清华同方一卡通系统建设方案.doc

工商银行滁州分行新建办公大楼一卡通系统建设方案同方锐安科技有限公司TONGFANG R.I.A COMPANY LIMITED2013年11月目 录1.方案综述11.1.系统概述11.2.建设内容11.3.建设目标22.设计方案32.1.设计思想32.2.设计原则42.3.体系架构52.3.1.总体架构52.3.2.技术架构62.4.网络拓扑82.5.卡片选型82.6.性能指标113.中心平台123.1.密钥管理123.2.系统管理163.3.卡务管理193.3.1.卡片初始化193.3.2.卡片个性化制作203.3.3.卡片业务管理224.门禁管理系统234.1.系统概述234.2.系统功能244.3.系统结构图274.4.工作流程284.5.设备选型及参数285.考勤管理系统355.1.系统概述355.2.系统功能365.3.系统结构图375.4.工作流程385.5.设备选型及参数386.会议管理系统406.1.系统概述406.2.系统功能416.3.系统结构图426.4.设备选型及参数427.访客管理系统447.1.系统概述447.2.系统功能447.3.系统结构图467.4.设备选型及参数478.停车场管理系统488.1.系统概述488.2.系统功能488.3.系统结构图498.4.设备选型及参数509.一卡通运行环境设计539.1.数据中心539.2.系统网络5410.同方整体优势5410.1.整体产业链实力的专业化公司5410.2.产品自主研发、应用系统多、涵盖面广5410.3.真正基于CPU卡应用的一卡通系统5510.4.密钥管理和初始化工作由用户主导5510.5.平台架构稳定5510.6.易扩展性和开放性5610.7.良好的兼容性5610.8.多级权限管理设计5710.9.CPU卡一卡通成功案例5710.10.专业、强大的实施团队5910.11.本地化售后服务5911.系统厂商简介5911.1.专业智能卡系统厂商6011.2.企业专业资质6011.3.完善的技术服务体系6112.售后服务承诺6112.1.售后技术支持6112.2.售后服务响应6113.典型案例介绍6213.1.中央电视台一卡通6213.2.中国神华国华电力一卡通6313.3.清华大学校园一卡通6313.4.中国纪检监察学院一卡通6413.5.中国中铁股份一卡通6413.6.中国三峡工程开发总公司一卡通6513.7.中国核工业建设集团一卡通6613.8.清华同方科技广场一卡通661. 方案综述1.1. 系统概述一卡通是指以现代智能卡卡片为主体，借助各类智能读写设备以及与之相配套的中心平台软件和应用管理软件，实现为持卡人的各项日常活动提供服务的综合信息化服务管理技术。同方智能楼宇一卡通系统采用了“平台+组件”的设计思想，覆盖了企业或楼宇内常见应用，包括门禁，考勤，消费，停车场，出入通道，访客，会议签到，在线巡更，浴室，冷热水管理等。用户可将企业内的人、财、物的管理和服务纳入“一卡通”平台，统一进行管理，完成企业内部的身份认证类应用和消费类应用，同时系统可实现与OA、ERP、MIS、IBMS等系统灵活对接和数据交换，为企业管理者和员工提供方便快捷的服务。同方智能楼宇一卡通不仅适用于规模较大和对安全要求较高的智能楼宇、现代化智能楼宇还适用于司法、政府、军工和金融等大规模持卡人群的行业应用领域。1.2. 建设内容基于对智能楼宇一卡通系统建设需求理解，本方案中，我方采用同方智能楼宇一卡通系统进行建设，卡片选用具有同方自主产权的高安全性的非接CPU卡。系统采用“平台+子系统+第三方接口”的结构化设计，所有应用系统基于该平台进行建设和扩展，并通过标准的第三方接口规范：报文接口、应用程序接口、卡操作接口，实现与相关系统的对接整合、数据共享。智能楼宇一卡通系统项目建设，包括以下部分：n 一卡通系统中心平台Ø 密钥管理系统；Ø 卡片初始化系统；Ø 平台系统：系统管理、卡务管理。