统一网络和物理处所访问控制服务器转让专利
申请号 : CN200680040177.8
文献号 : CN101297282B
文献日 : 2011-10-26
发明人 : 马克·威廉·法林德 , 马克·安东尼·科拉尔 , 大卫·克里斯多佛·特威纳姆 , 罗伯特·普赖尔·小贝利勒斯
申请人 : 思科技术公司
摘要 :
本发明提供了保存与网络访问和设施访问两者有关的信息的访问控制服务器。访问控制服务器[图6,标号400]基于位置、资源类型、时刻、持续时间或其他事件施行策略,并且记录对访问给定资源的所有成功和不成功尝试,不论该资源在网络上还是在设施处。访问控制服务器[图6,标号400]在证书验证和策略引擎[图10,标号410]所仲裁的公共的属性和策略列表或表格或者单独的属性和策略列表或表格上进行操作。该统一访问控制服务器[图10,标号400]实现结合基于网络和/或物理处所的设备工作的协议。统一访问控制服务器允许设施中的事件与网络上的事件相关联,反之亦然,并且指导可在物理或网络领域中执行的策略。
权利要求 :
1.一种访问控制系统,包括:
能够接收访问请求的证书的多个设备,所述多个设备包括用于提供对物理设施的访问的物理设施设备和用于提供对网络资源的访问的网络资源设备,所述物理设施设备被配置为接收具有用于访问所述物理设施的证书的第一访问请求,并且所述网络资源设备被配置为接收具有用于访问所述网络资源的证书的访问请求,其中所述物理设施设备和所述网络资源设备委托对所述证书的验证并且生成并发送包括所述证书的访问请求;
服务器,该服务器被配置为接收包括所述证书的访问请求并且能够访问列表,该列表包含由证书定义的、基于某个指定的标准或策略被许可访问物理设施和网络资源的授权实体,所述服务器被配置为验证由所述物理设施设备和所述网络资源设备两者提交的证书,并发出利用所述物理设施设备和所述网络资源设备分发和实现所述策略的命令,所述服务器被配置成为在从用于访问所述物理设施的物理设施设备和用于访问所述网络资源的网络资源设备两者接收的访问请求中的证书的初始检验者,其中所述物理设施设备接收来自所述服务器的关于在所述访问请求中发送的证书的证书检验的命令并且基于该命令施加访问,所述服务器是在所述物理设施设备处施加访问的证书的初始检验者,其中所述网络资源设备接收来自所述服务器的关于在所述访问请求中发送的证书的证书检验的命令并且基于该命令施加访问,所述服务器是在所述网络资源设备处施加访问的证书的初始检验者。
2.如权利要求1所述的访问控制系统,其中所述列表是列表的同步集合。
3.如权利要求1所述的访问控制系统,其中所述列表是列表的分布式公共集合。
4.如权利要求1所述的访问控制系统,其中所述设备包括物理访问控制、网络连接或物理访问控制和网络连接两者,并且所述列表还包含用于发出修改物理资源参数和网络访问参数的指令的策略。
5.如权利要求4所述的访问控制系统,其中所述物理资源参数包括照明、供暖和制冷。
6.如权利要求4所述的访问控制系统,其中所述服务器还响应于事件或事件组合生成并发送基于策略的指令到连网设备,以便所述连网设备执行相应的、预定义的动作。
7.如权利要求1所述的访问控制系统,其中所述服务器包括用于吸收、维护和分发用于访问物理设施和网络资源的访问控制策略的装置。
8.如权利要求1所述的访问控制系统,还包括基于帧的网络。
9.如权利要求1所述的访问控制系统,还包括基于分组的网络。
10.如权利要求1所述的访问控制系统,还包括用于记录对访问物理设施和网络资源的尝试的统一服务器和管理站。
11.如权利要求10所述的访问控制系统,还包括用于响应于每个访问尝试记录基于策略的指令的装置。
12.如权利要求10所述的访问控制系统,还包括用于监视网络资源和访问控制事件的装置。
13.如权利要求10所述的访问控制系统,还包括用于实现用来管制用户对多个设施和多个网络进行访问的访问策略的装置。
14.如权利要求1所述的访问控制系统,其中所述列表和策略被集成到网络基础结构设备中。
15.一种用于在服务器处实现针对物理设施和网络资源的访问控制策略的方法,包括:定义针对一个实体或实体群组的多条策略;
从物理资源设备接收对物理资源访问请求的第一证书检验请求,所述第一证书检验请求包括第一证书,其中所述第一证书检验请求将对所述第一证书的验证从所述物理设施设备委托给所述服务器;
从基于网络的资源设备接收对基于网络的资源访问请求的第二证书检验请求,所述第二证书检验请求包括第二证书,其中所述第二证书检验请求将对所述第二证书的验证从所述物理设施设备委托给所述服务器;
在所述服务器处基于所述多条策略中的一条策略来检验所述第一证书检验请求,所述服务器的检验是对所述第一证书的初始检验;
在所述服务器处基于所述多条策略中的一条策略来检验所述第二证书检验请求,所述服务器的检验是对所述第二证书的初始检验;
基于对所述第一证书检验请求的检验向所述物理资源设备发送对所述第一证书检验请求的第一响应,其中所述第一响应允许所述物理资源设备基于所述第一响应施加访问;
以及
基于对所述第二证书检验请求的检验向所述基于网络的资源设备发送对所述第二证书检验请求的第二响应,其中所述第二响应允许所述基于网络的资源设备基于所述第二响应施加访问。
16.如权利要求15所述的方法,其中所述策略是通过关联并指定物理领域的事件与网络资源的事件或访问来定义的。
17.如权利要求15所述的方法,还包括:
将来自给定实体或实体群组的物理资源访问请求或事件与基于网络的资源访问请求或事件关联起来。
18.如权利要求17所述的方法,还包括:
关联并指定对所述网络资源的访问与物理领域的事件。
19.一种在服务器处管理对有形资产和基于网络的资产的访问的方法,包括:提供具有定义对物理设施和网络资源的访问权限的用户证书的统一列表,所述统一列表还包括定义对网络资源的访问权限的用户信息;
在服务器处管理从公共的平台对有形资产和基于网络的资产进行的访问,所述服务器是从所述物理设施和网络资源接收的访问请求中的用户证书的初始检验者;以及基于所述服务器的检验向所述物理设施和网络资源发送验证响应以允许所述物理设施和网络资源被访问,所述物理设施和网络资源将对所述用户证书的检验委托给所述服务器。
说明书 :
统一网络和物理处所访问控制服务器
技术领域
[0001] 本发明一般地涉及基于安保(security)对物理处所和网络两者的访问控制。更具体而言,本发明涉及用于向诸如建筑物、家庭、物理基础结构或信息和网络系统之类的资源提供物理访问控制和/或网络访问控制的统一装置和方法;其中在访问控制系统中涉及了现有的物理安保设备和/或具备网络能力的设备。
背景技术
[0002] 安保工作旨在保卫人、有形资产(例如有形财产和知识产权以及设施)和信息资产。为了实现这个目的,安保计划/安保组一般提供:对资产(有形的以及电子的/计算机化的)访问的控制、基于一组前提条件(例如策略)对事件和警报的监视以及在指定位置的实时监测。在许多企业、组织和公共区域中,这些安保程式已经被划分成了两个部分。一部分安保组和相关系统旨在控制对物理设施或资源的访问,并保卫授权和未授权的访问者。另一部分安保组和相关系统旨在控制对信息系统和网络的访问,以保护电子信息资产和其他网络附接设备(network attached device)。这两部分安保组和相关系统通过基于特定的一组标准(诸如时刻)控制指定个人的访问来管理安保风险。
