定義為區(qū)B和區(qū)C。這后兩個(gè)區(qū)嵌套到區(qū)A內(nèi)����。區(qū)C是APB區(qū),而區(qū)B不是。
建筑物83包括閱讀器85��,而建筑物84包括兩個(gè)間隔開的閱讀器86和87���,它們相鄰對(duì)應(yīng)訪問(wèn)點(diǎn)(未顯示)而設(shè)置以便允許用戶試圖對(duì)那些建筑物訪問(wèn)����。由于區(qū)B不是APB區(qū)���,因此與閱讀器85關(guān)聯(lián)的訪問(wèn)點(diǎn)包括退出請(qǐng)求(REX)裝置����。將會(huì)理解���,閱讀器85相鄰區(qū)A中的訪問(wèn)點(diǎn)設(shè)置�,而REX裝置相鄰相同的訪問(wèn)點(diǎn)設(shè)置���,但它不在區(qū)B中�。當(dāng)用戶觸發(fā)REX裝置時(shí)�,訪問(wèn)點(diǎn)跳動(dòng)到開鎖配置以允許用戶從區(qū)B進(jìn)入到區(qū)A。
REX裝置通常采取通過(guò)用戶手動(dòng)輸入的按鈕或開關(guān)或紅外傳感器或檢測(cè)用戶從與該訪問(wèn)點(diǎn)關(guān)聯(lián)的成對(duì)區(qū)中的相關(guān)一個(gè)區(qū)接近訪問(wèn)點(diǎn)的可能出現(xiàn)的其他傳感器的形式����。在其他實(shí)施例中,REX裝置設(shè)在除了其上設(shè)置有閱讀器85的訪問(wèn)點(diǎn)以外的退出(未顯示)上�����。在此情況下退出通?���!皟H是退出”外部的門?���?蛇x的是,REX裝置包括退出門的門把手�,該把手在正常使用時(shí)可訪問(wèn)并只由區(qū)B內(nèi)的用戶手動(dòng)操作。
建筑物84包括內(nèi)室89����,其內(nèi)部定義為不是APB區(qū)的區(qū)D。閱讀器90設(shè)在相鄰訪問(wèn)點(diǎn)(未顯示)處��,以便允許用戶在區(qū)C和區(qū)D之間選擇性的通過(guò)���。類似于閱讀器85����,閱讀器90包括對(duì)應(yīng)的REX裝置以促使自動(dòng)準(zhǔn)予用戶希望從區(qū)D進(jìn)入?yún)^(qū)C的訪問(wèn)。
而在本實(shí)施例中�,所有閱讀器81、82�����、85�、86、87和90是斷開連接的閱讀器���,在其他實(shí)施例中一個(gè)或多個(gè)那些閱讀器是連接的閱讀器���。將會(huì)理解,根據(jù)這里的示教本發(fā)明的實(shí)施例提供的APB功能與連接的或斷開連接的閱讀器配置無(wú)關(guān)����。同樣,備選實(shí)施例容納連接的和斷開連接的閱讀器的不同組合�。
將會(huì)理解,雖然圖13在臨近的成對(duì)區(qū)之間僅提供了最小數(shù)量的訪問(wèn)點(diǎn)��,但這僅是為了說(shuō)明���。而一些實(shí)施例更典型的是尤其在較大的安裝內(nèi)僅包括最小數(shù)量的訪問(wèn)點(diǎn)�����,一些區(qū)或各個(gè)區(qū)將具有多個(gè)閱讀器和關(guān)聯(lián)訪問(wèn)點(diǎn)�,用戶可通過(guò)它們進(jìn)入和退出給定區(qū)����。
如圖13所示的系統(tǒng)1提供嵌套APB功能的有限級(jí)別。即可以有有限級(jí)別的嵌套的APB區(qū)��。此外�����,APB功能在只具有斷開連接的閱讀器系統(tǒng)中獲得�,如圖13或具有連接的和斷開連接的閱讀器的組合的系統(tǒng)中所示。