n 一卡通应用子系统Ø 门禁管理系统；Ø 考勤管理系统；Ø 会议管理系统；Ø 访客管理系统；Ø 停车场管理系统；n 一卡通系统运行环境一卡通系统数据中心、一卡通系统专网建设。1.3. 建设目标通过智能楼宇一卡通系统的建设，在楼宇内建立统一的卡片管理平台，并依据此平台扩展实现安全认证，出入管理，小额支付，交易结算等应用。系统设计达到以下几个建设目标：u 统一身份管理平台在智能楼宇信息化管理中，每一个员工都拥有一个身份信息。如果加上员工卡，就等于给每个员工发了一张电子名片。楼宇信息化管理中的方方面面都需要用到这张电子名片。小到门禁出入、考勤请假、职工活动，大到员工福利、与楼宇自控系统、消防系统对接等。随着应用的推广，楼宇也需建立一套先进、高效的统一身份管理平台，对楼宇内的人员做到集中化管理。u 统一支付平台和财务管理系统在一些智能楼宇中会有很多应用到消费的部门和单位，他们会与楼宇内的员工的各项生活息息相关，为了方便楼宇内各公司的核算和管理，应该建立一套基于卡片的统一支付平台，同时结合各个企业或单位的自身的财务制度，与相关的财务系统做灵活的对接，就能够实现在整个楼宇内的基于卡的支付平台和财务管理系统。u 跨应用的数据通讯中心和数据交换平台在现代化智能楼宇中，信息化工作往往是纷繁、交错、复杂的。主要原因是各项信息化系统种类繁多，关系复杂。所以，应当建立一套跨应用的数据通讯中心和数据交换平台。由它向楼宇各系统应用提供稳定、快速的信息传递、信息调度和信息共享。其实不管是否建设该项目，只要是在大型现代化智能楼宇信息化建设的过程中，数据中心的建设也都是非常重要的。u 统一安全认证应用体系楼宇内各系统的安全是管理者非常关心的，在前面提到，通过该系统的建设为楼宇提供了一套统一的身份管理平台后，下一步要做的是建立一套立体的安全认证应用体系。它的范围既包括应用了门禁、通道和人员查验等终端设备，同时也包括了视频监控、消防管理、周界探测等安防设备管理及OPC接口。u 统一消费和支付应用体系楼宇内的食堂、餐厅、便利店与员工的生活紧密相关的设施。同时也是一个较大的消费市场。以一个3000人左右的现代化智能楼宇为例，仅负责食堂的饮食中心每天的结算款可达到数十万。如何运营好这么大的一个消费市场无论对于商家还是管理者都充满了吸引力和挑战。建设以卡片为载体的系统，可以帮助智能楼宇管理者建立一套先进科学的消费和支付应用体系，有效的将这个消费市场管理好，为这个消费群体服务好。u 实现“一卡多用，一卡通用”的全新用户体验借助各类智能读写设备以及与之相配套的中心平台软件和应用管理软件，实现为持卡人的各项日常活动提供服务的综合信息化服务管理技术。一张小小的卡片记载着持卡人日常生产生活中方方面面的信息要素，提供便捷、精确、高效、安全的信息服务。“一卡多用，一卡通用”不再是一个概念或是一个口号，而已经成为实实在在的一项服务。2. 设计方案2.1. 设计思想系统利用高安全性非接触式CPU卡作为主要介质，设计采用二级管理运营方式和三层应用结构的系统框架，系统由一个统一的管理平台、多个应用子系统构成，系统之间采用TCP/IP网络连接方式，实现系统数据共享和统一管理、分散授权；统一的身份认证识别管理；建立规范化信息平台系统接口，与相关应用管理子系统对接扩展。2.2. 设计原则在进行系统设计时，不仅要考虑软件的功能性需求，还要考虑非功能性需求，比如软件的性能、可扩展性、系统的稳定性、部署和更新，可维护性，版本的管理，系统的安全，界面的友好程度可用性等。智能楼宇一卡通系统遵循以下设计原则： u 便利性系统设计一张卡片完成持卡人在公司或楼宇内的出入管理、消费管理、考勤管理、自助服务等应用，真正的达到一卡通用的功能，给持卡人的日常工作及生活带来极大的便利。u 安全性系统采用真正的CPU卡技术，硬件集成PSAM认证模块，软件采用PBOC标准交易流程。系统密钥采用卡号及随机数分散，真正做到一卡一密，一次一密。u 可靠性系统对于规范要求以外的输入能够自动判断，并能有合理的处理方式。