文/王成 涂庆华
国内高校门禁系统建设往往由各业务部门牵头,各子门禁系统相对独立、功能单一、整体性统筹不足。经历过新冠疫情的管理部门逐渐发现,分散的门禁体系已无法满足需求,需要一种能整合各子门禁系统的大门禁平台。
本文在多门禁系统整合研究基础上,提出一种跨多门禁系统的整合框架设计,能够兼容各子门禁系统的大门禁平台。通过统一的校级数据中心建设实现各系统之间门禁数据的业务收集与交换;通过平台权限体系建设,实现权限一体化管理;通过平台接口建设,实现各子门禁系统对接;通过基于生物特征平台的介质兼容设计,最终实现数据层、系统层有机整合的大门禁平台。
由于校内各子门禁系统相对独立,门禁相关管理平台、数据接口、支撑技术不一,系统门禁系统之间的交互整合困难,难以满足快速发展的用户服务和管理需求,存在的主要不足如下。
门禁核心技术参差不齐。门禁系统通常由不同的厂家建设,其技术参数不一,具体表现在:技术架构不同,如操作系统、C/S、B/S 架构等;门禁服务器、设备管理器等实现技术不同;对于门禁实时监控、地图监控、事件提示等支持力度不一。
门禁权限管理复杂。由于系统相对孤立,各门禁之间各自单独授权管理,授权多为采取人工批量导入人员数据,批量手动手授权方式,效率较低,容易出差错,统筹全校权限体系相对困难。
门禁承载较多拓展功能。由于各单位对于门禁功能定位多样,常见有门禁功能、考勤功能、预约功能等;应用场景不同:各类通道、闸机等,以及包括会议室、教室、实验室等电子锁功能。
数据孤岛现象突出。由于门禁系统分散管理,缺乏统一管理办法和技术手段,缺乏门禁相关数据标准;各门禁系统之间数据格式、数据接口实现技术不同,使得数据共享困难、数据对接难度较大;难以实现基于门禁流水数据个性化开发。
疫情放大了系统之间数据联动困难,客观上需要一种跨多门禁系统整合框架统筹整合各子门禁,最终形成内部运转流畅的校级大门禁的功能集群。
大门禁平台架构首先需要建立门禁数据中心,管理各类相关数据;其次建立门禁数据标准、平台开放标准和第三方接入标准,实现大门禁平台与企业号、各门禁系统的互联互通;再设置硬件接入标准,统筹管理第三方的设备;最后建设基于生物特征管理平台,把人脸、校园卡、二维码、NFC 等多种识别机制进行整合。
考虑到本平台的集中管理和实时通讯特点,系统设置采用4层体系架构,如图1 所示,分别为应用层、管理层、传输层、门禁终端设备层。
图1 大门禁平台框架设计
应用层主要分为门禁服务和基础信息两大部分。
门禁服务。门禁服务除了常见门禁、通道、门锁等进出控制系统,还包括考勤、签到等功能,以及进校、校内特定区域的预约功能,并提供门禁相关各类服务信息,如权限信息、申请信息、个人基本信息、出入流水等,为用户提供便捷、高效的门禁服务;利用刷卡、密码、指纹识别、人脸识别等验证方式,满足不同场景下的需求;不同人群权限设定,提高校园管理便捷性。
基础信息。通过房产系统获取各类房屋信息;通过人事管理系统,能够即时同步人员信息;通过获取一卡通等数据及人脸、指纹、二维码等数据,完善门禁基础信息。门禁服务利用相关管理系统的数据,实现更多的智能化功能。通过考勤系统集成实现自动打卡功能;利用门禁出入时间,实现考勤功能,方便学校进行考勤管理和统计分析;与报警系统集成,将门禁事件与报警联动,便于及时采取措施;最后通过分析门禁系统产生的大量数据,管理员可以掌握校内人员流动情况,便于优化校园管理和资源配置。
南京理工大学
管理层可分为三大部分:数据管理、门禁管理、设备与系统接入管理。
数据管理。负责大门禁平台与关联业务系统数据交换。把数据中心、各门禁系统、一卡通、房产、宿管等数据互联互通,将各门禁点的数据、人员数据按照数据标准同步到大门禁平台中,实现人、门禁客户端、权限等基础数据统一管理。
