【安防知識網】門禁是一卡通系統(tǒng)中應用最為廣泛的子系統(tǒng)，從引進國內至今，系統(tǒng)的發(fā)展隨著應用而擴展，使用者對門禁系統(tǒng)認知的深入，經歷多個階段。目前用戶對門禁系統(tǒng)的要求主要體現在以下幾個方面，如：系統(tǒng)是否穩(wěn)定、是否能支持多類卡片、是否支持各種認證形式、與第三方系統(tǒng)的兼容性、通信反應時間的快慢、系統(tǒng)架構如何等幾大方面。

　　系統(tǒng)穩(wěn)定性要求

　　門禁系統(tǒng)初入市場時，由于技術欠缺等多種因素，導致門禁系統(tǒng)穩(wěn)定性經常得不到保證，而作為直接融入日常管理的系統(tǒng)，因系統(tǒng)故障頻發(fā)，使很多已建成的門禁系統(tǒng)成為擺設，沒有有效發(fā)揮預想的作用，所以門禁系統(tǒng)的穩(wěn)定性是系統(tǒng)建設的關鍵性需求之一。

　　入侵報警、監(jiān)控系統(tǒng)主要是從內外空間對保護區(qū)域進行監(jiān)視，其安防作用有相當的被動性。而門禁系統(tǒng)與其不同，它目的是對出入保護區(qū)域的人員進行合法性認證，其具有相當的主動防衛(wèi)性，要求是將危險源杜絕在外。這就要求門禁系統(tǒng)每年365天，每天24小時都必須連續(xù)不斷地穩(wěn)定運行，所以任何故障點都可能造成受控通道無法正常管控，進而造成安防上的漏洞。所以，門禁系統(tǒng)的特性之一是要求系統(tǒng)必須具有極高的可靠性。

　　以單一受控點故障為例，同樣是1%的故障率，10個門禁點的系統(tǒng)每10天出現一次故障;100點的門禁系統(tǒng)，系統(tǒng)故障每天都將發(fā)生;一個1000點的系統(tǒng)，物管人員每天都將面對受控門無法受控的尷尬，更不要說幾千點的超大型系統(tǒng)了。

　　從以上故障率的簡單計算可以看出，一卡通系統(tǒng)的穩(wěn)定性對用戶日常的運作至關重要。而且，隨著一卡通系統(tǒng)建設規(guī)模的日益龐大，系統(tǒng)復雜程度和系統(tǒng)對上層智能化系統(tǒng)，以及對下層子系統(tǒng)集成要求的日益提高，目前，門禁系統(tǒng)的穩(wěn)定性和數據安全性指標依然是系統(tǒng)建設者必須面對的重點和難點。

　　智能卡多樣性要求

　　隨著系統(tǒng)的完善，智能卡從只讀序列號的ID卡，升級到可讀寫卡片扇區(qū)內容的邏輯加密的IC卡，再到目前類似電腦存儲信息模式的CPU卡，以及直接由手機RF-SIM卡代替普通的智能卡;從幾厘米的認證距離升級到幾米，甚至幾十米、幾百米。智能卡的國際標準也陸續(xù)推出，目前常用的智能卡標準包括ISO14443A/B、ISO15693、ISO18000-6X等。

　　CPU卡的安全性和強大性能是業(yè)界公認的，迄今為止在通常的智能卡應用領域，CPU卡文件讀取認證模式是最安全的智能卡應用方式。自從2009年初Mifare1卡密鑰被破解事件的披露，使智能卡的升級得以加速，如果說Mifare1、Legic這類邏輯加密卡是“硬盤”的話，那么目前真正意義上的自主加密，具有卡片獨立數據運算能力的CPU卡就是一臺計算機。

　　另外，復合卡的出現讓使用者更加覺得人性化、簡捷化。比如CPU卡與18000-6B/C的復合卡等，既兼顧了近距離的門禁、消費等系統(tǒng)需求，又滿足了停車場、通道管理等系統(tǒng)中遠距離智能卡認證的需求。 [nextpage]

　　認證多樣性要求

　　隨著用戶需求和多種智能卡類型應用的發(fā)展，一卡通系統(tǒng)的智能認證模式也得到了迅速發(fā)展。智能卡認證已經涵蓋了ID、IC、CPU卡，手機RF-SIM卡認證也作為一種新型的認證模式，納入到門禁認證的范疇中來。

　　CPU卡認證一般有兩種，一種采用讀取序列號的形式，這是變相的ID卡模式，完全不能發(fā)揮CPU卡的安全性和擴展性優(yōu)勢。另一種認證是通過讀取CPU卡內部文件的模式，這種方式才能最大程度地運用CPU卡強大的性能，上海世博會的門禁系統(tǒng)均采用了CPU卡內部文件認證模式。

