安全身份系統進入智能階段

文/陳國康

今天，任何智能設備–無論是傳統的卡片，或者具備藍牙或NFC無線功能的設備， 都可以成為值得信賴的身份憑證，用以對人員加以識別和認證。與此同時，技術融合正在促成更強的電腦與網絡登錄認證和卡片管理能力，用于確保物理與邏輯身份可以通過塑料卡片與智能手機結合加以管理，并確保打印機系統可以對上述兩種系統都能夠加以支持。其結果就是：單一的卡片–或者單一的手機–就可以承載多重身份憑證，以取代所有此前的機械式鑰匙和專用OTP硬件，以便在一個門禁控制系統當中提供無縫的用戶體驗，同時為組織機構提供不斷增加的價值。

最終的目標就是實現統一的解決方案，以確保對門禁系統、數據以及云應用的安全訪問。該解決方案將會利用現有的設備或基于云的服務來對安全身份加以創建、管理和使用。我們已經擁有了實現這一目標所需的所有技術。今天的門禁控制平臺可以提供更加復雜的身份憑證和新的身份形式要素，包括移動設備以及許多其他有用的功能。而最重要的或許就是，這些平臺都是基于開放標準，可以幫助組織機構不斷發展，以超越當前的能力，增添新的功能，適應不斷變化的安全挑戰。有了適當的基礎和規劃，組織機構就可以應對當今的挑戰，部署新的能力，比如移動門禁控制，增加更加多元的新應用，為集成式的多層物理門禁系統以及IT安全解決方案鋪平道路，覆蓋組織機構中所有的網絡、系統與設施。

堅實的基礎

今天的門禁控制系統可以在物理門禁系統以及IT安全基礎設施中使用智能卡或移動設備，或者同時使用兩者，以作為可互操作產品與服務的開放生態系統的一部分，這一系統包括卡片身份憑證、讀卡器以及用于發卡和撤銷卡片的后臺基礎設施。

選擇一種開放技術平臺至關重要，以便可以為任何門禁控制數據提供支持，滿足當前與未來的需求，將任何智能設備（卡片、電話、鑰匙鏈、密鑰卡以及手表等）變成一個值得信賴的身份憑證，能夠與讀卡器、鎖具、打印機或其他訪問點安全地交換身份信息。為了使安全性與用戶便利性獲得最佳結合，系統應當采用非接觸式高頻智能卡技術。該技術具有相互認證的特點，以及使用密鑰進行加密保護的機制。同樣重要的一點就是安全的信息協議能夠提供給值得信賴的通信平臺，在一個安全的互操作產品生態系統當中加以使用。此外，要實現互操作性，另外一個必要的要素就是通用的卡片接口，也被稱作卡片命令接口。這將可以確保解決方案能夠在廣泛的產品生態系統上，在值得信賴的邊界范圍內工作。通過這些能力，組織機構可以確保最高水平的安全性、便利性、靈活性以及強大的適應性，用以滿足未來需求。

最根本的是，組織機構需要動態的解決方案，以便能夠適應他們所面臨的不斷變化的需求與行業最佳實踐。隨著時間的推移，傳統的解決方案將無法提供適當的安全性或新功能，因為它們經常使用專屬和靜態的技術，這使得它們更加容易受到攻擊，無法超越其當前的能力與安全水平。相比之下，最新的開放式和可調節平臺具有強大的靈活性與互操作性，它們利用重要的行業通信與連接標準，并且沒有綁定在過時的軟件、設備、協議與產品上。此外，它們還提供了一個單一、獨立于介質外，并可隨時移動的解決方案，可應用于所有應用和環境，并且通過使用多元技術的智能卡、讀卡器和解碼器，可以最大限度地降低系統過渡對日常工作所產生的影響。

