访问控制访问控制是允许或拒绝某人是否可以使用某东西的能力。

物理访问纽约地铁系统得地下入口物理访问是依靠付费授权来进行访问的。

但也存在单向交通的民族。

当然也有强行进入的人士，例如:边防人员、门卫、监票员等，或者像旋转门一样的设备。

为了避免对访问控制的破坏，也存在对其的一些防护措施。

严格意义上讲，一种可选的访问控制（物理控制访问本身）是一个首先检测授权的系统，例如：运输的票据控制。

另一个不同的是存在控制，例如：商店或者国家的边检。

在物理安全中，“访问控制”这一术语涉及到对授权的人进行财产使用限制，建筑物访问限制或者房间进入限制等实践。

人们时常会遇到物理访问控制，例如门卫、保镖、招待员，尽管此类控制的运行意味着钥匙和锁，或者意味着系统访问卡片或者生物身份识别技术。

物理访问控制是用来说明谁、在那里、什么时候此类事情。

访问控制系统决定谁被允许进入或者退出，在那里被允许进入或者退出，什么时候被允许进入或者退出。

在过去，这种访问控制已经通过钥匙和锁的方式部分实现。

门依赖着锁的配置，锁着的门只有拥有钥匙的人才可以进入或者出来。

机械锁和钥匙一般不限制钥匙持有者使用的具体时间和次数。

机械锁和钥匙不提供记录钥匙使用于具体门上的次数，也不管钥匙是否容易复制，或转移给一个没有授权的人。

当机械锁钥匙被丢失或者钥匙持有者在该受保护的区域不再被授权，那么锁就必须被换掉。

电子访问控制利用计算机解决了机械锁和钥匙不能解决的问题。

更大范围定义的凭证被用来取代机械钥匙。

电子系统基于提供的凭证和什么时候提供来决定是否给与某人访问某安全区域的权限。

如果访问被接收，门就会在预定的时间段里打开，同时这个过程也会被记录；如果访问被拒绝，门仍会紧锁，这时访问也会被记录；系统会一直监控门，如果门被强制打开或者门开的时间过长，系统就会发出警报。

访问控制系统操作有时候，理解一个系统最好的方式是从头至尾的对他的典型应用进行使用。

在访问控制中，一般开始于用户展示了分配的凭证给特定的读取器。

读取器传达凭证信息给做出访问决定的设备。

在大部分电子访问控制系统中，这是一个高信赖独立的控制面板。

该控制面板知道当前的日期和时间，决定这个时候出示凭证的人是否可以被允许进入。

不论访问是否被允许，该事务都会被作为历史记录，以便引起问题时拿出商量解决。

访问控制系统组件访问控制的要点可以比喻成一个门，如十字转门，停车场大门，电梯或者其他的物理障碍，这些物理障碍可以进行电子控制。

一般来说，如果访问要点是门，访问就是通过铁锁或者电子锁进行控制。

知道门的位置是系统的一个重要元素，通常是通过打开隐藏在门的结构里的磁性开关来完成的。

这个传感器被用来监控未经授权就强制打开，或是监控授权后门打开的时间过长的事件的。

有时会增加在安全区域内监视锁状态和行为的传感器，以及其他警报传感器。

用户进入访问控制系统的主要接口是凭证读取器。

读取器反映了凭证的技术水平。

磁卡、条形码、韦根卡的读卡器被称为刷卡读取器，一般在零售商店和ATM 机上使用。

一些刷卡读取器需要在特殊的方位进行刷卡以方便读取，但是典型的针对访问控制的读卡器在任何方向刷卡时都是可以读取凭证信息。

接触式或者非接触式智能卡读取器一般为一个无线收发器。

读卡器的广播功能激活卡片，然后开始和读卡器进行基于无线机制的传输。

在正面可以看到金色的智能卡，被称为接触式智能卡，使用时需要金色部位和读卡器进行物理接触来完成一次信息传递。

生物识别是已存在技术中独一无二的技术，但该技术需要用户展示人体的某些部位，如通过接触卡片进行手印，手形识别，或者拍摄人脸进行人脸识别的图像，还有虹膜，视网膜扫描识别，说几句话进行声音鉴别。

