접근 제어

Access control
교통 엔지니어링에서 도로 접근에 대한 규정은 접근 관리를 참조하십시오.
지문을 사용한 일반적인 물리적 보안 액세스 제어.
선원은 차량을 군사 시설로 진입시키기 전에 신분증을 확인한다.

물리적 보안 및 정보 보안 분야에서 액세스 제어(AC)는 장소 또는 다른 리소스에 대한 액세스를 선택적으로 제한하는 것이며 액세스 관리는 프로세스를 설명합니다.액세스란 소비, 입력 또는 사용을 의미합니다.리소스에 액세스할 수 있는 권한을 권한이라고 합니다.

잠금과 로그인 credential은 접근컨트롤의 두 가지 유사한 메커니즘입니다.

물리적 보안

주요 기사:물리적 보안
Q-Lane 턴스타일 제조 드롭 암 광 턴스타일 LLc
뉴욕 지하철 지하 출입구

지리적 접근 통제는 직원(: 국경 경비대, 경비원, 개찰구) 또는 개찰구와 같은 장치를 통해 시행될 수 있다.이 접근 제어를 회피하기 위한 울타리가 있을 수 있습니다.엄밀한 의미에서 접근컨트롤의 대안(접근 자체를 물리적으로 제어)은 허가된 존재 여부를 확인하는 시스템입니다.예를 들어, 을 참조해 주세요.티켓 컨트롤러(수송).변형은 상점(체크아웃) 또는 [1]국가의 출구 제어입니다.

출입통제라는 용어는 재산, 건물 또는 방에 대한 출입을 허가된 사람에게 제한하는 관행을 말합니다.물리적 접근 제어는 인간(가드, 경비원 또는 접수원)에 의해, 잠금 장치나 열쇠와 같은 기계적 수단이나 맨트라프와 같은 접근 제어 시스템과 같은 기술적 수단을 통해 이루어질 수 있습니다.이러한 환경에서 물리적 키 관리는 기계적으로 키가 있는 영역에 대한 액세스 또는 특정 소규모 [1]자산에 대한 액세스를 더욱 관리하고 모니터링하는 수단으로 사용될 수도 있습니다.

물리적인 접근컨트롤은 누가, 어디서, 언제 할 것인가의 문제입니다.액세스 제어 시스템은 출입이 허가된 사람, 출입이 허가된 장소 및 출입이 허가된 시기를 결정한다.과거에는 키와 잠금을 통해 부분적으로 이 작업을 수행했습니다.문이 잠겨 있는 경우, 잠금이 어떻게 설정되어 있는지에 따라 키를 가진 사람만이 문을 통해 들어갈 수 있습니다.기계식 잠금 장치 및 키는 키 홀더를 특정 시간 또는 날짜로 제한할 수 없습니다.기계식 잠금 장치 및 키는 특정 도어에 사용된 키의 기록을 제공하지 않으며, 키를 쉽게 복사하거나 권한이 없는 사람에게 양도할 수 있습니다.기계식 키를 분실하거나 키 홀더가 더 이상 보호 영역을 사용할 수 있는 권한이 없는 경우 잠금을 [2]다시 설정해야 합니다.

전자 접근 제어

핸드 지오메트리 스캐너를 통한 물리적 보안 액세스 제어
ACT 리더를 사용한 리모컨 기반 접근 제어의 예

전자 액세스 제어(EAC)는 컴퓨터를 사용하여 기계식 잠금 장치 및 키의 한계를 해결합니다.다양한 자격 증명을 사용하여 기계 키를 교체할 수 있습니다.전자 접근 제어 시스템은 제시된 자격 증명을 기반으로 접근 권한을 부여합니다.출입이 허가되면 미리 정해진 시간 동안 문이 잠금 해제되고 거래가 기록됩니다.접근이 거부되면 도어는 잠긴 상태로 유지되고 접근 시도가 기록됩니다.또한 시스템은 도어가 강제로 열리거나 잠금 [1]해제된 후 너무 오래 열린 상태로 유지되는 경우 도어와 알람을 모니터링합니다.

인증 정보가 리더에게 제시되면 리더는 인증 정보의 정보(일반적으로 숫자)를 매우 신뢰할 수 있는 프로세서인 제어판에 전송합니다.제어판은 인증 정보의 번호를 액세스 제어 목록과 비교하고 제시된 요청을 허용 또는 거부하며 트랜잭션 로그를 데이터베이스로 보냅니다.액세스 컨트롤 리스트에 근거해 액세스가 거부되면, 도어는 잠긴 채로 있습니다.자격 증명과 접근 제어 목록 사이에 일치하는 사항이 있으면 제어판이 릴레이를 작동시켜 도어를 잠금 해제합니다.또한 제어판은 알람을 방지하기 위해 도어 열기 신호를 무시합니다.대부분의 경우 리더는 접근이 거부되면 빨간색 LED가 깜박이고 접근이 [3]허가되면 녹색 LED가 깜박이는 등의 피드백을 제공합니다.

위의 설명은 단일 요인 트랜잭션을 나타냅니다.credential을 전달할 수 있기 때문에 접근컨트롤 리스트는 파기됩니다.예를 들어, Alice는 서버룸에 대한 접근 권한을 가지고 있지만 Bob은 없습니다.앨리스는 밥에게 자신의 자격증을 주거나, 아니면 밥이 가져갑니다.이제 그는 서버룸에 접속할 수 있게 되었습니다.이를 방지하기 위해 2단계 인증을 사용할 수 있습니다.2요소 트랜잭션에서는 제시된 credential과 두 번째 credential이 액세스 허용에 필요합니다.또 다른 요인은 PIN, 두 번째 credential, 오퍼레이터 개입 또는 바이오메트릭 [3]입력입니다.

인증정보에는 [4]다음 3가지 유형(요인)이 있습니다.

