专利名称:远程访问和安全系统的制作方法
技术领域:
本发明涉及远程可操作的访问和安全系统。
背景有许多场合下,价值项目的拥有者、操作员或部门主管希望无论他们可能会在哪里及由谁来进行对这些项目的访问加以控制。
有许多安全系统可供使用。通常这类安全系统可以控制谁对价值项目的访问,例如对于选定的人员(如雇员)对建筑物或其它场所的访问;对保险箱、存储室和其它安全集装箱的访问;对车辆的访问;对个人计算机和数据库上信息的访问。这仅是少数几个例子。
在某些场合下,现存的安全系统允许对一固定场所的访问进行远程操作。在其它系统中,例如车辆上的电子控制报警器和锁等,价值项目是可移动的,但对它的访问只能在局部范围或只能对预选的操作员是可控的。
然而,存在许多场合下其安全要求是关于不具有固定位置的一个或一些项目,和/或在不同的场合下或许要求由不同范围的人员对项目访问,以及拥有者/操作员/部门主管希望保持对谁可以访问,在哪里及何时访问的控制。为了提供这类灵活性,这些锁在不同的时间和地点可能需要具有不同的特性。
目前已知一个系统,它可用于允许对可移动项目的位置进行受控的访问,该系统是要提供一可通过局域通信系统与锁进行通信的可编程密钥。该系统描述于美国专利N0.US4,766,746中。该密钥可由授权人员或系统通过广域通信网而编程以使它能打开一把或多把锁,每把锁可由一个唯一的标识号识别。可以要求一身份证号(PIN)或访问号以验证授权的人员具有该密钥。该密钥然后与锁通信,指令其打开。
密钥也可以用信息编程以重新配置乐的特性,例如使锁在任一时间周期内不被打开。这一功能对锁增加了功能性灵活性并有助于避免必须使锁在中央服务处重新编程。
然而在目前,这种安全系统要求操作员对锁具体编程。这要求有人走到该锁的局域网通信系统处去使得与锁通信以重新配置它。这一重新配置可以在下次某人想进入该锁时进行,但该人可能不知道如何重新配置该锁。另一方面,该人可能忘了重新配置该琐或在访问该价值项目前该人未受委托来重新配置锁。因此,可能未出现重新配置,造成破坏安全的危险。
该方法的另一缺点是与锁有关的控制情报可由密钥读取并因而会易被偷窃。这点可以通过例如允许其他人标识锁被打开的次数来解决锁的安全问题。
另外,这类系统不允许由多个操作员对单个价值单元或场所的访问,或由一个或多个操作员对多个价值单元访问同时进行中央控制。
提供远程安全锁的其它已知系统包括在锁和授权人员或系统间提供直接的通信链路,如美国专利说明NO.US5,815,557所述。直接链路的优点是可确保在任何时候可对锁重新配置。一种方法涉及请求打开锁的人把他们的意图与授权人员或系统通信并适当地标识他们自身。授权的人员或系统随后发出一信号打开锁。重新配置数据可通过通信链路直接送给锁。该方法的缺点是当请求访问时要求可提供授权的人或系统来发送打开锁的命令。
美国专利说明N0.4,766,746还描述了另一种已知的提供远程安全锁的解决办法,还涉及了在锁和授权人员或系统间具有直接通信链路以提供配置信息并还要在密钥和授权人员或系统间有第二通信链路。密钥接收一通信使它能打开一把或多把锁并且可以要求一PIN以确保一授权人员使用该密钥。这一方法的缺点是要求锁与广域通信网相连,它增加了它的成本和复杂性并可能限制了它的便携性。
因此,本发明的目的是要提供一种方法和装置,使得能够对价值项目安全地远程访问,它克服或缓减了目前此类方法和装置中的问题,或者至少向公众提供了一种有用的选择。
从下面参照附图仅作为示例给出的描述,本发明的其它目的将变得更清楚。
较佳地,该身份验证结构可包括一应用模板和访问控制器的配置数据。
较佳地,访问数据可包括操作员控制单元标识数据、操作员标识数据和访问控制器标识数据。
较佳地,身份验证数据,以及任选地所有控制数据可被加密,并且至少身份验证数据只可被所选的访问控制器和中央控制装置解密。
