基于云服務(wù)的加密式門禁系統(tǒng)設(shè)計

吳月嬋

摘要：針對門禁系統(tǒng)數(shù)據(jù)存儲和處理成本不斷加大的問題，設(shè)計一種基于云服務(wù)的加密式門禁系統(tǒng)（Cryptographic Access Control System based Cloud，CACC）。該系統(tǒng)利用云服務(wù)技術(shù)降低門禁系統(tǒng)信息存儲和維護成本，在云服務(wù)和門禁物理設(shè)備間加入加解密服務(wù)以提高門禁系統(tǒng)安全性。用戶通過云服務(wù)端控制平臺查詢門禁設(shè)備狀態(tài)信息，實現(xiàn)門禁設(shè)備的監(jiān)控和維護。CACC系統(tǒng)利用簡單的設(shè)備和結(jié)構(gòu)，可以在不考慮信息存儲壓力的情況下對各類數(shù)據(jù)進行監(jiān)控和采集，再將加解密服務(wù)器作為門禁系統(tǒng)的中轉(zhuǎn)站，為系統(tǒng)建立一道有效的、可維護的防火墻，為門禁系統(tǒng)的發(fā)展提供一種可行建設(shè)方案。

關(guān)鍵詞：門禁系統(tǒng)；云服務(wù)；加密技術(shù)；門禁系統(tǒng)

DOIDOI：10.11907/rjdk.161512

中圖分類號：TP319

文獻標識碼：A文章編號文章編號：16727800（2016）009011403

基金項目基金項目：

作者簡介作者簡介：吳月嬋（1984-），女，廣西梧州人，廣西綠城水務(wù)股份有限公司管網(wǎng)管理處職工，研究方向為計算機技術(shù)應(yīng)用。

0引言

隨著互聯(lián)網(wǎng)、計算機技術(shù)和電子技術(shù)的不斷發(fā)展，建筑智能化越來越受到人們的關(guān)注。門禁系統(tǒng)作為智能建筑的重要組成部分，解決了機械式門鎖存在的鑰匙管理和出入登記困難等問題[12]，得到了廣泛應(yīng)用。隨著門禁系統(tǒng)的不斷發(fā)展，其組成部分越來越復(fù)雜，數(shù)據(jù)量也越來越龐大。

門禁系統(tǒng)主要由防護主體、電鎖、身份識別方式、傳感報警設(shè)備、處理控制器、通訊線路和管理軟件組成。普通的門禁系統(tǒng)是利用局域網(wǎng)、數(shù)據(jù)庫和控制系統(tǒng)通過通訊線路對防護主體、門鎖和身份識別進行控制。國內(nèi)外研究者針對門禁系統(tǒng)的整體架構(gòu)及其組成部分進行了各種優(yōu)化研究。文獻[3]設(shè)計了一套由門禁管理系統(tǒng)、停車場管理系統(tǒng)、飯?zhí)孟M系統(tǒng)、考勤管理系統(tǒng)、訪客管理系統(tǒng)和后備電源系統(tǒng)組成的門禁一卡通系統(tǒng)，利用門禁系統(tǒng)中的身份識別和處理控制等設(shè)備基礎(chǔ)，實現(xiàn)5個相互獨立的辦公場所出入和消費記錄管理，在實現(xiàn)門禁一卡通管理的過程中，增強了網(wǎng)絡(luò)的通信壓力和服務(wù)器的存儲、處理壓力，因此需要提高網(wǎng)絡(luò)設(shè)備和服務(wù)器硬件的性能，這將增加建設(shè)成本。

無線網(wǎng)絡(luò)具有組網(wǎng)靈活和改造成本低等特點，為門禁系統(tǒng)的優(yōu)化提供新的解決方案。文獻[4]利用ZigBee技術(shù)設(shè)計了一套無線辦公門禁系統(tǒng)以降低基礎(chǔ)設(shè)施的建設(shè)投入；文獻[5]使用二代身份證作為門卡，利用ZigBee技術(shù)中傳感器設(shè)備進行二代身份證的信息采集和識別工作，以建立一個集授權(quán)和定位功能于一體的門禁保安系統(tǒng)；文獻[6]為無線門禁系統(tǒng)設(shè)計了一種UHF RFID天線，在提高發(fā)射功率的同時減小了天線尺寸。由于無線網(wǎng)絡(luò)的抗干擾能力較差，無線門禁系統(tǒng)部署方案只適合于小范圍的應(yīng)用場景。

