保障访问IT和门禁系统的安全方案的探讨

主页（http://www.kuwanit.com）：保障访问IT和门禁系统的安全方案的探讨

双芯片证卡：在智能卡上嵌入非接触式芯片用于物理门禁，嵌入接触式芯片用于计算机桌面登录。使用卡管理系统（Credential Management System，简称CMS），可以在接触式芯片上管理PKI证书和OTP密钥等凭证卡。

在融合的门禁模式中，身份凭证卡可通过多种形式颁发，例如射频卡、智能卡（如ID卡），甚至智能手机。根据企业的要求和现有基础设施，建立该解决方案有多种方法。以下是三种最常见的模式：
该方法不使用通过证书授权将公开密钥和用户身份捆绑到一起的PKI.用于美国联邦机构的PKI强认证，是各个联邦机构及其承包商的计算机桌面登录和数字文档签名的关键元素。数字证书包括用户公开密钥，其保存在个人身份验证（Personal Identification Verification，简称PIV）卡上，该证卡利用了智能卡和生物识别技术（一种数字签名的指纹模板），并且支持多因子验证方法。除了依赖共享的身份验证密钥，也可以使用一对公开密钥和私人密钥，这些密钥联系到一起，以便一个密钥拥有的信息只能使用另一个密钥进行解码或验证。Federal Bridge用于建立相互认证机构的PKI之间的互信渠道（即，单独和独立的基础设施，每个拥有自身的根证书授权），从而保障参与Federal Bridge的政府机构之间安全交换数字签名和证书。

●降低成本——减少对多种门禁解决方案的投资，集中管理，并且将任务整合到包括发证、换证和注销证件的整套管理和流程中。

各个组织正在努力支持这些移动设备的接入，同时寻找将用户的移动设备作为携带门禁和计算机桌面登录凭证卡平台的方法。目前已有试点单位（例如亚利桑那州立大学的一个设施）证明了使用手机携带门禁凭证卡的可行性。联邦政府也正在考虑移动门禁。FIPS-201-2预计包括一些扩充部分，例如，可以在手机安全元件（SE，与证卡使用相同的加密服务）中携带的派生凭证卡概念。

移动性正推动融合，门禁安全小组和IT安全小组针对移动性合作提出新的解决方案。最终提出的解决方案以高性价比的方式轻松管理手机上门禁卡和IT访问凭证卡，同时提供与使用实体证卡相同的安全性。

将门禁和IT资源访问集成到单一设备上，可以用于许多应用，因而改善了用户体验，同时提高了安全性并降低了部署和运营成本。未来将不再需要多个提供和注册IT和门禁身份的独立流程。取而代之的是在单一身份管理中采用一个统一工作流程，从而实现机构的融合。各个机构将能够保障大楼和IT资源的无缝安全访问，例如计算机、网络、数据和云端。一个有效的解决方案将能根据需要扩展以保障其他资源的安全访问，以支持完全互操作的多重安全策略，并可在当前和未来保护机构的大楼、网络、系统和应用的安全。

实现真正融合的优势

本文引用地址：

越来越多的机构采用新的业务模型，在这些模型中，单一证卡或智能手机可以支持多种门禁方式及用于多种场景和多种身份融合。用户携带独立证卡或其他设备既可用于开门、登录电脑和基于云端应用，同时也能够实现其他高价值的应用，包括电子支付、考勤管理和安全打印管理等。

了解融合的促成因素
众所周知，用户越来越多的使用移动设备，并且将自带设备（BYOD）带入机构环境中，使用智能手机、笔记本计算机和平板电脑访问所需的企业资源。根据ABI的统计，截止2015年，将有70亿台无线设备接入网络，这接近于全球每人一部移动设备。



