门禁一卡通早已不再是新鲜事物,它通过身份识读、网络、数据库等技术将以前各不相通的各类系统整合一起,在现在的生活中到处都有它的应用。从大厦、小区、校园、工厂机关的门禁、考勤、停车场等等,已渗入到社会方方面面。随着技术和应用的发展,它已经改变了人们生活方式。本文笔者将从多个方面对门禁一卡通发表一些粗浅看法,与读者分享。
一卡通理解
用一张卡和一套平台提供门禁、停车场、考勤、签到、电梯、访客、巡更、电子支付和信息查询服务等多种需求的应用。一卡通数据保存在一个数据库中,卡片基础信息共享,整个系统实现一次发卡、一次挂失,达到真正的卡通、网通、库通。
门禁一卡通的设计不应是各单个功能的简单组合,而是从统一网络平台、统一数据库、统一身份认证体系、数据传输安全、各管理系统接口、异常处理等软件总体设计思路的技术实现来考虑,使各管理系统,各终端设备综合性能达到最佳的设计。
门禁一卡通能实现多种不同管理功能,这些功能应该可以使用来自不同厂家的设备,只要使用同一种格式的卡片。该应用模式优点是可以对各个功能选择专业化程度更高且适合个性用途的产品,并不存在不兼容性问题,一个子系统故障不应影响到其他子系统及系统平台。
目前,一卡通还只是在各企事业单位、学校内,或某项目内应用,还没有形成真正的跨区域或跨行业的应用。实际上所谓一卡通主要看有没有一卡通管理平台(授权不能是由多套系统实现)和一个数据库管理,即“一网、一卡、一库”。作为安防中的门禁一卡通现在已成为智能化系统中最常见的安防子系统,已在政府、企业、金融、医院、部队等行业得到大量应用,还能与其它智能化系统进行集成和联动,比如防盗报警、视频监控、消防报警以及楼宇自控系统等。
现在门禁一卡通系统尽管还在不断发展,但从技术到应用已经比较成熟,这从各厂商的产品可粗略地归纳出门禁一卡通五个方面的典型子系统:
①平台管理:权限管理、设备管理、数据管理、卡务管理等子系统;
②身份识别:门禁、梯控、考勤、巡更、车辆出入、车载通勤、会议签到、访客管理、储物管理等子系统;
③电子交易:银行圈存统、消费管理统、水控管理、电控管理等子系统;
④信息服务:WEB查询、触摸屏查询、电话语音查询、短信查询等子系统;
⑤集成接入:ERP接口、图书管理接口、教务管理接口、人力资源接口、办公自动系统,能提供OPC接口与其它视频监控、报警、消防、楼宇自控系统等实现集成。
典型平台架构
门禁一卡通从功能结构上可划分为基础平台和业务应用两大部分,基础平台提供数据访问支持,业务应用实现业务处理。各业务应用共享基础平台,通过基础平台各业务可在授权的范围相互调用,且业务应用可自由增减和扩展。在此平台上,可以方便、灵活、自由地添加或移除其它功能模块。
目前多数一卡通系统均采用标准的三层结构:即物理设备层、应用操作层、信息服务层。其中物理层可以采用RS-485总线或TCP/IP,应用层与共享层均采用TCP/IP网络,这样的网络结构可满足传输的稳定性、安全性、灵活性等要求。先进的总线和信息集成技术,将一卡通管理系统中的各管理子系统集成在一个基础平台上,并通过内部INTRANET网形成信息资源共享。基于“服务层+应用层+设备层”模式,现在门禁一卡通典型架构大致有二类:
第一类:TCP/IP+总线架构,总线可以RS485、CAN等,每一个子系统有一个独立的管理服务器,在管理服务器下经总线与终端控制器连接,以实现各子系统的专业功能。各专业管理服务器经TCP/IP网与服务层子系统和应用层子系统连接,在服务层具有平台数据库、卡务管理、权限管理等功能,在应用层有各类查询子系统。这种架构应该说是行业内应用得最多,也呈现出比较稳定成熟的架构型式。这类架构扩展也比较方便,只要在TCP/IP层加专业管理服务器,之后再以总线与专业终端控制设备连接。该架构与第三方系统集成也比较方便,比如其它视频监控、报警、消防、楼宇自控系统等。集成方式常有二种,开关量联动可经门禁终端控制设备直接输入和输出,非常简捷;另一种即纯软件联动,其要借助于相应系统服务器经TCP/IP与门禁一卡通平台实现联动。
