智能社區網訊 自備終端具備大量優點尤其是員工的智能手機能成為一種載體寄存了企業中種類日益增多的門禁和電腦桌面登錄密鑰及憑證卡即將出現的新一代移動門禁控制解決方案將提供更大的便利性和管理靈活性同時可確保在智能手機電腦和網絡資源門禁控制系統以及云端和空中交付身份信息的基礎設施之間安全地處理數據隨著門禁和電腦桌面登錄應用轉向自備智能手機自備終端的應用將會更加普及

    智能手機與門禁

    門禁功能最近才被添加到智能手機里在最簡單的應用情況下要實現移動門禁控制僅需用智能手機上運行的虛擬憑證卡軟件取代塑膠卡片并復制基于卡片的門禁控制規則即可系統仍然需要在讀卡器和存儲門禁規則的中央硬件控制面板或服務器之間做出門禁決策在這種情況下讀卡器仍然連接到中央門禁控制系統

    如今的智能手機還能產生一次性動態密碼OneTimePassword,簡稱OTP以安全地登錄到另一部移動設備或桌面電腦并訪問網絡此外具備虛擬憑證卡的智能手機可用來購買物品例如在公司食堂買飯還可用來安全地使用打印設備

    考慮到自備智能手機具有如此豐富的功能越來越多的員工開始用自己的手機訪問系統數據和公司設施IT部門應該積極研發相關的解決方案從而更好地保護這些資源移動門禁控制系統要順利安全地與現有門禁控制系統及傳統塑膠門禁卡共存這需要滿足幾項要求首先從智能手機到門禁讀卡器必須有一種數據通信方式用支持近距離無線通信NearFieldCommunications簡稱NFC的手機和/或支持NFC的附加設備可以實現這種數據通信例如microSD卡就是這樣一種附加設備確保不支持NFC的設備也能安全升級

    其次必須有一個由讀卡器門鎖以及其他硬件組成的生態系統這些生態系統組件可以讀取虛擬憑證卡并以適當的行動來回應例如打開門鎖或允許訪問電腦和網絡目前已經有超過65萬家酒店安裝了能用支持NFC的智能手機打開的門鎖同樣地可互操作的在線門禁讀卡器機電門鎖以及連接桌面電腦或PC登錄的讀卡器也正在部署而且第三方廠商也在開發支持NFC的硬件解決方案包括生物識別設備考勤終端和電動汽車充電站等等

    最后對于智能手機上使用的虛擬密鑰和虛擬憑證卡必須有一種建立和管理的方式這不僅要求要用一種新的方式來描述身份信息還要求這種身份信息的描述要在一種可靠的身份認證框架之內進行以便自備智能手機能安全地在門禁控制網絡中使用

    這種身份信息的描述必須支持多種與安全身份信息有關的加密數據模型包括生物識別數據考勤數據等可靠的身份認證框架確保在被驗證終端之間有一條安全的通信渠道用來確認自備終端安全可靠的技術需要使用手機的安全組件該組件通常是一個嵌入式電路或者是一個插入式模塊常常被稱為用戶識別模塊SIM

    通過建立一個由安全可靠的終端組成的生態系統自備智能手機在門禁系統中可以得到有效管理這樣手機讀卡器和門鎖之間的身份信息配置/取消配置以及其他所有信息的處理就變得安全可靠了該框架與成熟可靠的智能手機技術相結合可建立一個極其安全的移動身份驗證環境

    運用這個框架無論移動設備位于何處怎樣連接企業都可以向這些移動設備發布虛擬憑證卡和虛擬密鑰一種方式是通過互聯網類似于傳統上購買塑膠憑證卡的模式但通過USB或支持Wi-Fi的連接器連接自備終端或者虛擬憑證卡可以由服務供應商空中傳送類似于今天的智能手機用戶下載應用和歌曲的方式為了通過空中獲得虛擬憑證卡支持NFC的智能手機需要與可信服務管理器TrustedServiceManager簡稱TSM通信然后或者直接連接到移動網絡運營商或者連接到其TSM這樣虛擬憑證卡就可以提供給智能手機的SIM卡了視乎企業的信息安全政策用戶可通過NFC輕觸即提供tap-n-give的配置與授權用戶共享虛擬憑證卡和虛擬密鑰

