访问控制系统、访问控制设备、访问卡和访问控制方法

具体实施方式

下面参考附图来描述本发明的实施例。

图1示出了根据本发明的访问控制系统。以下以基于RFID技术的访问控制系统为例来说明本发明的访问控制系统。但是，本领域的技术人员可以明白，本发明的访问控制系统不限于基于RFID，也可以是基于磁卡、智能卡、非智能卡、IC卡等等的访问控制系统。如图所示，基于RFID技术的访问控制系统1包括访问卡2和一个或多个访问控制设备3-1、3-2、…、3-N(以下有时统称为访问控制设备3)，其中N是等于或大于1的整数。访问卡2可以包括RFID标签。访问控制设备3-1、3-2、…、3-N中的每一个可以包括RFID读取器或RFID读写器。访问控制设备3-1、3-2、…、3-N通过与访问卡2进行射频通信，读取访问卡2中存储的信息，来判定是否许可访问卡2(具体而言是持访问卡2的用户)的访问。

可选地，访问控制系统1还包括一个管理设备4，例如用于对访问卡2进行初始化/修改以及对访问控制设备3-1、3-2、…、3-N进行配置/管理，等等。

应当注意，这里的访问控制系统指的是用于控制对诸如某个场所、设施和设备之类的资源的访问的系统。例如，访问控制系统可以是用于控制进入某建筑物的主入口和各房间的门的系统、控制对某个设备的使用的系统，等等。相应地，访问控制设备可以安装在建筑物入口、房门口、设备上，访问卡可以是门卡、设备使用卡，等等。

图2是示出根据本发明一个实施例的访问卡、访问控制设备和管理设备的框图。

访问卡2可以是RFID标签。访问卡2包括耦合元件201和芯片202。耦合元件201例如是天线，用于通过射频通信发送/接收射频信号。

芯片202包括信息处理和控制单元203以及存储单元204。信息处理和控制单元203对经由耦合元件201接收/发送的射频信号进行处理和控制。

存储单元204包括ID存储子单元2041、密钥存储子单元2042和权限码存储子单元2043。ID存储子单元2041存储有唯一标识该卡的标识码(ID)，该ID一般是在制造卡时就设定好的。密钥存储子单元2042中存储有密钥KA，权限码存储子单元2043中存储有权限码PC(privilegecode)。稍后将详细描述密钥KA和权限码PC的生成。

下面以访问控制设备3-1为例来描述访问控制设备3-1、3-2、…、3-N的结构。访问控制系统1中的其他访问控制设备的结构可与访问控制设备3-1相同或相似。

如图2所示，访问控制设备3-1包括耦合元件301、信息处理单元302、控制单元303、存储单元304和互联上述组件的总线305。

耦合元件301例如是天线，用于通过射频通信发送/接收射频信号。耦合元件301和耦合元件201一起使得访问卡2和访问控制设备3-1能够通过接收/发送射频信号来进行通信。应当注意，由于这里是以RFID为例来说明访问卡和访问控制设备的，因此访问卡和访问控制设备均包括射频通信元件以便在彼此之间发送和/或接收信号。但是，本发明并不限于此。实际上，为了读取卡中存储的信息，只要访问控制设备中存在一个可以读取卡中存储的信息的读卡单元(在RFID的情况下可对应于RFID读取器和/或RFID读写器中的耦合元件等等)即可。在具备写卡功能的访问控制设备的情况下，访问控制设备中还可包括可以对卡中存储的信息进行改写的写卡单元(也可对应于RFID读写器中的耦合元件)。

信息处理单元302用于对经由耦合元件301发送/接收的射频信号进行处理，以便能够以射频信号的形式发送信息并且能够以数字数据的形式将接收到的信息存储在存储单元304中，等等。

控制单元303包括用于对访问卡2进行身份识别的身份识别子单元3031和对访问卡2进行权限判定的权限判定子单元3032。稍后将详细描述身份识别子单元3031和权限判定子单元3032的操作。

存储单元304包括存储主钥KM的主钥存储子单元3041和存储与访问控制设备3-1相对应的验证码(verification code)VC₁的验证码存储子单元3042。稍后将详细描述主钥KM和验证码VC₁。

在访问控制系统1包括管理设备4的情况下，访问控制设备3-1还可包括通信接口306，用于与管理设备4通信。通信接口306可以是网络接口、COM接口、USB接口、蓝牙接口、红外接口，等等。

下面描述在访问控制系统1包括管理设备4的情况下管理设备4的一种示例性配置。如图2所示，管理设备4包括耦合元件401、信息处理单元402、管理单元403、存储单元404、通信接口406、用户界面407和互联上述组件的总线405。

耦合元件401例如是天线，用于通过射频通信发送/接收射频信号。在这里，耦合元件401可用于与访问卡2通信。

信息处理单元402用于对经由耦合元件401发送/接收的射频信号进行处理，以便能够以射频信号的形式发送信息并且能够以数字数据的形式将接收到的信息存储在存储单元404中，等等。

管理单元403包括用于对访问卡进行初始化/修改等的卡初始化/修改子单元4031和用于对访问控制设备进行配置/管理等的访问控制设备配置/管理子单元4032。稍后将更详细描述这些子单元的操作。

