身份管理之访问控制

访问控制

访问控制是允许或拒绝某人是否可以使用某东西的能力。

物理访问

纽约地铁系统得地下入口

物理访问是依靠付费授权来进行访问的。但也存在单向交通的民族。当然也有强行进入的人士，例如:边防人员、门卫、监票员等，或者像旋转门一样的设备。为了避免对访问控制的破坏，也存在对其的一些防护措施。严格意义上讲，一种可选的访问控制（物理控制访问本身）是一个首先检测授权的系统，例如：运输的票据控制。另一个不同的是存在控制，例如：商店或者国家的边检。

在物理安全中，“访问控制”这一术语涉及到对授权的人进行财产使用限制，建筑物访问限制或者房间进入限制等实践。人们时常会遇到物理访问控制，例如门卫、保镖、招待员，尽管此类控制的运行意味着钥匙和锁，或者意味着系统访问卡片或者生物身份识别技术。

物理访问控制是用来说明谁、在那里、什么时候此类事情。访问控制系统决定谁被允许进入或者退出，在那里被允许进入或者退出，什么时候被允许进入或者退出。在过去，这种访问控制已经通过钥匙和锁的方式部分实现。门依赖着锁的配置，锁着的门只有拥有钥匙的人才可以进入或者出来。机械锁和钥匙一般不限制钥匙持有者使用的具体时间和次数。机械锁和钥匙不提供记录钥匙使用于具体门上的次数，也不管钥匙是否容易复制，或转移给一个没有授权的人。当机械锁钥匙被丢失或者钥匙持有者在该受保护的区域不再被授权，那么锁就必须被换掉。

电子访问控制利用计算机解决了机械锁和钥匙不能解决的问题。更大范围定义的凭证被用来取代机械钥匙。电子系统基于提供的凭证和什么时候提供来决定是否给与某人访问某安全区域的权限。如果访问被接收，门就会在预定的时间段里打开，同时这个过程也会被记录；如果访问被拒绝，门仍会紧锁，这时访问也会被记录；系统会一直监控门，如果门被强制打开或者门开的时间过长，系统就会发出警报。

访问控制系统操作

有时候，理解一个系统最好的方式是从头至尾的对他的典型应用进行使用。在访问控制中，一般开始于用户展示了分配的凭证给特定的读取器。读取器传达凭证信息给做出访问决定的设备。在大部分电子访问控制系统中，这是一个高信赖独立的控制面板。该控制面板知道当前的日期和时间，决定这个时候出示凭证的人是否可以被允许进入。不论访问是否被允许，该事务都会被作为历史记录，以便引起问题时拿出商量解决。

访问控制系统组件

访问控制的要点可以比喻成一个门，如十字转门，停车场大门，电梯或者其他的物理障碍，这些物理障碍可以进行电子控制。一般来说，如果访问要点是门，访问就是通过铁锁或者电子锁进行控制。

知道门的位置是系统的一个重要元素，通常是通过打开隐藏在门的结构里的磁性开关来完成的。这个传感器被用来监控未经授权就强制打开，或是监控授权后门打开的时间过长的事件的。有时会增加在安全区域内监视锁状态和行为的传感器，以及其他警报传感器。

用户进入访问控制系统的主要接口是凭证读取器。读取器反映了凭证的技术水平。磁卡、条形码、韦根卡的读卡器被称为刷卡读取器，一般在零售商店和ATM 机上使用。一些刷卡读取器需要在特殊的方位进行刷卡以方便读取，但是典型的针对访问控制的读卡器在任何方向刷卡时都是可以读取凭证信息。接触式或者非接触式智能卡读取器一般为一个无线收发器。读卡器的广播功能激活卡片，然后开始和读卡器进行基于无线机制的传输。在正面可以看到金色的智能卡，被称为接触式智能卡，使用时需要金色部位和读卡器进行物理接触来完成一次信息传递。生物识别是已存在技术中独一无二的技术，但该技术需要用户展示人体的某些部位，如通过接触卡片进行手印，手形识别，或者拍摄人脸进行人脸识别的图像，还有虹膜，视网膜扫描识别，说几句话进行声音鉴别。

