由控制器装置执行的方法及控制器装置.pdf

本发明涉及一种由控制器装置执行的方法及一种控制器装置。一种控制器装置可对应于分布式物理进入控制系统中的物理进入控制器。所述控制器装置可包含逻辑(210)，所述逻辑(210)经配置以获得对包含多个控制器装置(115)的进入控制信息的全局数据库(354)的存取。所述逻辑可进一步经配置以从所述全局数据库导出局部进入规则表(356)，其中所述局部进入规则表(356)使用户与进入规则相关，且其中所述局部进入规则表借助局部进入规则密钥而加密；以及从所述全局数据库(354)导出局部凭证表(358)，其中所述局部凭证表(358)使经散列凭证与用户相关，其中所述局部凭证表(358)针对用户存储借助与所述用户相关联的未散列凭证加密的所述局部进入规则密钥，其中所述未散列凭证不存储于所述控制器装置中。

权利要求书1.  一种由控制器装置执行的方法，所述方法包括：由所述控制器装置存取包含多个控制器装置的进入控制信息的全局数据库；由所述控制器装置从所述全局数据库导出局部进入规则表，其中所述局部进入规则表使用户与进入规则相关，且其中所述局部进入规则表借助局部进入规则密钥而加密；由所述控制器装置从所述全局数据库导出局部凭证表，其中所述局部凭证表使经散列凭证与用户相关，其中所述局部凭证表针对用户存储借助与所述用户相关联的未散列凭证加密的所述局部进入规则密钥，其中所述未散列凭证不存储于所述控制器装置中；由所述控制器装置从读取器装置接收凭证值；当所述所导出局部凭证表中存在与关联于所述所接收凭证值的用户相关联的凭证条目时，由所述控制器装置基于所述所导出局部凭证表而识别所述用户；以及当所述所导出局部进入规则表中存在针对所述用户的进入规则条目时，由所述控制器装置基于所述所导出局部进入规则表而执行与所述用户相关联的一或多个进入规则。2.  根据权利要求1所述的方法，其进一步包括：对所述所接收凭证值进行散列运算；确定所述局部凭证表中是否存在针对所述经散列凭证值的所述凭证条目；以及当所述局部凭证表中存在针对所述经散列凭证值的所述凭证条目时，在所述局部凭证表中识别与所述所接收凭证值相关联的所述用户。3.  根据权利要求2所述的方法，其进一步包括：使用所述所接收凭证值解密与所述凭证条目相关联的所述局部进入规则密钥；使用所述经解密局部进入规则密钥解密所述局部进入规则表；以及确定所述经解密局部进入规则表中是否存在针对所述用户的所述进入规则条目。4.  根据权利要求1所述的方法，其进一步包括：获得对所述全局数据库的更新；基于所述更新与关联于所述控制器装置的进入实体或所述用户相关联而确定所述更新与所述局部进入规则表或所述局部凭证表中的至少一者有关；以及基于确定所述更新与所述局部数据库有关而使用所述经更新全局数据库更新所述局部进入规则表或所述局部凭证表中的所述至少一者。5.  根据权利要求4所述的方法，其中所述局部凭证表是使用局部凭证密钥加密的，所述方法进一步包括：使用所述局部凭证密钥解密所述局部凭证表；更新所述局部凭证表中的经散列凭证值；从所述经解密全局数据库获得未加密局部进入规则密钥；以及借助未散列凭证值加密所述局部进入规则密钥，其中所述经加密局部进入规则密钥与所述经散列凭证值相关联。6.  根据权利要求4所述的方法，其进一步包括：从所述经解密全局数据库获得未加密局部进入规则密钥；使用所述所获得的未加密局部进入规则密钥解密所述局部进入规则表；更新所述局部进入规则表；以及加密所述经更新局部进入规则表。7.  根据权利要求1到6中任一权利要求所述的方法，其进一步包括：从所述全局数据库导出所述多个控制器装置中的另一控制器装置的远程局部进入规则表；从所述全局数据库导出所述另一控制器装置的远程局部凭证表；以及使得所述另一控制器装置能够存取所述远程局部进入规则表及所述远程局部凭证表。8.  根据权利要求1到6中任一权利要求所述的方法，其中在所述全局数据库中一用户与一全局数据库行编号相关联，其中在所述局部进入规则表中所述用户与所述全局数据库行编号相关联，且其中在所述局部凭证表中所述用户与所述全局数据库行编号相关联。9.  根据权利要求1到6中任一权利要求所述的方法，其中所述多个控制器装置对应于分布式物理进入控制系统，且其中所述控制器装置对应于物理进入控制单元。10.  一种控制器装置(115)，其包括：逻辑(210)，其经配置以：存取包含多个控制器装置(115)的进入控制信息的全局数据库(354)；从所述全局数据库(354)导出局部进入规则表(356)，其中所述局部进入规则表(356)使用户与进入规则相关，且其中所述局部进入规则表(356)借助局部进入规则密钥而加密；从所述全局数据库(354)导出局部凭证表(358)，其中所述局部凭证表(358)使经散列凭证与用户相关，其中所述局部凭证表(358)针对用户存储借助与所述用户相关联的未散列凭证加密的所述局部进入规则密钥，其中所述未散列凭证不存储于所述控制器装置中；从读取器装置接收凭证值；当所述所导出局部凭证表中存在与关联于所述所接收凭证值的用户相关联的凭证条目时，基于所述所导出局部凭证表而识别所述用户；以及当所述所导出局部进入规则表中存在针对所述用户的进入规则条目时，基于所述所导出局部进入规则表而执行与所述用户相关联的一或多个进入规则。11.  根据权利要求10所述的控制器装置，其中所述逻辑进一步经配置以：对所述所接收凭证值进行散列运算；确定所述局部凭证表中是否存在针对所述经散列凭证值的所述凭证条目；以及当所述局部凭证表中存在针对所述经散列凭证值的所述凭证条目时，在所述局部凭证表中识别与所述所接收凭证值相关联的所述用户。12.  根据权利要求10或11所述的控制器装置，其中所述逻辑进一步经配置以：使用所述所接收凭证值解密与所述凭证条目相关联的所述局部进入规则密钥；使用所述经解密局部进入规则密钥解密所述局部进入规则表；以及确定所述经解密局部进入规则表中是否存在针对所述用户的所述进入规则条目。13.  根据权利要求10或11所述的控制器装置，其中所述逻辑进一步经配置以：存储所述全局数据库；以及使得多个其它控制器装置能够存取所述全局数据库。14.  根据权利要求10或11所述的控制器装置，其中所述逻辑进一步经配置以：从所述全局数据库导出另一控制器装置的远程局部进入规则表；从所述全局数据库导出所述另一控制器装置的远程局部凭证表；以及将所述远程局部进入规则表及所述远程局部凭证表提供到所述另一控制器装置。15.  根据权利要求10或11所述的控制器装置，其中所述多个控制器装置对应于分布式物理进入控制系统，且其中所述控制器装置对应于物理进入控制单元。

说明书由控制器装置执行的方法及控制器装置
技术领域
本发明一般来说涉及进入控制系统，且更具体来说涉及进入控制系统中的匿名存取控制决策。
背景技术
进入控制系统可用于控制对设施的物理进入。进入控制系统(以及其它类型的控制系统)可具有众多控制器，每一控制器控制系统的不同部分。每一控制器可存储装置特有信息，例如配置信息、外围装置设定等等。
发明内容
根据一个方面，一种由控制器装置执行的方法可包含：由所述控制器装置存取包含多个控制器装置的进入控制信息的全局数据库；由所述控制器装置从所述全局数据库导出局部进入规则表，其中所述局部进入规则表使用户与进入规则相关，且其中所述局部进入规则表借助局部进入规则密钥而加密；以及由所述控制器装置从所述全局数据库导出局部凭证表，其中所述局部凭证表使经散列凭证与用户相关，其中所述局部凭证表针对用户存储借助与所述用户相关联的未散列凭证加密的所述局部进入规则密钥，其中所述未散列凭证不存储于所述控制器装置中。
另外，所述方法可包含：从读取器装置接收凭证值；对所述所接收凭证值进行散列运算；确定所述局部凭证表中是否存在针对所述经散列凭证值的凭证条目；以及当所述局部凭证表中存在针对所述经散列凭证值的所述凭证条目时，在所述局部凭证表中识别与所述经散列凭证值相关联的用户。
另外，所述方法可包含：使用所述所接收凭证值解密与所述凭证条目相关联的所述局部进入规则密钥；使用所述经解密局部进入规则密钥解密所述局部进入规则表；确定所述经解密局部进入规则表中是否存在针对所述用户的进入规则条目；以及当所述经解密局部进入规则表中存在针对所述用户的所述进入规则条目时，基于所述进入规则表而执行与所述用户相关联的一或多个进入规则。
