在终端访问控制系统中，主体 (Subject) 是指发起对终端或资源的访问请求的实体。主体可以是用户、用户组、终端设备、程序、服务等。主体通常是主动的，它们提出具体的访问请求。当一个主体试图访问另一个主体时，被访问的主体就成为了客体。主体是终端访问控制系统中的重要组成部分，因为它们是访问请求的发起者，需要对其进行身份认证和授权管理。

客体

客体 (Object) 是终端访问控制系统中被动的实体，它们是被访问的目标。客体可以是信息资源、文件、记录、硬件设备、终端等。客体的访问受到权限管理的控制，只有经过授权的主体才能访问特定的客体。客体是终端访问控制系统的核心保护对象，系统需要对客体进行严格的访问控制，确保只有合法的主体才能访问相应的客体，从而保护企业的关键数据和资产的安全。

控制策略

控制策略 (Attribution) 是终端访问控制系统中的规则集合，它定义了主体对客体的访问权限。面向企业的终端访问控制系统，控制策略通常包括以下几个方面：

终端管控：对终端设备的使用进行管理和控制，如限制终端访问、远程锁定或擦除数据等。
网络准入：控制终端设备接入企业网络的条件和权限，确保只有合法的终端才能访问内部资源。
应用管理：管理和控制终端设备上安装和运行的应用程序，防止恶意软件的入侵。
云端联动：与云端安全服务集成，实现统一的终端管理和安全防护。

控制策略为企业提供了全方位的办公场景安全管理，确保企业数据和资产的安全，提高工作效率。终端访问控制系统根据预先定义的控制策略，对主体和客体的访问请求进行评估和决策，从而实现精细化的访问控制。

访问控制的类型

自主访问控制

自主访问控制是一种终端访问控制系统中的访问控制类型，它允许用户在通过身份验证后，对自己创建的文件、数据表等对象进行访问和管理。在自主访问控制模式下，用户可以自行管理这些内容的权限和控制策略，决定谁有权访问。然而，自主访问控制的安全性较低，因为它容易导致权限的链式传递，从而增加了数据泄露的风险。例如，如果用户 A 将对象的访问权限授予用户 B，而用户 B 又将该权限授予用户 C，那么用户 C 就可以访问用户 A 的对象，这种情况可能会导致意外的数据泄露。因此，在需要较高安全性的环境中，自主访问控制可能不是最佳选择。

强制访问控制

与自主访问控制不同，强制访问控制是由系统根据预先配置的策略来管理用户权限和访问权限。在这种访问控制类型中，系统会对所有资源实施强制访问控制，用户无法改变自身的权限。只有管理员可以制定访问控制策略，决定哪些用户可以访问哪些资源。强制访问控制通常会定义不同的敏感标签，并针对所有用户和资源访问强行执行相应的安全策略。由于权限由系统统一管理，强制访问控制的安全性较高，可以有效防止数据泄露。但同时，它也降低了系统的灵活性，用户无法自主管理权限。

角色访问控制

角色访问控制是一种基于身份的访问控制类型，它通过将权限与角色进行关联来管理用户访问权限。在这种模式下，每个用户根据匹配的不同角色获取对应的权限。例如，在一个企业中，可以为不同的工作岗位（如管理员、开发人员、财务人员等）定义不同的角色，并为每个角色分配相应的资源和权限。用户根据自己的工作职责被分配到不同的角色，从而获得相应的访问权限。基于角色的访问控制可以便于任务分担和文件分级管理，降低了管理成本，同时也提高了企业安全策略的灵活性。它结合了自主访问控制和强制访问控制的优点，在保证一定安全性的同时，也提供了较高的灵活性。

终端访问控制系统的组成部分

终端服务器

终端访问控制系统使用终端服务器将访问控制系统连接到网络。终端服务器是一种设备，可将来自访问控制器的串行数据转换为可通过局域网或广域网传输的数据。

优势

使用终端服务器在访问控制系统中的优势包括：能够利用现有的网络基础设施连接系统的不同部分，并提供了一种便捷的解决方案，当安装 RS-485 线路困难或不可能时。

缺点

然而，使用终端服务器的方法也存在一些缺点。它增加了系统的复杂性，并为安装人员增加了额外的工作，因为通常需要单独配置终端服务器，而不是通过访问控制软件界面进行配置。此外，控制器和终端服务器之间的串行通信链路充当了瓶颈，降低了数据传输速度。

数据传输

终端访问控制系统中，控制器和终端服务器之间的串行通信链路充当了数据传输的瓶颈，从而降低了数据传输速度。这可能会影响系统的整体性能和响应时间。

终端访问控制系统的工作流程

01

终端服务器作为网桥

终端访问控制系统中，终端服务器充当了访问控制控制器与网络之间的桥梁。它能够将来自控制器的串行通信转换为网络通信，从而利用现有的网络基础设施连接访问控制系统的各个部分。这为安装 RS-485 通信线路存在困难或不可能的情况提供了一种便捷的解决方案。

