■ 赵建邦
作者为HID Global大中华区营销总监
智能门禁系统已经越来越广泛地应用于人们的日常生活中,随着人们需求的多样化发展,对门禁系统的各方面要求也在不断地提高,而新技术的出现,使得门禁系统发展到一个崭新的阶段。
目前,智能门禁系统已经越来越广泛地应用于人们的日常生活中,随着人们需求的多样化发展,对门禁系统的各方面要求也在不断地提高,已经不仅仅限于单一的出入口控制。人们更希望门禁与现实生活中的各种各样的应用进行更好的结合,从而产生更高的经济效益与社会效益,例如,考勤、证件、巡更、就餐、消费、健身、医疗、停车场、图书资料、会议签到、访客管理、电梯控制管理、办公设备管理、会所娱乐,并与其它智能化系统进行必要的集成和联动,如防盗报警、闭路监控、消防报警,楼宇自控系统等等。
基于门禁服务需求的发展,智能门禁系统的设计要更加开放,易于与其它系统进行接合,同时,开放的门禁系统架构对安全设计更高。
HID 的联网门禁系统解决方案提供了开放式架构、支持IP 的平台。其中,EDGE EVO和VertX EVO控制器平台包括一套带有OPIN应用程序接口的开发工具套件,具备更强扩展能力和更优越的性能。
OPIN 开发平台为 HID联网门禁解决方案产品组合中的所有产品提供统一接口。该平台由硬件、固件以及 SDK 库、文档和参考实施构成,可简化开发行业中最广泛的开放式架构门禁控制解决方案。与为有限 OEM 客户群提供门禁产品的其他制造商不同,HID支持轻松转换任何 HID OPIN 认证的系统供应商,并能够根据需要开发多样化功能。
安防系统不能采用各个子系统单独运作的模式,而必须实现各子系统互相联动的模式,从而使安防整体性和安全性得到提升。因此,采用的门禁系统可通过联动输出点与楼宇自动化、闭路监控、防盗及消防报警等其他系统协调联动。比如接到火灾报警信号后,系统能够自动打开控制区域内的所有大门,以利于控制区域内的人员逃生。如果在重要部位安装有摄像机,系统还可自动联动切换摄像机画面,对需要监控的部位进行监控和录像。又如当报警系统产生报警信号时,相关的门将被系统强制封闭,无论采用何种措施均不能打开;只有当警报解除,控制中心通过软件解除封闭后,门才可以正常打开。
HID 的EDGE EVO和VertX EVO控制器平台可支持融合多维安防系统,通过强大的自定义规则引擎支持将系统硬件与常规应用,包括消防、视频监控和网络视频记录进行联动。
医院可以采用的门禁系统与消防报警系统有两种联动方式,一种是硬联动,即门禁系统的报警输入模块接收消防报警主机输出的干接点报警信号,释放部分区域或全部区域门锁,实现联动;一种是软联动,即门禁系统与消防报警系统通过网络通信方式或RS232串行通信接口实现联动。当火灾发生时,门禁集成管理系统能够在工作站屏幕显示该区的分区图及报警位置,按照预设程序指令来定义疏散线路,根据火灾发生的地理位置,将紧急疏散门打开或将防火隔离门关闭。
另外,门禁系统可在出现报警事件时通过网络通信方式或串行通信接口自动向CCTV矩阵主机和DVR系统发出要求响应的指令,提供地址给CCTV系统,同时,系统会将位于或邻近于事件发生地点的摄像机、云台调整到预设的预置点位置,将现场情况显示在特定的监视器和门禁及报警系统监控计算机的屏幕上,并根据需要控制视频记录设备对现场情况进行记录。同时,CCTV系统能够在其多媒体计算机显示屏上显示报警点。两系统间的联动操作是自动进行的,不需要操作员进行任何干涉。门禁系统还可将CCTV系统的画面导入自己的工作站,进行显示和监控;并能与多个CCTV系统连接——接口支持不同厂商制造的CCTV矩阵系统。
门禁系统通过控制读卡器接口模块的辅助输入输出点或报警模块的输入输出点实现与灯光/空调系统控制的联动;可在持卡人读卡进入的同时,自动打开预先设定的灯光照明和空调系统,通过卡片进行布撤防管理。
采用的门禁系统的电梯控制模块,既可以接在电梯机房内的电梯控制器上,也可以采用与轿厢内楼层控制面板线路相连的方式实现对电梯的控制,使持卡人只能进入其卡片权限允许的受控楼层。其电梯控制模块能提供紧急触点,还可以定义时区,以实现工作状态的自动转换。当有紧急情况发生,如出现火灾报警时,电梯在收到消防信号后将不再受电梯控制系统的控制,而由电梯本身或者消防系统切入控制,以便于人员的及时疏散和撤离。