另外，所述控制器装置可属于包含所述多个控制器装置的分布式系统，且所述全局数据库可对应于所述分布式系统中的分布式数据集。
另外，所述方法可包含：从管理员装置接收对所述全局数据库的更新；将所述更新分布到所述多个装置中的其它者；以及使用所述所接收更新来更新所述全局数据库，其中所述全局数据库是在所述多个装置中的所述其它者处更新的。
另外，所述方法可包含存储所述全局数据库；以及使得所述多个控制器装置能够存取所述全局数据库。
另外，所述控制器装置可属于包含所述多个控制器装置的分布式系统，所述全局数据库可存储于所述多个控制器装置中的另一控制器装置中，且获得对所述全局数据库的存取可包含在所述另一控制器装置处存取所述全局数据库。
另外，所述方法可包含获得对所述全局数据库的更新；确定所述更新与所述局部进入规则表或所述局部凭证表中的至少一者有关；以及基于确定所述更新与所述局部数据库有关而使用所述经更新全局数据库更新所述局部进入规则表或所述局部凭证表中的所述至少一者。
另外，所述局部凭证表可使用局部凭证密钥加密，且所述方法可进一步包含：使用所述局部凭证密钥解密所述局部凭证表；更新所述局部凭证表中的经散列凭证值；从所述经解密全局数据库获得未加密局部进入规则密钥；以及借助未散列凭证值加密所述局部进入规则密钥，其中所述经加密局部进入规则密钥与所述经散列凭证值相关联。
另外，所述方法可包含：从所述经解密全局数据库获得未加密局部进入规则密钥；使用所述所获得的未加密局部进入规则密钥解密所述局部进入规则表；更新所述局部进入规则表；以及加密所述经更新局部进入规则表。
另外，所述局部进入规则表可使特定进入位置与特定用户群组及与特定进入规则集相关联。
另外，所述方法可包含：从所述全局数据库导出所述多个控制器装置中的另一控制器装置的远程局部进入规则表；从所述全局数据库导出所述另一控制器装置的远程局部凭证表；以及使得所述另一控制器装置能够存取所述远程局部进入规则表及所述远程局部凭证表。
另外，在所述全局数据库中一用户可与一全局数据库行编号相关联，其中在所述局部进入规则表中所述用户可与所述全局数据库行编号相关联，且其中在所述局部凭证表中所述用户与所述全局数据库行编号相关联。
另外，所述控制器装置可对应于嵌入式系统。
另外，所述多个控制器装置可对应于分布式物理进入控制系统，且所述控制器装置可对应于物理进入控制单元。
根据另一方面，一种控制器装置可包含逻辑，所述逻辑经配置以：获得对包含多个控制器装置的进入控制信息的全局数据库的存取；从所述全局数据库导出局部进入规则表，其中所述局部进入规则表使用户与进入规则相关，且其中所述局部进入规则表借助局部进入规则密钥而加密；以及从所述全局数据库导出局部凭证表，其中所述局部凭证表使经散列凭证与用户相关，其中所述局部凭证表针对用户存储借助与所述用户相关联的未散列凭证加密的所述局部进入规则密钥，其中所述未散列凭证不存储于所述控制器装置中。
另外，所述逻辑可进一步经配置以：从读取器装置接收凭证值；对所述所接收凭证值进行散列运算；确定所述局部凭证表中是否存在针对所述经散列凭证值的凭证条目；以及当所述局部凭证表中存在针对所述经散列凭证值的所述凭证条目时，在所述局部凭证表中识别与所述经散列凭证值相关联的用户。
另外，所述凭证值可包含以下各项中的一或多者：小键盘字符序列；从钥匙卡获得的值；从虹膜扫描获得的特征向量；从话音样本获得的特征向量；或从指纹扫描获得的特征向量。
另外，所述逻辑可进一步经配置以：使用所述所接收凭证值解密与所述凭证条目相关联的所述局部进入规则密钥；使用所述经解密局部进入规则密钥解密所述局部进入规则表；确定所述经解密局部进入规则表中是否存在针对所述用户的进入规则条目；以及当所述经解密局部进入规则表中存在针对所述用户的所述进入规则条目时，基于所述进入规则表而执行与所述用户相关联的一或多个进入规则。
另外，所述控制器装置可属于包含所述多个控制器装置的分布式系统，且所述全局数据库可对应于所述分布式系统中的分布式数据集。
另外，所述逻辑可进一步经配置以：从管理员装置接收对所述全局数据库的更新；将所述更新分布到所述多个装置中的其它者；以及使用所述所接收更新来更新所述全局数据库，其中所述全局数据库是在所述多个装置中的所述其它者处更新的。
另外，所述逻辑可进一步经配置以：存储所述全局数据库；以及使得所述多个控制器装置能够存取所述全局数据库。
另外，所述控制器装置可属于包含多个控制器装置的分布式系统，所述全局数据库可存储于所述多个控制器装置中的另一控制器装置中，且所述逻辑可进一步经配置以在所述另一控制器装置处存取所述全局数据库。
另外，所述逻辑可进一步经配置以：从所述全局数据库导出另一控制器装置的远程局部进入规则表；从所述全局数据库导出所述另一控制器装置的远程局部凭证表；以及将所述远程局部进入规则表及所述远程局部凭证表提供到所述另一控制器装置。
另外，所述多个控制器装置可对应于分布式物理进入控制系统，且所述控制器装置可对应于物理进入控制单元。
根据又一方面，一种分布式系统可包含多个物理进入控制装置，其中所述多个物理进入控制装置中的特定一者经配置以：获得对包含多个控制器装置的进入控制信息的全局数据库的存取；从所述全局数据库导出局部进入规则表，其中所述局部进入规则表使用户与进入规则相关，且其中所述局部进入规则表借助局部进入规则密钥而加密；以及从所述全局数据库导出局部凭证表，其中所述局部凭证表使经散列凭证与用户相关，其中所述局部凭证表针对用户存储借助与所述用户相关联的未散列凭证加密的所述局部进入规则密钥，其中所述未散列凭证不存储于所述多个物理进入控制装置中的所述特定一者中。
附图说明
图1是图解说明根据本文中所描述的实施例的示范性环境的框图；
图2是图解说明图1的系统单元的示范性组件的框图；
图3A及3B是图解说明图1的系统单元的示范性功能组件的框图；
图4A-4C是可存储于图3B的数据库中的示范性信息的图式；
图5是根据一或多个实施例用于从全局数据库导出局部数据库的流程图；
图6是根据一或多个实施例用于更新全局数据库的流程图；
图7是根据一或多个实施例用于更新局部进入规则表的流程图的图式；
图8是根据一或多个实施例用于更新局部凭证表的流程图的图式；
图9是根据本文中所描述的一或多个实施方案用于使用局部凭证表及局部进入规则表的流程图；
图10是图解说明图1的系统单元的示范性物理布局的平面布置图；
图11是图解说明图1的系统的示范性物理布局的平面布置图；
图12A-12D是根据一或多个实施例的全局数据库的示范性实施方案；且
图13A-13C是根据一或多个实施例的示范性数据库使用情景的图式。
具体实施方式
以下详细描述参考附图。不同图式中的相同参考编号识别相同或类似元件。
下文所描述的实施例涉及控制系统中的匿名数据库。可维持控制系统的全局数据库。所述全局数据库可包含用户信息，例如用户的识别信息。所述用户信息可进一步包含用户的凭证值。可使用凭证值结合所述控制系统的特定控制器装置来证实用户。举例来说，所述凭证值可存储于所述用户的进入卡中，且读取器装置可扫描所述进入卡以确定是否准予所述用户的进入。所述全局数据库可进一步包含进入控制信息，例如基于例如一天的时间、进入区域等等参数而应准予哪些用户进入。
可使用所述全局数据库来导出所述控制系统中的特定装置的匿名局部进入规则表及/或所述特定装置的匿名局部凭证表。所述局部进入规则表可使用户或用户群组与和所述特定装置有关的进入规则相关。所述局部进入规则表可用局部进入规则密钥加密。本文中所使用的术语“密钥”可指加密/解密密钥。所述局部凭证表可使经散列凭证值与用户相关且可针对每一用户存储所述局部进入规则密钥的经加密版本，其中所述局部进入规则密钥借助所述用户的未散列凭证值而加密。所述未散列凭证值可不由特定装置存储且可由读取器装置(例如，进入读卡器)在所述用户请求进入时获得。“匿名”可指不包含用户的识别信息(例如，用户的名称、员工编号等等)。此外，术语“数据库”与“表”可互换使用。因此，局部进入规则表及局部凭证表可不包含任何个人用户信息，且因此，如果进入装置的安全受到危害，那么无法从进入装置中的局部表获得个人用户信息。
