南京理工大學統一大門禁平臺設計思路

文/王成 涂慶華

國內高校門禁系統建設往往由各業務部門牽頭，各子門禁系統相對獨立、功能單一、整體性統籌不足。經歷過新冠疫情的管理部門逐漸發現，分散的門禁體系已無法滿足需求，需要一種能整合各子門禁系統的大門禁平臺。

本文在多門禁系統整合研究基礎上，提出一種跨多門禁系統的整合框架設計，能夠兼容各子門禁系統的大門禁平臺。通過統一的校級數據中心建設實現各系統之間門禁數據的業務收集與交換；通過平臺權限體系建設，實現權限一體化管理；通過平臺接口建設，實現各子門禁系統對接；通過基于生物特征平臺的介質兼容設計，最終實現數據層、系統層有機整合的大門禁平臺。

高校門禁體系不足

由于校內各子門禁系統相對獨立，門禁相關管理平臺、數據接口、支撐技術不一，系統門禁系統之間的交互整合困難，難以滿足快速發展的用戶服務和管理需求，存在的主要不足如下。

門禁核心技術參差不齊。門禁系統通常由不同的廠家建設，其技術參數不一，具體表現在：技術架構不同，如操作系統、C/S、B/S 架構等；門禁服務器、設備管理器等實現技術不同；對于門禁實時監控、地圖監控、事件提示等支持力度不一。

門禁權限管理復雜。由于系統相對孤立，各門禁之間各自單獨授權管理，授權多為采取人工批量導入人員數據，批量手動手授權方式，效率較低，容易出差錯，統籌全校權限體系相對困難。

門禁承載較多拓展功能。由于各單位對于門禁功能定位多樣，常見有門禁功能、考勤功能、預約功能等；應用場景不同：各類通道、閘機等，以及包括會議室、教室、實驗室等電子鎖功能。

數據孤島現象突出。由于門禁系統分散管理，缺乏統一管理辦法和技術手段，缺乏門禁相關數據標準；各門禁系統之間數據格式、數據接口實現技術不同，使得數據共享困難、數據對接難度較大；難以實現基于門禁流水數據個性化開發。

疫情放大了系統之間數據聯動困難，客觀上需要一種跨多門禁系統整合框架統籌整合各子門禁，最終形成內部運轉流暢的校級大門禁的功能集群。

大門禁平臺架構設計

大門禁平臺架構首先需要建立門禁數據中心，管理各類相關數據；其次建立門禁數據標準、平臺開放標準和第三方接入標準，實現大門禁平臺與企業號、各門禁系統的互聯互通；再設置硬件接入標準，統籌管理第三方的設備；最后建設基于生物特征管理平臺，把人臉、校園卡、二維碼、NFC 等多種識別機制進行整合。

考慮到本平臺的集中管理和實時通訊特點，系統設置采用4層體系架構，如圖1 所示，分別為應用層、管理層、傳輸層、門禁終端設備層。

圖1 大門禁平臺框架設計

應用層

應用層主要分為門禁服務和基礎信息兩大部分。

門禁服務。門禁服務除了常見門禁、通道、門鎖等進出控制系統，還包括考勤、簽到等功能，以及進校、校內特定區域的預約功能，并提供門禁相關各類服務信息，如權限信息、申請信息、個人基本信息、出入流水等，為用戶提供便捷、高效的門禁服務；利用刷卡、密碼、指紋識別、人臉識別等驗證方式，滿足不同場景下的需求；不同人群權限設定，提高校園管理便捷性。

基礎信息。通過房產系統獲取各類房屋信息；通過人事管理系統，能夠即時同步人員信息；通過獲取一卡通等數據及人臉、指紋、二維碼等數據，完善門禁基礎信息。門禁服務利用相關管理系統的數據，實現更多的智能化功能。通過考勤系統集成實現自動打卡功能；利用門禁出入時間，實現考勤功能，方便學校進行考勤管理和統計分析；與報警系統集成，將門禁事件與報警聯動，便于及時采取措施；最后通過分析門禁系統產生的大量數據，管理員可以掌握校內人員流動情況，便于優化校園管理和資源配置。

南京理工大學

管理層

管理層可分為三大部分：數據管理、門禁管理、設備與系統接入管理。

數據管理。負責大門禁平臺與關聯業務系統數據交換。把數據中心、各門禁系統、一卡通、房產、宿管等數據互聯互通，將各門禁點的數據、人員數據按照數據標準同步到大門禁平臺中，實現人、門禁客戶端、權限等基礎數據統一管理。