进入受保护区一般都需要设备来验证用户访问请求的有效性。

退出受保护区可以也可以不进行有效判断。

当一套设备验证完成，第二套读取器一般也使用同样的技术进行进入和退出的有效性判断。

即使退出需要有效性判断时，但当遇到火灾和紧急事件需要退出区域时可不提供有效凭证。

由于这个原因，出现了具有退出请求范围的设备，一般被称为REX设备。

REX设备可以简单设置一个按钮，也可以像热量和运动探测器一样成熟。

REX按钮将会开门，或者至少在REX设备被激活的时间可以打开门。

如果退出有效判断不需要。

REX激活就被认为是一个一般操作。

如果退出有效性需要判断，REX设备的激活会触发警报器。

上述的每个设备都是和访问控制进行交互的面板。

这些面板应该设计为在没有监控电脑时也可独立操作。

控制装置必须有后备电源，当一个主要的电力供应中断，仍能够维持系统的运作过程，因为它通常需要重新建立主要电源的连接或安排给另一个候补电源。

概述今天电子访问控制系统已经由独立的门控制器遍及到集成了闭路电视的复杂的网络系统，防盗系统及建筑控制系统。

选择系统属性需要的合适的凭证和读取器，选用合适的安装和实现，这些往往需要复杂的计划和困难的抉择。

现在可以获得很多帮助我们了解怎么抉择的书籍，也可以通过联系专业的开发商来帮助你定义需求并获得合适的解决方案。

如果你想开始定义需求的过程，可以尝试我们免费的风险分析。

凭证凭证就是你拥有的东西，你知道的事情，一些生物特征，或者这些的组合。

现在比较典型的凭证有门禁卡，key fob,或者其它的重要东西。

现在有很多智能卡技术，包括磁条，条形码，韦根， 125 kHz感应，接触式智能卡，非接触式智能卡。

基于个人知道的凭证，可以是个人能身份号码（PIN），或一系列你所知道内容的组合，或者是密码。

使用身份特征作为凭证被称为生物测定。

典型的生物测定技术包括指纹、面部识别、虹膜识别、视网膜扫描、声音、手形识别。

卡片技术通常被用于传达身份号码，该身份号码由卡号、设备或地址码和发行编号。

卡号是唯一的，与其他持卡人的卡做区分。

设备码有时被称为地址码，是帮助人们记忆创造出来的一组数字，它允许最小范围内的数字独一无二而不重复。

当每次卡片被代替或者遗失补挂的时候，发行码就会递增。

大部分技术使用的身份号码一般以两种形式存储：韦根和ABA。

韦根格式是以第一次使用的技术命名的，是一种以bit为基础，长度在26到60位之间的格式。

ABA格式，有美国银行业命名，是以数字为基础的，一般应用于信用卡或者使用磁条技术的卡片。

条形码技术条形码是一系列黑色和白色间隔的条纹，这些条纹可以被光学扫描仪器读取。

组织和条纹的宽度由条形码选择的协议决定。

当前有很多不同的协议，但是在安全工业上比较流行的是39码。

有时黑色和白色条纹会有数字标明打印出来，人们可以读取号码而不用扫描仪器。

使用条形码技术的优点是便宜，容易生成凭证，并且容易应用到卡片或其他项目上。

缺点就是因为其便宜易生成凭证而导致该技术容易出现造假，并且光学读卡器有可能存在可靠性的问题而使凭证被脏读。

一种减少造假的方法是使用碳墨油迹打印条形码，然后用一个暗红层覆盖条形码。

条形码可以被光学读取器通过调节红外光谱来进行读取，但这样的条形码却不容易被复制。

但这并不是说条形码就很安全了，他仍可以通过任意打印机从计算机上打印生成的。

磁条技术磁条技术通常被称为mag-stripe，之所以这样命名是因为层压在卡片上磁性氧化物形成的条纹而得名的。

当前有3种关于磁条的数据方式（tracks）。

一般每个方式（tracks）的数据遵循一个特殊的编码标准，对每个方式（tracks）的任意的编码都是可以做到的。