在一些实施方案中，所述控制系统可包含分布式控制系统。分布式控制系统可包含分布式物理进入控制系统。物理进入控制系统可包含一或多个进入控制单元，其中每一进入控制单元控制对设施的一区域的物理进入。举例来说，进入控制单元可从用户获得凭证且可在所述用户的凭证被验证的情况下将门锁开锁。在其它实施方案中，分布式控制系统可包含分布式建筑物管理系统、分布式监视系统、分布式安全系统及/或另一类型的分布式控制系统。
在一些实施方案中，所述全局数据库可对应于分布式数据集，系统中的每一控制单元可存储所述分布式全局数据库的局部副本，且每一控制单元可从分布式全局数据库的局部副本导出局部进入规则表及/或局部凭证表。在其它实施方案中，一些控制单元可不包含分布式全局数据库的副本。举例来说，高危险区域中的控制单元可不包含分布式全局数据库的副本。而是，另一控制单元可导出高危险控制单元的局部进入规则表及/或局部凭证表且可将所述局部进入规则表及/或所述局部凭证表提供到所述高危险控制单元。 在又一些实施方案中，单个控制单元可经指定以包含所述全局数据库，且其它控制单元可存取所述全局数据库以导出其相应局部进入规则表及/或局部凭证表。在又一些实施方案中，所述全局数据库可在控制系统之外，举例来说，存储在管理装置中。
在其它实施方案中，所述控制系统可不对应于分布式系统。举例来说，所述控制系统可包含可以存取全局数据库的连网控制装置群组，所述全局数据库可由所述连网控制装置中的一或多者或由另一装置(例如管理装置)存储。
图1是可在其中实施下文所描述的系统及/或方法的示范性环境100的框图。如图1中所展示，环境100包含分布式控制系统110(例如，分布式物理进入控制系统)、网络120及管理装置130。
分布式控制系统(DCS)110可包含分布式计算系统，所述分布式计算系统包含系统单元115-A到115-N(统称为“系统单元115”且个别地称为“系统单元115”)。系统单元115可实施为嵌入式系统。在一些实施方案中，系统单元115可包含物理进入控制装置。举例来说，系统单元115可包含控制对安全区域(例如一房间或一房间群组)的进入的进入控制器。系统单元115可经由读取器装置接收凭证(例如，进入卡凭证)且确定所述凭证是否为真实的且与进入所述安全区域的授权相关联。如果是，那么所述进入控制器可发出打开门上的锁或执行与准予进入所述安全区域相关联的其它操作的命令。在其它实施方案中，系统单元115可包含不同类型的安全装置，例如监视装置、控制机器的操作的装置等等。在其它实施方案中，系统单元115可包含另一类型的嵌入式系统。
DCS 110可包含一或多个分布式数据集。分布式数据集包含与多个装置相关联的数据集，其中所述在一个实施例中，多个装置可彼此通信及协调以对所述数据集做出改变。在一个实施例中，与分布式数据集相关联的每一装置维持所述分布式数据集的局部副本，且如果所述装置同意改变，那么将所述改变复制到分布式数据集的局部副本。在另一实施例中，举例来说，并非所有装置均存储分布式数据集的局部副本。
在一些实施例中，达成共识以便对分布式数据集(例如，基于共识的分布式数据库)做出改变。在其它实施例中，可在无共识的情况下对分布式数据集做出改变。分布式数据集可与所有系统单元115相关联或可与系统单元115的子集相关联。系统单元115可提议对基于共识的分布式数据集的改变。如果与分布式数据集相关联的法定数的系统单元115接受了改变，那么可达成共识，且可将改变传播到每一相关联系统单元115中的分布式数据集的每一局部副本。因此，如果法定数的相关联系统单元115投票赞成分布式数据集的改变，那么可达成关于所述改变的共识。法定数可对应于相关联系统单元115的最小大多数。因此，如果分布式数据集与N个系统单元115相关联，那么在N/2+1 个相关联系统单元115投票赞成改变的情况下(如果N为偶数)或在(N-1)/2+1个相关联系统单元115投票赞成改变的情况下(如果N为奇数)，可达到法定数。需要最小大多数达到法定数可确保在考虑两个冲突提议时，至少一个系统单元115接收到两个提议且选择所述提议中的一者以达成共识。
基于共识的分布式数据集可确保与分布式数据集相关联的任何系统单元115均包含由所述分布式数据集管理的信息(例如，在一个实施例中，所有信息)。举例来说，分布式数据集可包含进入规则，且所述进入规则可用于与所述分布式数据集相关联的任何系统单元115。因此，由于一或多个分布式数据集，在一个实施例中，DCS 110可对应于不具有中央控制装置(例如服务器装置)的分散式系统。在其它实施例中，DCS 110可包含分散式系统及中央控制装置(例如服务器装置)两者。对DCS 110的改变可在任何系统单元115处配置，且如果改变与分布式数据集相关联，那么可将所述改变传播到与所述分布式数据集相关联的其它系统单元115。此外，DCS 110可相对于装置故障展现稳健性，因为可避免单个故障点。举例来说，如果特定系统单元115失效，那么其它系统单元115可继续操作而不会丢失数据(或使数据丢失最小化)。此外，可动态地改变DCS 110。举例来说，可在任何时间添加应用且可视需要将新的数据集存储于系统单元115中。
DCS 110还可包含非分布式的数据集。作为一实例，第一系统单元115可包含不包含于任何其它系统单元115中的局部数据集。作为另一实例，第一系统单元115可包含以非分布式方式复制到第二系统单元115(例如通过镜射)的局部数据集。作为又一实例，第一系统单元115可包含局部数据集的第一版本且第二系统单元115可包含局部数据集的第二版本，其中第一系统单元115维持局部数据集的第一版本且第二系统单元115维持局部数据集的第二版本。在又一实例中，第一系统单元115可从分布式数据集导出第一局部数据集且第二系统单元115可从分布式数据集导出第二局部数据集，其中所述第一局部数据集不同于所述第二局部数据集。
网络120可使得系统单元115能够彼此通信及/或可使得管理装置130能够与特定系统单元115通信。网络120可包含一或多个电路交换网络及/或包交换网络。举例来说，网络120可包含局域网(LAN)、广域网(WAN)、城域网(MAN)、公共交换电话网络(PSTN)、特设网络、内联网、因特网、基于光纤的网络、无线网络及/或这些或其它类型网络的组合。
管理装置130可使得管理员能够连接到特定系统单元115以便配置DCS 110、改变DCS 110的配置、从DCS 110接收信息及/或以其它方式管理DCS 110。管理装置130可包含经配置以与系统单元115通信的任何装置。举例来说，管理装置130可包含便携 式通信装置(例如，移动电话、智能电话、平板电话装置、全球定位系统(GPS)装置及/或另一类型的无线装置)；个人计算机或工作站；服务器装置；膝上型计算机；平板计算机或另一类型的便携式计算机；及/或具有通信能力的任何类型的装置。
虽然图1展示环境100的示范性组件，但在其它实施方案中，环境100相比图1中所描绘的组件可包含更少的组件、不同的组件、不同布置的组件或额外组件。另外或替代地，环境100中的任一装置(或任何装置群组)可执行描述为由环境100中的一或多个其它装置执行的功能。举例来说，在一些实施方案中，系统单元115可包含输入及/或输出装置(例如，键盘/小键盘及显示器、触摸屏等等)，且可能不需要管理装置130。
图2是图解说明系统单元115的示范性组件的框图。如图2中所展示，系统单元115可包含控制器210及一或多个外围装置230。控制器210可控制系统单元115的操作，可与其它系统单元115通信，可与管理装置130通信，及/或可控制外围装置230。控制器210可包含总线212、处理器214、存储器216、网络接口218、外围接口220及外壳222。
总线212可包含准许控制器210的组件之间的通信的路径。处理器214可包含任何类型的单核心处理器、多核心处理器、微处理器、基于锁存器的处理器及/或解译并执行指令的处理逻辑(或处理器、微处理器及/或处理逻辑的族群)。在其它实施例中，处理器214可包含专用集成电路(ASIC)、现场可编程门阵列(FPGA)及/或另一类型的集成电路或处理逻辑。
