门禁控制方法、系统、装置、电子设备和介质与流程

1.本技术涉及安防技术领域，可用于金融领域，具体地涉及一种门禁控制方法、系统、装置、电子设备、介质和程序产品。


背景技术：

2.目前的门禁技术一般是以实体卡作为通行凭证，门禁控制器通过读取实体卡中的信息，然后联机上送参数，请求云端服务器识别实体卡中的信息以及判断是否具备通行权限，从而获取到实时、准确的结果。但上述方案针对场合单一，且需要依赖于互联网，若互联网服务供应商因故中断通讯服务，那么不仅门禁控制器无法提供最基本的通行服务，而且可能存在区域人群滞留的风险。


技术实现要素：

3.本技术旨在至少解决现有技术中存在的技术问题之一。
4.例如，本技术通过增加本地校验的方式，在互联网受限的情况下还可以利用局域网进行校验，可实现全天不间断的服务，且延迟率低、响应快。
5.为了达到上述目的，本技术的第一个方面提供了门禁控制方法，包括：
6.接收由采集设备采集的凭证信息；
7.根据预设参数判断通行模式，所述通行模式包括优先本地和优先联网；
8.在所述通行模式为优先本地时，先对所述凭证信息利用局域网执行本地校验、再利用互联网执行云端校验，或
9.在所述通行模式为优先联网时，先对所述凭证信息利用互联网执行云端校验、再利用局域网执行本地校验；以及
10.在所述本地校验和所述云端校验中的任一校验结果为成功时，向门禁控制器发出开启指令，其中，所述开启指令适于使所述门禁控制器控制门禁打开。
11.根据本技术的门禁控制方法，门禁前置具有一定判断和决策能力，可针对不同场景的性质进行通行模式的切换，使得门禁控制更加智能化、人性化。另外，增加本地局域网对凭证信息进行校验和权限判断，一方面使得在互联网侧的服务因故中断时，依然能够在离线情况下进行本地校验和判断，实现全天不间断的服务；另一方面由于本地局域网具备响应快、耗时短的特点，可提高通行效率，解决人员滞留问题。
12.进一步地，所述方法还包括：
13.在本地校验和云端校验的校验结果均为失败时，向门禁控制器发出不通过指令。
14.进一步地，在所述通行模式为优先本地时，先对所述凭证信息利用局域网执行本地校验、再利用互联网执行云端校验，包括：
15.将所述凭证信息与本地数据库的通行权限信息进行比对校验，并生成第一校验结果；
16.在所述第一校验结果为失败时，利用互联网将所述凭证信息发送到云端服务器；
以及
17.接收所述云端服务器的第二校验结果，其中，所述第二校验结果是通过所述凭证信息与所述云端服务器的通行权限信息比对后得到的。
18.进一步地，在所述通行模式为优先联网时，先对所述凭证信息利用互联网执行云端校验、再利用局域网执行本地校验，包括：
19.利用互联网将所述凭证信息发送到云端服务器；
20.接收所述云端服务器的第三校验结果，其中，所述第三校验结果是通过所述凭证信息与所述云端服务器的通行权限信息比对后得到的；以及
21.在所述第三校验结果为失败时，将所述凭证信息与本地数据库的通行权限信息进行比对校验，并生成第四校验结果。
22.进一步地，利用互联网将所述凭证信息发送到云端服务器，包括：
23.将所述凭证信息转换为报文；
24.对所述报文进行加密处理，生成密钥文件；以及
25.利用互联网将所述密钥文件发送到云端服务器。
26.进一步地，所述方法还包括：
27.与所述云端服务器协商密钥明文，所述密钥明文用于加密所述报文。
28.进一步地，与所述云端服务器协商密钥明文，所述密钥明文用于加密所述报文，包括：
29.生成公钥，并将所述密钥明文进行加密；
30.向所述云端服务器发送已加密的所述密钥明文；以及
31.接收由所述云端服务器发送的成功凭证，其中，所述成功凭证是由所述云端服务器通过私钥对所述已加密的密钥明文成功解密后保存并生成的，所述公钥和所述私钥的算法相同。
32.进一步地，所述方法还包括：
33.对采集的所述凭证信息进行特征提取或解析；以及
34.在特征提取或解析失败时，向所述采集装置发送重新采集指令。
35.进一步地，所述凭证信息包括面部特征信息、二维码信息、身份证信息或ic卡信息。
36.进一步地，所述方法还包括：
37.定时获取所述预设参数；以及
38.定时同步所述云端服务器的通行权限信息和所述本地数据库的通行权限信息。
39.本技术第二方面提供了门禁控制方法，包括：
40.采集设备采集凭证信息；
41.所述采集设备将所述凭证信息发送给前置设备；
42.响应于所述采集设备，所述前置设备根据预设参数判断通行模式，所述通行模式包括优先本地和优先联网；
43.所述前置设备在所述通行模式为优先本地时，先对所述凭证信息利用局域网执行本地校验、再利用互联网执行云端校验，或
44.在所述通行模式为优先联网时，先对所述凭证信息利用互联网执行云端校验、再
利用局域网执行本地校验；以及
45.在所述本地校验和所述云端校验中的任一校验结果为成功时，所述前置设备向门禁控制器发出开启指令；以及
46.所述门禁控制器响应于所述开启指令，控制门禁打开。
47.本技术第三方面提供了一种门禁控制系统，包括：前置设备；采集设备，所述采集设备设置在门禁周围，适于采集凭证信息，所述采集设备通过局域网与所述前置设备通信连接；门禁控制器，所述门禁控制器设置在所述门禁上，所述门禁控制器与所述采集设备通过局域网通信连接；云端服务器，所述云端服务器与所述前置设备通过互联网通信连接，其中，所述前置设备用于：接收由采集设备采集的凭证信息；根据预设参数判断通行模式，所述通行模式包括优先本地和优先联网；在所述通行模式为优先本地时，先对所述凭证信息利用局域网执行本地校验、再利用互联网执行云端校验，或在所述通行模式为优先联网时，先对所述凭证信息利用互联网执行云端校验、再利用局域网执行本地校验；以及在所述本地校验和所述云端校验中的任一校验结果为成功时，向门禁控制器发出开启指令，其中，所述开启指令适于使所述门禁控制器控制门禁打开。