进入受保护区一般都需要设备来验证用户访问请求的有效性。退出受保护区可以也可以不进行有效判断。当一套设备验证完成，第二套读取器一般也使用同样的技术进行进入和退出的有效性判断。即使退出需要有效性判断时，但当遇到火灾和紧急事件需要退出区域时可不提供有效凭证。由于这个原因，出现了具有退出请求范围的设备，一般被称为REX设备。REX设备可以简单设置一个按钮，也可以像热量和运动探测器一样成熟。REX按钮将会开门，或者至少在REX设备被激活的时间可以打开门。如果退出有效判断不需要。REX激活就被认为是一个一般操作。如果退出有效性需要判断，REX设备的激活会触发警报器。

上述的每个设备都是和访问控制进行交互的面板。这些面板应该设计为在没有监控电脑时也可独立操作。控制装置必须有后备电源，当一个主要的电力供应中断，

仍能够维持系统的运作过程，因为它通常需要重新建立主要电源的连接或安排给另一个候补电源。

概述

今天电子访问控制系统已经由独立的门控制器遍及到集成了闭路电视的复杂的网络系统，防盗系统及建筑控制系统。选择系统属性需要的合适的凭证和读取器，选用合适的安装和实现，这些往往需要复杂的计划和困难的抉择。现在可以获得很多帮助我们了解怎么抉择的书籍，也可以通过联系专业的开发商来帮助你定义需求并获得合适的解决方案。如果你想开始定义需求的过程，可以尝试我们免费的风险分析。

凭证

凭证就是你拥有的东西，你知道的事情，一些生物特征，或者这些的组合。现在比较典型的凭证有门禁卡，key fob,或者其它的重要东西。现在有很多智能卡技术，包括磁条，条形码，韦根， 125 kHz感应，接触式智能卡，非接触式智能卡。基于个人知道的凭证，可以是个人能身份号码（PIN），或一系列你所知道内容的组合，或者是密码。使用身份特征作为凭证被称为生物测定。典型的生物测定技术包括指纹、面部识别、虹膜识别、视网膜扫描、声音、手形识别。卡片技术通常被用于传达身份号码，该身份号码由卡号、设备或地址码和发行编号。卡号是唯一的，与其他持卡人的卡做区分。设备码有时被称为地址码，是帮助人们记忆创造出来的一组数字，它允许最小范围内的数字独一无二而不重复。当每次卡片被代替或者遗失补挂的时候，发行码就会递增。

大部分技术使用的身份号码一般以两种形式存储：韦根和ABA。韦根格式是以第一次使用的技术命名的，是一种以bit为基础，长度在26到60位之间的格式。ABA格式，有美国银行业命名，是以数字为基础的，一般应用于信用卡或者使用磁条技术的卡片。

条形码技术

条形码是一系列黑色和白色间隔的条纹，这些条纹可以被光学扫描仪器读取。组织和条纹的宽度由条形码选择的协议决定。当前有很多不同的协议，但是在安全工业上比较流行的是39码。有时黑色和白色条纹会有数字标明打印出来，人们可以读取号码而不用扫描仪器。使用条形码技术的优点是便宜，容易生成凭证，并且容易应用到卡片或其他项目上。缺点就是因为其便宜易生成凭证而导致该技术容易出现造假，并且光学读卡器有可能存在可靠性的问题而使凭证被脏读。一种减少造假的方法是使用碳墨油迹打印条形码，然后用一个暗红层覆盖条形码。条形码可以被光学读取器通过调节红外光谱来进行读取，但这样的条形码却不容易被复制。但这并不是说条形码就很安全了，他仍可以通过任意打印机从计算机上打印生成的。