AB门管控机制及信息逻辑研究

王涛，陈相登，刘明

武警西藏总队参谋部，西藏拉萨，850000

0 引言

AB门是进出安保核心区的唯一通道，在各个安保场景均有广泛应用。为有效降低安全风险、精准甄验进出人员、严密管控通行流程，防止非法人员混入、脱逃，通常将AB门划分为A、B两个区域和A门、辊闸门、B门三道门禁[1]。其中A门、辊闸门及其门禁、查验认证设备部署于A单位网络，由A区安保人员管控。B门及其门禁、查验认证设备部署于B单位网络，由B区安保人员管控。通行人员进出安保核心区均需经A区、B区多次验证，有效确保了通行的合法性。但受各类因素影响，现行管控机制仍存在门禁权限分配不够合理、功能定位不够准确、通行逻辑不够严密等问题。为此，本文结合业务实践，优化了AB门空间布局，深入评估了各门禁功能定位，研究了网络物理隔离条件下数据同步问题，构建了完整的通行逻辑，为更加有效地管控AB门提供了借鉴。

1 AB门管控存在问题

（1）辊闸门权限分配不够合理，安全责任不易界定。通常情况下，各单位要求A门和B门之间加装辊闸门，由A区安保人员控制，进出人员一人一验证、一人一开门、一人一放行。不难发现，辊闸门门禁实际上包含授权和控制两个环节，均由A区安保人员掌握。即开启辊闸门放行人员，完全依赖A区验证结果，B区没有权限或机会对其合法性做判定。但辊闸门作为A、B区之间的唯一屏障，不仅具有隔离安全风险的功能，如果疏于防范也会向对方区域释放潜在危险。辊闸门完全由A区安保人员掌控显然违反了“风险共御、责任共担”原则。

（2）AB门功能定位不够准确，验证方式有待改进。由于A门、B门均为合页式结构，“一人一放行”显然较为影响通行效率。为此，各单位普遍采取“一人一验证，验证通过后统一放行”的做法兼顾排查非法人员和提高通行效率。同时，A单位普遍要求信息系统可对进出事件进行分析[2]。表面看，该做法既达到了排查非法人员的目的，又满足了信息分析要求，还避免了频繁的门禁动作，但由于机器逻辑隐含先天不足，若其中有一人鉴权失败，A区安保人员必须通过软件拒绝开门，而后全部重新鉴权，机器逻辑才能排除非法人员。加之A门和B门外侧区域并未配置额外的安保力量，无法有效防范“尾随”人员跟随混入，难以达到“一人一验证”要求。假设进、出AB门有M人，那么进出一次将高达N＝9M次验证，流程不仅繁琐，而且毫无必要。

（3） AB单位网络物理隔离，通行逻辑不够严密。AB门由多个门禁组成，门禁之间应具备较强的相关性。实践经验表明，一组互为关联的门禁系统，每个门禁的开启条件不仅依赖当前验证比对结果，还取决于前次验证的合法性。一次正常的通行是多次授权的结果，多次授权和门禁动作共同组成一次闭合的通行逻辑。显然，AB门的任何设备都不能孤立存在，必须在确定每个设备网络归属的前提下，研究确定数据同步和通行逻辑问题，进而消除双方网络物理隔离带来的影响。但是，无论是各单位工程规范性文件，还是技术性规范文件，仅就AB门人行通道出入口安装生物识别设备，并联动人工控制门禁做了明确回应，并未回答各类设备网络归属、网间数据同步及人员通行逻辑等问题。

2 AB门管控改进方法

综上分析，结合业务实践，提出AB门人行通道管控“互不信任、最短路径、信息对称、逻辑闭合”四项原则。

2.1 互不信任原则

互不信任原则，即A区或B区经辊闸门向对方区域放行人员时，互不信任对方验证比对的结果，而是必须在双方授权的情况下，辊闸门方可开启。本文摒弃传统的“一字形”设置方法，对AB门空间布局做了改进，如图1所示：区分进、出方向，将辊闸门按进、出两个通道递次部署，每个通道均纵跨A区和B区。进、出人员在每个通道依序分别部署于双方网络的验证设备上进行验证，并保证在双重验证均合法的前提下人员方可通行。分析改进后的人员进出流程：人员在流程“↑②”（离开核心安保区时为流程“↓②”）验证合法的前提下，向流程“↑③”设备同步验证合法信息。流程“↑③”设备在收到合法信息且本处（离开核心安保区时为流程“↓③”）验证同时合法的情况下，辊闸门方可开启放行人员，以满足双重验证要求，避免A区安保人员权限过大、安全责任不易界定等问题。

2.2 最短路径原则

在满足每名进出人员至少两次验证的基础上，减少A门和B门验证人员数量、缩短平均验证路径、节省平均验证时间、提高平均通行效率。经前文分析，基于A门和B门“合页式”结构特性，且辊闸门处已有两次验证，在此处不再要求“一人一验证”。以进入核心安保区为例（如图1所示）：在A门外，仅验证申请开启门禁的B单位人员G（一般为B单位带队人员），保证其合法性，A区安保人员开启门禁，放行全部人员进入A区。而后利用A单位A区认证设备和B单位A区认证设备先后进行初验和复验，达到每名进出人员至少进行两次验证的目的，确保验证的准确性和通行的高效性。离开核心安保区时验证方法与之相反。现假设进、出AB门有M人，那么进出一次仅有N＝8+4(M-1)次验证，相比现行做法，单次进出人员越多，该方式的优势越明显。