APB功能性意指如果用戶進(jìn)入給定區(qū)�����,則他或她不能再次進(jìn)入相同的區(qū)��,除非系統(tǒng)1具有用戶在已進(jìn)入該區(qū)之后離開該區(qū)的記錄����。APB功能的目的是為了防止用戶無(wú)意或有意地把他們的相應(yīng)智能卡或其他令牌與其他用戶或未授權(quán)的人員共享����。例如�����,在沒(méi)有APB功能的系統(tǒng)中�,無(wú)道德或不守紀(jì)律的用戶能夠進(jìn)入某區(qū)并隨后將他的令牌丟給同事用戶(例如通過(guò)建筑物的外窗),以允許同事用戶或其他個(gè)體進(jìn)入同一區(qū)��。
APB功能性使得用戶在沒(méi)有單獨(dú)出示他們的相應(yīng)令牌的情形下進(jìn)入某區(qū)變得很難使用���,并因此提供改善的環(huán)境以鼓勵(lì)正確和完整地使用系統(tǒng)1�。例如���,如果兩個(gè)彼此認(rèn)識(shí)的授權(quán)用戶(稱為第一用戶和第二用戶)同時(shí)靠近訪問(wèn)點(diǎn)的話�,則那些用戶中只有一個(gè)(如第一用戶)出示他們的相應(yīng)令牌以使訪問(wèn)點(diǎn)跳動(dòng)是不正常的�。即第一和第二用戶均可訪問(wèn)給定區(qū),盡管系統(tǒng)1上包含的信息明顯只有第一用戶已進(jìn)入該區(qū)��。當(dāng)?shù)诙脩粼L問(wèn)該區(qū)是����,一旦該第二用戶試圖進(jìn)入嵌套的區(qū)或退出當(dāng)前區(qū)時(shí)����,則相關(guān)閱讀器將由于APB邏輯的操作而不允許訪問(wèn)�。此功能性在應(yīng)用于物理訪問(wèn)例如建筑物的進(jìn)入處和虛擬訪問(wèn)例如登陸計(jì)算機(jī)網(wǎng)絡(luò)的能力的組合時(shí)具有特別的效率。即系統(tǒng)1可配置成僅允許系統(tǒng)1指示其在給定建筑物或其他設(shè)施內(nèi)的那些用戶訪問(wèn)網(wǎng)絡(luò)���。這不僅應(yīng)用于經(jīng)由線纜或其他物理連接到網(wǎng)絡(luò)上的用戶登陸,而且還應(yīng)用于經(jīng)由無(wú)線連接的那些登陸��。
通常�����,APB功能用于建筑物的外部門�����。然而����,在一些實(shí)施例中特別是對(duì)于高度保安的區(qū)域它也在內(nèi)部使用。
術(shù)語(yǔ)“區(qū)”�。在圖13的上下文中指具有一個(gè)或多個(gè)訪問(wèn)點(diǎn)和對(duì)應(yīng)的閱讀器的有邊界的區(qū)或空間��。訪問(wèn)點(diǎn)是進(jìn)入訪問(wèn)點(diǎn)(用戶試圖進(jìn)入某區(qū))�,或者是退出訪問(wèn)點(diǎn)(用戶試圖從某區(qū)出來(lái))�����。進(jìn)入訪問(wèn)點(diǎn)和退出訪問(wèn)點(diǎn)相應(yīng)地包括對(duì)應(yīng)的進(jìn)入閱讀器和退出閱讀器��。因此�����,APB區(qū)和非APB區(qū)各自將具有含有對(duì)應(yīng)的進(jìn)入閱讀器的至少一個(gè)訪問(wèn)點(diǎn)�。APB區(qū)另外將具有至少一個(gè)含有對(duì)應(yīng)的退出閱讀器的訪問(wèn)點(diǎn)。用戶必須利用進(jìn)入閱讀器來(lái)進(jìn)入給定區(qū)���。如果包括退出閱讀器的話��,用戶還必須使用該退出閱讀器離開那一區(qū)��。這允許系統(tǒng)1獲得進(jìn)入該區(qū)以及離開該區(qū)的記錄�。
