網(wǎng)絡(luò)安全技術(shù)在門禁控制系統(tǒng)中的應(yīng)用

 一、門禁系統(tǒng)的發(fā)展及現(xiàn)狀

隨著數(shù)字網(wǎng)絡(luò)化發(fā)展的加快，網(wǎng)絡(luò)化產(chǎn)品范圍不斷擴(kuò)大，門禁系統(tǒng)也從傳統(tǒng)的RS485總線傳輸方式，穩(wěn)步向TCP/IP網(wǎng)絡(luò)方向深入。

RS485通訊方式在節(jié)點(diǎn)數(shù)量、傳輸距離、通訊速率等方面的局限制約了它的應(yīng)用，尤其是大型門禁系統(tǒng)的應(yīng)用。而基于TCP/IP網(wǎng)絡(luò)通訊方式的門禁系統(tǒng)，具有無節(jié)點(diǎn)限制、覆蓋范圍廣、通訊速度快、干擾小等優(yōu)勢(shì)，全面領(lǐng)先于RS485總線方式，理所當(dāng)然會(huì)獲得眾多用戶的青睞。

目前市場(chǎng)上有些采用外置式或內(nèi)置式網(wǎng)絡(luò)轉(zhuǎn)換器的門禁系統(tǒng)，其實(shí)是使用了RS485轉(zhuǎn)TCP/IP的中間設(shè)備，并非真正意義上的網(wǎng)絡(luò)門禁。真正意義上的網(wǎng)絡(luò)門禁所采用的門禁控制器一般采用32位ARM7/9的微處理器來實(shí)現(xiàn)。

采用全TCP/IP方式的門禁系統(tǒng)，可充分利用已建的網(wǎng)絡(luò)資源，新布線工程量少，可跨區(qū)域使用而不受距離限制，信息傳輸和存儲(chǔ)量能大幅度提升。但如果項(xiàng)目本來無網(wǎng)絡(luò)，專門架設(shè)網(wǎng)絡(luò)反而增加了前期投入成本，目前還主要應(yīng)用于100門以上的大型系統(tǒng)。

門禁系統(tǒng)技術(shù)發(fā)展的另一方面，是門禁系統(tǒng)和其他建筑智能化系統(tǒng)的整合，主要是整合視頻監(jiān)控系統(tǒng)、入侵報(bào)警系統(tǒng)、周界探測(cè)系統(tǒng)、消防報(bào)警系統(tǒng)、樓宇自動(dòng)化系統(tǒng)籌，這種組合提供了有效的結(jié)構(gòu)以增強(qiáng)各系統(tǒng)的互相補(bǔ)充。例如，一旦有了觸發(fā)警報(bào)的事件，就會(huì)發(fā)信號(hào)給視頻監(jiān)控系統(tǒng)以便提供事件現(xiàn)場(chǎng)的實(shí)時(shí)錄像，同時(shí)聯(lián)動(dòng)門禁系統(tǒng)封鎖相應(yīng)的門禁通道。

二、門禁系統(tǒng)的組網(wǎng)方式及網(wǎng)絡(luò)安全技術(shù)問題

1.組網(wǎng)方式及安全

目前網(wǎng)絡(luò)門禁系統(tǒng)有兩種組網(wǎng)方式。一種是基于RS485總線組網(wǎng)的門禁系統(tǒng)。另一種是網(wǎng)絡(luò)門禁系統(tǒng)的“IP網(wǎng)絡(luò)門禁”，“IP網(wǎng)絡(luò)門禁”是指門禁控制器與門禁服務(wù)器的通訊采用TCP/IP協(xié)議的門禁系統(tǒng)。

以前我們大都關(guān)注門禁系統(tǒng)的可靠性，目前門禁系統(tǒng)的安全性則受到越來越多的關(guān)注，尤其是一些國(guó)家機(jī)要部門、保密部門對(duì)門禁系統(tǒng)數(shù)據(jù)的安全性要求就更高。