随着技术进步,门禁卡能进行更多复杂的应用。就如今天的13.56 MHz非接触式智能卡,不但能绑定持卡人,更能与读卡器进行双重身份验证保障安全。此外,非接触式智能卡的安全存储功能使其支持多种应用,例如生物识别、小额电子支付以及安全PC桌面登录。
在今日的移动世界中,将身份信息嵌入到各种便携式设备的应用已经成功实现。虚拟凭证卡技术促使业界转变,身份认证不再局限于利用传统的门禁卡,而是扩大至很多不同形式,允许我们能利用移动设备,如智能手机、USB加密锁、记忆棒、基于微处理器的Smart MX卡开门、购物以及安全地进行其他交易。
在这种新的移动门禁模式中,无论企业还是个人的移动设备都可以用作凭证卡,并补充现有的安全系统。这正是HID 关注的重要领域。HID的虚拟凭证卡技术使智能手机能通过互联网或空中接收来自服务提供商的虚拟卡片及信息,并将带有虚拟凭证卡的智能手机在iCLASS SE读卡器前读取。这些手机还能产生一次性的动态密码(简称OTP),以安全地登录到另一部移动设备或桌面电脑上,并访问网络。此外,后台融合技术的进步将为电脑和网络登录提供强大的验证和卡片管理功能,确保在塑胶卡片和智能手机上均能管理身份信息,并确保打印机系统也能支持这两种形式的身份信息。
另外,具备虚拟凭证卡的智能手机可用来购买物品,例如在公司食堂买饭,还可用来安全地使用打印设备。考虑到自备智能手机具有如此丰富的功能,越来越多的员工开始用自己的手机访问系统、数据和公司设施。
随着门禁和电脑桌面登录应用转向自备智能手机,安全问题是关键。首先,要保护个人隐私,同时保护企业免受会造成损害的个人应用的影响,所有应用和其他ID凭证卡都必须局限于在个人和企业之间使用。在利用虚拟密钥及虚拟凭证卡达成其他应用的过程中,让应用支持PIN码输入,以使密钥“解锁”,完成验证或签署过程。此外,中间件API必须标准化,保证ID凭证卡功能的更多应用。
另外一种方式是支持衍生凭证卡,例如从美国联邦工作人员的个人身份验证(简称PIV)卡衍生的那些凭证卡。局限于企业和个人之间这种使用方式与衍生凭证卡相结合,还会催生对分层生命周期管理的需求。例如,如果移动设备丢失,那么凭借分层生命周期管理,就可以取消所有凭证卡,而如果取消个人身份验证卡,那么将自动取消仅用于工作环境的移动ID凭证卡。
此外,门禁和电脑桌面登录功能要在自备智能手机上共存,就需要确保云端存储的安全性。有4种可能的方法。第一种是在公用互联网上采用一种开放的访问模型,在这种模型中,用户名和密码由软件即服务(SaaS)供应商管理。尽管这种方法易于采用,但是所提供的数据保护能力是最弱的。第二种是采用虚拟专用网络(简称VPN),并要求远程用户在输入用户名和密码之前,先就虚拟专用网络进行验证(最有可能的是通过一次性动态密码解决方案实现)。不过,虚拟专用网络对用户而言不够方便,不能很好地扩展以容纳自备设备,因为虚拟专用网络要求在很多不同的设备上安装虚拟专用网络客户端和个人应用,而且虚拟专用网络没有针对互联网安全威胁提供额外保护。
第三种方法是强大的本机验证,这种方法也不够便利,因为每个应用都要求独特的、唯一的安全解决方案。第四种也是最好的一种方法,是联合身份管理,采用这种方法时,用户就一个中央门户进行验证,以访问多种应用。这种方式支持很多不同的验证方法,不需要在最终用户的设备上安装任何东西,而且可对任何被访问的应用集中提供审计记录,因此能满足法规遵从要求。这种方法也能经得起高级持续性威胁(简称APTs)、专门的黑客攻击、前员工的恶意行为以及员工欺诈等内部安全威胁。联合身份管理还适用于存储在其他地方的内部应用,使用户能在一个位置上方便地访问各种应用。不过,无论选择哪种方法,对于企业一方和自备终端所有者一方而言,都有可能存在其他需要解决的政策及采用问题。企业想要自备终端所有者放弃一定的权利,以使他们能用自己的手机开门和登录电脑桌面,而自备终端所有者不想使用某些功能,因为他们害怕泄露隐私。
自备终端具备大量优点,尤其是员工的智能手机能成为一种载体,寄存了企业中种类日益增多的门禁和电脑桌面登录密钥及凭证卡。即将出现的新一代移动门禁控制解决方案将提供更大的便利性和管理灵活性,同时可确保在智能手机、电脑和网络资源、门禁控制系统以及云端和空中交付身份信息的基础设施之间,安全地处理数据。