  • 패스워드, 패스워드, PIN 등 사용자가 알고 있는 것
  • 스마트 카드나 키 리모컨같은 사용자가 가지고 있는 것
  • 지문과 같은 사용자가 바이오메트릭 측정에 의해 검증되는 것

패스워드는 정보 시스템에 접근하기 전에 사용자의 신원을 확인하는 일반적인 수단입니다.게다가 인증의 4번째 요소, 즉 아는 사람이 인식되고 있습니다.이것에 의해, 그러한 시나리오에 대응할 수 있도록 시스템이 설정되어 있는 상황에서, 다른 사람이 인증의 인적 요소를 제공할 수 있습니다.예를 들어, 사용자가 암호를 가지고 있지만 스마트 카드를 잊어버렸을 수 있습니다.이러한 시나리오에서 사용자가 지정된 코호트를 알고 있는 경우 코호트는 해당 사용자의 기존 요소와 조합하여 스마트 카드와 비밀번호를 제공할 수 있으며, 따라서 누락된 credential을 가진 사용자에게 총 3가지 요소를 제공하여 액세스를 [citation needed]허용할 수 있습니다.

자격 증명

credential은 개인이 특정 물리적 시설 또는 컴퓨터 기반 정보 시스템에 액세스할 수 있도록 하는 물리적/유형 객체, 지식 또는 개인의 물리적 존재의 한 측면입니다.일반적으로 자격 증명은 사용자가 알고 있는 정보(번호나 PIN 등), 가지고 있는 정보(액세스 배지 등), 가지고 있는 정보(바이오메트릭 기능 등), 수행하는 작업(측정 가능한 행동 패턴) 또는 이러한 항목의 조합입니다.이를 멀티팩터 인증이라고 합니다.일반적인 자격 증명은 액세스 카드 또는 키 리모컨이며, 새로운 소프트웨어는 사용자의 스마트폰을 액세스 장치로 [5]바꿀 수도 있습니다.

마그네틱 스트라이프, 바코드, Wiegand, 125kHz 근접, 26비트 카드 스위프, 컨택 스마트 카드, 비접촉형 스마트 카드 등 많은 카드 기술이 있습니다.또, ID 카드보다 콤팩트하고, 키 링에 접속할 수 있는 키홈도 준비되어 있습니다.바이오메트릭 기술은 지문, 얼굴 인식, 홍채 인식, 망막 스캔, 음성, 손 기하학을 포함한다.최신 스마트폰에 내장된 바이오메트릭 기술은 [6]모바일 기기에서 실행되는 액세스 소프트웨어와 함께 자격 증명으로 사용될 수도 있습니다.기존의 카드 액세스 테크놀로지 외에 근거리 통신(NFC), Bluetooth 저전력, UWB(Ultra-wide-band)의 새로운 테크놀로지도, 시스템 액세스나 빌딩 [7][8][9]액세스용의 유저의 credential을 리더에게 전달할 수 있습니다.

접근 제어 시스템 컴포넌트

다양한 제어 시스템 구성 요소

액세스 컨트롤 시스템의 컴포넌트는 다음과 같습니다.

  • 액세스 제어판(컨트롤러라고도 함)
  • 출입문, 개찰구, 주차 게이트, 엘리베이터 또는 기타 물리적 장벽과 같은 출입 통제된 출입구
  • 출입구 근처에 설치된 리더(출구도 통제되는 경우에는 출입구 반대편에 보조 리더를 사용)
  • 전동식 도어 타격 및 전자파 잠금 장치 의 잠금 하드웨어
  • 도어 위치 모니터링을 위한 자기 도어 스위치
  • 출력을 허용하기 위한 Request-to-Exit(RTE; 요청에서 출구) 디바이스.RTE 버튼을 누르거나 모션 디텍터가 도어의 움직임을 감지하면 도어가 열리는 동안 도어 알람이 일시적으로 무시됩니다.전동 잠금 해제 없이 문을 나가는 것을 기계식 프리 출구라고 합니다.이것은 중요한 안전 기능입니다.퇴출 시 전기적으로 잠금을 해제해야 하는 경우에는 퇴출 요청 장치도 [10]도어를 잠금 해제합니다.

액세스 제어 토폴로지

일반적인 액세스 컨트롤 도어 배선
인텔리전트 리더 사용 시 액세스 컨트롤 도어 배선

액세스 컨트롤 결정은 credential을 액세스컨트롤 목록과 비교하여 이루어집니다.이 검색은 호스트 또는 서버, 액세스 제어판 또는 판독기에서 수행할 수 있습니다.액세스 컨트롤 시스템의 개발에서는, 중앙 호스트로부터 시스템의 가장자리, 또는 리더에의 룩 아웃이 착실하게 퍼지는 것이 관찰되고 있습니다.2009년도의 주요 토폴로지는 허브이며 제어판을 허브로 하고 리더를 스포크로 합니다.조회 및 제어 기능은 제어판에 있습니다.스포크는 시리얼 접속(통상은 RS-485)을 통해 통신합니다.일부 제조업체는 문 앞에 컨트롤러를 배치하여 의사결정을 벼랑 끝으로 내몰고 있습니다.컨트롤러가 IP를 지원하며 표준 네트워크를[11] 사용하여 호스트 및 데이터베이스에 연결합니다.

리더의 종류

액세스 컨트롤 리더는 실행할 [12]수 있는 기능에 따라 분류할 수 있습니다.