按照本发明的又一个方面,提供一种通过控制系统由操作员远程控制对价值单元访问的方法,包括-在中央控制装置处由相关的访问控制器提供与对价值单元的访问进行控制有关的访问控制数据;-在中央控制装置处提供与访问控制器的可允许行为有关的身份验证结构;-通过启动装置对控制单元操作以与控制系统交互作用;-通过操作员控制单元在中央控制装置和访问控制器之间形成一虚拟配置链路,用于通过第一通信装置和第二通信装置把身份验证结构从中央控制装置传递到访问控制器,第一通信装置提供中央控制和操作员控制单元之间的远程通信,而第二通信装置提供操作员控制单元和访问控制器之间的远程通信,身份验证结构初始化访问控制器,以允许所述访问控制数据获得对访问控制器的访问并因而能对价值单元的访问。
从以下仅作为示例并参照附图给出的描述,本发明的其它方面会变得更清楚。
图2示出了在控制对航运集装箱访问中使用本发明系统的例子。
本发明的详细描述在本说明书中引用了集中化管理节点(CMN)或中央控制装置,个人访问节点(PAN)或操作员控制单元以及远程价值节点(RVN)或访问控制器。术语CMN用于描述一个数据库、管理和通信系统,该系统支持RVN身份验证结构、模板和配置数据以及对一个或多个PAN的访问和控制信息。
术语PAN用于描述一个个人访问装置,已授权的人员可用于访问一个或多个指派的RVN。因此,PAN将具有某种形式的启动装置,如便携式键盘装置,并且具有使它能与CMN和一个或多个RVN通信的通信装置。
术语RVN用于描述一个电子控制装置,它与要求可控访问的任何形式有价值的项目有关。有价值的项目(以后称为“价值单元”)可包括航运集装箱,零售安全柜、售货机、建筑物、邮包等等。这些例子包括了可远程操作的加锁机制。将会理解,有许多其它类型的价值单元,例如人事安全的访问,包括了可通过本发明系统控制的加锁机制。另外,本发明同样可应用于通过除物理锁以外的安全系统对不同类型的价值单元访问的控制。这可包括例如因特网访问、智能卡现金转移以及对任何类型的电子数据库访问。
PAN提供了CMN和一个或多个RVN之间的中间通信链路。CMN和(每个)PAN之间的通信是通过例如使用本地PC连接的直接串行链路,单向或双向寻呼网络,双向蜂窝电话网络或其它广域数据通信手段而实现。
PAN和一个或多个RVN之间的通信是通过局域通信装置,例红外链路,局域RF链路或直接连接而实现。
RVN可包括控制器单元和相关的加锁机制。出于安全理由,RVN可以位于与它相关的价值单元内。例如,如果该项目是货运集装箱或售货机,则RVN将放在该集装箱或机器内,较佳地将通过远程装置由PAN与之通信,以及除非由PAN的操作者对该价值单元访问因而将是不可访问的。
任何给定RVN控制器有一个编程装置,它可适合于存储及实施一身份验证结构。该身份验证结构的性质将取决于受RVN控制的价值单元的性质。它最小可以包括一访问组合。它还可包括时间和位置准则(如果该项目只可以在指定的时间或日期或在指定的位置处(例如受GPS单元控制的位置)被访问);控制准则(该单元会被经常访问的程度,提供访问后隔多久才能访问该单元);用户/操作员组访问准则以及加密和解密准则。
一个RVN控制器可以具有多个身份验证结构,使之可适用于以若干种不同的方式操作。
身份验证结构是专用于每个RVN应用。每个应用具有一身份验证结构,包括可以用适于特定应用的配置数据加载的模板;不同的应用适合于不同的价值单元以及不同的环境。
本发明的系统能够通过使用CMN与一个或多个RVN间的虚拟配置链路(VCL)经一个或多个PAN从CMN对一个或多个RVN进行受控访问。当PAN与RVN形成接口时VCL允许在CMN与RVN间自动传递通信数据。
参考
图1现在对本发明系统的操作作宽泛意义的描述。
