NFC技術(shù)帶領(lǐng)門禁系統(tǒng)走向更安全及移動(dòng)的模式

過(guò)去數(shù)十年，我們采用塑膠卡片驗(yàn)證身份以及其他一卡通的應(yīng)用，但隨著智能手機(jī)的流行，用戶期望以更便利的方式來(lái)完成這些應(yīng)用。NFC技術(shù)的出現(xiàn)恰好應(yīng)對(duì)了這方面的訴求，NFC 技術(shù)能夠在幾厘米的近距離內(nèi)實(shí)現(xiàn)數(shù)據(jù)交換，從而為支持NFC的手機(jī)實(shí)現(xiàn)多種非接觸式應(yīng)用和交易，包括付款和公交車票、鑰匙(門禁卡)、數(shù)據(jù)傳輸(包括電子商務(wù)卡)以及瀏覽網(wǎng)絡(luò)資料。

目前NFC 技術(shù)的應(yīng)用集中在電子支付，但未來(lái)NFC技術(shù)將進(jìn)一步融合到門禁解決方案，從而為安防市場(chǎng)帶來(lái)的新的發(fā)展機(jī)會(huì)。用戶只需將虛擬憑證卡配置到NFC 手機(jī)中，就能開(kāi)啟門禁。這不僅免去了用戶攜帶其他門禁憑證卡的麻煩，而且安全經(jīng)理能輕松監(jiān)控出入口人員的進(jìn)出。同時(shí)，基于 NFC 的門禁系統(tǒng)將創(chuàng)造一個(gè)更便捷安全交易平臺(tái)。安全經(jīng)理不但能遠(yuǎn)程發(fā)送、更改及注銷虛擬憑證卡，而此平臺(tái)是建基于標(biāo)準(zhǔn)的身份驗(yàn)證系統(tǒng)，能支持各種身份驗(yàn)證節(jié)點(diǎn)(包括讀卡器、證卡、配備 NFC 的手機(jī)等)注冊(cè)為“可信節(jié)點(diǎn)”，確保在世界任何地點(diǎn)都能安全地進(jìn)行配置。

NFC 技術(shù)在門禁領(lǐng)域的的全球化應(yīng)用與發(fā)展

隨著用戶對(duì)移動(dòng)性的日益增長(zhǎng)，NFC 技術(shù)正被廣泛應(yīng)用于多個(gè)領(lǐng)域包括移動(dòng)支付與交易、交通付費(fèi)、客戶忠誠(chéng)度計(jì)劃及網(wǎng)絡(luò)信息訪問(wèn)等。越來(lái)越多的移動(dòng)設(shè)備廠商如諾基亞、三星(谷歌)、Research in Motion(RIM)、LG和中興通訊正陸續(xù)推出的支持NFC的手機(jī)，這將進(jìn)一步促進(jìn)NFC 技術(shù)在移動(dòng)門禁領(lǐng)域的應(yīng)用與發(fā)展。

瑞典斯德哥爾摩 Clarion 酒店內(nèi)部首次試用NFC 技術(shù)，用支持 NFC 的手機(jī)取代酒店房卡。Clarion酒店與 HID Global 母公司 ASSA ABLOY、Choice Hotels Scandinavia、TeliaSonera、VingCard Elsafe 以及Giesecke & Devrient合作，挑選出部分 Clarion 酒店客人作為參與對(duì)象，并向其提供具備 NFC 功能和相關(guān)軟件的三星手機(jī)，客人在到達(dá)酒店前可使用手機(jī)登記入住，同時(shí)間數(shù)碼房卡會(huì)發(fā)至客人的手機(jī)。抵達(dá)后，客人不必排隊(duì)登記便可直接入住，將手機(jī)貼近門鎖便可打開(kāi)房門。離開(kāi)房間時(shí)，房門會(huì)自動(dòng)鎖上，客人通過(guò)手機(jī)直接辦理退房手續(xù)。

