NFC门禁系统走向安全、移动模式
一、NFC全球化应用与发展
过去数十年,我们采用塑胶卡片验证身份以及其他一卡通的应用,但随着智能手机的流行,用户期望以更便利的方式来完成这些应用。NFC技术的出现恰好应对了这方面的诉求,NFC技术能够在几厘米的近距离内实现数据交换,从而为支持NFC的手机实现多种非接触式应用和交易,包括付款和公交车票、钥匙(门禁卡)、数据传输(包括电子商务卡)以及浏览网络资料。
目前NFC技术的应用集中在电子支付,但未来NFC技术将进一步融合到门禁解决方案,从而为安防市场带来的新的发展机会。用户只需将虚拟凭证卡配置到NFC手机中,就能开启门禁。这不仅免去了用户携带其他门禁凭证卡的麻烦,而且安全经理能轻松监控出入口人员的进出。同时,基于 NFC的门禁系统将创造一个更便捷安全交易平台。安全经理不但能远程发送、更改及注销虚拟凭证卡,而此平台是建基于标准的身份验证系统,能支持各种身份验证节点(包括读卡器、证卡、配备 NFC的手机等)注册为“可信节点”,确保在世界任何地点都能安全地进行配置。
NFC技术在门禁领域的全球化应用与发展
随着用户对移动性的日益增长,NFC技术正被广泛应用于多个领域包括移动支付与交易、交通付费、客户忠诚度计划及网络信息访问等。越来越多的移动设备厂商如诺基亚、三星(谷歌)、Research in Motion(RIM)、LG和中兴通讯正陆续推出的支持NFC的手机,这将进一步促进NFC技术在移动门禁领域的应用与发展。
瑞典斯德哥尔摩Clarion酒店内部首次试用NFC技术,用支持 NFC的手机取代酒店房卡。Clarion酒店与HID Global母公司ASSA ABLOY、Choice Hotels Scandinavia、TeliaSonera、VingCard Elsafe以及Giesecke & Devrient合作,挑选出部分Clarion酒店客人作为参与对象,并向其提供具备 NFC功能和相关软件的三星手机,客人在到达酒店前可使用手机登记入住,同时间数码房卡会发至客人的手机。抵达后,客人不必排队登记便可直接入住,将手机贴近门锁便可打开房门。离开房间时,房门会自动锁上,客人通过手机直接办理退房手续。
此外,在Netflix公司美国总部进行的移动门禁实验证明了用智能手机开门优点众多,而且提高了安全性。读卡器及凭证卡进行双重验证,降低了凭证卡资料被窃取及重复被盗用的威胁,而因为只有用户知道手机可当作钥匙使用,并拥有进入手机的密码,以及知道怎样激活手机内的虚拟钥匙,而且大部分人都不会出借自己的手机,这可以防止虚拟凭证卡被滥用。
目前,NFC技术在国内外的应用仍有待发展,要使技术普及就必须通过业界的广泛合作。国内部分企业已积极与NFC设备制造商合作,例如与日本索尼联合推出了支持NFC的非接触式智能卡读卡器平台,专门应用于笔记本电脑和移动设备,并通过在该平台的安全组件存储密钥,保护身份信息存储的可靠性与完整性,通过将门禁控制功能和近距离无线通讯(NFC)功能嵌入到笔记本电脑和其他移动设备中,实现基于移动设备的门禁控制、电脑安全登录、车船机票费支付、销售点收费和忠诚度计划。
身份验证生态系统保障NFC技术应用的安全性
为确保NFC技术应用的安全性,唯一方法就是提供完善的的监管链,保证各个终端之间身份信息安全交换,,对系统或网络中的所有端点都能够得以验证。
深圳某企业的研制的身份验证系统,可提供身份验证传输框架,实现安全产品和服务的交付。它能够将读卡器、笔记本电脑、配备NFC功能的手机等其他产品转换为可信赖的身份验证节点,无论它们处于何种位置或采取何种连接方式,都可以安全地进行信息交换。简单来说,该基础架构是一个中央安全库,通过安全的网络连接,并以公开的加密密钥管理安全政策为依据,为已知端点(如凭证卡、读卡器和打印机)服务交付。
只有在实施了TIP节点协议后,端点才会启用,进而被“安全库”识别并注册为可靠的网络成员。而后,该端点就可与“安全库”进行通信。凭证卡、读卡器及打印机等端点通过软件工作流程与“安全库”进行通信,其访问和处理规则都受到HID Global的“密钥管理策略和规范”的严格管控——只有经认证的设备才能够加入该网络(与任何计算机都可访问任何网站的互联网不同),从而形成了隐性的、严格的身份验证机制。
