新技術(shù)促進(jìn)門禁系統(tǒng)的融合應(yīng)用

■ 趙建邦

作者為HID Global大中華區(qū)營(yíng)銷總監(jiān)

智能門禁系統(tǒng)已經(jīng)越來(lái)越廣泛地應(yīng)用于人們的日常生活中，隨著人們需求的多樣化發(fā)展，對(duì)門禁系統(tǒng)的各方面要求也在不斷地提高，而新技術(shù)的出現(xiàn)，使得門禁系統(tǒng)發(fā)展到一個(gè)嶄新的階段。

目前，智能門禁系統(tǒng)已經(jīng)越來(lái)越廣泛地應(yīng)用于人們的日常生活中，隨著人們需求的多樣化發(fā)展，對(duì)門禁系統(tǒng)的各方面要求也在不斷地提高，已經(jīng)不僅僅限于單一的出入口控制。人們更希望門禁與現(xiàn)實(shí)生活中的各種各樣的應(yīng)用進(jìn)行更好的結(jié)合，從而產(chǎn)生更高的經(jīng)濟(jì)效益與社會(huì)效益，例如，考勤、證件、巡更、就餐、消費(fèi)、健身、醫(yī)療、停車場(chǎng)、圖書(shū)資料、會(huì)議簽到、訪客管理、電梯控制管理、辦公設(shè)備管理、會(huì)所娛樂(lè)，并與其它智能化系統(tǒng)進(jìn)行必要的集成和聯(lián)動(dòng)，如防盜報(bào)警、閉路監(jiān)控、消防報(bào)警，樓宇自控系統(tǒng)等等。

開(kāi)放的門禁系統(tǒng)架構(gòu)

基于門禁服務(wù)需求的發(fā)展，智能門禁系統(tǒng)的設(shè)計(jì)要更加開(kāi)放，易于與其它系統(tǒng)進(jìn)行接合，同時(shí)，開(kāi)放的門禁系統(tǒng)架構(gòu)對(duì)安全設(shè)計(jì)更高。

HID 的聯(lián)網(wǎng)門禁系統(tǒng)解決方案提供了開(kāi)放式架構(gòu)、支持IP 的平臺(tái)。其中，EDGE EVO和VertX EVO控制器平臺(tái)包括一套帶有OPIN應(yīng)用程序接口的開(kāi)發(fā)工具套件，具備更強(qiáng)擴(kuò)展能力和更優(yōu)越的性能。

OPIN 開(kāi)發(fā)平臺(tái)為 HID聯(lián)網(wǎng)門禁解決方案產(chǎn)品組合中的所有產(chǎn)品提供統(tǒng)一接口。該平臺(tái)由硬件、固件以及 SDK 庫(kù)、文檔和參考實(shí)施構(gòu)成，可簡(jiǎn)化開(kāi)發(fā)行業(yè)中最廣泛的開(kāi)放式架構(gòu)門禁控制解決方案。與為有限 OEM 客戶群提供門禁產(chǎn)品的其他制造商不同，HID支持輕松轉(zhuǎn)換任何 HID OPIN 認(rèn)證的系統(tǒng)供應(yīng)商，并能夠根據(jù)需要開(kāi)發(fā)多樣化功能。

融合多維安防系統(tǒng)

安防系統(tǒng)不能采用各個(gè)子系統(tǒng)單獨(dú)運(yùn)作的模式，而必須實(shí)現(xiàn)各子系統(tǒng)互相聯(lián)動(dòng)的模式，從而使安防整體性和安全性得到提升。因此，采用的門禁系統(tǒng)可通過(guò)聯(lián)動(dòng)輸出點(diǎn)與樓宇自動(dòng)化、閉路監(jiān)控、防盜及消防報(bào)警等其他系統(tǒng)協(xié)調(diào)聯(lián)動(dòng)。比如接到火災(zāi)報(bào)警信號(hào)后，系統(tǒng)能夠自動(dòng)打開(kāi)控制區(qū)域內(nèi)的所有大門，以利于控制區(qū)域內(nèi)的人員逃生。如果在重要部位安裝有攝像機(jī)，系統(tǒng)還可自動(dòng)聯(lián)動(dòng)切換攝像機(jī)畫面，對(duì)需要監(jiān)控的部位進(jìn)行監(jiān)控和錄像。又如當(dāng)報(bào)警系統(tǒng)產(chǎn)生報(bào)警信號(hào)時(shí)，相關(guān)的門將被系統(tǒng)強(qiáng)制封閉，無(wú)論采用何種措施均不能打開(kāi)；只有當(dāng)警報(bào)解除，控制中心通過(guò)軟件解除封閉后，門才可以正常打開(kāi)。