此外，HID Global在企業(yè)成功進(jìn)行移動(dòng)門禁試驗(yàn)，驗(yàn)證了員工能夠用支持NFC智能手機(jī)開(kāi)門，而且不影響企業(yè)的安全性。在Netflix公司美國(guó)總部進(jìn)行的移動(dòng)門禁實(shí)驗(yàn)證明了用智能手機(jī)開(kāi)門優(yōu)點(diǎn)眾多，而且提高了安全性。讀卡器及憑證卡進(jìn)行雙重驗(yàn)證，降低了憑證卡資料被竊取及重復(fù)被盜用的威脅，而因?yàn)橹挥杏脩糁朗謾C(jī)可當(dāng)作鑰匙使用，并擁有進(jìn)入手機(jī)的密碼，以及知道怎樣激活手機(jī)內(nèi)的虛擬鑰匙，而且大部分人都不會(huì)出借自己的手機(jī)，這可以防止虛擬憑證卡被濫用。

目前，NFC 技術(shù)在國(guó)內(nèi)外的應(yīng)用仍有待發(fā)展，要使技術(shù)普及就必須通過(guò)業(yè)界的廣泛合作。HID Global 已積極與NFC設(shè)備制造商合作，例如與日本索尼聯(lián)合推出了支持NFC 的非接觸式智能卡讀卡器平臺(tái)，專門應(yīng)用于筆記本電腦和移動(dòng)設(shè)備，并通過(guò)在該平臺(tái)的安全組件存儲(chǔ)密鑰，保護(hù)身份信息存儲(chǔ)的可靠性與完整性，通過(guò)將門禁控制功能和近距離無(wú)線通訊(NFC)功能嵌入到筆記本電腦和其他移動(dòng)設(shè)備中，實(shí)現(xiàn)基于移動(dòng)設(shè)備的門禁控制、電腦安全登錄、車船機(jī)票費(fèi)支付、銷售點(diǎn)收費(fèi)和忠誠(chéng)度計(jì)劃。

HID Global另與恩智浦半導(dǎo)體聯(lián)合推出全球通用的NFC手機(jī)移動(dòng)門禁解決方案。員工用來(lái)進(jìn)入公司大樓和車庫(kù)的非接觸式智能卡的功能，現(xiàn)在可以應(yīng)用到支持NFC且儲(chǔ)存了虛擬門禁憑證卡的手機(jī)上。這些虛擬憑證卡儲(chǔ)存于手機(jī)中的恩智浦嵌入式Secure Element(eSE)元件中，能與當(dāng)前廣泛使用的門禁控制讀卡器及系統(tǒng)兼容。HID Global的iCLASS SE讀卡器與恩智浦的MIFARE DESFire及NFC技術(shù)相結(jié)合，可確保門禁管理實(shí)現(xiàn)更高的互操作性，使企業(yè)加快NFC技術(shù)的應(yīng)用。

身份驗(yàn)證生態(tài)系統(tǒng)保障NFC 技術(shù)應(yīng)用的安全性

為確保NFC技術(shù)應(yīng)用的安全性，唯一方法就是提供完善的的監(jiān)管鏈，保證各個(gè)終端之間身份信息安全交換，，對(duì)系統(tǒng)或網(wǎng)絡(luò)中的所有端點(diǎn)都能夠得以驗(yàn)證。

HID 的Trusted Identity Platform™ (TIP) 作為一種身份驗(yàn)證系統(tǒng)，可提供身份驗(yàn)證傳輸框架，實(shí)現(xiàn)安全產(chǎn)品和服務(wù)的交付。它能夠?qū)⒆x卡器、筆記本電腦、配備 NFC 功能的手機(jī)等其他產(chǎn)品轉(zhuǎn)換為可信賴的身份驗(yàn)證節(jié)點(diǎn)，無(wú)論它們處于何種位置或采取何種連接方式，都可以安全地進(jìn)行信息交換。簡(jiǎn)單來(lái)說(shuō)，該基礎(chǔ)架構(gòu)是一個(gè)中央安全庫(kù)，通過(guò)安全的網(wǎng)絡(luò)連接，并以公開(kāi)的加密密鑰管理安全政策為依據(jù)，為已知端點(diǎn)(如憑證卡、讀卡器和打印機(jī))服務(wù)交付。