[0003] 物理访问控制系统的组件的类型、位置及其间使用的通信协议可能略有不同;但是,一般来说,对给定物理访问控制事件的处理和系统功能对于所有组件都是相同的。在典型的物理安保(访问受控)环境中,物理安保系统包括:入口锁定构件、入口开/闭或其他传感器(例如视频监测相机)、证书(对设备或个人进行某种形式的电子或物理识别的证书)、证书识别输入设备(例如证件读取器、个人识别码键入装置、生物测定设备)、通信和连接设备(例如门控制面板)、证书验证和基于策略的访问控制设备(例如访问控制面板)、证书和策略创建站(例如物理安保服务器)、物理安保管理站(例如监视、事件记录和警报报告平台)和设施用户列表/数据库(即人力资源员工数据库)。
[0004] 物理访问控制是利用诸如证件读取器、电子锁和各种其他门元件之类的各种访问控制设备(access control device,ACD)在设施的入口点、有时在出口点处以及在设施的某些部分或房间中实现的。这些ACD主动或被动地对没有出示正确、有效的证书的情况下自由进入、离开或访问给定资源的所有用户进行查验。
[0005] 物理访问控制系统证书可以是编码有识别信息的塑料卡、在键入装置处输入的秘密代码或口令或者其他生物测定信息,例如指纹或视网膜扫描图像。许多组织向员工提供了组织ID或电子密钥卡形式的证书,组织ID或电子密钥卡具有以电子标识符或个人识别码形式编码的特殊信息。一旦证书通过证件读取器、键入装置等等被提交/读取,证书就被对照有效证书持有者列表及其相关策略进行验证。这些策略可以基于时刻、其他人员的出现等等提供对访问资源的其他特定要求,或者就简单地发送指令以准予或拒绝访问。
[0006] 对于用于给定入口的ACD(证件读取器、生物测定读取器、机电锁、门开/闭传感器(或者其他触点闭合(contact closure)),通过串行Wiegand连接、串行RS485连接或简单的铜缆触点闭合连接到门控制面板(door control panel,DCP)并被门控制面板所聚集是很常见的。DCP一般很靠近处于访问控制下的给定入口或资源。这些设备一般经由简单的信令协议通信。在许多情况下,信令协议可以专用于单个厂商的访问控制产品。
[0007] DCP一般连接到多个各种ACD。DCP的使用消除了每个访问控制设备拥有其自己的证书验证和施行列表或其自己的针对验证和施行设备的专用连接的需要。一些DCP可具有全部或部分证书列表;但是,这种实现方式却有着某些缺陷。由于大多数设施可能具有多个入口/出口点或者需要对设施内的特定房间或资源进行访问控制,因此可能需要额外的工作来确保所有DCP都具有最新的信息。在一些情况下,可能必须将某些访问控制设备设置在设施的安全内部之外。因而,具有证书列表的DCP很容易遭到篡改或者可能受到危害,从而导致安保缺口(即,列表可能被访问,从而暴露口令和证书)。因此,许多访问控制系统提供了对访问控制列表和相关策略的进一步集中。这样,一些DCP将只是聚集ACD连接并将证书信息传递到访问控制面板(Access Control Panel,ACP)处的用于集中证书验证和策略施行的另一设备。
[0008] ACP使用与DCP相连的读取器所提供的证书信息来确定是准予携带者进入或离开的权利还是拒绝访问请求。ACP依赖于物理安保服务器和管理站来创建与给定的一组证书相关联的实际列表和策略。
[0009] ACP和物理安保服务器之间的连接和通信可能有所不同,但是它们一般是基于串行或调制解调器连接的。在一些安装中,ACP可以使用对物理安保服务器的以太网(基于帧的)连接,但是应当注意,这些物理访问控制系统只将以太网用于连接。物理访问控制组件之间的实际通信一般是单个厂商私有的,例如,信令在以太网连接和通信中被隧传。因而,其他网络资源(其他传统的网络服务器)一般不与ACP通信,并且不能控制ACP。此外,几乎每个基于网络的ACP提供商都未能完全解决信息系统所关心的关于对基于网络的ACP的未授权访问或入侵攻击的安保问题(例如参见http://www.cordis.lu/infosec/home.html处的InfoSec)。
[0010] 物理安保服务器确保所有ACP具有准确的证书和策略信息。物理安保服务器实现了用于登记新证书、从系统中去除过期证书(以防止未来的物理访问并为设施处的每个证书限定物理访问控制策略)的安保应用。物理安保服务器为在其管理之下的所有ACP保存主证书表格(例如用户名、用户证件和其他可获得的用户的特有属性,例如指纹、视网膜扫描、声纹或其他生物测定信息)以及所有物理访问控制策略。换言之,服务器还维护与每个用户相关联的规则,以确定何时授权对组织中的特定端口的访问。它更新每个ACP,以确保正确的证书列表和策略就位。因而,可以执行授权用户进入组织的停车场、前门、实验室门、电梯、贮藏室、计算机网络或该组织希望控制和监视访问的其他区域的规则。这些规则也可以专用于一天的某个时刻、一周的某些天,或者给定的持续时间。物理安保服务器还与管理站相接。
[0011] 物理安保服务器可经由基于帧(例如以太网)/分组(例如因特网协议)的网络与诸如人力资源数据库服务器之类的其他网络附接服务器相连接并与之通信;但是,它们不提供用于管理网络访问控制或其他网络安保能力的支持功能并且也不知晓网络访问事件。
[0012] 管理站提供警报监视和由物理安保人员进行的一般物理访问控制管理。此外,它经常支持用于打印和编码证书的一组应用程序。管理站可位于远程地点或者分布在若干个不同设施处。
[0013] 被分配了有效证书和相关策略的用户的列表可以来自许多来源。在较大的组织或企业中,这种潜在列表可从定期更新的雇员/人力资源数据库获得,所述数据库可以经由来自诸如SAP、PeopleSoft和Oracle之类的团体的软件应用程序来支持。物理安保系统管理员为给定用户提供卡、卡证书和相关访问权限。
[0014] 图1图示了典型的现有技术设施访问控制系统100。每个设施或设施的每一层将具有共处一地的组件101,组件101可包括位于每个门或其他入口处的若干个访问控制设备(ACD)110,例如机电门锁111、读取器112、门触点113、键入装置114、门报警器115、运动传感器116。其他类型的访问控制设备可包括指纹传感器、相机或其他设备、组件或软件驱动的识别设备。
[0015] 在设施的每个门处,一个或多个ACD 110耦合到专用的DCP。DCP可按星形配置直接连接到ACP 120(例如DCP 118和119),或者进而耦合到其他与ACP 120相连的DCP(例如DCP 117和118)。DCP一般经由RS485串行电缆链接到ACD 120。DCP 117-119响应于ACP 120提供的控制信息来控制ACD 110的操作。