對(duì)比傳統(tǒng)的基于485總線組網(wǎng)的門禁系統(tǒng)，IP網(wǎng)絡(luò)門禁的優(yōu)點(diǎn)主要體現(xiàn)在：(1)大大提高系統(tǒng)響應(yīng)速度，對(duì)于超過100個(gè)門禁點(diǎn)以上的門禁系統(tǒng)，尤其對(duì)視頻聯(lián)動(dòng)有要求的場(chǎng)合，應(yīng)該是首選;(2)提高系統(tǒng)可靠性，RS485雙絞總線技術(shù)成熟、簡(jiǎn)單易用，但抗干擾性能差;(3)提高系統(tǒng)可擴(kuò)展性，IP架構(gòu)更適合系統(tǒng)的標(biāo)準(zhǔn)化擴(kuò)充，對(duì)與異地聯(lián)網(wǎng)使用的集團(tuán)用戶來講是最佳選擇;(4)提高系統(tǒng)的可維護(hù)性，IP網(wǎng)絡(luò)門禁便于實(shí)現(xiàn)遠(yuǎn)程診斷，維護(hù)。對(duì)比傳統(tǒng)的基于485總線組網(wǎng)的門禁系統(tǒng)不足的地方應(yīng)該是IP網(wǎng)絡(luò)門禁控制器價(jià)格應(yīng)該高于RS485門禁控制器。

對(duì)于兩種組網(wǎng)方式系統(tǒng)的網(wǎng)絡(luò)安全性來講，任何一種網(wǎng)絡(luò)通訊都存在被第三方竊聽或修改的風(fēng)險(xiǎn)，RS485總線通訊技術(shù)比較簡(jiǎn)單，較以TCP/IP協(xié)議組網(wǎng)的“IP網(wǎng)絡(luò)門禁”更容易被攻擊。

TCP/IP協(xié)議是應(yīng)用最廣泛的網(wǎng)絡(luò)通信協(xié)議，通信能力強(qiáng)大，但TCP/IP協(xié)議包在傳輸過程中非常容易通過專用軟件監(jiān)聽和截獲，網(wǎng)絡(luò)中TCP/IP協(xié)議的對(duì)話很容易被第三者竊聽或修改。

這種威脅的主要危險(xiǎn)是門禁系統(tǒng)中的出人權(quán)限和管理員的用戶信息及密碼非常容易被截獲。最可怕的危險(xiǎn)是合法通信被修改的可能性，被修改的信息用于非法的出入，甚至攔截阻斷實(shí)時(shí)報(bào)警事件等將會(huì)給客戶的安全造成難以估量的損失。

TCP/IP通信包被攔截執(zhí)行于許多方面。如更改信息的方向，引起網(wǎng)絡(luò)上的主機(jī)在網(wǎng)絡(luò)對(duì)話期間改變它們發(fā)送報(bào)文包的地址。

對(duì)截?cái)鄬?duì)話感興趣的破壞者可能會(huì)利用某一個(gè)方法設(shè)置中繼。一個(gè)中繼破壞可能發(fā)生在網(wǎng)絡(luò)中任何地方，甚至是距離客戶系統(tǒng)很遠(yuǎn)的位置。中繼機(jī)器能夠?qū)崟r(shí)調(diào)節(jié)通信量或記錄用于日后分析的報(bào)文包。中繼機(jī)器也能夠改變被傳輸?shù)耐ㄐ艃?nèi)容。

獲取通信內(nèi)容的方法只需要使用一種被動(dòng)包監(jiān)控器(常常稱為“包取樣器”)。包取樣器能夠以中繼破壞的方式向蓄意破壞系統(tǒng)安全者提供被記錄的網(wǎng)絡(luò)信息。

目前在大型項(xiàng)目如地鐵、銀行、無人值守機(jī)房、電信電力、軍隊(duì)、國(guó)家政府機(jī)關(guān)等高安全要求場(chǎng)所，其使用的TCP/IP門禁系統(tǒng)的99%的產(chǎn)品沒有網(wǎng)絡(luò)層的防侵入安全機(jī)制，由于客戶并不了解隨時(shí)存在被非法侵入的潛在風(fēng)險(xiǎn)，一旦遭到攻擊將直接威脅到客戶的正常運(yùn)營(yíng);甚至?xí)斐芍卮蟮娜藛T和財(cái)產(chǎn)損失，因此解決TCP/IP門禁系統(tǒng)的安全性問題成為急待解決的問題。

2.網(wǎng)絡(luò)安全技術(shù)在門禁系統(tǒng)中的應(yīng)用

目前為了保證門禁系統(tǒng)的數(shù)據(jù)和通信安全，主要采用的網(wǎng)絡(luò)安全技術(shù)主要有：安全密碼學(xué)技術(shù)、偽卡防范技術(shù)、設(shè)備認(rèn)證技術(shù)、入侵檢測(cè)、數(shù)據(jù)傳輸加密技術(shù)、數(shù)據(jù)存儲(chǔ)、備份和容災(zāi)技術(shù)等。下面列舉常見幾種網(wǎng)絡(luò)安全技術(shù)在保證門禁系統(tǒng)方面的應(yīng)用。

