網(wǎng)絡(luò )安全技術(shù)在門(mén)禁控制系統中的應用

一、門(mén)禁系統的發(fā)展及現狀

隨著(zhù)數字網(wǎng)絡(luò )化發(fā)展的加快，網(wǎng)絡(luò )化產(chǎn)品范圍不斷擴大，門(mén)禁系統也從傳統的RS485總線(xiàn)傳輸方式，穩步向TCP/IP網(wǎng)絡(luò )方向深入。

RS485通訊方式在節點(diǎn)數量、傳輸距離、通訊速率等方面的局限制約了它的應用，尤其是大型門(mén)禁系統的應用。而基于TCP/IP網(wǎng)絡(luò )通訊方式的門(mén)禁系統，具有無(wú)節點(diǎn)限制、覆蓋范圍廣、通訊速度快、干擾小等優(yōu)勢，全面領(lǐng)先于RS485總線(xiàn)方式，理所當然會(huì )獲得眾多用戶(hù)的青睞。

目前市場(chǎng)上有些采用外置式或內置式網(wǎng)絡(luò )轉換器的門(mén)禁系統，其實(shí)是使用了RS485轉TCP/IP的中間設備，并非真正意義上的網(wǎng)絡(luò )門(mén)禁。真正意義上的網(wǎng)絡(luò )門(mén)禁所采用的門(mén)禁控制器一般采用32位ARM7/9的微處理器來(lái)實(shí)現。

采用全TCP/IP方式的門(mén)禁系統，可充分利用已建的網(wǎng)絡(luò )資源，新布線(xiàn)工程量少，可跨區域使用而不受距離限制，信息傳輸和存儲量能大幅度提升。但如果項目本來(lái)無(wú)網(wǎng)絡(luò )，專(zhuān)門(mén)架設網(wǎng)絡(luò )反而增加了前期投入成本，目前還主要應用于100門(mén)以上的大型系統。

門(mén)禁系統技術(shù)發(fā)展的另一方面，是門(mén)禁系統和其他建筑智能化系統的整合，主要是整合視頻監控系統、入侵報警系統、周界探測系統、消防報警系統、樓宇自動(dòng)化系統籌，這種組合提供了有效的結構以增強各系統的互相補充。例如，一旦有了觸發(fā)警報的事件，就會(huì )發(fā)信號給視頻監控系統以便提供事件現場(chǎng)的實(shí)時(shí)錄像，同時(shí)聯(lián)動(dòng)門(mén)禁系統封鎖相應的門(mén)禁通道。

二、門(mén)禁系統的組網(wǎng)方式及網(wǎng)絡(luò )安全技術(shù)問(wèn)題

1.組網(wǎng)方式及安全

目前網(wǎng)絡(luò )門(mén)禁系統有兩種組網(wǎng)方式。一種是基于RS485總線(xiàn)組網(wǎng)的門(mén)禁系統。另一種是網(wǎng)絡(luò )門(mén)禁系統的“IP網(wǎng)絡(luò )門(mén)禁”，“IP網(wǎng)絡(luò )門(mén)禁”是指門(mén)禁控制器與門(mén)禁服務(wù)器的通訊采用TCP/IP協(xié)議的門(mén)禁系統。

以前我們大都關(guān)注門(mén)禁系統的可靠性，目前門(mén)禁系統的安全性則受到越來(lái)越多的關(guān)注，尤其是一些國家機要部門(mén)、保密部門(mén)對門(mén)禁系統數據的安全性要求就更高。

對比傳統的基于485總線(xiàn)組網(wǎng)的門(mén)禁系統，IP網(wǎng)絡(luò )門(mén)禁的優(yōu)點(diǎn)主要體現在：(1)大大提高系統響應速度，對于超過(guò)100個(gè)門(mén)禁點(diǎn)以上的門(mén)禁系統，尤其對視頻聯(lián)動(dòng)有要求的場(chǎng)合，應該是首選;(2)提高系統可靠性，RS485雙絞總線(xiàn)技術(shù)成熟、簡(jiǎn)單易用，但抗干擾性能差;(3)提高系統可擴展性，IP架構更適合系統的標準化擴充，對與異地聯(lián)網(wǎng)使用的集團用戶(hù)來(lái)講是最佳選擇;(4)提高系統的可維護性，IP網(wǎng)絡(luò )門(mén)禁便于實(shí)現遠程診斷，維護。對比傳統的基于485總線(xiàn)組網(wǎng)的門(mén)禁系統不足的地方應該是IP網(wǎng)絡(luò )門(mén)禁控制器價(jià)格應該高于RS485門(mén)禁控制器。

對于兩種組網(wǎng)方式系統的網(wǎng)絡(luò )安全性來(lái)講，任何一種網(wǎng)絡(luò )通訊都存在被第三方竊聽(tīng)或修改的風(fēng)險，RS485總線(xiàn)通訊技術(shù)比較簡(jiǎn)單，較以TCP/IP協(xié)議組網(wǎng)的“IP網(wǎng)絡(luò )門(mén)禁”更容易被攻擊。