[0016] 每个ACP 120控制若干个DCP 117-119。例如。ACP 120可控制设施中的、多层建筑物中特定一层中的或者设施的特定区域中的所有门控制面板。在大多数安保系统中,串行或以太网链路将ACP 120耦合到物理安保服务器121。物理安保服务器121以及物理安保管理站122可远离ACP,并可集中在一个建筑物内,或者位于不同的建筑物中。
[0017] 当物理访问控制请求事件发生时,例如当人靠近门时,ACD 111-116之中的一个或多个向系统生成输入信号。例如,读取器112可检测被编码的用户ID并将证书发送到DCP117,DCP 117为此门执行ACD连接聚集和本地消息缓冲。DCP 117将ACD生成的信息以访问请求消息的形式中继到ACP 120。ACP 120通过将检测到的证书与有效(已授权)证书列表和相关策略相比较来验证证书,以确定证书是否有效以及物理访问策略是否与用于此入口/出口点的证书相关联。有效证书信息列表和相关访问策略由物理安保服务器121提供并且是在访问控制事件之前发送到ACP的。
[0018] 如果策略指示出门应当被打开,则访问控制响应消息被从ACP 120发送到DCP117,以指示它激活(打开)该特定门的机电锁111。如果因为证书无效所以策略是拒绝访问,那么例如可触发警报并将其发送到管理站122,并保持门锁定。
[0019] 一个不同的、单独的系统控制着对由许多组织或其他实体操作的信息系统和私有网络的访问。该访问控制系统力图保护基于网络的信息资产并控制对其他网络附接设备的访问。网络访问控制系统一般包括但不限于:若干个网络边缘附接设备(例如计算机、服务器、IP电话等等)、电子证书(例如用户或设备名、网络地址、口令等等)、基于帧/分组的网络基础结构设备(例如路由器、交换机、负载平衡器、防火墙)、电子证书验证和基于策略的访问控制设备(例如网络访问控制服务器)、证书和策略创建站和工具(例如网络安保服务器)、网络用户列表/数据库(即人力资源员工数据库)和网络管理工作站。
[0020] 所有的网络设备都共同经由有线/光纤或无线介质连接,所述介质利用诸如以太网和IP之类的基于帧/分组的网络协议进行通信。网络设备彼此通信的能力不一定意味着一个网络设备能够控制另一个网络设备。控制设备的能力是更高级的应用和协议的功能(例如由OSI 7层网络通信模型提供)。
[0021] 应当清楚地理解,诸如个人计算机、服务器、个人数字助理以及IP电话、IP视频监测相机等等之类的网络附接设备具有有线/光纤或无线通信功能,并且是常见的网络附接边缘设备。这些设备中的许多可提供可用来输入和提交证书信息的键盘或其他输入设备,以及可提供和请求形成电子证书的基础的网络地址信息的嵌入电路。
[0022] 网络访问证书被用于准予/拒绝网络访问和对附接到网络的各种资源的访问。一般,网络访问证书信息经由中间设备从网络边缘设备传递到网络访问控制服务器,所述中间设备例如是网络基础结构设备(路由器和交换机)。用于网络访问控制的证书可能有所不同,一种最简单的形式是用户名和口令的组合。口令可用于多个登录(网络访问请求)会话或者可为单个登录访问事件而创建。证书也可以是尝试连接到网络的网络设备的预定义网络地址(例如以太网MAC地址或IP地址)。
[0023] 诸如路由器和交换机之类的网络基础结构设备(NID)提供从网络边缘附接设备到其他网络附接资源的连接。路由器和交换机通常支持基于帧和/或分组的网络协议并经由其通信,这些协议封装有将要传输到各种其他网络附接设备的信息。为了物理安保访问控制系统组件之间的通信,NID可向能够连网的物理安保访问控制系统组件提供网络连接;但是,现技术NID不能为了对给定资源的物理访问而控制这些物理安保访问系统组件。
[0024] 网络访问被设计用于限制对授权用户和设备进行网络访问的登录系统所控制是很常见的。这些登录系统被称为AAA服务器(认证、授权和计费服务器)。AAA提供了执行认证、授权、计费服务的模块化方式,用于验证要求访问网络和网络设备的用户的身份、准予其访问和跟踪其动作。
[0025] 认证提供了用于识别尝试访问网络的用户(即能够辨别给定用户就是他所宣称的那个人)的方法。这通常是利用传统的用户名/口令来执行的,最近则是通过诸如质询和响应(如CHAP)、一次口令(OTP和PKI证书)之类的更现代化、安全的方法来执行的。授权提供了用于控制经认证的用户能够访问哪些服务或设备(即确定给定用户在登录后能够进行操作的范围)的方法。计费提供了用于跟踪用户在网络中的行为并能够辨别特定个人在登录后做了什么的方法。收集到的信息可用于记账、审计和报告目的。网络用户访问控制的概念也可扩展到对网络设备的管理性访问和用于配置和监视的网络管理方案。
[0026] 一个这种登录系统是Cisco Secure ACS,一种基于策略的网络访问控制服务器。该网络访问控制服务器维护网络访问中心表格或有效电子证书的列表和给定证书持有者/用户基于某些条件(例如策略)能够访问的网络资源的相关列表。它用于确定尝试获得网络访问的用户或计算机的授权网络访问水平。该服务器的表格可以保存用户名、用户ID、网络口令和与要求访问网络的每个用户或设备相关联的规则。这些规则可被称为网络访问控制策略(有效电子证书的列表和给定证书持有者/用户基于某些条件能够访问的网络资源的相关列表)。网络访问控制服务器提供用于登录到网络的用户界面,并且还用于对网络访问控制系统进行配置和配设。ACS服务器维护公共的事件日志,因此安保人员可以监视、关联和验证具有设施访问的团体网络上用户活动。
[0027] ACS服务器及其功能可以部署在一个位置中或者分布在多个访问控制服务器中。ACS服务器可以以集中或分布的方式保存所有或部分策略、规则和授权用户。ACS服务器可保存关于未授权用户的信息,从而安保人员可识别尝试规避设施或网络安保的作恶者。
[0028] 被分配了网络访问的有效证书和相关策略的用户的列表可以来自许多来源。在较大的组织或企业中,这种潜在列表可从定期更新的雇员/人力资源数据库(即SAP、PeopleSoft和Oracle)获得。网络访问控制服务器将会不时地使其有效用户列表与人力资源或其他组织的数据库同步,但是所有策略都是直接在网络访问控制服务器上创建、维护和更新的。
[0029] 网络访问控制服务器(例如Cisco ACS服务器)一般能够与许多厂商的传统的基于帧/分组的网络设备协同工作。访问控制服务器周期性地向每个具有IP能力的设备发出SNMP查询以验证健康性和网络连接是很常见的。SNMP查询是网络技术领域公知的。然而,现有技术的网络访问控制服务器不具有支持物理访问控制设备的能力,也不会与物理安保服务器或物理安保管理站、门控制面板协同工作或者提供ACP功能。另外,现有技术的网络访问服务器并不知晓物理/设施访问事件。
[0030] 网络安保服务器提供了一般与系统配置和管理相关联的多种功能。这些服务器经常提供后端记账和计费、事件记录和用户界面通信。网络安保服务器经常与提供实时网络访问控制服务的网络访问控制服务器通信。现有技术的网络安保服务器不支持物理安保访问控制功能,并且也不知晓物理访问安保事件。