HID 的EDGE EVO和VertX EVO控制器平臺(tái)可支持融合多維安防系統(tǒng)，通過(guò)強(qiáng)大的自定義規(guī)則引擎支持將系統(tǒng)硬件與常規(guī)應(yīng)用，包括消防、視頻監(jiān)控和網(wǎng)絡(luò)視頻記錄進(jìn)行聯(lián)動(dòng)。

（1）與消防系統(tǒng)的聯(lián)動(dòng)

醫(yī)院可以采用的門禁系統(tǒng)與消防報(bào)警系統(tǒng)有兩種聯(lián)動(dòng)方式，一種是硬聯(lián)動(dòng)，即門禁系統(tǒng)的報(bào)警輸入模塊接收消防報(bào)警主機(jī)輸出的干接點(diǎn)報(bào)警信號(hào)，釋放部分區(qū)域或全部區(qū)域門鎖，實(shí)現(xiàn)聯(lián)動(dòng)；一種是軟聯(lián)動(dòng)，即門禁系統(tǒng)與消防報(bào)警系統(tǒng)通過(guò)網(wǎng)絡(luò)通信方式或RS232串行通信接口實(shí)現(xiàn)聯(lián)動(dòng)。當(dāng)火災(zāi)發(fā)生時(shí)，門禁集成管理系統(tǒng)能夠在工作站屏幕顯示該區(qū)的分區(qū)圖及報(bào)警位置，按照預(yù)設(shè)程序指令來(lái)定義疏散線路，根據(jù)火災(zāi)發(fā)生的地理位置，將緊急疏散門打開(kāi)或?qū)⒎阑鸶綦x門關(guān)閉。

（2）與CCTV系統(tǒng)的聯(lián)動(dòng)

另外，門禁系統(tǒng)可在出現(xiàn)報(bào)警事件時(shí)通過(guò)網(wǎng)絡(luò)通信方式或串行通信接口自動(dòng)向CCTV矩陣主機(jī)和DVR系統(tǒng)發(fā)出要求響應(yīng)的指令，提供地址給CCTV系統(tǒng)，同時(shí)，系統(tǒng)會(huì)將位于或鄰近于事件發(fā)生地點(diǎn)的攝像機(jī)、云臺(tái)調(diào)整到預(yù)設(shè)的預(yù)置點(diǎn)位置，將現(xiàn)場(chǎng)情況顯示在特定的監(jiān)視器和門禁及報(bào)警系統(tǒng)監(jiān)控計(jì)算機(jī)的屏幕上，并根據(jù)需要控制視頻記錄設(shè)備對(duì)現(xiàn)場(chǎng)情況進(jìn)行記錄。同時(shí)，CCTV系統(tǒng)能夠在其多媒體計(jì)算機(jī)顯示屏上顯示報(bào)警點(diǎn)。兩系統(tǒng)間的聯(lián)動(dòng)操作是自動(dòng)進(jìn)行的，不需要操作員進(jìn)行任何干涉。門禁系統(tǒng)還可將CCTV系統(tǒng)的畫面導(dǎo)入自己的工作站，進(jìn)行顯示和監(jiān)控；并能與多個(gè)CCTV系統(tǒng)連接——接口支持不同廠商制造的CCTV矩陣系統(tǒng)。

（3）與照明/空調(diào)系統(tǒng)報(bào)警系?統(tǒng)的聯(lián)動(dòng)

門禁系統(tǒng)通過(guò)控制讀卡器接口模塊的輔助輸入輸出點(diǎn)或報(bào)警模塊的輸入輸出點(diǎn)實(shí)現(xiàn)與燈光/空調(diào)系統(tǒng)控制的聯(lián)動(dòng)；可在持卡人讀卡進(jìn)入的同時(shí)，自動(dòng)打開(kāi)預(yù)先設(shè)定的燈光照明和空調(diào)系統(tǒng)，通過(guò)卡片進(jìn)行布撤防管理。

（4）與電梯控制系統(tǒng)的聯(lián)動(dòng)

