蘭州門(mén)禁系統是由各級設備和各功能模塊組成,其安全運行取決于各個(gè)環(huán)節是否能安全工作,說(shuō)到系統安全具體可包括:識別安全、結構安全、傳輸安全和存儲安全,而其中.為重要的則是數據傳輸安全。
自CPU卡取代IC卡,以及3DES和國密算法的應用,識別安全已得到了解決;而系統結構是基于成熟的TCP/IP或TCP/IP + 總線(xiàn)架構,應該說(shuō)這類(lèi)架構是經(jīng)過(guò)包括門(mén)禁和無(wú)數類(lèi)似工業(yè)應用的考驗,所以說(shuō)結構安全也不會(huì )有問(wèn)題;系統數據主要存儲在數據庫和前端控制器中,數據存儲安全隱患主要在數據庫,因此數據庫密碼管理也已經(jīng)有許多解決方案,數據庫中存儲的數據涉及核心的關(guān)鍵字段可采用部分加密;.后數據傳輸安全則是整個(gè)系統.重要的環(huán)節,其隱患主要在上位管理計算機與前端門(mén)禁控制器、控制器與讀卡器間的數據傳輸。
管理計算機與控制器間常采用TCP/IP或者RS-485協(xié)議傳輸,由于協(xié)議本身就存在一定的缺陷,容易在傳輸過(guò)程中被截獲。TCP/IP協(xié)議作為互聯(lián)網(wǎng)協(xié)議,雖然在數據傳輸速度上有其顯著(zhù)的特點(diǎn),卻在設計之初并未考慮到未來(lái)安全需要,協(xié)議中有諸多安全漏洞,特別計算機病毒,使得網(wǎng)絡(luò )門(mén)禁會(huì )面臨極大的危險。而RS485自成網(wǎng)絡(luò ),其傳輸速率低,傳輸數據長(cháng)度受到制約,因此無(wú)法將數據加密,這樣通過(guò)RS-485傳輸線(xiàn)纜能輕松取得數據。
門(mén)禁控制器與讀卡器之間通常采用韋根協(xié)議,明碼傳輸,格式為26bit、34bit,因此,截取數據線(xiàn)即可獲取卡片信息。所以說(shuō)對于前述的兩種組網(wǎng)方式的網(wǎng)絡(luò )安全性來(lái)講,任何一種網(wǎng)絡(luò )通訊都存在被第三方竊聽(tīng)或修改的風(fēng)險,RS485總線(xiàn)通訊技術(shù)比較簡(jiǎn)單,更容易被攻擊。
TCP/IP協(xié)議是應用.廣泛的網(wǎng)絡(luò )通信協(xié)議,通信能力雖強大,但在傳輸過(guò)程中很容易通過(guò)專(zhuān)用軟件監聽(tīng)和修改。這種威脅的主要危險是修改門(mén)禁出入權限和用戶(hù)信息、攔截實(shí)時(shí)報警事件、更改信息的方向和地址等,這將會(huì )給安全造成巨大的損失。
當前,為了保證門(mén)禁系統的數據和通信安全,可采用的網(wǎng)絡(luò )安全技術(shù)有:密碼技術(shù)、偽卡防范技術(shù)、設備認證技術(shù)、入侵檢測技術(shù)、數據傳輸加密技術(shù)、數據存儲備份和容災技術(shù)等。而可采取的措施也有從簡(jiǎn)單到復雜,如在讀卡器與門(mén)禁控制器間采用RS-485通訊方式,其總比韋根明碼傳輸要好;在門(mén)禁一卡通中??山栌?span lang="EN-US">IT的網(wǎng)絡(luò )傳輸安全措施,譬如有業(yè)內行家建議采用VPN網(wǎng)絡(luò )通道技術(shù),該方法解決了VPN通道外非法攻擊的威脅;又如采用SSL高加密技術(shù)的網(wǎng)絡(luò )門(mén)禁設備,則會(huì )使與控制器間的通訊全部通過(guò)SSL加密、解密、身份驗證等嚴格的安全檢測機制。