基于云服務的加密式門禁系統設計

吳月嬋

摘要：針對門禁系統數據存儲和處理成本不斷加大的問題，設計一種基于云服務的加密式門禁系統（Cryptographic Access Control System based Cloud，CACC）。該系統利用云服務技術降低門禁系統信息存儲和維護成本，在云服務和門禁物理設備間加入加解密服務以提高門禁系統安全性。用戶通過云服務端控制平臺查詢門禁設備狀態信息，實現門禁設備的監控和維護。CACC系統利用簡單的設備和結構，可以在不考慮信息存儲壓力的情況下對各類數據進行監控和采集，再將加解密服務器作為門禁系統的中轉站，為系統建立一道有效的、可維護的防火墻，為門禁系統的發展提供一種可行建設方案。

關鍵詞：門禁系統；云服務；加密技術；門禁系統

DOIDOI：10.11907/rjdk.161512

中圖分類號：TP319

文獻標識碼：A文章編號文章編號：16727800（2016）009011403

基金項目基金項目：

作者簡介作者簡介：吳月嬋（1984-），女，廣西梧州人，廣西綠城水務股份有限公司管網管理處職工，研究方向為計算機技術應用。

0引言

隨著互聯網、計算機技術和電子技術的不斷發展，建筑智能化越來越受到人們的關注。門禁系統作為智能建筑的重要組成部分，解決了機械式門鎖存在的鑰匙管理和出入登記困難等問題[12]，得到了廣泛應用。隨著門禁系統的不斷發展，其組成部分越來越復雜，數據量也越來越龐大。

門禁系統主要由防護主體、電鎖、身份識別方式、傳感報警設備、處理控制器、通訊線路和管理軟件組成。普通的門禁系統是利用局域網、數據庫和控制系統通過通訊線路對防護主體、門鎖和身份識別進行控制。國內外研究者針對門禁系統的整體架構及其組成部分進行了各種優化研究。文獻[3]設計了一套由門禁管理系統、停車場管理系統、飯堂消費系統、考勤管理系統、訪客管理系統和后備電源系統組成的門禁一卡通系統，利用門禁系統中的身份識別和處理控制等設備基礎，實現5個相互獨立的辦公場所出入和消費記錄管理，在實現門禁一卡通管理的過程中，增強了網絡的通信壓力和服務器的存儲、處理壓力，因此需要提高網絡設備和服務器硬件的性能，這將增加建設成本。

無線網絡具有組網靈活和改造成本低等特點，為門禁系統的優化提供新的解決方案。文獻[4]利用ZigBee技術設計了一套無線辦公門禁系統以降低基礎設施的建設投入；文獻[5]使用二代身份證作為門卡，利用ZigBee技術中傳感器設備進行二代身份證的信息采集和識別工作，以建立一個集授權和定位功能于一體的門禁保安系統；文獻[6]為無線門禁系統設計了一種UHF RFID天線，在提高發射功率的同時減小了天線尺寸。由于無線網絡的抗干擾能力較差，無線門禁系統部署方案只適合于小范圍的應用場景。

身份識別是門禁系統的重要組成部分，它對使用者進行信息采集和身份判斷后執行相應策略。與密碼和門卡相比，生物識別技術能夠解決授權信息泄露帶來的安全隱患問題。文獻[7]對生物識別方式中的人臉識別技術進行優化，將采集到的面部圖像進行分塊特征對比，提高人臉識別效率；文獻[8]在人臉識別的基礎上加入運動模式識別來增強門禁系統的安全性；文獻[9]將傳統的指紋識別與控制器局域網絡（Controller Area Network，CAN）總線技術結合，為智能社區門禁管理提供新的解決方案。生物識別技術需要存儲大量的用戶特征信息以便于進行授權合法性判斷，隨著信息量的增大，服務器的存儲和處理壓力隨之增加，企業需要投入資金不斷提高服務器性能。