ID卡個性化也很重要。如今的身份憑證可以包含更多要素，實現了更值得信賴的視覺認證，以抑制篡改和偽造。這些視覺要素可能包括高分辨率圖像與全息壓膜卡片，以及永久性激光雕刻的個性化特征，這些特征即便有可能，也將非常難以偽造或篡改。此外，易于實現個性化也需納入考慮范疇。如今的聯機智能卡個性化流程簡化成一個單一步驟，讓用戶可以將卡片提交給一臺裝配了內部智能卡編碼器的臺式打印機，用以對智能卡從內到外進行個性化處理。如今的身份卡打印機可以支持多種類型的電子個性化技術，涵蓋多種卡片類型，能夠隨著安全要求的不斷增加，簡化向新技術以及新編碼選項過渡的過程。

向移動模式過渡

采用新的門禁平臺之后，智能手機可以接受數字卡和密鑰，并把它們放在讀卡器前進行刷卡。同一部手機還可以生成一次性密碼（OTP）令牌，以安全登錄到另外一臺移動設備或臺式電腦，用于訪問網絡、云系統以及基于網絡的應用。

支持開放標準對于移動接入控制尤為重要。例如，使用手機來開啟房門和車庫閘門的系統將可能需要包含當今商業設備所使用的多種短距離通信技術。雖然近場通信（NFC）最初作為移動門禁控制的主要短距離通信技術，目前業界也在部署使用智能藍牙的解決方案，這是因為該技術具有廣泛的應用和簡化的部署與身份配置模式。為了能夠廣泛適用于不同的移動平臺，包括iOS、安卓以及Windows設備，以及不斷衍生的各類可穿戴設備，門禁控制平臺將可能需要同時支持兩種通信技術，以及NFC主機卡仿真（HCE）技術（與NFC相比，可以簡化部署，但目前暫不支持蘋果設備）。

智能藍牙的另外一個優勢在于它具有更大的覆蓋范圍，這意味著不必像使用NFC技術那樣，將手機過于貼近讀卡器才能開啟房門。其中所蘊含的一個重大機會就是將手勢技術包含到基于藍牙的智能手機解決方案當中，以便可以讓用戶在走向支持移動技術的讀卡器時，只需簡單地將手機加以旋轉或“扭動”。手勢技術將會提供一種全新的開啟房門與車庫大門的方式，同時為未來廣泛的其他應用奠定基礎。

身份配置是移動門禁控制系統的最后環節。通過使用當今的綜合性自動管理網站來發放和撤銷移動ID，可以使該項任務得到簡化。

基于云的身份配置模式可以消除身份憑證復制的風險，同時使得臨時身份憑證的發放，丟失或被盜身份憑證的撤銷，以及對安全參數進行監測與修改變得更加方便。該系統可以對加密身份憑證的無縫空中配置進行管理，以便智能移動設備可以接收數字密鑰，并向可互操作的支持移動技術的讀卡器出示，用于執行多種常見任務。所有身份信息的配置與認證都獨立于讀卡器與設備之間的通信層，以保護身份憑證免遭竊聽和復用。此外，加密身份憑證僅能夠通過門禁控制讀卡器來進行解密，并且每次數據交易都具有唯一性，以確保私密性。

添加安全身份認證應用

如今的門禁控制系統還可支持將多種應用結合在單一的卡片或智能手機上。這將免除員工需要攜帶多個針對不同應用的單獨卡片或設備的不便，這些應用包括開門、考勤、安全打印管理系統以及無現金交易等。其他可以添加的應用還包括生物識別技術，該技術與智能手機相得益彰。通過在智能手機上存儲指紋、虹膜以及其他生物識別樣本，可以免除塑料卡片上傳統生物信息管理所需的繁雜布線需求，簡化系統啟動，降低安裝成本，提升認證速度，因為門禁控制系統可以在用戶接近大門時，持續讀取生物信息數據。

