访问权限管理
阅读说明:本技术 访问权限管理 (Access rights management ) 是由 J.埃里克森 H.西尔文诺伊宁 于 2019-04-09 设计创作,主要内容包括:本发明涉及一种用于控制至少一个访问代码的生成的方法。该方法包括:在访问控制设备(122)中接收(210)代表访问代码的数据;验证(220)代表访问代码的数据;响应于在验证中检测到访问代码有效,生成(230)导致产生代表新访问代码的数据的信号;以及生成(250)导致将代表新访问代码的数据发送到接收代表访问代码的数据的一方的信号。本发明的一些方面涉及访问控制设备、计算机程序产品和系统。(The invention relates to a method for controlling the generation of at least one access code. The method comprises the following steps: receiving (210), in an access control device (122), data representing an access code; verifying (220) data representative of the access code; in response to detecting in the verification that the access code is valid, generating (230) a signal that results in the generation of data representative of the new access code; and generating (250) a signal that causes data representing the new access code to be transmitted to the party that received the data representing the access code. Aspects of the present invention relate to an access control device, computer program product and system.)
技术领域
本发明总体上涉及访问控制的技术领域。更具体地,本发明涉及用于访问控制的访问权限管理。
背景技术
由于安全等原因,建筑物和其他类似场所的人流管理受到了关注。传统的安排是保安人员坐在大厅中并检查进入建筑物的人员的访问权限,并且例如,当人在建筑物中闲逛时,提供用于至少在一定程度上识别该人的徽章。此外,建筑物可以配备大门和门,这些门可以通过向读取器显示的适用钥匙,例如遥控钥匙而进入。
移动设备(例如移动电话)提供了管理访问权限的进一步可能性。例如,移动电话的RFID功能可以用于控制门、大门等。移动设备还适用于接收访问代码,例如QR码,该代码可以显示给读取器以确定用户是否有权进入建筑物或类似物。这种解决方案广泛应用于机场登机口,乘客通过这些登机口进入飞机。
基于QR码的解决方案的一个缺点是,这些代码可能会被复制和/或转发到其他设备,然后可能会在至少一些应用中被不止一个人使用。即使引入了允许所谓的QR码动态生成的解决方案,情况也是如此。这些基于向移动设备交付代码库,移动设备可以在本地生成代码。这种方法的一个例子在文件CN106250959A中公开。
发明内容
以下给出简化的概述,以便提供对各种发明实施例的一些方面的基本理解。该概述并非本发明的广泛的综述。其既不旨在确定本发明的关键或主要元素,也不描述本发明的范围。以下概述仅以简化形式呈现本发明的一些概念,作为对本发明示例性实施例的更详细描述的前序。
本发明的一个目的是提出一种用于控制访问生成的方法、访问控制设备、计算机程序产品和系统。本发明的另一个目的是该方法、访问控制设备、计算机程序产品和系统允许控制至少一个访问代码的生成。
本发明的目的通过由各自独立权利要求限定的方法、访问控制设备、计算机程序产品和系统来实现。
根据第一方面,提供了一种用于控制至少一个访问代码的生成的方法,该方法包括:在访问控制设备中接收代表访问代码的数据;由访问控制设备验证代表访问代码的数据;并且响应于验证访问代码有效的检测,由访问控制设备生成导致代表新访问代码的数据的生成的信号;并且由访问控制设备生成导致将代表新访问代码的数据发送给接收代表访问代码的数据的一方的信号。
此外,可以响应于用户的终端设备与通信地联接到访问控制设备的读取器设备之间的交互,从读取器设备接收代表访问代码的数据。
