施达雅

(福州工商学院工学院，福建 福州 350715)

0 引言

随着生物识别技术的不断发展成熟，传统IC卡门禁方式已经越来越难以适应各类需求[1]。因人员管理粗放化，难以做到人卡匹配，存在一卡多用等乱象；开门过程缺少视频信息联动记录，无法将每一次进出过程记录在案，实现事后有效查证。所以权限管理难及安全隐患多，传统门禁权限管理费时费力，管理效率低。

1 方案概述

智能门禁系统是建立在现代信息技术的基础之上，通过建筑物出入口安装的摄像头、刷卡机和指纹机等设备对进出事项实行管理，智能地实施放行、拒绝、记录等操作的管理系统。

使用智能门禁管理系统的目的是提高安全性和规范性，避免无关人员的出入，而且能详细记录所有的出入数据，从而避免人工记录不全、疏漏等问题。本系统硬件部分是基于生物识别技术来采集人脸、指纹等信息，将相关信息与卡片结合认证；系统软件部分是基于成熟先进的技术框架来实现，包括spring、springMVC、mybatis、Dubbo、SOA等。系统采用分层模块化设计，当门禁进行核验时，先通过底层设备采集人员的相关信息，然后传输给系统平台处理，核验人卡信息统一后门禁才能予以放行，而且平台能实时保存所有出入的情况，包括时间、人员、视频等，从而有效地解决了人员出入管理问题。

2 智能门禁方案架构设计

2.1 网络架构

系统整体架构图如图1所示。从图中可见，网络系统采用三级结构模式，分别是前端机房(接入层)、地市管理中心(地市汇聚层)和省级管理中心(省级核心层)。

2.1.1 前端机房

接入层由虹膜门禁系统、人脸门禁系统、指纹门禁系统、刷卡门禁系统四种类型门禁系统组成，负责提供现场门禁控制器数据、虹膜识别数据、人脸识别数据、指纹识别数据、门锁数据、视频数据和监控设备告警等数据的采集[2]，为整个平台管理系统提供信号源。

2.1.2 地市管理中心

地市汇聚层主要作用为门禁权限管理，由操作客户端、虹膜录入仪、人脸采集仪、指纹采集仪和发卡器等硬件设备组成。

2.1.3 省级管理中心

核心层由综合门禁管理云平台以及相应客户端管理系统组成，对虹膜门禁系统、人脸门禁系统、指纹识别系统以及刷卡门禁系统进行统一接入管理，同时预留北向开发接口，为后期接入省动环管理平台做准备。

图1 门禁系统架构图

2.2 软件架构

在软件架构方面，平台采用二级架构模式，省略地市端平台，是通过客户端管辖区内机楼的门禁权限下发以及远程开门操作，由省级平台系统直接控制处理各前端机房。平台系统对数据存储采用分布式+集群设计模式；对SOA服务设计为分布式+集群方式。

2.2.1 大数据存储设计

本系统中，因为接入大规格智能设备，且各智能设备会产生大量数据，在这些数据中，有实时性的告警，也有各智能设备的性能工作日志，系统根据这些数据的时延性以及可以快速对这些数据进行业务处理，设计了Redis、Oracle、GoInsight多种存储服务来保存数据，分散数据存储压力。系统通过Redis+Oracle+GoInsight组合提供数据存储、检索、分析，其中GoInsight处理大数据业务[3]。

2.2.2 双机数据备份设计

通过两台Oracle服务器实现数据存储架构中的双机热备：备份的内容包括数据与日志文件binlog，如果发现数据库错误，只需要先恢复上一个备份，然后再还原当天的binlog日志文件。使用两台Redis服务器作为一个集群，防止数据损坏时可以通过备份数据恢复；或者是原Redis服务无法继续工作时，可以新建Redis服务，导入备份数据。

2.2.3 分布式+集群的SOA设计

面向服务的架构(SOA)是本系统的核心模块，为各业务实现提供服务支撑。SOA服务是基于注册中心注册并发布服务，必须设计为高可用方式，本系统的SOA服务框架应用Dubbo技术实现，注册中心通过Zookeeper实现，根据业务应用需要，系统对SOA服务设计为分布式+集群方式。