在訪問(wèn)點(diǎn)沒(méi)有退出閱讀器的那些情況下���,通常包括自動(dòng)的請(qǐng)求退出按鈕或動(dòng)作傳感器以便觸發(fā)訪問(wèn)點(diǎn)在鎖定與開鎖配置之間跳動(dòng)����。
常識(shí)規(guī)定APB功能的實(shí)現(xiàn)需要進(jìn)入閱讀器和退出閱讀器來(lái)彼此直接或經(jīng)由控制器或服務(wù)器進(jìn)行通信。這基于閱讀器需要關(guān)于用戶進(jìn)入和用戶出去的信息��,否則不可能作出訪問(wèn)控制決定�����。然而��,在圖13中的實(shí)施例通過(guò)以下操作而在進(jìn)入閱讀器和退出閱讀器之間不需要這種通信·配置各個(gè)閱讀器(作為進(jìn)入閱讀器或退出閱讀器)以具有指示成對(duì)的進(jìn)入?yún)^(qū)和退出區(qū)以及成對(duì)的進(jìn)入APB區(qū)和退出APB區(qū)(這在以下描述)的閱讀器記錄�。
·在各個(gè)令牌上保持有指示至少一個(gè)區(qū)的區(qū)記錄。在本實(shí)施例中區(qū)記錄指示令牌最后準(zhǔn)予訪問(wèn)的APB區(qū)(“最后APB區(qū)”)�;和令牌最后準(zhǔn)予訪問(wèn)的區(qū)(“當(dāng)前區(qū)”)����。
在本實(shí)施例中,閱讀器記錄把一個(gè)區(qū)指示為在查詢?cè)L問(wèn)點(diǎn)時(shí)用戶位于其中的進(jìn)入?yún)^(qū)���,以及如果準(zhǔn)予訪問(wèn)的話把其他區(qū)作為用戶將前進(jìn)到的進(jìn)入APB區(qū)���。
閱讀器記錄還指示成對(duì)的防反傳(APB)區(qū),它包括當(dāng)查詢?cè)L問(wèn)點(diǎn)時(shí)用戶處于其中的退出APB區(qū)���;和如果訪問(wèn)準(zhǔn)予的話用戶將前進(jìn)到的進(jìn)入APB區(qū)�。如果訪問(wèn)準(zhǔn)予或拒絕的話該閱讀器響應(yīng)于進(jìn)入APB區(qū)和退出APB區(qū)中的一個(gè)或兩個(gè)。
在一個(gè)實(shí)施例中�����,閱讀器響應(yīng)于進(jìn)入APB區(qū)和退出APB區(qū)來(lái)確定訪問(wèn)是準(zhǔn)予還是拒絕��。
閱讀器器的進(jìn)入?yún)^(qū)和退出區(qū)是有關(guān)閱讀器的成對(duì)的區(qū)中的兩個(gè)區(qū)����。例如,閱讀器81包括退出區(qū)定義為區(qū)0����,和進(jìn)入?yún)^(qū)定義為區(qū)A的閱讀器記錄。退出APB區(qū)定義為區(qū)0�����,而進(jìn)入APB區(qū)定義為區(qū)A���。類似地����,閱讀器82包括把退出區(qū)定義為區(qū)A而進(jìn)入?yún)^(qū)定義為區(qū)0、退出APB區(qū)定義為區(qū)A而進(jìn)入APB區(qū)定義為區(qū)0的閱讀器記錄�����。然而��,區(qū)B不是APB區(qū)但包括在APB區(qū)A內(nèi)��。在此情況下����,進(jìn)入閱讀器85包括退出區(qū)定義為區(qū)A而進(jìn)入?yún)^(qū)定義為區(qū)B的閱讀器記錄。進(jìn)入APB區(qū)以及退出APB區(qū)均定義為區(qū)A�����。
當(dāng)向閱讀器出示令牌并且獲準(zhǔn)訪問(wèn)時(shí)�,閱讀器寫令牌以更新區(qū)記錄�。即至少把當(dāng)前區(qū)更新為該閱讀器的進(jìn)入?yún)^(qū),即用戶剛準(zhǔn)予訪問(wèn)的區(qū)���。此外����,如果進(jìn)入APB區(qū)不同于退出APB區(qū),區(qū)記錄也被更新以確保令牌上的最后APB區(qū)等于閱讀器的進(jìn)入APB區(qū)�。在另一實(shí)施例中,當(dāng)前區(qū)和最后APB區(qū)在每次準(zhǔn)予訪問(wèn)之后更新��。
