门禁现状及组网技术问题分析

    门禁产品在远古时代就已经存在，它作为人身财产安全防范的首道防线，是人们生活、工作的必备品。从一把锁、一道门等机械产品发展到网络化、集成化、智能化的现代门禁产品，可谓经历了千锤百炼，才练就出如今的本领。
　　今天的门禁产品，已经从单纯的一个产品发展成为整个系统。对于门禁，人们更多的称之为系统。门禁控制器、门禁读卡机、感应卡、门禁软件等多种设备构建成一套完善的门禁系统，才能最大程度的发挥安全的效能。
　　一、门禁现状
　　RS485通讯方式在节点数量、传输距离、通讯速率等方面的局限制约了它的应用，尤其是大型门禁系统的应用。而基于TCP/IP网络通讯方式的门禁系统，具有无节点限制、覆盖范围广、通讯速度快、干扰小等优势，全面领先于RS485总线方式，理所当然会获得众多用户的青睐。
　　目前市场上有些采用外置式或内置式网络转换器的门禁系统，其实是使用了RS485转TCP/IP的中间设备，并非真正意义上的网络门禁。真正意义上的网络门禁所采用的门禁控制器一般采用32位ARM7/9的微处理器来实现。
　　采用全TCP/IP方式的门禁系统，可充分利用已建的网络资源，新布线工程量少，可跨区域使用而不受距离限制，信息传输和存储量能大幅度提升。但如果项目本来无网络，专门架设网络反而增加了前期投入成本，目前还主要应用于100门以上的大型系统。
　　门禁系统技术发展的另一方面，是门禁系统和其他建筑智能化系统的整合，主要是整合视频监控系统、入侵报警系统、周界探测系统、消防报警系统、楼宇自动化系统筹，这种组合提供了有效的结构以增强各系统的互相补充。例如，一旦有了触发警报的事件，就会发信号给视频监控系统以便提供事件现场的实时录像，同时联动门禁系统封锁相应的门禁通道。
　　二、安全门禁的组网技术问题
　　（一）组网方式及安全
　　目前网络门禁系统有两种组网方式。一种是基于RS485总线组网的门禁系统。另一种是网络门禁系统的“IP网络门禁”，“IP网络门禁”是指门禁控制器与门禁服务器的通讯采用TCP/IP协议的门禁系统。
　　以前我们大都关注门禁系统的可靠性，目前门禁系统的安全性则受到越来越多的关注，尤其是一些国家机要部门、保密部门对门禁系统数据的安全性要求就更高。
　　对比传统的基于485总线组网的门禁系统，IP网络门禁的优点主要体现在：(1)大大提高系统响应速度，对于超过100个门禁点以上的门禁系统，尤其对视频联动有要求的场合，应该是首选;(2)提高系统可靠性，RS485双绞总线技术成熟、简单易用，但抗干扰性能差;(3)提高系统可扩展性，IP架构更适合系统的标准化扩充，对与异地联网使用的集团用户来讲是最佳选择;(4)提高系统的可维护性，IP网络门禁便于实现远程诊断，维护。对比传统的基于485总线组网的门禁系统不足的地方应该是IP网络门禁控制器价格应该高于RS485门禁控制器。
　　对于两种组网方式系统的网络安全性来讲，任何一种网络通讯都存在被第三方窃听或修改的风险，RS485总线通讯技术比较简单，较以TCP/IP协议组网的“IP网络门禁”更容易被攻击。
　　TCP/IP协议是应用最广泛的网络通信协议，通信能力强大，但TCP/IP协议包在传输过程中非常容易通过专用软件监听和截获，网络中TCP/IP协议的对话很容易被第三者窃听或修改。
　　这种威胁的主要危险是门禁系统中的出人权限和管理员的用户信息及密码非常容易被截获。最可怕的危险是合法通信被修改的可能性，被修改的信息用于非法的出入，甚至拦截阻断实时报警事件等将会给客户的安全造成难以估量的损失。
　　TCP/IP通信包被拦截执行于许多方面。如更改信息的方向，引起网络上的主机在网络对话期间改变它们发送报文包的地址。
　　对截断对话感兴趣的破坏者可能会利用某一个方法设置中继。一个中继破坏可能发生在网络中任何地方，甚至是距离客户系统很远的位置。中继机器能够实时调节通信量或记录用于日后分析的报文包。中继机器也能够改变被传输的通信内容。
　　获取通信内容的方法只需要使用一种被动包监控器(常常称为“包取样器”)。包取样器能够以中继破坏的方式向蓄意破坏系统安全者提供被记录的网络信息。
　　目前在大型项目如地铁、银行、无人值守机房、电信电力、军队、国家政府机关等高安全要求场所，其使用的TCP/IP门禁系统的99%的产品没有网络层的防侵入安全机制，由于客户并不了解随时存在被非法侵入的潜在风险，一旦遭到攻击将直接威胁到客户的正常运营;甚至会造成重大的人员和财产损失，因此解决TCP/IP门禁系统的安全性问题成为急待解决的问题。
　　（二）网络安全技术在门禁系统中的应用