只有在實(shí)施了TIP節(jié)點(diǎn)協(xié)議后，端點(diǎn)才會(huì)啟用，進(jìn)而被“安全庫(kù)”識(shí)別并注冊(cè)為可靠的網(wǎng)絡(luò)成員。而后，該端點(diǎn)就可與“安全庫(kù)”進(jìn)行通信。憑證卡、讀卡器及打印機(jī)等端點(diǎn)通過(guò)軟件工作流程與“安全庫(kù)”進(jìn)行通信，其訪問(wèn)和處理規(guī)則都受到HID Global的“密鑰管理策略和規(guī)范”的嚴(yán)格管控——只有經(jīng)認(rèn)證的設(shè)備才能夠加入該網(wǎng)絡(luò)(與任何計(jì)算機(jī)都可訪問(wèn)任何網(wǎng)站的互聯(lián)網(wǎng)不同)，從而形成了隱性的、嚴(yán)格的身份驗(yàn)證機(jī)制。

各端點(diǎn)之間的TIP消息采用符合行業(yè)標(biāo)準(zhǔn)的加密方法進(jìn)行加密，以便進(jìn)行符合公開(kāi)安全政策的安全信息傳輸。這些TIP信息數(shù)據(jù)包由兩個(gè)嵌套的對(duì)稱密鑰進(jìn)行保護(hù)，其中含有“安全身份驗(yàn)證對(duì)象”(Secure Identity Object，簡(jiǎn)稱SIO)信息。多個(gè)SIO可嵌套到一個(gè)TIP信息中，向各種不同的設(shè)備(如門禁卡、智能手機(jī)及計(jì)算機(jī))提供多種指令。如有必要，每個(gè)設(shè)備都可具有不同的門禁控制特性。例如，最簡(jiǎn)單的SIO就是模擬iCLASS卡上的憑證程序數(shù)據(jù)。

“安全庫(kù)”與端點(diǎn)設(shè)備之間的驗(yàn)證通過(guò)后，該設(shè)備在網(wǎng)絡(luò)中就被視為是“可信的”?？尚旁O(shè)備無(wú)需再與安全庫(kù)進(jìn)行通信，可以獨(dú)立工作。在這種方式下，各端點(diǎn)(如憑證卡及讀卡器)之間的信息傳輸是“可信的”，而由此產(chǎn)生的信息傳輸(例如打開(kāi)一道門或登錄到計(jì)算機(jī))也就被視為是“可信的”。

NFC 移動(dòng)設(shè)備就可作為TIP端點(diǎn)而受到支持，因而能夠使用不同的SIO進(jìn)行編程，進(jìn)而實(shí)現(xiàn)模擬卡片或者更為復(fù)雜的應(yīng)用，不但可以獲授權(quán)通過(guò)門禁系統(tǒng)，還可實(shí)施由其自身進(jìn)行解釋的復(fù)雜門禁控制規(guī)則。

門禁市場(chǎng)的移動(dòng)化與融合趨勢(shì)初露端倪

便攜式身份驗(yàn)證憑證卡將方便用戶獲得、提供、分享和修改存放在電子錢包中的個(gè)人電子鑰匙。憑藉門禁控制信息和記錄保存與支持NFC的手機(jī)中、而不是在門鎖中，用戶更容易保障場(chǎng)所和物品安全。系統(tǒng)可遠(yuǎn)程取消儲(chǔ)存于智能手機(jī)內(nèi)的虛擬憑證卡，并重新發(fā)配憑證，以及更改能使用該虛擬憑證卡的人員及時(shí)間。

現(xiàn)在，越來(lái)越多的用戶正尋求“無(wú)約束”的安全體驗(yàn)，可互操作、靈活以及將憑證卡應(yīng)用于移動(dòng)設(shè)備的開(kāi)放標(biāo)準(zhǔn)的解決方案將成為用戶的新寵。用戶打開(kāi)辦公室大門或登錄企業(yè)電腦所需的所有身份信息都安全地嵌入在手機(jī)中，而不是儲(chǔ)存在可能遭遇復(fù)制或被盜的塑膠卡片中，而且用戶無(wú)需記住密碼(或?qū)⒚艽a寫在便利貼上，然后再將便利貼粘到電腦顯示屏上)。

