用于管理存储在云服务器中的身份信息的系统和方法与流程

背景技术：

本领域中已知的访问控制系统提供了关于是否向正确的人员授予正确的访问权限的各种级别的安全性和确定性。基本的访问控制系统需要一个单一的身份确定组件，“您拥有的东西”(例如钥匙、rfid卡等)或“您知道的东西”(例如数字代码、密码等)被呈现给访问控制系统以授权访问。在更安全的系统中，可能需要两个组件才能授权访问访问受控的位置。这些系统受到欺诈，因为每个组件可相对容易地被盗、复制或以其他方式被滥用。

访问控制的更高级别的安全性由系统提供，所述系统包括生物特征参数识别，诸面部识别、指纹识别、语音识别等。虽然这些系统更免于被滥用，但是它们具有几个缺点，诸如需要分别向每个访问控制系统注册，生物特征输入及其在系统中的表示的多样性以及处理输入的方法的多样性。此外，这些系统通常在访问控制系统之间缺少数据和安全相关信息交换，这使得一个访问控制系统暴露于欺诈性滥用，如果来自其他访问控制系统的数据已到达，则其免疫级别可能更高。

参考图1，其示意性地描绘了本领域已知的访问控制系统。几个访问控制单元20，23，26和28可各自用于控制对其各自的处所的访问。访问控制单元20，23，26和28中的每一个可包括控制器、存储单元、i/o装置和通信装置。访问控制单元20，23，26和28中的每一个可存储允许进入到相关联的场所的人员的身份细节(或在一些实施例中，不允许进入的人员的身份细节)。如图1所示，访问控制单元23可包括多于单个访问子访问控制单元，例如，其可包括可彼此协调操作的本地子访问控制单元22和24，可互相共享一些数据等。例如，访问控制单元23可控制对在两个远程位置操作的公司的访问，一个由子访问控制单元22控制，另一个由子访问控制单元24控制。如图1进一步所示，可控制对第一场所的访问的访问控制单元26可与访问控制单元28进行通信，以便例如共享可有助于提高访问控制单元26和28的性能和抗扰性的某些数据项。例如，访问控制单元26和28可共享其访问可能需要由两个系统授权的人员的身份细节。

每个访问控制单元可包括一个或多个受控大门/门或被配置为使得能够控制对指定位置的访问和一个或多个识别参数接收(ipr)单元的其他装置。ipr单元可以是或可包括本领域已知的任何生物特征传感器，诸如指纹读取器、视频/静止照相机、麦克风等。ipr单元可进一步包括非生物特征传感器或输入装置，诸如数字/字母数字小键盘、磁/rfid读卡器等。

技术实现要素：

本发明的实施例可涉及用于管理访问控制身份参数的方法和系统。系统可包括多个本地访问控制系统，被配置为接收个人的身份参数，并将身份参数传送到远程身份验证和管理服务，以及控制本地访问控制装置。远程身份验证和管理服务可被配置为从多个本地访问控制系统中的至少一些接收身份参数并存储身份参数，使得身份参数与该人员相关联。远程身份验证和管理服务可进一步被配置为将身份参数与先前接收到的与该人员相关联的身份参数和证书进行比较，并且基于该比较形成id融合参数向量，以及将所存储的id融合参数向量的至少一个子集发送到到一个或多个本地访问控制单元，使得远程身份验证和管理服务可适于基于预定触发和根据本地访问控制系统的身份参数能力将id融合参数向量的子集发送到本地访问控制系统。

附图说明

在说明书的总结部分中特别指出并明确要求保护被认为是本发明的主题。然而，当结合附图阅读时，本发明，就其操作的组织和方法，以及其目标、特征和优点而言，可通过参考以下详细描述而被最佳地理解，在附图中：

图1示意性地描绘了本领域已知的访问控制系统；

图2示意性地描绘了根据本发明的实施例构造和操作的注册、身份和证书(eic)管理系统；

图3是根据本发明的一些实施例的管理访问控制身份参数的方法的流程图；和

图4是描绘根据本发明的实施例的本地访问(lac)单元和远程云计算服务(ccs)的功能和相互关系的框图。

应当理解，为了说明的简单和清楚，附图中所示的元件未必按比例绘制。例如，为了清楚起见，一些元件的尺寸可能相对于其他元件被夸大。此外，在认为适当的情况下，可在附图中重复参考数字以指示对应的或类似的元件。

