新技術促進門禁系統的融合應用

■ 趙建邦

作者為HID Global大中華區營銷總監

智能門禁系統已經越來越廣泛地應用于人們的日常生活中，隨著人們需求的多樣化發展，對門禁系統的各方面要求也在不斷地提高，而新技術的出現，使得門禁系統發展到一個嶄新的階段。

目前，智能門禁系統已經越來越廣泛地應用于人們的日常生活中，隨著人們需求的多樣化發展，對門禁系統的各方面要求也在不斷地提高，已經不僅僅限于單一的出入口控制。人們更希望門禁與現實生活中的各種各樣的應用進行更好的結合，從而產生更高的經濟效益與社會效益，例如，考勤、證件、巡更、就餐、消費、健身、醫療、停車場、圖書資料、會議簽到、訪客管理、電梯控制管理、辦公設備管理、會所娛樂，并與其它智能化系統進行必要的集成和聯動，如防盜報警、閉路監控、消防報警，樓宇自控系統等等。

開放的門禁系統架構

基于門禁服務需求的發展，智能門禁系統的設計要更加開放，易于與其它系統進行接合，同時，開放的門禁系統架構對安全設計更高。

HID 的聯網門禁系統解決方案提供了開放式架構、支持IP 的平臺。其中，EDGE EVO和VertX EVO控制器平臺包括一套帶有OPIN應用程序接口的開發工具套件，具備更強擴展能力和更優越的性能。

OPIN 開發平臺為 HID聯網門禁解決方案產品組合中的所有產品提供統一接口。該平臺由硬件、固件以及 SDK 庫、文檔和參考實施構成，可簡化開發行業中最廣泛的開放式架構門禁控制解決方案。與為有限 OEM 客戶群提供門禁產品的其他制造商不同，HID支持輕松轉換任何 HID OPIN 認證的系統供應商，并能夠根據需要開發多樣化功能。

融合多維安防系統

安防系統不能采用各個子系統單獨運作的模式，而必須實現各子系統互相聯動的模式，從而使安防整體性和安全性得到提升。因此，采用的門禁系統可通過聯動輸出點與樓宇自動化、閉路監控、防盜及消防報警等其他系統協調聯動。比如接到火災報警信號后，系統能夠自動打開控制區域內的所有大門，以利于控制區域內的人員逃生。如果在重要部位安裝有攝像機，系統還可自動聯動切換攝像機畫面，對需要監控的部位進行監控和錄像。又如當報警系統產生報警信號時，相關的門將被系統強制封閉，無論采用何種措施均不能打開；只有當警報解除，控制中心通過軟件解除封閉后，門才可以正常打開。

HID 的EDGE EVO和VertX EVO控制器平臺可支持融合多維安防系統，通過強大的自定義規則引擎支持將系統硬件與常規應用，包括消防、視頻監控和網絡視頻記錄進行聯動。

（1）與消防系統的聯動

醫院可以采用的門禁系統與消防報警系統有兩種聯動方式，一種是硬聯動，即門禁系統的報警輸入模塊接收消防報警主機輸出的干接點報警信號，釋放部分區域或全部區域門鎖，實現聯動；一種是軟聯動，即門禁系統與消防報警系統通過網絡通信方式或RS232串行通信接口實現聯動。當火災發生時，門禁集成管理系統能夠在工作站屏幕顯示該區的分區圖及報警位置，按照預設程序指令來定義疏散線路，根據火災發生的地理位置，將緊急疏散門打開或將防火隔離門關閉。

（2）與CCTV系統的聯動

另外，門禁系統可在出現報警事件時通過網絡通信方式或串行通信接口自動向CCTV矩陣主機和DVR系統發出要求響應的指令，提供地址給CCTV系統，同時，系統會將位于或鄰近于事件發生地點的攝像機、云臺調整到預設的預置點位置，將現場情況顯示在特定的監視器和門禁及報警系統監控計算機的屏幕上，并根據需要控制視頻記錄設備對現場情況進行記錄。同時，CCTV系統能夠在其多媒體計算機顯示屏上顯示報警點。兩系統間的聯動操作是自動進行的，不需要操作員進行任何干涉。門禁系統還可將CCTV系統的畫面導入自己的工作站，進行顯示和監控；并能與多個CCTV系統連接——接口支持不同廠商制造的CCTV矩陣系統。

（3）與照明/空調系統報警系?統的聯動

門禁系統通過控制讀卡器接口模塊的輔助輸入輸出點或報警模塊的輸入輸出點實現與燈光/空調系統控制的聯動；可在持卡人讀卡進入的同時，自動打開預先設定的燈光照明和空調系統，通過卡片進行布撤防管理。

（4）與電梯控制系統的聯動

采用的門禁系統的電梯控制模塊，既可以接在電梯機房內的電梯控制器上，也可以采用與轎廂內樓層控制面板線路相連的方式實現對電梯的控制，使持卡人只能進入其卡片權限允許的受控樓層。其電梯控制模塊能提供緊急觸點，還可以定義時區，以實現工作狀態的自動轉換。當有緊急情況發生，如出現火災報警時，電梯在收到消防信號后將不再受電梯控制系統的控制，而由電梯本身或者消防系統切入控制，以便于人員的及時疏散和撤離。