區(qū)記錄和包含在令牌上的其他信息被加密以保護(hù)它們的完整和安全���。然而���,在其他實(shí)施例中沒(méi)有采用加密或只加密一些信息。
當(dāng)前區(qū)基于已發(fā)生的詢問(wèn)閱讀器歷史情況指示令牌應(yīng)當(dāng)在的區(qū)��。如上所述當(dāng)前區(qū)從閱讀器的進(jìn)入?yún)^(qū)記錄中得到��,最后準(zhǔn)予訪問(wèn)令牌�。
在一個(gè)實(shí)施例中如果退出APB區(qū)不同于進(jìn)入APB區(qū),則閱讀器確定最后APB區(qū)是否匹配退出APB區(qū)�����。如果此確定的結(jié)果是真的話�,則準(zhǔn)予訪問(wèn),否則拒絕訪問(wèn)����。
以上步驟稱為APB邏輯�����,并在圖14的流程圖中原理上示出�����。
如上所述����,場(chǎng)所80外的區(qū)構(gòu)成區(qū)0����。因此,在要求進(jìn)入到區(qū)A的第一請(qǐng)求之前所有令牌的當(dāng)前區(qū)初始化為區(qū)0���,最后APB區(qū)初始化為區(qū)0�����。這基于令牌遠(yuǎn)離場(chǎng)所80而配置和發(fā)布����。在其他實(shí)施例中�����,令牌被配置并先發(fā)給場(chǎng)所80內(nèi)的用戶�����,該配置對(duì)應(yīng)于在那時(shí)令牌所設(shè)的區(qū)和APB區(qū)�。即在所有優(yōu)選實(shí)施例中,新發(fā)出的令牌用對(duì)應(yīng)于卡發(fā)出的相應(yīng)區(qū)的當(dāng)前區(qū)和APB區(qū)初始化�。
例如,如果用戶首先嘗試進(jìn)入場(chǎng)所80���,則他或她的令牌是當(dāng)前區(qū)=0且最后APB區(qū)=0�。閱讀器81將配置為退出區(qū)=0��,進(jìn)入?yún)^(qū)=A���。而且閱讀器81配置成退出APB區(qū)=0���,進(jìn)入APB區(qū)=A。當(dāng)令牌在閱讀器81上出示時(shí)���,因?yàn)橥顺鯝PB區(qū)不同于進(jìn)入APB區(qū)�,因此系統(tǒng)1檢查以確保最后APB區(qū)保持有匹配閱讀器的退出APB區(qū)的令牌。如果它保持的是真的話�����,并且所有其他訪問(wèn)測(cè)試均滿足�����,則準(zhǔn)予用戶訪問(wèn)����。作為該過(guò)程的一部分,閱讀器81寫令牌以設(shè)定當(dāng)前區(qū)=A���,最后APB區(qū)=A���。
在令牌保持的信息沒(méi)有其他變化時(shí),如果它出示給閱讀器81以獲得對(duì)區(qū)A的請(qǐng)求訪問(wèn)����,則以上APB邏輯將失敗,并且用戶將未獲準(zhǔn)訪問(wèn)�����。即最后APB區(qū)=A�,這不同于閱讀器的配置為0的退出APB區(qū)。
將會(huì)理解����,如果閱讀器設(shè)在控制對(duì)非APB區(qū)的訪問(wèn)的訪問(wèn)點(diǎn)上,則閱讀器記錄的進(jìn)入APB區(qū)和退出APB區(qū)相同�。