第二类:全TCP/IP架构,包括终端控制器都是网络型的,所有设备层、服务层、应用层设备都被挂在TCP/IP网络上,该类架构的服务层子系统和应用层子系统与第一种类型架构相同,且相应子系统的管理服务器与专业控制器间不以总线形式连接,大家都以TCP/IP方式交换数据。该架构与第三方系统集成同样方便,开关量也可经门禁终端控制设备直接输入和输出,另一种纯软联动也借助相应系统的管理服务器经TCP/IP实现联动。
总体而言,相较于以往纯485总线系统,TCP/IP系统主要有以下几方面优势:
1)传输速度快,充分利用TCP/IP网络传输优势;
2)系统应用与扩展灵活方便,兼容485总线结构,各子系统以模块方式接入;
3)用户操作界面友好,安装及使用简单;
4)可基于用户原有计算机网络,减少了大规模布线,适用于大规模及超大规模应用。
5)提高了系统的可维护性,IP网络便于实现远程诊断和维护。
系统安全隐患
门禁一卡通系统是由各级设备和各功能模块组成,其安全运行取决于各个环节是否能安全工作,说到系统安全具体可包括:识别安全、结构安全、传输安全和存储安全,而其中最为重要的则是数据传输安全。
自CPU卡取代IC卡,以及3DES和国密算法的应用,识别安全已得到了解决;而系统结构是基于成熟的TCP/IP或TCP/IP+总线架构,应该说这类架构是经过包括门禁和无数类似工业应用的考验,所以说结构安全也不会有问题;系统数据主要存储在数据库和前端控制器中,数据存储安全隐患主要在数据库,因此数据库密码管理也已经有许多解决方案,数据库中存储的数据涉及核心的关键字段可采用部分加密;最后数据传输安全则是整个系统最重要的环节,其隐患主要在上位管理计算机与前端门禁控制器、控制器与读卡器间的数据传输。
管理计算机与控制器间常采用TCP/IP或者RS-485协议传输,由于协议本身就存在一定的缺陷,容易在传输过程中被截获。TCP/IP协议作为互联网协议,虽然在数据传输速度上有其显着的特点,却在设计之初并未考虑到未来安全需要,协议中有诸多安全漏洞,特别计算机病毒,使得网络门禁会面临极大的危险。而RS485自成网络,其传输速率低,传输数据长度受到制约,因此无法将数据加密,这样通过RS-485传输线缆能轻松取得数据。
门禁控制器与读卡器之间通常采用韦根协议,明码传输,格式为26bit、34bit,因此,截取数据线即可获取卡片信息。
所以说对于前述的两种组网方式的网络安全性来讲,任何一种网络通讯都存在被第三方窃听或修改的风险,RS485总线通讯技术比较简单,更容易被攻击。
TCP/IP协议是应用最广泛的网络通信协议,通信能力虽强大,但在传输过程中很容易通过专用软件监听和修改。这种威胁的主要危险是修改门禁出入权限和用户信息、拦截实时报警事件、更改信息的方向和地址等,这将会给安全造成巨大的损失。
当前,为了保证门禁系统的数据和通信安全,可采用的网络安全技术有:密码技术、伪卡防范技术、设备认证技术、入侵检测技术、数据传输加密技术、数据存储备份和容灾技术等。而可采取的措施也有从简单到复杂,如在读卡器与门禁控制器间采用RS-485通讯方式,其总比韦根明码传输要好;在门禁一卡通中常可借用IT的网络传输安全措施,譬如有业内行家建议采用VPN网络通道技术,该方法解决了VPN通道外非法攻击的威胁;又如采用SSL高加密技术的网络门禁设备,则会使与控制器间的通讯全部通过SSL加密、解密、身份验证等严格的安全检测机制。
基本功能诉求
成熟的门禁一卡通系统应当具备高可靠性、高可扩展性、大容量等特点,才能适合复杂的应用环境、多应用统一管理和能逐步引进新应用的技术特点。
1)高可靠性:门禁高可靠性包括现场设备可靠性、系统安全性、数据可靠性等几方面。设备可靠性是指系统硬件设备要能经受复杂使用环境考验(如适应高温差环境、抗感应雷袭击和安装人员素质不佳等);又因系统基于TCP/IP网络传输,终端控制器和上层平台间网络传输应采用特殊的加密算法,以保障传输数据的安全性和可靠性;尽管上层管理平台采用统一数据库,而对外应能提供多套应用系统,让数据可靠性得到充分保证。
2)可扩展性:门禁一卡通是在一套网络和软硬件平台下工作,其支持统一的操作系统和数据库,并采用“服务层+应用层+设备层”的架构模式,分布式应用、集中管理是其组成和运行原则。故一卡通平台除能支持门禁、考勤、停车场、访客系统、消费等的统一管理外,还要能保证系统能非常方便地接入(包括软硬件)如电梯、访客、会议签到、电子巡更等子系统。此外,在智能化系统集成应用中,一卡通平台要具有开放的标准的接口,要能够方便地与其它子系统(视频监控、防盗报警、周界报警)、消防报警系统、楼宇自控系统、办公自动系统、行业专用业务系统等实现集成。