隨著門禁需求和技術的不斷發展，門禁控制系統的功能要求越來越高，需存儲的信息量也越來越大，這將提高企業門禁系統的建設成本。近年來，隨著云計算技術的不斷發展，基于云計算對來自不同類型設備的大規模數據流進行集成、處理及服務已成為研究熱點[10]。目前，大部分門禁系統基于安全性考慮，將管理服務部署在局域網內部，這不利于門禁系統服務的擴展和優化。本文提出一種基于云服務的加密式門禁系統（Cryptographic Access Control System based Cloud，CACC），利用云服務降低企業門禁系統控制成本，在云服務和門禁物理設備間加入加解密服務以提高門禁系統的安全性。

1CACC系統設計

與傳統的服務器使用方式相比，云服務具有資源分配可伸縮、服務易擴展、數據易備份等特點，已成為大數據時代下的信息基礎設施，是信息化發展的重大變革和必然趨勢[11]。CACC系統將加密后的數據存儲在云端，將處理程序部署在云服務器中，以降低企業服務器建設成本，并提高門禁系統的可擴展性和穩定性。為保證數據在互聯網傳播和云端存儲時的安全性，CACC系統在互聯網和門禁設備局域網之間加入加解密服務，對發送至互聯網的數據進行加密，對從互聯網接收的數據進行解密，以提高系統的安全性。

CACC系統主要包括云服務、加解密服務器、通訊線路、傳感報警設備、身份識別設備和防護門。CACC系統結構如圖1所示。云服務部分主要負責數據的加密存儲和數據處理，數據包括管理信息、基礎信息、授權信息和用戶信息等；數據處理主要負責服務請求的響應和處理結果的反饋。加解密服務器主要負責內外網交互數據的加密和解密，其具體過程如下：①防護門安裝的身份識別設備采集到用戶信息后，通過局域網發送到加解密服務器，服務器將數據和查詢指令進行打包，按照內部制定的加密算法，將打包后的數據重新編碼后，通過互聯網發送到云服務端；②云服務端接收到來自加解密服務器的數據包，首先按照預先設置的算法對數據包進行解密、拆分和處理，然后將數據處理結果進行加密，通過互聯網發送給加解密服務器；③加解密服務器收到外網傳來的數據包，首先進行解密，在解密成功后，將結果發送到相應的設備上；④設備收到加密服務器反饋結果，執行相應程序；⑤控制人員通過互聯網登陸云服務端的控制平臺，可以進行門禁系統維護，維護指令首先進行加密，再通過互聯網發送至加解密服務器。

為了降低數據的傳輸量，并提高數據傳輸的安全性，需要對發送的數據附加指令、設備地址和校驗碼等信息。只有在數據包的結構和加密都正確的情況下，才能被云服務端和加解密服務器正確解密。數據包結構如圖2所示。其中“指令”部分存放系統控制指令；“數據”部分存放門禁設備采集到的數據或者云服務端數據；“設備地址”部分存放被控制的門禁設備編號或者IP地址等信息；為防止有人通過互聯網惡意發送虛假指令信息或者篡改信息，需要在數據包的末尾添加校驗信息，該信息通過各企業自定義算法隨機生成，以保證信息的有效和安全性。

2實現的關鍵點

在利用云服務降低門禁系統建設成本，提高系統運行效率和可擴展性的同時，CACC系統有兩個關鍵問題需要解決。

（1）加解密服務器性能問題。整個CACC系統以加解密服務器作為系統數據的交換橋梁，中轉來自云服務端和門禁設備的指令和數據，因此加解密服務器的效率成為整個系統效率的關鍵點。若加解密服務器程序或硬件性能較低，則直接影響系統的整體效率。

為了提高加解密服務器的計算速度，可以從服務器硬件層面進行考慮。若門禁設備數量為一百臺左右，可以選擇以4核CPU和4G內存為主的低端服務器產品。例如IBM System x3100 M4系列的小型塔臺式服務器，該類服務器價格便宜，但擴展性差，不適合有門禁系統擴充需要的單位使用。若門禁設備數量為數百臺，可以選擇以6核CPU和16G內存為主的機架式服務器，例如戴爾 PowerEdge 12G R720系列，該類服務器價格相對昂貴，但數據處理速度快、數據安全性高，且硬件可擴展性強。