  • 기본(비인텔리전트) 리더: 카드 번호 또는 PIN을 읽고 제어판에 전송하기만 하면 됩니다.생체식별 시에는 사용자의 ID번호를 출력한다.일반적으로 제어판에 데이터를 전송하기 위해 Wiegand 프로토콜을 사용하지만 RS-232, RS-485 및 Clock/Data와 같은 다른 옵션은 드물지 않습니다.이것은 가장 일반적인 유형의 접근컨트롤 리더입니다이러한 리더의 예로는 RF Tiny by RF FLOGICS, ProxPoint by HID, Parpoint Data 등이 있습니다.
  • 반인텔리전트 리더: 도어 하드웨어(잠금, 도어 접점, 종료 버튼)를 제어하기 위해 필요한 모든 입력 및 출력을 갖추고 있지만 접근을 결정하지는 않습니다.사용자가 카드를 제시하거나 PIN을 입력하면 리더는 메인컨트롤러에 정보를 전송하고 응답을 기다립니다.메인 컨트롤러로의 접속이 중단되면, 그러한 리더는 동작을 정지하거나 기능 저하 모드로 동작합니다.보통 반인텔리전트 리더는 RS-485 버스를 통해 제어판에 연결됩니다.이러한 리더의 예로는 CEM Systems의 InfoProx Lite IPL200과 Apollo의 AP-510이 있습니다.
  • 인텔리전트 리더: 도어 하드웨어를 제어하기 위해 필요한 모든 입력 및 출력을 갖추고 있습니다.또한 독립적으로 접근 결정을 내리는 데 필요한 메모리와 처리 능력도 갖추고 있습니다.반인텔리전트 리더와 마찬가지로 RS-485 버스를 통해 제어판에 연결됩니다.제어판은 설정 업데이트를 전송하고 리더에서 이벤트를 가져옵니다.이러한 리더의 예로는 CEM Systems의 InfoProx IPO200이나 Apollo의 AP-500이 있습니다.또한 "IP 리더"라고 불리는 새로운 세대의 지능형 리더가 있습니다.IP 리더를 탑재한 시스템에는 통상 기존의 제어판이 없습니다.또, 리더는 호스트로서 동작하는 PC와 직접 통신합니다.

일부 리더에는 데이터 수집을 위한 LCD 및 기능 버튼(출석 보고서용 출근/퇴근 이벤트), 인터콤용 카메라/스피커/마이크, 스마트 카드 읽기/쓰기 [citation needed]지원 등의 추가 기능이 있습니다.

액세스 제어 시스템토폴로지

시리얼 컨트롤러를 사용한 액세스 제어 시스템

1. 시리얼 컨트롤러컨트롤러는 시리얼 RS-485 통신회선(또는 일부 구형 시스템에서는 20mA 전류루프를 통해)을 통해 호스트 PC에 접속됩니다.표준 PC에는 RS-485 통신 [citation needed]포트가 없기 때문에 외부 RS-232/485 컨버터 또는 내부 RS-485 카드를 설치해야 합니다.

장점:[citation needed]

  • RS-485 규격으로 최대 1,200m(4,000피트)의 긴 케이블 연결 가능
  • 응답 시간이 비교적 짧습니다.RS-485 회선상의 디바이스의 최대수는 32개로 제한되어 있습니다.즉, 호스트는 각 디바이스로부터 상태 갱신을 빈번히 요구하고 이벤트를 거의 실시간으로 표시할 수 있습니다.
  • 통신회선이 다른 시스템과 공유되지 않기 때문에 높은 신뢰성과 보안성을 제공합니다.

단점:[citation needed]

  • RS-485에서는 스플리터를 사용하지 않는 한 스타 타입 배선을 사용할 수 없습니다.
  • RS-485는 대량의 데이터(구성 및 사용자) 전송에는 적합하지 않습니다.최대 스루풋은 115.2kbit/sec이지만 대부분의 시스템에서는 신뢰성을 높이기 위해 56.2kbit/sec 이하로 다운그레이드됩니다.
  • RS-485 에서는, 호스트 PC 는 같은 포토에 접속되어 있는 복수의 컨트롤러와 동시에 통신할 수 없습니다.따라서 대규모 시스템에서는 컨트롤러로의 설정 및 사용자 전송에 매우 오랜 시간이 걸릴 수 있으며, 이로 인해 정상적인 동작이 방해될 수 있습니다.
  • 경보 발생 시 컨트롤러는 통신을 시작할 수 없습니다.호스트 PC는 RS-485 통신 회선상의 마스터로서 기능해, 컨트롤러는 폴링이 될 때까지 대기할 필요가 있습니다.
  • 용장 호스트 PC 셋업을 구축하려면 특별한 시리얼 스위치가 필요합니다.
  • 기존 네트워크 인프라스트럭처를 사용하는 대신 별도의 RS-485 회선을 설치해야 합니다.
  • RS-485 표준을 충족하는 케이블은 일반 카테고리5 UTP 네트워크 케이블보다 훨씬 비쌉니다.
  • 시스템의 동작은 호스트 PC에 크게 의존합니다.호스트 PC 에 장해가 발생했을 경우, 컨트롤러로부터의 이벤트는 취득되지 않고, 컨트롤러간의 상호 작용을 필요로 하는 기능(안티 패스백)은 동작을 정지합니다.
시리얼 메인 및 서브컨트롤러를 사용한 접근통제 시스템

2. 시리얼 메인 컨트롤러 및 서브 컨트롤러모든 도어 하드웨어는 하위 컨트롤러(도어 컨트롤러 또는 도어 인터페이스)에 연결됩니다.서브컨트롤러는 보통 접근을 결정하지 않고 모든 요구를 메인컨트롤러로 전송합니다.메인 컨트롤러는 보통 16~32개의 서브컨트롤러를 지원합니다.

장점:[citation needed]

  • 호스트 PC는 소수의 메인 컨트롤러와 통신하기만 하면 되기 때문에 작업 부하가 대폭 줄어듭니다.
  • 일반적으로 서브컨트롤러는 단순하고 저렴한 장치이기 때문에 시스템의 전체 비용은 더 낮습니다.
  • 첫 번째 단락에 나열된 다른 모든 이점이 적용됩니다.

