門禁一卡通早已不再是新鮮事物，它通過身份識讀、網絡、數據庫等技術將以前各不相通的各類系統整合一起，在現在的生活中到處都有它的應用。從大廈、小區、校園、工廠機關的門禁、考勤、停車場等等,已滲入到社會方方面面。隨著技術和應用的發展，它已經改變了人們生活方式。本文筆者將從多個方面對門禁一卡通發表一些粗淺看法,與讀者分享。

　　一卡通理解

　　用一張卡和一套平臺提供門禁、停車場、考勤、簽到、電梯、訪客、巡更、電子支付和信息查詢服務等多種需求的應用。一卡通數據保存在一個數據庫中，卡片基礎信息共享，整個系統實現一次發卡、一次掛失，達到真正的卡通、網通、庫通。

　　門禁一卡通的設計不應是各單個功能的簡單組合，而是從統一網絡平臺、統一數據庫、統一身份認證體系、數據傳輸安全、各管理系統接口、異常處理等軟件總體設計思路的技術實現來考慮，使各管理系統，各終端設備綜合性能達到最佳的設計。

　　門禁一卡通能實現多種不同管理功能，這些功能應該可以使用來自不同廠家的設備，只要使用同一種格式的卡片。該應用模式優點是可以對各個功能選擇專業化程度更高且適合個性用途的產品，并不存在不兼容性問題，一個子系統故障不應影響到其他子系統及系統平臺。

　　目前，一卡通還只是在各企事業單位、學校內，或某項目內應用，還沒有形成真正的跨區域或跨行業的應用。實際上所謂一卡通主要看有沒有一卡通管理平臺(授權不能是由多套系統實現)和一個數據庫管理，即“一網、一卡、一庫”。作為安防中的門禁一卡通現在已成為智能化系統中最常見的安防子系統，已在政府、企業、金融、醫院、部隊等行業得到大量應用，還能與其它智能化系統進行集成和聯動，比如防盜報警、視頻監控、消防報警以及樓宇自控系統等。

　　現在門禁一卡通系統盡管還在不斷發展，但從技術到應用已經比較成熟，這從各廠商的產品可粗略地歸納出門禁一卡通五個方面的典型子系統：

　　①平臺管理：權限管理、設備管理、數據管理、卡務管理等子系統;

　　②身份識別：門禁、梯控、考勤、巡更、車輛出入、車載通勤、會議簽到、訪客管理、儲物管理等子系統;

　　③電子交易：銀行圈存統、消費管理統、水控管理、電控管理等子系統;

　　④信息服務：WEB查詢、觸摸屏查詢、電話語音查詢、短信查詢等子系統;

　　⑤集成接入:ERP接口、圖書管理接口、教務管理接口、人力資源接口、辦公自動系統，能提供OPC接口與其它視頻監控、報警、消防、樓宇自控系統等實現集成。

　　典型平臺架構

　　門禁一卡通從功能結構上可劃分為基礎平臺和業務應用兩大部分,基礎平臺提供數據訪問支持，業務應用實現業務處理。各業務應用共享基礎平臺，通過基礎平臺各業務可在授權的范圍相互調用，且業務應用可自由增減和擴展。在此平臺上，可以方便、靈活、自由地添加或移除其它功能模塊。

　　目前多數一卡通系統均采用標準的三層結構：即物理設備層、應用操作層、信息服務層。其中物理層可以采用RS-485總線或TCP/IP，應用層與共享層均采用TCP/IP網絡，這樣的網絡結構可滿足傳輸的穩定性、安全性、靈活性等要求。先進的總線和信息集成技術，將一卡通管理系統中的各管理子系統集成在一個基礎平臺上，并通過內部INTRANET網形成信息資源共享。基于“服務層+應用層+設備層”模式，現在門禁一卡通典型架構大致有二類：

　　第一類：TCP/IP+總線架構，總線可以RS485、CAN等，每一個子系統有一個獨立的管理服務器，在管理服務器下經總線與終端控制器連接，以實現各子系統的專業功能。各專業管理服務器經TCP/IP網與服務層子系統和應用層子系統連接，在服務層具有平臺數據庫、卡務管理、權限管理等功能，在應用層有各類查詢子系統。這種架構應該說是行業內應用得最多，也呈現出比較穩定成熟的架構型式。這類架構擴展也比較方便，只要在TCP/IP層加專業管理服務器，之后再以總線與專業終端控制設備連接。該架構與第三方系統集成也比較方便，比如其它視頻監控、報警、消防、樓宇自控系統等。集成方式常有二種，開關量聯動可經門禁終端控制設備直接輸入和輸出，非常簡捷;另一種即純軟件聯動，其要借助于相應系統服務器經TCP/IP與門禁一卡通平臺實現聯動。

　　第二類：全TCP/IP架構，包括終端控制器都是網絡型的，所有設備層、服務層、應用層設備都被掛在TCP/IP網絡上，該類架構的服務層子系統和應用層子系統與第一種類型架構相同，且相應子系統的管理服務器與專業控制器間不以總線形式連接，大家都以TCP/IP方式交換數據。該架構與第三方系統集成同樣方便，開關量也可經門禁終端控制設備直接輸入和輸出，另一種純軟聯動也借助相應系統的管理服務器經TCP/IP實現聯動。