存储单元404包括存储主钥KM的主钥存储子单元4041和存储系统内的各个访问控制设备的验证码VC₁至VC_N(以下有时统称为验证码VC)的验证码存储子单元4042。

通信接口406与访问控制设备3-1中的通信接口306一起使得管理设备4和访问控制设备3-1能够相互通信。通信接口406可以是与通信接口306相对应的接口，例如可以是网络接口、COM接口、USB接口、蓝牙接口、红外接口，等等。

用户界面207可以包括各种类型的输入设备，例如键盘、鼠标、触摸板、麦克风等等，以及各种类型的输出设备，例如显示屏、扬声器等等，使得人类用户可以向管理设备4输入指令和数据从而控制管理设备4的各部件的操作并且管理设备4能向用户显示各种信息。

在本发明的一个示例中，访问控制系统1中的访问控制设备3-1、3-2、…、3-N的存储单元中都存储有主钥KM。该主钥可以以任何一种公知的方式预先存储在存储单元304中。例如，在系统包括管理设备4的情况下，主钥KM可由管理设备4统一发放给系统内的各访问控制设备。根据本发明的一个实施例，系统内的各访问控制设备中存储相同的主钥KM。

每张访问卡中存储的密钥可以是其ID与主钥KM的函数。例如，访问卡2的密钥存储子单元2042中存储的密钥KA可以表示为：

KA＝FUNC(ID，KM)                        (式1)

其中ID表示存储在访问卡2的ID存储子单元2041中的标识码，KM表示存储在访问控制设备中的主钥KM，FUNC可以是任何公知的通过ID和主钥计算密钥的函数。

可见，每个访问控制设备中可以只存储一个主钥，而无需像现有技术中那样存储多个ID和相应密钥的对。每张访问卡中也可以只存储一个密钥。

本发明引入了权限码和验证码。首先，对于访问控制设备3-1、3-2、…、3-N中的每个访问控制设备3-i，为其分配一个X位的二进制验证码VC_i(i＝1、2、…、N)，其中X是等于或大于1的整数。并且，规定每个访问控制设备的验证码只有一位为1，其他位都为0。可以使每个访问控制设备的验证码都不同，即1位于不同的位上。但是可以理解，也可以有两个或更多个访问控制设备的验证码是相同的，表明能够被其中一个访问控制设备的判定为有访问权限的访问卡也能被系统内具有相同验证码的另一访问控制设备判定为有访问权限。注意，这里所说的“访问卡(针对某访问控制设备)有访问权限”例如可以等同于“持有该访问卡的用户有权访问由该访问控制设备所控制访问的场所或设施等”。另外，还应当注意，这里以“每个访问控制设备的验证码只有一位为1，其他位都为0”的情况作为示例对本发明的实施例进行了描述。但是，本领域的技术人员可以很容易明白，验证码并不限于这种形式。例如，验证码也可以采取只有一位为0，其他位都为1的形式，在这种情况下，以下所述的函数也可进行相应地改变。这些都不超出本发明的范围。

访问卡2中存储的权限码PC是与系统内的各个访问控制设备的验证码具有相同位数的二进制码，并且是根据这些验证码计算出来的。具体而言，权限码PC是系统内将会判定访问卡有访问权限的那些访问控制设备的验证码的函数。该函数可以表示为：

$\mathrm{PC}=\left(\begin{array}{c}{\mathrm{VC}}_i\\ {\mathrm{VC}}_{i1}\oplus {\mathrm{VC}}_{i2}\oplus ....\oplus {\mathrm{VC}}_{\mathrm{iM}}\end{array}\right)$(式2)

或者

$\mathrm{PC}=\left(\begin{array}{c}{\mathrm{VC}}_i\\ {\mathrm{VC}}_{i1}\left|{\mathrm{VC}}_{i2}\right|....|{\mathrm{VC}}_{\mathrm{iM}}\end{array}\right)$(式3)

其中表示按位异或，|表示按位或，VC_i表示在访问控制设备3-1、3-2、…、3-N中只有唯一一个访问控制设备3-i(1≤i≤N)会允许访问卡访问的情况下，该唯一的访问控制设备的验证码，VC_i1、VC_i2、…、VC_iM表示在访问控制设备3-1、3-2、…、3-N中有两个或更多个访问控制设备3-i1、3-i2、…、3-iM会允许访问卡访问的情况下，这两个或更多个访问控制设备的验证码，其中i1、i2、...、iM是大于等于1且小于等于N的整数。也就是说，在访问卡只有针对系统内的一个访问控制设备的访问权限的情况下，访问卡中的权限码与该一个访问控制设备的验证码相同，而在访问卡具有针对系统内的多个访问控制设备的访问权限的情况下，访问卡中的权限码是这多个访问控制设备的验证码的异或(XOR)函数或者或(OR)函数。

上述式(2)或者式(3)使得在访问控制设备3-1、3-2、…、3-N中，访问卡2将会被访问控制设备3-i(在只有一个访问控制设备允许该访问卡的访问时)或者访问控制设备3-i1、3-i2、…、3-iM(在有两个或更多个访问控制设备允许该访问卡的访问时)判定为有访问权限，但不会被其他访问控制设备判定为有访问权限。

