移動(dòng)門禁技術(shù)有望改變行業(yè)的面貌

文/趙建邦

作者系HID Global 大中華區(qū)營(yíng)銷總監(jiān)

2012年，門禁行業(yè)為基于NFC移動(dòng)設(shè)備部署移動(dòng)門禁解決方案奠定了基礎(chǔ)。為了促進(jìn)移動(dòng)門禁的廣泛采用，整個(gè)系統(tǒng)必須支持廣泛使用且具備安全組件的NFC手機(jī)，及所有主流操作系統(tǒng)。在智能手機(jī)安全組件內(nèi)保護(hù)所有密鑰和加密操作的安全，以確保在NFC手機(jī)、手機(jī)的安全組件以及其他安全介質(zhì)和設(shè)備之間，在可靠的身份認(rèn)證框架之內(nèi)，有一個(gè)安全的通信通道來傳送信息。安全組件通常是一種嵌入式防篡改集成電路，或一種稱為用戶識(shí)別模塊（SIM）的插件模塊。整個(gè)系統(tǒng)還必須包括能讀取手機(jī)中虛擬密鑰的讀卡器、門鎖及其他硬件，由移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商、可信服務(wù)管理器（Trusted Service Managers，簡(jiǎn)稱TSM）以及可提供和管理虛擬憑證卡的其他提供商組成的生態(tài)系統(tǒng)。時(shí)機(jī)的把握和生態(tài)系統(tǒng)的發(fā)展將影響NFC用于具體應(yīng)用的速度，例如移動(dòng)支付、交通票務(wù)、門禁等應(yīng)用。

移動(dòng)門禁將與卡片門禁并存

移動(dòng)門禁最大的好處之一，是用戶打開辦公室大門或登錄企業(yè)電腦所需的所有身份信息都安全地嵌入在手機(jī)中，而不是儲(chǔ)存在可能遭遇復(fù)制或被盜的塑膠卡片中，而且用戶無需記住密碼（或?qū)⒚艽a寫在便利貼上，然后再將便利貼粘到電腦顯示屏上）。盡管有這些和其他一些好處，但是在未來幾年中，支持NFC的智能手機(jī)不可能完全取代智能卡。相反，NFC智能手機(jī)中的移動(dòng)門禁虛擬憑證卡將與智能卡和身份卡共存，以便企業(yè)能選擇，在其門禁控制系統(tǒng)中，是使用智能卡、移動(dòng)設(shè)備還是二者同時(shí)使用。很多企業(yè)仍然會(huì)讓員工攜帶傳統(tǒng)卡片，因?yàn)檫@類卡片可用來進(jìn)行照片識(shí)別。很重要的一點(diǎn)是，用戶要提前規(guī)劃，以在門禁控制系統(tǒng)中支持兩種類型的憑證卡。

移動(dòng)技術(shù)加速與門禁系統(tǒng)融合

用戶越來越希望，無需一次性動(dòng)態(tài)密碼或密鑰卡，僅用單一憑證卡就能開樓門、登錄網(wǎng)絡(luò)、訪問應(yīng)用和其他系統(tǒng)以及安全地遠(yuǎn)程訪問網(wǎng)絡(luò)。使用單一憑證卡更加方便，而且能在整個(gè)IT基礎(chǔ)設(shè)施內(nèi)而不僅僅是在系統(tǒng)邊緣，針對(duì)關(guān)鍵系統(tǒng)和應(yīng)用進(jìn)行強(qiáng)大的身份驗(yàn)證，因此極大地改善了安全性。這種方式使企業(yè)能利用現(xiàn)有憑證卡投資，無縫增加電腦桌面網(wǎng)絡(luò)登錄控制，跨企業(yè)網(wǎng)絡(luò)、系統(tǒng)和設(shè)施建立一個(gè)完全可互操作的、多層的安全解決方案，因此能降低部署和運(yùn)行費(fèi)用。融合式解決放案還有助于企業(yè)滿足監(jiān)管要求，執(zhí)行一致的政策，在企業(yè)內(nèi)實(shí)現(xiàn)一致的審計(jì)記錄，同時(shí)通過合并任務(wù)來削減費(fèi)用。

移動(dòng)門禁解決方案是理想的融合平臺(tái)。隨著NFC的采用，人們將更有興趣將非接觸式卡片技術(shù)的應(yīng)用擴(kuò)展到樓宇門禁領(lǐng)域以外，進(jìn)一步將其應(yīng)用到IT領(lǐng)域的身份驗(yàn)證上。實(shí)體設(shè)施安全團(tuán)隊(duì)與IT安全團(tuán)隊(duì)將開始更緊密地合作。手機(jī)應(yīng)用將產(chǎn)生一次性動(dòng)態(tài)密碼或通過短信息接收這種密碼，各種其他門禁密鑰和虛擬憑證卡將通過便利的、基于云的配置模式，從空中發(fā)送到手機(jī)，這種配置模式消除了憑證卡被復(fù)制的風(fēng)險(xiǎn)，并使發(fā)行臨時(shí)憑證卡、取消丟失或被盜的憑證卡更容易了，且在需要時(shí)監(jiān)視和修改安全參數(shù)也更容易了。這種趨勢(shì)還有助于改善生物識(shí)別模式的經(jīng)濟(jì)性，它將智能手機(jī)變成了儲(chǔ)存模板的便攜式數(shù)據(jù)庫(kù)，可簡(jiǎn)化系統(tǒng)啟動(dòng)，跨多個(gè)地點(diǎn)支持無限多的用戶群，消除模板管理所需的冗余布線要求。不過，這種趨勢(shì)還將導(dǎo)致需要充足的云端安全數(shù)據(jù)，這樣智能手機(jī)才能用來登錄網(wǎng)絡(luò)和應(yīng)用。至于應(yīng)對(duì)數(shù)據(jù)向云端的遷移，最有效的方式有可能是聯(lián)合身份信息管理，采用這種方式，用戶在一個(gè)中央門戶接受身份驗(yàn)證，就可訪問多種應(yīng)用。