具体实施方式

在下面的详细描述中，阐述了许多具体细节以提供对本发明的透彻理解。然而，本领域技术人员将理解，可在没有这些具体细节的情况下实践本发明。在其他情况下，未详细描述公知的方法、程序和组件，以免模糊本发明。

在下面的详细描述中，阐述了许多具体细节以便提供对本发明的透彻理解。然而，本领域技术人员将理解，可在没有这些具体细节的情况下实践本发明。在其他情况下，没有详细描述公知的方法、程序和组件、模块、单元和/或电路，以免模糊本发明。关于一个实施例描述的一些特征或元件可与关于其他实施例描述的特征或元件组合。为了清楚起见，可能不重复讨论相同或相似的特征或元件。

虽然本发明的实施例在这方面不受限制，但是使用诸如“处理”、“计算”、“计算”、“确定”、“建立”、“分析”、“检查”等术语的讨论可指代计算机、计算平台、计算系统或其他电子计算设备的操作和/或过程，其操纵和/或将表示为计算机的寄存器和/或存储器中的物理(例如，电子)数量的数据转换成类似地表示为计算机的寄存器和/或存储器或可存储用于执行操作和/或处理的指令的其他信息非暂时性存储介质中的物理数量的其他数据。虽然本发明的实施例在这方面不受限制，但是如本文所使用的术语“多数个”和“多个”可包括例如“多个”或“两个或更多个”。在整个说明书中可使用术语“多个”或“多数个”来描述两个或多个组件、设备、元件、单元、参数等。本文中使用的术语集可包括一个或多个项目。除非另有明确说明，本文描述的方法实施例不限于特定的顺序或序列。另外，所描述的方法实施例或其元件中的一些可在同一时间点或同时发生或同时执行。

现在参考图2，其示意性地描绘了根据本发明的一些实施例的用于管理访问控制身份参数的系统200。系统200可执行登记、身份和证书(eic)管理，并且可根据本发明的实施例被构造和操作。如本领域已知的，系统200可包括例如基于云计算装置体现的远程身份验证和管理服务30。远程管理服务30可包括或可访问在远程和/或分布式(例如，云计算资源)计算服务中可用的任何类型的多个互连的计算资源34，以及在远程和/或分布式(例如，云)计算服务中可用的任何类型的多个存储资源36。如已知的关于网络中的远程计算服务，分配以提供计算服务给系统200的计算和/或存储资源的瞬时数量可根据若干参数和需要而变化。系统200可驻留在诸如互联网的全球网络50中，或者与诸如互联网的全球网络50进行主动通信。

系统200可适于与多个本地访问控制系统222a，222b，222c等进行通信。本地访问控制系统222a，222b和222c中的每一个可包括诸如单元224a-224c的多个身份参数输入单元，和多个访问控制单元226a-226b，或与之进行主动通信。本地访问控制系统222a，222b，222c可被配置为接收人员的身份参数(例如，从单元224a-224c)并将身份参数发送到远程身份验证和管理服务30。本地访问控制系统222a，222b，222c可进一步被配置为控制诸如访问控制单元226a-226b之类的本地访问控制单元。

根据本发明的一些实施例，身份参数输入单元224a-224c中的每一个可用于接收/读取/感测人员的一个或多个身份参数，诸如指纹图像、静止人员图像、个人身份证的磁条/光条、rfid芯片、视频馈送等。单元224a-22c可进一步包括用于接收这种数据的任何系统/装置，例如rfid读取器、键盘、磁卡读取器、相机、麦克风、指纹读取器等。在一些实施例中，本地访问控制系统222a-222c可向身份验证和管理服务30注册，并向其通知证书系统222a-222c支持例如单元224a-224c的证书的类型。

访问控制单元226a-226b可包括诸如自动门、旋转门等的任何自动访问控制系统。访问控制单元226a-226b可包括用户界面，该用户界面可发送是否允许某人的访问的安全保护指示。