存储器216可包含可存储供由处理器214执行的信息及/或指令的任何类型的动态存储装置，及/或可存储供由处理器214使用的信息的任何类型的非易失性存储装置。举例来说，存储器216可包含随机存取存储器(RAM)或另一类型的动态存储装置、只读存储器(ROM)装置或另一类型的静态存储装置、内容可寻址存储器(CAM)、磁性及/或光学记录存储器装置及其对应驱动器(例如，硬盘驱动器、光学驱动器等等)及/或可移除形式的存储器，例如快闪存储器。
网络接口218可包含收发器(例如，发射器及/或接收器)，所述收发器使得控制器210能够经由有线通信链路(例如，导电线、双绞线电缆、同轴电缆、传输线、光纤电缆及/或波导等等)、无线通信链路(例如，射频(RF)、红外及/或视觉光学器件等等)或无线与有线通信链路的组合与其它装置及/或系统通信(例如，发射及/或接收数据)。网络接口218可包含将基带信号转换为RF信号的发射器及/或将RF信号转换为基带信号的接收器。网络接口218可耦合到用于发射及接收RF信号的天线。
网络接口218可包含逻辑组件，所述逻辑组件包含输入及/或输出端口、输入及/或 输出系统及/或促进将数据发射到其它装置的其它输入及输出组件。举例来说，网络接口218可包含用于有线通信的网络接口卡(例如，以太网卡)及/或用于无线通信的无线网络接口(例如，WiFi)卡。网络接口218还可包含用于经由电缆通信的通用串行总线(USB)端口、BluetoothTM无线接口、射频识别(RFID)接口、近场通信(NFC)无线接口及/或将数据从一种形式转换为另一形式的任何其它类型的接口。
外围接口220可经配置以与一或多个外围装置230通信。举例来说，外围接口220可包含一或多个逻辑组件，所述逻辑组件包含输入及/或输出端口、输入及/或输出系统及/或促进将数据发射到外围装置230的其它输入及输出组件。作为一实例，外围接口220可使用串行外围接口总线协议(例如，韦根(Wiegand)协议、RS-485协议及/或另一类型的协议)与外围装置通信。作为另一实例，外围接口220可使用不同类型的协议。在一个实施例中，网络接口218还可充当用于将外围装置230耦合到控制器210的外围接口。
外壳222可包封控制器210的组件且可保护控制器210的组件免受环境影响。在一个实施例中，外壳222可包含外围装置230中的一或多者。在另一实施例中，外壳222可包含管理装置130。外壳222可在具有一个以上系统单元115及/或控制器210的系统中界定一个系统单元115及/或控制器210与其它系统单元115及/或控制器210的边界。
如下文所描述，控制器210可执行与管理分布式系统中的数据库有关的某些操作。控制器210可由于ASIC的硬连线电路而执行这些操作。控制器210还(或替代地)可响应于处理器214执行计算机可读媒体(例如存储器216)中所含有的软件指令而执行这些操作。计算机可读媒体可界定为非暂时性存储器装置。存储器装置可实施于单个物理存储器装置内或跨越多个物理存储器装置散布。可将软件指令从另一计算机可读媒体或从另一装置读取到存储器216中。存储器216中所含有的软件指令可致使处理器214执行本文中所描述的过程。因此，本文中所描述的实施方案并不限于硬件电路及软件的任何特定组合。
外围装置230可包含将信息提供到控制器210、由控制器210控制及/或以其它方式与控制器210通信的一或多个装置。举例来说，外围装置230可包含读取器装置240、锁装置250、传感器260及/或致动器270。尽管出于说明性目的而在图2中展示单个读取器装置240、单个锁装置250、单个传感器260及单个致动器270，但实际上，外围装置230可包含多个读取器装置240、多个锁装置250、多个传感器260及/或多个致动器270。在一些实施方案中，外围装置230可不包含图2中所展示的装置中的一或多者。另外或替代地，外围装置230可包含图2中未展示的任何其它类型的安全装置。
读取器装置240可包含从用户读取凭证并将所述凭证提供到控制器210的装置。举 例来说，读取器装置240可包含经配置以从用户接收字母数字个人识别号码(PIN)的小键盘；用以配置在磁条或另一类型的存储装置(例如RFID标签)上存储卡代码的卡的读卡器；经配置以读取用户的指纹的指纹读取器；经配置以读取用户的虹膜的虹膜读取器；麦克风及经配置以记录用户的话音标志的话音标志识别器；近场通信(NFC)读取器；及/或另一类型的读取器装置。读取器装置240可包含可提供凭证的任何类型的安全装置，且可包含一或多个传感器装置，例如下文参考传感器260所描述的任何传感器装置。举例来说，读取器装置240可包含用于面部辨识的摄像机及/或用于话音辨识的麦克风。
锁装置250可包含由控制器210控制的锁。锁装置250可锁住门(例如，防止其打开或关闭)、窗户、HVAC通风孔及/或到安全区域的另一类型的进入开口。举例来说，锁装置250可包含电磁锁；具有由控制器210控制的电动机的机械锁；机电锁；及/或另一类型的锁。此外，锁装置250可进行机器、运输运载工具、电梯及/或电装置的锁住/开锁操作。
传感器260可包含传感器装置。作为实例，传感器260可包含：用以感测门打开还是关闭的门传感器；可见光监视摄像机、红外(IR)光监视摄像机、热标志监视摄像机及/或另一类型的监视装置；报警传感器，例如运动传感器、热传感器、压力传感器及/或另一类型的报警传感器；音频记录装置(例如，麦克风)；篡改传感器，例如位于系统单元115内侧的位置传感器；及/或位于与系统单元115相关联的安全区域内的“外出请求”按钮；及/或另一类型的传感器装置。
致动器270可包含致动器装置。作为一实例，致动器270可控制照明装置。作为其它实例，致动器270可包含：防盗报警激活器；用以播放消息或产生报警信号的扬声器；显示装置；用以移动传感器260(例如，控制摄像机或其它监视装置的视域)的电动机；用于打开/关闭门、窗户、HVAC通风孔及/或与安全区域相关联的另一开口的电动机；用以将锁装置250固定于锁住或未锁位置中的电动机；灭火装置；及/或另一类型的致动器装置。
虽然图2展示系统单元115的示范性组件，但在其它实施方案中，系统单元115相比图2中所描绘的组件可包含更少的组件、不同的组件、额外组件或不同布置的组件。另外或替代地，系统单元115的任何组件(或任何组件群组)可执行描述为由系统单元115的一或多个其它组件执行的任务。举例来说，在一些实施方案中，外围接口220可对应于网络接口。作为另一实例，在一些实施方案中，外围装置230可经由网络接口218而非经由外围接口220连接到控制器210。
此外，虽然DCS 110可包含物理进入分布式控制系统，但其它实施方案可控制除物 理进入系统之外的系统。另一方面，DCS 110可包含任何类型的物理进入控制系统(例如，在操作环境中)，例如用于打开及/或关闭门或控制对建筑物或设施的物理进入的控制系统。DCS 110还可包含用以控制风扇(例如，起动或停止)、用以起始建筑物管理系统中的报警(例如，失败的验证、成功的验证等等)或用以控制工业自动化系统中的机器人臂的系统。
图3A及3B是图解说明系统单元115的示范性功能组件的框图。举例来说，可经由一或多个ASIC的硬连线电路来实施系统单元115的功能组件。另外或替代地，可由执行来自存储器216的指令的处理器214来实施系统单元115的功能组件。图3A图解说明系统单元115的功能层。如图3A中所展示，系统单元115可包含应用程序编程接口(API)层310、应用层320、分布层340及存储层350。
API层310包含经配置以与(举例来说)管理装置130通信的API。作为一实例，当管理员使用管理员装置130登录到系统单元115中时，API层310可与管理员装置130通信以验证管理员。作为另一实例，API层310可与管理员装置130通信以改变系统单元115的配置。API层310可从管理员装置130接收数据并将所述数据提供到分布层340及/或存储层350。API层310还可与管理员装置130通信以在应用层320中安装应用。API层310可经配置以处置不同管理员类型。举例来说，API层310可包含用以处置Web服务管理员、Linux管理员、开放网络视频接口论坛(ONVIF)管理员的API及/或另一类型的API。
