門禁是一卡通系統(tǒng)中應(yīng)用最為廣泛的子系統(tǒng),從引進(jìn)國(guó)內(nèi)至今,系統(tǒng)的發(fā)展隨著應(yīng)用而擴(kuò)展,使用者對(duì)門禁系統(tǒng)認(rèn)知的深入,經(jīng)歷多個(gè)階段。目前用戶對(duì)門禁系統(tǒng)的要求主要體現(xiàn)在以下幾個(gè)方面,如:系統(tǒng)是否穩(wěn)定、是否能支持多類卡片、是否支持各種認(rèn)證形式、與第三方系統(tǒng)的兼容性、通信反應(yīng)時(shí)間的快慢、系統(tǒng)架構(gòu)如何等幾大方面。
門禁一卡通集成化
隨著安防系統(tǒng)數(shù)字網(wǎng)絡(luò)化發(fā)展的加快,網(wǎng)絡(luò)化產(chǎn)品范圍不斷擴(kuò)大,門禁系統(tǒng)也從傳統(tǒng)的RS485總線傳輸方式,穩(wěn)步向TCP/IP網(wǎng)絡(luò)方向深入。
RS485通訊方式在節(jié)點(diǎn)數(shù)量、傳輸距離、通訊速率等方面的局限制約了它的應(yīng)用,尤其是大型門禁系統(tǒng)的應(yīng)用。而基于TCP/IP網(wǎng)絡(luò)通訊方式的門禁系統(tǒng),具有無節(jié)點(diǎn)限制,覆蓋范圍廣,通訊速度快干擾小等優(yōu)勢(shì),全面領(lǐng)先于RS485總線方式,理所當(dāng)然會(huì)獲得眾多用戶特別是大型門禁系統(tǒng)用戶的青睞。
必須引起注意的是,市場(chǎng)上有些采用外置式或內(nèi)置式網(wǎng)絡(luò)轉(zhuǎn)換器的門禁系統(tǒng),其實(shí)是使用了RS485轉(zhuǎn)TCP/IP的中間設(shè)備,并非真正意義上的網(wǎng)絡(luò)門禁。真正意義上的網(wǎng)絡(luò)門禁,其門禁控制器一般采用32位ARM7/9的微處理器來實(shí)現(xiàn)。
采用全TCP/IP方式的門禁系統(tǒng),可充分利用已建的網(wǎng)絡(luò)資源,新布線工程量少,可跨區(qū)域使用而不受距離限制,信息傳輸和存儲(chǔ)量能大幅度提升。但如果項(xiàng)目本來無網(wǎng)絡(luò),專門架設(shè)網(wǎng)絡(luò)反而增加了前期投入成本,目前還主要應(yīng)用100門以上的大型系統(tǒng)。
技術(shù)發(fā)展的另一方面,是門禁系統(tǒng)和其他安防體統(tǒng)的整合,主要是整合視頻監(jiān)控系統(tǒng)、入侵報(bào)警系統(tǒng)、周界探測(cè)系統(tǒng)、消防報(bào)警系統(tǒng)、樓宇自動(dòng)化系統(tǒng)。這種組合提供了有效的結(jié)構(gòu)以增強(qiáng)各系統(tǒng)的互相補(bǔ)充。例如,一旦有了觸發(fā)警報(bào)的事件,就會(huì)發(fā)信號(hào)給視頻監(jiān)控系統(tǒng)以便提供事件現(xiàn)場(chǎng)的實(shí)時(shí)錄像,同時(shí)聯(lián)動(dòng)門禁系統(tǒng)封鎖相應(yīng)的門禁通道。
此外,門禁與一卡通系統(tǒng)的融合將更加緊密,范圍會(huì)越來越廣,滲透到社會(huì)各個(gè)領(lǐng)域,并發(fā)揮日益重要的作用。除了包含門禁、考勤、證件、巡更、就餐、消費(fèi)、健身、醫(yī)療、停車場(chǎng)、圖書資料、會(huì)議簽到、訪客管理、電梯控制管理、辦公設(shè)備管理、會(huì)所娛樂、三表及物業(yè)交費(fèi)等,還與其它智能化系統(tǒng)進(jìn)行必要的集成和聯(lián)動(dòng),如防盜報(bào)警、閉路監(jiān)控、消防報(bào)警,甚至是樓宇自控系統(tǒng)等等。
此外,系統(tǒng)還將與ERP等系統(tǒng)做數(shù)據(jù)接口,如考勤與薪資、人事管理等交互數(shù)據(jù),互為依據(jù)。
門禁一卡通本意
從本質(zhì)意義上講,真正的門禁一卡通管理系統(tǒng)應(yīng)是基于“一卡、一庫、一網(wǎng)”和設(shè)計(jì)思想。“一卡”就是在一張卡片上實(shí)現(xiàn)門禁、考勤、就餐、巡更、停車場(chǎng)、娛樂消費(fèi)、內(nèi)部購(gòu)物等功能。“一庫”就是在同一個(gè)軟件管理平臺(tái)上,實(shí)現(xiàn)卡的發(fā)行、掛失、充值、資料查詢等管理,所有系統(tǒng)共用一個(gè)數(shù)據(jù)庫。“一網(wǎng)”就是各系統(tǒng)的終端接入局域網(wǎng)進(jìn)行數(shù)據(jù)傳輸和信息交換。
