安全身份系統(tǒng)進(jìn)入智能階段

文/陳國康

今天，任何智能設(shè)備–無論是傳統(tǒng)的卡片，或者具備藍(lán)牙或NFC無線功能的設(shè)備， 都可以成為值得信賴的身份憑證，用以對人員加以識別和認(rèn)證。與此同時(shí)，技術(shù)融合正在促成更強(qiáng)的電腦與網(wǎng)絡(luò)登錄認(rèn)證和卡片管理能力，用于確保物理與邏輯身份可以通過塑料卡片與智能手機(jī)結(jié)合加以管理，并確保打印機(jī)系統(tǒng)可以對上述兩種系統(tǒng)都能夠加以支持。其結(jié)果就是：單一的卡片–或者單一的手機(jī)–就可以承載多重身份憑證，以取代所有此前的機(jī)械式鑰匙和專用OTP硬件，以便在一個(gè)門禁控制系統(tǒng)當(dāng)中提供無縫的用戶體驗(yàn)，同時(shí)為組織機(jī)構(gòu)提供不斷增加的價(jià)值。

最終的目標(biāo)就是實(shí)現(xiàn)統(tǒng)一的解決方案，以確保對門禁系統(tǒng)、數(shù)據(jù)以及云應(yīng)用的安全訪問。該解決方案將會利用現(xiàn)有的設(shè)備或基于云的服務(wù)來對安全身份加以創(chuàng)建、管理和使用。我們已經(jīng)擁有了實(shí)現(xiàn)這一目標(biāo)所需的所有技術(shù)。今天的門禁控制平臺可以提供更加復(fù)雜的身份憑證和新的身份形式要素，包括移動設(shè)備以及許多其他有用的功能。而最重要的或許就是，這些平臺都是基于開放標(biāo)準(zhǔn)，可以幫助組織機(jī)構(gòu)不斷發(fā)展，以超越當(dāng)前的能力，增添新的功能，適應(yīng)不斷變化的安全挑戰(zhàn)。有了適當(dāng)?shù)幕A(chǔ)和規(guī)劃，組織機(jī)構(gòu)就可以應(yīng)對當(dāng)今的挑戰(zhàn)，部署新的能力，比如移動門禁控制，增加更加多元的新應(yīng)用，為集成式的多層物理門禁系統(tǒng)以及IT安全解決方案鋪平道路，覆蓋組織機(jī)構(gòu)中所有的網(wǎng)絡(luò)、系統(tǒng)與設(shè)施。

堅(jiān)實(shí)的基礎(chǔ)

今天的門禁控制系統(tǒng)可以在物理門禁系統(tǒng)以及IT安全基礎(chǔ)設(shè)施中使用智能卡或移動設(shè)備，或者同時(shí)使用兩者，以作為可互操作產(chǎn)品與服務(wù)的開放生態(tài)系統(tǒng)的一部分，這一系統(tǒng)包括卡片身份憑證、讀卡器以及用于發(fā)卡和撤銷卡片的后臺基礎(chǔ)設(shè)施。

選擇一種開放技術(shù)平臺至關(guān)重要，以便可以為任何門禁控制數(shù)據(jù)提供支持，滿足當(dāng)前與未來的需求，將任何智能設(shè)備（卡片、電話、鑰匙鏈、密鑰卡以及手表等）變成一個(gè)值得信賴的身份憑證，能夠與讀卡器、鎖具、打印機(jī)或其他訪問點(diǎn)安全地交換身份信息。為了使安全性與用戶便利性獲得最佳結(jié)合，系統(tǒng)應(yīng)當(dāng)采用非接觸式高頻智能卡技術(shù)。該技術(shù)具有相互認(rèn)證的特點(diǎn)，以及使用密鑰進(jìn)行加密保護(hù)的機(jī)制。同樣重要的一點(diǎn)就是安全的信息協(xié)議能夠提供給值得信賴的通信平臺，在一個(gè)安全的互操作產(chǎn)品生態(tài)系統(tǒng)當(dāng)中加以使用。此外，要實(shí)現(xiàn)互操作性，另外一個(gè)必要的要素就是通用的卡片接口，也被稱作卡片命令接口。這將可以確保解決方案能夠在廣泛的產(chǎn)品生態(tài)系統(tǒng)上，在值得信賴的邊界范圍內(nèi)工作。通過這些能力，組織機(jī)構(gòu)可以確保最高水平的安全性、便利性、靈活性以及強(qiáng)大的適應(yīng)性，用以滿足未來需求。