感應(yīng)卡向磁條卡智能卡技術(shù)遷移

卡片技術(shù)將繼續(xù)從感應(yīng)卡向磁條卡直至智能卡發(fā)展。今天門禁應(yīng)用的黃金標(biāo)準(zhǔn)是非接觸式智能卡，這種智能卡基于開放標(biāo)準(zhǔn)，具備通用卡片邊緣——又稱卡片命令接口，這改善了在可靠的身份認(rèn)證框架之內(nèi)，與廣泛的產(chǎn)品生態(tài)系統(tǒng)的互操作性。最新的卡片改善了安全性、隱私保護(hù)以及向虛擬憑證卡的可移植性，同時(shí)用戶附加了越來越多的可視及虛擬安全層，日益增強(qiáng)了卡片及身份卡的安全性。可視部分包括分辨率更高的圖像、通過層壓形成的全息卡片以及不可更改的、激光刻寫的個(gè)人特征數(shù)據(jù)?？ㄆ€越來越多地容納了更大的數(shù)字存儲(chǔ)容量，以便能包括生物識(shí)別以及其他多因子身份驗(yàn)證信息，增強(qiáng)身份驗(yàn)證能力。打印技術(shù)也會(huì)繼續(xù)進(jìn)步，以支持上述趨勢(shì)，簡(jiǎn)化卡片制作及發(fā)行，同時(shí)使卡片更加安全。

此外，智能卡將進(jìn)入新的市場(chǎng)。例如，美國(guó)正在探討，用什么樣的解決方案來實(shí)現(xiàn)基于芯片卡技術(shù)的Europay Mastercard Visa（EMV）信用及借記支付標(biāo)準(zhǔn)。遷移到智能卡可以實(shí)現(xiàn)更高的安全性，另一個(gè)好處是，可在單一解決方案中整合多種應(yīng)用以及門禁和電腦桌面登陸功能，而且可以選擇將這些應(yīng)用和功能放在支持NFC的智能手機(jī)上。盡管遷移確實(shí)需要更改一些東西，但是采用多種技術(shù)的卡片和讀卡器與現(xiàn)場(chǎng)可編程卡片及系統(tǒng)相結(jié)合，可以最大限度地減少對(duì)日常工作流程的干擾，而且員工和企業(yè)很快就能從更安全、用戶更易用的環(huán)境受益，這種環(huán)境為未來擴(kuò)展功能和應(yīng)用奠定了基礎(chǔ)。

移動(dòng)門禁借助云服務(wù)獲得創(chuàng)新服務(wù)支持

企業(yè)已經(jīng)開始向一些云服務(wù)提供商外包傳統(tǒng)身份卡項(xiàng)目，這些云服務(wù)提供商的規(guī)模和資源足以應(yīng)對(duì)大量時(shí)限緊迫的訂單，而單獨(dú)的憑證卡發(fā)行商或集成商卻難以獨(dú)立承接這類訂單。現(xiàn)在，隨著移動(dòng)門禁的出現(xiàn)，服務(wù)范圍也將擴(kuò)大，將包括部署和管理用戶NFC智能手機(jī)攜帶的虛擬憑證卡。

企業(yè)將以兩種方式配置移動(dòng)門禁虛擬憑證卡。第一種是通過互聯(lián)網(wǎng)門戶進(jìn)行的，該門戶與用來配置傳統(tǒng)塑膠憑證卡的互聯(lián)網(wǎng)門戶類型相同（移動(dòng)設(shè)備通過USB或Wi-Fi鏈路連接到網(wǎng)絡(luò)）。第二種方式是通過移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商通過空中進(jìn)行的，類似于智能手機(jī)用戶下載應(yīng)用和歌曲的方式。通用門禁可信服務(wù)管理器（TSM）將無縫地連接到移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商、運(yùn)營(yíng)商的TSM以及NFC智能手機(jī)，NFC智能手機(jī)接收加密密鑰和虛擬憑證卡，將其存儲(chǔ)在手機(jī)的SIM卡或微型SD卡等安全組件中。新應(yīng)用也將推送到手機(jī)中，以便多因子驗(yàn)證成為與情景有關(guān)的、實(shí)時(shí)的托管式服務(wù)。