48.本技术第四方面提供了一种门禁控制装置，包括：接收模块，所述接收模块用于接收由采集设备采集的凭证信息；判断模块，所述判断模块用于：根据预设参数判断通行模式，所述通行模式包括优先本地和优先联网；执行模块，所述执行模块用于：在所述通行模式为优先本地时，先对所述凭证信息利用局域网执行本地校验、再利用互联网执行云端校验，或在所述通行模式为优先联网时，先对所述凭证信息利用互联网执行云端校验、再利用局域网执行本地校验；以及输出模块，所述输出模块用于：所述在所述本地校验和所述云端校验中的任一校验结果为成功时，向门禁控制器发出开启指令，其中，所述开启指令适于使所述门禁控制器控制门禁打开。
49.本技术的第五方面提供了一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得一个或多个处理器执行上述的方法。
50.本技术的第六方面还提供了一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行上述的方法。
51.本技术的第七方面还提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述的方法。
附图说明
52.通过以下参照附图对本技术实施例的描述，本技术的上述内容以及其他目的、特征和优点将更为清楚，在附图中：
53.图1示意性示出了根据本技术实施例的门禁控制方法和门禁控制系统的应用场景图；
54.图2示意性示出了根据本技术实施例的门禁控制系统中各设备与现有技术布置的差异示意图；
55.图3示意性示出了根据本技术实施例门禁控制方法中单个执行主体的步骤图；
56.图4示意性示出了根据本技术实施例执行优先本地的步骤图；
57.图5示意性示出了根据本技术实施例执行优先联网的步骤图；
58.图6示意性示出了根据本技术实施例发送到云端校验的步骤图；
59.图7示意性示出了根据本技术实施例门禁控制方法中多个执行主体的流程图；
60.图8示意性示出了根据本技术实施例前置设备与云端服务器协商加密方式的流程图；
61.图9示意性示出了根据本技术实施例中多个执行主体执行优先本地的流程图；
62.图10示意性示出了根据本技术实施例中多个执行主体执行优先联网的流程图；
63.图11示意性示出了根据本技术实施例门禁控制方法的程序流程图；
64.图12示意性示出了根据本技术实施例的门禁控制装置的结构框图；以及
65.图13示意性示出了根据本技术实施例的适于实现门禁控制方法的电子设备的方框图。
具体实施方式
66.以下，将参照附图来描述本技术的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本技术的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本技术实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本技术的概念。
67.在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本技术。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
68.在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。
69.在使用类似于“a、b和c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b和c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。
70.随着社会的发展，对于特定区域划分的越来越多，而门禁系统作为进入特定区域的一道重要关卡，已经成为区域安全保障的重要组成部分。
71.目前的门禁技术一般是以实体卡作为通行凭证，门禁控制器通过读取实体卡中的信息，然后联机上送参数，请求云端服务器识别实体卡中的信息以及判断是否具备通行权限，从而获取到实时、准确的结果。本方案采用的门禁控制器与云端服务器的“端+云”的互联网模式结构，结构单一，由于互联网响应较慢、延时率较高的特点，不适用于人流量较大、用户数据更替慢的场景中。假如互联网服务供应商因故中断通讯服务，不仅门禁控制器无法提供最基本的通行服务，而且可能存在区域人群滞留的风险。
72.本技术提供一种门禁控制方法，其中包括前置设备。前置设备内安装有相关的前置程序，可将门禁控制器的运算以及云端服务器中的部分运算集中在此相关程序中，有利于减轻门禁控制器和云端服务器集中运算的负担。前置设备具备两种通行模式，可针对不
同的场合进行切换，选择优先本地或者优先联网，使得门禁控制更加智能化、人性化。另外，由于本技术中增加了通过局域网本地校验的过程，在无互联网服务的情况下也可以使用，增加了门禁控制器的使用率和适用范围。
73.需要说明的是，本技术门禁控制方法和系统适用于金融领域，例如，政府机构、金融机构的门禁管理等，也可用于除金融领域之外任意领域中的有关门禁管理的场所，本技术对门禁控制方法和系统的应用领域不做限定。
74.在本技术的技术方案中，所涉及的用户个人信息的获取、存储和应用等(例如凭证信息的获取、同步和应用)，均符合相关法律法规的规定，采取了必要保密措施，且不违背公序良俗。
75.图1示意性示出了根据本技术实施例的门禁控制方法和门禁控制系统的应用场景图。
76.如图1所示，根据该实施例的应用场景100可以包括采集设备101、门禁控制器102、前置设备103和云端服务器104。局域网111用以在采集设备101、门禁控制器102和前置设备103之间提供通信链路的介质，互联网112用以在前置设备103和云端服务器104之间提供通信链路的介质，其中，互联网112可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。