u 易用性系统通过智能化的导入导出等工具，引导系统操作人员使用，使得具备一定电脑和电子技术基础的人员，在经过短期培训后，能合格的管理和使用系统内的所有设备及软件。 u 标准性在结构上实现开放，基于业界开放式标准，符合国家相关部门的规范。 u 先进性在产品设计上，整个系统软硬件设备的设计符合高新技术的潮流，关键设备均处于国际领先的技术水平。在满足现期功能的前提下，系统设计具有前瞻性，在今后较长一段时间内保持一定的技术先进性。u 合理性根据用户的现状及需求，量身设计网络结构、管理系统结构，使系统达到最优性能；系统结构与用户的管理机构相吻合，方便系统管理与维护。同时，在系统设计时，充分考虑系统容量及功能的扩展，方便系统扩容及平滑升级。u 可扩展性系统软件设计完要留有升级接口和升级空间。2.3. 体系架构2.3.1. 总体架构系统依托公司现有信息化基础设施构建，采用分层的平台化体系架构，服从于集团信息化建设的整体框架。为充分整合已有的应用和信息资源，向用户提供多渠道、多种方式的服务，系统采用统一的标准规范（包括信息标准、接口标准等），通过统一的安全和运行保障体系，与集团内各应用系统以一种松散耦合的方式实现集成，协同完成信息的采集和处理。系统从总体上分为基础设施层、数据层、中间件层和应用层等四层。清华同方智能楼宇一卡通系统总体架构清华同方智能楼宇一卡通系统是由一卡通中心平台为基础，辐射多个应用扩展。一卡通中心平台由负责安全的密钥管理系统，卡片初始化系统，负责卡务的基础平台，负责消费的结算平台，负责自助服务的触摸屏和Web查询以及负责应用和数据管理的数据中心组成。楼宇应用扩展覆盖人员出入，访客，消费，考勤，门禁、梯控等多个应用系统。以“高内聚，低耦合”的软件架构思想为系统扩展提供分布式地应用管理。系统提供了高可用性、高可靠性以及可扩展性的中间件层，增强了性能，提高了系统安全。清华同方智能楼宇一卡通系统采用两级运营管理方式，即“集中制卡，分散管理”的方式实现了企业内的管理中心和分中心合作运营的管理模式。采用星型网络结构将管理中心和分中心连接起来，共享信息，交换数据。2.3.2. 技术架构系统采用.NET系统平台框架来简化企业解决方案的开发、部署和管理相关的复杂问题的体系结构，系统应用程序结构采用B/S和C/S组合的架构，根据各子系统应用程序特点来确定应用程序架构，同时提供中间层集成框架高可用性、高可靠性以及可扩展性的应用的需求。前端业务与应用服务器之间采用了Socket + JSON报文通讯，既保证数据包的大小在传输过程中尽量减少，同时采用了结构化的数据存储，可快速的序列化和反序列化转换。清华同方智能楼宇一卡通系统技术架构通过提供统一的开发平台，降低了开发多层应用的费用和复杂性，同时提供对现有应用程序集成强有力支持，增强了安全机制，提高了性能。2.4. 网络拓扑清华同方智能楼宇一卡通网络结构2.5. 卡片选型2008年IC卡系统的M1芯片的安全算法遭到破解，工信部于2009年1月发出关于做好应对部分IC卡出现严重安全漏洞工作的通知，要求各地各机关和部门开展对IC卡使用情况的调查及应对工作。国家密码管理局随后发出关于请协助做好IC卡系统密码管理工作的函和关于加强IC卡系统密码管理工作的通知在此基础上近日印发重要门禁系统密码应用指南，同时地方政府如北京市网络与信息安全协调小组办公室发出关于转发 重要门禁系统密码应用指南的通知。Mifare系列逻辑加密卡采用了一种NXP特有的加密算法来完成认证和加解密运算。这个过程可以简化为：非接触CPU卡与Mifare 1卡片相比，拥有独立的CPU处理器和芯片操作系统，所以可以更灵活的支持各种不同的应用需求，更安全的设计交易流程。非接触式CPU卡具有三种认证方式，持卡者合法性认证PIN校验，卡合法性认证内部认证，系统合法性认证外部认证，对交易的各个单元（持卡人、卡片、终端设备）进行相互认证，保证交易介质的合法性；在以上认证过程中，密钥是不在线路上以明文出现的，它每次的送出都是经过随机数加密的，而且因为有随机数的参加，确保每次传输的内容不同，保证了交易内容的合法性。