当然，虽然式(2)和式(3)中没有示出，但是很明显，如果访问卡2不具备针对任何访问控制设备的访问权限，则其权限码PC可以被设置为所有位都为0。可以看出，在规定每个访问控制设备的验证码只有一位为1，且所有访问控制设备的验证码不同的情况下，以上两式计算出来的结果是相同的。如果允许一些访问控制设备的验证码相同，则应当采用或(OR)函数。

作为示例，假设N＝4(即系统中有4个访问控制设备)并且X＝4，访问控制设备3-1的验证码VC₁是0001，访问控制设备3-2的验证码VC₂是0010，访问控制设备3-3的验证码VC₃是0100，访问控制设备3-4的验证码VC₄是1000。注意以上N和X的具体数值只是示例，可以根据需要任意选取其他的值，并且N和X的数值也可以不相等。另外，以建筑物的访问控制系统为例，假设访问控制设备3-1至3-4分别被安装在该建筑物中的四道门D1、D2、D3和D4上，并且希望允许持有访问卡2的用户进入门D1和门D3，而不能进入门D2和D4。则访问卡2的权限码PC可以计算为

$\mathrm{PC}=0001\oplus 0100=0101,$或者

PC＝0001|0100＝0101

当然，如果希望只允许持访问卡2的用户进入例如门D1，则权限码PC就简单地等于访问控制设备3-1的验证码VC₁，即0001。

当用户持着访问卡2经过例如访问控制设备3-1时，首先，访问控制设备3-1经由射频通信从访问卡2读取存储在ID存储子单元2041中的ID。然后，身份识别子单元3031判定该ID是否是可识别的有效ID，例如是否符合预先设置的ID格式。如果身份识别子单元3031无法识别读取的数据，则表明读取的数据不是有效ID。此时访问控制设备3-1可以告警以提示用户访问卡无效，或者也可以直接结束访问控制过程。注意这里告警步骤是可选的，并且可以采取各种公知的方式，例如发出警报声、闪烁LED等等。这同样适用于下文中所提到的“告警”。

另一方面，如果身份识别子单元3031识别出该ID是有效的ID，则访问控制设备3-1从访问卡2读取存储在密钥存储子单元2042中的密钥KA。同时，身份识别子单元3031将存储在主钥存储子单元3041中的主钥KM和刚才读取的ID代入以上式(1)，计算出KB＝FUNC(ID，KM)。身份识别子单元3031将密钥KA与计算出的密钥KB相比较，如果两者不同，则表明访问卡2不是本系统内发出的有效卡，从而访问控制设备3-1经过可选的告警步骤结束访问控制过程。

如果密钥KA与KB相同，即身份识别子单元3031进行身份识别的结果是ID有效且密钥正确，也就是说访问卡2在本系统内具有有效身份，则访问控制设备3-1从访问卡2读取存储在权限码存储子单元2043中的权限码PC。然后权限判定子单元3032计算

R_AND＝PC&VC₁                        (式4)

其中&表示按位与(AND)，PC是访问卡2的权限码，VC₁是访问控制设备3-1的验证码。

然后，权限判定子单元3032将上述式(4)中计算的结果R_AND与访问控制设备3-1的验证码VC₁相比较。如果两者相同(相匹配)，则权限判定子单元3032判定访问卡2(持有访问卡2的用户)有权访问。然后权限判定子单元3032可以向相关的物理设备发出访问使能信号。例如，权限判定子单元3032可以向门的电磁锁发出特定电平的开门信号，从而该门打开使用户可以进入。权限判定子单元3032也可以向相关设施发出访问使能信号，从而使得用户可以开始使用该设施。

另一方面，如果比较结果是R_AND与访问控制设备3-1的验证码不相同，则权限判定子单元3032判定访问卡2无权进行访问。于是访问控制设备3-1可发出告警信号，或者直接结束此次过程。

在上面的示例中假定了允许用户进入门D1和门D3，因此其中的权限码PC被计算为0101。在这种情况下，在门D1上的访问控制设备3-1中，上述式(4)的计算结果为：

R_AND＝0101&0001＝0001

因此，门D1上的访问控制设备3-1的权限判定子单元3032将发现结果R_AND与验证码VC₁相同，从而判定可以允许用户进入。

另一方面，如果想要禁止用户进入门D1，例如只能进入门D2、D3、D4，则上述式(2)或(3)的计算结果将为

$\mathrm{PC}=0010\oplus 0100\oplus 1000=1110,$或者

PC＝0010|0100|1000＝1110

在这种情况下，在门D1上的访问控制设备3-1中，上述式(4)的计算结果为：

R_AND＝1110&0001＝0000

因此，访问控制设备3-1的权限判定子单元3032将发现结果R_AND与验证码VC₁不相同，从而判定不能允许用户进入。

访问卡2和访问控制设备3中存储的上述内容可以以公知的方式预先写在相应的存储单元中并且被修改。

另外，在访问控制系统1包括管理设备4的情况下，管理设备4可以对系统中的每个访问控制设备和访问卡进行管理。

管理设备4的访问控制设备配置/管理子单元4032可以统一分配系统内的各个访问控制设备的主钥和验证码，并通过通信接口406将主钥和验证码输出到各个访问控制设备。例如，访问控制设备配置/管理子单元4032可以使系统内的每个访问控制设备都具有相同的主钥，并且具有各不相同、只有一位为1的验证码。同时，在对访问控制设备进行初始配置之后，只要访问控制设备的通信接口和管理设备的通信接口连接起来，管理设备4也可以对访问控制设备中的主钥和验证码等进行更新，或者进行其他维护或管理。