77.采集设备101可以获取用户的面部特征信息、与用户个人信息相关联的二维码信息、用户身份证信息或与用户个人信息相关联的ic卡信息。采集设备101将采集的凭证信息通过局域网111发送到前置设备103，选择优先联网通过互联网112与云端服务器104交互校验结果、或者选择优先本地直接执行校验并生成校验结果，最后再通过局域网111将云端服务器104产生的校验结果或前置设备103产生的校验结果反馈给门禁控制器102，门禁控制器102控制门禁开启或保持关闭。
78.图2示意性示出了根据本技术实施例的门禁控制系统中各设备与现有技术布置的差异示意图。
79.如图2所示，采集设备101作为终端设备，可以为摄像头、二维码读取装置或读卡器等，也可以同时设置有上述设备，以可选地方式提供给用户。
80.前置设备103内装有前置设备处理程序，可将本地校验时在门禁控制器内处理和决策的指令上移到前置设备103内，为本地校验提供充沛的计算能力，实现快速相应服务；同时还具备可选择的功能，在选择云端校验时，可将云端服务器的部分运算集中下沉到前置设备处理程序中(例如在前置设备内解析面部特征等凭证信息)，可缓解云端服务器104以及门禁控制器102集中运算的负担。
81.云端服务器104可对前置设备103上传的凭证信息进行接收、分析等处理，并将处理结果(例如将凭证信息的校验结果)反馈给前置设备103。
82.现有技术中的门禁控制器还具备计算能力和发出指令的能力，本技术中的门禁控制器102仅用来控制门禁，将处理功能以及发出指令的功能统一上移到前置设备103。门禁控制器102根据前置设备103下发的开启指令开启门禁、或者根据前置设备103下发的不通过指令保持门禁的关闭状态。
83.需要说明的是，本技术实施例中所提供的门禁控制方法可以由前置设备103执行。相应地，本技术实施例中所提供的门禁控制系统可以设置于前置设备103的前置设备处理
程序中。
84.应该理解，图1和图2中的采集设备、前置设备、门禁控制器和云端服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的采集设备、前置设备、门禁控制器和云端服务器。
85.以下将基于图1描述的场景，通过图3～图10对申请实施例的门禁控制方法进行详细描述。
86.图3示意性示出了根据本技术实施例门禁控制方法中单个执行主体的步骤图。
87.如图3所示，该实施例是以前置设备为执行主体并与其他设备进行的交互，包括操作s210～操作s240。
88.在操作s210，接收由采集设备采集的凭证信息。
89.凭证信息可以理解为，是在某一个特定区域有权通行的证明，可以是以用户为单一对象，通过采集用户的面部特征、身体特征、绑定用户个人信息的设备、代表用户个人身份的证件信息等等。
90.在本技术中，凭证信息可以包括面部特征信息、二维码信息、身份证信息或ic卡信息。
91.上述的凭证信息均由采集设备采集，采集设备可以根据不同种类的凭证，搭配使用对应的采集设备。例如，在对用户的面部特征或身体特征进行采集时，采集设备可以为摄像头；在对身份证或ic卡进行采集读取时，采集设备可以为读卡器；在对二维码进行读取时，采集设备可以为二维码扫描器。
92.多种采集设备可以提供给用户多种选择，使得门禁控制方法以及门禁控制系统使用更加普及。本技术中提供多种采集设备，一方面可以实现无接触通行，避免交叉感染，保障用户的健康；另一方面，通过面部特征、身体特征和二维码的凭证，相对于实体卡不易被盗用、遗失，有利于增强场所的安全性。
93.在操作s220，根据预设参数判断通行模式，通行模式包括优先本地和优先联网。
94.门禁系统适用于多种场所，场所的性质不同，侧重点也会有区别。
95.例如，学校在采用门禁系统时，由于需要采集的用户相对稳定，师生不会在短时间内持续、经常发生变化，且因上学和放学的时间点固定，在上学和放学时会有大量的人群涌入或流出，需要门禁系统具备通行效率高、响应速度快的特点。
96.再例如，机场在采用门禁系统时，由于需要采集的用户流动性很大，旅客经常更替但流量不会太大，因此更注重的是门禁系统的实时性和准确性。
97.而目前生活中，门禁系统较为单一，仅具备本地或云端中的一种处理方式，且不能切换模式，管理者只能根据需求购买相应的门禁系统。
98.针对目前门禁系统中的缺陷，本技术的前置设备内安装有前置程序，前置程序可获取管理者提权设置的预设参数，然后根据预设参数确定采用优先本地的方式控制门禁还是采用优先联网的方式控制门禁。
99.优先联机可理解为，前置设备优先将凭证信息上送到云端服务器进行凭证校验和权限判断，在云端校验失败的前提下，再通过前置设备再次在本地进行凭证校验和权限判断。优先本地与优先联机的执行步骤相反，优先本地可理解为，前置设备优先在本地进行凭证校验和权限判断，在本地校验失败的前提下，前置设备再将凭证信息上送到云端服务器
进行凭证校验和权限判断。
100.在操作s230，在通行模式为优先本地时，先对凭证信息利用局域网执行本地校验、再利用互联网执行云端校验，或在通行模式为优先联网时，先对凭证信息利用互联网执行云端校验、再利用局域网执行本地校验。
101.云端数据库实时性强、拥有最全的数据，可在不同的地方与云端服务器进行交互，在云端服务器的云端数据库内存入或删除用户的凭证信息，因此得到的通行权限和校验结果是最准确的。但由于在凭证信息传输过程中，需要依赖于互联网，互联网的信号强弱以及响应速度与服务基站和供应商有绝大关系，在断网时，云端校验将无法使用。
