網(wǎng)絡(luò)安全技術(shù)在門禁控制系統(tǒng)中的應(yīng)用
一、門禁系統(tǒng)的發(fā)展及現(xiàn)狀
本文引用地址:http://m.butianyuan.cn/article/153927.htm隨著數(shù)字網(wǎng)絡(luò)化發(fā)展的加快,網(wǎng)絡(luò)化產(chǎn)品范圍不斷擴大,門禁系統(tǒng)也從傳統(tǒng)的RS485總線傳輸方式,穩(wěn)步向TCP/IP網(wǎng)絡(luò)方向深入。
RS485通訊方式在節(jié)點數(shù)量、傳輸距離、通訊速率等方面的局限制約了它的應(yīng)用,尤其是大型門禁系統(tǒng)的應(yīng)用。而基于TCP/IP網(wǎng)絡(luò)通訊方式的門禁系統(tǒng),具有無節(jié)點限制、覆蓋范圍廣、通訊速度快、干擾小等優(yōu)勢,全面領(lǐng)先于RS485總線方式,理所當(dāng)然會獲得眾多用戶的青睞。
目前市場上有些采用外置式或內(nèi)置式網(wǎng)絡(luò)轉(zhuǎn)換器的門禁系統(tǒng),其實是使用了RS485轉(zhuǎn)TCP/IP的中間設(shè)備,并非真正意義上的網(wǎng)絡(luò)門禁。真正意義上的網(wǎng)絡(luò)門禁所采用的門禁控制器一般采用32位ARM7/9的微處理器來實現(xiàn)。
采用全TCP/IP方式的門禁系統(tǒng),可充分利用已建的網(wǎng)絡(luò)資源,新布線工程量少,可跨區(qū)域使用而不受距離限制,信息傳輸和存儲量能大幅度提升。但如果項目本來無網(wǎng)絡(luò),專門架設(shè)網(wǎng)絡(luò)反而增加了前期投入成本,目前還主要應(yīng)用于100門以上的大型系統(tǒng)。
門禁系統(tǒng)技術(shù)發(fā)展的另一方面,是門禁系統(tǒng)和其他建筑智能化系統(tǒng)的整合,主要是整合視頻監(jiān)控系統(tǒng)、入侵報警系統(tǒng)、周界探測系統(tǒng)、消防報警系統(tǒng)、樓宇自動化系統(tǒng)籌,這種組合提供了有效的結(jié)構(gòu)以增強各系統(tǒng)的互相補充。例如,一旦有了觸發(fā)警報的事件,就會發(fā)信號給視頻監(jiān)控系統(tǒng)以便提供事件現(xiàn)場的實時錄像,同時聯(lián)動門禁系統(tǒng)封鎖相應(yīng)的門禁通道。
二、門禁系統(tǒng)的組網(wǎng)方式及網(wǎng)絡(luò)安全技術(shù)問題
1.組網(wǎng)方式及安全
目前網(wǎng)絡(luò)門禁系統(tǒng)有兩種組網(wǎng)方式。一種是基于RS485總線組網(wǎng)的門禁系統(tǒng)。另一種是網(wǎng)絡(luò)門禁系統(tǒng)的“IP網(wǎng)絡(luò)門禁”,“IP網(wǎng)絡(luò)門禁”是指門禁控制器與門禁服務(wù)器的通訊采用TCP/IP協(xié)議的門禁系統(tǒng)。
以前我們大都關(guān)注門禁系統(tǒng)的可靠性,目前門禁系統(tǒng)的安全性則受到越來越多的關(guān)注,尤其是一些國家機要部門、保密部門對門禁系統(tǒng)數(shù)據(jù)的安全性要求就更高。
對比傳統(tǒng)的基于485總線組網(wǎng)的門禁系統(tǒng),IP網(wǎng)絡(luò)門禁的優(yōu)點主要體現(xiàn)在:(1)大大提高系統(tǒng)響應(yīng)速度,對于超過100個門禁點以上的門禁系統(tǒng),尤其對視頻聯(lián)動有要求的場合,應(yīng)該是首選;(2)提高系統(tǒng)可靠性,RS485雙絞總線技術(shù)成熟、簡單易用,但抗干擾性能差;(3)提高系統(tǒng)可擴展性,IP架構(gòu)更適合系統(tǒng)的標(biāo)準化擴充,對與異地聯(lián)網(wǎng)使用的集團用戶來講是最佳選擇;(4)提高系統(tǒng)的可維護性,IP網(wǎng)絡(luò)門禁便于實現(xiàn)遠程診斷,維護。對比傳統(tǒng)的基于485總線組網(wǎng)的門禁系統(tǒng)不足的地方應(yīng)該是IP網(wǎng)絡(luò)門禁控制器價格應(yīng)該高于RS485門禁控制器。
對于兩種組網(wǎng)方式系統(tǒng)的網(wǎng)絡(luò)安全性來講,任何一種網(wǎng)絡(luò)通訊都存在被第三方竊聽或修改的風(fēng)險,RS485總線通訊技術(shù)比較簡單,較以TCP/IP協(xié)議組網(wǎng)的“IP網(wǎng)絡(luò)門禁”更容易被攻擊。