在系统内信息是在三个通信协议层内进行的,即在访问层,身份验证层和VCL层内。当信息从CMN向PAN通信时系统创建一条安全的虚拟链路,而从PAN向RVN则维持对PAN访问的不可访性。在PAN内安全虚拟链路不可能受到攻击,因为访问层不具有对加密的访问入口。
访问层进行安全性访问和控制数据的通信,可包括用户接口、PAN标识、用户标识、PVN标识和RVN访问和控制数据。访问层包括对远程价值节点的控制,最终将允许或阻止对价值单元的访问。
身份验证层控制着与RVN身份验证结构有关的信息并与之通信。CMN构造RVN身份验证层,它决定着RVN的性态。如上所述,RVN结构包括应用模板和配置数据,并且还包括初始化指令。没有身份验证结构,RVN不包含将会使它易受攻击和干扰的信息。例如,如果RVN是集装箱上的电子锁,该锁是一把“虚构”锁直到给予它一个身份验证为止。
安全VCL是通过身份验证结构层中信息的加密建立起来的。该信息只可被CMN和RVN解密并且由CMN把在VCL中作为VCL数据包发送到RVN。
现在将对本发明的系统的操作作宽泛意义的描述。
每个PAN具有一个唯一的标识号。通过向或从CMN传送PAN的正确标识号而“启用”PAN。PAN的任一给定用户或操作者均有一访问号或PIN号。CMN以访问号或PIN号的形式向PAN加载一个或多个用户授权。CMN随后也向PAN加载一个或多个PVN的一个或多个标识号,以使RVN可在某个时候被PAN访问。因此,单个PAN可被授权按计划能对多个RVN访问。标识号和访问号(或PIN号)是作为访问层协议的一部分被传送。CMN和PAN间的通信是通过通信装置#1完成的(见图1)。
每个RVN的应用模板随后由CMN作为身份验证层协议的一部分而创建。随后配置数据的加载是根据指定的信息,例如PAN标识号、操作员标识号、PVN标识号以及操作员输入组合。由模板和配置数据传送的组合信息将随RVN的应用而改变。
对组合信息加密使得它只能被RVN解密。这就在CMN和远程RVN间建立了一个安全VCL,因为PAN不能对加密信息解密。该加密信息随后作为VCL数据包下载到PAN。
一旦所有必要的信息已从CMN通信传递到PAN,而且所选的操作者己使用他们的访问号或PIN号正确地识别他们自己,PAN通过通信装置#2(见图1,它可包括一局域通信链路)与每个RVN通信。PAN将把VCL数据包下载给正确识别的RVN。RVN控制器解密这一数据并使它可供RVN中的身份验证层使用。
在身份验证层,RVN重构应用模板并把配置数据加载起来,随后处理这一数据以初始化访问层。应用模板中的配置数据定义一组指示RVN操作的参数。将会理解,配置数据虽然可通过VCL更新但仍可维持将模板编程到RVN中。另一种做法是,每次RVN被PAN访问时可通过VCL将新模板和配置数据编程到RVN中。
本发明的一个重要特点是CMN和RVN间存在的VCL避免了操作人员有目的地重新配置RVN。当要求重新配置时,定义身份验证结构的所需数据只是简单地通信传送到一个或多个PAN;新身份验证结构在下次PAN与RVN通信时自动地被编程到RVN中。
PAN还通过访问层向RVN通信传送可能包括操作员访问号和控制代码的数据。另外在访问层,RVN验证该信诈并允许对价值单元的访问。
将会理解,每个PAN可有一个或多个被指定的操作员并可被编程为对一个或多个RVN访问。每个RVN也可被一个以上的PAN访问,例如允许多个被授权的人员通个一扇门进入建筑物。
访问和控制数据对PAN是“已知”的,并且例如可包含用户标识/PIN号,PAN标识号及访问组合细节。
通过创建一个虚拟安全通道,PAN在CMN和RVN间建立了VCL。CMN对身份验证结构加密并创建VCL数据包。PAN不能对VCL数据包中包含的加密配置信息访问,因为它不具有所需的解密密码。当PAN与远程RVN通信时,VCL数据包信息被下载到RVN,RVN则对该信息解密并更新身份验证层上的RVN模板和配置。RVN随后可处理用户层访问和控制数据,它也是从PAN通信传送来的。