最根本的是，組織機(jī)構(gòu)需要動態(tài)的解決方案，以便能夠適應(yīng)他們所面臨的不斷變化的需求與行業(yè)最佳實(shí)踐。隨著時(shí)間的推移，傳統(tǒng)的解決方案將無法提供適當(dāng)?shù)陌踩曰蛐鹿δ埽驗(yàn)樗鼈兘?jīng)常使用專屬和靜態(tài)的技術(shù)，這使得它們更加容易受到攻擊，無法超越其當(dāng)前的能力與安全水平。相比之下，最新的開放式和可調(diào)節(jié)平臺具有強(qiáng)大的靈活性與互操作性，它們利用重要的行業(yè)通信與連接標(biāo)準(zhǔn)，并且沒有綁定在過時(shí)的軟件、設(shè)備、協(xié)議與產(chǎn)品上。此外，它們還提供了一個(gè)單一、獨(dú)立于介質(zhì)外，并可隨時(shí)移動的解決方案，可應(yīng)用于所有應(yīng)用和環(huán)境，并且通過使用多元技術(shù)的智能卡、讀卡器和解碼器，可以最大限度地降低系統(tǒng)過渡對日常工作所產(chǎn)生的影響。

ID卡個(gè)性化也很重要。如今的身份憑證可以包含更多要素，實(shí)現(xiàn)了更值得信賴的視覺認(rèn)證，以抑制篡改和偽造。這些視覺要素可能包括高分辨率圖像與全息壓膜卡片，以及永久性激光雕刻的個(gè)性化特征，這些特征即便有可能，也將非常難以偽造或篡改。此外，易于實(shí)現(xiàn)個(gè)性化也需納入考慮范疇。如今的聯(lián)機(jī)智能卡個(gè)性化流程簡化成一個(gè)單一步驟，讓用戶可以將卡片提交給一臺裝配了內(nèi)部智能卡編碼器的臺式打印機(jī)，用以對智能卡從內(nèi)到外進(jìn)行個(gè)性化處理。如今的身份卡打印機(jī)可以支持多種類型的電子個(gè)性化技術(shù)，涵蓋多種卡片類型，能夠隨著安全要求的不斷增加，簡化向新技術(shù)以及新編碼選項(xiàng)過渡的過程。

向移動模式過渡

采用新的門禁平臺之后，智能手機(jī)可以接受數(shù)字卡和密鑰，并把它們放在讀卡器前進(jìn)行刷卡。同一部手機(jī)還可以生成一次性密碼（OTP）令牌，以安全登錄到另外一臺移動設(shè)備或臺式電腦，用于訪問網(wǎng)絡(luò)、云系統(tǒng)以及基于網(wǎng)絡(luò)的應(yīng)用。

支持開放標(biāo)準(zhǔn)對于移動接入控制尤為重要。例如，使用手機(jī)來開啟房門和車庫閘門的系統(tǒng)將可能需要包含當(dāng)今商業(yè)設(shè)備所使用的多種短距離通信技術(shù)。雖然近場通信（NFC）最初作為移動門禁控制的主要短距離通信技術(shù)，目前業(yè)界也在部署使用智能藍(lán)牙的解決方案，這是因?yàn)樵摷夹g(shù)具有廣泛的應(yīng)用和簡化的部署與身份配置模式。為了能夠廣泛適用于不同的移動平臺，包括iOS、安卓以及Windows設(shè)備，以及不斷衍生的各類可穿戴設(shè)備，門禁控制平臺將可能需要同時(shí)支持兩種通信技術(shù)，以及NFC主機(jī)卡仿真（HCE）技術(shù)（與NFC相比，可以簡化部署，但目前暫不支持蘋果設(shè)備）。

智能藍(lán)牙的另外一個(gè)優(yōu)勢在于它具有更大的覆蓋范圍，這意味著不必像使用NFC技術(shù)那樣，將手機(jī)過于貼近讀卡器才能開啟房門。其中所蘊(yùn)含的一個(gè)重大機(jī)會就是將手勢技術(shù)包含到基于藍(lán)牙的智能手機(jī)解決方案當(dāng)中，以便可以讓用戶在走向支持移動技術(shù)的讀卡器時(shí)，只需簡單地將手機(jī)加以旋轉(zhuǎn)或“扭動”。手勢技術(shù)將會提供一種全新的開啟房門與車庫大門的方式，同時(shí)為未來廣泛的其他應(yīng)用奠定基礎(chǔ)。