TCP/IP協(xié)議是應用最廣泛的網(wǎng)絡(luò )通信協(xié)議，通信能力強大，但TCP/IP協(xié)議包在傳輸過(guò)程中非常容易通過(guò)專(zhuān)用軟件監聽(tīng)和截獲，網(wǎng)絡(luò )中TCP/IP協(xié)議的對話(huà)很容易被第三者竊聽(tīng)或修改。

這種威脅的主要危險是門(mén)禁系統中的出人權限和管理員的用戶(hù)信息及密碼非常容易被截獲。最可怕的危險是合法通信被修改的可能性，被修改的信息用于非法的出入，甚至攔截阻斷實(shí)時(shí)報警事件等將會(huì )給客戶(hù)的安全造成難以估量的損失。

TCP/IP通信包被攔截執行于許多方面。如更改信息的方向，引起網(wǎng)絡(luò )上的主機在網(wǎng)絡(luò )對話(huà)期間改變它們發(fā)送報文包的地址。

對截斷對話(huà)感興趣的破壞者可能會(huì )利用某一個(gè)方法設置中繼。一個(gè)中繼破壞可能發(fā)生在網(wǎng)絡(luò )中任何地方，甚至是距離客戶(hù)系統很遠的位置。中繼機器能夠實(shí)時(shí)調節通信量或記錄用于日后分析的報文包。中繼機器也能夠改變被傳輸的通信內容。

獲取通信內容的方法只需要使用一種被動(dòng)包監控器(常常稱(chēng)為“包取樣器”)。包取樣器能夠以中繼破壞的方式向蓄意破壞系統安全者提供被記錄的網(wǎng)絡(luò )信息。

目前在大型項目如地鐵、銀行、無(wú)人值守機房、電信電力、軍隊、國家政府機關(guān)等高安全要求場(chǎng)所，其使用的TCP/IP門(mén)禁系統的99%的產(chǎn)品沒(méi)有網(wǎng)絡(luò )層的防侵入安全機制，由于客戶(hù)并不了解隨時(shí)存在被非法侵入的潛在風(fēng)險，一旦遭到攻擊將直接威脅到客戶(hù)的正常運營(yíng);甚至會(huì )造成重大的人員和財產(chǎn)損失，因此解決TCP/IP門(mén)禁系統的安全性問(wèn)題成為急待解決的問(wèn)題。

2.網(wǎng)絡(luò )安全技術(shù)在門(mén)禁系統中的應用

目前為了保證門(mén)禁系統的數據和通信安全，主要采用的網(wǎng)絡(luò )安全技術(shù)主要有：安全密碼學(xué)技術(shù)、偽卡防范技術(shù)、設備認證技術(shù)、入侵檢測、數據傳輸加密技術(shù)、數據存儲、備份和容災技術(shù)等。下面列舉常見(jiàn)幾種網(wǎng)絡(luò )安全技術(shù)在保證門(mén)禁系統方面的應用。

借用VPN網(wǎng)絡(luò )通道方法

采用圖1這種方法解決了VPN通道外的非法電腦攻擊的威脅。缺點(diǎn)是還存在來(lái)自VPN通道內部的非法電腦攻擊的可能性。

采用圖2這種方法給每一個(gè)控制器配一個(gè)獨立的VPN設備，優(yōu)點(diǎn)是系統中每個(gè)設備具有獨立的安全通道，有效的解決了內部和外部電腦攻擊的威脅。缺點(diǎn)是投資成本非常高及維護成本高。

選用高安全加密技術(shù)的網(wǎng)絡(luò )門(mén)菜設備

如西門(mén)子公司的SIPASS門(mén)禁系統，該類(lèi)產(chǎn)品通訊服務(wù)中采用了SSL加密技術(shù)，通訊服務(wù)軟件與管理客戶(hù)滿(mǎn)與控制器之間的通訊全部是通過(guò)SSL加密、解密、身份驗證等嚴格的安全檢測機制來(lái)完成。

目前網(wǎng)上銀行安全加密也是采用SSL的加密技術(shù)，該類(lèi)門(mén)禁系統產(chǎn)品中全面系統的安全機制保障了客戶(hù)在復雜的網(wǎng)絡(luò )環(huán)境中的安全，其特點(diǎn)是既滿(mǎn)足了客戶(hù)對整個(gè)系統的高安全性的要求又相對節省成本，還可以大量節約后期使用和維護成本，是非常有價(jià)值的選擇。

三、門(mén)禁系統與其他系統的集成與信息交互共享

隨著(zhù)數字網(wǎng)絡(luò )化、建筑智能化技術(shù)的迅速發(fā)展，門(mén)禁系統與其他系統的融合將更加緊密，范圍會(huì )越來(lái)越廣，滲透到社會(huì )各個(gè)領(lǐng)域，并發(fā)揮日益重要的作用。除了包含門(mén)禁、考勤、證件、巡更、就餐、消費、健身、醫療、停車(chē)場(chǎng)、圖書(shū)資料、會(huì )議簽到、訪(fǎng)客管理、電梯控制管理、辦公設備管理、會(huì )所娛樂(lè )、三表及物業(yè)交費等，還與其他智能化系統進(jìn)行必要的集成和聯(lián)動(dòng)，如防盜報警、閉路監控、消防報警，甚至是樓宇自控系統等等。