為支持這種趨勢(shì)，在支持NFC的手機(jī)將嵌入虛擬憑證卡，身份信息管理將轉(zhuǎn)移到云端, 用戶通過(guò)自備終端(Bring Your Own Device)自由登錄軟件即服務(wù)(Software as a Service)以及企業(yè)內(nèi)部應(yīng)用程序，并利用自備的NFC手機(jī)實(shí)現(xiàn)門禁應(yīng)用。同時(shí)，移動(dòng)門禁解決方案通過(guò)支持開(kāi)放標(biāo)準(zhǔn)，提供可互操作的產(chǎn)品以及有效應(yīng)對(duì)未來(lái)變化的門禁基礎(chǔ)設(shè)施，進(jìn)而確保企業(yè)未來(lái)仍可利用今天的技術(shù)投資，減低投資費(fèi)用，并提升門禁系統(tǒng)管理的便利與管理效率。

另一方面，在卡片以及在支持NFC的移動(dòng)設(shè)備層面上，門禁系統(tǒng)都將繼續(xù)融合。用戶越來(lái)越希望無(wú)需使用一次性動(dòng)態(tài)密碼 (One-time Password Token) 或密鑰卡，僅用單一憑證卡就能開(kāi)樓門、登錄網(wǎng)絡(luò)、訪問(wèn)應(yīng)用和其他系統(tǒng)以及安全地遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)。使用單一憑證卡更加方便，而且能在整個(gè)IT基礎(chǔ)設(shè)施內(nèi)的關(guān)鍵系統(tǒng)和應(yīng)用進(jìn)行強(qiáng)大身份驗(yàn)證，因此極大地改善了安全性。這種方式使企業(yè)能利用現(xiàn)有憑證卡投資，增加電腦桌面網(wǎng)絡(luò)登錄，并在企業(yè)網(wǎng)絡(luò)、系統(tǒng)和設(shè)施建立一個(gè)完全可互操作的、多層的安全解決方案，降低部署和運(yùn)營(yíng)費(fèi)用。融合解決放案還有助于企業(yè)滿足監(jiān)管要求，執(zhí)行一致的政策，在企業(yè)內(nèi)實(shí)現(xiàn)一致的審計(jì)記錄，同時(shí)通過(guò)合并任務(wù)來(lái)削減費(fèi)用。

移動(dòng)門禁解決方案是理想的融合平臺(tái)。隨著NFC的采用，用戶將更有興趣將非接觸式卡片技術(shù)的應(yīng)用擴(kuò)展到樓宇門禁領(lǐng)域以外，進(jìn)一步將其應(yīng)用到IT領(lǐng)域的身份驗(yàn)證上。門禁安全團(tuán)隊(duì)與信息安全團(tuán)隊(duì)將開(kāi)始更緊密地合作。手機(jī)應(yīng)用將產(chǎn)生一次性動(dòng)態(tài)密碼或通過(guò)短信接收這種密碼，各種其他門禁密鑰和虛擬憑證卡將通過(guò)便利的、基于云的配置模式，從空中發(fā)送到手機(jī)，這種配置模式消除了憑證卡被復(fù)制的風(fēng)險(xiǎn)，并可發(fā)行臨時(shí)憑證卡、取消丟失或被盜的憑證卡，以及在需要時(shí)監(jiān)視和修改安全參數(shù)。這種趨勢(shì)還有助于改善生物識(shí)別模式的經(jīng)濟(jì)效益，它將智能手機(jī)變成了儲(chǔ)存模板的便攜式數(shù)據(jù)庫(kù)，可簡(jiǎn)化系統(tǒng)啟動(dòng)，跨多個(gè)地點(diǎn)支持無(wú)限多的用戶群，消除模板管理所需的冗余布線要求。不過(guò)，這種趨勢(shì)還將導(dǎo)致需要充足的云端安全數(shù)據(jù)，這樣智能手機(jī)才能用來(lái)登錄網(wǎng)絡(luò)和應(yīng)用。至于應(yīng)對(duì)數(shù)據(jù)向云端的遷移，最有效的方式有可能是聯(lián)合身份信息管理，采用這種方式，用戶在一個(gè)中央門戶接受身份驗(yàn)證，就可訪問(wèn)多種應(yīng)用。

受目前NFC 技術(shù)的普及及相關(guān)產(chǎn)業(yè)鏈還有待完善，未來(lái)幾年中，支持NFC的智能手機(jī)不可能完全取代智能卡。NFC智能手機(jī)中的移動(dòng)門禁虛擬憑證卡將與智能卡和身份卡共存，以便企業(yè)能選擇，在其門禁控制系統(tǒng)中，是使用智能卡、移動(dòng)設(shè)備還是二者同時(shí)使用。