　　生物認證作為“便攜”和“唯一”的認證介質，與智能卡介質一起，在一卡通系統(tǒng)應用中也得到了發(fā)展，根據系統(tǒng)常規(guī)及高端應用的不同，目前指紋、掌形、面像、虹膜等生物識別認證，根據不同的要求和應用場合，均得到了廣泛的采用。不過，生物認證模式由于技術發(fā)展的瓶頸，在穩(wěn)定性、應用成本和系統(tǒng)構建難度等方面還存在一定的問題和實際應用的難度。

　　此外，智能卡多重認證、智能卡+密碼認證和生物識別+卡片認證等復合認證模式，也根據不用的安全等級和環(huán)境要求得以應用。

　　還有一些比較特殊的認證模式被用戶提出，并逐步形成產品，如：短信臨時認證和語音信箱認證。

　　1、短信臨時認證

　　內部用戶在門禁讀卡器上輸入特定號碼，系統(tǒng)服務器確認后，自動生成一個隨機碼，以短信的方式發(fā)送到用戶手機，用戶再使用這個臨時卡號實現身份驗證、開門等功能，而臨時卡號在使用一次之后就自動失效。

　　2、語音信箱認證

　　用戶通過電話撥打一卡通控制中心特服號，根據語音提示操作，系統(tǒng)判斷用戶的特定編碼以及輸入的密碼，來實現身份驗證，在系統(tǒng)中記錄相關事件以備今后查詢。

　　另外，認證設備及讀卡器的傳輸方式也隨著系統(tǒng)的應用發(fā)展而變化著，從最初單一的Wiegand通信，逐步發(fā)展出T2、RS232等。大型、超大型門禁系統(tǒng)(200點以上、上千點)的建設，對系統(tǒng)構建又提出了新的要求，為了方便大型系統(tǒng)的調試和日常運行的設備維護，用戶一般要求門禁控制器集中安裝在弱電間，這就意味著面積較大的建筑內的讀卡器與控制器距離會超過100米，甚至更遠。傳輸距離有限的Wiegand、T2等通訊協議的讀卡器只能望而卻步，應運而生的即是傳輸距離可達1200米的RS485讀卡器。

　　系統(tǒng)兼容性

　　在門禁一卡通系統(tǒng)建設時，為了達到業(yè)主完善，以及個性化的功能和管理需求，經常需要與第三方系統(tǒng)進行整合，如IBMS、BA、CCTV、消防系統(tǒng)等，整合方式有軟件和硬件兩種模式。

　　門禁系統(tǒng)與消防系統(tǒng)集成、協同運作，當緊急情況發(fā)生時，受控門應自動打開電鎖，根據消防要求，此動作一般采取斷電開鎖的硬件方式。以某美國品牌的系統(tǒng)架構為例，其將DI/DO聯動模塊直接接入門禁控制器ACUD的RS485總線，以完成硬件聯動功能。

　　軟件模式主要是運用標準的通訊協議，實現各系統(tǒng)間的整合。標準的通訊接口協議包括ODBC、OPC、SOA、SOCKET等，通過這些標準接口，系統(tǒng)間互換數據信息，以實現相關的功能聯動。如一卡通系統(tǒng)(考勤子系統(tǒng))可作為企業(yè)、事業(yè)單位管理系統(tǒng)的輔助系統(tǒng)，需要與人事管理、財務管理相融合，與MIS、ERP系統(tǒng)整合。在醫(yī)療單位，一卡通系統(tǒng)(消費子系統(tǒng))可與就診卡系統(tǒng)、病例、處方、住院管理、醫(yī)用品管理系統(tǒng)融合，與HIS系統(tǒng)整合等等，這樣的功能整合需求不勝枚舉。 [nextpage]

　　系統(tǒng)架構分析

　　目前一卡通系統(tǒng)的規(guī)模越來越大，建筑面積幾十萬平方米的大型、超大型建筑群的系統(tǒng)、跨地域的集團性企業(yè)統(tǒng)一數據庫管理整合型系統(tǒng)、超大型連鎖企業(yè)的系統(tǒng)，這些龐大系統(tǒng)的控制點往往都在一千點以上，甚至三、四千點，門禁一卡通系統(tǒng)的結構也隨著這些系統(tǒng)的需求發(fā)生著構架建設革命和控制設備升級。

　　RS485總線系統(tǒng)存在傳輸距離、通信速率、總線效率等諸多方面的問題，已經不能滿足大型化系統(tǒng)建設的要求。

　　適應大型、超大型的，基于TCP/IP的門禁架構已逐漸成為市場的主流。此架構一般嫁接于建筑內的局域網，采用事件觸發(fā)機制，用雙絞網線和光纖保證傳輸速率、傳輸距離，為了保證系統(tǒng)的安全性，可獨立架設網絡，或者通過VLAN劃分專用網段的方式。