应用层320包含安装于系统单元115上的一或多个应用。图3B展示示范性应用。如图3B中所展示，应用层320可包含进入控制逻辑应用322、门控制应用324、读取器控制应用326、事件处置应用328、时间表处置应用330及/或数据库管理器应用332。
进入控制逻辑应用322可基于所接收凭证且基于所存储进入规则而确定是否准予进入。门控制应用324可控制一或多个门及/或相关联锁装置250。举例来说，门控制应用324可确定门打开还是关闭及/或锁住还是未锁，且可操作一或多个装置以打开或关闭门及/或将门锁住或开锁。读取器控制应用326可控制一或多个读取器装置240且可获得并处理从一或多个读取器装置240接收的凭证。事件处置应用328可维持由系统单元115记录或产生及/或由另一系统单元115记录的事件的日志。事件处置应用328可确保将局部记录或产生的事件分布到DCS 110中的其它系统单元115以便在所有(或至少一些)系统单元115中维持分布式系统事件日志。因此，可从与系统事件日志相关联的任何系统单元115检索所登记事件。时间表处置应用330可管理与系统单元115相关联的一或多个时间表。举例来说，针对特定用户群组的进入规则可基于一天的特定时间而改变。
数据库管理器应用332可从全局数据库354导出局部进入规则数据库356及/或局部凭证表358。在一些实施方案中，系统单元115可不包含全局数据库354。举例来说，数据库管理器应用332可在另一装置处(例如在另一系统单元115处或在管理装置130处)存取全局数据库354。在又一些实施方案中，可在另一系统单元115处从全局数据库354导出局部进入规则数据库356及/或局部凭证表358并将其提供到系统单元115。
应用层320中可包含其它应用(图3B中未展示)。作为一实例，报警应用可产生报告及/或报警并将所述报告及/或报警发送到管理员装置130(及/或发送到另一指定装置)及/或一或多个其它系统单元115。作为另一实例，任务特有控制应用可处理与系统单元115相关联的事件，例如门打开事件、传感器事件、致动器事件及/或其它类型的事件。
分布层340可管理与系统单元115相关联的一或多个分布式数据集。举例来说，分布层340可经由网络120维持与其它系统单元115的安全连接(例如，输送层安全(TLS)连接)。此外，分布层340可使用协议(例如，PAXOS协议)来建立关于特定基于共识的分布式数据集的改变的共识。作为一实例，分布层340可将改变的提议发送到与分布式数据集相关联的其它系统单元115且可从其它系统单元115接收改变的法定数。作为另一实例，分布层340可投票赞成从另一系统单元115接收的提议。作为又一实例，分布层340可接收已在未投票赞成改变的情况下达成对所述改变的共识的指示。当接收到对改变的共识的指示时，分布层340可在分布式数据集的局部副本中做出所述改变。
存储层350存储与系统单元115相关联的一或多个数据集。存储于存储层350中的数据集可对应于局部数据集或可对应于分布式数据集。局部数据集可存储与存储所述局部数据集的特定系统单元115相关联(及/或仅与所述特定系统单元相关联)的信息。分布式数据集可存储与同所述分布式数据集相关联的其它系统单元115相关联的信息。
图3B中展示可包含于存储层350中的示范性信息。如图3B中所展示，存储层350可包含配置数据库352、全局数据库354、局部进入规则数据库356及局部凭证数据库358。
配置数据库352可存储与特定系统单元115相关联的配置数据，例如控制器210的硬件配置、连接到控制器210的外围装置230、安装于应用层320中的应用及/或其它类型的配置信息。配置数据库352可存储与系统单元115相关联的进入实体的列表。
全局数据库354可存储与DCS 110相关联的全局数据库。下文参考图4A来描述可存储于全局数据库354中的示范性信息。局部进入规则数据库356可存储与系统单元115相关联的进入规则。下文参考图4B来描述可存储于局部进入规则数据库356中的示范性信息。局部凭证数据库358可存储与系统单元115相关联的局部凭证。下文参考图4C 来描述可存储于局部凭证数据库358中的示范性信息。
虽然图3A及3B展示系统单元115的示范性功能组件，但在其它实施方案中，系统单元115相比图3A及3B中所描绘的功能组件可包含更少的功能组件、不同的功能组件、不同布置的功能组件或额外功能组件。另外，系统单元115的组件中的任一者(或任何组件群组)可执行描述为由系统单元115的一或多个其它功能组件执行的功能。
图4A是可存储于全局数据库354中的示范性信息的图式。如图4A中所展示，全局数据库354可包含一或多个全局数据库条目410、群组表420及进入规则表430。每一全局数据库条目410可存储特定用户的信息。全局数据库条目410可包含行编号字段412、用户识别(ID)字段414、凭证类型字段416及凭证值字段418。
行编号字段412可针对全局数据库354中的一用户包含一特定行。在一些实施方案中，可在多个数据库/表中针对一用户使用等同行编号。跨越多个数据库/表针对一用户使用等同行编号可简化信息的处理及检索。用户ID字段414可存储与用户相关联的识别信息，例如用户的名称、员工编号、联系人信息及/或其它类型的用户信息。凭证类型字段416可识别与用户相关联的特定凭证类型，例如卡凭证类型、个人识别号码(PIN)类型、虹膜扫描类型、指纹类型、话音标志类型及/或另一凭证类型。凭证值418可存储与凭证类型相关联的凭证值，例如进入卡值、PIN值、虹膜扫描数据、指纹数据、话音标志数据及/或另一类型的凭证类型的数据。一用户可与多个凭证类型相关联。在一些实施方案中，在全局数据库354中可给每一凭证类型指派单独行。在其它实施方案中，可将多个凭证类型存储于同一行中。
群组表420可包含识别特定用户群组连同属于每一群组的特定用户的表。举例来说，群组表420可识别为工程师的用户群组、秘书人员用户群组、为技术员的用户群组等等。每一群组可与特定进入规则相关联。进入规则表430可存储各用户群组的进入规则。
虽然图4A展示可存储于全局数据库354中的示范性字段，但在其它实施方案中，全局数据库354相比图4A中所描绘的字段可包含更少的字段、不同的字段、不同布置的字段或额外字段。
图4B是可存储于局部进入规则数据库356中的示范性信息的图式。如图4B中所展示，局部进入规则数据库356可包含一或多个进入规则条目440。每一进入规则条目440可结合一或多个进入实体存储一或多个用户的进入规则信息。进入规则条目440可包含行编号字段442、进入实体字段444及进入规则字段446。
行编号字段442可识别对应于全局数据库354中的用户的与特定进入规则相关联的一或多个行编号。在一些实施方案中，行编号字段442可识别特定用户群组。在其它实 施方案中，行编号字段442可存储对应于全局数据库354中的用户的其它类型的匿名信息(例如，指派给全局数据库354中的用户的字符串)。因此，识别用户的信息可不存储于局部进入规则数据库356中且局部进入规则数据库356可对应于匿名数据库。进入实体字段444可识别与特定进入规则相关联的一或多个进入实体。进入实体可对应于特定区域，例如特定房间；特定进入开口，例如门、窗户、HVAC通风孔及/或另一类型的开口；机器、运输运载工具、电梯及/或电装置；及/或另一类型的进入实体。在一些实施方案中，进入实体字段444可识别与进入实体相关联的特定锁装置250。
进入规则字段446可存储与进入实体及用户群组相关联的一或多个进入规则。进入规则可规定准予进入所需的凭证类型，可规定其间应准予进入的特定时间，及/或可规定为了准予进入而需要满足的其它条件(例如，与系统单元115相关联的特定状态)。作为实例，进入规则可准予所有用户在火灾报警事件期间进入特定进入实体。作为另一实例，进入规则可在系统单元115检测到安全漏洞的情况下拒绝所有用户的进入。作为又一实例，进入规则可仅在与同一或另一系统单元115相关联的第二门关闭的情况下准予进入第一门。