身份配置是移動門禁控制系統(tǒng)的最后環(huán)節(jié)。通過使用當(dāng)今的綜合性自動管理網(wǎng)站來發(fā)放和撤銷移動ID，可以使該項(xiàng)任務(wù)得到簡化。

基于云的身份配置模式可以消除身份憑證復(fù)制的風(fēng)險(xiǎn)，同時(shí)使得臨時(shí)身份憑證的發(fā)放，丟失或被盜身份憑證的撤銷，以及對安全參數(shù)進(jìn)行監(jiān)測與修改變得更加方便。該系統(tǒng)可以對加密身份憑證的無縫空中配置進(jìn)行管理，以便智能移動設(shè)備可以接收數(shù)字密鑰，并向可互操作的支持移動技術(shù)的讀卡器出示，用于執(zhí)行多種常見任務(wù)。所有身份信息的配置與認(rèn)證都獨(dú)立于讀卡器與設(shè)備之間的通信層，以保護(hù)身份憑證免遭竊聽和復(fù)用。此外，加密身份憑證僅能夠通過門禁控制讀卡器來進(jìn)行解密，并且每次數(shù)據(jù)交易都具有唯一性，以確保私密性。

添加安全身份認(rèn)證應(yīng)用

如今的門禁控制系統(tǒng)還可支持將多種應(yīng)用結(jié)合在單一的卡片或智能手機(jī)上。這將免除員工需要攜帶多個(gè)針對不同應(yīng)用的單獨(dú)卡片或設(shè)備的不便，這些應(yīng)用包括開門、考勤、安全打印管理系統(tǒng)以及無現(xiàn)金交易等。其他可以添加的應(yīng)用還包括生物識別技術(shù)，該技術(shù)與智能手機(jī)相得益彰。通過在智能手機(jī)上存儲指紋、虹膜以及其他生物識別樣本，可以免除塑料卡片上傳統(tǒng)生物信息管理所需的繁雜布線需求，簡化系統(tǒng)啟動，降低安裝成本，提升認(rèn)證速度，因?yàn)殚T禁控制系統(tǒng)可以在用戶接近大門時(shí)，持續(xù)讀取生物信息數(shù)據(jù)。

將多種應(yīng)用結(jié)合到單一卡片或一部智能手機(jī)上，可以大幅改善用戶體驗(yàn)，同時(shí)可以最大限度地優(yōu)化門禁控制投資，使得該種應(yīng)用遠(yuǎn)遠(yuǎn)超出簡單的開啟大門應(yīng)用。以現(xiàn)代醫(yī)療機(jī)構(gòu)情況為例，通常包括患者、員工、合作醫(yī)師、學(xué)生、承包商、來訪者以及志愿者等不同的群體。如今，ID卡和智能手機(jī)不僅可以用于開啟大門、急診室和藥房，還可以滿足特殊需要，比如疫苗接種合規(guī)性跟蹤以及嬰兒保護(hù)系統(tǒng)等 – 所有這些只需一個(gè)便捷且經(jīng)濟(jì)實(shí)用的單一解決方案。此外，醫(yī)院還可以將訪客管理集成到其門禁控制系統(tǒng)當(dāng)中，替代人工記錄系統(tǒng)。通過該系統(tǒng)，可以對訪客進(jìn)行甄別，發(fā)放訪客證并加以跟蹤。另外，該解決方案還能夠支持以下額外功能，比如使用健康水平7（HL7）集成功能來進(jìn)行實(shí)時(shí)患者跟蹤，獲取患者狀況與病房信息，避免訪客安排到錯誤地點(diǎn)，或者去探視一位已經(jīng)出院的患者。如今的訪客管理系統(tǒng)還可以集成門禁控制系統(tǒng)，以便提供最有效的訪客證發(fā)放操作。