102.本地数据库运用的是局域网，因此延时低、请求和响应的速度快，门禁系统可以独立运行，不会存在断网不能使用的问题。但由于不需要互联网，仅能在本地进行录入或删除用户的凭证信息，通过读取本地数据库中的凭证信息进行本地校验，录入的信息具有局限性，导致实时性较差。
103.为了在离线状态下门禁系统不会失效，本技术将云端校验与本地校验相结合，在无网络的环境下，也可以执行用户的权限校验。
104.进一步地，根据应用的场所不同，本技术的提供了两种通行模式：一种为先对凭证信息利用局域网执行本地校验、再利用互联网执行云端校验的模式，可用于人数较多、要求通行率较高的场所，例如，学校、工厂园区等；另一种为先对凭证信息利用互联网执行云端校验、再利用局域网执行本地校验的模式，可用于要求实时性高、管理性较强的场所，例如，机场、政府机构、金融机构等。
105.优先本地和优先联网的步骤如图4和图5所示，在此不再展开说明。
106.在操作s240，在本地校验和云端校验中的任一校验结果为成功时，向门禁控制器发出开启指令，其中，开启指令适于使门禁控制器控制门禁打开。
107.不论是哪种通行模式，在本地校验的校验结果为成功、或在云端校验的校验结果为成功时，可认为提供凭证信息的用户是有权通过门禁的，前置设备向门禁控制器发出开启指令，允许该用户通过。
108.当然，在本地校验的校验结果为失败、同时云端校验的校验结果也为失败时，前置设备向门禁控制器发出不通过指令，门禁将保持关闭状态，用户无法通过门禁。
109.根据本技术的门禁控制方法，门禁前置具有一定判断和决策能力，可针对不同场景的性质进行通行模式的切换，使得门禁控制更加智能化、人性化。另外，增加本地局域网对凭证信息进行校验和权限判断，一方面使得在互联网侧的服务因故中断时，依然能够在离线情况下进行本地校验和判断，实现全天不间断的服务；另一方面由于本地局域网具备响应快、耗时短的特点，可提高通行效率，解决人员滞留问题。
110.图4示意性示出了根据本技术实施例执行优先本地的步骤图。
111.如图4所示，该实施例是以前置设备为执行主体并与云端服务器进行的交互，包括操作s310～操作s330。
112.在操作s310，将凭证信息与本地数据库的通行权限信息进行比对校验，并生成第一校验结果。
113.前置设备内存有本地数据库，前置设备通过局域网接收到凭证信息后，在本地数据库的通行权限信息中查询是否存在凭证信息，并将查询结果生成第一校验结果。
114.可以理解的是，第一校验结果包括成功和失败。在第一校验结果为成功时，执行操作s240，在第一校验结果为失败时，执行操作s320。
115.在操作s320，在第一校验结果为失败时，利用互联网将凭证信息发送到云端服务器。
116.为了防止本地数据库中的通行权限信息未能及时同步而发生错误的情况，在本地校验失败时，前置设备将凭证信息发送到云端服务器，进行二次校验。
117.在操作s330，接收云端服务器的第二校验结果，其中，第二校验结果是通过凭证信息与云端服务器的通行权限信息比对后得到的。
118.为了减少云端服务器的计算，本技术中，云端服务器仅提供校验功能，云端服务器的部分计算下沉到前置设备内，即，下发开启指令和不通过指令的仅为前置设备。
119.云端服务器在比对通行权限信息后，将第二校验结果发送给前置设备，前置设备根据第二校验结果向门禁控制器发送开启指令或不通过指令。
120.可以理解的是，第二校验结果包括成功和失败。在第二校验结果为成功时，执行操作s240前置设备向门禁控制器发送开启指令；在第二校验结果为失败时，前置设备向门禁控制器发送不通过指令。
121.图5示意性示出了根据本技术实施例执行优先联网的步骤图。
122.如图5所示，该实施例是以前置设备为执行主体并与云端服务器进行的交互，包括操作s410～操作s430。
123.在操作s410，利用互联网将凭证信息发送到云端服务器。
124.考虑到实时性，先将凭证信息进行云端校验。
125.在操作s420，接收云端服务器的第三校验结果，其中，第三校验结果是通过凭证信息与云端服务器的通行权限信息比对后得到的。
126.云端服务器在比对通行权限信息后，将第三校验结果发送给前置设备，前置设备根据第三校验结果向门禁控制器发送开启指令或不通过指令。
127.可以理解的是，第三校验结果包括成功和失败。在第三校验结果为成功时，执行操作s240，在第三校验结果为失败时，执行操作s430。
128.在操作s430，在第三校验结果为失败时，将凭证信息与本地数据库的通行权限信息进行比对校验，并生成第四校验结果。
129.为了防止云端服务器中的通行权限信息未能及时同步而发生错误的情况，在云端校验失败时，前置设备在本地进行二次校验。
130.前置设备在本地数据库的通行权限信息中查询是否存在凭证信息，并将查询结果生成第四校验结果。
131.可以理解的是，第四校验结果包括成功和失败。在第四校验结果为成功时，执行操作s240前置设备向门禁控制器发送开启指令；在第四校验结果为失败时，前置设备向门禁控制器发送不通过指令。
132.图6示意性示出了根据本技术实施例发送到云端校验的步骤图。
133.如图6所示，该实施例是以前置设备为执行主体并与云端服务器进行的交互。
134.目前门禁通过云端服务器校验时，通常将凭证信息直接通过互联网发送到云端服务器中，而互联网传输信息极其不安全，普遍存在截取、泄露等风险，所以基于以上考虑，在
前端装置向云端服务器发送凭证信息之前，需要先对凭证信息进行加密处理，以增强安全性，包括操作s510～操作s530。
135.在操作s510，将凭证信息转换为报文。
136.在操作s520，对报文进行加密处理，生成密钥文件。
137.在操作s530，利用互联网将密钥文件发送到云端服务器。