身份識別是門禁系統(tǒng)的重要組成部分，它對使用者進行信息采集和身份判斷后執(zhí)行相應(yīng)策略。與密碼和門卡相比，生物識別技術(shù)能夠解決授權(quán)信息泄露帶來的安全隱患問題。文獻[7]對生物識別方式中的人臉識別技術(shù)進行優(yōu)化，將采集到的面部圖像進行分塊特征對比，提高人臉識別效率；文獻[8]在人臉識別的基礎(chǔ)上加入運動模式識別來增強門禁系統(tǒng)的安全性；文獻[9]將傳統(tǒng)的指紋識別與控制器局域網(wǎng)絡(luò)（Controller Area Network，CAN）總線技術(shù)結(jié)合，為智能社區(qū)門禁管理提供新的解決方案。生物識別技術(shù)需要存儲大量的用戶特征信息以便于進行授權(quán)合法性判斷，隨著信息量的增大，服務(wù)器的存儲和處理壓力隨之增加，企業(yè)需要投入資金不斷提高服務(wù)器性能。

隨著門禁需求和技術(shù)的不斷發(fā)展，門禁控制系統(tǒng)的功能要求越來越高，需存儲的信息量也越來越大，這將提高企業(yè)門禁系統(tǒng)的建設(shè)成本。近年來，隨著云計算技術(shù)的不斷發(fā)展，基于云計算對來自不同類型設(shè)備的大規(guī)模數(shù)據(jù)流進行集成、處理及服務(wù)已成為研究熱點[10]。目前，大部分門禁系統(tǒng)基于安全性考慮，將管理服務(wù)部署在局域網(wǎng)內(nèi)部，這不利于門禁系統(tǒng)服務(wù)的擴展和優(yōu)化。本文提出一種基于云服務(wù)的加密式門禁系統(tǒng)（Cryptographic Access Control System based Cloud，CACC），利用云服務(wù)降低企業(yè)門禁系統(tǒng)控制成本，在云服務(wù)和門禁物理設(shè)備間加入加解密服務(wù)以提高門禁系統(tǒng)的安全性。

1CACC系統(tǒng)設(shè)計

與傳統(tǒng)的服務(wù)器使用方式相比，云服務(wù)具有資源分配可伸縮、服務(wù)易擴展、數(shù)據(jù)易備份等特點，已成為大數(shù)據(jù)時代下的信息基礎(chǔ)設(shè)施，是信息化發(fā)展的重大變革和必然趨勢[11]。CACC系統(tǒng)將加密后的數(shù)據(jù)存儲在云端，將處理程序部署在云服務(wù)器中，以降低企業(yè)服務(wù)器建設(shè)成本，并提高門禁系統(tǒng)的可擴展性和穩(wěn)定性。為保證數(shù)據(jù)在互聯(lián)網(wǎng)傳播和云端存儲時的安全性，CACC系統(tǒng)在互聯(lián)網(wǎng)和門禁設(shè)備局域網(wǎng)之間加入加解密服務(wù)，對發(fā)送至互聯(lián)網(wǎng)的數(shù)據(jù)進行加密，對從互聯(lián)網(wǎng)接收的數(shù)據(jù)進行解密，以提高系統(tǒng)的安全性。

CACC系統(tǒng)主要包括云服務(wù)、加解密服務(wù)器、通訊線路、傳感報警設(shè)備、身份識別設(shè)備和防護門。CACC系統(tǒng)結(jié)構(gòu)如圖1所示。云服務(wù)部分主要負責數(shù)據(jù)的加密存儲和數(shù)據(jù)處理，數(shù)據(jù)包括管理信息、基礎(chǔ)信息、授權(quán)信息和用戶信息等；數(shù)據(jù)處理主要負責服務(wù)請求的響應(yīng)和處理結(jié)果的反饋。加解密服務(wù)器主要負責內(nèi)外網(wǎng)交互數(shù)據(jù)的加密和解密，其具體過程如下：①防護門安裝的身份識別設(shè)備采集到用戶信息后，通過局域網(wǎng)發(fā)送到加解密服務(wù)器，服務(wù)器將數(shù)據(jù)和查詢指令進行打包，按照內(nèi)部制定的加密算法，將打包后的數(shù)據(jù)重新編碼后，通過互聯(lián)網(wǎng)發(fā)送到云服務(wù)端；②云服務(wù)端接收到來自加解密服務(wù)器的數(shù)據(jù)包，首先按照預(yù)先設(shè)置的算法對數(shù)據(jù)包進行解密、拆分和處理，然后將數(shù)據(jù)處理結(jié)果進行加密，通過互聯(lián)網(wǎng)發(fā)送給加解密服務(wù)器；③加解密服務(wù)器收到外網(wǎng)傳來的數(shù)據(jù)包，首先進行解密，在解密成功后，將結(jié)果發(fā)送到相應(yīng)的設(shè)備上；④設(shè)備收到加密服務(wù)器反饋結(jié)果，執(zhí)行相應(yīng)程序；⑤控制人員通過互聯(lián)網(wǎng)登陸云服務(wù)端的控制平臺，可以進行門禁系統(tǒng)維護，維護指令首先進行加密，再通過互聯(lián)網(wǎng)發(fā)送至加解密服務(wù)器。

