自備智能手機，實(shí)現門(mén)禁控制和電腦桌面登錄

主題：自備終端(BYOD)發(fā)展趨勢;用員工自己的移動(dòng)設備來(lái)控制對工作設施及設備的使用，會(huì )對信息安全產(chǎn)生怎樣的影響;在不使公司有安全風(fēng)險或不損害員工隱私的前提下，有哪些方式能安全地實(shí)現這樣的設施及設備使用。

自備終端(Bring Your Own Device，簡(jiǎn)稱(chēng)BYOD)，即企業(yè)允許員工離職時(shí)保留自己的手機，這種做法正日益流行。如今智能手機功能也越來(lái)越多，我們不僅能用自己的手機訪(fǎng)問(wèn)電腦、網(wǎng)絡(luò )和有關(guān)的信息資料，還能用手機開(kāi)門(mén)和進(jìn)入安全區域。在自備終端環(huán)境中部署這類(lèi)網(wǎng)絡(luò )訪(fǎng)問(wèn)和門(mén)禁應用需要配置相關(guān)的基礎設施，具備正確的技術(shù)，同時(shí)進(jìn)行安全性評估和適當規劃。

門(mén)禁功能最近才被添加到智能手機里 。在最簡(jiǎn)單的應用情況下，要實(shí)現移動(dòng)門(mén)禁控制，僅需用智能手機上運行的虛擬憑證卡軟件取代塑膠卡片，并復制基于卡片的門(mén)禁控制規則即可。系統仍然需要在讀卡器和存儲門(mén)禁規則的中央硬件控制面板(或服務(wù)器)之間做出門(mén)禁決策。在這種情況下，讀卡器仍然連接到中央門(mén)禁控制系統。

如今的智能手機還能產(chǎn)生一次性動(dòng)態(tài)密碼(One Time Password, 簡(jiǎn)稱(chēng)OTP)，以安全地登錄到另一部移動(dòng)設備或桌面電腦，并訪(fǎng)問(wèn)網(wǎng)絡(luò )。此外，具備虛擬憑證卡的智能手機可用來(lái)購買(mǎi)物品，例如在公司食堂買(mǎi)飯，還可用來(lái)安全地使用打印設備?？紤]到自備智能手機具有如此豐富的功能，越來(lái)越多的員工開(kāi)始用自己的手機訪(fǎng)問(wèn)系統、數據和公司設施， IT部門(mén)應該積極研發(fā)相關(guān)的解決方案，從而更好地保護這些資源。移動(dòng)門(mén)禁控制系統要順利、安全地與現有門(mén)禁控制系統及傳統塑膠門(mén)禁卡共存，這需要滿(mǎn)足幾項要求。首先，從智能手機到門(mén)禁讀卡器，必須有一種數據通信方式。用支持近距離無(wú)線(xiàn)通信(Near Field Communications，簡(jiǎn)稱(chēng)NFC)的手機和/或支持NFC的附加設備可以實(shí)現這種數據通信，例如microSD卡就是這樣一種附加設備，確保不支持NFC的設備也能安全升級。

其次，必須有一個(gè)由讀卡器、門(mén)鎖以及其他硬件組成的生態(tài)系統，這些生態(tài)系統組件可以讀取虛擬憑證卡，并以適當的行動(dòng)來(lái)回應，例如打開(kāi)門(mén)鎖，或允許訪(fǎng)問(wèn)電腦和網(wǎng)絡(luò )。目前，已經(jīng)有超過(guò)65萬(wàn)家酒店安裝了能用支持NFC的智能手機打開(kāi)的門(mén)鎖。同樣地，可互操作的在線(xiàn)門(mén)禁讀卡器、機電門(mén)鎖以及連接桌面電腦或PC登錄的讀卡器也正在部署，而且第三方廠(chǎng)商也在開(kāi)發(fā)支持NFC的硬件解決方案，包括生物識別設備、考勤終端和電動(dòng)汽車(chē)充電站等等。

最后，對于智能手機上使用的虛擬密鑰和虛擬憑證卡，必須有一種建立和管理的方式。這不僅要求要用一種新的方式來(lái)描述身份信息，還要求這種身份信息的描述要在一種可靠的身份認證框架之內進(jìn)行，以便自備智能手機能安全地在門(mén)禁控制網(wǎng)絡(luò )中使用。