采用的門禁系統(tǒng)的電梯控制模塊，既可以接在電梯機(jī)房?jī)?nèi)的電梯控制器上，也可以采用與轎廂內(nèi)樓層控制面板線路相連的方式實(shí)現(xiàn)對(duì)電梯的控制，使持卡人只能進(jìn)入其卡片權(quán)限允許的受控樓層。其電梯控制模塊能提供緊急觸點(diǎn)，還可以定義時(shí)區(qū)，以實(shí)現(xiàn)工作狀態(tài)的自動(dòng)轉(zhuǎn)換。當(dāng)有緊急情況發(fā)生，如出現(xiàn)火災(zāi)報(bào)警時(shí)，電梯在收到消防信號(hào)后將不再受電梯控制系統(tǒng)的控制，而由電梯本身或者消防系統(tǒng)切入控制，以便于人員的及時(shí)疏散和撤離。

移動(dòng)化浪潮下，自備終端的一卡通應(yīng)用

隨著技術(shù)進(jìn)步，門禁卡能進(jìn)行更多復(fù)雜的應(yīng)用。就如今天的13.56 MHz非接觸式智能卡，不但能綁定持卡人，更能與讀卡器進(jìn)行雙重身份驗(yàn)證保障安全。此外，非接觸式智能卡的安全存儲(chǔ)功能使其支持多種應(yīng)用，例如生物識(shí)別、小額電子支付以及安全PC桌面登錄。

在今日的移動(dòng)世界中，將身份信息嵌入到各種便攜式設(shè)備的應(yīng)用已經(jīng)成功實(shí)現(xiàn)。虛擬憑證卡技術(shù)促使業(yè)界轉(zhuǎn)變，身份認(rèn)證不再局限于利用傳統(tǒng)的門禁卡，而是擴(kuò)大至很多不同形式，允許我們能利用移動(dòng)設(shè)備，如智能手機(jī)、USB加密鎖、記憶棒、基于微處理器的Smart MX卡開(kāi)門、購(gòu)物以及安全地進(jìn)行其他交易。

在這種新的移動(dòng)門禁模式中，無(wú)論企業(yè)還是個(gè)人的移動(dòng)設(shè)備都可以用作憑證卡，并補(bǔ)充現(xiàn)有的安全系統(tǒng)。這正是HID 關(guān)注的重要領(lǐng)域。HID的虛擬憑證卡技術(shù)使智能手機(jī)能通過(guò)互聯(lián)網(wǎng)或空中接收來(lái)自服務(wù)提供商的虛擬卡片及信息，并將帶有虛擬憑證卡的智能手機(jī)在iCLASS SE讀卡器前讀取。這些手機(jī)還能產(chǎn)生一次性的動(dòng)態(tài)密碼（簡(jiǎn)稱OTP），以安全地登錄到另一部移動(dòng)設(shè)備或桌面電腦上，并訪問(wèn)網(wǎng)絡(luò)。此外，后臺(tái)融合技術(shù)的進(jìn)步將為電腦和網(wǎng)絡(luò)登錄提供強(qiáng)大的驗(yàn)證和卡片管理功能，確保在塑膠卡片和智能手機(jī)上均能管理身份信息，并確保打印機(jī)系統(tǒng)也能支持這兩種形式的身份信息。

另外，具備虛擬憑證卡的智能手機(jī)可用來(lái)購(gòu)買物品，例如在公司食堂買飯，還可用來(lái)安全地使用打印設(shè)備?？紤]到自備智能手機(jī)具有如此豐富的功能，越來(lái)越多的員工開(kāi)始用自己的手機(jī)訪問(wèn)系統(tǒng)、數(shù)據(jù)和公司設(shè)施。

BYOD 的安全管理

隨著門禁和電腦桌面登錄應(yīng)用轉(zhuǎn)向自備智能手機(jī)，安全問(wèn)題是關(guān)鍵。首先，要保護(hù)個(gè)人隱私，同時(shí)保護(hù)企業(yè)免受會(huì)造成損害的個(gè)人應(yīng)用的影響，所有應(yīng)用和其他ID憑證卡都必須局限于在個(gè)人和企業(yè)之間使用。在利用虛擬密鑰及虛擬憑證卡達(dá)成其他應(yīng)用的過(guò)程中，讓應(yīng)用支持PIN碼輸入，以使密鑰“解鎖”，完成驗(yàn)證或簽署過(guò)程。此外，中間件API必須標(biāo)準(zhǔn)化，保證ID憑證卡功能的更多應(yīng)用。