虽然图4B展示可存储于局部进入规则数据库356中的示范性字段，但在其它实施方案中，局部进入规则数据库356相比图4B中所描绘的字段可包含更少的字段、不同的字段、不同布置的字段或额外字段。
图4C是可存储于局部凭证数据库358中的示范性信息的图式。如图4C中所展示，局部凭证数据库358可包含一或多个凭证条目450。每一凭证条目450可存储与特定用户相关联的特定凭证的信息。因此，特定用户可与多个凭证条目450相关联。
行编号452可识别全局数据库354中的与特定用户相关联的特定行编号。因此，识别用户的信息可不存储于局部凭证数据库358中，且局部凭证数据库358可对应于匿名数据库。经散列凭证值454可存储与特定用户相关联的特定经散列凭证值。因此，实际凭证值可不存储于局部凭证数据库358中。经加密局部进入规则密钥456可存储到可经加密的局部进入规则表356的局部进入规则密钥。所述局部进入规则密钥可为未借助未散列凭证值加密，因此不将所述未散列凭证值存储于持久存储器中。当读取器装置240从用户获得凭证值时，可对凭证值进行散列运算且可使用经散列凭证值来识别凭证条目450。可接着使用未散列凭证值来解密经加密局部进入规则密钥，且可使用经解密局部进入规则密钥来解密局部进入规则表。由于系统单元115未存储未散列凭证值，因此如果系统单元115的安全受到危害，那么无法从受危害的系统单元115检索未散列凭证值。
虽然图4C展示可存储于局部凭证数据库358中的示范性字段，但在其它实施方案 中，局部凭证数据库358相比图4C中所描绘的字段可包含更少的字段、不同的字段、不同布置的字段或额外字段。
图5是根据一或多个实施例的用于从全局数据库导出局部数据库的流程图的图式。在一些实施方案中，图5的过程可由控制器210执行。在其它实施方案中，图5的过程中的一些或全部可由与控制器210分离及/或包含控制器210的另一装置或装置群组执行。
图5的过程可包含获得对全局数据库的存取(框510)。在一些实施方案中，系统单元115可包含全局数据库的经加密副本。为了获得对全局数据库的存取，控制器210可能需要从管理员装置130获得口令。可使用所获得的口令来导出用以解密全局数据库的密钥。在其它实施方案中，全局数据库可存储于另一系统单元115中，且另一系统单元115可获得口令并解密全局数据库。控制器210可接着在另一系统单元115处存取经解密全局数据库。在又其它实施方案中，全局数据库可由管理装置130(及/或并非DCS 115的部分的另一装置)维持，且控制器210可在管理装置130处存取全局数据库。可从全局数据库导出局部进入规则表(框520)。举例来说，数据库管理器应用332可存取配置数据库352以识别哪些进入实体与系统单元115相关联，且可从进入规则表430获得与所识别进入实体有关的进入规则。数据库管理器应用332可基于从进入规则表430获得的信息而产生局部进入规则数据库356。数据库管理器应用332可产生局部进入规则密钥且可借助所产生的局部进入规则密钥加密局部进入规则数据库356。
可从全局数据库导出局部凭证表(框530)。举例来说，数据库管理器应用332可存取所产生的局部进入规则数据库356以确定哪些用户与包含于局部进入规则数据库356中的进入规则相关联，及基于所述进入规则为了进入需要每一用户的哪些凭证类型。数据库管理器应用332可为每一用户产生一行且可从全局数据库获得每一用户及与所述用户相关联的每一凭证类型的凭证值。可使用所述凭证值来加密局部进入规则密钥，且可将经加密局部进入规则密钥存储于与用户相关联的行中。此外，可使用单向散列(例如SHA-256散列，其针对任何长度的输入产生256位经散列值)对所述凭证值进行散列运算。在其它实施方案中，可使用不同类型的散列过程。
在其它实施方案中，系统单元115不获得凭证值，且局部凭证表由(举例来说)另一系统单元115或由管理装置130远程地产生。作为一实例，在一些实施方案中，第一系统单元115可包含全局数据库354且第二系统单元115可不包含全局数据库354。第一系统单元115可导出第一系统单元115的第一局部进入规则表356及第一局部凭证表358。第一系统单元115可进一步导出第二系统单元115的远程局部进入规则表356及 远程局部凭证表358。在一些实施方案中，第一系统单元115可将远程局部进入规则表356及远程局部凭证表358提供到第二系统单元115。在其它实施方案中，第一系统单元115可维持远程局部进入规则表356及远程局部凭证表358，且第二系统单元115可需要在第一系统单元115处存取远程局部进入规则表356及远程局部凭证表358。
图6是根据一或多个实施例用于更新全局数据库的流程图的图式。在图6中，全局数据库被配置为分布式数据集，其中所述全局数据库的经加密版本存储于与所述分布式数据集相关联的系统单元115中。在一些实施方案中，全局数据库可分布于所有系统单元115中。在其它实施方案中，一些系统单元115可不与全局数据库分布式数据集相关联且因此可不包含全局数据库的副本。在一些实施方案中，图6的过程可由控制器210执行。在其它实施方案中，图6的过程中的一些或全部可由与控制器210分离及/或包含控制器210的另一装置或装置群组执行。
图6的过程可包含验证从管理装置的登录(框610)。举例来说，管理员可确定需要更新全局数据库354。举例来说，管理员可需要添加用户、改变用户的凭证、改变特定进入实体的进入规则等等。管理员可使用由管理员供应的口令登录到特定系统单元115中。可接收对全局数据库的更新(框620)并将其分布到分布式系统中的其它装置(630)。举例来说，系统单元115可从管理装置354接收对全局数据库354的更新，且分布层340可在DCS 110中的其它系统单元115中分布对全局数据库345的局部副本的更新。
可解密全局数据库的有关部分(框640)，且可更新全局数据库(框650)。可使用所述更新来确定全局数据库354的哪一部分需要被解密。举例来说，对特定行编号412的更新可仅要求全局数据库354的包含特定行编号412的一部分需要被解密。类似地，对群组表420或进入规则表430的更新可分别仅要求对群组表420或进入规则表430的解密。可借助从管理口令导出的全局数据库密钥来加密全局数据库354，且可接收从管理装置130接收的管理口令，使用其来导出全局数据库密钥，且可使用全局数据库密钥来解密全局数据库354的所确定有关部分。在解密之后，可基于所接收的更新而更新全局数据库354。类似地，可在更新已被分布到的其它系统单元115处对全局数据库354的局部副本执行更新。
可做出关于更新是否与局部进入规则表有关的确定(框655)。举例来说，接收到更新的每一特定系统单元115处的数据库管理器应用332可确定所述更新是否包含与特定系统单元115相关联的进入实体。如果所述更新与局部进入规则表有关(框655-是)，那么可在特定系统单元115处更新局部进入规则数据库356(框660)。如果所述更新不与局部进入规则表有关(框655-否)，那么处理可继续到框665。
可做出关于更新是否与局部凭证表有关的确定(框665)。举例来说，接收到更新的每一特定系统单元115处的数据库管理器应用332可确定所述更新是否包含特定系统单元115的局部进入规则数据库356中所包含的用户。如果所述更新与局部凭证表有关(框665-是)，那么可在特定系统单元115处更新局部凭证数据库358(框670)。如果更新不与局部凭证表有关(框665-否)，那么处理可继续到框680。在其它实施方案中，局部进入规则表及/或局部凭证表可包含DCS 110的所有用户而非与特定系统单元115有关的用户的信息。
在任何更新之后，可移除全局数据库的经解密部分(框680)。举例来说，每一特定系统单元115处的数据库管理器应用332可将曾用以存储全局数据库354的经解密部分的存储器空间解除分配。在一些实施方案中，可另外将经解除分配的存储器空间彻底擦除。
