吴月婵

摘要：针对门禁系统数据存储和处理成本不断加大的问题，设计一种基于云服务的加密式门禁系统（Cryptographic Access Control System based Cloud，CACC）。该系统利用云服务技术降低门禁系统信息存储和维护成本，在云服务和门禁物理设备间加入加解密服务以提高门禁系统安全性。用户通过云服务端控制平台查询门禁设备状态信息，实现门禁设备的监控和维护。CACC系统利用简单的设备和结构，可以在不考虑信息存储压力的情况下对各类数据进行监控和采集，再将加解密服务器作为门禁系统的中转站，为系统建立一道有效的、可维护的防火墙，为门禁系统的发展提供一种可行建设方案。

关键词：门禁系统；云服务；加密技术；门禁系统

DOIDOI：10.11907/rjdk.161512

中图分类号：TP319

文献标识码：A文章编号文章编号：16727800（2016）009011403

基金项目基金项目：

作者简介作者简介：吴月婵（1984-），女，广西梧州人，广西绿城水务股份有限公司管网管理处职工，研究方向为计算机技术应用。

0引言

随着互联网、计算机技术和电子技术的不断发展，建筑智能化越来越受到人们的关注。门禁系统作为智能建筑的重要组成部分，解决了机械式门锁存在的钥匙管理和出入登记困难等问题[12]，得到了广泛应用。随着门禁系统的不断发展，其组成部分越来越复杂，数据量也越来越庞大。

门禁系统主要由防护主体、电锁、身份识别方式、传感报警设备、处理控制器、通讯线路和管理软件组成。普通的门禁系统是利用局域网、数据库和控制系统通过通讯线路对防护主体、门锁和身份识别进行控制。国内外研究者针对门禁系统的整体架构及其组成部分进行了各种优化研究。文献[3]设计了一套由门禁管理系统、停车场管理系统、饭堂消费系统、考勤管理系统、访客管理系统和后备电源系统组成的门禁一卡通系统，利用门禁系统中的身份识别和处理控制等设备基础，实现5个相互独立的办公场所出入和消费记录管理，在实现门禁一卡通管理的过程中，增强了网络的通信压力和服务器的存储、处理压力，因此需要提高网络设备和服务器硬件的性能，这将增加建设成本。

无线网络具有组网灵活和改造成本低等特点，为门禁系统的优化提供新的解决方案。文献[4]利用ZigBee技术设计了一套无线办公门禁系统以降低基础设施的建设投入；文献[5]使用二代身份证作为门卡，利用ZigBee技术中传感器设备进行二代身份证的信息采集和识别工作，以建立一个集授权和定位功能于一体的门禁保安系统；文献[6]为无线门禁系统设计了一种UHF RFID天线，在提高发射功率的同时减小了天线尺寸。由于无线网络的抗干扰能力较差，无线门禁系统部署方案只适合于小范围的应用场景。

身份识别是门禁系统的重要组成部分，它对使用者进行信息采集和身份判断后执行相应策略。与密码和门卡相比，生物识别技术能够解决授权信息泄露带来的安全隐患问题。文献[7]对生物识别方式中的人脸识别技术进行优化，将采集到的面部图像进行分块特征对比，提高人脸识别效率；文献[8]在人脸识别的基础上加入运动模式识别来增强门禁系统的安全性；文献[9]将传统的指纹识别与控制器局域网络（Controller Area Network，CAN）总线技术结合，为智能社区门禁管理提供新的解决方案。生物识别技术需要存储大量的用户特征信息以便于进行授权合法性判断，随着信息量的增大，服务器的存储和处理压力随之增加，企业需要投入资金不断提高服务器性能。

随着门禁需求和技术的不断发展，门禁控制系统的功能要求越来越高，需存储的信息量也越来越大，这将提高企业门禁系统的建设成本。近年来，随着云计算技术的不断发展，基于云计算对来自不同类型设备的大规模数据流进行集成、处理及服务已成为研究热点[10]。目前，大部分门禁系统基于安全性考虑，将管理服务部署在局域网内部，这不利于门禁系统服务的扩展和优化。本文提出一种基于云服务的加密式门禁系统（Cryptographic Access Control System based Cloud，CACC），利用云服务降低企业门禁系统控制成本，在云服务和门禁物理设备间加入加解密服务以提高门禁系统的安全性。