另外，由于管理设备4包括用于射频通信的耦合元件401和信息处理单元402，因此管理设备4可以对访问卡2进行读/写。例如，在对访问卡2进行初始化时，管理设备4可以从访问卡2中读取ID，然后卡初始化/修改子单元4031可以基于其存储单元中存储的主钥，利用上述式(1)计算出密钥KA，然后管理设备4将其写入访问卡2中的密钥存储子单元2042。此外，访问控制设备配置/管理子单元4032还可利用上述式(2)或(3)来计算访问卡2的权限码，然后管理设备4将其写入访问卡2中的权限码存储子单元2043，从而为访问卡2设定权限。另外，在最初的初始化之后，管理设备4可以通过类似的操作随时对访问卡2中存储的密钥、权限码等信息进行修改，从而改变访问卡2的权限，等等。

下面参考图3来描述访问控制设备对访问卡进行访问控制的过程。这里以访问控制设备3-1为例描述该过程，其他访问控制设备的过程相同或类似。如图3所示，当用户持着访问卡2进入访问控制设备3-1的射频覆盖范围中时，首先，在步骤S201中，访问控制设备3-1经由射频通信从访问卡2读取ID。然后，在步骤S202中，身份识别子单元3031判定该ID是否是可识别的有效ID，例如是否符合预先设置的ID格式。如果身份识别子单元3031无法识别读取的数据(步骤S202：“否”)，则表明读取的数据不是有效ID。此时访问控制设备3-1可以告警(步骤S203)以提示用户访问卡无效，或者也可以直接结束访问控制过程。

另一方面，如果身份识别子单元3031识别出该ID是有效的ID(步骤S202：“是”)，则在步骤S204中，访问控制设备3-1从访问卡2读取密钥KA，并且身份识别子单元3031将主钥KM和读取的ID代入式(1)以计算出KB。身份识别子单元3031将密钥KA与计算出的密钥KB相比较，如果两者不同(步骤S205：“否”)，则表明访问卡2不是本系统内发出的有效卡，从而访问控制设备3-1经过可选的告警步骤(步骤S206)结束访问控制过程。

如果KA与KB相同(步骤S205：“是”)，则在步骤S207中，访问控制设备3-1从访问卡2读取存储在权限码存储子单元2043中的权限码PC，并且权限判定子单元3032计算R_AND＝PC&VC₁。

权限判定子单元3032将计算结果R_AND与访问控制设备3-1的验证码VC₁相比较，如果两者相同(步骤S208：“是”)，则权限判定子单元3032判定访问卡2有访问权限。然后权限判定子单元3032可以向相关的物理设施发出访问使能信号(步骤S210)。然后此次过程结束。

另一方面，如果比较结果是R_AND与自身的验证码不相同(步骤S208：“否”)，则权限判定子单元3032判定访问卡2无权进行访问。于是访问控制设备3-1可发出告警信号(步骤S209)，或者直接结束此次过程。

可以看出，本发明实现了一种能够很方便地对大量访问卡针对多个访问控制设备的访问权限进行设置和修改的访问控制系统和方法，其中访问卡和访问控制设备中都不需要存储大量的信息，并且访问控制设备无需进行耗时的搜索操作，而只需要进行简单的计算。

图4是示出根据本发明另一个实施例的访问卡、访问控制设备和管理设备的框图。与图2中相同或相似的组件用相同的标号表示，并且将省略对其的描述。

在本实施例的访问控制系统中，引入了过期判定功能。

根据本实施例的访问卡2除了包括与图2中类似的组件外，其存储单元204中还包括存储时间戳的时间戳存储子单元2044。

相应地，根据本实施例，系统中的某一访问控制设备，例如访问控制设备3-1，除了包括与图2中类似的组件外，在其控制单元303中还包括过期判定子单元3033。其他访问控制设备的结构和操作可以与访问控制设备3-1相同或相似，或者也可以不具有过期判定功能。

在访问控制系统包括管理设备4的情况下，类似地，管理设备4除了包括与图2中类似的组件外，其卡初始化/修改子单元4031中包括时间戳设置子单元4031-1。

在本实施例中，如果身份识别子单元3031进行身份识别的结果是ID有效且密钥正确，则访问控制设备3-1从访问卡2读取存储在时间戳存储子单元2044中的时间戳，并且过期判定子单元3033根据该时间戳判定访问卡2是否已过期。过期判定可以采用各种方式。例如，时间戳可以表示访问卡2被初始化(或上次修改)的时刻。过期判定子单元3033用当前时刻减去时间戳表示的时刻，检查所得到的差值是否大于某个阈值。如果大于某个阈值，则表明从访问卡2被初始化(或上次修改)起已经经过了一个超过阈值的时间段，从而过期判定子单元3033判定访问卡2已经过期。如果卡已经过期，访问控制设备不许可其进行访问。