所以，采用非接触式CPU卡可以杜绝伪造卡、伪造终端、伪造交易，最终保证了交易的安全性。基于安全性要求，系统采用同方TFCS2000系列非接触CPU卡，TF-CS2000系列非接触CPU卡是由同方自主研发的一款带TDES/DES硬件加速功能的非接触CPU卡。该产品支持多应用防火墙，支持内外部双向认证，具有硬件DES处理器和真随机数发生器，符合IEC/ISO14443标准。具备防冲突机制，支持防插拔处理和数据断电保护机制。产品特点：Ø 非接触，兼容ISO/IEC 14443标准；Ø 读写距离0-5 厘米；Ø 8051/2 兼容CPU；Ø 8K 字节EEPROM；Ø EEPROM 同时映射到程序空间和数据空间，且映射地址相同；Ø 支持页写入方式（一次写入32 字节）；Ø 14K 字节Mask ROM；Ø ROM 同时映射到程序空间和数据空间，且映射地址相同；Ø 512 字节 RAM；Ø 64 字节系统数据（含8 字节序列号），不可更改；Ø TDES/DES 硬件加速引擎；Ø 32 位随机数发生器；Ø CRC 协处理器；Ø 串行通信模块；Ø 低电压检测和高电压保护电路；技术参数：Ø 工作频率：13.56MHz；Ø 通讯速率：106Kbps；Ø 读写距离：0-10cm；Ø 数据保持：> 10 年；Ø 擦写次数：>100,000 次；Ø 防静电保护：>4000 V；2.6. 性能指标项目参数系统容量部门级数1024持卡人容量100万卡类别255种商户容量1万商户级数3级POS终端容量10万门禁控制器容量10万流水保留天数自由设定流水保存数量1000万笔子系统接入数量1024个系统处理能力系统工作特性7×24小时系统纠错处理自动、手动实时交易处理能力>1000笔/分单笔交易处理时间小于1秒多机并发处理能力联机<256台，脱机不限系统安全保护安全机制卡片、设备、数据密钥控制体系金融标准密钥分组数量6组加密算法3DES、国密两种加密签名算法MD5、HASH、3DES等卡片密码体系一卡一密、一次一密网络网络形式专网/原有网络网络结构星型拓扑或总线拓扑通信协议TCP/IP、RS232通信距离不限系统帐务处理对账模式自动、手动系统纠错处理自动、手动系统记账精度分帐务处理后台自动清分清算充值模式联机消费模式脱机、联机充值方式现金、补贴、补助、计数、班车专用消费方式自由金额、定额、编号、餐别、计次补贴补助领取限制自由设定终端PSAM支持支持（2个卡槽）兼容卡ID、M1、磁条卡、TypeA/B协议的CPU卡脱机模式支持联机模式支持黑（白）名单存储容量100万黑名单同步时间<1秒(新机器由黑名单数量决定)黑名单判断时间<100毫秒读写卡时间<400毫秒签到签退模式支持通讯速率960038400出错重传支持后续电源可扩展，工作时间>10小时嵌入式程序升级方式在线远程升级卡片存储容量8K字节钱包数量标准5个，可增加钱包限额自由设定读写卡距离010厘米第三方接入硬件对接支持卡面对接支持数据库对接支持3. 中心平台一卡通中心平台由密钥管理系统，密码加密机，卡片初始化系统以及基础平台构成，其中密钥管理系统实现密钥的创建、传输、管理及导出；密码加密机实现密钥的存储、计算；卡片初始化系统实现卡片结构创建、密钥灌装；基础平台实现组织机构、人员信息、证卡资料、操作员等基础信息的登记和管理。3.1. 密钥管理密钥管理系统是系统平台的安全保障，密钥的安全控制和管理是整个系统安全的关键，密钥的安全性将直接影响整个系统的安全。从卡的制造、运输、个人化发卡到使用的各个阶段中，持卡人的验证、卡与读卡器的相互认证、卡与消费终端的相互认证，均由密钥管理，并由加密/解密算法严格控制，以确保安全。 在以非接触CPU卡为应用载体的信息系统中,密钥的管理是整个系统安全运行的基础。密钥管理系统的主要任务是进行密钥的生成、发行和更新，它直接关系到整个系统的安全。密钥管理一般采取分级的方式，这样做是为了满足跨不同应用区域、跨不同应用部门的共享密钥的需要。 