　　目前为了保证门禁系统的数据和通信安全，主要采用的网络安全技术主要有：安全密码学技术、伪卡防范技术、设备认证技术、入侵检测、数据传输加密技术、数据存储、备份和容灾技术等。下面列举常见几种网络安全技术在保证门禁系统方面的应用。
　　借用VPN网络通道方法
　　采用图1这种方法解决了VPN通道外的非法电脑攻击的威胁。缺点是还存在来自VPN通道内部的非法电脑攻击的可能性。
　　采用图2这种方法给每一个控制器配一个独立的VPN设备，优点是系统中每个设备具有独立的安全通道，有效的解决了内部和外部电脑攻击的威胁。缺点是投资成本非常高及维护成本高。
　　选用高安全加密技术的网络门菜设备
　　如西门子公司的SIPASS门禁系统，该类产品通讯服务中采用了SSL加密技术，通讯服务软件与管理客户满与控制器之间的通讯全部是通过SSL加密、解密、身份验证等严格的安全检测机制来完成。
　　目前网上银行安全加密也是采用SSL的加密技术，该类门禁系统产品中全面系统的安全机制保障了客户在复杂的网络环境中的安全，其特点是既满足了客户对整个系统的高安全性的要求又相对节省成本，还可以大量节约后期使用和维护成本，是非常有价值的选择。
　　三、门禁系统与其他系统的交互共享
　　随着数字网络化、建筑智能化技术的迅速发展，门禁系统与其他系统的融合将更加紧密，范围会越来越广，渗透到社会各个领域，并发挥日益重要的作用。除了包含门禁、考勤、证件、巡更、就餐、消费、健身、医疗、停车场、图书资料、会议签到、访客管理、电梯控制管理、办公设备管理、会所娱乐、三表及物业交费等，还与其他智能化系统进行必要的集成和联动，如防盗报警、闭路监控、消防报警，甚至是楼宇自控系统等等。
　　此外，系统还将与ERP等系统做数据接口，如考勤与薪资、人事管理等交互数据，互为依据。
　　网络门禁系统具有下列功能特点：
　　数据共享：利用系统资源，加快数据交换速度。
　　实时监控：对系统内的所有终端进行实时监控。
　　快速检索：在同一个数据库中可以一次检索所有记录，提高效率和准确性。
　　综合统计：所有统计报表可在管理中心完成。
　　方便管理：在管理中心可完成对所有系统的管理。
　　建筑智能化系统发展到现在，网络门禁及一卡通系统集成化管理已然是大趋势，简单拼凑而成的“一卡通”已经不能满足现实的儒求，而要求一卡通系统内部实现无缝的链接，以及对外部其他智能化系统的有机联动。门禁系统与其他系统的联动主要有两种实现方式。
　　（一）第一种是硬件方式
　　即采用门禁系统输出继电器干触点给模拟电视监控系统的矩阵报警输入模块和DVR的报警输入端，以实现对受控门点或相关部位的图像抓拍和监视功能。这类整合方式是以往最常用的，也是最基本的，然而问题是事后不能通过更快捷的手段查询，同时安装调试也相当麻烦。
　　（二）第二种是软件方式
　　具有支持数字视频服务器(编码器)功能的门禁控制器，与数字监控系统同时实现从设备协议层到软件数据库层的双重数据交换功能。另一种方式就是直接在DVR视频采集卡的SDK中兼容门禁管理系统软件的程序，通过门禁系统软件功能项关联到DVR设备。以上两种软件方式各有利弊。前者优点是系统反应速度快，不会存在延时，缺点是视频资料必须保存在本地管理主机中，对主机硬盘的容量要求较高。后者的优点是本地的管理主机不必保存视频流资料，需要时只是调用远端DVR中的数据即可，缺点是关联的视频会存在1-3秒左右的延时，不能对通道处异常情况之前的视频进行调用。除此之外，还有一种软件方式是由智能化系统平台来做集成，此软件是由设备提供商提供OPC标准接口或者数据开发包，再由专业的软件商来做开发，在第三方软件里显示进出数据及视频信息，此类软件同时集成各类系统以达到统一管理的目的，弊端是开发周期较长。
　　四、网络门禁大动向
　　综上所述，网络化门禁是指基于TCP/IP通讯的门禁系统，采用TCP/IP通讯协议的门禁系统优点在于通信速度快、网络不受距离限制、网络资源容易获得、系统可管理的控制器数量庞大等，因此，采用该协议作为联网模式的门禁设备已经成为大型门禁系统项目和远程管理门禁系统项目的主流产品。它与传统门禁相比，在通讯和实时监控、数据传输、组网等方面有了很大提高，改善了RS485实时性不足的缺点，在组网上它已经突破了早期单条RS485总线最多接入128台控制器的限制，从总线型网络改成星形结构，任何一点出现问题都不会对系统构成影响，系统故障也很容易查找并排除。
　　毋庸置疑，随着安防行业智能化、集成化、网络化的不断发展，门禁系统将会走出一条全新的道路，与安防视频监控系统、防盗报警系统，以及消防报警系统和楼宇自控系统等的整台已经成为一个发展趋势;另外，打造与建筑智能化子系统的信息共享与无缝集成也必将会是门禁系统发展的方向。