02

增加系统复杂性

然而，这种设置也增加了系统的复杂性。与通过访问控制软件界面进行配置不同，终端服务器需要单独配置。此外，控制器与终端服务器之间的串行通信链路成为了系统的瓶颈，因为高速网络数据必须降低到较低的串行通信速度。

03

利用现有基础设施的权衡

总的来说，终端服务器方法允许利用现有的网络基础设施，但与控制器和访问点之间的直接 RS-485 连接相比，它引入了额外的复杂性和潜在的性能问题。

终端访问控制系统与传统访问控制的区别

系统架构差异

传统的访问控制系统采用串行主控制器直接连接智能或半智能读卡器的架构。这种架构结构简单直观，但整个系统的运行高度依赖于主控制器。一旦主控制器发生故障，整个系统将中断运行。此外，一些低成本的子控制器可能缺乏独立做出访问决策的内存或处理能力，如果主控制器发生故障，系统功能将受到影响。

数据传输性能

在终端访问控制系统中，控制器与终端服务器之间的串行通信链路会成为数据传输速度的瓶颈，从而降低了系统的整体性能。相比之下，传统的访问控制系统架构更为简单，数据传输效率更高。

网络连接灵活性

与传统系统不同，终端访问控制系统利用终端服务器将访问控制系统连接到网络，从而可以利用现有的网络基础设施。这为安装专用 RS-485 通信线路存在困难或不可能的情况提供了一种便捷的解决方案。然而，这也增加了系统的复杂性，因为终端服务器需要独立于访问控制软件进行配置。

总体权衡

总的来说，终端访问控制系统在网络连接方面提供了更大的灵活性，但代价是增加了系统复杂度和潜在的性能问题。而传统的基于串行通信的系统则更加简单，但更容易受到单点故障的影响。

终端访问控制系统的优势

终端访问控制系统的主要优势在于能够利用现有网络基础设施连接系统的各个独立部分，并在安装 RS-485 线路困难或不可能的情况下提供便捷的解决方案。这种系统可以简化由多个远距离分离的站点组成的系统的安装，只需一个基本的互联网连接即可与远程位置建立连接。此外，使用终端服务器可以消除串行通信链路带来的缺点，如瓶颈效应和额外延迟。

终端访问控制系统的安全性保证

终端访问控制系统通过集中管理和控制多个门禁控制器，提供了较高的安全性保证。然而，该系统也存在一些安全风险和缺陷需要注意。首先，尾随风险是一个常见问题，即未经授权的人员跟随合法用户进入受控区域。此外，门禁被强行打开也会带来安全隐患。为降低这些风险，需要加强安全意识培训，采用安全通道设计，并配备门禁监控报警系统。另一方面，终端服务器的引入会增加系统复杂度，给安装调试带来额外工作量，而串行通信链路也可能成为系统瓶颈。因此，在部署终端访问控制系统时，需要全面评估并采取相应的安全防护措施，以确保系统的可靠性和安全性。

终端访问控制系统的应用场景

终端访问控制系统为连接访问控制系统的不同部分提供了便利解决方案，尤其是在安装 RS-485 线路存在困难或不可能的情况下。它们允许利用现有的网络基础设施连接系统的各个部分。然而，终端访问控制系统也增加了系统的复杂性，为安装人员带来了额外的工作，因为终端服务器通常需要独立于访问控制软件界面进行配置。此外，控制器和终端服务器之间的串行通信链路充当了数据传输速度的瓶颈。基于 RS-485 的系统的所有其他缺点也同样适用于终端访问控制系统。

终端访问控制系统的发展历程

终端服务器的引入

在早期阶段，由于访问控制系统制造商保守，未能及时推出支持网络的产品。因此，终端服务器应运而生，作为连接访问控制系统与计算机网络的解决方案。终端服务器允许利用现有的网络基础设施连接访问控制系统的各个独立部分，并为那些难以或无法安装 RS-485 线路的场景提供了便利的解决方案。

系统复杂性增加

然而，采用终端服务器的方式增加了系统的复杂性，给安装人员带来了额外的工作量。因为终端服务器需要独立于访问控制软件界面进行配置。此外，控制器与终端服务器之间的串行通信链路成为了数据传输速度的瓶颈，降低了系统的响应速度。

网络集成的发展

随着时间的推移，访问控制系统制造商意识到了网络集成的重要性，开始推出支持网络的产品。这些产品能够直接连接到计算机网络，无需再依赖终端服务器作为中介。这种直接集成的方式简化了系统架构，提高了数据传输效率，并减轻了安装人员的工作负担。