移動化浪潮下，自備終端的一卡通應用

隨著技術進步，門禁卡能進行更多復雜的應用。就如今天的13.56 MHz非接觸式智能卡，不但能綁定持卡人，更能與讀卡器進行雙重身份驗證保障安全。此外，非接觸式智能卡的安全存儲功能使其支持多種應用，例如生物識別、小額電子支付以及安全PC桌面登錄。

在今日的移動世界中，將身份信息嵌入到各種便攜式設備的應用已經成功實現。虛擬憑證卡技術促使業界轉變，身份認證不再局限于利用傳統的門禁卡，而是擴大至很多不同形式，允許我們能利用移動設備，如智能手機、USB加密鎖、記憶棒、基于微處理器的Smart MX卡開門、購物以及安全地進行其他交易。

在這種新的移動門禁模式中，無論企業還是個人的移動設備都可以用作憑證卡，并補充現有的安全系統。這正是HID 關注的重要領域。HID的虛擬憑證卡技術使智能手機能通過互聯網或空中接收來自服務提供商的虛擬卡片及信息，并將帶有虛擬憑證卡的智能手機在iCLASS SE讀卡器前讀取。這些手機還能產生一次性的動態密碼（簡稱OTP），以安全地登錄到另一部移動設備或桌面電腦上，并訪問網絡。此外，后臺融合技術的進步將為電腦和網絡登錄提供強大的驗證和卡片管理功能，確保在塑膠卡片和智能手機上均能管理身份信息，并確保打印機系統也能支持這兩種形式的身份信息。

另外，具備虛擬憑證卡的智能手機可用來購買物品，例如在公司食堂買飯，還可用來安全地使用打印設備。考慮到自備智能手機具有如此豐富的功能，越來越多的員工開始用自己的手機訪問系統、數據和公司設施。

BYOD 的安全管理

隨著門禁和電腦桌面登錄應用轉向自備智能手機，安全問題是關鍵。首先，要保護個人隱私，同時保護企業免受會造成損害的個人應用的影響，所有應用和其他ID憑證卡都必須局限于在個人和企業之間使用。在利用虛擬密鑰及虛擬憑證卡達成其他應用的過程中，讓應用支持PIN碼輸入，以使密鑰“解鎖”，完成驗證或簽署過程。此外，中間件API必須標準化，保證ID憑證卡功能的更多應用。

另外一種方式是支持衍生憑證卡，例如從美國聯邦工作人員的個人身份驗證（簡稱PIV）卡衍生的那些憑證卡。局限于企業和個人之間這種使用方式與衍生憑證卡相結合，還會催生對分層生命周期管理的需求。例如，如果移動設備丟失，那么憑借分層生命周期管理，就可以取消所有憑證卡，而如果取消個人身份驗證卡，那么將自動取消僅用于工作環境的移動ID憑證卡。

此外，門禁和電腦桌面登錄功能要在自備智能手機上共存，就需要確保云端存儲的安全性。有4種可能的方法。第一種是在公用互聯網上采用一種開放的訪問模型，在這種模型中，用戶名和密碼由軟件即服務（SaaS）供應商管理。盡管這種方法易于采用，但是所提供的數據保護能力是最弱的。第二種是采用虛擬專用網絡（簡稱VPN），并要求遠程用戶在輸入用戶名和密碼之前，先就虛擬專用網絡進行驗證（最有可能的是通過一次性動態密碼解決方案實現）。不過，虛擬專用網絡對用戶而言不夠方便，不能很好地擴展以容納自備設備，因為虛擬專用網絡要求在很多不同的設備上安裝虛擬專用網絡客戶端和個人應用，而且虛擬專用網絡沒有針對互聯網安全威脅提供額外保護。

第三種方法是強大的本機驗證，這種方法也不夠便利，因為每個應用都要求獨特的、唯一的安全解決方案。第四種也是最好的一種方法，是聯合身份管理，采用這種方法時，用戶就一個中央門戶進行驗證，以訪問多種應用。這種方式支持很多不同的驗證方法，不需要在最終用戶的設備上安裝任何東西，而且可對任何被訪問的應用集中提供審計記錄，因此能滿足法規遵從要求。這種方法也能經得起高級持續性威脅（簡稱APTs）、專門的黑客攻擊、前員工的惡意行為以及員工欺詐等內部安全威脅。聯合身份管理還適用于存儲在其他地方的內部應用，使用戶能在一個位置上方便地訪問各種應用。不過，無論選擇哪種方法，對于企業一方和自備終端所有者一方而言，都有可能存在其他需要解決的政策及采用問題。企業想要自備終端所有者放棄一定的權利，以使他們能用自己的手機開門和登錄電腦桌面，而自備終端所有者不想使用某些功能，因為他們害怕泄露隱私。

自備終端具備大量優點，尤其是員工的智能手機能成為一種載體，寄存了企業中種類日益增多的門禁和電腦桌面登錄密鑰及憑證卡。即將出現的新一代移動門禁控制解決方案將提供更大的便利性和管理靈活性，同時可確保在智能手機、電腦和網絡資源、門禁控制系統以及云端和空中交付身份信息的基礎設施之間，安全地處理數據。