系统200可进一步适于与另一身份管理资源40通信。

根据本发明的实施例，向系统200登记的人员的id参数，或以其他方式提供至少一个id参数可存储在远程管理服务30的存储资源36中。id参数可由身份参数输入单元224a-224c中的至少一个感测和/或可从其他访问控制单元或从诸如系统40的其他身份管理系统接收。表示id参数的数据可以是符合一个或多个已知id参数感应格式的格式。表示id参数的数据可根据已知的一种或多种编码格式或根据专有代码方案进行编码。例如，可根据已知的面部识别方法来处理请求授权访问受控场所的人员的静态图像，以提供面部特征化数据的集合(向量)。该向量可被编码，例如为了防止敌对访问或尝试改变它或接管它。进一步地，这样的id参数数据可根据已知或专有压缩格式被压缩，例如为了使得即使在窄带通信信道上也能够实现更容易、更快速和/或更安全的传输。

在一些实施例中，要由远程管理服务(例如，云计算服务(ccs))30执行的数据和参数可存储在非暂时可访问的存储资源36程序中。在由服务30进行的计算中执行、读取和/或涉及的这些数据和参数使得能够执行本说明书中描述的操作、步骤和命令。

根据本发明的实施例，可由位于云中的远程管理服务30来存储、收集、处理和融合表示身份参数的数据，授予人进入某些场所的授权和证书。在一些实施例中，基于累积和融合的数据可以确定对某人员访问某些场所的授权：由远程管理服务30授予或不授予。

在这种操作模式中，与某人员相关联的身份参数可在授权进入某些场所和/或作为提交入口请求的一部分的请求之前被接收、存储和处理。根据本发明的实施例，在这种模式下，与通过由本地访问控制(lac)单元(诸如lac系统222a)控制的访问点被授权，或可能需要被授权进入受控场所的人员相关联的参数。lac系统222a由远程管理服务30收集、存储和管理。在一些实施例中，lac系统222a-222c可适于将新的身份参数上传到身份验证和管理服务30。在一些实施例中，授予报告人的证书可在使用预定次数之后从lac系统222a中移除。预先确定的次数可以是从首次使用的时间逝去。例如，授予特定人员的证书可以在特定日期可在当天之后从本地访问控制单元222a中移除，并且当该人下次请求授权访问时可启动新的授权会话。

在一些实施例中，响应于当人员请求在第二本地访问控制系统222b的位置授权进入时自动发出的请求，加载到第一lac单元222a的人员的身份参数可加载到第二lac系统222b。身份验证和管理服务30可控制人员身份参数从lac222a到lac222b的加载。

在一些实施例中，个人id参数可以以有序的方式存储在远程管理服务中，诸如矩阵，允许容易且快速地访问有序阵列中的所需项目。有序的方式可实现快速可信的验证；与一个或多个人员相关联的id数据的处理、融合和/或更新，并最终提供授权响应——允许或禁止该(些)人员进入某些场所。每个存储的id参数可具有与其相关联存储的附加数据项，诸如从其接收到id参数的id源/输入单元，何时被接收(或何时被最后验证)，什么确定级别与读取/扫描和接收的id参数的单元关联，由于其被采样/编码等的采样和/或编码格式，可给id参数提供什么确定性。

参考图3，图3是根据本发明的一些实施例的管理访问控制身份参数的方法的流程图。图3的方法可由系统200或任何其它合适的系统执行。在操作305中，实施例可包括从多个本地访问控制系统(诸如lac系统222a-222c)接收身份参数。根据本发明的实施例，除了lac单元之外，表示某人员的id的参数和数据项可从各种来源接收。

根据本发明的实施例，在这种操作模式中，任何lac都可通过该lac单元的id输入单元(诸如单元224a-224c)提供一个或多个人员id参数来接收人员授权进入受控位置的请求。id参数和/或id数据可被发送到远程管理服务30。在请求授权入口时，该人员可触发可由远程管理服务30执行的若干操作。

在操作310中，实施例可包括存储身份参数，使得身份参数与人员相关联。身份参数可存储在与远程服务30相关联或与远程服务30通信的存储资源36中。其他身份参数可从各种外部源接收并存储在存储资源36中。