该方法还可以包括:响应于检测到访问代码有效,生成导致激活对应于从其接收访问代码的读取器设备的实体的信号。
替代地或另外地,所生成的代表新访问代码的数据可以存储在为验证访问代码而访问的数据存储器中。例如,可以通过替换数据存储器中的访问代码数据来存储生成的代表新访问代码的数据。
可以从访问控制设备向访问代码生成器设备生成导致生成代表新访问代码的数据的信号。
此外,代表新访问代码的数据可以被实现为到网络地址的链接,用于由终端设备从网络地址获取数据。
代表新访问代码的数据可以通过读取器设备发送到终端设备。
根据第二方面,提供了一种访问控制设备,包括:至少一个处理器和至少一个包括计算机程序代码的存储器;至少一个存储器和计算机程序代码被配置为利用至少一个处理器使访问控制设备执行:接收代表访问代码的数据;验证代表访问代码的数据;并且响应于验证访问代码有效的检测,该访问控制设备:生成导致代表新访问代码的数据的生成的信号;并且产生使代表新访问代码的数据发送到接收代表访问代码的数据的一方的信号。
此外,访问控制设备可以被布置为响应于用户的终端设备和通信地联接到访问控制设备的读取器设备之间的交互,从读取器设备接收代表访问代码的数据。
访问控制设备还可以包括读取器设备的功能。
更进一步地,访问控制设备可以被布置为:响应于对访问代码有效的检测,生成导致激活对应于从其接收访问代码的读取器设备的实体的信号。
访问控制设备可以被布置为导致将生成的代表新访问代码的数据存储在为验证访问代码而访问的数据存储器中。例如,访问控制设备可以被布置为通过替换数据存储器中的访问代码的数据来存储生成的代表新访问代码的数据。
此外,访问控制设备可以被布置为生成导致向访问代码生成器设备生成代表新访问代码的数据的信号。
根据第三方面,提供了一种用于控制至少一个访问代码的生成的计算机程序产品,在由至少一个处理器执行时使访问控制设备执行如上所述的方法。
根据第四方面,提供了一种系统,该系统包括:至少一个读取器设备;访问代码生成器;以及如上所述的访问控制设备。
在此,词语“数”是指从1开始的任何正整数,例如1、2或3。
在此,词语“多个”是指从2开始的任何正整数,例如2、3或4。
当结合附图阅读以下具体示例性和非限制性实施例的描述时,将最好地理解本发明的各种构造和操作方法以及其附加目的和优点的各种示例性和非限制性实施例。
动词“包括”和“包含”在本文中用作开放式限制,既不排除也不要求存在未叙述的特征。除非另有明确说明,否则从属权利要求中记载的特征可以相互自由组合。此外,应当理解,在全文中使用“一”或“一个”,即单数形式,并不排除多个。
附图说明
在附图中,通过示例而非限制的方式示出了本发明的实施例。
图1示意性地示出了根据本发明实施例的系统的非限制性示例。
图2示意性地示出了根据本发明实施例的方法的非限制性示例。
图3示意性地示出了根据本发明实施例的访问控制设备的非限制性示例。
具体实施方式
在下面给出的描述中提供的具体示例不应被解释为限制所附权利要求的范围和/或适用性。除非另有明确说明,否则以下给出的描述中提供的示例列表和示例组并不详尽。
图1示意性地示出了根据本发明实施例的系统的非限制性示例。该系统可以包括布置在建筑物110中用于实现访问控制系统的一个或多个设备。访问控制系统指的是可以至少部分地在建筑物110中布置访问控制的设备和系统。例如,访问控制系统可以包括读取器设备112,其可以读取(例如扫描)提供给读取器设备112的操作区域的对象。此外,访问控制系统可以包括其操作至少部分地受限于建筑物110内的设备和系统,例如在一个读取器设备112之后。这样的设备可以例如是大门114、门114、布置在建筑物110中的旋转门114,但也可以是系统,例如电梯114,或作为非限制性示例的任何其他类似的传送系统。访问控制系统的一部分可以驻留在建筑物110的外部并且执行访问控制系统的预定任务。例如,访问控制设备122可以布置在建筑物110的外部并且以通信方式联接到驻留在建筑物110中的设备和系统。可以通过有线或无线通信技术来建立通信。优选地,以安全的方式布置通信,例如在通信各方之间应用加密。例如,访问控制设备122可以被布置为根据从至少一个读取器设备112接收的信息来控制驻留在建筑物110中的设备的使用,例如门114、大门114或电梯114。设备的控制可以例如包括直接或间接地例如通过读取器设备112生成到所讨论的设备的控制信号。更进一步,访问控制系统可以包括访问代码生成器的功能,其在图1中被示为计算设备124。该功能也可以布置在访问控制设备122中。根据实施方式,属于访问控制系统的一个或多个实体可以驻留在专用网络120中,例如在用于实现将要描述的任务的虚拟专用网络中。在本发明的一些实施例中,访问控制设备122和计算设备124(如果适用)可以驻留在建筑物110中,其中可以布置专用网络。