當(dāng)令牌出示給閱讀器82以請(qǐng)求從區(qū)A退出時(shí),以上APB邏輯在應(yīng)用于令牌上保持的信息時(shí)將是成功的�����?����;诳隙ㄒ獙?shí)施所有其他必須的確定����,因此允許退出(即準(zhǔn)予所請(qǐng)求的訪問(wèn))。在此過(guò)程期間���,閱讀器82把令牌更新成包括當(dāng)前區(qū)=0����。即把閱讀器82的當(dāng)前區(qū)更新成與進(jìn)入?yún)^(qū)相等。此外��,最后APB區(qū)更新為0�����。
在以上步驟之后���,用戶將被允許再次進(jìn)入場(chǎng)所80���。
已參考從區(qū)0到區(qū)A并返回到區(qū)0的通行對(duì)APB功能性進(jìn)行了描述。然而���,從這里的示教將會(huì)理解圖1 3中的區(qū)中任何一個(gè)之間的通信用類似步驟控制����,并且圖14的相同APB邏輯的應(yīng)用也如此�����。
只要APB區(qū)是嵌套的(在本發(fā)明的實(shí)施例中總是如此),則以上APB邏輯將無(wú)限地工作����。因此,這些實(shí)施例提供了無(wú)限的APB功能等級(jí)��,即使在用于斷開連接的閱讀器時(shí)也如此�。
APB功能性基于出示給給定閱讀器的給定令牌提供用戶過(guò)濾以及他們?cè)谠L問(wèn)點(diǎn)上獲得訪問(wèn)的能力���。令牌上承載的標(biāo)識(shí)信息和/或其他信息(如證書和/或授權(quán)信息)提供用戶的另一種過(guò)濾和經(jīng)由訪問(wèn)點(diǎn)并基于出示給相同閱讀器的相同令牌獲得訪問(wèn)的能力�����。為簡(jiǎn)便起見(jiàn)�����,稱這兩個(gè)過(guò)濾器允許APB確定和用戶確定�����。在本實(shí)施例中�����,閱讀器在作出用戶確定之前作出APB確定�。然而,在其他實(shí)施例中用戶確定在APB確定之后作出�����。在其它實(shí)施例中���,基本上所有需要作出第一確定的動(dòng)作發(fā)生在需要作出第二確定的動(dòng)作之前�。
在圖13所示的實(shí)施例中���,APB功能在系統(tǒng)1的所有正常的操作周期內(nèi)在所有的相關(guān)閱讀器上運(yùn)行���。然而,在其他實(shí)施例中APB功能僅在一天內(nèi)的給定時(shí)間上應(yīng)用于給定用戶��,或由于不同威脅或告警級(jí)別而應(yīng)用�����。
總體來(lái)說(shuō)����,以下應(yīng)用于圖13的實(shí)施例·不像正常的區(qū),防反傳(APB)區(qū)沒(méi)有請(qǐng)求退出(REX)裝置。有效令牌如進(jìn)入某區(qū)一樣必須用來(lái)從APB區(qū)退出�。
·所有閱讀器配置有進(jìn)入?yún)^(qū)和退出區(qū),以及進(jìn)入APB區(qū)和退出APB區(qū)�����。
·非APB區(qū)被認(rèn)為是包括在直接封閉APB區(qū)中(如果有的話)��。例如�����,在此圖中區(qū)A和區(qū)C是APB區(qū)��。區(qū)B包括在APB區(qū)A中�����,而區(qū)D包括在APB區(qū)C中����。
·持有關(guān)于當(dāng)前區(qū)和最后APB區(qū)的信息(記錄)的令牌���。
·如果閱讀器的進(jìn)入APB區(qū)不同于閱讀器的退出APB區(qū)�,則令牌的最后APB區(qū)必定匹配令牌的退出APB區(qū)以便準(zhǔn)予訪問(wèn)。
圖15原理上顯示出本發(fā)明的另一實(shí)施例��。該系統(tǒng)包括若干閱讀器�、針對(duì)下表中提供的每一個(gè)的配置。