    安全的移動配置模型消除了塑膠卡片可能被復制的傳統風險而且使發行臨時憑證卡在憑證卡丟失或被盜時撤銷憑證卡變得更容易同時在需要的情況下例如對信息安全的威脅級別上升時監視和修改安全參數也更容易了系統管理員可以使用管理服務通過空中取消虛擬憑證卡的配置或者在門禁控制系統數據庫中刪除訪問權企業還可以動態地基于背景情況進行設定例如撤銷雙因子驗證企業甚至可以支持可變的信息安全級別并使用附加的數據元素例如當安全威脅升級時可以動態地取消雙因子驗證而且可以推送給手機一個應用要求用戶輸入4位PIN碼或者要求在手機發送信息開門之前做出一個刷卡的手勢

    電腦桌面登陸與智能手機

    隨著門禁和電腦桌面登錄應用轉向自備智能手機有幾個問題需要解決首先要保護個人隱私同時保護企業免受會造成損害的個人應用的影響所有應用和其他ID憑證卡都必須局限于在個人和企業之間使用另一個挑戰是怎樣利用虛擬密鑰及虛擬憑證卡達成其他應用例如讓應用支持PIN碼輸入以使密鑰解鎖完成驗證或簽署過程此外中間件API必須標準化這樣ID憑證卡功能才能應用

    另外也許有必要支持衍生憑證卡例如從美國聯邦工作人員的個人身份驗證PersonalIdentityVerification,簡稱PIV卡衍生的那些憑證卡局限于企業和個人之間這種使用方式與衍生憑證卡相結合還會催生對分層生命周期管理的需求例如如果移動設備丟失那么憑借分層生命周期管理就可以取消所有憑證卡而如果取消個人身份驗證卡那么將自動取消僅用于工作環境的移動ID憑證卡也許移動ID的多維管理問題才正是自備終端模式中最具挑戰性的部分

    門禁和電腦桌面登錄功能要在自備智能手機上共存就需要確保云端存儲的安全性有4種可能的方法第一種是在公用互聯網上采用一種開放的訪問模型在這種模型中用戶名和密碼由軟件即服務SaaS供應商管理盡管這種方法易于采用但是所提供的數據保護能力是最弱的第二種是采用虛擬專用網絡VirtualPrivateNetwork簡稱VPN并要求遠程用戶在輸入用戶名和密碼之前先就虛擬專用網絡進行驗證最有可能的是通過一次性動態密碼解決方案實現不過虛擬專用網絡對用戶而言不夠方便不能很好地擴展以容納自備設備因為虛擬專用網絡要求在很多不同的設備上安裝虛擬專用網絡客戶端和個人應用而且虛擬專用網絡沒有針對互聯網安全威脅提供額外保護

    第三種方法是強大的本機驗證這種方法也不夠便利因為每個應用都要求獨特的唯一的安全解決方案第四種也是最好的一種方法是聯合身份管理采用這種方法時用戶就一個中央門戶進行驗證以訪問多種應用這種方式支持很多不同的驗證方法不需要在最終用戶的設備上安裝任何東西而且可對任何被訪問的應用集中提供審計記錄因此能滿足法規遵從要求這種方法也能經得起高級持續性威脅AdvancedPersistentThreats,簡稱APTs專門的黑客攻擊前員工的惡意行為以及員工欺詐等內部安全威脅聯合身份管理還適用于存儲在其他地方的內部應用使用戶能在一個位置上方便地訪問各種應用不過無論選擇哪種方法對于企業一方和自備終端所有者一方而言都有可能存在其他需要解決的政策及采用問題企業想要自備終端所有者放棄一定的權利以使他們能用自己的手機開門和登錄電腦桌面而自備終端所有者不想使用某些功能因為他們害怕泄露隱私

    關于自備終端

    自備終端BringYourOwnDevice簡稱BYOD即企業允許員工離職時保留自己的手機這種做法正日益流行如今智能手機功能也越來越多我們不僅能用自己的手機訪問電腦網絡和有關的信息資料還能用手機開門和進入安全區域在自備終端環境中部署這類網絡訪問和門禁應用需要配置相關的基礎設施具備正確的技術同時進行安全性評估和適當規劃