這種身份信息的描述必須支持多種與安全身份信息有關(guān)的加密數據模型， 包括生物識別數據、考勤數據等?？煽康纳矸菡J證框架確保在被驗證終端之間有一條安全的通信渠道。用來(lái)確認自備終端安全可靠的技術(shù)需要使用手機的安全組件，該組件通常是一個(gè)嵌入式電路，或者是一個(gè)插入式模塊，常常被稱(chēng)為用戶(hù)識別模塊(SIM)。

通過(guò)建立一個(gè)由安全可靠的終端組成的生態(tài)系統，自備智能手機在門(mén)禁系統中可以得到有效管理，這樣，手機、讀卡器和門(mén)鎖之間的身份信息配置/取消配置以及其他所有信息的處理就變得安全可靠了。該框架與成熟可靠的智能手機技術(shù)相結合，可建立一個(gè)極其安全的移動(dòng)身份驗證環(huán)境。

運用這個(gè)框架，無(wú)論移動(dòng)設備位于何處、怎樣連接，企業(yè)都可以向這些移動(dòng)設備發(fā)布虛擬憑證卡和虛擬密鑰。一種方式是通過(guò)互聯(lián)網(wǎng)，類(lèi)似于傳統上購買(mǎi)塑膠憑證卡的模式，但通過(guò)USB或支持Wi-Fi的連接器連接自備終端?；蛘?，虛擬憑證卡可以由服務(wù)供應商空中傳送，類(lèi)似于今天的智能手機用戶(hù)下載應用和歌曲的方式。為了通過(guò)空中獲得虛擬憑證卡，支持NFC的智能手機需要與可信服務(wù)管理器(Trusted Service Manager，簡(jiǎn)稱(chēng)TSM)通信，然后或者直接連接到移動(dòng)網(wǎng)絡(luò )運營(yíng)商，或者連接到其TSM，這樣虛擬憑證卡就可以提供給智能手機的SIM卡了。視乎企業(yè)的信息安全政策，用戶(hù)可通過(guò)NFC“輕觸即提供(tap-n-give)”的配置，與授權用戶(hù)共享虛擬憑證卡和虛擬密鑰。

安全的移動(dòng)配置模型消除了塑膠卡片可能被復制的傳統風(fēng)險，而且使發(fā)行臨時(shí)憑證卡、在憑證卡丟失或被盜時(shí)撤銷(xiāo)憑證卡變得更容易，同時(shí)在需要的情況下，例如對信息安全的威脅級別上升時(shí)，監視和修改安全參數也更容易了。系統管理員可以使用管理服務(wù)，通過(guò)空中取消虛擬憑證卡的配置，或者在門(mén)禁控制系統數據庫中刪除訪(fǎng)問(wèn)權。企業(yè)還可以動(dòng)態(tài)地、基于背景情況進(jìn)行設定，例如撤銷(xiāo)雙因子驗證，企業(yè)甚至可以支持可變的信息安全級別，并使用附加的數據元素。例如，當安全威脅升級時(shí)，可以動(dòng)態(tài)地取消雙因子驗證，而且可以推送給手機一個(gè)應用，要求用戶(hù)輸入4位PIN碼，或者要求在手機發(fā)送信息開(kāi)門(mén)之前，做出一個(gè)刷卡的手勢。

隨著(zhù)門(mén)禁和電腦桌面登錄應用轉向自備智能手機，有幾個(gè)問(wèn)題需要解決。首先，要保護個(gè)人隱私，同時(shí)保護企業(yè)免受會(huì )造成損害的個(gè)人應用的影響，所有應用和其他ID憑證卡都必須局限于在個(gè)人和企業(yè)之間使用。另一個(gè)挑戰是，怎樣利用虛擬密鑰及虛擬憑證卡達成其他應用，例如，讓?xiě)弥С諴IN碼輸入，以使密鑰“解鎖”，完成驗證或簽署過(guò)程。此外，中間件API必須標準化，這樣ID憑證卡功能才能應用。