上述本發(fā)明的實(shí)施例允許通過(guò)有效管理中央CCL�、本地CCL和令牌CCL而有利地得到擴(kuò)展。此管理在按某結(jié)構(gòu)的閱讀器���、令牌和主服務(wù)器之間提供了雙向通信���。系統(tǒng)1內(nèi)的CCL的層次結(jié)構(gòu)是構(gòu)成實(shí)施例的功能的一個(gè)要素。另一要素是在CCL內(nèi)的包含物不僅有證書變化請(qǐng)求記錄����,而且還有證書變化完成記錄。這些接合變化完成記錄和變化請(qǐng)求記錄結(jié)構(gòu)處理允許系統(tǒng)1的連接的和斷開連接的元件進(jìn)行有效通信��。
由優(yōu)選實(shí)施例的系統(tǒng)提供的有效管理不需要CCL的任何重新初始化�,因?yàn)槠涑叽缱詣?dòng)包含在其中。因此��,這些證書可具有長(zhǎng)久的發(fā)布周期�����,在本實(shí)施例中長(zhǎng)達(dá)一年或更長(zhǎng)。期限的限制多數(shù)通常是系統(tǒng)用的加密密鑰期望的安全工作壽命��,而非閱讀器或系統(tǒng)內(nèi)其他組件的存儲(chǔ)容量�。
優(yōu)選實(shí)施例的系統(tǒng)提供的APB邏輯不需要APB區(qū)的進(jìn)入閱讀器和退出閱讀器通過(guò)任何幾個(gè)商業(yè)可得的有線或無(wú)線裝置物理上彼此連接。
雖然本發(fā)明已參考特定實(shí)施例來(lái)描述但本領(lǐng)域的技術(shù)人員將會(huì)理解它可用許多其他形式實(shí)現(xiàn)�����。
權(quán)利要求
1.一種用于由多個(gè)用戶有選擇地訪問(wèn)的至少一個(gè)訪問(wèn)點(diǎn)的訪問(wèn)控制系統(tǒng)�����,所述訪問(wèn)點(diǎn)在閉鎖和開鎖配置之間跳動(dòng)以便相應(yīng)地防止和允許所述用戶在所述訪問(wèn)點(diǎn)上進(jìn)行訪問(wèn)����,所述系統(tǒng)包括各個(gè)所述用戶的訪問(wèn)令牌���,各個(gè)令牌包括包含證書和令牌證書變化列表(令牌CCL)的存儲(chǔ)器��,各個(gè)令牌響應(yīng)于詢問(wèn)信號(hào)以便產(chǎn)生從所述證書中得到的令牌信號(hào)��;計(jì)算機(jī)網(wǎng)絡(luò)�,用于包含指示所述證書的信息并用于提供指示那些證書中的一個(gè)或多個(gè)所需要的變化的中央CCL�;和用于各個(gè)訪問(wèn)點(diǎn)的訪問(wèn)閱讀器�����,其與所述網(wǎng)絡(luò)進(jìn)行通信以便維護(hù)本地CCL��,所述或各個(gè)閱讀器產(chǎn)生相應(yīng)的詢問(wèn)信號(hào)并響應(yīng)所述對(duì)應(yīng)的令牌信號(hào)以便確定所述相應(yīng)訪問(wèn)點(diǎn)是否跳動(dòng)到所述開鎖配置��;和合并所述本地CCL和所述令牌CCL�。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)�����,其中��,所述存儲(chǔ)器包含其他信息�。
3.根據(jù)權(quán)利要求1所述的系統(tǒng),其中���,所述令牌信號(hào)從所述證書和所述令牌CCL中得到�����。
4.根據(jù)權(quán)利要求1所述的系統(tǒng)���,其中����,各個(gè)證書包括所述相應(yīng)用戶授權(quán)信息�����。
5.根據(jù)權(quán)利要求1所述的系統(tǒng)���,其中��,各個(gè)證書包括所述相應(yīng)用戶授權(quán)信息和以下信息的一個(gè)或多個(gè)認(rèn)證信息��;和標(biāo)識(shí)信息��。