為了降低數(shù)據(jù)的傳輸量，并提高數(shù)據(jù)傳輸?shù)陌踩?，需要對發(fā)送的數(shù)據(jù)附加指令、設(shè)備地址和校驗碼等信息。只有在數(shù)據(jù)包的結(jié)構(gòu)和加密都正確的情況下，才能被云服務(wù)端和加解密服務(wù)器正確解密。數(shù)據(jù)包結(jié)構(gòu)如圖2所示。其中“指令”部分存放系統(tǒng)控制指令；“數(shù)據(jù)”部分存放門禁設(shè)備采集到的數(shù)據(jù)或者云服務(wù)端數(shù)據(jù)；“設(shè)備地址”部分存放被控制的門禁設(shè)備編號或者IP地址等信息；為防止有人通過互聯(lián)網(wǎng)惡意發(fā)送虛假指令信息或者篡改信息，需要在數(shù)據(jù)包的末尾添加校驗信息，該信息通過各企業(yè)自定義算法隨機生成，以保證信息的有效和安全性。

2實現(xiàn)的關(guān)鍵點

在利用云服務(wù)降低門禁系統(tǒng)建設(shè)成本，提高系統(tǒng)運行效率和可擴展性的同時，CACC系統(tǒng)有兩個關(guān)鍵問題需要解決。

（1）加解密服務(wù)器性能問題。整個CACC系統(tǒng)以加解密服務(wù)器作為系統(tǒng)數(shù)據(jù)的交換橋梁，中轉(zhuǎn)來自云服務(wù)端和門禁設(shè)備的指令和數(shù)據(jù)，因此加解密服務(wù)器的效率成為整個系統(tǒng)效率的關(guān)鍵點。若加解密服務(wù)器程序或硬件性能較低，則直接影響系統(tǒng)的整體效率。

為了提高加解密服務(wù)器的計算速度，可以從服務(wù)器硬件層面進行考慮。若門禁設(shè)備數(shù)量為一百臺左右，可以選擇以4核CPU和4G內(nèi)存為主的低端服務(wù)器產(chǎn)品。例如IBM System x3100 M4系列的小型塔臺式服務(wù)器，該類服務(wù)器價格便宜，但擴展性差，不適合有門禁系統(tǒng)擴充需要的單位使用。若門禁設(shè)備數(shù)量為數(shù)百臺，可以選擇以6核CPU和16G內(nèi)存為主的機架式服務(wù)器，例如戴爾 PowerEdge 12G R720系列，該類服務(wù)器價格相對昂貴，但數(shù)據(jù)處理速度快、數(shù)據(jù)安全性高，且硬件可擴展性強。

為了加解密服務(wù)器的安全性，可以從操作系統(tǒng)和加解密算法設(shè)計方面考慮。在操作系統(tǒng)方面，可以選擇Unix操作系統(tǒng)。Unix操作系統(tǒng)是通信、金融和安保等行業(yè)廣泛使用的操作系統(tǒng)[12]，具有可靠性高、伸縮性強、開放性好和網(wǎng)絡(luò)功能強等特點，其主要在賬號、網(wǎng)絡(luò)和文件系統(tǒng)3個方面很好地防范未授權(quán)用戶的非法登陸和操作?；赨nix操作系統(tǒng)的開放性，可以對系統(tǒng)內(nèi)核加以改造，更好地防范來自網(wǎng)絡(luò)的威脅。在加解密程序設(shè)計方面，可以考慮選擇算法強度復(fù)雜的非對稱加密算法，利用公有秘鑰和私有密鑰的特性來確保加密數(shù)據(jù)在網(wǎng)絡(luò)傳播中的安全性。