단점:[citation needed]

  • 시스템의 동작은 메인 컨트롤러에 크게 의존합니다.메인 컨트롤러 중 하나에 장애가 발생했을 경우 서브 컨트롤러로부터의 이벤트는 취득되지 않으며 서브 컨트롤러 간의 상호작용이 필요한 기능(즉 안티패스백)은 동작을 정지합니다.
  • 일부 서브컨트롤러 모델(통상 저비용)은 독립적으로 접근을 결정할 수 있는 메모리 또는 처리 능력을 갖추고 있지 않습니다.메인 컨트롤러에 장애가 발생하면 서브 컨트롤러는 문이 완전히 잠기거나 잠금 해제되는 성능 저하 모드로 전환되며 이벤트는 기록되지 않습니다.이러한 서브컨트롤러는 피하거나 고도의 보안을 필요로 하지 않는 영역에서만 사용해야 합니다.
  • 메인 컨트롤러는 고가의 경향이 있기 때문에 이러한 토폴로지는 문이 몇 개밖에 없는 여러 리모트 로케이션을 가진 시스템에는 적합하지 않습니다.
  • 첫 번째 단락에 열거된 RS-485 관련 기타 모든 단점이 적용됩니다.
시리얼 메인 컨트롤러와 인텔리전트 리더를 사용한 액세스 제어 시스템

3. 시리얼 메인 컨트롤러 및 인텔리전트 리더모든 도어 하드웨어는 인텔리전트 리더 또는 준인텔리전트 리더에 직접 연결됩니다.리더는 보통 접근을 결정하지 않고 모든 요구를 메인컨트롤러로 전송합니다.메인 컨트롤러에 접속할 수 없는 경우에만 리더는 내부 데이터베이스를 사용하여 접근 결정을 내리고 이벤트를 기록합니다.데이터베이스가 없고 메인 컨트롤러 없이 작동할 수 없는 반지능형 리더는 높은 보안을 필요로 하지 않는 영역에서만 사용해야 합니다.메인 컨트롤러는 보통 16~64개의 리더를 지원합니다.모든 장점과 단점은 두 번째 단락에 열거된 것과 동일합니다.

시리얼 컨트롤러 및 터미널 서버를 사용한 액세스 제어 시스템

4. 터미널 서버를 갖춘 시리얼 컨트롤러컴퓨터 네트워크의 급속한 발전과 사용의 증가에도 불구하고, 액세스 제어 제조업체들은 여전히 보수적이고 네트워크 지원 제품을 성급하게 내놓지 않았다.네트워크 접속이 가능한 솔루션에 대한 요구가 있었을 때, 많은 기업이 번거로움이 적은 옵션을 선택했습니다.즉, LAN 또는 WAN 경유로 시리얼 데이터를 전송하기 위한 디바이스인 터미널 서버를 추가하는 것입니다.

장점:[citation needed]

  • 기존 네트워크 인프라스트럭처를 사용하여 시스템의 개별 세그먼트를 연결할 수 있습니다.
  • RS-485 회선의 설치가 어렵거나 불가능한 경우에 편리한 솔루션을 제공합니다.

단점:[citation needed]

  • 시스템의 복잡성이 증가합니다.
  • 인스톨러용의 추가 작업을 작성합니다.보통 터미널 서버는 액세스컨트롤 소프트웨어의 인터페이스가 아닌 개별적으로 설정할 필요가 있습니다.
  • 컨트롤러와 터미널 서버 간의 시리얼 통신 링크는 병목현상으로 작용합니다.호스트 PC와 터미널 서버 간의 데이터는 10/100/1000Mbit/초의 네트워크 속도로 전송되지만 시리얼 속도는 112.5kbit/초 이하로 느려져야 합니다.시리얼 데이터와 네트워크 데이터 간의 변환 프로세스에서도 추가 지연이 발생합니다.

RS-485 관련 장점과 단점도 모두 적용됩니다.

네트워크 대응 메인 컨트롤러를 사용한 액세스 제어 시스템

5. 네트워크 대응 메인 컨트롤러토폴로지는 두 번째 및 세 번째 단락에서 설명한 것과 거의 동일합니다.같은 장점과 단점이 적용되지만 온보드 네트워크인터페이스에는 몇 가지 중요한 개선점이 있습니다.메인 컨트롤러로의 설정 및 사용자 데이터 전송이 고속화되어 병렬로 이루어질 수 있습니다.이것에 의해, 시스템의 응답성이 향상해, 통상의 조작을 중단하지 않습니다.용장 호스트 PC의 셋업을 실현하기 위해서 특별한 하드웨어는 필요 없습니다.프라이머리 호스트 PC에 장해가 발생했을 경우, 세컨더리 호스트 PC가 네트워크 컨트롤러의 폴링을 개시할 가능성이 있습니다.터미널 서버(제4 단락에 열거)에 의해 초래된 단점도 해소됩니다.

IP 컨트롤러를 사용한 액세스 제어 시스템

6. IP 컨트롤러컨트롤러는 이더넷 LAN 또는 WAN을 통해 호스트 PC에 연결되어 있습니다.

장점:[citation needed]

  • 기존의 네트워크 인프라스트럭처가 충분히 활용되고 있기 때문에 새로운 통신회선을 설치할 필요가 없습니다.
  • 컨트롤러의 수에 관한 제한은 없습니다(RS-485의 경우 회선당 32개).
  • RS-485 설치, 종단, 접지 및 트러블 슈팅에 대한 특별한 지식은 필요하지 않습니다.
  • 컨트롤러와의 통신은 최대 네트워크 속도로 이루어질 수 있습니다.이는 대량의 데이터(수천 명의 사용자가 있는 데이터베이스, 바이오메트릭 레코드를 포함할 수 있음)를 전송하는 경우에 중요합니다.
  • 알람이 발생하면 컨트롤러가 호스트 PC에 대한 연결을 시작할 수 있습니다.이 기능은 불필요한 폴링으로 인한 네트워크트래픽을 줄이기 위해 대규모 시스템에서 중요합니다.
  • 장거리 떨어진 여러 사이트로 구성된 시스템 설치를 단순화합니다.리모트 로케이션에의 접속을 확립하려면 , 기본적인 인터넷 링크만으로 충분합니다.
  • 표준 네트워크 기기를 폭넓게 선택할 수 있어 다양한 상황(파이버, 무선, VPN, 듀얼 패스, PoE)에서 접속 가능