另外，也許有必要支持衍生憑證卡，例如從美國聯(lián)邦工作人員的個(gè)人身份驗證(Personal Identity Verification, 簡(jiǎn)稱(chēng)PIV)卡衍生的那些憑證卡。局限于企業(yè)和個(gè)人之間這種使用方式與衍生憑證卡相結合，還會(huì )催生對分層生命周期管理的需求，例如，如果移動(dòng)設備丟失，那么憑借分層生命周期管理，就可以取消所有憑證卡，而如果取消個(gè)人身份驗證卡，那么將自動(dòng)取消僅用于工作環(huán)境的移動(dòng)ID憑證卡。也許移動(dòng)ID的多維管理問(wèn)題，才正是自備終端模式中最具挑戰性的部分。

門(mén)禁和電腦桌面登錄功能要在自備智能手機上共存，就需要確保云端存儲的安全性。有4種可能的方法。第一種是在公用互聯(lián)網(wǎng)上采用一種開(kāi)放的訪(fǎng)問(wèn)模型，在這種模型中，用戶(hù)名和密碼由軟件即服務(wù)(SaaS)供應商管理。盡管這種方法易于采用，但是所提供的數據保護能力是最弱的。第二種是采用虛擬專(zhuān)用網(wǎng)絡(luò )(Virtual Private Network ，簡(jiǎn)稱(chēng)VPN)，并要求遠程用戶(hù)在輸入用戶(hù)名和密碼之前，先就虛擬專(zhuān)用網(wǎng)絡(luò )進(jìn)行驗證(最有可能的是通過(guò)一次性動(dòng)態(tài)密碼解決方案實(shí)現)。不過(guò)，虛擬專(zhuān)用網(wǎng)絡(luò )對用戶(hù)而言不夠方便，不能很好地擴展以容納自備設備，因為虛擬專(zhuān)用網(wǎng)絡(luò )要求在很多不同的設備上安裝虛擬專(zhuān)用網(wǎng)絡(luò )客戶(hù)端和個(gè)人應用，而且虛擬專(zhuān)用網(wǎng)絡(luò )沒(méi)有針對互聯(lián)網(wǎng)安全威脅提供額外保護。

第三種方法是強大的本機驗證，這種方法也不夠便利，因為每個(gè)應用都要求獨特的、唯一的安全解決方案。第四種也是最好的一種方法，是聯(lián)合身份管理，采用這種方法時(shí)，用戶(hù)就一個(gè)中央門(mén)戶(hù)進(jìn)行驗證，以訪(fǎng)問(wèn)多種應用。這種方式支持很多不同的驗證方法，不需要在最終用戶(hù)的設備上安裝任何東西，而且可對任何被訪(fǎng)問(wèn)的應用集中提供審計記錄，因此能滿(mǎn)足法規遵從要求。這種方法也能經(jīng)得起高級持續性威脅(Advanced Persistent Threats, 簡(jiǎn)稱(chēng)APTs)、專(zhuān)門(mén)的黑客攻擊、前員工的惡意行為以及員工欺詐等內部安全威脅。聯(lián)合身份管理還適用于存儲在其他地方的內部應用，使用戶(hù)能在一個(gè)位置上方便地訪(fǎng)問(wèn)各種應用。不過(guò)，無(wú)論選擇哪種方法，對于企業(yè)一方和自備終端所有者一方而言，都有可能存在其他需要解決的政策及采用問(wèn)題。企業(yè)想要自備終端所有者放棄一定的權利，以使他們能用自己的手機開(kāi)門(mén)和登錄電腦桌面，而自備終端所有者不想使用某些功能，因為他們害怕泄露隱私。

自備終端具備大量?jì)?yōu)點(diǎn)，尤其是員工的智能手機能成為一種載體，寄存了企業(yè)中種類(lèi)日益增多的門(mén)禁和電腦桌面登錄密鑰及憑證卡。即將出現的新一代移動(dòng)門(mén)禁控制解決方案將提供更大的便利性和管理靈活性，同時(shí)可確保在智能手機、電腦和網(wǎng)絡(luò )資源、門(mén)禁控制系統以及云端和空中交付身份信息的基礎設施之間，安全地處理數據。