图1 AB门改进布局、门禁部署及查验流程示意图

2.3 信息对称原则

A、B单位网络物理隔离致使部署于不同网络的设备缺少信息交互，形成了信息孤岛，进而影响门禁逻辑和通行流程的完整性和严谨性。解决网络物理隔离和数据交互问题是进一步研究通行逻辑的前置条件。本文采取的方法如下：（1）网络设备归属。将访客一体机及A单位安保人员控制的认证设备和门禁部署于A单位网络，反之部署于B单位网络。（2）数据同步内容。可归纳为3类信息表：A、B单位安保人员等较为固定的“内部人员信息表”（表1）、访客等变动较大人员的“临时人员信息表”（表2）、以上人员通行AB门产生的“验证比对信息表”（表3）。由于除B单位带队人员G外，其他人员无需在A门、B门验证，因此需设计Depend_Info字段，绑定G的SSN_Info信息，以证明该人员由G带入。其余字段均为常规或各认证设备的认证结果信息。（3）数据生成时机。“内部人员信息表”根据人员变动情况实时生成；“临时人员信息表”由访客一体机录入信息时生成；“验证比对信息表”区分G和其他人员，分别在A门外认证设备和A单位A区认证设备验证时生成（如图2所示）。（4）数据同步时机。“内部人员信息表”根据人员变动情况实时同步；“临时人员信息表”生成后即刻同步，确保在部署于B单位网络的设备验证时有据可依；“验证比对信息表”在A单位A区认证设备验证后，B单位A区认证设备验证前（离开核心安保区时B单位B区认证设备为先验设备、A单位B区认证设备为后验设备）同步，为双重验证创造条件。（5）数据同步方式。“内部人员信息表”可使用光盘等介质同步；“临时人员信息表”和“验证比对信息表”使用TCP/IP协议同步将带来较大的网络安全风险，且该类信息具有变动性大、实时性强等特点，使用光盘等介质同步效率较低。由于RS485串口通讯数据交互协议由通讯双方约定，在未知悉具体协定的前提下无法轻易解析数据，也无法构建有效数据对系统业务产生影响。加之临时人员通行量较小，使用RS485串口通讯有足够的时间同步较大的数据，完全满足本应用背景下，不同TCP/IP网络之间数据同步需要[3-4]。因此，本文在A单位网络和B单位网络之间部署了RS485串行通讯设备，在保证网络安全的前提下，实现了相关信息的实时同步。

表1 内部人员信息表

表2 临时人员信息表

图2 人员通行流程和逻辑

2.4 逻辑闭合原则

业务实践中，为便于A、B单位安保人员、备勤小组进入工作区域或增援处突，一般会在A、B区人行通道设置进出工作区域和备勤区域的门禁系统。由此，人员就有机会不经A门抵达A区，或不经B门抵达B区，进而带来安全隐患，因此研究AB门通行逻辑具有重要意义。通行逻辑由正常通行逻辑和中途退出逻辑两个层面构成，核心在于“每道门禁验证时都应具备先决条件”，否则无法验证成功。

在正常通行逻辑下,进出人员依序进行逐个设备验证。以表3定义为例，在进入核心安保区时，B单位带队人员G在完成A单位A区认证设备验证前，A_Outside_Result==1应为真。在完成B单位A区认证设备验证前，A_Outside_Result&&A_A_Result==1应为真。以此类推，在完成B门内认证设备验证前，A_Outside_Result&&A_A_Result &&B_A_Result==1应为真。同理，其他人员均由G带入A区，其Depend_Info字段值应为G的SSN_Info值，在B单位A区认证设备验证前，A_A_Result&&Depend_Info==1应为真。离开核心安保区与此类似。

表3 验证比对信息表

（2）在中途退出逻辑下，个别人员可能因特殊情况需要中途退出AB门，但信息系统中既不能存在只进不出的人员，也不能存在只出不进的人员，如果软件实现考虑不足，信息系统就会存在大量异常信息。本文在解决中途退出问题时，采取回溯表3进入核心安保区记录的方式，在每一个环节，每一个区域，均考虑了中途退出情况，确保通行逻辑闭合。综上，进入核心安保区通行逻辑如图2所示，离开时与之相反。特别说明，临时人员在B单位登记室录入访客信息时，已与B单位带队人员G作了绑定，本文要求系统再次作了校验。

3 结语

AB门管控是安保业务的焦点和难点。本文分析了现行管控机制存在的问题，结合业务实践对AB门空间布局、网络归属、数据交互、通行逻辑等做了有益探索，为进一步严密管控机制和安防设备厂家生产实践提供了借鉴。但混入与反混入、脱逃与反脱逃的矛盾永远在动态发展中不断演变，一线安保人员时刻会面临新的风险挑战，因此，进一步有机融合管控制度、业务实践和科技手段，打造三位一体的管控机制才是提高AB门安全性的根本举措。