校级生物特征管理平台。采集汇总所有人脸数据,通过后台技术进行人脸特征提取,并下发到对接人脸识别设备中;把校园卡、二维码、NFC 等多种识别机制进行整合,形成一人对应多种识别机制生物特征管理平台,根据场景需要启用相关的识别方式。
通过制定校级数据标准,以实时回传门禁流水数据,定义门禁控制器技术标准、门禁子系统接入标准,定义数据同步方式,同步周期,同步数据等内容。
门禁管理。构建校级权限管理体系。通过集中管理,统一授权、分级管理,形成全校性的权限管理体系,并把身份权限与各门禁控制点相同步,实现把不同人员活动范围进行限定。
应用管理。通过平台对人员进行管理和控制;记录和监控,如记录进入和离开的时间,以及所进入的区域;远程管理,如部分门禁系统支持远程管理功能,管理员可以通过手机或电脑实时远程查看和控制门禁设备。
报警功能。与其他安全设备,如摄像头、报警器等进行联动,一旦发生异常情况,比如非法闯入、门被强行打开等,系统会自动触发报警并通知相关人员。
统计分析功能。基于数据中心基础数据和门禁流水数据进行的各维度数据挖掘,辅助学校科学决策,支撑智慧校园建设。门禁流水记录可以用于后续的审计和安全分析,也可以作为监控员工出勤情况的依据。
设备与系统接入管理。通过描述门禁系统和门禁设备的接入规范,将现有门禁系统和设备纳入大门禁平台管理。
定义子门禁系统接入规范。通过定义系统间接口协议、数据交换协议,以及门禁状态协议,实现门禁流水数据传输、门禁黑白名单上传下载等功能;通过大门禁平台远程操控命令、门禁设备状态读取命令,实现操控门禁客户端设备。最终实现主流门禁厂家的系统接入大门禁平台。
定义子门禁设备前置接入规范。通过定义门禁设备接入规范、门禁设备操控命令协议,实现主流厂商的第三方产品终端设备接入。
传输层完成设备与大门禁平台之间信息交互的基础通道,包括人员和黑白名单下发、设备的自动签到、权限数据下发和门禁流水数据实时采集等,主要支持设备以局域网、WI-FI、各门禁专网等形式,特定场合下使用RFID与蓝牙技术,优先采用TCP/IP传输实现。
目前高校使用门禁终端有两种方式:一是门禁控制器结合门禁读卡器;二是门禁一体机,此外还配有少量自助人脸数据采集设备。大门禁系统接入提供3 种模式,分别是设备直接接入模式、前置接入模式、子门禁系统接入模式,适用于不同对接场景。
设备接入模式。按照设备接入协议,子门禁的控制器直接与大门禁前置机交互,实现大门禁直接管控终端设备、数据采集和指令下发等功能,弱化或者取消原有子门禁系统。
前置接入模式。按照大门禁平台接入规范标准,通过大门禁前置机接入平台。对新增门禁控制器也采用该模式,通过转换协议格式,实现平滑无缝接入,即在现有大门禁平台基础上直接接入新购客户端设备。
系统接入模式。此模式为大门禁系统与子门禁系统后台对接模式,通过各自系统接口或数据接口进行对接。实现将原门禁系统产生的流水数据存放在数据中心,或者大门禁平台中,主要用于原门禁系统无法提供技术支持场景。
大门禁平台提供了门禁相关功能的全生命周期管理,包括人脸识别相关算法管理、规则管理等功能,以及学校、院系、管理员三级的权限管理体系设计等。
算法、规则管理。人脸识别相关算法管理。能集成第三方的识别算法,提供移动端、PC、web 的多种接入标准。实现应用软件通过调用接口调取大门禁平台的识别认证功能;实现硬件设备集成,即插即用,简化系统对接难度。
调度算法、调度规则管理。为实现算法的可管、可控、可扩展,提供算法冗余支持。根据不同应用场景,多种认证方式配合认证,提高认证精度及安全性。