　　在此選用某美國品牌的系統(tǒng)架構為例進行詳述。該品牌的TCP/IP門禁系統(tǒng)由管理層、控制層與終端層的三層架構組成，且支持Internet、RS-485等不同通訊協議的硬件接入，其管理層、控制層間采用TCP/IP網絡、控制層與終端層間采用RS-485結構，參見圖1。

　　多棟建筑組成的門禁系統(tǒng)只需通過TCP/IP即可實現傳輸、共享相關的數據。傳輸的數據要采用加密形式，保護敏感信息，防止非法截取、破譯，Internet、RS-485、WIFI等通訊協議的硬件搭配保證了超大終端容量的一卡通系統(tǒng)。

　　由于TCP/IP和RS-485架構的應用環(huán)境和網絡架構等的不同，所以它們的性能差別較大，表1是兩種網絡架構的性能對比表，供參考。

 [nextpage]

　　數據通訊速率

　　基于TCP/IP的門禁架構的優(yōu)越性體現在很多方面，包括數據通訊的速率。此節(jié)繼續(xù)以某美國品牌的系統(tǒng)架構為例，參見圖2重點講述通訊速率。

　　某美國品牌的門禁系統(tǒng)為實時系統(tǒng)，當門禁控制點數在500點以上時，圖控報警的反應時間和與CCTV系統(tǒng)聯動的反應時間，經實測基于TCP/IP及RS485混合架構的系統(tǒng)約在200毫秒左右，而基于全RS485架構的往往在數秒鐘。

　　數據量計算

　　1、讀卡器與門禁控制器ACU的通訊

　　下層讀卡器對ACU每發(fā)送一次信息最多需要傳送14Bytes，ACU對下層讀卡器每發(fā)送一次信息最多需要傳送6Bytes，合計20Bytes。每個ACU下面最多接4個讀卡器，ACU和每個讀卡器各通訊一次，總共需要傳送20×4=80Bytes。

　　ACU到下層讀卡器的默認通訊速度為19200BPS，在此方式下每秒鐘可傳送19200/8=2400Bytes，考慮信息量每次都是最多而且設備也最多的情況下，ACU對下掛的每個讀卡器，每秒鐘可以完成2400/80=30次通訊，即表示讀卡的理論響應時間從通訊上考慮一般會在約1/30秒。

　　2、門禁控制器ACU與網絡控制器NCU的通訊

　　下層設備(ACU)對NCU每發(fā)送一次信息最多需要傳送14Bytes。NCU對下層設備(ACU)每發(fā)送一次信息最多需要傳送6Bytes，對數據加密后長度不會產生變化，還是6Bytes，合計20Bytes，那么完成這樣一次通訊最多需要傳送14+6=20Bytes。每個NCU下面最多接15個下層設備(ACU)，NCU和所有15個下層設備各通訊一次，總共需要傳送20×15=300Bytes。

　　一般情況下，設NCU到下層設備(ACU)的默認通訊速度定在19200BPS，在此方式下每秒鐘可傳送19200/8=2400Bytes，考慮信息量每次都是最多而且設備也最多的情況下，NCU對所有的每個下層設備，每秒鐘可以完成2400/300=8次通訊，即表示理論上的響應時間從通訊上考慮一般會在約1/8秒。

　　綜合上述ACU與讀卡器、NCU與ACU的通信響應時間，如果有人刷卡，則響應時間要以NCU與ACU的通信響應時間為準進行計算，即約1/8秒(0.125秒)。以上是理想的理論計算，實際可能還會稍稍有點折扣。

　　3、從刷卡到圖控顯示的理論通訊反應時間

　　讀卡器對上層ACU的通訊反應時間約為1/30秒(0.033秒);ACU運算及發(fā)出的反應時間為1/100秒(0.01秒);ACU對上層NCU的通訊反應時間為1/8秒(0.125秒);NCU運算及發(fā)出的反應時間為1/200秒(0.005秒);NCU對計算機的通訊反應時間為1/500秒(0.002秒);即可推算出刷卡后到圖控顯示的反應時間肯定要小于0.2秒(以最長ACU與NCU的通訊反應時間為準計算)。

　　再考慮到通訊的延時和等待，在最壞的情況下，任何系統(tǒng)事件產生的反應時間約在300ms(0.3秒)。NCU把事件傳輸到計算機上是采用100M網絡方式，這個時間非常少可以忽略不計，就是說任何事件發(fā)生以后，到計算機上有反應只要0.3秒時間。

　　而平時正常情況下的通訊，并不會每次都是數據量最大且通訊最壞的情況，所以實際上事件到計算機的響應時間，肯定要小于200ms(0.2秒)。