在过期判定子单元3033的过期判定结果为访问卡2尚未过期的情况下，权限判定子单元3032才进行以上所述的权限判定。

另外，尽管图中没有示出，但如果访问控制设备具备写卡的功能，则其控制单元303中还可包括一个时间戳修改子单元，用于控制写卡单元(例如基于RFID的访问控制设备3-1中的耦合元件301)通过改写访问卡2的时间戳存储子单元2044中的内容来改写时间戳。例如，时间戳修改子单元可以在过期判定子单元3033的过期判定的结果为访问卡2未过期的情况下，更新卡的时间戳，从而例如可以延长卡的有效期。具体而言，例如，时间戳修改子单元可以在过期判定子单元3033的过期判定的结果为访问卡2未过期并且权限判定子单元3032的权限判定的结果为访问卡2具有访问权限的情况下，更新卡的时间戳。

类似地，在访问控制系统1包括管理设备4的情况下，管理设备4可以对系统中的过期判定进行管理。例如，卡初始化/修改子单元4031可以包括时间戳设置子单元4031-1，因此当管理设备4对卡进行初始化/修改的同时，可以向卡中写入时间戳。另外，管理设备4也可以对访问控制设备中的过期判定、时间戳修改等功能进行管理和控制。

下面参考图5来描述图4所示的访问控制设备对访问卡进行访问控制的过程。如图所示，步骤S201-S206和步骤S207至S210与图3中的相应步骤是相同的，因此这里将省略对它们的描述。

当经过步骤S201-S205中的身份识别得出的结果是ID有效且密钥正确时，在步骤S301中，访问控制设备从访问卡2读取时间戳。在步骤S302中，过期判定子单元3033基于该时间戳判定访问卡2是否已过期。如果卡已经过期(步骤S302：“是”)，则访问控制设备不许可其进行访问，经过可选的告警步骤(步骤S303)结束此次访问控制过程。

在过期判定子单元3033的过期判定结果为访问卡2尚未过期的情况下(步骤S302：“否”)，才进行步骤S207-S210中的权限判定过程。另外，尽管图中未示出，但如果访问控制设备3-1包括时间戳修改子单元，那么例如在步骤S208中判定访问卡2有访问权限之后，时间戳修改子单元可控制写卡单元改写卡中存储的时间戳，然后访问控制设备3-1发出访问使能信号。

根据本实施例的访问控制系统具有时间戳功能，从而可以很容易地设置和修改访问卡的有效期。

图6是示出根据本发明另一个实施例的访问卡、访问控制设备和管理设备的框图。与图2中相同或相似的组件用相同的标号表示，并且将省略对其的描述。

在本实施例的访问控制系统中，引入了日志功能。

根据本实施例的访问卡2的结构与图2中所示的相似。

根据本实施例，系统中的某一访问控制设备，例如访问控制设备3-1，除了包括与图2中类似的组件外，在其控制单元303中还包括日志更新子单元3034，并且在其存储单元304中还包括日志存储子单元3043。其他访问控制设备的结构和操作可以与访问控制设备3-1相同或相似，或者也可以不具有日志功能。

在访问控制系统包括管理设备4的情况下，相应地，管理设备4除了包括与图2中类似的组件外，其访问控制设备配置/管理子单元4032中可以包括日志下载子单元4032-1，并且其存储单元404中也可以包括日志存储子单元4043。

在本实施例中，在身份识别子单元3031进行身份识别后或者权限判定子单元3032进行权限判定后，日志更新子单元3034可以根据身份识别或权限判定的结果生成或更新日志存储子单元3043中存储的日志。日志可以包括具有相应ID的访问卡在经过身份识别或权限判定后被拒绝或允许访问的记录。在适当时，系统管理者可通过适当的方式导出存储在日志存储子单元3043中的日志，以了解系统内的访问控制情况。

例如，在访问控制系统1包括管理设备4的情况下，管理设备4中的日志下载子单元4032-1可以控制管理设备4通过通信接口406与访问控制设备的通信接口306的连接来从访问控制设备中下载日志，并将日志存储到其日志存储子单元4043中。管理员可以通过用户界面407来查看日志，以了解系统内的访问控制情况。

下面参考图7来描述图6所示的访问控制设备对访问卡进行访问控制的过程。如图所示，步骤S201-S206和步骤S207至S210与图3中的相应步骤是相同的，因此这里将省略对它们的描述。

当在步骤S205中，身份识别子单元3031判定密钥KA和KB不匹配时，在经过可选的告警步骤S206之后或者同时，日志更新子单元3034可以在步骤S401中对存储在日志存储子单元3043中的日志进行更新，以添加例如具有相应ID的访问卡没有被识别为本系统内的有效卡的记录。然后此次访问控制过程结束。在适当时访问控制设备中存储的日志可以任何适当的方式被导出。