磁卡相对与其他卡片技术便宜且易编程。

磁卡在相同空间内比条形码存储的数据要多。

当然磁卡的生成要比条形码复杂，但读取和磁条的编码技术已经很普遍而且很容易获得。

磁条技术也很容易出现误读，卡片磨损，脏读等现象的影响。

韦根卡技术韦根卡技术是一项专利技术，他战略性的定位，使用嵌入式铁磁电线创建独特格式来生成身份号码。

和磁卡与条形码一样，韦根卡必须通过读卡器和卡的快速接触来读取。

和其他技术不同的是，韦根技术的鉴定介质嵌入到卡片内部而不容易被磨损。

因为该技术复制的复杂性及带给人们的高安全感知，所以该技术曾经很流行。

因为韦根卡的供应资源有限，而感应读卡器具有更好的抗干扰性，和更少的接触性，使得韦根卡正在被感应卡所取代。

感应卡技术一般的感应卡是一个包含微芯片和内嵌天线的塑料卡片。

当卡片放到读卡器的无线区域，能源就会从读卡器释放而激活卡片内的微芯片，这样读卡器和卡片就可以开始进行数据交互了。

当读卡器识别了卡片，就会从卡片中查询到身份信息。

感应卡分为主动卡和被动卡。

主动卡有一个电池给微芯片供电，通常比标准的ISO塑料卡厚。

被动卡完全由读卡器的无线区域供电，它的尺寸小但寿命长。

因为感应读卡器的易用，耐磨，高技术性，所以正在稳步的日益普及。

因为感应卡需要微芯片，无线技术知识，协议实现，所以感应卡很难复制。

此外关系到该技术的另一个问题就是会感应卡会偶尔发现射频干扰。

事实上因为感应卡读取数据很复杂，所以跟随一个有权限访问门的人通过门很容易，这使门卫很难验证一个人是否出示过卡片。

智能卡智能卡分为接触式和非接触式两种。

两种卡都内嵌了微处理器和内存。

智能卡不同于内嵌微芯片的感应卡只提供给读卡器身份数字一种作用。

智能卡中的处理器拥有一个操作系统，可以处理多种应用，如现金卡、预付会员卡、访问控制卡等。

两种职能卡的不同之处是微处理器对外世界的交互方式不同。

接触式智能卡有8种形式的接触，每次接触必须是和读卡器物理接触来进行双方的信息传输。

非接触式智能卡和感应卡一样使用同样的无线技术而不需要频繁用手。

PIN 个人身份号码个人身份号码是属于你知道的而不是你拥有的范围。

个人身份号码通常为由4到8位数字组成。

少于4位的号码很容易被猜出，多余8位很难被记住。

使用个人身份号码作为访问凭证的好处是一旦你记住这个号码，凭证就不会被丢失或遗失。

缺点是对于那些不频繁使用PIN的人很难记住这些号码，同时容易被人偷窥，而使得该号码被未授权的人使用。

个人身份号码甚至不如条形码和磁条卡安全。

计算机安全在计算机安全中，访问控制包含认证，授权和审计。

也包含像物理设备的采用的措施方法，如包括生物扫描，金属锁，隐藏路径，数字证书，加密，社会障碍，人类和自动系统的监控等。

在任意一个访问控制模式中，在系统执行行为操作的实体被称为主体，代表需要控制的访问资源被称为对象。

主体和对象两者都被认为是软件实体而不是人类用户。

人类用户只能通过他们控制的软件实体来影响系统。

尽管一些系统使用用户ID作为主体，以开始该用户默认拥有同样的授权内的所有的处理，这种水平的控制不够严密来满足“最少权限主体”，但是在这样的系统中容易流行恶意软件。

在一些模式里，例如能力对象模式，一些软件实体可以充当主体和对象。

当前系统使用的访问控制倾向于两种类型之一：基于能力的和基于访问控制列表的。

基于能力模式中一个对象拥有不可伪造的证明和能力来访问另一对象（也可以这样理解，你的房屋钥匙能进入那个房间你就拥有那个房间）;到其他地方时，访问的传输是通过在安全通道之上的能力来进行的。