如何部署终端访问控制系统

终端访问控制系统是一种通过网络连接访问控制设备的解决方案。以下是部署该系统的几个关键步骤：

利用现有网络基础设施

终端服务器可用于连接访问控制系统的不同网段，并利用现有的网络基础设施。当安装 RS-485 线路存在困难或不可能时，这种方式提供了一种便捷的解决方案。

增加系统复杂性

然而，使用终端服务器也增加了系统的复杂性，并为安装人员带来了额外的工作，因为终端服务器通常需要独立于访问控制软件界面进行配置。

引入通信延迟

控制器与终端服务器之间的串行通信链路充当了瓶颈，因为即使网络连接更快，数据也必须降低到串行速度。这引入了系统中的额外延迟。

优缺点类似于 RS-485

使用终端服务器的优缺点与使用 RS-485 通信系统的优缺点类似。需要根据具体情况权衡利弊。

终端访问控制系统的部署策略

终端访问控制系统的部署策略通常涉及利用现有网络基础设施连接不同系统段，从而避免布线困难。这种方式虽然提高了系统复杂性，需要额外配置终端服务器，且控制器与终端服务器之间的串行通信可能会成为瓶颈，但在无法直接铺设 RS-485 线路的情况下，仍然是一种便捷的解决方案。与传统 RS-485 部署相比，采用终端服务器部署终端访问控制系统也具有类似的优缺点。因此，在选择部署策略时，需要权衡系统复杂度、成本和可行性等多方面因素。

终端访问控制系统的管理方式

终端访问控制系统的管理方式涉及利用现有网络基础设施和终端服务器来实现对门禁控制器的访问。这种方式的优势在于可以避免铺设 RS-485 线路的困难，但同时也增加了系统复杂性。安装人员需要单独配置每个终端服务器，且控制器与终端服务器之间的串行通信链路可能会成为系统瓶颈，影响性能。因此，在采用此种管理方式时，需要权衡利弊，评估潜在的性能问题，并妥善管理系统复杂度，以确保终端访问控制系统的高效运行。

终端访问控制系统面临的挑战

终端访问控制系统面临的挑战主要包括以下几个方面：

增加了整体系统的复杂性

终端访问控制系统需要额外的工作来独立配置终端服务器，而不能通过访问控制软件的界面进行配置。这增加了系统的整体复杂性，给安装人员带来了额外的工作负担。

继承了 RS-485 协议的缺陷

终端访问控制系统继承了 RS-485 通信协议的所有缺陷，包括需要适当的终端电阻和接地，以及可连接设备数量的限制等。这些缺陷在一定程度上影响了系统的可靠性和扩展性。

串行通信链路成为瓶颈

控制器与终端服务器之间的串行通信链路的速度通常为 112.5kbit/s 或更低，而主机 PC 与终端服务器之间的数据传输速度则可达 10/100/1000Mbit/s。这种速度差异导致了数据在串行和网络之间转换时产生额外的延迟，成为了整个系统的瓶颈。

亚马逊云科技热门云产品

Amazon EBS

可处理任何规模的高性能数据块存储

Amazon WAF

保护您的 Web 应用程序免受常见 Web 攻击

Amazon S3

专为可从任何位置检索任意数量的数据而构建的对象存储

Amazon ECR

存储和管理 Docker 容器

欢迎加入亚马逊云科技培训中心

从 0 到 1 轻松上手云服务，获取更多官方开发资源及培训教程

快速上手训练营
账单设置与查看
动手实操

快速上手训练营
第一课：亚马逊云科技简介

本课程帮助您初步了解云平台与本地环境的差异，以及亚马逊云科技平台的基础设施和部分核心服务，包括亚马逊云科技平台上的弹性高可用架构，架构设计准则和本地架构迁移上云的基本知识。

亚马逊云科技技术讲师：李锦鸿

了解更多 »

了解更多入门学习计划 »

第二课：存储与数据库服务

您将在本课程中学习到亚马逊云科技上的三个存储服务分别是什么。我们也将在这个模块中为您介绍亚马逊云科技上的关系型数据库服务 Amazon Relational Database Service (RDS)。

亚马逊云科技资深技术讲师：周一川

了解更多 »

第三课：安全、身份和访问管理

在这个模块，您将学习到保护您在亚马逊云科技上构建的应用的安全相关知识，责任共担模型以及身份和访问管理服务， Identity and Access Management (IAM) 。同时，通过讲师演示，您将学会如何授权给 EC2 实例，允许其访问 S3 上的资源。

亚马逊云科技技术讲师：马仲凯

了解更多 »

了解更多入门学习计划 »
账单设置与查看
视频：快速完成税务设置

部署时间：5 分钟

开始教程 »

了解更多入门学习计划 »

视频：账户账单信息

部署时间：3 分钟

开始教程 »

视频：如何支付账单

部署时间：3 分钟

开始教程 »

了解更多入门学习计划 »
动手实操
快速上手云上无服务器化的 MySQL 数据库

本教程将引导您创建一个Aurora Serverless 数据库并且连接上它。

部署时间：10 分钟

开始教程 »

查看更多教程 »

启动一台基于 Graviton2 的 EC2 实例 

本教程将为您讲解如何在云控制台上启动一台基于 Graviton2 的 EC2 实例。

部署时间：5 分钟

开始教程 »

使用 Amazon Systems Manager 进行云资源统一跟踪和管理

在这个快速上手教程中，您将学会如何使用 Amazon Systems Manager 在 Amazon EC2 实例上远程运行命令。

部署时间：10 分钟

开始教程 »

查看更多教程 »