类似地，当在步骤S208中，权限判定子单元3032判定计算结果R_AND与验证码不匹配时，在经过可选的告警步骤S209之后或者同时，日志更新子单元3034可以在步骤S402中对存储在日志存储子单元3043中的日志进行更新，以添加例如具有相应ID的访问卡被此访问控制设备判定为不具有访问权限的记录。然后此次访问控制过程结束。在适当时访问控制设备中存储的日志可以任何适当的方式被导出。

另一方面，当在步骤S208中，权限判定子单元3032判定计算结果R_AND与验证码相匹配时，在发出访问使能信号(步骤S210)之后或者同时，日志更新子单元3034可以在步骤S403中对存储在日志存储子单元3043中的日志进行更新，以添加例如具有相应ID的访问卡被此访问控制设备判定为具有访问权限的记录。然后此次访问控制过程结束。在适当时访问控制设备中存储的日志可以任何适当的方式被导出。

根据本实施例的访问控制系统具有日志功能，从而可以很容易地生成、更新并下载日志，以允许获知系统内的访问控制状况。

图8是示出根据本发明另一个实施例的访问卡、访问控制设备和管理设备的框图。与图2中相同或相似的组件用相同的标号表示，并且将省略对其的描述。

在本实施例的访问控制系统中，引入了黑名单功能。

根据本实施例，系统中的某一访问控制设备，例如访问控制设备3-1，除了包括与图2中类似的组件外，在其控制单元303中还包括黑名单下载子单元3035，并且在其存储单元304中还包括黑名单存储子单元3044。其他访问控制设备的结构和操作可以与访问控制设备3-1相同或相似，或者也可以不具有黑名单功能。

在访问控制系统包括管理设备4的情况下，相应地，管理设备4除了包括与图2中类似的组件外，其访问控制设备配置/管理子单元4032中可以包括黑名单导出控制子单元4032-2，并且其存储单元404中也可以包括黑名单存储子单元4044。

在本实施例中，如果由于挂失等等原因而需要将某一已发出的卡添加到黑名单中以禁止其访问，可以通过将该卡的ID添加到黑名单中，并将该黑名单导入到访问控制设备中，从而使得该访问控制设备可以拒绝该卡的访问。识别ID是否存在于黑名单上的步骤可以包括在身份识别子单元3031进行的身份识别中。具体而言，例如，在判定ID是有效ID之后，身份识别子单元3031可以立即将该ID与黑名单中的ID进行比对，如果该ID在黑名单上，访问控制设备即可拒绝卡的访问。只有当该ID不在黑名单上，身份识别子单元3031才继续进行读取密钥KA并比较KA和KB的步骤。

将黑名单导入访问控制设备中的方法可以有多种。例如，在系统包括管理设备4的情况下，可以通过管理设备处的操作(例如通过用户界面407)来更新黑名单存储子单元4044中存储的黑名单，并由黑名单导出控制子单元4032-2控制将该黑名单经由通信接口306和通信接口406之间的连接下载到访问控制设备中。

另一种替换的方法无需访问控制设备与管理设备之间的通信。例如，可以使用一种专用于存储黑名单的卡。该专用卡的硬件结构可以与一般的访问卡相同，也可以是基于RFID标签的卡，也可以与访问控制设备进行射频通信从而被访问控制设备读/写，并且也存储有ID和密钥。但是专用卡中可以不存储权限码，而是存储包含被禁止访问的卡的ID的黑名单。在这种情况下，为了区分一般访问卡和专用卡，根据本实施例的访问卡2除了包括与图2中类似的组件外，其存储单元204中还包括用来存储类型标志的、被称为类型标志存储子单元2045的区域。图8示出了这种情况。同样，在专用卡中也可以有用来存储该类型标志的区域。该类型标志可以使用不同的数字、字符等等任何标志信息来区分一般访问卡和专用卡。该类型标志可以在卡被初始化或修改时写入或改写。例如，如果系统包括管理设备4，则卡初始化/修改子单元4031可以对卡中的该类型标志进行设置。

如果系统内包括管理设备4，该专用卡也可以由管理设备4来制作。例如，卡初始化/修改子单元4031可以向专用卡中写入有效的密钥并适当设置其类型标志存储子单元2045中的内容，可以通过管理设备处的操作(例如通过用户界面407)来更新黑名单存储子单元4044中存储的黑名单，并且黑名单导出控制子单元4032-2可以进行控制以使管理设备4向专用卡中写入该黑名单。也就是说，既可以通过管理设备4与访问控制设备的通信来导出黑名单，也可以无需直接通信，而通过管理设备4写专用卡并且访问控制设备读专用卡来完成黑名单的下载。

在这种情况下，当经过身份识别认为卡具有本系统内的有效身份并且不在黑名单上时，访问控制设备可以读该类型标志存储子单元，并根据读取到的类型标志来判定该卡是黑名单存储专用卡还是一般访问卡。例如，如果该类型标志包括特定的字符串，则判定该卡是专用卡，否则是一般访问卡。如果是黑名单存储专用卡，则无需进行权限判定，而由黑名单下载子单元3035进行控制以使访问控制设备3-1从该卡中读取黑名单并存储到黑名单存储子单元3044中。如果不是黑名单存储专用卡而是一般访问卡，则进行如前所述的权限判定。