　　總體而言，相較于以往純485總線系統，TCP/IP系統主要有以下幾方面優勢：

　　1)傳輸速度快，充分利用TCP/IP網絡傳輸優勢;

　　2)系統應用與擴展靈活方便，兼容485總線結構，各子系統以模塊方式接入;

　　3)用戶操作界面友好，安裝及使用簡單;

　　4)可基于用戶原有計算機網絡，減少了大規模布線，適用于大規模及超大規模應用。

　　5)提高了系統的可維護性，IP網絡便于實現遠程診斷和維護。

　　系統安全隱患

　　門禁一卡通系統是由各級設備和各功能模塊組成，其安全運行取決于各個環節是否能安全工作，說到系統安全具體可包括：識別安全、結構安全、傳輸安全和存儲安全，而其中最為重要的則是數據傳輸安全。

　　自CPU卡取代IC卡，以及3DES和國密算法的應用，識別安全已得到了解決;而系統結構是基于成熟的TCP/IP或TCP/IP+總線架構，應該說這類架構是經過包括門禁和無數類似工業應用的考驗，所以說結構安全也不會有問題;系統數據主要存儲在數據庫和前端控制器中，數據存儲安全隱患主要在數據庫，因此數據庫密碼管理也已經有許多解決方案，數據庫中存儲的數據涉及核心的關鍵字段可采用部分加密;最后數據傳輸安全則是整個系統最重要的環節，其隱患主要在上位管理計算機與前端門禁控制器、控制器與讀卡器間的數據傳輸。

　　管理計算機與控制器間常采用TCP/IP或者RS-485協議傳輸，由于協議本身就存在一定的缺陷，容易在傳輸過程中被截獲。TCP/IP協議作為互聯網協議，雖然在數據傳輸速度上有其顯著的特點，卻在設計之初并未考慮到未來安全需要，協議中有諸多安全漏洞，特別計算機病毒，使得網絡門禁會面臨極大的危險。而RS485自成網絡，其傳輸速率低，傳輸數據長度受到制約，因此無法將數據加密，這樣通過RS-485傳輸線纜能輕松取得數據。

　　門禁控制器與讀卡器之間通常采用韋根協議，明碼傳輸，格式為26bit、34bit，因此，截取數據線即可獲取卡片信息。

　　所以說對于前述的兩種組網方式的網絡安全性來講，任何一種網絡通訊都存在被第三方竊聽或修改的風險，RS485總線通訊技術比較簡單，更容易被攻擊。

　　TCP/IP協議是應用最廣泛的網絡通信協議，通信能力雖強大，但在傳輸過程中很容易通過專用軟件監聽和修改。這種威脅的主要危險是修改門禁出入權限和用戶信息、攔截實時報警事件、更改信息的方向和地址等，這將會給安全造成巨大的損失。

　　當前，為了保證門禁系統的數據和通信安全，可采用的網絡安全技術有：密碼技術、偽卡防范技術、設備認證技術、入侵檢測技術、數據傳輸加密技術、數據存儲備份和容災技術等。而可采取的措施也有從簡單到復雜，如在讀卡器與門禁控制器間采用RS-485通訊方式，其總比韋根明碼傳輸要好;在門禁一卡通中常可借用IT的網絡傳輸安全措施，譬如有業內行家建議采用VPN網絡通道技術，該方法解決了VPN通道外非法攻擊的威脅;又如采用SSL高加密技術的網絡門禁設備，則會使與控制器間的通訊全部通過SSL加密、解密、身份驗證等嚴格的安全檢測機制。

　　基本功能訴求

　　成熟的門禁一卡通系統應當具備高可靠性、高可擴展性、大容量等特點，才能適合復雜的應用環境、多應用統一管理和能逐步引進新應用的技術特點。

　　1)高可靠性：門禁高可靠性包括現場設備可靠性、系統安全性、數據可靠性等幾方面。設備可靠性是指系統硬件設備要能經受復雜使用環境考驗(如適應高溫差環境、抗感應雷襲擊和安裝人員素質不佳等);又因系統基于TCP/IP網絡傳輸，終端控制器和上層平臺間網絡傳輸應采用特殊的加密算法，以保障傳輸數據的安全性和可靠性;盡管上層管理平臺采用統一數據庫，而對外應能提供多套應用系統，讓數據可靠性得到充分保證。

　　2)可擴展性：門禁一卡通是在一套網絡和軟硬件平臺下工作，其支持統一的操作系統和數據庫，并采用“服務層+應用層+設備層”的架構模式，分布式應用、集中管理是其組成和運行原則。故一卡通平臺除能支持門禁、考勤、停車場、訪客系統、消費等的統一管理外，還要能保證系統能非常方便地接入(包括軟硬件)如電梯、訪客、會議簽到、電子巡更等子系統。此外，在智能化系統集成應用中，一卡通平臺要具有開放的標準的接口，要能夠方便地與其它子系統(視頻監控、防盜報警、周界報警)、消防報警系統、樓宇自控系統、辦公自動系統、行業專用業務系統等實現集成。