[0031] 应当理解,其他网络安保功能可以是网络基础结构的一部分。这些功能和服务包括:防火墙服务、VPN加密/解密、网络入侵检测服务,但它们一般依赖于网络访问控制服务器来进行对于网络访问的初始登录认证和授权。在一些情况下,这些服务可集成到网络基础结构设备中。此外,NID可充当代理并提供一些AAA能力。
[0032] 网络管理工作站提供警报监视和由网络管理和操作人员进行的一般网络操作管理。网络管理工作站可位于远程地点或者分布在若干个不同设施处。
[0033] 图2图示了典型的现有技术网络访问控制系统。网络不受物理位置约束。网络可包括事实上位于任何可获得网络连接的地方的若干个网络边缘设备(NED)150,例如计算机151、网络电话(例如IP电话)152、网络相机153、连网I/O设备(例如销售点终端、制造过程控制传感器和机器等等)154。
[0034] NED 150一般直接连接到网络基础结构设备155(NID)。NID 155通常是路由器、交换机和/或无线接入点。NID 155向NED 150提供对各种其他网络资源156的访问,并且可包括因特网访问,这些网络资源最终是其他NED或应用服务器计算机或其他连网通信设备(即IP电话、视频相机等等)的集合。在各个NED 150或其他网络资源156之间可以有若干个互连的NID。NID 155直接连接到或经由其他NID间接连接到网络访问控制服务器(NACS)157、网络管理工作站158或网络安保服务器159。网络设备157-159可远离NED150和/或被设置在诸如网络操作中心或数据中心之类的中央位置中。
[0035] 当网络访问控制请求事件发生时,例如当人希望将其计算机连接到图2中的网络时,计算机必须生成网络访问(登录)请求。例如,计算机151将调出一个小屏幕,该小屏幕请求用户经由计算机键盘输入其姓名和预先分配的口令。这些电子证书(用户名和口令)被发送到网络基础结构设备155,网络基础结构设备155继续将电子证书信息传递到网络访问控制服务器157。
[0036] 网络访问控制服务器157通过将用户证书与有效网络证书列表相比较来确证用户证书。它还检查相关联的网络访问策略,以确定证书持有者是否符合关于用户访问所请求的网络资源156或其他网络资源的所有适用策略。网络访问控制列表和相关策略是在网络访问控制事件之前存储在服务器上的。
[0037] 有效用户名由人力资源数据库提供,并且也是在访问事件之前被存储在网络访问控制服务器的列表中的。给定用户名的口令预先经由ACS用户配置界面或经由来自某个其他网络管理服务器的输入而被输入到列表中。给定用户的网络资源访问策略是基于组织策略经由网络管理者分配的。
[0038] 如果用户名和口令与网络访问列表/表格中的条目匹配,则用户被准予网络访问权限。该准予被发送到提供对其他网络附接资源156(例如具有各种应用的服务器、对因特网的访问等等)的访问的各种网络基础结构设备155。用户现在可访问所请求的资源。如果用户名和口令不匹配网络访问列表中的条目,则用户可被给予另一次机会来输入信息,或者NID 155可被指示在另一网络访问请求作出之前将与网络边缘设备151的连接切断某一段时间。不论网络访问请求是否有效,网络访问控制服务器157都记录该请求和结果。该记录可被网络管理人员直接访问或被发送到网络管理工作站158。经确证的网络访问请求也可被从网络访问控制服务器157发送到网络安保服务器159。
[0039] 如前所述,一些物理安保系统和一些物理安保系统组件已经被设计为连接到以太网/基于IP的网络,以将信息从一个物理安保系统组件传输到另一物理安保系统组件。但是,这些连接了以太网/IP的物理安保组件并不利用所有的帧/分组网络的资源,例如AAA或网络访问控制服务器,而且也不知晓网络访问事件。
[0040] 可以获得现有物理安保设备访问网关,如图3中方框125所示,其能够将各种访问控制系统设备厂商的信令格式和协议转化成另一访问控制系统厂商的组件格式。这些网关提供了不同的物理安保厂商系统组件之间的更强的协作性,并且可允许通过基于帧/分组网络来传输物理安保信息;但是,这些网关不允许网络访问控制服务器控制物理/设施访问控制设备。仍然需要ACP来确证证书,如先前在图1示例中所述。
[0041] 另外,一些现有技术DCP(如图4中方框129所示)和一些访问控制设备(例如证件读取器,如图5中方框131所示)可支持基于帧/分组的网络连接,例如以太网。当信息从其相关ACD被传递到DCP时,它聚集数据并将数据放在分组或以太网帧的有效载荷部分中,然后才将其发送到本地以太网络或其他有线或无线的基于分组的网络上的边缘路由器。
[0042] 与物理安保访问网关类似,这些可连网的DCP和ACD允许物理安保信息通过基于帧/分组的网络来传输,但持续在物理访问控制系统的指导下工作,以确证证书并且基于这些证书施加基于策略的动作。因此,它们接收来自物理安保服务器或物理访问控制面板的访问控制列表和策略更新。这些可连网的DCP和ACD不接收来自网络访问控制/AAA服务器的更新,而且DCP和/或ACD不知晓网络访问事件。
[0043] 当最初被布置时,这些现有技术的连网访问控制网关、DCP和ACD通常被配置为通过单个子网通信(广播物理访问事件);因而,在单个物理访问控制系统的管理下的设备的数目是有限的。但是,几个连网的物理访问控制网关、DCP和ACD可被配置具有ACP的或者物理访问控制服务器的网络地址或者默认网络访问网关的地址(允许其经由路由接口互连)。将会意识到,默认网络访问网关在本领域中经常被称为域名服务器(DNS)。该网关帮助将较大数量的物理访问控制组件置于单个ACP/物理访问策略服务器的管理之下。
[0044] 已经意识到,不能联合管理和统一针对设施和网络资源两者的访问控制程式危害了整个团体安保的有效性。例如,简单地使用智能卡技术来统一物理安保访问控制和网络访问控制证书对于统一物理访问控制和网络访问控制系统或者将物理安保访问控制策略与网络访问控制策略(反之亦然)联系在一起没有多大用处。因而,即使设施访问系统和网络访问系统两者都被勤勉地监视和管理,由于未将物理安保和网络安保策略联系在一起,组织也仍然很容易发生误用或疏忽。
[0045] 从网络安保的角度来看,不能将物理和网络访问联系在一起产生了弱点,使得网络系统的所有者可能遭受有价值的证书或私有信息的丢失或者网络本身的损害。为了说明此弱点,考虑某些雇员在一天结束离开设施时忘记退出计算机的情形。在他们离开之后,计算机仍保持连接到网络并且可被在设施中的任何人使用,即使他们并未被授权访问网络。很明显,不希望在授权用户已离开设施之后仍允许无人看管的终端保持连接到网络。如果网络访问控制服务器能够经由“出示证件才能离开(badging-out)”或面部识别视频监测来访问用户从设施离开的日志,则对无人看管的计算机的网络访问可被终止,从而消除此弱点。
[0046] 简单地确立为设施的所有授权用户提供网络访问的策略不能解决前述弱点。考虑这种情形:虽然可以接受照管人员(包括外来的照管服务人员)访问建筑物以进行清洁和维护,但可能就不能接受这些设施授权的人员能够访问网络资源和知识产权。