借用VPN網(wǎng)絡(luò)通道方法

采用圖1這種方法解決了VPN通道外的非法電腦攻擊的威脅。缺點(diǎn)是還存在來自VPN通道內(nèi)部的非法電腦攻擊的可能性。

采用圖2這種方法給每一個(gè)控制器配一個(gè)獨(dú)立的VPN設(shè)備，優(yōu)點(diǎn)是系統(tǒng)中每個(gè)設(shè)備具有獨(dú)立的安全通道，有效的解決了內(nèi)部和外部電腦攻擊的威脅。缺點(diǎn)是投資成本非常高及維護(hù)成本高。

選用高安全加密技術(shù)的網(wǎng)絡(luò)門菜設(shè)備

如西門子公司的SIPASS門禁系統(tǒng)，該類產(chǎn)品通訊服務(wù)中采用了SSL加密技術(shù)，通訊服務(wù)軟件與管理客戶滿與控制器之間的通訊全部是通過SSL加密、解密、身份驗(yàn)證等嚴(yán)格的安全檢測(cè)機(jī)制來完成。

目前網(wǎng)上銀行安全加密也是采用SSL的加密技術(shù)，該類門禁系統(tǒng)產(chǎn)品中全面系統(tǒng)的安全機(jī)制保障了客戶在復(fù)雜的網(wǎng)絡(luò)環(huán)境中的安全，其特點(diǎn)是既滿足了客戶對(duì)整個(gè)系統(tǒng)的高安全性的要求又相對(duì)節(jié)省成本，還可以大量節(jié)約后期使用和維護(hù)成本，是非常有價(jià)值的選擇。

三、門禁系統(tǒng)與其他系統(tǒng)的集成與信息交互共享

隨著數(shù)字網(wǎng)絡(luò)化、建筑智能化技術(shù)的迅速發(fā)展，門禁系統(tǒng)與其他系統(tǒng)的融合將更加緊密，范圍會(huì)越來越廣，滲透到社會(huì)各個(gè)領(lǐng)域，并發(fā)揮日益重要的作用。除了包含門禁、考勤、證件、巡更、就餐、消費(fèi)、健身、醫(yī)療、停車場(chǎng)、圖書資料、會(huì)議簽到、訪客管理、電梯控制管理、辦公設(shè)備管理、會(huì)所娛樂、三表及物業(yè)交費(fèi)等，還與其他智能化系統(tǒng)進(jìn)行必要的集成和聯(lián)動(dòng)，如防盜報(bào)警、閉路監(jiān)控、消防報(bào)警，甚至是樓宇自控系統(tǒng)等等。

此外，系統(tǒng)還將與ERP等系統(tǒng)做數(shù)據(jù)接口，如考勤與薪資、人事管理等交互數(shù)據(jù)，互為依據(jù)。

網(wǎng)絡(luò)門禁系統(tǒng)具有下列功能特點(diǎn)：

數(shù)據(jù)共享：利用系統(tǒng)資源，加快數(shù)據(jù)交換速度。

實(shí)時(shí)監(jiān)控：對(duì)系統(tǒng)內(nèi)的所有終端進(jìn)行實(shí)時(shí)監(jiān)控。

快速檢索：在同一個(gè)數(shù)據(jù)庫(kù)中可以一次檢索所有記錄，提高效率和準(zhǔn)確性。

綜合統(tǒng)計(jì)：所有統(tǒng)計(jì)報(bào)表可在管理中心完成。

方便管理：在管理中心可完成對(duì)所有系統(tǒng)的管理。

建筑智能化系統(tǒng)發(fā)展到現(xiàn)在，網(wǎng)絡(luò)門禁及一卡通系統(tǒng)集成化管理已然是大趨勢(shì)，簡(jiǎn)單拼湊而成的“一卡通”已經(jīng)不能滿足現(xiàn)實(shí)的儒求，而要求一卡通系統(tǒng)內(nèi)部實(shí)現(xiàn)無縫的鏈接，以及對(duì)外部其他智能化系統(tǒng)的有機(jī)聯(lián)動(dòng)。