3)大容量:现在门禁一卡通系统已被应用在各类领域,如企事业单位、学校、小区等,系统的大容量是实现多系统统一管理的关键和基本保障。例如一些大型企业要能够管理几万人的各类信息,而传统系统只能支持数百、数千人的规模。以某品牌门禁一卡通为例,其门禁控制器最大能支持脱机10万人信息存储、高速运算能保障刷卡响应时间只0.1-0.2S、其报警上传仅在2S内传输到告警工作站、其视频抓拍每秒可完成100次抓拍、抓拍系统最大能支持10万人,2000-3000门点,也就是说只有这样稳定的大系统才能满足各类应用需求。
技术发展特点
笔者参考了业内主要门禁一卡通厂家的产品,就技术走向归纳出如下特点:
1)多层分布式网络结构:今后的门禁一卡通或会向这类组网结构发展,其具有方便使用、稳定可靠、安全性高、资源共享、扩展灵活、易维护、快捷响应、效率高的优势,所以系统会更适合应用和扩展,更具可靠性。
2)B/S架构:C/S架构有独立的客户端软件需要在管理电脑上安装,而B/S架构仅需要在服务器上配置,然后在操作电脑上通过WEB网页访问进行管理和控制,就此提高了系统的灵活和便捷性,不过对于大型系统,系统设置等还是需要C/S架构支撑,B/S架构用于直接用户操作,两者不可或缺。
3)组态软件:各类功能模块丰富、软件性能稳定、具良好的开放性、权限控制等,使安全防范更加严密,可视化风格界面也更直观和人性化。
4)安全保障:对前端识别、控制处理、网络通讯等各个环节的信息传输及数据存储均采用严格的加密技术(如国密、3DES),以保障系统数据存储和传输的高安全性。
5)认证多样性:支持各种IC卡、CPU卡、复合卡、指纹、面部等生物识别技术。生物认证作为“便携”和“唯一”的认证介质,与卡介质一起,在一卡通应用中一定会得到快速发展。此外,智能卡多重认证、智能卡+密码认证、生物识别+卡认证等复合认证模式会根据安全等级和环境要求得以应用。
此外,还有一些特殊的认证模式也被提出,并逐步形成产品,如短信临时认证和语音信箱认证。内部用户在读卡器上输入特定号码,系统确认后自动生成一个随机码,以短信方式发送到用户手机,实现身份验证和开门等功能,并一次使用自动失效。又用户可通过电话拨打一卡通中心特服号,根据语音提示操作,系统判断用户特定编码以及输入的密码,来实现身份验证,在系统中记录相关事件以备查询。
6)数据库:今后的一卡通平台能支持ORACLE、SQLserver等多种类的数据库结构,以提升系统数据库的适用性。
7)手机一卡通:把IC卡(包括M1和CPU)的所有功能都融合在手机卡上,这样手机卡在保有原有通讯所有功能的同时,还具备传统一卡通的所有功能,同时还可衍生出大量传统一卡通没有的功能。
8)云技术:该技术带来异地互联一卡通,基于云技术的一卡通,其核心目标是通过云存储及远程软件的应用,达到用户随时随地对本地、跨区域信息的实时掌握。同时简化系统安装、调试、运维工作量。云服务简化了统一后端的开发,可以把现有的应用程序、数据和服务连接到任何PC、平板电脑和手机上。
9)以门禁为平台去整合或将成主流:在目前安防业内多以视频监控为主体去整合门禁及报警,但可以预见的是,随着门禁技术的不断发展,以门禁系统为主体去整合视频系统及其他如报警、消防等系统也必将成为趋势。由于门禁系统以主动防御为特点,且功能越来越多,使得门禁系统能够接纳更多系统,以它为主体,可以更好地将众多安防系统整合在一起。
结语
门禁一卡通是通过卡的认证完成设备控制的系统,其从最初的单门禁,逐渐成为今天广泛应用的一卡通,几乎无所不能涉及到各个方面。从目前应用来看,已衍生出考勤、访客、巡更、会议签到、消费、物品流通、停车场出入、电梯控制等等多个子系统,而且随着人员身份认证、物品认证等需求的拓展,系统应用还会不断扩大。
作为智能化系统重要组成部分,门禁一卡通也应该是开放的系统,能通过OPC、SOCKET等标准接口协议与IBMS、BAS、OA等系统集成,实现与视频监控、消防报警、设备管理等系统联动,并实现与单位管理系统的数据同步,即通过系统间的数据整合,让门禁一卡通真正发挥出最大化的作用。