涉密载体电子门禁系统
涉密载体有源电子门禁系统
技术手册
解放军保密委员会技术安全研究所
目录
涉密载体有源电子门禁系统简介
涉密载体有源电子门禁系统,采用ZigBee无线传输技术体制,能对嵌入或粘贴无线标识的U盘、移动硬盘、笔记本电脑等涉密载体以及人员卡进行监测,当经过注册的涉密载体和人员卡经过电子门禁时,系统会自动识别、记录、报警,实现了对出入指定区域的涉密载体和人员的有效管控。
有源电子门禁系统由无线标识,门禁读写器,触摸屏一体机,管理中心四部分组成。
门禁读写器是在涉密载体进入检测区域时读取载体无线标识的信息,判别载体类别及运动方向,通过无线扩频通讯方式传递给触摸屏一体机。(如下图)
触摸屏一体机是将收到的载体标识信息予以记录和显示,对未经管理中心授权带出的的涉密载体予以报警,同时将信息通过局域网传输至管理中心。(如下图)
管理中心是整个电子门禁系统的核心,负责对涉密载体无线标识进行注册登记,对允许的外带行为进行授权;实时记录通过门禁的载体情况,为管理人员提供便捷的查询审计功能。(如下图)
主要特点:
u 标识灵敏度高,抗遮挡能力强。
u 系统具有进出方向识别功能,识别准确可靠。
u 实行网络化管理,不需通道。
u 采用无线连接方式,安装使用方便。
u 门禁读写器外形小巧,可以很方便的和建筑环境融为一体,不破坏原有的装修风格。
u 标识通过门禁感应启动发射,绿色环保,电池寿命长。
主要技术指标:
u 工作频段: 2.4GHz/125KHz
u 正确识别率: ≥99%
u 方向识别正确率:≥95%
u 最大监测范围: 宽6米 高2.5米
u 识别距离: 1.5—7米。
u 识别速度: 10个载体同时通过正确识别
u 标识寿命: ≥3年
涉密载体有源电子门禁系统技术说明书
一、概述
根据军委[2007] 5号文件的要求,我们从2007年3月至2008年8月研制了 涉密载体有源电子门禁系统。2008年8月交付北京军区保密委员会技术安全检查办公室使用,2008年10月装备步兵第112师6套不同规格的门禁系统。
系统主要由无线标识,门禁读写器,触摸屏一体机,管理中心四部分组成。主要应用于机要办公区域,涉密载体的出入携带管理。基于本系统并配合相关配套的管理措施,可以将涉密载体和人员纳入严格的管理流程,从技术和管理手段上提升了安全保密水平。
2007年初,我们考察了军队现有涉密载体管理的现状,包括机要文件管理,U盘、移动硬盘、笔记本电脑管理,携带外出的审批权限和流程。以及人员考勤管理。同时基于我们对射频技术的研究,认为目前射频技术比较成熟,已在仓储、物流、人员管理、车辆管理等多个领域广泛应用,我们所要管理的载体的物理形态及管理方式,与社会的应用状态有共同点和特殊点。提出并采用新的涉密载体管理体系结构,研制相应的硬件软件系统,实现了军委[2007] 5号文件要求的涉密载体射频管理系统。
系统通过采用无线射频识别(射频)技术和数据识别、分析、管理软件。在涉密载体上粘贴或嵌入无源射频标识,在出入口安装识别通道,当出入人员携带含有射频标识的物体时,系统会自动识别,并得到物体的唯一标识码,在数据库支持下,确认是否报警提示。利用人员身份标识卡,同时可替代人员管理、考勤门禁系统。提高了机关、单位涉密载体管理、人员管理的智能化、人性化、安全化、信息化程度,对涉密载体及人员的严格管理起到了很大的作用。
二、系统组成
涉密载体电子门禁系统主要系统管理平台,门禁通道子系统,专用无线标识组成,系统体系结构示意图如下:
|
|
|
|
|
|
|
|
|
|
|
|
l 系统管理平台:
包括管理服务器一台,无线标识注册设备一台。安装系统管理软件。主要用于涉密载体和人员标识卡的注册,审批授权,系统管理,数据库操作等功能。
l 门禁通道子系统:
主要包括通道天线矩阵,无线标识读写设备,触摸屏一体机,声光报警设备等硬件。通道管理用户界面,无线标识管理数据库等软件,完成对涉密载体和人员进出的自动识别,记录,报警等功能。
l 专用无线标识:
主要是粘贴或嵌入涉密载体内部的专用射频标识,和粘贴射频标识的人员身份识别卡,标识内存储96BIT编码,唯一标示涉密载体和人员个体。和数据库协同工作可准确定位涉密载体的属性。
三、几项技术难点的说明
3.1、如何将射频标识嵌入涉密载体内部
考虑到涉密载体的物理多样性,材料不同、体积大小不同,包括纸质材料、金属材料、印刷电路板等,我们采用了无源标识,其特点是:体积小、薄、无需外接电源,可永久使用。并且能够粘贴在纸质文件上、嵌入载体内。