1CACC系统设计

与传统的服务器使用方式相比，云服务具有资源分配可伸缩、服务易扩展、数据易备份等特点，已成为大数据时代下的信息基础设施，是信息化发展的重大变革和必然趋势[11]。CACC系统将加密后的数据存储在云端，将处理程序部署在云服务器中，以降低企业服务器建设成本，并提高门禁系统的可扩展性和稳定性。为保证数据在互联网传播和云端存储时的安全性，CACC系统在互联网和门禁设备局域网之间加入加解密服务，对发送至互联网的数据进行加密，对从互联网接收的数据进行解密，以提高系统的安全性。

CACC系统主要包括云服务、加解密服务器、通讯线路、传感报警设备、身份识别设备和防护门。CACC系统结构如图1所示。云服务部分主要负责数据的加密存储和数据处理，数据包括管理信息、基础信息、授权信息和用户信息等；数据处理主要负责服务请求的响应和处理结果的反馈。加解密服务器主要负责内外网交互数据的加密和解密，其具体过程如下：①防护门安装的身份识别设备采集到用户信息后，通过局域网发送到加解密服务器，服务器将数据和查询指令进行打包，按照内部制定的加密算法，将打包后的数据重新编码后，通过互联网发送到云服务端；②云服务端接收到来自加解密服务器的数据包，首先按照预先设置的算法对数据包进行解密、拆分和处理，然后将数据处理结果进行加密，通过互联网发送给加解密服务器；③加解密服务器收到外网传来的数据包，首先进行解密，在解密成功后，将结果发送到相应的设备上；④设备收到加密服务器反馈结果，执行相应程序；⑤控制人员通过互联网登陆云服务端的控制平台，可以进行门禁系统维护，维护指令首先进行加密，再通过互联网发送至加解密服务器。

为了降低数据的传输量，并提高数据传输的安全性，需要对发送的数据附加指令、设备地址和校验码等信息。只有在数据包的结构和加密都正确的情况下，才能被云服务端和加解密服务器正确解密。数据包结构如图2所示。其中“指令”部分存放系统控制指令；“数据”部分存放门禁设备采集到的数据或者云服务端数据；“设备地址”部分存放被控制的门禁设备编号或者IP地址等信息；为防止有人通过互联网恶意发送虚假指令信息或者篡改信息，需要在数据包的末尾添加校验信息，该信息通过各企业自定义算法随机生成，以保证信息的有效和安全性。

2实现的关键点

在利用云服务降低门禁系统建设成本，提高系统运行效率和可扩展性的同时，CACC系统有两个关键问题需要解决。

（1）加解密服务器性能问题。整个CACC系统以加解密服务器作为系统数据的交换桥梁，中转来自云服务端和门禁设备的指令和数据，因此加解密服务器的效率成为整个系统效率的关键点。若加解密服务器程序或硬件性能较低，则直接影响系统的整体效率。

为了提高加解密服务器的计算速度，可以从服务器硬件层面进行考虑。若门禁设备数量为一百台左右，可以选择以4核CPU和4G内存为主的低端服务器产品。例如IBM System x3100 M4系列的小型塔台式服务器，该类服务器价格便宜，但扩展性差，不适合有门禁系统扩充需要的单位使用。若门禁设备数量为数百台，可以选择以6核CPU和16G内存为主的机架式服务器，例如戴尔 PowerEdge 12G R720系列，该类服务器价格相对昂贵，但数据处理速度快、数据安全性高，且硬件可扩展性强。