密钥管理系统的目标就是安全地产生各类主密钥和各级子密钥，并将各级子密钥安全地下发，用来产生用户卡和PSAM卡的各种密钥。确保密钥在其整个生命周期各环节中的安全性和一致性。用户通过此软件自行生成和管理各类应用密钥保证用户拥有密钥管理和发卡的主动权。（1）相关硬件密钥管理系统主要和两种硬件设备打交道，即智能卡读卡器和硬件加密机。 智能卡读卡器是密钥管理系统与密钥卡交互的接口设备；硬件加密机是实际的应用系统的后台密钥管理的硬件加密设备，它需要装载应用主密钥，而这一过程是在密钥管理系统中完成的。 系统在处理各类联机交易过程中，需要使用硬件加密机，加密机中存储密钥和相关算法，负责联机交易操作的安全性。在终端的读卡设备上加装PSAM卡， 非接触CPU卡的操作需要采用PSAM卡进行密钥访问。（2）主要功能及其安全控制 从基本功能上来看，密钥管理系统是比较简单和清晰的，它的主要作用就是完成密钥的产生和密钥的传递这两类功能。在密钥管理系统中，我们将专门用于密钥管理的智能卡称为密钥卡。 密钥卡中新密钥的产生主要有两类方式，即直接在密钥卡中产生新密钥、在其它安全设备中产生新密钥然后装载到密钥卡中。ü 直接在密钥卡中产生新密钥这种方式比较简单实用，它直接将AB码单作为“生成密钥”命令的输入数据来完成该操作。它要求密钥卡提供对“生成密钥”命令的支持。ü 在其它安全设备中产生新密钥这种方式不需要密钥卡提供对“生成密钥”命令的支持，密钥卡的功能比较单一。由于要将密钥装载到密钥卡中，因此，必须保证密钥传递过程的安全。在基于对称密码体系的密钥管理系统中，只要安全设备和目标密钥卡中有相同的加密密钥，就可以确保在密钥的装载过程中密钥不被泄露。在产生新密钥的过程中，最主要的安全问题是对原始生成数据的保护问题。可能采取的措施是将原始生成数据分成几部分，分别由不同的人员来保管。原始生成数据的泄露会影响到整个系统的安全。在密钥管理中，涉及最多的操作就是密钥的传递。在多级的密钥管理体系中，密钥需要在各级之间进行分散传递，最后传递到用户卡中。在基于对称密码体系的安全系统中需要数据传递双方拥有相同的加密密钥，这样才能保证数据的安全传输。密钥在密钥卡之间传递的基本流程如下所示。密钥生成流程及密钥管理系统软著证书通过密钥管理系统系统生成各组密钥并发送到硬件加密机（软加密机）中，未来需要加解密运算时，则统一通过加密机进行安全获取（卡片初始化、联机充值、消费结算等业务）。注：设备配置在密钥管理部门设置密钥管理主机1台，配套密钥管理软件、读写器、Ukey、码单卡、密钥母卡。双界面发卡器:同方读写器内置非接触通讯模块，TF-RF3000系列读写器能够支持包括同方双界面卡在内的符合ISO14443 通讯协议的Type A/B卡。具有两个SAM卡槽方便用户实现对非接触智能卡诸如加密解密、卡片双向认证、发卡等卡片交互操作，一台读写器即可完成用户卡与SAM卡间的整个交易流程。主要技术参数：Ø 通讯接口：RS232；Ø 读取范围：非接触方式最远5cmØ 电源：外接12V DC；Ø 功耗： <0.5W；Ø 电磁兼容性：符合GB9813-88 4.7中B级要求；Ø 工作频率：13.56MHz（非接触方式）；Ø 读取时间：50ms；Ø 卡座寿命：10万次；Ø 工作温度：050（环境温度）；Ø 工作相对湿度：35%80%；Ø 非接触卡支持类型：符合ISO14443 通讯协议Type A/B卡。3.2. 系统管理主要进行系统的初始设置操作，包括部门机构设置、操作员管理、用户信息管理等。（1）部门机构管理实现用户各级部门的维护：添加、修改、删除等，系统可支持256级部门结构。（2）系统操作员管理实现系统各级管理员的建立、及多级权限的设置等：Ø 管理员维护：管理员的添加、修改、删除；Ø 权限维护：功能权限：管理员可进行何种业务的操作，如超级管理员，可具有基础平台、结算、卡务等权限。数据权限：管理员所负责班级机构，及该班级下的人员、商户、设备的操作权限。