校級生物特征管理平臺。采集匯總所有人臉數據，通過后臺技術進行人臉特征提取，并下發到對接人臉識別設備中；把校園卡、二維碼、NFC 等多種識別機制進行整合，形成一人對應多種識別機制生物特征管理平臺，根據場景需要啟用相關的識別方式。

通過制定校級數據標準，以實時回傳門禁流水數據，定義門禁控制器技術標準、門禁子系統接入標準，定義數據同步方式，同步周期，同步數據等內容。

門禁管理。構建校級權限管理體系。通過集中管理，統一授權、分級管理，形成全校性的權限管理體系，并把身份權限與各門禁控制點相同步，實現把不同人員活動范圍進行限定。

應用管理。通過平臺對人員進行管理和控制；記錄和監控，如記錄進入和離開的時間，以及所進入的區域；遠程管理，如部分門禁系統支持遠程管理功能，管理員可以通過手機或電腦實時遠程查看和控制門禁設備。

報警功能。與其他安全設備，如攝像頭、報警器等進行聯動，一旦發生異常情況，比如非法闖入、門被強行打開等，系統會自動觸發報警并通知相關人員。

統計分析功能?；跀祿行幕A數據和門禁流水數據進行的各維度數據挖掘，輔助學?？茖W決策，支撐智慧校園建設。門禁流水記錄可以用于后續的審計和安全分析，也可以作為監控員工出勤情況的依據。

設備與系統接入管理。通過描述門禁系統和門禁設備的接入規范，將現有門禁系統和設備納入大門禁平臺管理。

定義子門禁系統接入規范。通過定義系統間接口協議、數據交換協議，以及門禁狀態協議，實現門禁流水數據傳輸、門禁黑白名單上傳下載等功能；通過大門禁平臺遠程操控命令、門禁設備狀態讀取命令，實現操控門禁客戶端設備。最終實現主流門禁廠家的系統接入大門禁平臺。

定義子門禁設備前置接入規范。通過定義門禁設備接入規范、門禁設備操控命令協議，實現主流廠商的第三方產品終端設備接入。

傳輸層

傳輸層完成設備與大門禁平臺之間信息交互的基礎通道，包括人員和黑白名單下發、設備的自動簽到、權限數據下發和門禁流水數據實時采集等，主要支持設備以局域網、WI-FI、各門禁專網等形式，特定場合下使用RFID與藍牙技術，優先采用TCP/IP傳輸實現。

門禁終端設備層

目前高校使用門禁終端有兩種方式：一是門禁控制器結合門禁讀卡器；二是門禁一體機，此外還配有少量自助人臉數據采集設備。大門禁系統接入提供3 種模式，分別是設備直接接入模式、前置接入模式、子門禁系統接入模式，適用于不同對接場景。

設備接入模式。按照設備接入協議，子門禁的控制器直接與大門禁前置機交互，實現大門禁直接管控終端設備、數據采集和指令下發等功能，弱化或者取消原有子門禁系統。

前置接入模式。按照大門禁平臺接入規范標準，通過大門禁前置機接入平臺。對新增門禁控制器也采用該模式，通過轉換協議格式，實現平滑無縫接入，即在現有大門禁平臺基礎上直接接入新購客戶端設備。

系統接入模式。此模式為大門禁系統與子門禁系統后臺對接模式，通過各自系統接口或數據接口進行對接。實現將原門禁系統產生的流水數據存放在數據中心，或者大門禁平臺中，主要用于原門禁系統無法提供技術支持場景。

大門禁平臺核心功能設計

大門禁平臺提供了門禁相關功能的全生命周期管理，包括人臉識別相關算法管理、規則管理等功能，以及學校、院系、管理員三級的權限管理體系設計等。

算法、規則管理。人臉識別相關算法管理。能集成第三方的識別算法，提供移動端、PC、web 的多種接入標準。實現應用軟件通過調用接口調取大門禁平臺的識別認證功能；實現硬件設備集成，即插即用，簡化系統對接難度。