图7是根据一或多个实施例用于更新局部进入规则表的流程图的图式。在一些实施方案中，图7的过程可由控制器210执行。在其它实施方案中，图7的过程中的一些或全部可由与控制器210分离及/或包含控制器210的另一装置或装置群组执行。
图7的过程可包含使用局部凭证密钥解密局部凭证表(框710)。举例来说，局部凭证表358可使用局部凭证密钥局部地加密且可经解密以便执行更新。可在局部凭证表中更新经散列凭证值(框720)。举例来说，如果更新改变用户的凭证值，那么可产生新的经散列凭证值并将其存储于与用户相关联的经散列凭证值字段454中。如果凭证值经改变，那么也可借助新凭证值重新加密局部进入规则密钥。因此，可从全局数据库获得局部进入规则密钥(框730)，且可借助未散列凭证值加密局部进入规则密钥并将其存储于局部凭证表中(框740)。
图8是根据一或多个实施例用于更新局部凭证表的流程图的图式。在一些实施方案中，图的过程8可由控制器210执行。在其它实施方案中，图8的过程中的一些或全部可由与控制器210分离及/或包含控制器210的另一装置或装置群组执行。
为了更新局部进入规则数据库356，可需要解密局部进入规则数据库356。然而，由于局部进入规则密钥仅以借助用户的凭证值的经加密版本存储于局部凭证数据库358中，因此可需要从全局数据库获得局部进入规则密钥。因此，图8的过程可包含从全局数据库获得局部进入规则密钥(框810)且借助局部进入规则密钥解密局部进入规则表(框820)。可更新(框830)并加密(框840)局部进入规则表。在加密局部进入规则表之后，可从系统单元115删除局部进入规则密钥的未加密版本。
图9是根据一或多个实施例用于使用局部凭证表及局部进入规则表的流程图的图 式。在一些实施方案中，图9的过程可由控制器210执行。在其它实施方案中，图9的过程中的一些或全部可由与控制器210分离及/或包含控制器210的另一装置或装置群组执行。
图9的过程可包含从读取器装置获得凭证值(框910)。举例来说，用户可通过将凭证提供到读取器装置240而请求对进入实体的进入，所述用户可执行以下各项中的一或多者：将小键盘字符序列键入到小键盘中，接近读卡器放置进入卡、将虹膜放置在虹膜扫描读取器前方，将手指放置在指纹扫描仪上，向麦克风中讲话以提供话音样本，面向与面部辨识软件相关联的摄像机，及/或提供另一类型的凭证值。读取器装置240可将凭证值提供到控制器210，可提供来自小键盘的PIN、来自读卡器的卡值、从虹膜扫描获得的特征向量、从指纹扫描获得的特征向量、从话音样本提取的特征向量、从面部辨识软件获得的面部辨识ID及/或另一类型的凭证值。所获得的凭证值可与特定进入实体(例如，由控制器210控制的特定门)相关联。
可对所获得的凭证值进行散列运算，且可在局部凭证表中识别一条目(框920)。举例来说，进入控制逻辑322可对所获得的凭证值进行散列运算且可试图在局部凭证数据库358中定位匹配经散列凭证值的凭证条目450。如果未找到匹配的条目，那么可拒绝进入。另外或替代地，如果未找到匹配的条目，那么可产生报警、给用户的错误消息及/或另一类型的事件。此外，在一些情形中，可甚至在未找到匹配的条目的情况下也可准予进入，且可结合所准予的进入而产生报警、日志事件及/或另一类型的事件。
如果找到匹配的条目，那么可识别与所匹配的条目相关联的所使用ID(框940)。举例来说，进入控制逻辑322可识别与所识别局部凭证条目450相关联的行编号。可使用所述行编号在局部进入规则数据库358中识别所述用户的条目。
可使用所获得的未散列凭证值解密存储于所识别凭证条目450中的局部进入规则密钥(框950)，且可借助经解密局部进入规则密钥来解密局部进入规则表(框960)。举例来说，进入控制逻辑322可借助未散列凭证值解密局部进入规则密钥。未散列凭证值可不由系统单元115存储。举例来说，可从读取器装置240获得未散列凭证值，使用其来解密局部进入规则密钥，且接着将其从系统单元115删除。进入控制逻辑322可接着借助经解密局部进入规则密钥来解密局部进入规则数据库356。可使用经解密局部进入规则表来应用一或多个进入规则以确定是否准予进入(框970)。举例来说，进入控制逻辑322可确定局部进入规则数据库356中是否存在针对所识别用户的条目。如果不存在针对所识别用户的条目，那么可拒绝进入。如果针对所述用户识别出一条目，那么对于与所获得的凭证值相关联的进入实体，可做出关于进入规则是否准予所述用户进入的确定。作 为一实例，进入规则可规定如果接收到凭证值的特定组合(例如，卡值与PIN)，那么将准予用户进入。作为另一实例，进入规则可规定在一天的特定时间及/或一周的特定日期间将准予用户进入。作为又一实例，进入规则可规定仅在存在另一用户的情况下将准予用户进入(例如，基于从另一用户接收的凭证值)。作为又一实例，进入规则可规定仅在另一装置处于特定条件中(例如，与另一系统单元115相关联的门传感器指示门为关闭的)的情况下将准予用户进入。如果用户被准予进入，那么门控制逻辑应用324(及/或另一进入控制应用)可将锁装置250开锁，可操作致动器装置270以打开门，激活特定装置，例如电梯等等。在一些实施方案中，如果不满足进入规则，那么可基于存储于局部进入规则数据库356中的信息而给用户提供解释为什么不准予进入的消息。
图10是图解说明系统单元115的示范性物理布局1000的平面布置图。如图10中所展示，物理布局1000可包含墙壁1010、门1020、控制器210、读取器装置240、锁装置250、传感器260及致动器270。
墙壁1010包封安全区域1030，例如建筑物中的房间。门1020为用户提供到安全区域1030的进入。在此实施例中，控制器210安装在安全区域1030内侧。在其它实施例中，控制器210可安装在非安全区域中。读取器装置240安装在安全区域1030外侧且锁装置250在安全区域1030内侧安装到墙壁1010及门1020。在此实例中，传感器260为安装在安全区域1030外侧的监视装置。在此实例中，致动器270包含用于控制监视装置的视域的电动机。
当用户将凭证键入到读取器装置240中(例如，通过键入PIN、扫描进入卡、扫描虹膜等等)时，控制器210可使用所述凭证来验证用户的身份且可在局部凭证表358中及随后在局部进入规则数据库356中执行查找以基于用户的身份及进入规则而确定是否准予用户的进入。如果控制器210确定应准予进入，那么控制器210激活锁装置250以将门1020开锁，因此准予用户进入安全区域1030。
虽然图10展示物理布局1000的示范性组件，但在其它实施方案中，物理布局1000相比图10中所描绘的组件可包含更少的组件、不同的组件、额外组件或不同布置的组件。另外或替代地，物理布局1000中的任一组件(或组件群组)可执行描述为由物理布局1000一或多个其它组件执行的任务。
图11是图解说明DCS 110的示范性物理布局1100的平面布置图。如图11中所展示，物理布局1100可包含具有房间1120-A到1120-F的建筑物1110，及高危险区域1130。局部网络1130(例如以太网络)可互连系统单元115-A到115-F。在此实例中，系统单元115-A控制进入到房间1120-A中的门；系统单元115-B控制进入到房间1120-B中的外 侧门；系统单元115-C控制从房间1120-B到房间1120-C的一个门，系统单元115-D控制从房间1120-C到房间1120-D的一个门；系统单元115-E控制从房间1120-D到房间1120-E的一个门；系统单元115-F控制进入到房间1120-F中的外侧门，系统单元115-G控制进入到房间1120-E中的一个门及进入到房间1120-A中的一个门；且系统单元115-H控制进入到高危险区域1130中的门。高危险区域1130可位于建筑物1110外侧且因此可被视为具有较高安全危险。