단점:[citation needed]

  • 시스템은, 대량의 트래픽이나 네트워크 기기에 장해가 발생했을 경우의 지연 등, 네트워크 관련의 문제에 취약하게 됩니다.
  • 조직의 네트워크가 제대로 보호되지 않으면 해커가 접근컨트롤러와 워크스테이션에 접근할 수 있게 됩니다.이 위협은 액세스컨트롤 네트워크를 조직의 네트워크에서 물리적으로 분리함으로써 제거할 수 있습니다.대부분의 IP 컨트롤러는 Linux 플랫폼 또는 자체 운영 체제 중 하나를 사용하기 때문에 해킹이 더 어렵습니다.업계 표준 데이터 암호화도 사용됩니다.
  • 허브 또는 스위치에서 컨트롤러까지의 최대 거리(동선 케이블을 사용하는 경우)는 100미터(330피트)입니다.
  • 시스템의 동작은, 호스트 PC에 의해서 다릅니다.호스트 PC에 장애가 발생했을 경우 컨트롤러에서 이벤트가 취득되지 않고 컨트롤러 간의 상호작용이 필요한 기능(안티패스백)이 정지됩니다.그러나 일부 컨트롤러에는 호스트 PC에 대한 의존도를 줄이기 위해 피어 투 피어 통신 옵션이 있습니다.
IP 리더를 사용한 액세스 제어 시스템

7. IP 리더리더는 이더넷 LAN 또는 WAN을 통해 호스트 PC에 연결됩니다.

장점:[citation needed]

  • 대부분의 IP 리더는 PoE를 지원합니다.이 기능을 사용하면 잠금 장치 및 다양한 유형의 디텍터(사용하는 경우)를 포함한 전체 시스템에 배터리 백업 전원을 매우 쉽게 공급할 수 있습니다.
  • IP 리더는 컨트롤러 인클로저의 필요성을 배제합니다.
  • IP 리더를 사용할 때 낭비되는 용량은 없습니다(예를 들어 4도어 컨트롤러가 3도어만 제어하고 있는 경우 미사용 용량의 25%가 됩니다).
  • IP 리더 시스템은 쉽게 확장할 수 있습니다.새로운 메인 컨트롤러나 서브 컨트롤러를 설치할 필요가 없습니다.
  • 1개의 IP 리더에 장해가 발생해도, 시스템의 다른 리더에는 영향이 없습니다.

단점:[citation needed]

  • 보안성이 높은 영역에서 사용하기 위해서는 잠금 및/또는 종료 버튼 배선에 접근하여 침입 가능성을 배제하기 위해 IP 리더는 특별한 입출력 모듈을 필요로 합니다.모든 IP 리더 제조원에 이러한 모듈이 있는 것은 아닙니다.
  • IP 리더는 기본 리더보다 더 정교하기 때문에 외부 설치용으로 특별히 설계되지 않은 한 악천후나 파괴 가능성이 높은 야외에는 설치하지 마십시오.그러한 모델을 만드는 메이커는 몇개인가 있습니다.

IP 컨트롤러의 장점과 단점은 IP 리더에도 적용됩니다.

보안 리스크

지능형 리더 및 IO 모듈 사용 시 액세스 컨트롤 도어 배선

액세스 제어 시스템을 통한 침입의 가장 일반적인 보안 위험은 단순히 합법적인 사용자를 따라 문을 통과하는 것으로, 이를 테일게이트라고 합니다.대부분의 경우 합법적인 사용자가 침입자를 위해 문을 붙잡습니다.이러한 위험은 사용자 집단의 보안 의식 교육 또는 개찰구와 같은 보다 능동적인 수단을 통해 최소화할 수 있습니다.매우 보안성이 높은 애플리케이션에서는 유효한 [13]식별을 위해 오퍼레이터의 개입이 필요할 수 있는 sally 포트를 사용하여 이 위험을 최소화합니다.

두 번째로 흔한 위험은 문을 지렛대로 여는 것입니다.이것은 스트라이크 또는 높은 유지력 자기 잠금 장치가 있는 적절히 고정된 도어에서는 상대적으로 어렵습니다.완전히 구현된 액세스 제어 시스템에는 강제 도어 모니터링 알람이 포함됩니다.이러한 오류는 효과가 다양하며, 일반적으로 잘못된 긍정 경보가 높거나 데이터베이스 구성이 불량하거나 활성 침입 모니터링이 부족하여 실패합니다.대부분의 최신 접근 제어 시스템에는 특정 [citation needed]시간보다 오랫동안 열려 있는 문을 시스템 관리자에게 알리기 위한 일종의 도어 프롭 알람이 포함되어 있습니다.

세 번째로 흔한 보안 리스크는 자연재해입니다.자연재해로부터의 리스크를 경감하기 위해서, 건물의 구조로부터 네트워크나 컴퓨터 기기의 품질에 이르기까지.조직의 관점에서, 지도부는 모든 위험 계획 또는 사고 대응 계획을 채택하고 이행해야 한다.National Incident Management System에 의해 결정된 사고 계획의 주요 내용은 사고 전 계획, 사고 조치 중, 재해 복구 및 사후 [14]검토가 포함되어야 합니다.

레버리지(지렛대)와 마찬가지로 값싼 칸막이를 뚫는 것입니다.공유 테넌트 공간에서는 분할벽이 취약합니다.같은 노선의 취약성은 사이드 [citation needed]라이트의 파손입니다.