在操作315中，实施例可包括将身份参数与先前接收到的身份参数和与该人员相关联的证书进行比较，并且基于所述比较形成id融合参数向量。从诸如lac系统222a-222c的lac系统接收的参数可与先前从一个或多个lac中接收的参数实时比较，所述一个或多个lac与从各种外部源接收的id参数的系统200相关联。在一些实施例中，各种来源可包括外部机构，诸如金融机构等。根据一些实施例，远程管理服务30可将从lac接收的身份参数和从各种资源接收的身份参数融合到表示该人员的id融合数据的单个id参数融合向量(idpfv)中。

在一些实施例中，id参数可各自与指示id参数从其接收的源的是如何可信赖的信任级别相关联。例如，在面对面会议期间由人工收集的id参数可具有比自动地例如从网站收集的id参数更高的信任级别。包括生物特征数据的id参数可以具有比编码在磁卡上的id参数更高的信任级别。

idpfv中的参数数量及其相互关联的权重可在时间上变化。例如，由于在eic系统中收到的新鲜信息，相关权重可能会有所不同。根据本发明的实施例，还可使用影响个人idpfv的持续更新信息来更新与特定id信息源相关联的信任级别。例如，在id参数的更新融合会话连续地证明某些id信息源，例如，某lac，由于各种id参数来源的交叉比较及其相关的信任级别接收较低的信任级别的情况下，id信息的来源可能会降低其他人员的id信息的信任级别。这也可以适用于不断接收高度信任级别的id来源。

在一些实施例中，远程管理服务30可在存储资源36中存储已经登记到系统的每个人员的idpfv的阵列/矩阵。计算机可操作的程序或代码可存储在远程管理服务30的存储资源36中，当被执行时可操作如本文所述的服务30的处理和操作。远程管理服务30可根据本发明的实施例提供支持其操作的以下服务：

·登记管理。来自人员的任何登记请求可由远程管理服务30记录系统系统接收、记录、评估、与信任等级关联，并且最终与先前存储的id参数融合。可针对某个人员进行id数据的融合，仅依赖与该人员有关的id数据，或者可考虑与其他人员相关的id数据，如果这样的数据可反映融合id向量的质量(idpfv)。

·身份分析。远程管理服务30可处理存储在其存储资源36中的id数据项，或者仅经由连接到远程管理服务30的任何外部单元接收，以便推断特定人员的idpfv的质量。例如，如果某人员已经从某个lac单元发送了访问请求并且相同的人员(通过id数据)已经从另一个lac发送了访问控制，其中两个lac之间的距离与两个请求之间的时间差相比，可疑地太大，目前的请求至少暂时被认为是具有低等级的信任。根据一些实施例，还可重新评估与从另一个lac接收的id数据相关联的信任级别。

·身份同步服务。存储在远程管理服务30中的个人idpfv向量可包括可能已经从大量来源收集和接收的大量id参数。一些lac单元可能需要从较少数量的id参数组合或融合的id数据。根据一些实施例，组装idpfv的一些id参数可具有定义它们的标签被限制与特定类型的lac的关联一起使用，或者仅限某些场所的lac关联使用，或可能被限制仅被公开或提供给某些lac。根据一些实施例，可要求系统200在预定义的时间段期间提供使用或提供预定义的使用次数或任何其他的使用限制，id数据给某些lac，用于有限使用。在这种情况下，系统200可检查请求的lac相对于特定请求的idpfv的证书是什么，以便确定可向特定的lac提供特定人员的什么id数据项以及在什么使用限制下。根据一些实施例，由eic系统200提供给特定lac的id数据项可自动地“返回”到系统200(意味着从lac的存储器擦除，并且擦除证书可被发送到eic系统200)。

·用于lac单元的软件开发工具包(sdk)。系统200可被配置为在来自lac的适当请求时提供用于例如在lac的本地计算装置上安装的sdk。sdk可包括与系统200所需的接口。

·第三方处理(例如，外部id源)。系统200可进一步被配置为与第三方计算资源进行通信，以便例如基于预定义的权限和证书来接收或交换id相关信息。

·传感器数据接收和融合。系统200可被配置为与连接到它的任何类型的lac通信，并且接收提供有大量格式、压缩、编码等的id数据。例如，eic系统200可被配置为解码、解压缩和融合从连接到它的任何id传感器接收的id数据项。