　　3)大容量：現在門禁一卡通系統已被應用在各類領域，如企事業單位、學校、小區等，系統的大容量是實現多系統統一管理的關鍵和基本保障。例如一些大型企業要能夠管理幾萬人的各類信息，而傳統系統只能支持數百、數千人的規模。以某品牌門禁一卡通為例，其門禁控制器最大能支持脫機10萬人信息存儲、高速運算能保障刷卡響應時間只0.1-0.2S、其報警上傳僅在2S內傳輸到告警工作站、其視頻抓拍每秒可完成100次抓拍、抓拍系統最大能支持10萬人，2000-3000門點，也就是說只有這樣穩定的大系統才能滿足各類應用需求。

　　技術發展特點

　　筆者參考了業內主要門禁一卡通廠家的產品，就技術走向歸納出如下特點：

　　1)多層分布式網絡結構：今后的門禁一卡通或會向這類組網結構發展，其具有方便使用、穩定可靠、安全性高、資源共享、擴展靈活、易維護、快捷響應、效率高的優勢，所以系統會更適合應用和擴展，更具可靠性。

　　2)B/S架構:C/S架構有獨立的客戶端軟件需要在管理電腦上安裝，而B/S架構僅需要在服務器上配置，然后在操作電腦上通過WEB網頁訪問進行管理和控制，就此提高了系統的靈活和便捷性，不過對于大型系統，系統設置等還是需要C/S架構支撐，B/S架構用于直接用戶操作，兩者不可或缺。

　　3)組態軟件：各類功能模塊豐富、軟件性能穩定、具良好的開放性、權限控制等，使安全防范更加嚴密，可視化風格界面也更直觀和人性化。

　　4)安全保障：對前端識別、控制處理、網絡通訊等各個環節的信息傳輸及數據存儲均采用嚴格的加密技術(如國密、3DES)，以保障系統數據存儲和傳輸的高安全性。

　　5)認證多樣性：支持各種IC卡、CPU卡、復合卡、指紋、面部等生物識別技術。生物認證作為“便攜”和“唯一”的認證介質，與卡介質一起，在一卡通應用中一定會得到快速發展。此外，智能卡多重認證、智能卡+密碼認證、生物識別+卡認證等復合認證模式會根據安全等級和環境要求得以應用。

　　此外，還有一些特殊的認證模式也被提出，并逐步形成產品，如短信臨時認證和語音信箱認證。內部用戶在讀卡器上輸入特定號碼，系統確認后自動生成一個隨機碼，以短信方式發送到用戶手機，實現身份驗證和開門等功能，并一次使用自動失效。又用戶可通過電話撥打一卡通中心特服號，根據語音提示操作，系統判斷用戶特定編碼以及輸入的密碼，來實現身份驗證，在系統中記錄相關事件以備查詢。

　　6)數據庫：今后的一卡通平臺能支持ORACLE、SQLserver等多種類的數據庫結構，以提升系統數據庫的適用性。

　　7)手機一卡通：把IC卡(包括M1和CPU)的所有功能都融合在手機卡上，這樣手機卡在保有原有通訊所有功能的同時，還具備傳統一卡通的所有功能，同時還可衍生出大量傳統一卡通沒有的功能。

　　8)云技術：該技術帶來異地互聯一卡通，基于云技術的一卡通，其核心目標是通過云存儲及遠程軟件的應用，達到用戶隨時隨地對本地、跨區域信息的實時掌握。同時簡化系統安裝、調試、運維工作量。云服務簡化了統一后端的開發，可以把現有的應用程序、數據和服務連接到任何PC、平板電腦和手機上。

　　9)以門禁為平臺去整合或將成主流：在目前安防業內多以視頻監控為主體去整合門禁及報警，但可以預見的是，隨著門禁技術的不斷發展，以門禁系統為主體去整合視頻系統及其他如報警、消防等系統也必將成為趨勢。由于門禁系統以主動防御為特點，且功能越來越多，使得門禁系統能夠接納更多系統，以它為主體，可以更好地將眾多安防系統整合在一起。

　　結語

　　門禁一卡通是通過卡的認證完成設備控制的系統，其從最初的單門禁，逐漸成為今天廣泛應用的一卡通，幾乎無所不能涉及到各個方面。從目前應用來看，已衍生出考勤、訪客、巡更、會議簽到、消費、物品流通、停車場出入、電梯控制等等多個子系統，而且隨著人員身份認證、物品認證等需求的拓展，系統應用還會不斷擴大。

　　作為智能化系統重要組成部分，門禁一卡通也應該是開放的系統，能通過OPC、SOCKET等標準接口協議與IBMS、BAS、OA等系統集成，實現與視頻監控、消防報警、設備管理等系統聯動，并實現與單位管理系統的數據同步，即通過系統間的數據整合，讓門禁一卡通真正發揮出最大化的作用。

有關一卡通的銀行案例：http://ee.ofweek.com/2014-06/ART-11000-2801-28837828.html