[0047] 为了从物理安全和安保角度说明另一弱点,考虑以下可能:当一个或多个设施授权(facility-authorized)和网络授权(network-authorized)用户和另一授权用户作为一个群组进入设施时,这一个或多个用户可以通过“紧随(tailgating)”该另一授权用户穿过门来进入设施(例如紧随者没有出示它的证书以便确证)。当发生紧随时,设施安保就无法准确地确定在任何给定时间谁在设施中。因而,如果看到某个没有正式进入设施的人登录到设施的计算机中,则团体的安保必须确定发生了什么。另外,在诸如火灾或爆炸之类的紧急事件的情况下,团体安保和救援人员需要知道谁在设施中以及他们在什么位置,以便他们能够被迅速、安全地疏散。如果物理和网络安保访问控制没有被统一,那么物理安全和安保人员必须参考物理安保日志和网络访问日志两者来更全面地确定谁可能在建筑中。
[0048] 对知识产权的许多网络安保破坏和窃取都源自远程位置。不管网络操作者从某个网络连接限制对某些网络资源的访问的能力如何,许多网络安保破坏都是因为所谓的计算机“黑客”能够欺骗网络访问控制服务器和NID使其相信黑客或者用户连接到了“授权”的网络连接而发生的。如果网络访问策略可以链接到物理访问服务器控制日志,那么这就可以经由最近出示的有效物理访问证书来提供对用户在许可设施或房间中的物理位置的交叉确证。因而,被盗用或“窃用”的口令不足以用来进行网络资源访问。
[0049] 很明显,需要物理安保(访问控制)和网络访问系统的统一,这种统一促进新安保策略并改进物理安保和网络安保两者。为了克服现有技术的物理和网络安保系统的缺陷,本发明公开了一种统一的访问控制系统和方法,其特征和优点将会通过以下详细描述和对相关附图的查阅而变得清楚。
附图说明
[0050] 图1图示了典型的现有技术设施访问控制系统。
[0051] 图2图示了用于基于帧/分组的网络的典型现有技术网络访问控制系统。
[0052] 图3图示了将现有技术可连网物理安保访问控制网关用作物理安保访问控制系统的一部分。
[0053] 图4图示了将现有技术可连网物理安保门控制面板用作物理安保访问控制系统的一部分。
[0054] 图5图示了将现有技术可连网物理安保访问控制设备用作物理安保访问控制系统的一部分。
[0055] 图6图示了根据本发明一个实施例的统一的设施访问控制和网络访问控制系统。
[0056] 图7A-7C是图示本发明的各种实施例的框图。
[0057] 图8图示了根据本发明实施例,统一访问控制功能作为网络基础结构设备的集成部分的应用。
[0058] 图9图示了根据本发明实施例的统一的网络和物理处所(premises)访问控制服务器的操作。
[0059] 图10图示了根据本发明另一实施例的统一访问控制系统的实施例。
具体实施方式
[0060] 在这里对本发明实施例的描述中,提供了许多具体细节,例如组件和/或方法的示例,以帮助全面理解本发明的实施例。但是,本领域的技术人员将会意识到,没有这些具体细节中的一个或多个,或者利用其他装置、系统、组合件、方法、组件、部件等等也能实现本发明的实施例。在其他情况下,没有具体地示出或详细描述公知的结构、材料或操作,以避免模糊本发明实施例的各个方面。
[0061] 图6图示了本发明的一个实施例,其中示出了用于网络和物理处所访问的统一访问控制服务器200。服务器200与现有物理安保系统202和帧/分组网络204两者接口,以控制统一的物理访问和/或网络访问。该系统可适用于监视和控制对建筑物、家庭、物理基础结构和/或信息和网络系统的访问。有利地,服务器200将用于物理设施和具备网络能力的设备的证书验证和相关策略和策略施行统一在一起。这种统一促进了加强物理安保和网络安保两者的新安保策略的实现。这些策略消除了物理访问控制和网络访问控制系统中的安保漏洞,并且确保设施访问系统和网络访问系统都能被勤勉地监视和管理。因而,通过使误用或疏忽的可能性最小化来改进组织安保。
[0062] 统一访问控制服务器200消除了对访问控制面板和网络访问控制服务器的需要,但仍在先前这些设备所支持的表格中维护有效证书列表和访问策略。服务器200还施行所有访问策略。另外,统一访问控制服务器200允许物理访问事件和网络访问事件被监视、关联并联系在一起,以加强物理访问控制策略和网络访问控制策略两者。
[0063] 现有参考图7A,其中图示了本发明的一个实施例。根据本发明,访问控制系统被用于控制和/或监视设施及其物理和网络资源。本发明假定一个或多个访问控制设备(ACD)110和计算机151或其他网络边缘设备分别是设施及其网络的一部分。常见的访问控制设备包括读卡器、生物测定传感器、相机、报警器、运动传感器和机电门锁。每个ACD110耦合到门控制面板(DCP)119,DCP 119进而又耦合到具备分组/帧能力的访问控制网关125。访问控制网关125允许先前部署在设施中和设施周围的现有ACD和DCP结合本发明一起使用,而无需对物理访问控制系统进行另外的修改。访问控制网关125简单地使现有DCP通信能够通过基于帧或分组的网络155传输。DCP访问请求消息被统一访问控制服务器200接收和响应。
[0064] 一般来说,统一访问控制服务器200确证证书并且基于位置、资源类型、时刻、持续时间和其他事件来施行访问策略,并且记录对给定资源的访问的所有成功和未成功的尝试,无论它是针对网络还是物理处所。计算机151和/或其他网络基础结构设备和/或DCP119负责实现统一访问控制服务器返回的指令(例如,在设施处通过引发警报或打开门)。
[0065] 统一访问控制服务器200还支持访问控制监视功能和访问控制事件。利用实时信息,安保人员可同时监视和管理对物理和联网资源的访问,以更全面地保护在设施中工作的人和信息资产。
[0066] 注意,统一访问控制服务器200还通过基于帧/分组的网络28(例如以太网络或因特网)与网络安保服务器159和物理安保服务器121两者通信。网络安保服务器159在新设备被添加到网络中时控制对它们的登记并且管理新的和过期的用户证书。当对网络访问策略进行修改时,修改后的策略被从网络安保服务器159传送到统一访问控制服务器200以及镜像服务器(如果有的话)。类似地,当用户证书被更新时,该信息被传播到统一访问控制服务器200。从物理安保访问控制系统的角度来看,物理安保服务器121在新的物理系统用户被添加时控制对它们的登记并且持续管理新的和过期的用户证书。当对物理访问控制策略进行修改时,修改后的策略被从物理安保服务器121传送到统一访问控制服务器200。因此,统一访问控制服务器200提供先前与网络访问控制服务器有关的所有功能以及先前由访问控制面板提供的对物理访问控制证书的确证和有效的相关物理访问控制策略的施行。
[0067] 访问控制事件可以是用户或计算机请求网络访问,或用户请求访问设施的门或房间,比如办公室、储藏室或实验室。例如,当统一访问控制服务器200经由基于帧/分组的网络228接收到来自计算机151或连接到访问控制网关225的DCP 119的访问请求消息时,统一访问控制服务器200通过验证证书的有效性、作出请求的设备或请求者的位置并且基于所提供的信息执行特定策略来对请求消息作出响应。执行该访问控制策略的结果是经由基于帧/分组的网络228发送回计算机151或附接到访问控制网关225的DCP 119的相应的访问控制响应消息。