（3）人员信息管理实现人员信息的添加、删除、修改，并可按一定格式进行人员信息的批量导入。人员信息包括：姓名、工号、性别、出生日期、身份证号等。并可进行重置用户卡密码、重置Web查询密码。3.3. 卡务管理卡务管理是一卡通系统的基础和核心，负责整个系统中用户卡的制作及日常卡的维护等。一卡通项目中通常需要建设卡务中心，此部门为卡务管理的核心部门，负责卡片初始化、卡片个性化印刷、卡片个人化等管理操作。卡务管理流程3.3.1. 卡片初始化CPU卡的发行工作流程不同于以往的逻辑加密卡，通过CPU卡的卡片初始化功能实现CPU卡的密钥灌装和卡内结构初始化，针对用户卡建立卡片文件结构、写入卡片应用序列号、安装各类工作密钥等卡片初始化工作，确保卡片加密的安全性。通过门禁设置卡初始化实现门禁读卡器SAM模块密钥灌装。n 卡片初始化通过非接触CPU卡的卡片初始化功能，实现非接触CPU卡的密钥灌装和卡内结构初始化的工作。n 门禁设置卡发行，用于设置人员通道读头密钥。n 发行消费PSAM卡。注：设备配置在相关管理部门设置卡片初始化管理主机1台，配套卡片初始化软件、读写器1台。管理主机和读写器可与密钥管理系统共用。3.3.2. 卡片个性化制作卡务中心可以完成对人员照片信息的统一采集、存储、卡制作一系列工作，支持在线式（选用数码摄像机、摄像头等）照片采集，和离线式照片采集（选用设备数码照相机、电子文档、原照片扫描等方式）。证照卡制作系统一界面即可完成照片存储、证照卡制作、卡发行等工作，提高效率，轻松方便。Ø 支持多种照片采集方式，联动制卡、所见即所得，同一界面操作；Ø 多种数据录入方式，持卡人信息修改确认，可实现快速现场制卡；Ø 系统有方便易操作的批量办卡的功能，支持批量录入数据，批量导入照片，批量打印卡片，批量发卡；Ø 每种卡类长期卡、短期卡、临时卡等，可灵活进行卡面设计：背景图、照片、卡面文字信息如姓名、学号、班级、卡面编号等。根据企业一卡通项目的实际需求，用户卡面可印刷LOGO及人员照片、姓名、部门等个人信息，第一次采用卡厂批量印刷、后续少量的制卡工作采用证卡打印机打印实现。 3.3.3. 卡片业务管理1）卡类型管理用户卡类型的定义：支持0255种卡类型，并可设置每种卡类的日消费限额、折扣率、有效期、卡押金等参数。2）卡业务处理用户卡的发行、挂失、解挂、补卡、换卡、卡信息修正，单个注销和成批注销等工作，并生成相应的报表和流水记录等，流水记录如发卡记录、挂失记录等。4. 门禁管理系统4.1. 系统概述门禁系统是对出入口通道进行管制的系统，它是在传统的门锁基础上发展而来的。传统的机械门锁仅仅是单纯的机械装置，无论结构设计多么合理，材料多么坚固，人们总能通过各种手段把它打开。在出入人员很多的通道钥匙的管理很麻烦，钥匙丢失或人员更换都要把锁和钥匙一起更换。最近几年随着感应卡技术，生物识别技术的发展，门禁系统得到了飞跃式的发展，进入了成熟期，出现了感应卡式门禁系统，指纹门禁系统，虹膜门禁系统，面部识别门禁系统，乱序键盘门禁系统等各种技术的系统，它们在安全性，方便性，易管理性等方面都各有特长，门禁系统的应用领域也越来越广。智能楼宇门禁系统主要用于办公大楼内部楼宇通道、重要办公场所，系统集通道管理、自动化控制、警报处理、事件记录、电子地图实时监控多系统联动一体系统为用户提供安全便捷出入管理。4.2. 系统功能1) 操作员多级权限管理可对操作员管理区域（门控器设备）进行设置，结合操作员管理人员、业务功能的权限，实现各级操作员在自己权限范围内进行门禁日常管理。2) 通行权限管理人员进出门权限的管理设置，主有以下三方面: 人员：设置哪些人员可进出该门； 方式：设置进出该门的识别方式，刷卡、刷卡+密码、生物识别等； 时段：设置进出该门的时间范围，系统可进行255 个性化的时段设置。3) 实时监控可实时监控门刷卡情况和进出情况，可以实时显示刷卡人员信息（含照片），以便保安人员进行核对。4) 远程开门如某人忘带卡，管理员在接到许可后，点击软件界面上的“远程开门”按钮远程地打开某个门。