6.根據(jù)權(quán)利要求1所述的系統(tǒng)�����,其中��,所述中央CCL指示的變化包括以下一個(gè)或多個(gè)一個(gè)或多個(gè)證書的撤回;所述一個(gè)或多個(gè)證書的所述認(rèn)證信息的變化�;和所述一個(gè)或多個(gè)證書的所述授權(quán)信息的變化。
7.根據(jù)權(quán)利要求1所述的系統(tǒng)��,其中,所述證書包括指示所述證書的創(chuàng)建和/或到期條件的有效信息����。
8.根據(jù)權(quán)利要求1所述的系統(tǒng),其中�����,各個(gè)CCL包括多個(gè)記錄�。
9.根據(jù)權(quán)利要求8所述的系統(tǒng),其中�,各個(gè)記錄是以下中的一個(gè)指示證書要變化的變化請(qǐng)求記錄;指示確認(rèn)特定證書已發(fā)生變化的變化完成記錄�����;所述CCL的時(shí)間標(biāo)記����;和所述證書有效的基本創(chuàng)建日期。
10.根據(jù)權(quán)利要求9所述的系統(tǒng),其中,所述中央CCL不包括變化完成記錄��。
11.根據(jù)權(quán)利要求9所述的系統(tǒng),其中,所述閱讀器或所述閱讀器中的至少一個(gè)與所述網(wǎng)絡(luò)進(jìn)行通信以及所述令牌CCL和本地CCL的合并包括所述相應(yīng)閱讀器從所述令牌CCL讀取任何變化完成記錄�;和把所述本地CCL寫到所述令牌CCL��。
12.根據(jù)權(quán)利要求11所述的系統(tǒng)����,其中��,把所述本地CCL寫到所述令牌CCL包括重寫所述令牌CCL��。
13.根據(jù)權(quán)利要求1所述的系統(tǒng)�,其中,所述閱讀器或多個(gè)閱讀器在詢問(wèn)所述令牌時(shí)產(chǎn)生傳遞給所述網(wǎng)絡(luò)的相應(yīng)事務(wù)日志�����。
14.根據(jù)權(quán)利要求1所述的系統(tǒng)��,包括不與所述網(wǎng)絡(luò)通信的一個(gè)或多個(gè)閱讀器���,其中那些閱讀器在詢問(wèn)所述令牌時(shí)產(chǎn)生相應(yīng)事務(wù)日志�����。
15.根據(jù)權(quán)利要求13或權(quán)利要求14所述的系統(tǒng)����,其中��,所述事務(wù)日志指示相應(yīng)閱讀器的一個(gè)或多個(gè)動(dòng)作���。
16.根據(jù)權(quán)利要求14所述的系統(tǒng)��,其中��,不與所述網(wǎng)絡(luò)通信的一個(gè)或多個(gè)閱讀器中的每一個(gè)把所述相應(yīng)事務(wù)日志寫到所述令牌的存儲(chǔ)器中�����。
17.根據(jù)權(quán)利要求16所述的系統(tǒng)�,其中���,當(dāng)所述令牌隨后由確實(shí)與所述網(wǎng)絡(luò)通信的閱讀器詢問(wèn)時(shí)�����,所述事務(wù)日志從所述令牌的存儲(chǔ)器中被讀取并傳遞給所述網(wǎng)絡(luò)�����。
18.一種用于有選擇地由多個(gè)用戶訪問(wèn)的相應(yīng)成對(duì)的區(qū)之間的多個(gè)訪問(wèn)點(diǎn)的訪問(wèn)控制系統(tǒng)��,所述訪問(wèn)點(diǎn)有選擇地在閉鎖和開鎖配置之間跳動(dòng)以準(zhǔn)予或拒絕所述用戶在所述相應(yīng)成對(duì)的區(qū)中的區(qū)之間訪問(wèn)���,所述系統(tǒng)包括各個(gè)所述用戶的訪問(wèn)令牌���,各個(gè)令牌包括包含指示至少一個(gè)所述區(qū)的區(qū)記錄的存儲(chǔ)器,各個(gè)令牌響應(yīng)于詢問(wèn)信號(hào)以便產(chǎn)生從所述記錄中得到的令牌信號(hào)�����;和各個(gè)訪問(wèn)點(diǎn)的訪問(wèn)閱讀器�,所述閱讀器具有指示所述成對(duì)的區(qū)中的一個(gè)區(qū)的相應(yīng)閱讀器記錄,所述閱讀器產(chǎn)生詢問(wèn)信號(hào)并響應(yīng)所述對(duì)應(yīng)的令牌信號(hào)和閱讀器記錄來(lái)確定準(zhǔn)予還是拒絕所述訪問(wèn)����。