[0068] 另外,本发明通过允许创建和实现将物理访问事件与网络访问事件联系在一起的新策略而实现了新的特征。例如,在网络登录事件之前,为了给定用户访问网络资源,统一访问控制服务器可施行这样的策略:用户必须在过去一小时内也在指定房间或建筑物中接收到了赞成的物理访问确证。此外,当雇员离开其办公室或设施时,网络访问可以基于证件读取器或视频监测相机所生成的物理设施外出请求事件及相关的面部识别能力而被终止。这样确保了在授权用户离开设施之后不会使开放的网络连接无人看管。因而,物理和网络访问事件被联系在了一起,从而加强了网络访问安保。这种策略还减小了未授权方从一个远程或不同的位置获得对网络的访问的可能。此外,通过使进行物理访问确证的过程成为网络访问的先决条件,实现了一种新策略,这种新策略为有效证书持有者停止通过“紧随”而进入设施提供了更强的动力。
[0069] 提供对物理访问日志和网络访问日志两者的统一访问增强了物理和网络安保两者。例如,如果从用户在给定建筑物中产生物理访问事件起已经过了较长的一段时间,则可以通过查阅统一访问控制服务器的网络访问/活动日志部分来部分地验证用户的出现。这将有助于在紧急情况下定位给定用户。作为一种互补的特征,本发明使得即使先前没有注册物理访问事件,也能在从特定位置建立网络访问时更新物理访问日志。
[0070] 统一访问控制服务器(例如使用有关表格或列表的证书验证和策略施行引擎)所提供的其它优点和益处包括能够拒绝被授权在设施中、但未被授权访问网络的承包人、合伙人、顾问和临时雇员访问网络。雇员经常会低估了外来者利用对重要系统的哪怕是有限的访问的能力。具有其策略引擎和相关表格或列表的统一访问控制服务器的另一优点解决了以下问题:不再在组织中工作的前雇员或其他作恶者仍能通过后门直接地或通过前同事间接地访问基于网络的信息资源。由于预期到与雇主的冲突或者甚至是终止,这些作恶者可能通过创建替换口令或简单地积攒关于网络基础结构及其连接的信息以供后用,从而准备对网络的后门访问。利用统一访问控制服务器,网络访问可以与设施中的授权物理存在关联起来。
[0071] 从操作角度来看,网络和物理安保服务器159和121分别持续维护着网络和物理安保管理员所定义的访问控制策略,以及关于所有访问控制请求者的证书和身份的信息。但是,就确证证书和施行策略而言,统一访问控制服务器要求的维护时间可以少于维护现有技术访问控制面板和现有技术网络访问控制服务器所需的总时间。由于单个统一访问控制服务器200既充当ACP又充当网络访问控制服务器,它折合了两个系统的层次结构,从而使安装和维护物理和网络访问控制系统的成本最小化。
[0072] 本发明提供了对用户/员工数据的高效维护、用于资源访问的更一致、更详尽的规则集合以及对设施的物理访问和网络访问的增强安保。
[0073] 另外,在一些情况下,统一访问控制服务器也可能消除物理访问安保服务器和网络访问安保服务器。这种消除要求统一访问控制服务器实现其它安保服务器功能,并且带来了对与统一访问控制服务器有关的操作节省的进一步增强。再次参考图7A,在本发明的最小化的配置实施例中,物理和网络安保服务器121和159以及统一访问控制服务器200可被组合在单个平台中,或者分布在多个同时活动的平台中。
[0074] 在另一实施例中,如图7B的框图所示,计算机151和多个ACD 110耦合到连网的DCP 229。DCP 229聚集来自ACD的数据,对数据进行分组化并且通过基于帧/分组的网络28将分组转发到统一访问控制服务器200。统一访问控制服务器200将会返回有关访问控制策略所规定的控制信息。与先前结合图7A的事件示例讨论类似,本发明在图7B实施例中通过替换物理访问控制面板和网络访问控制服务器两者支持了相同的功能,并且提供了先前讨论的与统一访问控制服务器200有关的其它优点和益处。
[0075] 图7C图示了本发明的另一实施例。在这种情况下,每个ACD 231连接网络,并且通过基于帧或分组的网络基础结构网络228与统一访问控制服务器200通信。与结合图7A的事件示例讨论类似,本发明结合图7C的实施例可支持相同的功能,并且提供先前讨论的与统一访问控制服务器有关的其它优点和益处。注意,ACD 110、DCP 119和网关125、DCP229和ACD 231的各种组合可共存于一个统一系统中。另外,应当注意,统一系统可被部署在一个建筑物中,或者可以包括多个设施,每个设施被配置有连网ACD、现有设备或者连网ACD和现有设备的组合。
[0076] 在图7A-7C所示的实施例中,计算机设备(例如图示的计算机151)也耦合到基于帧或分组的网络基础结构网络228。在典型应用中,数百或者甚至数千的计算机设备(例如个人计算机)、具备IP能力的电话或其他联网的计算设备耦合到基于帧或分组的网络基础结构网络228,并且可以位于一个设施中或世界上的多个设施中。统一访问控制服务器200控制既被授权在设施中又被许可使用连网设备的用户对网络资源的访问。统一访问控制服务器200实现了针对网络资源和物理资源两者的统一访问策略。
[0077] 向统一访问控制服务器注册网络设备的过程相对于现有技术网络访问控制服务器支持该过程的方式略有修改。由于意识到连网的物理访问控制网关或者连网的DCP或ACD是结合统一访问控制服务器使用所必需的,因此将会以任何已知的方式配置这些网关、DCP和ACD并向统一访问控制服务器200注册它们。统一访问控制服务器将会在网关、DCP和相关ACD经由公知的网络协议(例如ARP请求等)被引入并连接到网络时记录这些设备的IP和/或MAC地址。连网的ACD、DCP和网关将会被手动或自动地配置以统一访问控制服务器的地址,配置方式与和连网的ACP/物理安保服务器通信时相同,或者将使用默认的网络地址网关(例如DNS服务器)。
[0078] 还应当理解,统一访问控制服务器可被部署在分立的物理访问控制系统和网络访问控制系统中。统一访问控制服务器可以简单地分别支持现有技术的访问控制面板功能或者现有技术的网络访问控制服务器功能。在将统一访问控制服务器部署在现有的物理访问控制系统中的情况下,图7A-7C所示的连网的物理访问控制组件将会是统一访问控制服务器与各种物理访问控制设备通信所必需的。
[0079] 在其他实施例中,存在于设施中的、使用公共的基于帧/分组的网络基础结构的其他基于策略的建筑物管理设备,可以利用关于雇员出现在在设施中何处的知识并且激活在设施的该区域或地区中的环境控制(例如供暖或制冷策略、照明策略等等)。类似地,当雇员离开该区域时,可以解除环境控制。这些设备还可包括其它的安保和安全设备,例如部署在每个设施中各处的火灾和烟雾传感器或报警器以及专用的安保电话或应急按钮。统一访问控制服务器可确证和施行适当的策略并对这些其他的建筑物管理设备作出响应。