TCP/IP協(xié)議是應(yīng)用最廣泛的網(wǎng)絡(luò)通信協(xié)議,通信能力強大,但TCP/IP協(xié)議包在傳輸過程中非常容易通過專用軟件監(jiān)聽和截獲,網(wǎng)絡(luò)中TCP/IP協(xié)議的對話很容易被第三者竊聽或修改。
這種威脅的主要危險是門禁系統(tǒng)中的出人權(quán)限和管理員的用戶信息及密碼非常容易被截獲。最可怕的危險是合法通信被修改的可能性,被修改的信息用于非法的出入,甚至攔截阻斷實時報警事件等將會給客戶的安全造成難以估量的損失。
TCP/IP通信包被攔截執(zhí)行于許多方面。如更改信息的方向,引起網(wǎng)絡(luò)上的主機在網(wǎng)絡(luò)對話期間改變它們發(fā)送報文包的地址。
對截斷對話感興趣的破壞者可能會利用某一個方法設(shè)置中繼。一個中繼破壞可能發(fā)生在網(wǎng)絡(luò)中任何地方,甚至是距離客戶系統(tǒng)很遠的位置。中繼機器能夠?qū)崟r調(diào)節(jié)通信量或記錄用于日后分析的報文包。中繼機器也能夠改變被傳輸?shù)耐ㄐ艃?nèi)容。
獲取通信內(nèi)容的方法只需要使用一種被動包監(jiān)控器(常常稱為“包取樣器”)。包取樣器能夠以中繼破壞的方式向蓄意破壞系統(tǒng)安全者提供被記錄的網(wǎng)絡(luò)信息。
目前在大型項目如地鐵、銀行、無人值守機房、電信電力、軍隊、國家政府機關(guān)等高安全要求場所,其使用的TCP/IP門禁系統(tǒng)的99%的產(chǎn)品沒有網(wǎng)絡(luò)層的防侵入安全機制,由于客戶并不了解隨時存在被非法侵入的潛在風(fēng)險,一旦遭到攻擊將直接威脅到客戶的正常運營;甚至?xí)斐芍卮蟮娜藛T和財產(chǎn)損失,因此解決TCP/IP門禁系統(tǒng)的安全性問題成為急待解決的問題。
2.網(wǎng)絡(luò)安全技術(shù)在門禁系統(tǒng)中的應(yīng)用
目前為了保證門禁系統(tǒng)的數(shù)據(jù)和通信安全,主要采用的網(wǎng)絡(luò)安全技術(shù)主要有:安全密碼學(xué)技術(shù)、偽卡防范技術(shù)、設(shè)備認證技術(shù)、入侵檢測、數(shù)據(jù)傳輸加密技術(shù)、數(shù)據(jù)存儲、備份和容災(zāi)技術(shù)等。下面列舉常見幾種網(wǎng)絡(luò)安全技術(shù)在保證門禁系統(tǒng)方面的應(yīng)用。
借用VPN網(wǎng)絡(luò)通道方法
采用圖1這種方法解決了VPN通道外的非法電腦攻擊的威脅。缺點是還存在來自VPN通道內(nèi)部的非法電腦攻擊的可能性。
采用圖2這種方法給每一個控制器配一個獨立的VPN設(shè)備,優(yōu)點是系統(tǒng)中每個設(shè)備具有獨立的安全通道,有效的解決了內(nèi)部和外部電腦攻擊的威脅。缺點是投資成本非常高及維護成本高。
選用高安全加密技術(shù)的網(wǎng)絡(luò)門菜設(shè)備
如西門子公司的SIPASS門禁系統(tǒng),該類產(chǎn)品通訊服務(wù)中采用了SSL加密技術(shù),通訊服務(wù)軟件與管理客戶滿與控制器之間的通訊全部是通過SSL加密、解密、身份驗證等嚴格的安全檢測機制來完成。
目前網(wǎng)上銀行安全加密也是采用SSL的加密技術(shù),該類門禁系統(tǒng)產(chǎn)品中全面系統(tǒng)的安全機制保障了客戶在復(fù)雜的網(wǎng)絡(luò)環(huán)境中的安全,其特點是既滿足了客戶對整個系統(tǒng)的高安全性的要求又相對節(jié)省成本,還可以大量節(jié)約后期使用和維護成本,是非常有價值的選擇。
三、門禁系統(tǒng)與其他系統(tǒng)的集成與信息交互共享
隨著數(shù)字網(wǎng)絡(luò)化、建筑智能化技術(shù)的迅速發(fā)展,門禁系統(tǒng)與其他系統(tǒng)的融合將更加緊密,范圍會越來越廣,滲透到社會各個領(lǐng)域,并發(fā)揮日益重要的作用。除了包含門禁、考勤、證件、巡更、就餐、消費、健身、醫(yī)療、停車場、圖書資料、會議簽到、訪客管理、電梯控制管理、辦公設(shè)備管理、會所娛樂、三表及物業(yè)交費等,還與其他智能化系統(tǒng)進行必要的集成和聯(lián)動,如防盜報警、閉路監(jiān)控、消防報警,甚至是樓宇自控系統(tǒng)等等。
tcp/ip相關(guān)文章:tcp/ip是什么
評論