但是无源标识需要从读写器天线获取能量,在将电磁能转换为电能过程中,天线的效率极为重要,在人员携带的复杂环境中,受人体和携带物体的影响,电子标识天线的效率大为降低,致使一般标识的识别距离仅以厘米计。不能满足实用要求。综合考虑各种因素、优化配置是研究重点。我们解决了如下几个技术问题,极大的提高了通过识别率。
l U盘的无线射频标识技术:
U盘体积小巧,携带位置随意。正因如此嵌入的射频受人体影响很大,当射频标识贴近人体时,标识天线效率很低,不能支持远距离识别。所以单个无源标识无法满足可靠识别的要求。经数百次研究试验,我们采用双面、双标识配置,选择具有瓷介质材料,高灵敏度、小型24X24MM的抗金属标识,这类标识能有效隔离印刷电路、IC芯片等对电磁波的反射干扰。将其嵌入我所研制的AQX-342安全U盘内部,在U盘盘体两面各放置一个标识。即可实现U盘被携带于任何位置,都保证标识正常工作。同时重新设计U盘外壳和印刷电路,很好的解决了识别率低的问题。
l 移动硬盘的无线射频标识技术:
移动硬盘内部含有多种材料,直接嵌入标识都没有好的识别效果。我们采用了两种方法解决这一问题。基于我所研制AQX-341B 移动硬盘,采用双面、双标识配置,重新设计移动硬盘内部印刷电路板,在板上布置镀金反射、隔离区,在这个区域粘贴11X80MM高灵敏度抗金属标识。盘体内部的另一面在标识后面布置12X20MM的金属板,组合成一个独立的标识体。有效隔离内部物体不规则的反射信号造成的干扰,达到了较好的识读效果。
l 笔记本电脑及同类设备无线射频标识技术:
与移动硬盘类似的复杂环境类似,我们仍采用双面、双标识配置方式,11X80MM高灵敏度抗金属标识,每个标识都配置一块98X17MM金属背板,另开发专用塑料外壳,组合成一个独立标识体。使之适合粘贴在设备的任意位置都可以准确识别。
3.2、门禁通道技术
我们研制了专用天线矩阵,在人员通过的通道上,构成了完整的辐射封闭空间,使涉密载体无论在通道内任何位置,都能快速、准确的识别。主要内容如下:
l 天线技术:
读写器天线我们采用圆极化方式的310X310MM板状天线。因为其方向图,在一个波长周期内旋转一周,使得无线射频标识在任意角度都能够顺利读出。同时是一个双向的天线(即传输和接收为同一个天线),天线参数为902-928MHz频段,左旋和右旋极化,具有较宽的波束宽度、较高增益。
l 门禁通道及配置:
我们经过大量的研究和试验,确定利用圆极化天线组构成天线矩阵。并且设置反射板增加信号强度。两组相向放置构成门禁通道。通道间距1.85米,高度1.8米,相向的天线匹配左旋和右旋极化方式,保证通道内无死点,对无线射频标识发射的微弱信号,在通道内任意点都能可靠接收。
下面两幅图显示了通道的有效监测空间:
天线矩阵垂直方向天线方向图
天线矩阵水平方向天线方向图
l 频段选择 :
国际通用的射频规范规定了多个业务频段,包括13MHZ,433MHZ,800MHZ,900MHZ,2.4GHZ等。通过研究、比较试验,我们选取了900MHZ(902-928MHZ) UHF频段作为门禁系统的工作频段。其具有相对穿透、绕射、标识体积、市场成熟度等优势。
l 无线射频读写设备:
采用了基于Impinj技术的无线射频读写器。灵敏度高、应用技术成熟、可靠性高、并具有多标识、高速识别等特性。保证了具有较高的识读准确率和识读速率,并适应密集读写器部署环境。
四、工作流程
4.1、系统工作流程
4.2、涉密载体及人员身份识别卡注册流程
在系统管理平台,操作注册管理界面,录入持有人姓名、单位、载体类别、密级、持有人照片等信息,同时系统自动生成96Bit唯一编码,通过驱动注册设备,将编码写入载体附着的无线射频标识。
4.3、载体带出审批及管理流程
涉密载体持有人向主管领导提出申请,当批准后到保密室操作通过系统管理平台的审批管理界面授权,系统将允许外出标志写入系统数据库,当人员携带载体外出时即不再报警,只记录载体进出时间、持有人、载体序号、类别、密级等相关数据备查。
4.4、人员进出授权及管理流程
在系统管理平台,对允许进出管辖区的人员,在人员管理界面进行授权,并将允许进出信息写入系统数据库,当人员携带身份识别卡进出时,系统识别并驱动门禁通道支架上红色指示灯闪光。意味放行,同时系统显示持有人照片,记录人员出入时间,姓名,单位等数据。
4.5、违规处理流程
在系统管理平台,查询系统数据库,调出违规进出记录,可确认涉密载体或人员出入时间、编号、类别、姓名、单位等数据,辅助行政管理。
五、系统配置