各端点之间的TIP消息采用符合行业标准的加密方法进行加密,以便进行符合公开安全政策的安全信息传输。这些TIP信息数据包由两个嵌套的对称密钥进行保护,其中含有“安全身份验证对象”(Secure Identity Object,简称SIO)信息。多个SIO可嵌套到一个TIP信息中,向各种不同的设备(如门禁卡、智能手机及计算机)提供多种指令。如有必要,每个设备都可具有不同的门禁控制特性。例如,最简单的SIO就是模拟iCLASS卡上的凭证程序数据。
“安全库”与端点设备之间的验证通过后,该设备在网络中就被视为是“可信的”。可信设备无需再与安全库进行通信,可以独立工作。在这种方式下,各端点(如凭证卡及读卡器)之间的信息传输是“可信的”,而由此产生的信息传输(例如打开一道门或登录到计算机)也就被视为是“可信的”。
NFC移动设备就可作为TIP端点而受到支持,因而能够使用不同的SIO进行编程,进而实现模拟卡片或者更为复杂的应用,不但可以获授权通过门禁系统,还可实施由其自身进行解释的复杂门禁控制规则。
二、门禁市场的移动化
门禁市场的移动化与融合趋势初露端倪
便携式身份验证凭证卡将方便用户获得、提供、分享和修改存放在电子钱包中的个人电子钥匙。凭藉门禁控制信息和记录保存与支持NFC的手机中、而不是在门锁中,用户更容易保障场所和物品安全。系统可远程取消储存于智能手机内的虚拟凭证卡,并重新发配凭证,以及更改能使用该虚拟凭证卡的人员及时间。
现在,越来越多的用户正寻求“无约束”的安全体验,可互操作、灵活以及将凭证卡应用于移动设备的开放标准的解决方案将成为用户的新宠。用户打开办公室大门或登录企业电脑所需的所有身份信息都安全地嵌入在手机中,而不是储存在可能遭遇复制或被盗的塑胶卡片中,而且用户无需记住密码(或将密码写在便利贴上,然后再将便利贴粘到电脑显示屏上)。
为支持这种趋势,在支持NFC的手机将嵌入虚拟凭证卡,身份信息管理将转移到云端, 用户通过自备终端(Bring Your Own Device)自由登录软件即服务(Software as a Service)以及企业内部应用程序,并利用自备的NFC手机实现门禁应用。同时,移动门禁解决方案通过支持开放标准,提供可互操作的产品以及有效应对未来变化的门禁基础设施,进而确保企业未来仍可利用今天的技术投资,减低投资费用,并提升门禁系统管理的便利与管理效率。
另一方面,在卡片以及在支持NFC的移动设备层面上,门禁系统都将继续融合。用户越来越希望无需使用一次性动态密码(One-time Password Token)或密钥卡,仅用单一凭证卡就能开楼门、登录网络、访问应用和其他系统以及安全地远程访问网络。使用单一凭证卡更加方便,而且能在整个IT基础设施内的关键系统和应用进行强大身份验证,因此极大地改善了安全性。这种方式使企业能利用现有凭证卡投资,增加电脑桌面网络登录,并在企业网络、系统和设施建立一个完全可互操作的、多层的安全解决方案,降低部署和运营费用。融合解决放案还有助于企业满足监管要求,执行一致的政策,在企业内实现一致的审计记录,同时通过合并任务来削减费用。
移动门禁解决方案是理想的融合平台。随着NFC的采用,用户将更有兴趣将非接触式卡片技术的应用扩展到楼宇门禁领域以外,进一步将其应用到IT领域的身份验证上。门禁安全团队与信息安全团队将开始更紧密地合作。手机应用将产生一次性动态密码或通过短信接收这种密码,各种其他门禁密钥和虚拟凭证卡将通过便利的、基于云的配置模式,从空中发送到手机,这种配置模式消除了凭证卡被复制的风险,并可发行临时凭证卡、取消丢失或被盗的凭证卡,以及在需要时监视和修改安全参数。这种趋势还有助于改善生物识别模式的经济效益,它将智能手机变成了储存模板的便携式数据库,可简化系统启动,跨多个地点支持无限多的用户群,消除模板管理所需的冗余布线要求。不过,这种趋势还将导致需要充足的云端安全数据,这样智能手机才能用来登录网络和应用。至于应对数据向云端的迁移,最有效的方式有可能是联合身份信息管理,采用这种方式,用户在一个中央门户接受身份验证,就可访问多种应用。
受目前NFC技术的普及及相关产业链还有待完善,未来几年中,支持NFC的智能手机不可能完全取代智能卡。NFC智能手机中的移动门禁虚拟凭证卡将与智能卡和身份卡共存,以便企业能选择,在其门禁控制系统中,是使用智能卡、移动设备还是二者同时使用。
本文来源于:安防知识网