잠금 하드웨어를 스푸핑하는 것은 매우 간단하고 활용하기보다 우아합니다.강한 자석은 전자 잠금 하드웨어에서 솔레노이드 제어 볼트를 작동할 수 있습니다.미국보다 유럽에서 더 널리 사용되는 모터 잠금 장치도 도넛 모양의 자석을 사용하여 이러한 공격을 받기 쉽습니다.또한 대부분의 접근 제어 시스템에는 배터리 백업 시스템이 포함되어 있고 잠금 장치는 거의 항상 도어의 [citation needed]안전한 쪽에 있지만 전류를 제거하거나 추가하여 잠금 장치의 전원을 조작할 수도 있습니다.

액세스 카드 자체는 고도의 공격에 취약한 것으로 판명되었습니다.진취적인 해커들은 사용자의 근접 카드로부터 카드 번호를 캡처하는 휴대용 리더기를 만들었다.해커는 사용자 옆을 지나쳐 카드를 읽은 뒤 문을 지키는 리더에게 번호를 제시하면 된다.이것은, 카드 번호가 암호화되지 않고 클리어 상태로 송신되기 때문에 가능합니다.이를 방지하기 위해 카드와 PIN 등의 듀얼 인증 방식을 항상 사용해야 합니다.

많은 액세스 제어 자격 정보의 고유 일련 번호는 제조 중에 순차적으로 프로그래밍됩니다.시퀀셜 공격이라고 불리는 침입자는 시스템에서 한 번 사용된 credential을 가지고 있으면 시스템에서 현재 승인된 credential을 찾을 때까지 시리얼 번호를 증감할 수 있습니다.[15]위협에 대처하려면 임의의 고유 일련 번호를 사용하여 자격 증명을 주문하는 것이 좋습니다.

마지막으로, 대부분의 전기 잠금 하드웨어는 여전히 기계식 키를 페일오버로 사용합니다.기계식 키 잠금 장치는 [16]범핑에 취약합니다.

알아야 할 원칙

상세정보: 최소특권의 원칙

알아야 할 원칙은 사용자 접근통제 및 권한 부여 절차로 시행될 수 있으며, 그 목적은 권한을 가진 개인만이 [citation needed]직무 수행에 필요한 정보 또는 시스템에 접근할 수 있도록 하는 것입니다.

컴퓨터 보안

상세 정보:컴퓨터 액세스 제어

컴퓨터 보안에서 일반적인 접근컨트롤에는 인증, 인가감사가 포함됩니다.액세스 컨트롤의 보다 좁은 정의는 액세스 승인만을 대상으로 합니다.이 경우 시스템은 이미 인증된 서브젝트로부터의 액세스 요구를 서브젝트에게 액세스 할 수 있는 권한을 바탕으로 허가 또는 거부 결정을 합니다.인증과 접근컨트롤은 보통 1개의 조작으로 결합되기 때문에 접근은 성공한 인증 또는 익명 접근토큰에 따라 승인됩니다.인증방법 및 토큰에는 패스워드, 바이오메트릭 분석, 물리키, 전자키 및 기기, 숨겨진 경로, 사회적 장벽, 인간 및 자동화 [17]시스템에 의한 감시 등이 포함됩니다.

어느 액세스 제어 모델에서도 시스템에서 액션을 실행할 수 있는 엔티티는 서브젝트라고 불리며, 액세스를 제어할 필요가 있는 자원을 나타내는 엔티티는 오브젝트라고 불립니다(「액세스 제어 매트릭스」도 참조).대상과 오브젝트는 모두 인간 사용자가 아닌 소프트웨어 엔티티로 간주해야 합니다.인간 사용자는 자신이 [citation needed]제어하는 소프트웨어 엔티티를 통해서만 시스템에 영향을 미칠 수 있습니다.

일부 시스템은 대상을 사용자 ID와 동일시하기 때문에 기본적으로 사용자에 의해 시작된 모든 프로세스가 동일한 권한을 가지지만 이 수준의 제어는 최소 특권의 원칙을 충족할 정도로 세분화되지 않으며 이러한 시스템에서 말웨어가 확산되는 원인이 됩니다(컴퓨터 보안 [citation needed]참조).

객체 능력 모형과 같은 일부 모델에서는 모든 소프트웨어 엔티티가 잠재적으로 주체 및 [citation needed]객체의 역할을 할 수 있다.

2014년 현재 접근컨트롤 모델은 기능에 근거한 클래스와 Access Control List(ACL; 접근컨트롤 리스트)에 근거한 클래스 중 하나로 분류되는 경향이 있습니다.

  • 능력 기반 모델에서는 객체에 대한 불가항력적인 참조 또는 기능을 보유하면 객체에 대한 접근권이 부여됩니다(자신의 하우스 키를 소유함으로써 자신의 집에 대한 접근권이 부여되는 방법과 거의 유사함). 이러한 접근권은 안전한 채널을 통해 전송됨으로써 다른 당사자에게 전달됩니다.
  • ACL 기반 모델에서 오브젝트에 대한 서브젝트의 액세스는 오브젝트에 관련된 목록에 해당 ID가 표시되는지 여부에 따라 달라집니다(프라이빗 파티의 바운서가 게스트목록에 이름이 표시되는지 여부를 확인하기 위해 ID를 체크하는 방법과 거의 유사합니다).접근은 목록을 편집함으로써 전달됩니다(ACL 시스템에는 다양한 connovio가 있습니다).목록 편집에 대한 책임자와 내용 및 편집 방법에 대한 ns).[citation needed]

기능 기반 모델과 ACL 기반 모델 모두 서브젝트 그룹의 모든 멤버에게 접근권을 부여할 수 있는 메커니즘이 있습니다(많은 경우 그룹은 [citation needed]서브젝트로서 모델화되어 있습니다).