如上所述,访问控制设备122可以驻留在建筑物110的外部,它为其提供关于访问控制的服务。自然地,访问控制设备122可以驻留在建筑物中,并且被布置为例如通过利用所谓的云计算环境与建筑物外部的其他实体进行通信。在访问控制设备122驻留在建筑物中的情况下,可以将诸如读取器设备112之类的其他设备集成到访问控制设备122中。
一般而言,本发明的至少一些实施例涉及一种安排,其中可以要求打算访问建筑物110的人提供关于访问的至少一些信息。这可以例如被布置为使得邀请该人访问建筑物110的人或主人可以生成可以用任何通信方法递送给该人的邀请。通信方法可以例如是电子邮件、短消息或可通过任何消息传递应用程序传递的任何其他消息,或者甚至是通过实现主人和人之间的聊天会话的聊天应用程序的聊天消息。该邀请可以包括寻址到网络节点132的链接,例如驻留在通信网络130中的服务器设备,例如因特网,其中可以维护一网站,该人可以向其中输入与访问有关的至少一些信息。换句话说,该人可以通过例如利用计算设备142(例如笔记本电脑)的输入设备例如点击链接激活该链接来进入该网站,该人可以通过其访问邀请消息。如上所述,该人可以按照网站上的要求输入与访问相关的信息。请求的信息可以例如包括与人有关的个人资料,例如姓名和任何其他身份资料,或任何类似资料。在本发明的一些实施例中,可以以某种方式保护网页。该网页可以例如在显示可以输入所请求信息的表格之前,请求提供给该人的用户凭证。维护网页的网络节点132可以被布置为将人的输入数据传送到访问控制设备122并请求访问所讨论的建筑物所需的访问代码。访问控制设备122可以例如通过从访问控制设备122可访问的存储器中检索访问代码或从访问代码生成器(即从计算设备124)请求访问代码来获得访问代码,如果访问代码生成器被布置在系统中以用于生成访问代码。响应于所生成的访问代码的接收,访问控制设备122可以被布置成将访问代码传送到提供访问信息的人的终端设备144。访问代码的传递可以被布置为使得访问控制设备122例如通过在网页上包括访问代码数据而将其直接传递给终端设备144或间接地通过网络节点132传递。根据本发明的另一实施例,访问控制设备122可以被布置为操作以使得它获得一个或多个如上所述的访问代码并且将它们预先传送到网络节点132,以使得如果请求,它们可以被传送。根据本发明的实施例,访问代码可以以网络地址链接的形式传送到网络节点132和/或终端设备144,当链接以任何已知方式激活时,其可以将拥有该链接的终端设备144连接到该链接定义的网络地址。网络地址可以例如将通信定向到访问控制设备122,访问控制设备122响应链接被激活而提供对存储在链接后面的数据的访问。例如,这可以使终端设备144在终端设备144的显示器上显示数据,即访问代码。更进一步地,在一些实施例中,访问控制设备122和网络节点132可以是相关人员拥有的适用设备可访问的同一实体。在上面的描述中以及在图1中,人员可以使用计算设备142和终端设备144来访问所描述的访问代码。特别地,当访问建筑物110时,该人携带的终端设备144可以访问访问代码。为了清楚起见,值得一提的是终端设备144和计算设备142可以是相同的设备。在下文中,术语“终端设备”是指人们在访问建筑物时可以随身携带的任何设备,终端设备用附图标记144表示。
所表达的生成的访问代码可以是任何适用于访问控制系统的形式。例如,访问代码可以表示为视觉代码,例如条形码或矩阵条形码,例如QR(快速响应)码。可以使用任何类似的视觉代码类型。根据一些其他实施例,访问代码可以表示为另一种形式的代码,例如音频代码。根据系统中使用的访问代码类型来选择访问控制系统的读取器设备112。
此外,终端设备144可以被布置为执行用于访问代码管理的应用程序。该应用程序可以是网络浏览器,其被布置为从个人可通过终端设备144访问的网络地址链接定义的网络地址打开生成的访问代码。或者,该应用程序可以是安装到终端设备144的专用应用程序,该应用程序被布置为至少部分地参与访问代码的管理。例如,应用程序可以由管理建筑物中的访问的一方开发,并且如果计划访问建筑物,访问者可以在终端设备144中下载并安装该应用程序。该人可以例如通过应用程序设置对建筑物110的访问,即提供必要的信息,以及获得对终端设备144的访问代码。此外,该应用程序可以被布置为执行根据本发明的实施例的方法的至少一些另外的步骤,如所描述的。更进一步,访问代码的管理可以与适合于执行管理访问代码所需的任务的任何其他应用程序一起安排。