在此实例中，系统单元115-A到115-H不包含中央控制装置(例如，服务器)且可包含一或多个分布式数据集。举例来说，系统单元115-A到115-H可维持分布式全局数据库及/或分布式事件日志。假定管理员使用管理装置130登录到系统单元115-A中以添加用户并添加与用户相关联的凭证。可将那些所添加的凭证分布到控制到所述用户可以经由图5-8中所描述的过程进入的房间的门的其它系统单元115。
虽然图11展示物理布局1100的示范性组件，但在其它实施方案中，物理布局1100相比图11中所描绘的组件可包含更少的组件、不同的组件、额外组件或不同布置的组件。举例来说，在另一实施例中，中央控制装置(例如，服务器)可结合一或多个分布式数据集一起使用。另外或替代地，物理布局1100的一或多个组件可执行描述为由物理布局1100的一或多个其它组件执行的一或多个任务。
图12A-12D是图11中所描述的系统的全局数据库的示范性实施方案。图12A图解说明其中全局数据库对应于分布式数据集的全局数据库实施方案1210。在全局数据库实施方案1210中，每一系统单元115包含全局数据库354的局部副本且从全局数据库354导出局部进入规则数据库356及局部凭证数据库358。
图12B图解说明全局数据库实施方案1220，其中特定系统单元115导出另一系统单元115的局部进入规则数据库356及局部凭证表358。举例来说，由于系统单元115-H位于高危险区域1130中，因此系统单元115-H可不配置有全局数据库354。而是，系统单元115-A(或系统单元115-A到115-G中的另一者)可导出系统单元115-H的局部进入规则数据库356-H及局部凭证数据库358-H且可将局部进入规则数据库356-H及局部凭证数据库358-H提供到系统单元115-H。
图12C图解说明全局数据库实施方案1230，其中一个系统单元115存储全局数据库354且使得其它系统单元115能够存取全局数据库354。举例来说，系统单元115-A可存储全局数据库354且可从全局数据库354导出局部进入规则数据库356-A及局部凭证数据库358-A。系统单元115-B可通过在系统单元115-A处存取全局数据库354而从全局数据库354导出局部进入规则数据库356-B及局部凭证数据库358-B。类似地，系 统单元115-C到115-H通过在系统单元115-A处存取全局数据库354而从全局数据库354分别导出局部进入规则数据库356-B到356-H及局部凭证数据库358-B到358-H。或者，如在图12B中，系统单元115-A可导出系统单元115-H的局部进入规则数据库356-H及局部凭证数据库358-H且可将局部进入规则数据库356-H及局部凭证数据库358-H提供到系统单元115-H。
图12D图解说明全局数据库实施方案1240，其中管理装置130存储全局数据库354且使得系统单元115能够存取全局数据库354。因此，系统单元115-A到115-H通过在管理装置130处存取全局数据库354而从全局数据库354分别导出局部进入规则数据库356-A到356-H及局部凭证数据库358-A到358-H。
图13A-13C是根据一或多个实施例的示范性数据库使用情景的图式。图13A图解说明图11中所展示的系统的全局数据库354的部分。虽然图13A中未展示，但全局数据库354还可包含群组表420及/或进入规则表430。如图13A中所展示，全局数据库354可在每一行中存储特定用户的特定凭证类型及对应凭证值。尽管出于说明性目的而在图13A中针对与行ID＝21相关联的用户展示多个行，但实际上可在全局数据库354中将用户行ID＝21的不同凭证类型存储于同一行中。尽管在图13A-13C中，使用全局数据库354中的行ID作为匿名用户识别符，但在其它实施方案中，可使用不同类型的匿名用户识别符。
图13B图解说明系统单元115-G的局部进入规则数据库356-G。如图11中所展示，系统单元115-G可控制两个门：进入到房间1120-E中的门及进入到房间1120-A中的门。因此，当从全局数据库354导出局部进入规则数据库356-G时，可包含与房间1120-A及1120-E相关联的进入规则。图13B中展示局部进入规则数据库356-G中的四个条目。第一条目规定所有用户可借助进入卡在8AM到5PM的时间之间进入房间1120-E。第二条目规定全局数据库中与行21、55及76相关联的用户可借助进入卡与PIN的组合在非营业时间期间进入房间1120-E。第三条目规定全局数据库中与行44、55、66及78相关联的用户可借助虹膜扫描在所有时间进入房间1120-A。第四条目规定全局数据库中与行33、44及66相关联的用户可借助进入卡与虹膜扫描的组合在从5PM到8AM的时间中进入房间1120-A。
图13C图解说明系统单元115-G的局部凭证数据库358-G。图13C中展示局部凭证数据库358-G中的四个条目。第一条目包含全局数据库中与行ID＝21相关联的用户的经散列卡凭证值及借助未散列凭证值(值40APCE)加密的局部进入规则密钥。第二条目包含全局数据库中与行ID＝21相关联的用户的为卡凭证值与PIN的组合的经散列值及借助 为卡凭证值40APCE与PIN值1234的组合的密钥加密的局部进入规则密钥。第三条目包含全局数据库中与行ID＝44相关联的用户的虹膜扫描值的经散列版本及借助未散列虹膜扫描凭证值加密的局部进入规则密钥。第四条目包含全局数据库中与行ID＝44相关联的用户的为卡凭证值与虹膜扫描值的组合的经散列值及借助为用户行ID＝44的卡凭证值与虹膜扫描值的组合的密钥加密的局部进入规则密钥。
假定用户行ID＝21想要在非营业时间期间进入房间1120-E。用户可将他的卡放在紧挨房间1120-E的门的读取器装置240上，且读取器装置240可从所述卡检索卡凭证值40APCE。读取器装置240可将凭证值40APCE提供到系统单元356-G的控制器210。控制器210可确定读取器装置240与房间1120-E相关联。控制器210可对所述凭证值进行散列运算且识别局部凭证数据库358-G中匹配所述经散列值的条目。控制器210可识别用户行ID＝21且可使用所获得的凭证值40APCE来解密局部进入规则密钥。控制器210可接着使用经解密局部进入规则密钥来解密局部进入规则数据库356-G。
一旦局部进入规则数据库356-G被解密，控制器210便可识别针对房间1120-E的包含用户21的条目。由于控制器210能够识别多个条目(第一条目及第二条目)，因此控制器210可基于当前时间而选择第二条目。控制器210可确定用户需要提供卡凭证值及PIN两者。由于用户未提供PIN，因此可不准予用户的进入。在一些实施方案中，可通过(举例来说)告知用户需要键入PIN而告知用户关于为什么不准予进入。如果用户重新扫描卡并在特定时间周期内键入PIN，那么可重复所述过程，控制器210可将到房间1120-E的门开锁。
在前述说明书中，已参考附图描述了各种优选实施例。然而，将显而易见，可对本发明做出各种修改及改变且可实施额外实施例，此并不背离如所附权利要求书中所陈述的本发明的较宽广范围。因此，应将本说明书及图式视为具有说明性意义而非限制性意义。
举例来说，尽管已关于图5-9描述了若干系列的框，但在其它实施方案中可修改框的次序。此外，可并行地执行非相依框。
将明了，在图中所图解说明的实施方案中，可以许多不同形式的软件、固件及硬件来实施如上文所描述的系统及/或方法。用于实施这些系统及方法的实际软件代码或专门化控制硬件并不限于所述实施例。因此，在不参考特定软件代码的情况下来描述所述系统及方法的操作及行为--应理解，软件及控制硬件可经设计以基于本文中的描述而实施所述系统及方法。
此外，可将上文所描述的某些部分描述为执行一或多个功能的组件。如本文中所使 用，组件可包含硬件(例如处理器、ASIC或FPGA)或硬件与软件的组合(例如，执行软件的处理器)。
术语“包括(comprises及/或comprising)”规定所陈述特征、整数、步骤或组件的存在，但并不排除一或多个其它特征、整数、步骤、组件或其群组的存在或添加。
本申请案中所使用的元件、动作及指令不应理解为对所述实施例至关重要或必不可少，除非明确如此描述。而且，冠词“一”打算包含一或多个项目。此外，短语“基于”打算意指“至少部分地基于”，除非另有明确陈述。