门禁系统自动化网络化成为市场发展助推器
- 来源:中国安防展览网整理 作者:编辑部
- 2013/1/5 10:39:092217
门禁一卡通集成化
随着安防系统数字网络化发展的加快,网络化产品范围不断扩大,门禁系统也从传统的RS485总线传输方式,稳步向TCP/IP网络方向深入。RS485通讯方式在节点数量、传输距离、通讯速率等方面的局限制约了它的应用,尤其是大型门禁系统的应用。而基于TCP/IP网络通讯方式的门禁系统,具有无节点限制,覆盖范围广,通讯速度快干扰小等优势,全面于RS485总线方式,理所当然会获得众多用户特别是大型门禁系统用户的青睐。
必须引起注意的是,市场上有些采用外置式或内置式网络转换器的门禁系统,其实是使用了RS485转TCP/IP的中间设备,并非真正意义上的网络门禁。真正意义上的网络门禁,其门禁控制器一般采用32位ARM7/9的微处理器来实现。
采用全TCP/IP方式的门禁系统,可充分利用已建的网络资源,新布线工程量少,可跨区域使用而不受距离限制,信息传输和存储量能大幅度提升。但如果项目本来无网络,专门架设网络反而增加了前期投入成本,目前还主要应用100门以上的大型系统。
技术发展的另一方面,是门禁系统和其他安防系统统的整合,主要是整合视频监控系统、入侵报警系统、周界探测系统、消防报警系统、楼宇自动化系统。这种组合提供了有效的结构以增强各系统的互相补充。例如,一旦有了触发警报的事件,就会发信号给视频监控系统以便提供事件现场的实时录像,同时联动门禁系统封锁相应的门禁通道。
此外,门禁与一卡通系统的融合将更加紧密,范围会越来越广,渗透到社会各个领域,并发挥日益重要的作用。除了包含门禁、考勤、证件、巡更、就餐、消费、健身、医疗、停车场、图书资料、会议签到、访客管理、电梯控制管理、办公设备管理、会所娱乐、三表及物业交费等,还与其它智能化系统进行必要的集成和联动,如防盗报警、闭路监控、消防报警,甚至是楼宇自控系统等等。
此外,系统还将与ERP等系统做数据接口,如考勤与薪资、人事管理等交互数据,互为依据。
门禁一卡通本意
从本质意义上讲,真正的门禁一卡通管理系统应是基于“一卡、一库、一网”和设计思想。“一卡”就是在一张卡片上实现门禁、考勤、就餐、巡更、停车场、娱乐消费、内部购物等功能。“一库”就是在同一个软件管理平台上,实现卡的发行、挂失、充值、资料查询等管理,所有系统共用一个数据库。“一网”就是各系统的终端接入局域网进行数据传输和信息交换。
真正的一卡通管理系统应具有下列功能特点:
数据共享:利用系统资源,加快数据交换速度。实时监控:对系统内的所有终端进行实时监控。快速检索:在同一个数据库中可以一次检索所有记录,提率和准确性。综合统计:所有统计报表可在管理中心完成。方便管理:在管理中心可完成对所有系统的管理。
智能化和安防系统发展到现在,一卡通集成化管理已然是大趋势,简单拼凑而成的“一卡通”已经不能满足现实的需求,而要求一卡通系统内部实现无缝的链接,以及对外部其他智能化系统的有机联动。
一卡通安全问题引起关注
门禁系统重要的载体就是卡片,卡片的选用直接关系到系统的安全性。IC卡全称集成电路卡(IntegratedCircuitCard),又称智能卡(SmartCard)。该种卡频率为13.56MHz,可读写,容量大,共分16个扇区,有加密功能,数据记录可靠,使用方便,如一卡通系统、消费系统等,目前主要有PHILIPS的Mifare1系列卡。ID卡全称身份识别卡(IdentificationCard),是一种不可写入的感应卡,含固定的编号,频率为125KHz,目前主要有EM、HID、TI、INDALA等种类。
ID卡由于其安全性差,容易复制,主要用于低端市场,以及对安全性要求较低的场合,因而IC卡成为门禁系统的。业界普遍认同的IC卡首推NXP的Mifare1卡,开放性和通用性都比较好,像广州的“羊城通”卡就是用的Mifare1卡。