现在,该人在某个时间点进入建筑物110例如与主人会面并携带终端设备144,该人可以通过该终端设备144访问所生成的访问代码。该人可以例如采取必要的行动来访问代码并以特定于访问代码和所讨论的读取器设备112的方式输出它。例如,该人可以站在建筑物110的门前,在那里安装了读取器设备112,用于从希望进入建筑物110的人的终端设备144获取访问代码数据。因此,该人在读取器设备112的操作附近拿着输出诸如QR码的访问代码的终端设备144,并且读取器设备读取(例如扫描)输出的访问代码。读取器设备112可以被布置为将所获得的代表访问代码的数据传送到访问控制设备122以用于进一步分析。
响应于从读取器设备112接收到所获得的代表访问代码的数据,访问控制设备122可以被布置为验证所接收的代表访问代码的数据。验证可以指其中访问控制设备122被布置为验证代表访问代码的数据是否对应于访问控制设备122可访问的比较数据的过程。比较数据可以存储在数据存储器中,该数据存储器被布置为存储由访问控制系统(例如访问控制设备122)生成的访问代码数据。比较数据可以包括另外的数据,例如标识符,指示比较数据,即生成的访问代码,被传送给谁。对应的数据可以与从读取器设备112接收的数据一起接收,例如,其可以从接收到的数据中导出,并且可以通过所讨论的数据例如使用标识符来执行对存储生成的访问代码的数据存储器的查询。因此,从读取器设备112接收的代表访问代码的数据的验证结果可以是访问代码有效或无效。
在验证访问代码有效的情况下,它可以使访问控制设备122生成导致代表新访问代码的数据的生成的信号。换言之,访问控制设备122被布置为生成新的访问代码。代表新访问代码的数据的生成可以指从访问代码生成器即从计算设备124请求新访问代码的信令,如果其被布置在用于生成访问代码的系统中的话。该生成还应被理解为覆盖其中访问控制设备122被布置为从存储多个生成的访问代码的数据存储器获得新访问代码的实现。更进一步地,访问控制设备122可以被布置为生成信号,该信号导致在访问的数据存储器中存储代表新访问代码的数据,即,用于响应于访问代码的生成来验证上述访问代码。存储可以被布置为使得新访问代码作为新数据项存储在存储器中,或者可以被布置代表新访问代码的数据被布置为替换所使用的访问代码的数据。后一个选项改进了访问控制系统中的内存管理。
为了将生成的新访问代码传送到访问建筑物110的人的终端设备144,访问控制设备122还可以被布置为生成导致将代表新访问代码的数据传输到从其接收代表访问代码的数据的一方的信号。此处,访问控制设备122可以被布置为以一种或其他方式获得接收者的网络地址,即该人或他/她的终端设备144的网络地址。例如,在标识符与经验证的访问代码一起被接收的情况下,它可以用于代表新访问代码的数据的传输,特别是在它直接或间接代表接收者的网络地址的情况下。替代地或另外地,访问控制设备122可以被布置为从被布置为将其与例如第一访问代码数据一起存储的数据存储器获得终端设备144的网络地址。
可以以与已经描述的方式相同的方式向终端设备144提供对代表新访问代码的数据的访问。例如,它可以被传送到终端设备144,或者替代地,可以向终端设备144提供寻址到存储数据的网络节点的链接。现在,当该人在建筑物110中漫步并遇到至少部分控制另一个实体(例如大门、门或电梯)的另一个读取器设备112时,他/她可以向读取器设备112提供新的访问代码。响应于新访问代码的使用,可以重复所描述的过程。
根据本发明的实施例,可以通过读取器设备112将生成的新访问代码发送给该方。这可以被布置为响应于新访问代码的生成,数据由访问控制设备112传输到与从其接收第一访问代码的终端设备144交互的读取器。在这种实现方式中,读取器设备112可以与终端设备144进行双向通信,并将新的访问码共享给终端设备144,例如使用短距离通信技术,如蓝牙。
除了上面给出的描述之外,访问控制设备122可以被布置为响应于访问代码是有效的验证产生信号,导致有权通过大门或门进入或者使用系统,读取器设备112被布置为与访问控制系统的其他元件一起至少部分地控制。换言之,访问控制设备122可以响应于在验证中检测到访问代码对于使人能够使用所讨论的实体是有效的而向所讨论的实体生成控制信号(例如,通过大门或门,或者使用电梯系统,作为非限制性示例)。对所讨论的实体的控制信号的产生可以导致对应于从其接收访问代码的读取器设备112的实体的激活,该激活允许相关人员使用相关实体,例如通过大门或使用电梯。
图2以流程图示意性地示出了根据本发明实施例的方法的非限制性示例。该方法可以涉及对要在所描述的访问控制系统中使用的一个或多个访问代码的生成的控制。图2中描述的方法从访问控制设备122的角度示出了根据本发明实施例的过程的至少一部分。访问控制设备122可以执行进一步的步骤,例如生成代表访问代码的数据并将其传送到终端设备144,例如在如图2示意性示出的阶段之前。根据本发明实施例的方法可以如下:
阶段210:
访问控制设备122可以接收代表访问代码的数据。可以例如响应于用户(例如访问建筑物的人)的终端设备144和通信地联接到访问控制设备的读取器设备112之间的交互,而直接或间接地从读取器设备112接收数据。
阶段220:
访问控制设备122可以被布置为验证代表访问代码的数据。验证是指一种操作,其中可以确定接收到的数据是否有效,并授权人员使用已经在图1的上下文中描述的设备或系统。
阶段230和240:
响应于在验证220中检测到访问代码有效,访问控制设备122可以被布置为生成导致生成代表新访问代码230的数据的信号。新数据的生成可以包括访问控制设备122和一个或多个其他实体之间的通信,或者甚至访问控制设备122内部的通信。例如,访问控制设备122可以请求另一个计算设备124生成新的访问代码并接收它作为响应。例如,实体之一还可以将代表新访问代码的数据存储到数据存储器。替代地,访问控制设备122可以被布置为从存储生成的访问代码的数据存储器请求新的访问代码。
另一方面,如果验证表明被验证的访问代码以一种或另一种方式无效,例如访问控制设备122无法找到对应于接收到的访问代码数据的比较数据,则操作可以被取消240。操作的取消244可以例如对应于访问控制设备122不采取任何措施来继续该过程的情况。
阶段250:
接下来,访问控制设备122可以被布置为通过生成250导致传输的信号来将代表新访问代码的数据传输给接收者。接收者有利地是指从其接收代表步骤210中的访问代码的数据的一方。访问控制设备122可以被布置为例如根据在步骤210中接收的数据或已经讨论的某种其他方式来确定该方的通信地址,例如网络地址。
响应于代表访问代码的数据的接收或响应于任何数据的接收,访问控制设备122可以以相同的方式继续图2中描述的过程。
图2中示意性描绘的方法及其上面的相应描述应被理解为涵盖该方法的一些方面。其他方面,例如在图1的描述中提出的方面,也可以适用于图2的描述中公开的方面。
图3示意性地示出了根据本发明实施例的访问控制设备122的示例。访问控制设备122可以至少被布置为从一个或多个读取器设备112接收数据以及直接或间接地与其他实体通信并处理接收到的数据以执行所描述的方法。访问控制设备122可以包括一个或多个处理器310、一个或多个存储器320以及一个或多个通信接口330,这些实体可以例如通过数据总线可通信地彼此联接。通信接口330可以包括必要的硬件和软件,用于将访问控制设备122通信地联接到所提到的实体。通信接口330可以被布置为实现有线或无线通信协议或者甚至两者,并且对其具有必要的硬件。此外,可以通过一个或多个处理器310至少部分地控制以所述方式进行的访问控制设备122的操作,例如通过执行存储在一个或多个存储器320中的计算机程序代码325的部分。换句话说,计算机程序代码325可以定义当由处理器310执行计算机程序代码325的至少一部分时,使访问控制设备122如所描述的那样操作的指令。如图3示意性示出的访问控制设备122不包括访问控制设备122的所有元件。例如,在图3中未示出使访问控制设备122工作所需的与功率有关的元件。即使访问控制设备122在图3中被示意性地示出为独立设备,它的实现及其功能也可以以分布式方式布置在被布置为彼此协作地实现操作的多个计算设备之间。
取决于本发明的实现,访问控制设备122也可以被布置为实现其他实体的功能,例如实现被布置为生成访问代码的计算设备124的功能。如已经提到的,访问控制设备122的至少部分功能可以与其他设备集成,例如与读取器设备112集成。总而言之,这里描述的实体的至少一些功能可以以分布式方式实现,其中由多个设备执行的多个处理产生所讨论的功能。
本发明的一些方面可以涉及一种用于控制至少一个访问代码的生成的计算机程序产品。存储在例如非暂时性计算机可读介质上的计算机程序产品在由至少一个处理器执行时可以使计算设备,例如访问控制设备122,执行所描述的方法。
更进一步地,本发明的一些方面可以涉及一种至少包括:至少一个读取器设备112、访问代码生成器124和访问控制设备122的系统。访问控制设备122可以被布置为例如通过从至少一个读取器设备112接收代表访问代码的数据并且通过向访问代码生成器124发送信号来请求生成代表新访问代码的数据来执行如所描述的方法。如上所述,在系统的一些实施例中,至少以下之一:至少一个读取器设备112、访问代码生成器124可以与访问控制设备集成。
在以上给出的描述中提供的特定示例不应被解释为限制所附权利要求的适用性和/或解释。除非另有明确说明,否则以上给出的描述中提供的示例列表和示例组并不详尽。