19.根據(jù)權(quán)利要求18所述的系統(tǒng),其中�����,所述閱讀器記錄在查詢所述訪問(wèn)點(diǎn)時(shí)將所述區(qū)中的一個(gè)指定為所述用戶位于其中的退出區(qū)���,而在準(zhǔn)予訪問(wèn)時(shí)指定為所述用戶將前進(jìn)到的進(jìn)入?yún)^(qū)����。
20.根據(jù)權(quán)利要求19所述的系統(tǒng),其中�����,所述進(jìn)入?yún)^(qū)和退出區(qū)是物理空間�����。
21.根據(jù)權(quán)利要求19所述的系統(tǒng)�����,其中����,所述閱讀器記錄指示當(dāng)查詢所述訪問(wèn)點(diǎn)時(shí)所述用戶位于其中的退出防反傳(APB)區(qū)����;和在準(zhǔn)予訪問(wèn)時(shí)所述用戶將前進(jìn)到的進(jìn)入APB區(qū)。
22.根據(jù)權(quán)利要求21所述的系統(tǒng)����,其中,所述閱讀器響應(yīng)所述進(jìn)入APB區(qū)和退出APB區(qū)來(lái)確定準(zhǔn)予還是拒絕所述訪問(wèn)。
23.根據(jù)權(quán)利要求18所述的系統(tǒng)����,其中,所述區(qū)中的至少一個(gè)是防反傳(APB)區(qū)�。
24.根據(jù)權(quán)利要求23所述的系統(tǒng),其中��,所述區(qū)記錄指示所述一個(gè)或多個(gè)區(qū)是否是APB區(qū)���。
全文摘要
一種用于有選擇地由多個(gè)用戶(5���,6)訪問(wèn)的兩個(gè)訪問(wèn)點(diǎn)(3,4)的訪問(wèn)控制系統(tǒng)(1)�。系統(tǒng)(1)針對(duì)相應(yīng)用戶(5,6)包括具有包含數(shù)字證書和令牌證書變化列表(CCL)的存儲(chǔ)器(10)的訪問(wèn)令牌(7�����,8)��。各個(gè)令牌響應(yīng)詢問(wèn)信號(hào)來(lái)產(chǎn)生從證書中得到的令牌信號(hào)��。計(jì)算機(jī)網(wǎng)絡(luò)(11)包含指示系統(tǒng)證書的信息����,并允許系統(tǒng)(1)提供指示一個(gè)或多個(gè)那些證書需要的變化的中央CCL���。連接的訪問(wèn)閱讀器(15)設(shè)在相鄰訪問(wèn)點(diǎn)(3)處,并與網(wǎng)絡(luò)(11)通信以維護(hù)與中央CCL實(shí)時(shí)合并的第一本地CCL�����。閱讀器(15)產(chǎn)生詢問(wèn)信號(hào)并響應(yīng)對(duì)應(yīng)的令牌信號(hào)以便確定訪問(wèn)點(diǎn)(3)是否跳動(dòng)到開鎖配置���;以及合并本地CCL和令牌CCL。
文檔編號(hào)G06F15/16GK101052970SQ200580036371
公開日2007年10月10日 申請(qǐng)日期2005年8月25日 優(yōu)先權(quán)日2004年8月27日
發(fā)明者P·K·格爾 申請(qǐng)人:霍尼韋爾有限公司