基于个人生物特征的识别介质兼容设计。以校园卡为主节点,在此节点下支持其他介质数据维护,把校园卡、二维码、人脸识别等介质进行统一管理,统一进行身份认证。通过开放标准和数据交换,实现各子门禁系统的互联互通、数据共享、流通,把识别需求的应用于各种场景。
权限数据的统一管理。针对原有各门禁系统权限不一,权限管理维护困难,采用大门禁平台统一进行权限管理,进行区域分组、人员分组,按类别授权方式进行权限管理。
区域分组。对建筑、场所的门禁控制器进行分组,能大大减轻授权工作量。
人员分组。学生组按照入学年级,学生类别分组;教师组分为教师、返聘、临聘等类别;还有校友组、后勤类组、黑白名单,以及各类临时进校组。
大门禁平台中权限结构为:人员-权限组-设备,弱化各子门禁系统中的权限,逻辑上实现大门禁平台人员-设备绑定关系。通过JSON 统一下发权限到各子门禁系统,再转发到子门禁控制器,由此实现所有的门禁权限统一归口管理的目的。
用户自助服务管理。为方便师生及时掌握门禁权限、进出日志情况,开发基于移动端查询功能。可查看的基础数据有:人员基本信息;一卡通基本卡信息,包括卡状态标志:正常、挂失、冻结、注销;管控状态查询,查出是否在黑白灰名单中。此外还提供人脸自助采集功能等,并兼容主流平台的手机端使用。
终端设备管理。终端设备主要有闸机、办公门禁、宿舍门锁等等,大门禁平台支持门禁设备更换、支持设备的集中管理维护,并能在更换门禁设备后,自动继承原设备权限、参数信息,能较好减轻运维工作量。
异构数据的提取和整合。大门禁与数据中心进行数据交换,数据中心与各业务系统进行数据交换,这些数据包括机构、人员、图片、一卡通、宿管等数据,数据中心起着重要的数据中转作用,并进行数据清洗转化工作。
大门禁接收数据中心的数据:获取组织机构库;人员基本信息;获取人员人脸照片数据;一卡通物理卡号信息;宿管信息,对接宿舍区域,楼幢、单元、层、房间信息。获取各子系统原有权限信息,以及门禁控制器设备信息。
大门禁平台同步门禁流水给数据中心,同步人员指纹、人脸等给相关的子门禁系统。
系统层对接设计。大门禁平台对接各相关管理平台:如统一认证平台、移动App、电子地图系统等系统。
与统一身份认证平台对接。大门禁平台的通过统一认证平台认证后登录,登录接口调用统一认证平台,根据返回值判断是否正常登录。
移动企业号等对接。门禁总平台提供人员信息(基本信息、人脸照片)录入接口给移动APP,门禁平台人员信息录入接口。
与校园GIS 对接。大门禁软硬件故障报警信息嵌入校园GIS系统,以地图方式对系统内各门禁的运行状态、报警信息、视频监控信息进行实时监控。
预留健康码对接接口,实现与省级大数据管理中心对接;预留与公安系统人脸识别对接,实现快速识别可疑用户、智能预警功能。
安全性设计。在大门禁平台的安全设计中,既要考虑数据资源的共享,还要考虑数据信息的保护以及子门禁系统直接的逻辑隔离。大门禁平台部署在校园内,对流水日志等数据采用加密处理。
网络层面。根据不同业务需要进行网络内划分不同的Vlan进行逻辑隔离。通过标准化封装接口、算法加密等手段保证数据安全性。
算法层面。每个算法在接入大门禁平台时,会对算法进行加密,同时封装统一接口,通过二次加密形式保证算法的安全性。
接口通道。提供接口智能管理,主力通道+备份通道,规避突发事件,确保认证顺畅,操作行为全程可追溯。
总之,大门禁平台能有效整合各子门禁系统,实现终端设备、流水数据、授权体系的集中管理,建立起统一、可靠的门禁管理体系;支持主流门禁产品的平滑接入,最大程度利用现在门禁资源,为后疫情时代校园管理提供技术参考。此外,平台提供完善的数据服务、多种认证方式的管理等功能,还将继续为学校科学管理作出贡献。