액세스 컨트롤 시스템은 다음과 같은 [citation needed]경우 인가, 식별인증(I&A), 액세스 승인 및 책임같은 필수 서비스를 제공합니다.

  • 허가는 서브젝트가 할 수 있는 것을 지정합니다.
  • 식별 및 인증을 통해 합법적인 주체만 시스템에 로그온할 수 있습니다.
  • 접근 승인 권한 정책에 따라 사용자가 접근이 허용된 리소스와 관련지어 작업 중에 접근 권한을 부여합니다.
  • 어카운터빌리티는 서브젝트(또는 사용자와 관련된 모든 서브젝트)가 수행한 작업을 식별합니다.

액세스 제어 모델

계정에 대한 액세스는 다양한 유형의 [18]제어를 통해 강제할 수 있습니다.

  1. Attribute-based Access Control(ABAC; 속성 기반 접근컨트롤)
    속성(사용자 속성, 자원 속성 및 환경 조건)[19]을 평가하는 정책을 사용하여 접근 권한을 사용자에게 부여하는 액세스 제어 패러다임
  2. 임의 접근 제어(DAC)
    DAC에서는 데이터 소유자가 특정 리소스에 액세스할 수 있는 사용자를 결정합니다.예를 들어 시스템 관리자는 특정 권한에 따라 액세스할 파일 계층을 생성할 수 있습니다.
  3. 그래프 기반 액세스 제어(GBAC)
    RBAC나 ABAC와 같은 다른 접근 방식과 비교하여 GBAC의 주요 차이점은 전체 열거가 아닌 조직 쿼리 언어를 사용하여 접근 권한을 정의한다는 것입니다.
  4. 이력 기반 접근컨트롤(HBAC)
    접근은 질문 당사자의 활동 이력(행동, [20]요청 간격, 요청 내용 등)에 대한 실시간 평가에 기초하여 허용 또는 거부된다.예를 들어, 특정 서비스 또는 데이터 소스에 대한 액세스는 개인 동작(예: 요청 간격이 초당 1개의 쿼리를 초과함)에 따라 허용 또는 거부할 수 있습니다.
  5. 존재 이력 기반 액세스 제어(HPBAC)
    리소스에 대한 접근컨트롤은 요구자가 저장한 존재 레코드에 의해 충족되어야 하는 존재 정책에 따라 정의됩니다.정책은 일반적으로 빈도, 확산 및 규칙성 측면에서 작성됩니다.예를 들어, "요청자가 지난주 내에 k개의 개별 방문을 수행했으며, [21]T시간 이상 간격을 둔 2개의 연속 방문은 없습니다."라고 하는 정책이 있습니다.
  6. Identity-Based Access Control(IBAC; 아이덴티티 기반 접근컨트롤)
    이 네트워크를 사용하면 관리자는 개인의 [22]요구에 따라 액티비티와 액세스를 보다 효율적으로 관리할 수 있습니다.
  7. 격자 기반 액세스 제어(LBAC)
    격자는 오브젝트가 가질 수 있는 보안 수준과 서브젝트가 접근할 수 있는 보안 수준을 정의하는 데 사용됩니다.서브젝트는 서브젝트의 보안 수준이 오브젝트의 보안 수준보다 크거나 같은 경우에만 오브젝트에 액세스할 수 있습니다.
  8. 필수 접근 제어(MAC)
    MAC 에서는, 유저는 자신의 파일에 액세스 할 수 있는 유저를 판단할 자유가 별로 없습니다.예를 들어 사용자의 보안 클리어런스 및 데이터의 분류(비밀, 기밀 또는 최고 기밀)는 신뢰 수준을 정의하기 위한 보안 라벨로 사용됩니다.
  9. 조직 기반 액세스 제어(OrBAC)
    OrBAC 모델을 통해 정책 설계자는 구현과[23] 독립적으로 보안 정책을 정의할 수 있습니다.
  10. Role-Based Access Control(RBased Access Control(RBAC; 롤베이스 액세스컨트롤)
    RBAC 에서는, 직책에 근거해 액세스 할 수 있습니다.RBAC는 오브젝트에 대한 접근을 제공할 때 재량권을 크게 배제합니다.예를 들어 인사담당자는 네트워크 계정을 생성할 수 있는 권한을 가지고 있지 않아야 합니다.네트워크 관리자용으로 예약된 역할이어야 합니다.
  11. RAC(Rule-Based Access Control)
    RAC 방식(Rule-Based Role-Based Access Control(RBAC; 규칙 기반 역할 기반 액세스 제어)이라고도 함)은 대부분 컨텍스트 기반입니다.예를 들어, 학생은 하루 중 특정 시간에만 연구실을 사용할 수 있습니다.학생의 RBAC 기반 정보 시스템 액세스 제어와 시간 기반 랩 액세스 규칙을 조합한 것입니다.
  12. 책임 기반 접근 제어
    정보는 배우 또는 비즈니스[24] 역할에 할당된 책임에 따라 액세스됩니다.

전기 통신

전기통신에서 접근통제라는 용어는 미국 연방표준 1037C[25] 다음과 같은 의미로 정의되어 있습니다.

  1. 통신 시스템의 컴포넌트 사용을 허가 또는 거부하기 위해 사용되는 서비스 기능 또는 기술.
  2. 개인 또는 응용 프로그램이 저장 장치에서 데이터를 가져오거나 저장 장치에 데이터를 배치할 수 있는 권한을 정의하거나 제한하는 데 사용되는 기술입니다.
  3. 개인 또는 응용 프로그램이 저장 장치에서 데이터를 가져오거나 저장 장치에 데이터를 배치할 수 있는 권한의 정의 또는 제한입니다.
  4. Automated Information System(AIS; 자동 정보 시스템)의 리소스에 대한 액세스를 인증된 사용자, 프로그램, 프로세스 또는 기타 시스템으로 제한하는 프로세스.
  5. 사용자 요구를 충족시키기 위해 시스템리소스를 할당하는 자원 컨트롤러에 의해 실행되는 기능.