除了物理門禁控制應(yīng)用之外，組織機(jī)構(gòu)還可以無縫添加多因子認(rèn)證，也稱作增強(qiáng)身份認(rèn)證，用于對數(shù)據(jù)源的訪問認(rèn)證。試想一下此前提及解決方案為醫(yī)療設(shè)施帶來幫助。一名醫(yī)生通常可能會攜帶多達(dá)20個(gè)OTP令牌，用于訪問與他合作的多家醫(yī)院的網(wǎng)絡(luò)以及基于云和網(wǎng)絡(luò)的相關(guān)應(yīng)用。如今，這名醫(yī)生只需攜帶一張包含有軟件OTP令牌的智能卡，并且只需將該智能卡靠近一臺個(gè)人平板電腦或手提電腦，即可完成對VPN、無線網(wǎng)絡(luò)、基于云和網(wǎng)絡(luò)的應(yīng)用以及單獨(dú)登錄（SSO）客戶端的認(rèn)證。智能藍(lán)牙將可以在智能卡上提供針對該種能力的連接。未來，這種“貼近”式認(rèn)證功能可以通過攜帶可生成OTP的智能手機(jī)來加以提供。屆時(shí)，無需輸入密碼，也不需要單獨(dú)的讀卡器，或者額外的設(shè)備來進(jìn)行卡片發(fā)放與管理。隨著這種貼近式認(rèn)證功能移至智能手機(jī)，一種結(jié)合了智能藍(lán)牙和NFC主機(jī)卡仿真（HCE）的連接技術(shù)有可能會獲得采用。

隨著新的物理門禁控制和電腦桌面登錄應(yīng)用被添加到組織機(jī)構(gòu)的卡片和智能電話，這些應(yīng)用的管理都可以集中到一個(gè)有效且經(jīng)濟(jì)實(shí)用的系統(tǒng)上。最終達(dá)到覆蓋公司多個(gè)網(wǎng)絡(luò)、系統(tǒng)與設(shè)施，具有完全互操作性的多層安全解決方案。無論是現(xiàn)在還是未來，門禁控制應(yīng)用的這種融合將會為我們帶來重大益處。

從融合中獲益

將各種IT和門禁控制系統(tǒng)身份憑證集中到單一智能卡或一部智能手機(jī)上，使用一套統(tǒng)一流程，既提高了便利性，同時(shí)又可以大幅提高安全性，降低運(yùn)營成本。此外，它還可以集中身份認(rèn)證與訪問管理功能，對任務(wù)進(jìn)行整合，使組織機(jī)構(gòu)能夠快速和有效地在整個(gè)設(shè)施內(nèi)采用更強(qiáng)的認(rèn)證技術(shù)，以保護(hù)對所有主要物理與IT資源的訪問。

越來越多的組織機(jī)構(gòu)開始采用這種新模式。在這種模式下，多種門禁控制與身份認(rèn)證都可以通過單一卡片或智能手機(jī)加以支持，從而免除了牢記密碼或攜帶多張卡片的需要。這種能力將會從智能卡開始，并會隨后過渡到智能手機(jī)以及其他智能移動設(shè)備和可穿戴設(shè)備，并將會在確保門禁系統(tǒng)、數(shù)據(jù)以及云系統(tǒng)訪問安全性的同時(shí)，創(chuàng)建一個(gè)無縫的用戶體驗(yàn)，提高組織機(jī)構(gòu)在智能卡和智能手機(jī)上創(chuàng)建、管理以及使用身份信息，以便對網(wǎng)絡(luò)和物理訪問進(jìn)行控制的能力。

除了便捷性，將身份憑證融合到單一的智能卡或其他智能移動設(shè)備上，可以大幅提高安全性，降低持續(xù)運(yùn)營成本。由于IT和門禁控制系統(tǒng)身份的配置與登記可以通過單一的流程加以實(shí)現(xiàn)，這使得將統(tǒng)一的工作流程應(yīng)用到一組身份認(rèn)證成為可能，便于組織機(jī)構(gòu)的融合。此外，它還可以將身份認(rèn)證與訪問管理加以集中，對任務(wù)加以整合，讓組織機(jī)構(gòu)能夠在整個(gè)基礎(chǔ)設(shè)施內(nèi)快速和有效地采用更強(qiáng)大的認(rèn)證功能，對主要物理與IT資源訪問加以保護(hù)。

通過在不斷增長的互操作產(chǎn)品與應(yīng)用生態(tài)系統(tǒng)中使用智能卡與其他智能設(shè)備，最新的安全身份認(rèn)證技術(shù)提升了組織機(jī)構(gòu)應(yīng)對嚴(yán)峻安全挑戰(zhàn)的能力，同時(shí)也提升了終端用戶體驗(yàn)。今天的智能卡和手機(jī)可以取代所有之前的機(jī)械鑰匙、物理門禁卡和專用OTP電腦登錄認(rèn)證硬件。作為具有極大靈活性的集中式門禁控制與身份管理系統(tǒng)的一部分，可以應(yīng)對不斷變化的威脅與需求，并隨著時(shí)間的推移提供越來越高的價(jià)值。