双接口证卡模型主要适用于美国联邦政府组织，OMB-11-11法令要求将FIPS 201规定的PIV凭证卡用于门禁。默认情况下，非接触式接口上的PKI用于门禁会导致效率降低。为了解决该问题，FIPS 201-2计划允许使用有关身份验证和密钥商定协议的隐私访问控制身份和票务开放协议（OPACITY），这将使关键任务的效率提高大约四倍。它还将提供安全的无线通信，从而允许用户在非接触式接口使用PIN和生物识别技术。这将进一步加强门禁和计算机桌面登录的身份验证。
在这一套流程中，为单一证卡或智能手机提供IT和门禁系统凭证卡的需求日益增加。除了便利性外，将凭证卡融合到单一证卡或设备也可以显著提高安全性并降低运营成本。此外，还可以集中管理身份和门禁，整合任务，使机构快速、有效地在其基础设施内使用强大的身份验证，以保护所有重要的门禁和IT资源。
新的集成凭证卡管理模型使组织朝四个重要方向发展：从证卡到智能手机；从读卡器到更方便的“轻触”式门禁；从公开密钥基础设施（Public Key Infrastructure，简称PKI）到更安全的简化解决方案；以及从传统PKI到真正融合的强大身份验证门禁。

移动门禁要求重新考虑如何管理门禁凭证卡以及如何将他们移植到智能手机的问题，以便机构可以选择在他们的门禁系统中使用智能卡或移动设备。为此，HID Global为其iCLASS SE平台建立了一个新的数据模型，称为Secure Identity Object （SIO），该数据模型可以在任何设备上代表多种形式的身份信息，这些设备能够在公司的Trusted Identity Platform （TIP）安全边界和中央身份验证管理生态系统内进行工作。TIP使用安全信道在通过验证的手机、手机安全元件、其他安全介质和设备之间传输身份信息。TIP和SIO的集成不仅提高了安全性，而且提供了适应未来需求的灵活性，例如为卡添加新的应用。它旨在提供可靠的安全性，因此在BYOD环境中特别具有吸引力。

传统非接触式证卡：使现有的基于证卡的门禁系统利用iCLASS、iCLASS Seos MIFARE和MIFARE DESFire等技术，将身份验证扩展到企业网络和应用。软件需部署到最终用户的工作站，并将非接触式读卡器连接至或嵌入到该工作站，由此无需实际插入读卡器即可“读取”该证卡。这为用户带来了便利，他们可以使用相同的证卡开门、轻触登录个人电脑或便携式电脑，从而访问他们的计算机、公司应用程式和云端服务。
通过移动门禁模型，智能手机可以支持任何门禁数据，包括用于门禁、电子支付、生物识别、PC登录以及许多其他应用的数据。身份验证凭证卡将存储到移动设备的安全元件上，而云身份提供模型将消除凭证卡被复制的风险，同时使发行临时凭证卡、取消挂失凭证卡、监控和修改安全参数更轻松。用户将能够在手机上携带多种门禁凭证卡以及OTP电脑登录密钥，这样他们只需轻触个人平板电脑，即可完成身份验证登录网络。通过将手机上的移动密钥和云应用单点登录能力集成到一起，可以将传统的双因子身份验证和精简的多个云应用登录整合到用户很少丢失或遗忘的单一设备上。此外，同一部手机也可以用于开门和许多其他应用。



移动设备何去何从？

员工希望方便地使用单一证卡或设备即可快速、轻松地访问其业务所需的资源。而为了实现该目标，机构必须部署一个可以保障从出入到访问公司计算机、数据、应用和云端的整体安全解决方案。他们必须将传统上独立的门禁和IT安全整合到一起，以协调管理用户的身份和门禁。

融合门禁的价值

真正融合的门禁包括一个安全策略、一个身份凭证卡和一个审核日志。一些组织通过定义门禁和资源使用权限的单一策略、单一主用户库以及用于简化报告和审计的单一日志记录，已经成功地实现了用户管理的融合。该方法可帮助企业：
双接口芯片证卡：利用单一的PKI芯片，拥有接触式和非接触式接口，以支持门禁和计算机桌面登录。该证卡可以支持接触式读卡器，用于计算机桌面登录应用，例如登录计算机或为电子邮件签名，也支持PKI身份验证，用于门禁。
本白皮书专注于与IT和门禁融合解决方案相关的促成因素、挑战、部署选择和结果，也介绍了使用云端应用及服务、数据访问和门禁应用时，无缝用户体验的价值所在。此外，本白皮书还解释了将集中用户身份用于多个IT安全应用和门禁系统的统一注册流程的优势。

为大门增加强身份验证