下面参考图9来描述图8所示的访问控制设备对访问卡进行访问控制的过程。如图所示，步骤S201-S206和步骤S207至S210与图3中的相应步骤是相同的，因此这里将省略对它们的描述。

如图所示，当在步骤S202中判定ID是有效ID之后，在步骤S501中，身份识别子单元3031将该ID与黑名单中的ID进行比对，如果该ID在黑名单上(步骤S501：“是”)，访问控制设备即可拒绝卡的访问，例如通过可选的告警步骤(步骤S502)结束此次过程。

只有当该ID不在黑名单上(步骤S501：“否”)，身份识别子单元3031才继续进行读取密钥KA并比较KA和KB的步骤(步骤S204至S206)。

当在步骤S205中发现密钥KA和KB匹配(步骤S205：“是”)，即经过身份识别认为卡具有本系统内的有效身份并且不在黑名单上时，在步骤S503中访问控制设备可以读卡中的类型标志存储子单元，并根据读取到的类型标志来判定该卡是黑名单存储专用卡还是一般访问卡(步骤S504)。如果是黑名单存储专用卡，则无需进行权限判定，而由黑名单下载子单元3035进行控制以使访问控制设备3-1通过耦合元件301(读卡单元)从该卡中读取黑名单并存储到黑名单存储子单元3044中(步骤S505)，然后此次过程结束。如果不是黑名单存储专用卡而是一般访问卡，则进行如前所述的权限判定(步骤S207至S210)。

图9示出了以读专用卡的方式来下载黑名单的示例。当然，很明显，如果以其他方式来下载黑名单，例如通过连接到管理设备4来下载黑名单，则在读卡的过程中无需包括步骤S503至S505的专用卡判定和黑名单下载操作。

在根据本实施例的访问控制系统中，在访问卡由于某种原因需要被加入黑名单中的情况下，无需繁重的工作就可以将该黑名单导入访问控制设备中，从而很方便地实现了黑名单功能。

图10是示出根据本发明另一个实施例的访问卡、访问控制设备和管理设备的框图。与图2中相同或相似的组件用相同的标号表示，并且将省略对其的描述。

在本实施例的访问控制系统中，引入了通过访问控制设备进行权限修改的功能。权限修改包括为访问卡添加、删除或改变权限，也就是使得访问卡可以被更多、更少或者不同的访问控制设备判定为有访问权限。在本发明中，如上所述，只要修改访问卡的权限码，即可以很容易地控制哪些访问控制设备会判定访问卡有访问权限。权限码的修改可以以任何能够改变卡的存储区域中的某个部分的内容的方式来完成。在系统包括管理设备4的情况下，卡初始化/修改子单元4031即可以完成对卡的权限码存储子单元2043中存储的权限码PC的修改。

在本发明中，权限码的修改还可以由基于具有写标签功能的RFID读写器的访问控制设备来完成。在这种情况下，访问控制设备包括写卡单元，用于写访问卡。在RFID读写器的情况下，该写卡单元可由RFID读写器的耦合元件来实现。

如图所示，根据本实施例，系统中的某一访问控制设备，例如访问控制设备3-1，具有对卡的存储区域进行改写的功能，并且除了包括与图2中类似的组件外，在其控制单元303中还包括列表下载子单元3036和权限修改子单元3037，并且在其存储单元304中还包括权限修改列表存储子单元3045。其他访问控制设备的结构和操作可以与访问控制设备3-1相同或相似，或者也可以不具有权限修改功能。

在访问控制系统包括管理设备4的情况下，相应地，管理设备4除了包括与图2中类似的组件外，其访问控制设备配置/管理子单元4032中可以包括权限修改列表导出控制子单元4032-3，并且其存储单元404中也可以包括权限修改列表存储子单元4045。

本实施例中的权限修改列表可以包括需要被修改权限的卡的ID和修改后它的权限码。

与以上所述的黑名单导入类似，将权限修改列表导入访问控制设备中的方法可以有多种。例如，在系统包括管理设备4的情况下，可以通过管理设备处的操作(例如通过用户界面407)来更新权限修改列表存储子单元4045中存储的权限修改列表，并由权限修改列表导出控制子单元4032-3控制将该权限修改列表经由通信接口306和通信接口406之间的连接下载到访问控制设备中。

另一种替换的方法无需访问控制设备与管理设备之间的通信。例如，可以使用一种专用于存储权限修改列表的卡。该专用卡的硬件结构可以与一般的访问卡相同，也可以是基于RFID标签的卡，也可以与访问控制设备进行射频通信从而被访问控制设备读/写，并且也存储有ID和密钥。但是专用卡中可以不存储权限码，而是存储包含要被修改权限的卡的ID及修改后的权限码的权限修改列表。在这种情况下，为了区分一般访问卡和专用卡，根据本实施例的访问卡2除了包括与图2中类似的组件外，其存储单元204中还包括用来存储类型标志的、被称为类型标志存储子单元2045的区域。图10示出了这种情况。同样，在专用卡中也可以有用来存储该类型标志的区域。该类型标志可以使用不同的数字、字符等等任何标志信息来区分一般访问卡和专用卡。该类型标志可以在卡被初始化或修改时写入或改写。例如，如果系统包括管理设备4，则卡初始化/修改子单元4031可以对卡中的该类型标志进行设置。如果结合图8和图10所示的两个实施例，则这里的类型标志存储子单元可以与以上结合图8所述的类型标志存储子单元是存储单元204中的同一区域，只要其中类型标志被不同地设置，分别区分一般访问卡、存储黑名单的卡和存储权限修改列表的卡即可。因此这里与图8中一样用标号2045来指示该单元。