在操作320中，实施例可包括将存储的id融合参数向量的子集发送到一个或多个本地访问控制单元，诸如系统222a-222c。融合参数向量可包括从要求授权入口的人员实时接收的接收到的身份参数与先前存储在存储资源36中的参数之间的比较。比较可导致该人员被授权或未授权进入特定的场所。在一些实施例中，远程身份验证和管理服务30可适于基于预定触发并且根据本地访问控制系统222a的身份参数能力将id融合参数向量的子集发送到本地访问控制系统222a。预定触发可包括人员在本地访问控制单元222a的受控访问点处报告。在一些实施例中，id融合参数向量可仅包括本地访问系统允许该人员访问所需的身份证书。

在一些实施例中，lac系统222a-222c可被配置为接收除证书之外的多个级别的信任参数，并且使用这些参数来确定是否授权访问。在一些实施例中，每当id融合参数向量被lac系统(诸如lac系统222a-222c)使用以便验证访问授权id参数的时间、位置、类型的通知并且验证结果可报告给远程身份验证和管理服务30，并且该报告可用于修改所使用的证书的信任级别和与它们相关联的id融合参数向量。

在操作320中，实施例可包括诸如单元226a-226b的控制本地访问控制单元来授予对该人员的入口。一个十字转门可转动并允许该人员通过，自动门可打开，保安人员可让该人员进入。在一些实施例中，每当id融合参数向量可用于授权lac中的访问请求时，所使用的证书的时间、位置和类型的通知被发送到远程身份验证和管理服务30。在一些实施例中，对于每个id融合参数向量可保留日志文件(例如，在存储资源36中)，用于记录对向量的所有更新以及相对于向量发出的通知。在一些实施例中，日志文件可被保存为对相关联的人员和被授权检查日志文件的人员可访问。例如，安保人员可周期性地(例如，每天早晨)查看日志文件以获得任何潜在的问题。在一些实施例中，系统200可被配置为分析日志文件并且自动检测异常。

参考图4，其是描绘根据发明的实施例的本地访问(lac)单元和远程身份验证和管理服务(例如，云计算服务(ccs))诸如服务30，之间的功能和相互关系的框图。在框402中，lac单元操作以接收登记到id管理系统(诸如系统200)的id服务的请求。登记人员可触发登记会话并向远程身份验证和管理服务提供所需/请求的id参数(框404)。一旦登记过程结束，登记人员可请求授权以进入系统的任何lac单元，并且至少基于他/她在注册会话期间提供的id参数，他/她的请求可被检查。如框404所示，远程身份验证和管理服务可从其他源接收并融合该人员的id参数(无论是否由人员或其他事先同意)。在id信息的持续融合之后，可更新/改变人员的认证级别。在框408中，存储在远程身份验证和管理服务的存储装置中的id信息可根据来自lac单元的请求或根据预先计划的更新方案提供给lac单元(框406)。更新可按照一般在lac单位所需的认证级别并且按照可能需要的特定人员id的信任级别来完成。

在一些实施例中，接收人员的访问由alc单元控制的位置的授权请求的过程可在该人员登记到系统(例如，系统200)之后完全本地执行，除了以下情况：该人员在该地点所需的认证级别高于当前系统中对他/她所设定的认证级别，或者该人员的认证被发现有损或缺失。因此，在模式i中，远程身份验证和管理服务的功能可集中在收集id信息、创建和更新id融合向量，并且在需要时向lac单元提供id参数或id向量。

在一些实施例中，在lac单元中获取是否授权人员进入受控位置的实际决定。应注意，在该模式下，响应于lac单元接收更新(或新的)id融合向量的请求，远程身份验证和管理服务可提供整个可用的id信息(即完整的id融合向量)或来自该向量的id参数的部分子集，取决于请求的性质、所需认证的级别、与该人员相关的授权级别等。

虽然本文已经说明和描述了本发明的某些特征，但是本领域的技术人员现在将会想到许多修改、替换、变化和等同物。因此，应当理解，所附权利要求旨在覆盖落入本发明的真实精神内的所有这样的修改和改变。