[0080] 有利地,维护用户对计算机网络的访问权限的统一访问控制服务器(证书验证和策略施行引擎及相关的表格或列表)可以是用来确定对设施和其他设施功能(例如HVAC和照明)的访问权限的那个表格。除了许多其他优点外,该统一访问控制服务器还使维护要求和操作开销最小化。统一访问控制服务器充当允许物理领域的事件与网络资源的事件或访问联系在一起(反之亦然)的策略服务器。基于策略的设备的合并允许集成物理安保的其他方面。
[0081] 虽然在前述示例7A-7C中被图示为单个设备,但是还应当理解,统一访问控制服务器200可以其中一个或多个服务器同时活动的分布式或镜像式功能性特征来实现。访问控制服务器功能和相关表格和/或列表可在各个地点处镜像,以改进可靠性、存活性或响应时间。另外,表格和/或列表可按照与访问控制信息被存储在现有技术设备中的方式相同的方式而被存储在每个设施处的闪存或其他可更新的非易失性存储器中。在一些实施例中,镜像的表格可包括主表格中保存的信息的子集,以解决隐私和其他安保问题。
[0082] 统一访问控制服务器还可提供“虚拟化”的功能,允许单个统一访问控制服务器作为多个网络访问控制服务器或物理安保访问控制面板工作。该能力对于外来的物理和网络安保监视和管理提供商将会有用,就好像家庭和企业安保监视服务中常见的那样。物理安保证件包括关于发出用户证件的实体(即与用户和证件有关的组织)的信息是很常见的。因此,虚拟化的统一访问控制服务器可使用该额外信息来迅速隔离与该特定组织和受到访问控制的资源有关的那部分访问控制表格和策略,例如,表格和服务器“虚拟地”专用于一个组织,而实际上有关列表和策略是包含用于许多不同组织的条目的整个统一访问控制服务器表格的子集。
[0083] 统一访问控制服务器实现了管制用户对多个设施进行访问的访问策略。一旦用户被授权出现在给定的设施中,统一访问控制服务器就还管制对设施的网络资源的访问。换言之,统一访问控制服务器可在多个设施处实现共同的访问策略,或者它可在每个设施处实现不同的访问策略。
[0084] 与统一访问控制服务器200有关的表格包含用于支持物理安保访问控制系统和网络访问控制系统两者的信息。该表格包括但不限于:被授权对给定设施或资源进行物理访问和/或被授权进行网络资源访问的用户的全部或部分列表、用户识别码、一天中的某个时刻、一个星期中的某天、网络地址、生物测定信息、授权代码和类似的信息,以及物理访问控制策略信息和网络访问控制策略。此外,该表格可包括新的策略,这些新策略只有在物理访问事件和网络访问事件两者被联合监视/统一时才被实现。
[0085] 在图8所示的另一实施例中,统一访问控制服务器的功能与方框300所示的一个或几个网络基础结构设备(即路由器、交换机、无线接入点)集成且合并。具体而言,用于物理访问和网络访问控制的统一访问控制策略和相关表格/列表被一个或多个各种网络基础结构设备集成并支持。通过将访问控制表格/列表和证书验证和策略施行引擎集成在这些遍布整个网络的设备中,额外级别的冗余被添加到访问控制系统中,而无需添加额外的访问控制服务器。这种集成还可合并网络访问控制和物理访问控制系统中需要的多个设备。它还可有助于包括部署和现行维护在内的操作的各个方面。
[0086] 统一访问控制服务器的表格、证书验证和策略施行引擎在功能上可以通过若干种方式来实现。在一个实施例中,物理访问控制和网络访问控制表格被合并到证书验证和策略施行引擎访问的单个表格中。统一访问控制服务器的另一实施例可以保持物理访问控制和网络访问控制表格分开,并要求证书验证引擎和策略施行引擎执行对两个或更多个访问控制证书和策略表格的同时或顺序查找。利用对两个或所有表格的查找结果,引擎可使用仲裁逻辑来确证和确定适当的物理或网络访问响应。
[0087] 该仲裁逻辑还可用于解决“全局”访问控制策略和“局部”访问控制策略之间的冲突。例如,可以建立符合政府指示的全局策略,例如:只有拥有政府安保许可证的授权用户才能访问某些网络资源。但是,可能已经建立了“局部”策略,其允许物理上位于某个设施处的所有用户都能访问这些同样的网络资源,而不论用户是谁。这种局部策略可能基于以下假设:在设施中的所有用户都有适当的安保许可证。因此,如果来自另一位置的没有适当的政府安保许可证的用户访问所述的其中“局部”访问策略有效的局部设施,并且该访问用户尝试访问受限资源的话,全局访问策略和局部访问策略就可能有冲突。在这种情况下,统一访问控制服务器仲裁逻辑将会基于优先的全局策略来适当地拒绝访问请求。
[0088] 统一访问控制服务器或引擎可以利用某些标准来实现或者与这些标准兼容,所述标准例如是:轻型目录访问协议(LDCP)和开放数据库连接(ODBC);用户认证支持;802.1X认证,包括可扩展认证协议传输层安保(EAP-TLS)、受保护EAP(PEAP)、Cisco LEAP、EAP-经由安全隧传的灵活认证(EAP-FAST)和EAP-消息摘要算法5(EAP-MD5)。统一访问控制服务器或引擎还负责为任何网络访问设备下载访问控制列表。
[0089] 图9图示了统一物理和网络访问控制系统为了增强组织的整体物理和网络安保状态而利用图6的示例性组件采取的一系列事件和动作。下面的示例性策略假定物理访问控制事件将会在网络访问事件之前(即用户将会出示证件以进入给定设施或位置,然后将前往其工作区域并登录到团体网络)。
[0090] 用户在读取器或其他ACD处出示证书。被检测的请求和相关证书信息作为访问请求消息在一个或多个分组中被发送到统一访问控制服务器200。统一访问控制服务器200在示例性表格中查找证书的电子版本,以进行认证(确定证书是否有效),如步骤381所示。访问控制设备网络地址也被统一访问控制服务器200读取并记录,如步骤382所示,从而使得该信息可用在未来的网络访问请求事件和现行的物理访问请求事件中。如步骤383所示统一访问控制服务器200确定步骤382中记录的ACD网络地址所标识的物理位置和证书的特定组合的访问策略。所产生的准予或拒绝响应随后被发送到连网的访问控制设备;假定证书有效并且策略经由相应资源ACD设备许可访问,则用户可进入或访问设施。
[0091] 用户随后到达计算机151或其他网络附接的通信或计算设备。对于此示例,PC距离步骤381至383中使用的ACD相对较近,或者在其物理访问控制之下。用户随后希望登录到网络。该登录请求被网络基础结构设备155和统一访问控制服务器200接收(步骤384)。
[0092] 当用户在给定的网络端口(例如特定网络基础结构设备上的特定端口连接,比如与步骤381至384中使用的物理ACD位于同一总物理区域中的交换机)处请求访问网络时,发生步骤385。该初始登录请求被发送到统一访问控制服务器200。服务器200基于对证书的验证来执行针对计算机的相关访问控制策略。更具体而言,服务器200验证用户被授权从当前位置访问网络。如果用户未被授权在设施中或者未被授权访问特定设施处的某个计算机资源,则可拒绝访问并向安保人员发出警报或告警。如果策略是允许访问,则用户被准予访问联网的计算机资源。然后,服务器200可请求网络基础结构设备(例如交换机)下载用于该计算机的网络策略,如步骤386所示。因此,本发明使得物理领域中的事件能够与团体网络资源上发生的事件关联起来,反之亦然。