一个消息的传出震惊了整个IC卡行业。德国和美国的研究人员成功地破解了NXP的Mifare1芯片的安全算法。Mifare1芯片主要用于门禁系统访问控制卡,以及一些小额支付卡,应用范围已覆盖。因此这项“成果”引起了不小的恐慌,因为一个掌握该破解技术的不法分子可以克隆任何一个门禁卡,从而自由进出政府机关大楼或公司办公室;可以批量克隆或伪造各种储值卡大肆购物而不被发现。国内发行的这种卡,估计有几亿张在投入使用,它的安全性涉及到众多的运营单位和持卡人的利益。通过这种方法,破坏者可以使用非常廉价的设备在40ms内就可以轻易获得一张M1卡的密码。
在Mifare1卡片安全问题暴露后,一些公司公开宣称已经有了解决的办法,其中的法宝就是所谓“一卡一密”,也就是每一张卡片的每一个扇区的密钥都不相同,使用CPU卡装载系统根密钥,根据Mifare1卡的序列号计算子密钥,防止一张卡片被破解而影响整个系统。其实这种解决方案在Mifare1卡破解之前就已经出现。那么,一卡一密真的能解决Mifare1的安全问题么,我们还是要从Mifare1卡的认证机制着手进行分析。
实际上,这种一卡一密的做法是借用了CPU卡认证机制中的一卡一密概念,然而它在有意无意间忽略了一个非常重要的事实,即CPU卡和逻辑加密卡是完全不同的两种卡片,它们的认证机制完全不同。CPU卡由于内部具有CPU处理器和操作系统COS,认证的过程完全是在用户卡与SAM卡之间进行的,认证过程中传送的是随机数和密文,读卡器基站芯片只是一个通讯通道,认证过程不能复制,使用的算法是公开算法,其安全性是基于CPU卡对密钥的保护而非对算法的保护。
密钥在用户卡和SAM卡内都不能读出,而且密钥的安装是通过密文进行,系统上线后即使是发卡人员和开发人员也无法得到密钥明文,从根本上保证了系统的安全性。正是由于意识到了Mifare1卡潜在的安全性问题,建设部才多次开会推广使用CPU卡。双界面CPU卡更是由于其应用的灵活性和对金融规范的支持得到了各方的赞赏。
门禁系统自动化连接
一般门禁管理系统的维运成本十分昂贵,需要花费很多人力且数据错误百出,门禁安全性极低,产出效果十分有限。因此,门禁管理系统若能与HR系统、签核系统、考勤系统、企业入口网站等连结(如图一),方可发挥门禁管理系统的大效益,并降低维运成本。而系统之间的链接,又以「自动化」为的选择。系统自动化可降低人为操作,一来减少人员操作成本,二来降低人员操作的错误。以下将分述降低维运成本重要的方法。
1、与HR系统的自动化链接
当企业有新进人员到职时,人事管理员会将新进员工的人事数据,如:工号、姓名、卡号、部门、职称、性别等,输入HR系统。此时,门禁系统应依照新进员工的部门、职称、性别等数据,自动且实时于到职日,依权限规则开通,让该员可依权限进出自己的部门及公共区域,也可持卡做考勤刷卡及用餐刷卡。反之,当人事管理员在HR系统中标注此人员离职时,门禁系统应该自动于离职日关闭该离职员工的所有门禁、考勤及用餐权限。
2、与签核系统的自动化链接
当人员因为工作需要额外开通某些出入口权限时,会使用企业的门禁申请签核流程,该流程可能是电子签核流程。当门禁权限被核可后,门禁系统应该自动且实时开通该员申请的出入口权限。
3、与考勤系统的自动化链接
刷卡除了作为门禁管制外,一般也作为考勤上下班的打卡依据。传统上是利用文本文件将考勤刷卡数据以批次方式汇入考勤系统。但此种方法,无法让管理人员实时掌握员工的出缺勤状态,无法做到实时管理的效率要求。门禁管理系统应该将考勤刷卡数据实时写入考勤系统中。
4、与企业入口网站的自动化连结
企业内部入口(Portal)网站,是整合企业内常用的网络资源。入口网站可以显示员工近考勤及用餐刷卡记录,因为实时搜寻刷卡资料,员工便可以在时间做自我考勤管理或反应考勤异常,完全无需人事管理者手动通知。
而在高安全区域出入口,员工个人进出密码可透过企业入口网站,让员工设定自己的门禁密码,进而启用刷卡 密码的双重验证功能。以上与各系统的自动化链接,皆是做到既可管制人员门禁权限,又能降低管理成本的有效方法。
结束语
由以上趋势看,国内门禁市场正在将经历“洗牌”,相当多不具备研发实力或技术实力的小规模企业将因此生存更加艰难,而具备强大研发实力、创新技术的厂家将越来越强大,两极分化进一步加剧。