另外一種方式是支持衍生憑證卡，例如從美國(guó)聯(lián)邦工作人員的個(gè)人身份驗(yàn)證（簡(jiǎn)稱PIV）卡衍生的那些憑證卡。局限于企業(yè)和個(gè)人之間這種使用方式與衍生憑證卡相結(jié)合，還會(huì)催生對(duì)分層生命周期管理的需求。例如，如果移動(dòng)設(shè)備丟失，那么憑借分層生命周期管理，就可以取消所有憑證卡，而如果取消個(gè)人身份驗(yàn)證卡，那么將自動(dòng)取消僅用于工作環(huán)境的移動(dòng)ID憑證卡。

此外，門禁和電腦桌面登錄功能要在自備智能手機(jī)上共存，就需要確保云端存儲(chǔ)的安全性。有4種可能的方法。第一種是在公用互聯(lián)網(wǎng)上采用一種開(kāi)放的訪問(wèn)模型，在這種模型中，用戶名和密碼由軟件即服務(wù)（SaaS）供應(yīng)商管理。盡管這種方法易于采用，但是所提供的數(shù)據(jù)保護(hù)能力是最弱的。第二種是采用虛擬專用網(wǎng)絡(luò)（簡(jiǎn)稱VPN），并要求遠(yuǎn)程用戶在輸入用戶名和密碼之前，先就虛擬專用網(wǎng)絡(luò)進(jìn)行驗(yàn)證（最有可能的是通過(guò)一次性動(dòng)態(tài)密碼解決方案實(shí)現(xiàn)）。不過(guò)，虛擬專用網(wǎng)絡(luò)對(duì)用戶而言不夠方便，不能很好地?cái)U(kuò)展以容納自備設(shè)備，因?yàn)樘摂M專用網(wǎng)絡(luò)要求在很多不同的設(shè)備上安裝虛擬專用網(wǎng)絡(luò)客戶端和個(gè)人應(yīng)用，而且虛擬專用網(wǎng)絡(luò)沒(méi)有針對(duì)互聯(lián)網(wǎng)安全威脅提供額外保護(hù)。

第三種方法是強(qiáng)大的本機(jī)驗(yàn)證，這種方法也不夠便利，因?yàn)槊總€(gè)應(yīng)用都要求獨(dú)特的、唯一的安全解決方案。第四種也是最好的一種方法，是聯(lián)合身份管理，采用這種方法時(shí)，用戶就一個(gè)中央門戶進(jìn)行驗(yàn)證，以訪問(wèn)多種應(yīng)用。這種方式支持很多不同的驗(yàn)證方法，不需要在最終用戶的設(shè)備上安裝任何東西，而且可對(duì)任何被訪問(wèn)的應(yīng)用集中提供審計(jì)記錄，因此能滿足法規(guī)遵從要求。這種方法也能經(jīng)得起高級(jí)持續(xù)性威脅（簡(jiǎn)稱APTs）、專門的黑客攻擊、前員工的惡意行為以及員工欺詐等內(nèi)部安全威脅。聯(lián)合身份管理還適用于存儲(chǔ)在其他地方的內(nèi)部應(yīng)用，使用戶能在一個(gè)位置上方便地訪問(wèn)各種應(yīng)用。不過(guò)，無(wú)論選擇哪種方法，對(duì)于企業(yè)一方和自備終端所有者一方而言，都有可能存在其他需要解決的政策及采用問(wèn)題。企業(yè)想要自備終端所有者放棄一定的權(quán)利，以使他們能用自己的手機(jī)開(kāi)門和登錄電腦桌面，而自備終端所有者不想使用某些功能，因?yàn)樗麄兒ε滦孤峨[私。

自備終端具備大量?jī)?yōu)點(diǎn)，尤其是員工的智能手機(jī)能成為一種載體，寄存了企業(yè)中種類日益增多的門禁和電腦桌面登錄密鑰及憑證卡。即將出現(xiàn)的新一代移動(dòng)門禁控制解決方案將提供更大的便利性和管理靈活性，同時(shí)可確保在智能手機(jī)、電腦和網(wǎng)絡(luò)資源、門禁控制系統(tǒng)以及云端和空中交付身份信息的基礎(chǔ)設(shè)施之間，安全地處理數(shù)據(jù)。