138.可以理解的是，在前端装置向云端服务器发送凭证信息之前，读取已与云端服务器协商好的密钥(例如3des密钥)，然后对报文进行加密处理(3des加密)，再利用互联网将处理后的凭证信息发送到云端服务器。协商方式可参考图8以及操作s710-操作s740。
139.需要注意的是，由于局域网与互联网的性质不同，局域网的安全系数较高，因此基于响应速度更快的考虑，在利用局域网的传输过程中，不再进行加密处理。例如，采集设备在将凭证信息发送给前置设备时，不会对凭证信息进行加密处理。
140.当然，在使用云端校验之前，前置设备需要先与云端服务器协商解密方式。即，前置设备与云端服务器协商密钥明文，密钥明文用于加密报文，包括：生成公钥，并将密钥明文进行加密；向云端服务器发送已加密的密钥明文；以及接收由云端服务器发送的成功凭证，其中，成功凭证是由云端服务器通过私钥对已加密的密钥明文成功解密后保存并生成的，公钥和私钥的算法相同。具体过程可参考图8以及操作s710-操作s740。
141.根据本技术的一个实施例，门禁控制方法还包括：对采集的凭证信息进行特征提取或解析；以及在特征提取或解析失败时，向采集装置发送重新采集指令。
142.由于采集的凭证信息存在差异，可针对不同种类的凭证信息进行不同的解析或处理。例如，在凭证信息为面部特征信息时，可调用前置程序内置的面部特征提取方法，对面部图像数据进行提取解析。再例如，在凭证信息是二维码信息时，可调用前置程序内置的二维码解析方法，分析出二维码蕴含的用户信息。又例如，在凭证信息是身份证信息或ic卡的信息时，可直接读取身份证号码或ic卡号码。
143.根据本技术的一个实施例，门禁控制方法还包括：定时获取预设参数；以及定时同步云端服务器的通行权限信息和本地数据库的通行权限信息。
144.在前置程序内设置定时任务，定时任务为：定时获取预设参数、定时同步云端服务器的通行权限信息到本地数据库以及定时向云端服务器上送已存在本地数据库的通行权限信息。
145.云端服务器与本地数据库的同步过程、以及定向选择未被同步过的通行权限信息属于本领域公知的技术，在此不再展开。
146.图7示意性示出了根据本技术实施例门禁控制方法中多个执行主体的流程图。
147.如图7所示，该实施例是以采集设备、前置设备、云端服务器和门禁控制器为执行主体，多个执行主体进行的交互的流程，包括操作s610～操作s660。
148.在操作s610，采集设备采集凭证信息。
149.采集设备可以根据不同种类的凭证，搭配使用对应的采集设备。例如，在对用户的面部特征或身体特征进行采集时，采集设备可以为摄像头；在对身份证或ic卡进行采集读取时，采集设备可以为读卡器；在对二维码进行读取时，采集设备可以为二维码扫描器。
150.多种采集设备可以提供给用户多种选择，使得门禁控制方法以及门禁控制系统使用更加普及。本技术中提供多种采集设备，一方面可以实现无接触通行，避免交叉感染，保
障用户的健康；另一方面，通过面部特征、身体特征和二维码的凭证，相对于实体卡不易被盗用、遗失，有利于增强场所的安全性。
151.采集设备持续监听门禁周围的信息状态，在用户靠近时自动捕获凭证信息。
152.在操作s620，采集设备将凭证信息发送给前置设备。
153.在本技术中，不排除云端服务器和前置设备同时服务多个门禁的可能性，即云端服务器和前置设备对应多个门禁控制器，可同时为多个场所提供通行服务。因此在采集设备将凭证信息发送给前置设备的同时，需要发送采集设备的物理位置信息，使得云端服务器和前置设备可以根据物理位置信息找到与该场所相对应的通行权限信息。
154.采集设备在采集凭证信息后，按照规则将凭证信息组装成格式报文，与自身的物理位置信息一起打包，通过局域网的方式发送到前置设备。
155.在操作s630，响应于采集设备，前置设备根据预设参数判断通行模式，通行模式包括优先本地和优先联网。
156.本操作可参考上述的操作s210和操作s220，在此不再赘述。
157.在操作s640，前置设备在通行模式为优先本地时，先对凭证信息利用局域网执行本地校验、再利用互联网执行云端校验，或在通行模式为优先联网时，先对凭证信息利用互联网执行云端校验、再利用局域网执行本地校验。
158.本操作可参考上述的操作s230，在此不再赘述。
159.在操作s650，在本地校验和云端校验中的任一校验结果为成功时，前置设备向门禁控制器发出开启指令。
160.本操作可参考上述的操作s240，在此不再赘述。
161.在操作s660，门禁控制器响应于开启指令，控制门禁打开。
162.根据本技术的门禁控制方法，门禁前置具有一定判断和决策能力，可针对不同场景的性质进行通行模式的切换，使得门禁控制更加智能化、人性化。另外，增加本地局域网对凭证信息进行校验和权限判断，一方面使得在互联网侧的服务因故中断时，依然能够在离线情况下进行本地校验和判断，实现全天不间断的服务；另一方面由于本地局域网具备响应快、耗时短的特点，可提高通行效率，解决人员滞留问题。
163.图8示意性示出了根据本技术实施例前置设备与云端服务器协商加密方式的流程图。
164.如图8所示，该实施例是以前置设备和云端服务器为执行主体进行的交互的流程，包括操作s710～操作s740。
165.在操作s710，前置设备生成公钥，并将密钥明文进行加密。
166.在操作s720，前置设备向云端服务器发送已加密的密钥明文。
167.在操作s730，云端服务器通过私钥对已加密的密钥明文进行解密。
168.在操作s740，在云端服务器解密成功后，保存密钥明文并向前置设备发送成功凭证，其中，公钥和私钥的算法相同。
169.在一个实施例中，前置程序启动初始化时，根据前置设备提前内置的rsa公钥对内置的3des密钥明文进行加密，并将加密后的3des密钥明文上送云端服务器。云端服务器收到3des密钥明文通过rsa私钥解密成功后，将3des密钥明文保存，并向前置设备发送成功凭证。此时前置设备与云端服务器协商3des密钥成功，3des密钥将用于加密前置设备向云端