PVN还存储与它们环境和条件有关的相关信息并将这一信息经PAN建立的VCL通信传回给CMN。该信息可包括例如在各不同时刻RVN内或周围的空气温度,与在任何指定位置处所花费的时间有关的信息或提供给拥有者或操作者有关单元环境的历史的任何其他有用信息。这一信息可在访问时刻通过PAN被下载到CMN。
本发明系统在操作中的一个例子现在将具体参照对航运集装箱的控制作介绍。将会理解,航运集装箱是不具有固定处所和可能需要在不同时间、不同地点由不同操作人员访问的价值单元的一个好例子。还将理解,本发明在前述提到的许多不同环境下也有应用。
RVN控制器可位于航运集装箱内用于控制加锁机制。除了能在控制器和PAN间通信的通信装置外,RVN和集装箱外面将没有物理连接。
现参见图2。请求在目的地港口对集装箱2访问的远程航运代理商1将向本地航运代理商或安全管理员3通信传送他们对集装箱访问的需要。另一方面,如果该集装箱已被预编程为在规定的位置和时间上能访问,则这一通信可能是不必要的。
当前航运代理商或安全管理员通过经CMN 5传送授权数据而授权远程代理商访问指定的集装箱。所示的这一通信是通过本地链接PC连接6和广域通信网络7实现的。
被启动的PAN把配置、访问和控制信息传递给相关的RVN并因此允许对集装箱2的访问。
因而,使用本发明的系统,没有固定处所的价值单元的拥有者/经营者可以提供在给定的时间或地点对那个或那些项目的安全访问,且只能由被授权的用户/操作人员访问。VCL提供了一种使CMN能与RVN通信的手段以更新它的身份验证结构,确保需要时更新身份验证结构并避免了采用分开的通信系统所需的花费。单元本身没有与PAN直接通信的固定的外部键盘或装置。另外,与特定RVN有关的控制情报保持在CMN内而不在RVN本身内。身份验证结构只须在请求访问前立即被加载到RVN且如果需要可在访问后移去,使得RVN内没有易受攻击的有用信息。由数据加密提供附加的安全性以在CMN和RVN间提供安全的VCL。
在上述说明中参照了本发明的已知等价物的特定部分或整体,这类等价物随后就像提出的个体加入于此。
虽然已通过示例和对它们可能实施例的引用描述了本发明,应当理解为可对它们作修改和改进而不脱离本发明的范围和精神。
权利要求
1.一种远程访问控制系统,适用于由一个或多个操作员对一个或多个价值单元的访问进行远程控制,该系统包括-一个包括控制数据和访问控制数据的中央控制装置,控制数据包括与访问控制器的可允许行为有关的身份验证结构,而访问控制数据定义在访问控制器上的操作员控制;-一个或多个访问控制器,每一个适用于有选择地阻止或能够对价值单元的访问;-一个或多个操作员控制单元,包括启动装置,适用于使操作员能与控制系统交互作用;-第一通信装置,适合于在中央控制装置和一个或多个操作员控制单元之间提供远程通信;-第二通信装置,适用于在操作员控制单元和一个或多个访问控制器之间提供远程通信;-以及其中当要求身份验证结构对访问控制器通信时,通过操作员控制单元在中央控制装置与用于那个价值单元的访问控制器之间建立虚拟配置链路,用于把该身份验证结构从中央控制装置传递给所述访问控制器以对所述访问控制器初始化并因而允许访问控制数据获得对所述访问控制器的访问。
2.如权利要求1所述的远程访问控制系统,其特征在于身份验证结构包括应用模板和配置数据。
3.如权利要求1或2所述的远程访问控制系统,其特征在于访问控制数据包括操作员控制单元标识数据、操作员标识数据和访问控制器标识数据。
4.如权利要求3所述的远程访问控制系统,其特征在于访问控制数据进一步包括与可允许访问的条件有关的数据。
5.如权利要求1到4中任一项所述的远程访问控制系统,其特征在于身份验证结构被加密并只能被所选的访问控制器和中央控制装置解密。