为了加解密服务器的安全性，可以从操作系统和加解密算法设计方面考虑。在操作系统方面，可以选择Unix操作系统。Unix操作系统是通信、金融和安保等行业广泛使用的操作系统[12]，具有可靠性高、伸缩性强、开放性好和网络功能强等特点，其主要在账号、网络和文件系统3个方面很好地防范未授权用户的非法登陆和操作。基于Unix操作系统的开放性，可以对系统内核加以改造，更好地防范来自网络的威胁。在加解密程序设计方面，可以考虑选择算法强度复杂的非对称加密算法，利用公有秘钥和私有密钥的特性来确保加密数据在网络传播中的安全性。

（2）云服务端安全性问题。CACC系统的云服务端数据处理程序的安全性和效率问题是影响系统整体性能的另一个关键点。在云服务端接收到来自加解密服务器的数据包后，需对其进行解密，如何保证解密程序不被恶意监听，解密过程不被恶意篡改，成为影响整个系统安全性的关键问题。公共云服务平台大多是多个客户共享一个服务提供商的系统资源，这一特性会导致供应商只能为客户提供基础的操作审核机制，无法针对云服务器中的虚拟操作系统漏洞加以防范。虚拟操作系统中的漏洞问题很难通过安装防御软件彻底解决。为了尽可能提高云服务端的操作系统安全性，可以考虑安装Unix操作系统，通过系统底层的内核修改来进行安全防范。此外，还可以在数据处理程序中加入安全机制校验过程，对每一次的数据服务器请求都进行合法性判断。

3结语

针对门禁系统数据存储和处理成本不断加大的问题，本文提出一种基于云服务的加密式门禁系统（Cryptographic Access Control System based Cloud，CACC）。该系统利用云服务技术降低企业门禁系统信息存储和维护成本，在云服务和门禁物理设备间加入加解密服务以提高门禁系统的安全性。用户通过互联网进入云服务端控制平台，可以查询门禁系统运行记录、设备状态信息，或者维护门禁系统中的权限、人员和设备状态等信息。CACC系统利用简单的设备和结构，可以在不考虑信息存储压力的情况下进行各类数据监控和各类数据采集，再利用加解密服务器作为门禁系统的中转站，为系统建立一道有效的、可维护的防火墙，为门禁系统的发展提供一种有意义的建设方案。

参考文献参考文献：

[1]韩东，宋建锋，黄学慧.门禁系统的安全性设计在办公型建筑中的应用[J].智能建筑，2007（12）：3839.

[2]高小明.办公楼群网络门禁管理系统的设计[J].计算机光盘软件与应用，2013（21）：279280.

[3]朝日.办公场所门禁一卡通系统研究——以惠州供电局为例[J].现代商贸工业，2008（13）：275276.

[4]韩立峰.基于zigbee的无线办公门禁系统研究与应用[J].山东工业技术，2015（22）：152.

[5]XIZHI LI，YU ZHOU，CHANGSHENG AI，et al.Smart entrance guard control based on RFID card and ZigBee authorization[C].2014 Sixth International Conference on Measuring Technology and Mechatronics Automation （ICMTMA），2014：589592.

[6]JIN PAN，SHUBO WEN.A novel miniaturized antenna for RFID application in the Entrance Guards System[C].Microwave Conference，APMC 2009，2009：23982400.

[7]LANG LIYING，HONG YUE.The study of entrance guard & check on work attendance system based on face recognition[J].Computer Science and Information Technology，ICCSIT 08.International，2008：4447.

[8]LONG XIAO，BO CHENG，BO YANG，et al.A contextaware entrance guard in smart home：an eventdriven application based on the human motion and face recognition[C].Automation，Robotics and Applications （ICARA），2011 5th International Conference，2011：184189.

[9]CHEN WEILI，WEI LIMING.Design of network entrance guard system based on fingerprint recognition technology[J].World Automation Congress（WAC），2011：14.

[10]王桂玲，韩燕波，张仲妹，等.基于云计算的流数据集成与服务[J].计算机学报，2015，38（110）：120.

[11]卢川英.云计算优势及应用研究[J].价值工程，2016（3）：188189.

[12]邱晓理.浅谈Unix操作系统的安全策略[J].华南金融电脑，2008（10）：6566.

责任编辑（责任编辑：孙娟）