服务器传输的报文信息。
170.需要注意的是，前置设备与云端服务器协商的加密方式通常是在前置程序刚启动时执行的操作，仅协商一次即可，也就是说，在与云端服务器协商完成后直到下次重新启动的期间，不再执行操作s710-操作s740。
171.为了更清晰的解释说明本技术中优先本地和优先联机的步骤流程，对图4和图5中的步骤图做补充，下述图9和图10将以多个执行主体的方式展开说明。
172.图9示意性示出了根据本技术实施例中多个执行主体执行优先本地的流程图。
173.如图9所示，该实施例是以前置设备和云端服务器为执行主体进行的交互的流程，包括操作s810～操作s860。
174.在操作s810，前置设备将凭证信息与本地数据库的通行权限信息进行比对校验，并生成第一校验结果。
175.在操作s820，前置设备在检测到第一校验结果为失败时，利用密钥明文将凭证信息进行加密处理。
176.在操作s830，前置设备通过互联网将凭证信息发送到云端服务器。
177.在操作s840，响应于前置设备，云端服务器对加密处理的凭证信息进行解密。
178.在操作s850，云端服务器将凭证信息与云端服务器的通行权限信息进行比对校验，并生成第二校验结果。
179.在操作s860，云端服务器将第二校验结果发送到前置设备。
180.以用户的凭证信息、采集设备信息以及采集设备的物理位置信息为依据，查询本地数据库中的通行权限信息，若存在有效的通行权限记录，则该用户拥有通行当前区域的权限，前置设备组织成功报文并发送给门禁控制器；否则，视为用户不能通行前方区域，前置设备组织失败报文，并利用3des密钥对凭证信息、采集设备信息以及采集设备的物理位置信息进行加密。通过互联网发送到云端服务器后，云端服务器对已协商的3des密钥进行解密，并在云端数据库中进行查询，最后，将第二校验结果的报文直接返回给前置程序的结果处理层，前置程序的结果处理层根据第二校验结果向门禁控制器发出开启指令或不通过指令。
181.图10示意性示出了根据本技术实施例中多个执行主体执行优先联网的流程图。
182.如图10所示，该实施例是以前置设备和云端服务器为执行主体进行的交互的流程，包括操作s910～操作s960。
183.在操作s910，前置设备利用密钥明文将凭证信息进行加密处理。
184.在操作s920，前置设备通过互联网将凭证信息发送到云端服务器；
185.在操作s930，响应于前置设备，云端服务器对加密处理的凭证信息进行解密。
186.在操作s940，云端服务器将凭证信息与云端服务器的通行权限信息进行比对校验，并生成第三校验结果。
187.在操作s950，云端服务器将第三校验结果发送到前置设备。
188.在操作s960，前置设备在检测到第三校验结果为失败时，将凭证信息与本地数据库的通行权限信息进行比对校验，并生成第四校验结果。
189.利用3des密钥对凭证信息、采集设备信息以及采集设备的物理位置信息进行加密，并通过互联网发送到云端服务器，云端服务器对已协商的3des密钥进行解密，并在云端
数据库中进行查询，然后将第三校验结果的报文直接返回给前置程序的结果处理层。前置程序的结果处理层对第三校验结果的报文进行分析，若为比对成功的报文，则组织成功报文并发送给门禁控制器；若为比对失败的报文，前置设备会以用户的凭证信息、采集设备信息以及采集设备的物理位置信息为依据，查询本地数据库中的通行权限信息，并在前置程序的结果处理层中输出第四校验结果。前置设备根据第四校验结果向门禁控制器发出开启指令或不通过指令。
190.图11示意性示出了根据本技术实施例门禁控制方法的程序流程图，图中示出了门禁控制方法的判断逻辑和流程。
191.在操作s1001，采集设备监听用户，并采集用户的凭证信息。
192.在操作s1002，采集设备向前置设备上传凭证信息。
193.在操作s1003，前置设备判断凭证信息类型。
194.在操作s1004，在凭证信息为面部特征信息时，提取面部特征；在凭证信息为二维码信息时，解析二维码；在凭证信息为身份证信息或ic卡信息时，提取号码。
195.在操作s1005，前置设备判断解析过程是否成功。
196.在操作s1006，在成功时前置设备判断当前执行的通行模式，否则返回操作s1001。
197.在优先本地时，执行操作s1007-操作s1023；在优先联网时，先执行操作s1016-操作s1023、再执行操作s1007-操作s1015。
198.在操作s1007，核实后，凭证信息与本地数据库的通行权限信息进行比对校验。
199.在操作s1008，判断是否为有效权限。
200.在操作s1009，在为有效权限时，前置设备组装成功报文，并发送到前置设备的处理层。
201.在操作s1010，在为无效权限时，前置设备组装失败报文，并发送到前置设备的处理层。
202.在操作s1011，前置设备的处理层判断报文结果。
203.在操作s1012，在成功时，向门禁控制器发送开启指令。
204.在操作s1013，在失败时，判断校验次数。
205.在操作s1014，在校验次数为一次时，核实进行的通行模式。
206.在操作s1015，在校验次数为两次时，向门禁控制器发送不通过指令。
207.在操作s1016，前置设备将凭证信息进行加密处理，并发送云端服务器。
208.在操作s1017，云端服务器解密后将凭证信息与云端服务器的通行权限信息进行比对校验。
209.在操作s1018，将校验结果发送到前置设备的结果处理层。
210.需要注意的是，操作s1019-操作s1023与操作s1011-操作s1015完全相同，图中为合并后展现的流程图，为了防止标记混乱未对操作s1019-操作s1023做标记，在图中仅注明在操作s1018后流程回到操作s1011，合并后的效果与未合并的效果相同，不影响过程的体现。