如果系统内包括管理设备4，该专用卡也可以由管理设备4来制作。例如，卡初始化/修改子单元4031可以向专用卡中写入有效的密钥并适当设置其类型标志存储子单元2045中的内容，可以通过管理设备处的操作(例如通过用户界面407)来更新权限修改列表存储子单元4045中存储的权限修改列表，并且权限修改列表导出控制子单元4032-3可以向专用卡中写入该权限修改列表。也就是说，既可以通过管理设备4与访问控制设备的通信来导出权限修改列表，也可以无需直接通信，而通过管理设备4写专用卡并且访问控制设备读专用卡来完成权限修改列表的下载。

在这种情况下，当经过身份识别认为卡具有本系统内的有效身份时，访问控制设备可以读该类型标志存储子单元，并根据读取到的类型标志来判定该卡是权限修改列表存储专用卡还是一般访问卡。例如，如果该类型标志包括特定的字符串，则判定该卡是专用卡，否则是一般访问卡。如果结合图8和图10的实施例，则可以用三种不同的字符串来分别作为与黑名单存储专用卡、权限修改列表存储专用卡和一般访问卡相对应的类型标志。如果是权限修改列表存储专用卡，则无需进行权限判定，而由列表下载子单元3036进行控制以使访问控制设备3-1从该卡中读取权限修改列表并存储到权限修改列表存储子单元3045中。另外，如果结合图8和图10所示的两个实施例，黑名单下载子单元3035和列表下载子单元3036可以统一为一个列表下载子单元，其基于读取到的类型标志来控制将读取到的黑名单或权限修改列表(两者均为某种形式的列表)存储到相应的存储子单元中。

如果不是专用卡而是一般访问卡，则权限修改子单元3037可以判定该卡的ID是否包含在权限修改列表中。如果是，则权限修改子单元3037可以通过控制访问控制设备的写卡单元将权限修改列表中与该ID相对应的更新后权限码写入卡的权限码存储子单元2043中来修改卡的权限，然后可以将该卡的ID从权限修改列表中删除。然后进行如前所述的权限判定。如果该卡的ID不包含在权限修改列表中，则直接进行如前所述的权限判定。

下面参考图11来描述图10所示的访问控制设备对访问卡进行访问控制的过程。如图所示，步骤S201-S206和步骤S207至S210与图3中的相应步骤是相同的，因此这里将省略对它们的描述。

如图所示，当在步骤S205中发现密钥KA和KB匹配(步骤S205：“是”)，即经过身份识别认为卡具有本系统内的有效身份时，在步骤S601中访问控制设备可以读卡中的类型标志存储子单元，并根据读取到的类型标志来判定该卡是权限修改列表存储专用卡还是一般访问卡(步骤S602)。如果是权限修改列表存储专用卡，则无需进行权限判定，而由列表下载子单元3036进行控制以使访问控制设备3-1从该卡中读取权限修改列表并存储到权限修改列表存储子单元3045中(步骤S603)，然后此次过程结束。

如果不是专用卡而是一般访问卡，则在步骤S604中权限修改子单元3037可以判定该卡的ID是否包含在权限修改列表中。如果是(步骤S604：“是”)，则权限修改子单元3037可以通过控制写卡单元将权限修改列表中与该ID相对应的更新后权限码写入卡的权限码存储子单元2043中来修改卡的权限(步骤S605)，然后可以将该卡的ID从权限修改列表中删除(步骤S606)。然后进行如前所述的权限判定(步骤S207至S210)。如果该卡的ID不包含在权限修改列表中，则直接进行如前所述的权限判定(步骤S207至S210)。

图11示出了以读专用卡的方式来下载权限修改列表的示例。当然，很明显，如果以其他方式来下载权限修改列表，例如通过连接到管理设备4来下载权限修改列表，则在读卡的过程中无需包括步骤S601至S603的专用卡判定和列表下载操作。

在根据本实施例的访问控制系统中，通过将权限修改列表导入访问控制设备中，可以很灵活地在访问控制设备处对访问卡的访问权限进行修改。

以上已经描述了本发明的示例性实施例。但是，本领域的技术人员可以明白，本发明并不限于这些实施例。在不脱离本发明的精神和范围的情况下，可以对本发明作出各种修改、替换、组合、子组合等等。例如，在以上描述中，在不同的实施例中描述了时间戳、日志、黑名单、权限修改等功能。但是本领域的技术人员可以明白，可以任意组合这些实施例中的一些或全部，使系统中的每个访问控制设备具有这些功能中的任意一些或全部，或者一些访问控制设备具有一组功能，而另一些访问控制设备具有另一组功能，等等。