門禁系統(tǒng)與其他系統(tǒng)的聯(lián)動(dòng)主要有兩種實(shí)現(xiàn)方式。

第一種是硬件方式

即采用門禁系統(tǒng)輸出繼電器干觸點(diǎn)給模擬電視監(jiān)控系統(tǒng)的矩陣報(bào)警輸入模塊和DVR的報(bào)警輸入端，以實(shí)現(xiàn)對(duì)受控門點(diǎn)或相關(guān)部位的圖像抓拍和監(jiān)視功能。這類整合方式是以往最常用的，也是最基本的，然而問題是事后不能通過更快捷的手段查詢，同時(shí)安裝調(diào)試也相當(dāng)麻煩。

第二種是軟件方式

具有支持?jǐn)?shù)字視頻服務(wù)器(編碼器)功能的門禁控制器，與數(shù)字監(jiān)控系統(tǒng)同時(shí)實(shí)現(xiàn)從設(shè)備協(xié)議層到軟件數(shù)據(jù)庫(kù)層的雙重?cái)?shù)據(jù)交換功能。另一種方式就是直接在DVR視頻采集卡的SDK中兼容門禁管理系統(tǒng)軟件的程序，通過門禁系統(tǒng)軟件功能項(xiàng)關(guān)聯(lián)到DVR設(shè)備。以上兩種軟件方式各有利弊。前者優(yōu)點(diǎn)是系統(tǒng)反應(yīng)速度快，不會(huì)存在延時(shí)，缺點(diǎn)是視頻資料必須保存在本地管理主機(jī)中，對(duì)主機(jī)硬盤的容量要求較高。后者的優(yōu)點(diǎn)是本地的管理主機(jī)不必保存視頻流資料，需要時(shí)只是調(diào)用遠(yuǎn)端DVR中的數(shù)據(jù)即可，缺點(diǎn)是關(guān)聯(lián)的視頻會(huì)存在1-3秒左右的延時(shí)，不能對(duì)通道處異常情況之前的視頻進(jìn)行調(diào)用。除此之外，還有一種軟件方式是由智能化系統(tǒng)平臺(tái)來做集成，此軟件是由設(shè)備提供商提供OPC標(biāo)準(zhǔn)接口或者數(shù)據(jù)開發(fā)包，再由專業(yè)的軟件商來做開發(fā)，在第三方軟件里顯示進(jìn)出數(shù)據(jù)及視頻信息，此類軟件同時(shí)集成各類系統(tǒng)以達(dá)到統(tǒng)一管理的目的，弊端是開發(fā)周期較長(zhǎng)。

四、網(wǎng)絡(luò)門禁系統(tǒng)的發(fā)展趨勢(shì)

綜上所述，網(wǎng)絡(luò)化門禁是指基于TCP/IP通訊的門禁系統(tǒng)，采用TCP/IP通訊協(xié)議的門禁系統(tǒng)優(yōu)點(diǎn)在于通信速度快、網(wǎng)絡(luò)不受距離限制、網(wǎng)絡(luò)資源容易獲得、系統(tǒng)可管理的控制器數(shù)量龐大等，因此，采用該協(xié)議作為聯(lián)網(wǎng)模式的門禁設(shè)備已經(jīng)成為大型門禁系統(tǒng)項(xiàng)目和遠(yuǎn)程管理門禁系統(tǒng)項(xiàng)目的主流產(chǎn)品。它與傳統(tǒng)門禁相比，在通訊和實(shí)時(shí)監(jiān)控、數(shù)據(jù)傳輸、組網(wǎng)等方面有了很大提高，改善了RS485實(shí)時(shí)性不足的缺點(diǎn)，在組網(wǎng)上它已經(jīng)突破了早期單條RS485總線最多接入128臺(tái)控制器的限制，從總線型網(wǎng)絡(luò)改成星形結(jié)構(gòu)，任何一點(diǎn)出現(xiàn)問題都不會(huì)對(duì)系統(tǒng)構(gòu)成影響，系統(tǒng)故障也很容易查找并排除。

毋庸置疑，隨著安防行業(yè)智能化、集成化、網(wǎng)絡(luò)化的不斷發(fā)展，門禁系統(tǒng)將會(huì)走出一條全新的道路，與安防視頻監(jiān)控系統(tǒng)、防盜報(bào)警系統(tǒng)，以及消防報(bào)警系統(tǒng)和樓宇自控系統(tǒng)等的整臺(tái)已經(jīng)成為一個(gè)發(fā)展趨勢(shì);另外，打造與建筑智能化子系統(tǒng)的信息共享與無縫集成也必將會(huì)是門禁系統(tǒng)發(fā)展的方向。