211.在操作s1019，前置设备的处理层判断报文结果。
212.在操作s1020，在成功时，向门禁控制器发送开启指令。
213.在操作s1021，在失败时，判断校验次数。
214.在操作s1022，在校验次数为一次时，核实进行的通行模式。
215.在操作s1023，在校验次数为两次时，向门禁控制器发送不通过指令。
216.结合图1和图2，本技术实施例中的门禁控制系统，包括：前置设备、采集设备、门禁控制器和云端服务器。
217.采集设备设置在门禁周围，适于采集凭证信息，采集设备通过局域网与前置设备通信连接。门禁控制器设置在门禁上，门禁控制器与采集设备通过局域网通信连接。云端服务器与前置设备通过互联网通信连接。
218.在目前已使用门禁系统中，可以通过增加相应的硬件(例如摄像头、二维码扫描器)从而实现门禁控制器在硬件方面的功能扩展，增加的硬件可以根据通行区域的特点进行选择，并将硬件安装到合适的位置。
219.前置设备可以为在本地区域部署的电脑或服务器，在该前置设备内安装前置程序和本地数据库，本地数据库中存放有权通行的用户的凭证信息。根据通行区域的网络部署情况，在接入互联网服务入口的位置增设前置设备，门禁控制器与前置设备接入局域网，前置设备具备访问网络能力并接入互联网，从而获得访问云端服务器的能力。
220.根据本技术的门禁控制系统，前置设备、采集设备、门禁控制器和云端服务器与网络构成“终端+边侧(前置设备)+云”三层结构，通过抓取多种凭证信息，并在本地或者云端校验凭证信息和判断权限，从而实现24小时连续的通行服务。
221.通过上述门禁控制系统，其中的前置设备可用于：
222.接收由采集设备采集的凭证信息；
223.根据预设参数判断通行模式，通行模式包括优先本地和优先联网；
224.在通行模式为优先本地时，先对凭证信息利用局域网执行本地校验、再利用互联网执行云端校验，或
225.在通行模式为优先联网时，先对凭证信息利用互联网执行云端校验、再利用局域网执行本地校验；以及
226.在本地校验和云端校验中的任一校验结果为成功时，向门禁控制器发出开启指令，其中，开启指令适于使门禁控制器控制门禁打开。
227.基于上述门禁控制方法，本技术还提供了一种门禁控制装置。以下将结合图12对该装置进行详细描述。
228.图12示意性示出了根据本技术实施例的门禁控制装置的结构框图。
229.如图12所示，该实施例的门禁控制装置1100包括接收模块1110、判断模块1120、执行模块1130和输出模块1140。
230.接收模块1110用于接收由采集设备采集的凭证信息。在一个实施例中，接收模块1110可以用于执行前文描述的操作s210，在此不再赘述。
231.判断模块1120用于：根据预设参数判断通行模式，通行模式包括优先本地和优先联网。在一个实施例中，判断模块1120可以用于执行前文描述的操作s220，在此不再赘述。
232.执行模块1130用于：在通行模式为优先本地时，先对凭证信息利用局域网执行本地校验、再利用互联网执行云端校验，或在通行模式为优先联网时，先对凭证信息利用互联网执行云端校验、再利用局域网执行本地校验。在一个实施例中，执行模块1130可以用于执行前文描述的操作s230，在此不再赘述。
233.输出模块1140用于：在本地校验和云端校验中的任一校验结果为成功时，向门禁控制器发出开启指令，其中，开启指令适于使门禁控制器控制门禁打开。在一个实施例中，输出模块1140可以用于执行前文描述的操作s240，在此不再赘述。
234.根据本技术的门禁控制装置，设置在门禁控制系统的前置设备中，可以执行上述的门禁控制方法。门禁前置具有一定判断和决策能力，可针对不同场景的性质进行通行模式的切换，使得门禁控制更加智能化、人性化。另外，增加本地局域网对凭证信息进行校验和权限判断，一方面使得在互联网侧的服务因故中断时，依然能够在离线情况下进行本地校验和判断，实现全天不间断的服务；另一方面由于本地局域网具备响应快、耗时短的特点，可提高通行效率，解决人员滞留问题。
235.根据本技术的实施例，接收模块1110、判断模块1120、执行模块1130和输出模块1140中的任意多个模块可以合并在一个模块中实现，或者其中的任意一个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。根据本技术的实施例，接收模块1110、判断模块1120、执行模块1130和输出模块1140中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，接收模块1110、判断模块1120、执行模块1130和输出模块1140中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。
236.图13示意性示出了根据本技术实施例的适于实现门禁控制方法的电子设备的方框图。
237.如图13所示，根据本技术实施例的电子设备1200包括处理器1201，其可以根据存储在只读存储器(rom)1202中的程序或者从存储部分1208加载到随机访问存储器(ram)1203中的程序而执行各种适当的动作和处理。处理器1201例如可以包括通用微处理器(例如cpu)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(asic))等等。处理器1201还可以包括用于缓存用途的板载存储器。处理器1201可以包括用于执行根据本技术实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