為了加解密服務器的安全性，可以從操作系統和加解密算法設計方面考慮。在操作系統方面，可以選擇Unix操作系統。Unix操作系統是通信、金融和安保等行業廣泛使用的操作系統[12]，具有可靠性高、伸縮性強、開放性好和網絡功能強等特點，其主要在賬號、網絡和文件系統3個方面很好地防范未授權用戶的非法登陸和操作。基于Unix操作系統的開放性，可以對系統內核加以改造，更好地防范來自網絡的威脅。在加解密程序設計方面，可以考慮選擇算法強度復雜的非對稱加密算法，利用公有秘鑰和私有密鑰的特性來確保加密數據在網絡傳播中的安全性。

（2）云服務端安全性問題。CACC系統的云服務端數據處理程序的安全性和效率問題是影響系統整體性能的另一個關鍵點。在云服務端接收到來自加解密服務器的數據包后，需對其進行解密，如何保證解密程序不被惡意監聽，解密過程不被惡意篡改，成為影響整個系統安全性的關鍵問題。公共云服務平臺大多是多個客戶共享一個服務提供商的系統資源，這一特性會導致供應商只能為客戶提供基礎的操作審核機制，無法針對云服務器中的虛擬操作系統漏洞加以防范。虛擬操作系統中的漏洞問題很難通過安裝防御軟件徹底解決。為了盡可能提高云服務端的操作系統安全性，可以考慮安裝Unix操作系統，通過系統底層的內核修改來進行安全防范。此外，還可以在數據處理程序中加入安全機制校驗過程，對每一次的數據服務器請求都進行合法性判斷。

3結語

針對門禁系統數據存儲和處理成本不斷加大的問題，本文提出一種基于云服務的加密式門禁系統（Cryptographic Access Control System based Cloud，CACC）。該系統利用云服務技術降低企業門禁系統信息存儲和維護成本，在云服務和門禁物理設備間加入加解密服務以提高門禁系統的安全性。用戶通過互聯網進入云服務端控制平臺，可以查詢門禁系統運行記錄、設備狀態信息，或者維護門禁系統中的權限、人員和設備狀態等信息。CACC系統利用簡單的設備和結構，可以在不考慮信息存儲壓力的情況下進行各類數據監控和各類數據采集，再利用加解密服務器作為門禁系統的中轉站，為系統建立一道有效的、可維護的防火墻，為門禁系統的發展提供一種有意義的建設方案。

參考文獻參考文獻：

[1]韓東，宋建鋒，黃學慧.門禁系統的安全性設計在辦公型建筑中的應用[J].智能建筑，2007（12）：3839.

[2]高小明.辦公樓群網絡門禁管理系統的設計[J].計算機光盤軟件與應用，2013（21）：279280.

[3]朝日.辦公場所門禁一卡通系統研究——以惠州供電局為例[J].現代商貿工業，2008（13）：275276.

[4]韓立峰.基于zigbee的無線辦公門禁系統研究與應用[J].山東工業技術，2015（22）：152.

[5]XIZHI LI，YU ZHOU，CHANGSHENG AI，et al.Smart entrance guard control based on RFID card and ZigBee authorization[C].2014 Sixth International Conference on Measuring Technology and Mechatronics Automation （ICMTMA），2014：589592.

[6]JIN PAN，SHUBO WEN.A novel miniaturized antenna for RFID application in the Entrance Guards System[C].Microwave Conference，APMC 2009，2009：23982400.

[7]LANG LIYING，HONG YUE.The study of entrance guard & check on work attendance system based on face recognition[J].Computer Science and Information Technology，ICCSIT 08.International，2008：4447.

[8]LONG XIAO，BO CHENG，BO YANG，et al.A contextaware entrance guard in smart home：an eventdriven application based on the human motion and face recognition[C].Automation，Robotics and Applications （ICARA），2011 5th International Conference，2011：184189.

[9]CHEN WEILI，WEI LIMING.Design of network entrance guard system based on fingerprint recognition technology[J].World Automation Congress（WAC），2011：14.

[10]王桂玲，韓燕波，張仲妹，等.基于云計算的流數據集成與服務[J].計算機學報，2015，38（110）：120.

[11]盧川英.云計算優勢及應用研究[J].價值工程，2016（3）：188189.

[12]邱曉理.淺談Unix操作系統的安全策略[J].華南金融電腦，2008（10）：6566.

責任編輯（責任編輯：孫娟）