（2）云服務(wù)端安全性問題。CACC系統(tǒng)的云服務(wù)端數(shù)據(jù)處理程序的安全性和效率問題是影響系統(tǒng)整體性能的另一個關(guān)鍵點。在云服務(wù)端接收到來自加解密服務(wù)器的數(shù)據(jù)包后，需對其進行解密，如何保證解密程序不被惡意監(jiān)聽，解密過程不被惡意篡改，成為影響整個系統(tǒng)安全性的關(guān)鍵問題。公共云服務(wù)平臺大多是多個客戶共享一個服務(wù)提供商的系統(tǒng)資源，這一特性會導(dǎo)致供應(yīng)商只能為客戶提供基礎(chǔ)的操作審核機制，無法針對云服務(wù)器中的虛擬操作系統(tǒng)漏洞加以防范。虛擬操作系統(tǒng)中的漏洞問題很難通過安裝防御軟件徹底解決。為了盡可能提高云服務(wù)端的操作系統(tǒng)安全性，可以考慮安裝Unix操作系統(tǒng)，通過系統(tǒng)底層的內(nèi)核修改來進行安全防范。此外，還可以在數(shù)據(jù)處理程序中加入安全機制校驗過程，對每一次的數(shù)據(jù)服務(wù)器請求都進行合法性判斷。

3結(jié)語

針對門禁系統(tǒng)數(shù)據(jù)存儲和處理成本不斷加大的問題，本文提出一種基于云服務(wù)的加密式門禁系統(tǒng)（Cryptographic Access Control System based Cloud，CACC）。該系統(tǒng)利用云服務(wù)技術(shù)降低企業(yè)門禁系統(tǒng)信息存儲和維護成本，在云服務(wù)和門禁物理設(shè)備間加入加解密服務(wù)以提高門禁系統(tǒng)的安全性。用戶通過互聯(lián)網(wǎng)進入云服務(wù)端控制平臺，可以查詢門禁系統(tǒng)運行記錄、設(shè)備狀態(tài)信息，或者維護門禁系統(tǒng)中的權(quán)限、人員和設(shè)備狀態(tài)等信息。CACC系統(tǒng)利用簡單的設(shè)備和結(jié)構(gòu)，可以在不考慮信息存儲壓力的情況下進行各類數(shù)據(jù)監(jiān)控和各類數(shù)據(jù)采集，再利用加解密服務(wù)器作為門禁系統(tǒng)的中轉(zhuǎn)站，為系統(tǒng)建立一道有效的、可維護的防火墻，為門禁系統(tǒng)的發(fā)展提供一種有意義的建設(shè)方案。

參考文獻參考文獻：

[1]韓東，宋建鋒，黃學慧.門禁系統(tǒng)的安全性設(shè)計在辦公型建筑中的應(yīng)用[J].智能建筑，2007（12）：3839.

[2]高小明.辦公樓群網(wǎng)絡(luò)門禁管理系統(tǒng)的設(shè)計[J].計算機光盤軟件與應(yīng)用，2013（21）：279280.

[3]朝日.辦公場所門禁一卡通系統(tǒng)研究——以惠州供電局為例[J].現(xiàn)代商貿(mào)工業(yè)，2008（13）：275276.

[4]韓立峰.基于zigbee的無線辦公門禁系統(tǒng)研究與應(yīng)用[J].山東工業(yè)技術(shù)，2015（22）：152.

[5]XIZHI LI，YU ZHOU，CHANGSHENG AI，et al.Smart entrance guard control based on RFID card and ZigBee authorization[C].2014 Sixth International Conference on Measuring Technology and Mechatronics Automation （ICMTMA），2014：589592.

[6]JIN PAN，SHUBO WEN.A novel miniaturized antenna for RFID application in the Entrance Guards System[C].Microwave Conference，APMC 2009，2009：23982400.

[7]LANG LIYING，HONG YUE.The study of entrance guard & check on work attendance system based on face recognition[J].Computer Science and Information Technology，ICCSIT 08.International，2008：4447.

[8]LONG XIAO，BO CHENG，BO YANG，et al.A contextaware entrance guard in smart home：an eventdriven application based on the human motion and face recognition[C].Automation，Robotics and Applications （ICARA），2011 5th International Conference，2011：184189.

[9]CHEN WEILI，WEI LIMING.Design of network entrance guard system based on fingerprint recognition technology[J].World Automation Congress（WAC），2011：14.

[10]王桂玲，韓燕波，張仲妹，等.基于云計算的流數(shù)據(jù)集成與服務(wù)[J].計算機學報，2015，38（110）：120.

[11]盧川英.云計算優(yōu)勢及應(yīng)用研究[J].價值工程，2016（3）：188189.

[12]邱曉理.淺談Unix操作系統(tǒng)的安全策略[J].華南金融電腦，2008（10）：6566.

責任編輯（責任編輯：孫娟）