[0093] 在一些情况下,可能有必要将用户简档传送到支持和控制另一设施处的网络访问和物理访问的不同的统一访问控制服务器。例如,如果用户要访问不同的设施,则用户简档可被传送。本发明实现了统一的基于策略的网络和物理处所访问服务器,其在一个公共的用户/员工属性数据库上工作。网络安保服务器159和物理安保服务器121简单地更新用户的简档,使得他们的个人偏好跟随他们在设施内从一个地点到另一个地点。该特征例如允许基于用户的位置和用户在该位置时将使用的电话分机来对VoIP通信系统数据库进行配置更新。
[0094] 图10图示了使用统一访问控制服务器400来控制各种分立的物理访问和网络访问策略402和406以及列表404和408。作为统一访问控制服务器400的一部分的统一策略引擎410充当将物理访问策略和事件与网络策略和事件联系在一起的列表和策略的统一点。当物理访问列表或策略在逻辑上与网络访问控制列表和策略不一致时,统一策略引擎410和统一访问控制服务器400还可提供预定义的默认策略。引擎400响应于对设施访问或连网设备的事件或事件组合,生成并发送基于策略的指令到物理安保系统200以及帧/分组网络204,从而使得访问控制和连网设备执行指定的动作。引擎400记录所有访问物理设施或网络资源的尝试,并响应于每个或任何访问尝试执行基于策略的指令。引擎400可与用于监视整个系统中的网络资源和访问控制事件的单独的管理站通信,即使该系统跨越了多个设施和多个网络。
[0095] 应当注意,证书和策略的列表在一些情况下可驻留在并集成于诸如路由器、交换机和接入点以及多用途服务器之类的网络基础结构设备中(但不严格限于此)。
[0096] 引擎410可实现将来自给定实体或实体群组的物理资源访问请求或事件与基于网络的资源访问请求或事件关联起来的策略,这些策略是在统一的物理访问和网络访问控制服务器或类似平台上实现、仲裁的,并在其上提供响应指令。这些策略关联并指定物理领域中能够与网络资源的事件或访问联系在一起的事件,反之亦然。将来自给定实体或实体群组的物理资源访问请求或事件与基于网络的资源访问请求或事件关联起来的策略可在统一的物理访问和网络访问控制服务器或类似平台上被实现、仲裁并可在其上提供响应指令。
[0097] 注意,本发明实现了一种公共的列表和/或表格或列表/表格的同步集合,其包含由证书(经由口令、指纹、证件等等的身份确立)定义的、被许可基于指定的一组条件(策略)访问物理或网络设施/资源的授权实体。列表和/或表格的同步集合包含由证书(经由口令、指纹、证件等等的身份确立)定义的、基于指定的一组条件(策略)被许可访问物理或网络设施/资源的授权实体以及在授权时用于修改其他指定物理资源参数的指令,所述参数例如但不限于照明、供暖和制冷等等。或者,列表和/或表格的分布式公共集合包含由证书(经由口令、指纹、证件等等的身份确立)定义的、基于指定的一组条件(策略)被许可访问物理或网络设施/资源的授权实体以及在授权时用于修改其他指定物理资源参数的指令,所述参数例如但不限于照明、供暖和制冷等等。
[0098] 具有策略引擎410的服务器400还包括以下能力:吸收、维护和分发用于经由在基于帧和/或分组的网络中的连接和通信来访问物理和/或网络设施/资源的访问控制策略(例如列表)。它还包括以下能力:接收和/或检测来自要求证书验证和策略确定的基于物理的资源和基于网络的资源中的任一者或两者的访问请求或事件请求。另外,具有其策略引擎410的服务器400包括以下能力:实现、施行和执行物理和/或网络访问控制策略(策略施行器),这些策略基于给定的事件生成基于策略的响应并将其发送到其他设备,以引起相应的预定义的动作。授权的人员可在安全管理站处创建证书和策略,配置访问控制系统设备并管理访问控制系统,并且这些能力可被编程在适当的计算机软件代码、表格和列表中,并在服务器400处执行。
[0099] 虽然已经针对本发明的具体实施例描述了本发明,但是这些实施例只是示例性的,而不是要限制本发明。在这里的描述中,提供了具体细节,例如组件和/或方法的示例,以帮助全面理解本发明的实施例。但是,本领域的技术人员将会意识到,没有这些具体细节中的一个或多个,或者利用其他装置、系统、组合件、方法、组件、材料、部件等等也能实现本发明的实施例。在其他情况下,没有具体地示出或详细描述公知的结构、材料或操作,以避免模糊本发明实施例的各个方面。
[0100] 本说明书中提到“一个实施例”、“实施例”、或“特定实施例”是指结合该实施例描述的特定的特征、结构或特性被包括在本发明的至少一个实施例中,但不一定包括在所有实施例中。因此,本发明中各处出现的各个短语“在一个实施例中”、“在实施例中”或“在特定实施例”中不一定指的是同一个实施例。另外,本发明的任何特定实施例的特定的特征、结构或特性可以按任何适当的方式与一个或多个其他实施例组合。应当注意,基于这里的教导可以对这里描述和图示出的本发明的实施例进行其他各种变化和修改,并且这些变化和修改应当被认为是本发明的精神和范围的一部分。
[0101] 一般来说,本发明的功能可通过本领域已知的任何手段来实现。将会明白,统一访问控制服务器可以是独立的服务器或其他计算设备,或者是驻留在诸如服务器或网络基础结构设备之类的共享平台上的引擎。还将明白,根据特定应用的需要,附图中示出的要素中的一个或多个也可以更分离或更集成的方式来实现,或者甚至在某些情况下被去除或被停止工作。
[0102] 此外,附图中的任何信号箭头应当被认为仅是示例性的,而不是限制性的,除非另有具体指示。另外,除非另有指明,这里使用的术语“或”一般是要指“和/或”。当术语被预见为给予分离或者组合的能力不清楚时,组件或者步骤的组合也将被认为是已经记载了。
[0103] 这里的描述及所附权利要求中使用的“a”、“an”和“the”包括复数形式,除非上下文另有清楚记载。另外,这里的描述及所附权利要求中使用的“在...中”的含义包括“在...中”和“在...上”,除非上下文另有清楚记载。
[0104] 以上对本发明的图示实施例的描述,包括摘要中描述的内容,并不想要毫无遗漏,或者将本发明限定到这里公开的精确形式。本领域的技术人员将会意识到并明白,在这里仅出于示例目的来描述本发明的具体实施例及其示例,在本发明的精神和范围内可以进行各种等同的修改。如上所述,根据以上对本发明的图示实施例的描述可以对本发明进行这些修改,并且这些修改将被包括在本发明的精神和范围内。
[0105] 因此,虽然已经参考本发明的特定实施例描述了本发明,但以上公开中意欲包括一定范围的修改、各种变化和替换,并且将会明白,在一些情况下,将会使用本发明实施例的一些特征,但不相应地使用其他特征,这不脱离所记载的本发明的精神和范围。因此,在本发明的实质范围和精神内,可对特定情形或素材进行许多修改。希望本发明不被限制到所附权利要求使用的特定术语和/或作为被认为是实现本发明的最佳模式而公开的特定实施例,而是将包括落在所附权利要求的精神内的任何及所有实施例和等同物。