注册中心集群+SOA服务集群的架构设计如图2所示：注册中心负责服务地址的注册与查找，相当于目录服务[4]，注册中心只在服务端与用户端启动时与之交互，不提供转发请示，因此压力小，稳定性高。为了保障系统的高可用性，通常注册中心的Zookeeper也部署为集群方式，这样，注册中心的任何一个节点宕机，也不会影响SOA服务的正常工作。

图2 SOA服务的架构图

由于本系统采用分布式方式，因此数据是不断分层汇总的结果，但是因为分布式系统普遍存在数据被层间放大的问题，所以底层数据的问题容易造成“误差放大效应”。因此要对各个环节进行数据稽核，特别是对底层数据接口的稽核。做到尽可能地减少甚至消灭底层的错误，以免错误被各层不断地放大，保障数据的准确、完整[5]。

2.3 系统功能

2.3.1 权限管理

系统对自有人员和外部人员的信息数据库(包含虹膜、人脸、指纹、身份证、人脸图像等身份信息)进行分别收集和保存，然后在系统上进行人员注册、资格审查后，根据相关人员的资格分配相应的权限功能。如图3所示。

图3 权限管理流程

2.3.2 出入机房管理功能

图4 机房管理流程

如图4所示，当机房有人员进出时，读卡器系统采集数据后实时传送给计算机判定是否授权人员，如果是则控制开门并且与视频联动，同时系统储存进出记录、状态记录等信息；如果非授权人员则拒绝开门或报警，同时系统能够短信提醒或手机APP等多种方式触发通知机房责任人员，通知内容包括时间，机房名称，进入人员信息，机房责任人员能够通过手机APP查看进出人员相关信息，并查看实时视频及调取视频记录。

系统可实时显示、记录所有事件的数据：包括持身份证人(姓名、照片等)、事件时间、门点地址、事件类型(进门刷卡记录、出门刷卡记录、按钮开门、无效卡读卡、开门超时、强行开门等)等[6]，系统详细地实时记录了所有的进出情况，而且是真实且不可更改的；还能根据用户的不同的查询需要查找记录，保障安防的实时有效性和可追溯性[7]。

2.3.3 手机APP申请审批功能

机房权限申请人员可通过APP实现机房远程权限申请，申请信息包括身份证信息，机房信息(关联机房责任部门)等。各级管理人员可通过APP客户端、短信等方式实现方便快捷的授权操作，即使管理者未在机房现场，也能够随时随地接收开门申请，并根据相关任务信息进行授权操作。

3 平台测试

系统平台页面由运维首页、实时监控、系统管理、配置管理、视频监控、视频管理和门禁流程管理模块组成。当使用管理员帐号登录后，可见告警统计和进出top10统计，如图5所示。如图6所示，在告警管理页中，实现对机房门禁人员出入异常、设备、门磁告警实时呈现，点击人员出入记录信息的右侧播放按钮，即可播放事件发生前五分钟的录像，这样实现门禁的实时监控管理。此外，系统管理主要包含有：部门管理、人员管理、账号管理、角色管理、菜单管理、字典管理、日志管理、操作日志、登录日志；配置管理实现对机房门禁系统的人员权限的管理，包括导入、批量授权申请、撤权、挂失、查看授权明细、解挂|补办、批量删除等功能。

图5 运维首页内容

图6 告警管理页内容

4 总结

本门禁管理系统支持多种识别模式，采用将虹膜、人脸、指纹、身份证、IC卡、ID卡等各种信息识别的鉴权技术，实现系统门禁的开关；系统平台能够实时记录刷卡人员的相关信息，并且联动门禁点的监控进行图像抓拍或录像，做到预防、告警、追溯相结合的全流程管理。此外，管理员还可实时在手机端实现流程申请、流程审批、告警查看、视频图像查看和远程开门，方便高效。系统平台与数据采集侧的接口、平台与上层应用侧的接口均采用统一标准，能直接与原门禁系统对接，共享系统用户信息；本系统门禁平台还可支持云化部署，各项软件服务均部署在云端[8]，可靠性和安全性高。