5) 多种报警联动非法闯入报警、门长时间未关闭报警、非法卡刷卡报警、胁迫报警。所有的报警都会在总控制上实时显示，并可通过报警输出和消防联动扩展板，输出到指定设备。非法闯入报警：门被人非法强行破坏打开。门长时间未关闭：人员进入后，门没有关好，超过一定时间予以报警提醒进入的人员或者控制室的管理员安排关好该门。该时间可以自定义设置。非法卡刷卡报警：该功能可以有效地提醒管理员有人试图重试一些卡片来开门。胁迫报警：被人胁迫要求打开某些门，如果该工作人员拒绝开门或者强行报警会被犯罪份子进行人身伤害，可以假意顺从犯罪份子，输入特定的反胁迫密码。此时门被自然打开，系统自动将被胁迫的报警信息发送给中央控制人员的电脑，并驱动报警，及时采取措施。保障了被胁迫人员的人身安全。6) 消防联动当放生火情时，门控器通过消防联动扩展板接收到消防信号，立刻联动并打开通道门锁，用于人员紧急疏散或逃生。7) 各种定时任务Ø 定时常开/常闭某些办公场合例如一楼大厅，要求白天上班时间门打开，人员可以自由出入，晚上下班后，要求本单位人员刷卡才允许进出。深夜，门保持关闭，本单位内部员工也不允许出去。就可以启用该功能来实现。Ø 定时提取记录可以设置电脑程序几点中自动提取控制器内的记录。一天可以设置多个提取记录的时间。避免客户提取大量数据时长时间占用电脑。Ø 定时上传权限可以设置对控制器进行定时自动更新权限，该功能需要系统当时处于运行状态，网络畅通。8) 出入记录查询可对人员进行情况，按时间、门、通行状态（合法、非法）进行查询统计。9) 反潜回、防尾随有些特定的场合要求，执卡者从某个门刷卡进来就必须从某个门刷卡出去，刷卡记录必须一进一出严格对应。进入未刷卡尾随别人进来，出门刷卡时门不打开；如果出门未刷卡，尾随别人出去，下次不允许进来。或者某人刷卡进来，将卡借给其他人用，系统也会拒绝该人刷卡进来。10) 多门互锁（AB门）一些重要场所（办公室、通道），设置有两道门，要求两道门予以互锁，以方便有效地控制尾随或者秩序进入。当第一道门以合法方式被打开后，若此门没关上，则第二道门不会被打开；只有当第一道门关闭之后，第二道门才能够被打开。同样的道理，如果第二道门没有关好前，第一道也不予以刷卡打开。双门控制器可以实现双门互锁，四门控制器可以实现双门互锁、三门互锁、四门互锁。该功能主要用于安全级别较高场所。11) 多卡开门某些特定场合要求几个人同时到场，依次刷卡门才开。此时，需启用多卡开门功能。12) 首卡开门例如指定的其中三个人拥有首卡开门权限,只有早上拥有首卡开门权限的人刷卡后,别人才能够合法进入。13) 强制关门如果管理员发现某个可疑人员在某个区域活动，管理员可以通过软件，强行关闭该区域的所有门，以便安保人员进行现场核查。门控设备也可与安防防盗系统联动，当接收到防盗信号时，立刻关闭通道门锁、并报警提示，待安保人员处理。14) 监控联动对于重要门禁点，可设置与监控系统联动，实现人员合法、非法出入拍照，便于安保人员进行比对、核查。15) 结合生物识别一些高安全场所，如涉密机房、金库等，可结合生物识别设备，进行出入的安全管理。本项目选用的生物识别设备有：指纹、指静脉等。可采取生物识别、刷卡+生物识别，并与监控联动，实现多方式、多手段的人员安全出入管理。4.3. 系统结构图4.4. 工作流程门禁管理系统工作流程4.5. 设备选型及参数1） 门禁读卡器TF-DF6000系列安全门禁读卡器可识读13.56MHz标准卡，读卡器固件参数可通过卡片或软件工具进行配置。读卡器采用环氧树脂封装，具有防破坏、防水的高安全性。读卡器内嵌高安全密码模块、完成读卡器和用户卡之间的安全认证，实现“一卡一密、一次一密”。