238.在ram 1203中，存储有电子设备1200操作所需的各种程序和数据。处理器1201、rom 1202以及ram 1203通过总线1204彼此相连。处理器1201通过执行rom 1202和/或ram 1203中的程序来执行根据本技术实施例的方法流程的各种操作。需要注意，所述程序也可以存储在除rom 1202和ram 1203以外的一个或多个存储器中。处理器1201也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本技术实施例的方法流程的各种操作。
239.根据本技术的实施例，电子设备1200还可以包括输入/输出(i/o)接口1205，输入/输出(i/o)接口1205也连接至总线1204。电子设备1200还可以包括连接至i/o接口1205的以下部件中的一项或多项：包括键盘、鼠标等的输入部分1206；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分1207；包括硬盘等的存储部分1208；以及包括诸如lan卡、调制解调器等的互联网接口卡的通信部分1209。通信部分1209经由诸如因特网的互联网执行通信处理。驱动器1210也根据需要连接至i/o接口1205。可拆卸介质1211，诸如
磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器1210上，以便于从其上读出的计算机程序根据需要被安装入存储部分1208。
240.本技术还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本技术实施例的方法。
241.根据本技术的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质，例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本技术中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如，根据本技术的实施例，计算机可读存储介质可以包括上文描述的rom 1202和/或ram 1203和/或rom 1202和ram1203以外的一个或多个存储器。
242.本技术的实施例中还包括一种计算机程序产品，其包括计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时，该程序代码用于使计算机系统实现本技术实施例中所提供的方法。
243.在该计算机程序被处理器1201执行时执行本技术实施例的系统/装置中限定的上述功能。根据本技术的实施例，上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
244.在一种实施例中，该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中，该计算机程序也可以在互联网介质上以信号的形式进行传输、分发，并通过通信部分1209被下载和安装，和/或从可拆卸介质1211被安装。该计算机程序包含的程序代码可以用任何适当的互联网介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。
245.在这样的实施例中，该计算机程序可以通过通信部分1209从互联网上被下载和安装，和/或从可拆卸介质1211被安装。在该计算机程序被处理器1201执行时，执行本技术实施例的系统中限定的上述功能。根据本技术的实施例，上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
246.根据本技术的实施例，可以以一种或多种程序设计语言的任意组合来编写用于执行本技术实施例中提供的计算机程序的程序代码，具体地，可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如java，c++，python，“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的互联网，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
247.附图中的流程图和框图，图示了按照本技术各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个
用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
248.本领域技术人员可以理解，本技术的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合，即使这样的组合或结合没有明确记载于本技术中。特别地，在不脱离本技术精神和教导的情况下，本技术的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本技术的范围。
249.在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“实例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本技术的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
250.以上对本技术的实施例进行了描述。但是，这些实施例仅仅是为了说明的目的，而并非为了限制本技术的范围。尽管在以上分别描述了各实施例，但是这并不意味着各个实施例中的措施不能有利地结合使用。本技术的范围由所附权利要求及其等同物限定。不脱离本技术的范围，本领域技术人员可以做出多种替代和修改，这些替代和修改都应落在本技术的范围之内。