6.如权利要求1所述的远程访问控制系统,其特征在于控制数据被加密。
7.如权利要求1所述的远程访问控制系统,其特征在于身份验证结构对于操作员控制单元的操作人员是不可访问的。
8.如上述权利要求中任一项所述的远程访问控制系统,其特征在于第一通信装置包括广域通信网络。
9.如上述权利要求中任一项所述的远程访问控制系统,其特征在于第二通信位置包括广域通信网络。
10.如权利要求8所述的远程访问控制系统,其特征在于第二通信装置包括局域通信链路。
11.如上述权利要求中任一项所述的远程访问控制系统,其特征在于该访问控制器或每一个访问控制器包括记录装置,适合于记录与它相关联价值单元的条件或环境有关的数据。
12.如权利要求11所述的远程访问控制系统,其特征在于所记录的数据包括操作员访问的条件或环境。
13.如权利要求11或12所述的远程访问控制系统,其特征在于所记录的数据经虚拟配置链路被传送到中央控制装置。
14.如上述权利要求中任一项所述的远程访问控制系统,其特征在于该访问控制器或每一个访问控制器包括一加锁机制和一电子控制装置。
15.一种通过控制系统由操作员远程控制对价值单元访问的方法,包括-在中央控制装置处由相关的访问控制器提供与对价值单元的访问进行控制有关的访问控制数据;-在中央控制装置处提供与访问控制器的可允许行为有关的身份验证结构;-通过启动装置操作控制单元以与控制系统交互作用;-通过操作员控制单元在中央控制装置和访问控制器之间形成一虚拟配置链路,用于通过第一通信装置和第二通信装置把身份验证结构从中央控制装置传递到访问控制器,第一通信装置提供中央控制和操作员控制单元之间的远程通信,而第二通信装置提供操作员控制单元和访问控制器之间的远程通信,身份验证结构初始化访问控制器以允许访问控制数据获得对访问控制器的访问并因而能对价值单元的访问。
16.如权利要求15所述的方法,其特征在于身份验证数据被加密并且只有被所选的访问控制器解密。
17.如权利要求15所述的方法,其特征在于该控制数据被加密。
18.如权利要求15到17中任一项所述的方法,其特征在于第一通信装置包括广域通信网络。
19.如权利要求15到18中任一项的方法,其特征在于第二通信装置包括广域通信网络。
20.如权利要求15到18中任一项的方法,其特征在于第二通信装置包括本地通信链路。
21.如权利要求15所述的方法,进一步包括由访问控制器记录与价值单元的条件或环境有关的数据以及将这一数据经虚拟配置链路传送到中央控制装置。
22.如权利要求21所述的方法,其特征在于所记录的数据包括价值单元的操作员访问的条件和环境。
23.一种远程访问控制系统,大体上如这里所述并参照附图所描述。
24.一种远程控制对价值单元访问的方法,大体上如这里通过示例和参照附图所描述。
全文摘要
一种用于远程控制对价值单元访问的方法和系统。该系统包括一中央控制装置,它包括的控制数据与由相关访问控制器控制对一个或多个价值单元的访问有关。该系统包括中央控制装置和操作员控制单元之间以及这些单元和访问控制器之间的通信装置。控制数据包括访问控制器的身份验证结构和访问控制数据,身份验证结构定义访问控制器的可允许行为,而访问控制数据定义在访问控制器上的操作员控制。访问控制器保持不可被访问直到它的身份验证结构被加载和实行。身份验证结构可被加密使得只有中央控制装置和访问控制器可对它解密,因而经操作员控制单元在中央控制装置和访问控制器间建立了虚拟配置链路。操作员控制单元只具有对访问控制数据的访问。
文档编号H04Q1/00GK1331824SQ99814360
公开日2002年1月16日 申请日期1999年10月15日 优先权日1998年10月16日
发明者K·E·托马斯, J·W·N·霍奇森 申请人:遥远移动安全通道有限公司