이 정의는 Federal Standard 1037C의 몇 가지 다른 기술 용어에 따라 달라진다.

어트리뷰트 액세스자

특별한 퍼블릭멤버 메서드– 액세스자(게터라고도 함) 및 뮤테이터 메서드(종종 세터라고 함)를 사용하여 클래스 변수의 변경을 제어함으로써 부정 액세스 및 데이터 파손을 방지합니다.

공공 정책

공공정책에서 접근컨트롤은 시스템('인증')에 대한 접근을 제한하거나 시스템 내 동작을 추적 또는 감시하는('어카운터빌리티') 기능은 보안 또는 사회통제신뢰할 수 있는 시스템을 사용하는 구현 기능입니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ a b c Eugene Schultz, E. (2007). "Risks due to convergence of physical security systems and information technology environments". Information Security Technical Report. 12 (2): 80–84. doi:10.1016/j.istr.2007.06.001.
  2. ^ Niemelä, Harri (2011). "The study of business opportunities and value add of NFC applications in security". theseus.fi. Retrieved 22 March 2019.
  3. ^ a b Newman, Robert (2010). Security and access control using biometric technologies. Boston, Mass.: Course Technology. ISBN 978-1-4354-9667-5. OCLC 535966830.
  4. ^ Federal Financial Institutions Examination Council (2008). "Authentication in an Internet Banking Environment" (PDF). Archived (PDF) from the original on 5 May 2010. Retrieved 31 December 2009.
  5. ^ "MicroStrategy's office of the future includes mobile identity and cybersecurity". Washington Post. 14 April 2014. Archived from the original on 16 February 2014. Retrieved 30 March 2014.
  6. ^ "iPhone 5S: A Biometrics Turning Point?". BankInfoSecurity.com. 16 September 2013. Archived from the original on 11 September 2015. Retrieved 30 March 2014.
  7. ^ "NFC access control: cool and coming, but not close". Security Systems News. 25 September 2013. Archived from the original on 6 April 2014. Retrieved 30 March 2014.
  8. ^ "Ditch Those Tacky Key Chains: Easy Access with EC Key". Wireless Design and Development. 11 June 2012. Archived from the original on 7 April 2014. Retrieved 31 March 2014.
  9. ^ "Kisi And KeyMe, Two Smart Phone Apps, Might Make House Keys Obsolete". The Huffington Post. 26 November 2013. Archived from the original on 11 March 2015.
  10. ^ Rhodes, Brian (2019). "Designing Access Control Guide". ipvm.com. Retrieved 1 October 2019.
  11. ^ "Opening new doors with IP access control – Secure Insights". Secure Insights. 16 March 2018. Retrieved 20 June 2018.
  12. ^ "The Evolution of Access Control". isonas.com. Retrieved 26 September 2019.
  13. ^ Morse, W. D. (1 August 1998). "Physical security of cut-and-cover underground facilities". OSTI 656762. {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)
  14. ^ "Incident Command System :: NIMS Online :: Serving the National Incident Management System (NIMS) Community". 18 March 2007. Archived from the original on 18 March 2007. Retrieved 6 March 2016.
  15. ^ "Smart access control policies for residential & commercial buildings". Archived from the original on 4 July 2017. Retrieved 11 September 2017.
  16. ^ Graham Pulford (17 October 2007). High-Security Mechanical Locks: An Encyclopedic Reference. Butterworth-Heinemann. pp. 76–. ISBN 978-0-08-055586-7.
  17. ^ "User Authentication Methods & Technologies to Prevent Breach". ID R&D. 7 February 2020. Retrieved 8 November 2020.
  18. ^ "Cybersecurity: Access Control". 4 February 2014. Retrieved 11 September 2017.
  19. ^ "SP 800-162, Guide to Attribute Based Access Control (ABAC) Definition and Considerations" (PDF). NIST. 2014. Archived from the original (PDF) on 5 March 2016. Retrieved 8 December 2015.
  20. ^ Schapranow, Matthieu-P. (2014). Real-time Security Extensions for EPCglobal Networks. Springer. ISBN 978-3-642-36342-9.
  21. ^ Pereira, Henrique G. G.; Fong, Philip W. L. (2019). "SEPD: An Access Control Model for Resource Sharing in an IoT Environment". Computer Security – ESORICS 2019. Lecture Notes in Computer Science. Springer International Publishing. 11736: 195–216. doi:10.1007/978-3-030-29962-0_10. ISBN 978-3-030-29961-3. S2CID 202579712.
  22. ^ Sonwane, Abhilash Vijay; Mahadevia, Jimit Hareshkumau; Malek, Sarfaraz Mohammedhanif; Pandya, Sumit; Shah, Nishit Shantibhai; Modhwadiya, Rajesh Hardasbhai (17 March 2015), Identity and policy-based network security and management system and method, USPTO Patent Full-Text and Image Database, archived from the original on 6 November 2015, retrieved 19 June 2022
  23. ^ "OrBAC: Organization Based Access Control – The official OrBAC model website". orbac.org. Archived from the original on 10 June 2017. Retrieved 11 September 2017.
  24. ^ "Archived copy" (PDF). Archived (PDF) from the original on 4 March 2016. Retrieved 18 July 2014.{{cite web}}: CS1 maint: 제목으로 아카이브된 복사(링크)
  25. ^ "Archived copy" (PDF). Archived from the original (PDF) on 8 May 2007. Retrieved 23 January 2007.{{cite web}}: CS1 maint: 제목으로 아카이브된 복사(링크)

외부 링크

  • 액세스 컨트롤 마크업 언어.액세스 제어를 위한 OASIS 표준 언어/모델.XACML도.