門禁一卡通安全問題引起關(guān)注
門禁系統(tǒng)重要的載體就是卡片,卡片的選用直接關(guān)系到系統(tǒng)的安全性。
IC卡全稱集成電路卡(IntegratedCircuitCard),又稱智能卡(SmartCard)。該種卡頻率為13.56MHz,可讀寫,容量大,共分16個(gè)扇區(qū),有加密功能,數(shù)據(jù)記錄可靠,使用方便,如一卡通系統(tǒng)、消費(fèi)系統(tǒng)等,目前主要有PHILIPS的Mifare1系列卡。ID卡全稱身份識(shí)別卡(IdentificationCard),是一種不可寫入的感應(yīng)卡,含固定的編號(hào),頻率為125KHz,目前主要有EM、HID、TI、INDALA等種類。
ID卡由于其安全性差,容易復(fù)制,主要用于低端市場(chǎng),以及對(duì)安全性要求較低的場(chǎng)合,因而IC卡成為門禁系統(tǒng)的首選。業(yè)界普遍認(rèn)同的IC卡首推NXP的Mifare1卡,開放性和通用性都比較好,像廣州的“羊城通”卡就是用的Mifare1卡。
一個(gè)消息的傳出震驚了整個(gè)IC卡行業(yè)。德國(guó)和美國(guó)的研究人員成功地破解了NXP的Mifare1芯片的安全算法。Mifare1芯片主要用于門禁系統(tǒng)訪問控制卡,以及一些小額支付卡,應(yīng)用范圍已覆蓋全球。因此這項(xiàng)“成果”引起了不小的恐慌,因?yàn)橐粋€(gè)掌握該破解技術(shù)的不法分子可以克隆任何一個(gè)門禁卡,從而自由進(jìn)出政府機(jī)關(guān)大樓或公司辦公室;可以批量克隆或偽造各種儲(chǔ)值卡大肆購(gòu)物而不被發(fā)現(xiàn)。國(guó)內(nèi)發(fā)行的這種卡,估計(jì)有幾億張?jiān)谕度胧褂?,它的安全性涉及到眾多的運(yùn)營(yíng)單位和持卡人的利益。通過這種方法,破壞者可以使用非常廉價(jià)的設(shè)備在40ms內(nèi)就可以輕易獲得一張M1卡的密碼。
在Mifare1卡片安全問題暴露后,一些公司公開宣稱已經(jīng)有了解決的辦法,其中的法寶就是所謂“一卡一密”,也就是每一張卡片的每一個(gè)扇區(qū)的密鑰都不相同,使用CPU卡裝載系統(tǒng)根密鑰,根據(jù)Mifare1卡的唯一序列號(hào)計(jì)算子密鑰,防止一張卡片被破解而影響整個(gè)系統(tǒng)。其實(shí)這種解決方案在Mifare1卡破解之前就已經(jīng)出現(xiàn)。那么,一卡一密真的能解決Mifare1的安全問題么,我們還是要從Mifare1卡的認(rèn)證機(jī)制著手進(jìn)行分析。
實(shí)際上,這種一卡一密的做法是借用了CPU卡認(rèn)證機(jī)制中的一卡一密概念,然而它在有意無意間忽略了一個(gè)非常重要的事實(shí),即CPU卡和邏輯加密卡是完全不同的兩種卡片,它們的認(rèn)證機(jī)制完全不同。CPU卡由于內(nèi)部具有CPU處理器和操作系統(tǒng)COS,認(rèn)證的過程完全是在用戶卡與SAM卡之間進(jìn)行的,認(rèn)證過程中傳送的是隨機(jī)數(shù)和密文,讀卡器基站芯片只是一個(gè)通訊通道,認(rèn)證過程不能復(fù)制,使用的算法是公開算法,其安全性是基于CPU卡對(duì)密鑰的保護(hù)而非對(duì)算法的保護(hù)。密鑰在用戶卡和SAM卡內(nèi)都不能讀出,而且密鑰的安裝是通過密文進(jìn)行,系統(tǒng)上線后即使是發(fā)卡人員和開發(fā)人員也無法得到密鑰明文,從根本上保證了系統(tǒng)的安全性。正是由于意識(shí)到了Mifare1卡潛在的安全性問題,建設(shè)部才多次開會(huì)推廣使用CPU卡。雙界面CPU卡更是由于其應(yīng)用的靈活性和對(duì)金融規(guī)范的支持得到了各方的贊賞。
結(jié)束語
由以上趨勢(shì)看,國(guó)內(nèi)門禁市場(chǎng)正在將經(jīng)歷“洗牌”,相當(dāng)多不具備研發(fā)實(shí)力或技術(shù)實(shí)力的小規(guī)模企業(yè)將因此生存更加艱難,而具備強(qiáng)大研發(fā)實(shí)力、創(chuàng)新技術(shù)的廠家將越來越強(qiáng)大,兩極分化進(jìn)一步加劇。