文/趙建邦

作者系HID Global 大中華區(qū)營銷總監(jiān)

2012年，門禁行業(yè)為基于NFC移動設備部署移動門禁解決方案奠定了基礎。為了促進移動門禁的廣泛采用，整個系統(tǒng)必須支持廣泛使用且具備安全組件的NFC手機，及所有主流操作系統(tǒng)。在智能手機安全組件內保護所有密鑰和加密操作的安全，以確保在NFC手機、手機的安全組件以及其他安全介質和設備之間，在可靠的身份認證框架之內，有一個安全的通信通道來傳送信息。安全組件通常是一種嵌入式防篡改集成電路，或一種稱為用戶識別模塊（SIM）的插件模塊。整個系統(tǒng)還必須包括能讀取手機中虛擬密鑰的讀卡器、門鎖及其他硬件，由移動網絡運營商、可信服務管理器（Trusted Service Managers，簡稱TSM）以及可提供和管理虛擬憑證卡的其他提供商組成的生態(tài)系統(tǒng)。時機的把握和生態(tài)系統(tǒng)的發(fā)展將影響NFC用于具體應用的速度，例如移動支付、交通票務、門禁等應用。

移動門禁將與卡片門禁并存

移動門禁最大的好處之一，是用戶打開辦公室大門或登錄企業(yè)電腦所需的所有身份信息都安全地嵌入在手機中，而不是儲存在可能遭遇復制或被盜的塑膠卡片中，而且用戶無需記住密碼（或將密碼寫在便利貼上，然后再將便利貼粘到電腦顯示屏上）。盡管有這些和其他一些好處，但是在未來幾年中，支持NFC的智能手機不可能完全取代智能卡。相反，NFC智能手機中的移動門禁虛擬憑證卡將與智能卡和身份卡共存，以便企業(yè)能選擇，在其門禁控制系統(tǒng)中，是使用智能卡、移動設備還是二者同時使用。很多企業(yè)仍然會讓員工攜帶傳統(tǒng)卡片，因為這類卡片可用來進行照片識別。很重要的一點是，用戶要提前規(guī)劃，以在門禁控制系統(tǒng)中支持兩種類型的憑證卡。

移動技術加速與門禁系統(tǒng)融合

用戶越來越希望，無需一次性動態(tài)密碼或密鑰卡，僅用單一憑證卡就能開樓門、登錄網絡、訪問應用和其他系統(tǒng)以及安全地遠程訪問網絡。使用單一憑證卡更加方便，而且能在整個IT基礎設施內而不僅僅是在系統(tǒng)邊緣，針對關鍵系統(tǒng)和應用進行強大的身份驗證，因此極大地改善了安全性。這種方式使企業(yè)能利用現有憑證卡投資，無縫增加電腦桌面網絡登錄控制，跨企業(yè)網絡、系統(tǒng)和設施建立一個完全可互操作的、多層的安全解決方案，因此能降低部署和運行費用。融合式解決放案還有助于企業(yè)滿足監(jiān)管要求，執(zhí)行一致的政策，在企業(yè)內實現一致的審計記錄，同時通過合并任務來削減費用。

移動門禁解決方案是理想的融合平臺。隨著NFC的采用，人們將更有興趣將非接觸式卡片技術的應用擴展到樓宇門禁領域以外，進一步將其應用到IT領域的身份驗證上。實體設施安全團隊與IT安全團隊將開始更緊密地合作。手機應用將產生一次性動態(tài)密碼或通過短信息接收這種密碼，各種其他門禁密鑰和虛擬憑證卡將通過便利的、基于云的配置模式，從空中發(fā)送到手機，這種配置模式消除了憑證卡被復制的風險，并使發(fā)行臨時憑證卡、取消丟失或被盜的憑證卡更容易了，且在需要時監(jiān)視和修改安全參數也更容易了。這種趨勢還有助于改善生物識別模式的經濟性，它將智能手機變成了儲存模板的便攜式數據庫，可簡化系統(tǒng)啟動，跨多個地點支持無限多的用戶群，消除模板管理所需的冗余布線要求。不過，這種趨勢還將導致需要充足的云端安全數據，這樣智能手機才能用來登錄網絡和應用。至于應對數據向云端的遷移，最有效的方式有可能是聯合身份信息管理，采用這種方式，用戶在一個中央門戶接受身份驗證，就可訪問多種應用。

感應卡向磁條卡智能卡技術遷移

卡片技術將繼續(xù)從感應卡向磁條卡直至智能卡發(fā)展。今天門禁應用的黃金標準是非接觸式智能卡，這種智能卡基于開放標準，具備通用卡片邊緣——又稱卡片命令接口，這改善了在可靠的身份認證框架之內，與廣泛的產品生態(tài)系統(tǒng)的互操作性。最新的卡片改善了安全性、隱私保護以及向虛擬憑證卡的可移植性，同時用戶附加了越來越多的可視及虛擬安全層，日益增強了卡片及身份卡的安全性?？梢暡糠职ǚ直媛矢叩膱D像、通過層壓形成的全息卡片以及不可更改的、激光刻寫的個人特征數據?？ㄆ€越來越多地容納了更大的數字存儲容量，以便能包括生物識別以及其他多因子身份驗證信息，增強身份驗證能力。打印技術也會繼續(xù)進步，以支持上述趨勢，簡化卡片制作及發(fā)行，同時使卡片更加安全。

此外，智能卡將進入新的市場。例如，美國正在探討，用什么樣的解決方案來實現基于芯片卡技術的Europay Mastercard Visa（EMV）信用及借記支付標準。遷移到智能卡可以實現更高的安全性，另一個好處是，可在單一解決方案中整合多種應用以及門禁和電腦桌面登陸功能，而且可以選擇將這些應用和功能放在支持NFC的智能手機上。盡管遷移確實需要更改一些東西，但是采用多種技術的卡片和讀卡器與現場可編程卡片及系統(tǒng)相結合，可以最大限度地減少對日常工作流程的干擾，而且員工和企業(yè)很快就能從更安全、用戶更易用的環(huán)境受益，這種環(huán)境為未來擴展功能和應用奠定了基礎。

移動門禁借助云服務獲得創(chuàng)新服務支持

企業(yè)已經開始向一些云服務提供商外包傳統(tǒng)身份卡項目，這些云服務提供商的規(guī)模和資源足以應對大量時限緊迫的訂單，而單獨的憑證卡發(fā)行商或集成商卻難以獨立承接這類訂單。現在，隨著移動門禁的出現，服務范圍也將擴大，將包括部署和管理用戶NFC智能手機攜帶的虛擬憑證卡。

企業(yè)將以兩種方式配置移動門禁虛擬憑證卡。第一種是通過互聯網門戶進行的，該門戶與用來配置傳統(tǒng)塑膠憑證卡的互聯網門戶類型相同（移動設備通過USB或Wi-Fi鏈路連接到網絡）。第二種方式是通過移動網絡運營商通過空中進行的，類似于智能手機用戶下載應用和歌曲的方式。通用門禁可信服務管理器（TSM）將無縫地連接到移動網絡運營商、運營商的TSM以及NFC智能手機，NFC智能手機接收加密密鑰和虛擬憑證卡，將其存儲在手機的SIM卡或微型SD卡等安全組件中。新應用也將推送到手機中，以便多因子驗證成為與情景有關的、實時的托管式服務。