[发明专利]统一网络和物理处所访问控制服务器

说明书

技术领域

本发明一般地涉及基于安保(security)对物理处所和网络两者的访问控制。更具体而言，本发明涉及用于向诸如建筑物、家庭、物理基础结构或信息和网络系统之类的资源提供物理访问控制和/或网络访问控制的统一装置和方法；其中在访问控制系统中涉及了现有的物理安保设备和/或具备网络能力的设备。

背景技术

安保工作旨在保卫人、有形资产(例如有形财产和知识产权以及设施)和信息资产。为了实现这个目的，安保计划/安保组一般提供：对资产(有形的以及电子的/计算机化的)访问的控制、基于一组前提条件(例如策略)对事件和警报的监视以及在指定位置的实时监测。在许多企业、组织和公共区域中，这些安保程式已经被划分成了两个部分。一部分安保组和相关系统旨在控制对物理设施或资源的访问，并保卫授权和未授权的访问者。另一部分安保组和相关系统旨在控制对信息系统和网络的访问，以保护电子信息资产和其他网络附接设备(network attached device)。这两部分安保组和相关系统通过基于特定的一组标准(诸如时刻)控制指定个人的访问来管理安保风险。

物理访问控制系统的组件的类型、位置及其间使用的通信协议可能略有不同；但是，一般来说，对给定物理访问控制事件的处理和系统功能对于所有组件都是相同的。在典型的物理安保(访问受控)环境中，物理安保系统包括：入口锁定构件、入口开/闭或其他传感器(例如视频监测相机)、证书(对设备或个人进行某种形式的电子或物理识别的证书)、证书识别输入设备(例如证件读取器、个人识别码键入装置、生物测定设备)、通信和连接设备(例如门控制面板)、证书验证和基于策略的访问控制设备(例如访问控制面板)、证书和策略创建站(例如物理安保服务器)、物理安保管理站(例如监视、事件记录和警报报告平台)和设施用户列表/数据库(即人力资源员工数据库)。

物理访问控制是利用诸如证件读取器、电子锁和各种其他门元件之类的各种访问控制设备(access control device，ACD)在设施的入口点、有时在出口点处以及在设施的某些部分或房间中实现的。这些ACD主动或被动地对没有出示正确、有效的证书的情况下自由进入、离开或访问给定资源的所有用户进行查验。

物理访问控制系统证书可以是编码有识别信息的塑料卡、在键入装置处输入的秘密代码或口令或者其他生物测定信息，例如指纹或视网膜扫描图像。许多组织向员工提供了组织ID或电子密钥卡形式的证书，组织ID或电子密钥卡具有以电子标识符或个人识别码形式编码的特殊信息。一旦证书通过证件读取器、键入装置等等被提交/读取，证书就被对照有效证书持有者列表及其相关策略进行验证。这些策略可以基于时刻、其他人员的出现等等提供对访问资源的其他特定要求，或者就简单地发送指令以准予或拒绝访问。

对于用于给定入口的ACD(证件读取器、生物测定读取器、机电锁、门开/闭传感器(或者其他触点闭合(contact closure))，通过串行Wiegand连接、串行RS485连接或简单的铜缆触点闭合连接到门控制面板(door control panel，DCP)并被门控制面板所聚集是很常见的。DCP一般很靠近处于访问控制下的给定入口或资源。这些设备一般经由简单的信令协议通信。在许多情况下，信令协议可以专用于单个厂商的访问控制产品。

DCP一般连接到多个各种ACD。DCP的使用消除了每个访问控制设备拥有其自己的证书验证和施行列表或其自己的针对验证和施行设备的专用连接的需要。一些DCP可具有全部或部分证书列表；但是，这种实现方式却有着某些缺陷。由于大多数设施可能具有多个入口/出口点或者需要对设施内的特定房间或资源进行访问控制，因此可能需要额外的工作来确保所有DCP都具有最新的信息。在一些情况下，可能必须将某些访问控制设备设置在设施的安全内部之外。因而，具有证书列表的DCP很容易遭到篡改或者可能受到危害，从而导致安保缺口(即，列表可能被访问，从而暴露口令和证书)。因此，许多访问控制系统提供了对访问控制列表和相关策略的进一步集中。这样，一些DCP将只是聚集ACD连接并将证书信息传递到访问控制面板(Access Control Panel，ACP)处的用于集中证书验证和策略施行的另一设备。

ACP使用与DCP相连的读取器所提供的证书信息来确定是准予携带者进入或离开的权利还是拒绝访问请求。ACP依赖于物理安保服务器和管理站来创建与给定的一组证书相关联的实际列表和策略。