门禁通道天线矩阵一对;形成的有效通道高1.8米,宽1.85米。立式触摸屏一体机一台。管理服务器一台,注册设备一台,系统管理软件和门禁通道管理软件。专用AQX-342安全U盘、AQX-341B 安全移动硬盘。笔记本电脑和纸质文件专用射频标识。含射频标识的人员身份识别卡。
六、系统连接关系
七、门禁通道子系统
7.1、门禁通道方框图
7.2、门禁通道设备连接详图
7.3、门禁通道工作流程
八、系统工作原理
l 无线标识系统的基本工作原理:
系统采用的被动式射频标识技术包括3个主要部分,读写器、天线和标识。读写器在指定的频段通过天线辐射发送能量,射频标识由天线和射频 IC芯片组成,射频 IC芯片转换交变电压为直流电压,提供给芯片内数字电路工作的能量。启动射频 IC芯片工作,完成信号调制和发射,以构成无线系统能够识别的信号源。标识发射的信号被读写器接收,并完成解调和数据输出。
l 涉密载体电子门禁系统基本工作原理:
当人员携带的含有射频标识的涉密载体或身份识别卡,进入门禁通道后,标识接受读写器辐射的电磁能量,启动射频 IC芯片工作,发射96BIT的编码数据,读写器接收这些数据,系统管理软件查询数据库,显示涉密载体的相关记录。如果未经批准通过,则启动声音报警提示。同时记录进出时间等数据备查。如果确定是人员身份识别卡,则显示照片、人员信息。并记录相关数据。
九、系统主要技术性能指标
9.1、软件系统
操作系统是 Windows XP
Microsoft XML Core Services (MSXML 4.0 Service Pack 2)
Microsoft .NET framework 2.0 or 更高版本
Microsoft SQL server数据库
标识空中接口:EPC Class1 Gen2
软件接口协议:MACH 1 API
基于WEB服务器的连接方式:从PC到读写器是HTTP协议,从读写器到PC是XML协议。
应用软件访问读写器方式: 基于 HTTP 的高级方式和基于 TCP/IP socket 的低级方式。应用软件中采用 HTTP方式配置读写器的工作状态,采用SOCKET方式从读写器传输标识EPC数据。
9.2、读写器性能参数
u 工作频率 902MHz~928MHz
u 标识协议 EPCglobal Class1 Gen2 UHF 射频,符合ISO 18000-6-C UHF 射频标准,并支持所有 Gen2。
u 调制方式 扩频跳频调制(FHSS)
u 发射功率 ≤30dBm
u 数据接口 10/100M以太网
u 最大读取速率 1000个标识/s
u 标识数据读取速度 ≥640 Kbps
u 标识最高通过速度 3m/s
u 计算机到读写器采用协议 HTTP协议
系统物理电气指标:
u 供电方式:220V/AC
u 工作温度:-30℃~70℃
u 工作湿度:10%~90%
u 存储温度:-40℃~80℃
u 存储湿度:5%~95%
十、主要战术技术指标
u 专用标识种类:读写式无源标识,96BIT的编码数据存储区
u 标准配置有效检测空间:1.8m(宽)×1.85m(高)×1.3m(深)
u 专用无线射频标识静态任意点任意角度放置,正确识别率:≥99%
u 人员任意位置携带纸质文件通过门禁通道,正确识别率:≥99%
u 人员任意位置携带安全U盘通过门禁通道,正确识别率:≥99%
u 人员任意位置携带安全移动硬盘通过门禁通道,正确识别率:≥99%
u 人员任意位置携带笔记本电脑通过门禁通道,正确识别率:≥99%
u 人员携带身份识别卡通过门禁通道,正确识别率:≥90%
u 系统识别速度 ≤5ms
u 无线标识写入速度 ≤1000ms
u 系统管理功能:标识注册,标识识别,详细信息显示,审批授权,数据录入、查询等。
十一、携带位置和环境
u 厚、薄不同材质衣服上下装、左右口袋
u 贴近人体皮肤位置
u 电脑包、挎包
u 非金属材料包装箱
u 多个涉密载体同时通过
u 人员携带身份卡通过
u 通过数百次测试,证明在人员正常携带,或常见非电磁屏蔽的包装材料,通过时达到100%识别。
十二、系统软件功能
u 识别报警功能 人员携带涉密载体通过门禁通道时,系统显示涉密载体实时9项信息,违规带出自动报警提示。
u 涉密载体注册功能 新涉密载体所含标签,能够读出、写入数据,并登记6项注册 信息。
u 涉密载体审批功能 完成涉密载体携带外出审批授权,并记录入系统数据库。门禁 通道子系统识别后不再报警。
u 门禁记录查询功能 用于涉密载体通过状态查询,辅助违规行政处理。
u 数据同步功能 用于非联网的不同地域数据库之间数据同步。
u 系统软件功能丰富,界面友好,较好的满足了用户系统管理的需求。