规格TF-DF6100STF-DF6110STF-DF6120STF-DF6130S图 片频 率13.56MHz13.56MHz13.56MHz13.56MHz读卡范围040mm040mm040mm040mm读卡时间200msec200msec200msec200msec工作电压9VDC-12VDC9VDC-12VDC9VDC-12VDC9VDC-12VDC电流最大值120mA120mA120mA120mA支持卡片CPU卡(ADF)，CS2808LB，CS2000DFCPU卡(ADF)，CS2808LB，CS2000DFCPU卡(ADF)，CS2808LB，CS2000DFCPU卡(ADF)，CS2808LB，CS2000DF密码模块集成集成集成集成密 钥用户自定义密钥,长度128位用户自定义密钥,长度128位用户自定义密钥,长度128位用户自定义密钥,长度128位密码键盘NA卡+密码NANA指示灯双色LED指示灯（红、绿）双色LED指示灯（红、绿）双色LED指示灯（红、绿）双色LED指示灯（红、绿）蜂 鸣 器集成集成集成集成防拆探测支持支持支持支持维根输出可配置可配置可配置可配置尺 寸89×89×23120×79×23120×79×23120×44×23颜 色炭黑（可选银灰）炭黑（可选银灰）炭黑（可选银灰）炭黑（可选银灰）最省配线4芯线缆4芯线缆4芯线缆4芯线缆推荐线缆22AWG,多芯22AWG,多芯22AWG,多芯22AWG,多芯与控制器最大距离（12VDC）100m100m100m100m工作温度-25+60-25+60-25+60-25+60工作湿度095%（无凝露）095%（无凝露）095%（无凝露）095%（无凝露）防护等级IP65IP65IP65IP65安装环境墙壁安装墙壁安装墙壁安装门框式安装炭黑系列珍珠白系列典雅灰系列产品特性：Ø 支持CPU卡片，识读卡中的ADF数据；Ø 卡和读卡器之间采用金融的安全认证算法，支持用户自定义密钥；Ø 最大读卡距离可达40 mm；Ø 通过设置卡或软件工具进行固件配置；Ø 双色LED指示灯及控制输入；Ø 内置蜂鸣器及控制输入；Ø 机械式防拆报警；Ø 环氧树脂封装，满足室内外环境的应用需求；2） 磐石系列门禁控制器“磐石”系列工业级高端门禁控制器是基于32位CPU的高速智能化ARM平台，反应速度更胜一筹，是真正的基于TCP/IP网络的门禁控制器，产品按照工业级要求设计与生产，对恶劣使用环境的适应力更强。M系列控制器适用于门点比较集中的大中型系统，组网方便，功能强大，节约工程成本，真正的高性价比门禁控制器。产品功能：Ø 支持多种开门模式：卡，密码，卡或密码，卡加密码，多重身份认证，常开，常闭；Ø 可设15种常规时区、1个预定时区和4个特殊时区，255个假日；Ø 支持区域反潜回，支持控制器板内反潜管制，支持反潜分组；Ø 支持多门互锁，重要通道防尾随互锁联动，支持互锁分组；Ø 控制器可脱机工作不影响进出门；Ø 控制器时间自动校准，时间精确到秒；Ø 跨网段联网，控制器与服务器之间可实现跨网段联网；Ø 灵活选择接入锁的类型：电磁锁、电插锁、阴极锁、速通门、电控锁；Ø 多种告警，可设定是否启动门开超时、非法闯入、胁迫进入、机箱被撬被拆；磐石M1单门控制器Ø 控制1道门的单向刷卡，1路报警输入，1路消防联动输入；Ø 预留扩展接口，通过扩展板可实现更多的联动功能；Ø 支持1台读卡器，wiegend26/34协议自适应；Ø 读卡器到控制器最大联机距离100米，建议80米内；Ø 可连接1个门状态监视，1个出门按钮；Ø 支持10/100M 自适应以太网通信协议；Ø 采用32位工业级ARM处理器；Ø 20,000个执卡人数，可扩充至200,000；Ø 可存储历史事件20,000条，可扩充至400,000条；Ø 反潜管制：支持控制器板内反潜管制，支持反潜分组；Ø 互锁：支持控制器板内互锁，支持互锁分组；Ø 门开超时报警：支持门开超时未关报警；Ø 门无故开启报警：支持门无故开启未关报警；Ø 常闭时区：支持常闭时区开门控制；Ø 常开时区：支持常开时区开门控制；磐石M2双门控制器Ø 控制2道门的单向刷卡或1道门双向刷卡， 2路报警输出，1路消防联动输入；Ø 预留扩展接口，通过扩展板可实现更多的联动功能；Ø 支持2台读卡器，wiegend26/34协议自适应；Ø 读卡器到控制