調度算法、調度規則管理。為實現算法的可管、可控、可擴展，提供算法冗余支持。根據不同應用場景，多種認證方式配合認證，提高認證精度及安全性。

基于個人生物特征的識別介質兼容設計。以校園卡為主節點，在此節點下支持其他介質數據維護，把校園卡、二維碼、人臉識別等介質進行統一管理，統一進行身份認證。通過開放標準和數據交換，實現各子門禁系統的互聯互通、數據共享、流通，把識別需求的應用于各種場景。

權限數據的統一管理。針對原有各門禁系統權限不一，權限管理維護困難，采用大門禁平臺統一進行權限管理，進行區域分組、人員分組，按類別授權方式進行權限管理。

區域分組。對建筑、場所的門禁控制器進行分組，能大大減輕授權工作量。

人員分組。學生組按照入學年級，學生類別分組；教師組分為教師、返聘、臨聘等類別；還有校友組、后勤類組、黑白名單，以及各類臨時進校組。

大門禁平臺中權限結構為：人員－權限組－設備，弱化各子門禁系統中的權限，邏輯上實現大門禁平臺人員－設備綁定關系。通過JSON 統一下發權限到各子門禁系統，再轉發到子門禁控制器，由此實現所有的門禁權限統一歸口管理的目的。

用戶自助服務管理。為方便師生及時掌握門禁權限、進出日志情況，開發基于移動端查詢功能?？刹榭吹幕A數據有：人員基本信息；一卡通基本卡信息，包括卡狀態標志：正常、掛失、凍結、注銷；管控狀態查詢，查出是否在黑白灰名單中。此外還提供人臉自助采集功能等，并兼容主流平臺的手機端使用。

終端設備管理。終端設備主要有閘機、辦公門禁、宿舍門鎖等等，大門禁平臺支持門禁設備更換、支持設備的集中管理維護，并能在更換門禁設備后，自動繼承原設備權限、參數信息，能較好減輕運維工作量。

關鍵支撐技術設計

異構數據的提取和整合。大門禁與數據中心進行數據交換，數據中心與各業務系統進行數據交換，這些數據包括機構、人員、圖片、一卡通、宿管等數據，數據中心起著重要的數據中轉作用，并進行數據清洗轉化工作。

大門禁接收數據中心的數據：獲取組織機構庫；人員基本信息；獲取人員人臉照片數據；一卡通物理卡號信息；宿管信息，對接宿舍區域，樓幢、單元、層、房間信息。獲取各子系統原有權限信息，以及門禁控制器設備信息。

大門禁平臺同步門禁流水給數據中心，同步人員指紋、人臉等給相關的子門禁系統。

系統層對接設計。大門禁平臺對接各相關管理平臺：如統一認證平臺、移動App、電子地圖系統等系統。

與統一身份認證平臺對接。大門禁平臺的通過統一認證平臺認證后登錄，登錄接口調用統一認證平臺，根據返回值判斷是否正常登錄。

移動企業號等對接。門禁總平臺提供人員信息（基本信息、人臉照片）錄入接口給移動APP，門禁平臺人員信息錄入接口。

與校園GIS 對接。大門禁軟硬件故障報警信息嵌入校園GIS系統，以地圖方式對系統內各門禁的運行狀態、報警信息、視頻監控信息進行實時監控。

預留健康碼對接接口，實現與省級大數據管理中心對接；預留與公安系統人臉識別對接，實現快速識別可疑用戶、智能預警功能。

安全性設計。在大門禁平臺的安全設計中，既要考慮數據資源的共享，還要考慮數據信息的保護以及子門禁系統直接的邏輯隔離。大門禁平臺部署在校園內，對流水日志等數據采用加密處理。

網絡層面。根據不同業務需要進行網絡內劃分不同的Vlan進行邏輯隔離。通過標準化封裝接口、算法加密等手段保證數據安全性。

算法層面。每個算法在接入大門禁平臺時，會對算法進行加密，同時封裝統一接口，通過二次加密形式保證算法的安全性。

接口通道。提供接口智能管理，主力通道+備份通道，規避突發事件，確保認證順暢，操作行為全程可追溯。

總之，大門禁平臺能有效整合各子門禁系統，實現終端設備、流水數據、授權體系的集中管理，建立起統一、可靠的門禁管理體系；支持主流門禁產品的平滑接入，最大程度利用現在門禁資源，為后疫情時代校園管理提供技術參考。此外，平臺提供完善的數據服務、多種認證方式的管理等功能，還將繼續為學?？茖W管理作出貢獻。