將多種應用結合到單一卡片或一部智能手機上，可以大幅改善用戶體驗，同時可以最大限度地優化門禁控制投資，使得該種應用遠遠超出簡單的開啟大門應用。以現代醫療機構情況為例，通常包括患者、員工、合作醫師、學生、承包商、來訪者以及志愿者等不同的群體。如今，ID卡和智能手機不僅可以用于開啟大門、急診室和藥房，還可以滿足特殊需要，比如疫苗接種合規性跟蹤以及嬰兒保護系統等 – 所有這些只需一個便捷且經濟實用的單一解決方案。此外，醫院還可以將訪客管理集成到其門禁控制系統當中，替代人工記錄系統。通過該系統，可以對訪客進行甄別，發放訪客證并加以跟蹤。另外，該解決方案還能夠支持以下額外功能，比如使用健康水平7（HL7）集成功能來進行實時患者跟蹤，獲取患者狀況與病房信息，避免訪客安排到錯誤地點，或者去探視一位已經出院的患者。如今的訪客管理系統還可以集成門禁控制系統，以便提供最有效的訪客證發放操作。

除了物理門禁控制應用之外，組織機構還可以無縫添加多因子認證，也稱作增強身份認證，用于對數據源的訪問認證。試想一下此前提及解決方案為醫療設施帶來幫助。一名醫生通常可能會攜帶多達20個OTP令牌，用于訪問與他合作的多家醫院的網絡以及基于云和網絡的相關應用。如今，這名醫生只需攜帶一張包含有軟件OTP令牌的智能卡，并且只需將該智能卡靠近一臺個人平板電腦或手提電腦，即可完成對VPN、無線網絡、基于云和網絡的應用以及單獨登錄（SSO）客戶端的認證。智能藍牙將可以在智能卡上提供針對該種能力的連接。未來，這種“貼近”式認證功能可以通過攜帶可生成OTP的智能手機來加以提供。屆時，無需輸入密碼，也不需要單獨的讀卡器，或者額外的設備來進行卡片發放與管理。隨著這種貼近式認證功能移至智能手機，一種結合了智能藍牙和NFC主機卡仿真（HCE）的連接技術有可能會獲得采用。

隨著新的物理門禁控制和電腦桌面登錄應用被添加到組織機構的卡片和智能電話，這些應用的管理都可以集中到一個有效且經濟實用的系統上。最終達到覆蓋公司多個網絡、系統與設施，具有完全互操作性的多層安全解決方案。無論是現在還是未來，門禁控制應用的這種融合將會為我們帶來重大益處。

從融合中獲益

將各種IT和門禁控制系統身份憑證集中到單一智能卡或一部智能手機上，使用一套統一流程，既提高了便利性，同時又可以大幅提高安全性，降低運營成本。此外，它還可以集中身份認證與訪問管理功能，對任務進行整合，使組織機構能夠快速和有效地在整個設施內采用更強的認證技術，以保護對所有主要物理與IT資源的訪問。

越來越多的組織機構開始采用這種新模式。在這種模式下，多種門禁控制與身份認證都可以通過單一卡片或智能手機加以支持，從而免除了牢記密碼或攜帶多張卡片的需要。這種能力將會從智能卡開始，并會隨后過渡到智能手機以及其他智能移動設備和可穿戴設備，并將會在確保門禁系統、數據以及云系統訪問安全性的同時，創建一個無縫的用戶體驗，提高組織機構在智能卡和智能手機上創建、管理以及使用身份信息，以便對網絡和物理訪問進行控制的能力。

除了便捷性，將身份憑證融合到單一的智能卡或其他智能移動設備上，可以大幅提高安全性，降低持續運營成本。由于IT和門禁控制系統身份的配置與登記可以通過單一的流程加以實現，這使得將統一的工作流程應用到一組身份認證成為可能，便于組織機構的融合。此外，它還可以將身份認證與訪問管理加以集中，對任務加以整合，讓組織機構能夠在整個基礎設施內快速和有效地采用更強大的認證功能，對主要物理與IT資源訪問加以保護。

通過在不斷增長的互操作產品與應用生態系統中使用智能卡與其他智能設備，最新的安全身份認證技術提升了組織機構應對嚴峻安全挑戰的能力，同時也提升了終端用戶體驗。今天的智能卡和手機可以取代所有之前的機械鑰匙、物理門禁卡和專用OTP電腦登錄認證硬件。作為具有極大靈活性的集中式門禁控制與身份管理系統的一部分，可以應對不斷變化的威脅與需求，并隨著時間的推移提供越來越高的價值。