保障訪(fǎng)問(wèn)IT和門(mén)禁系統的安全方案的探討

越來(lái)越多的機構采用新的業(yè)務(wù)模型，在這些模型中，單一證卡或智能手機可以支持多種門(mén)禁方式及用于多種場(chǎng)景和多種身份融合。用戶(hù)攜帶獨立證卡或其他設備既可用于開(kāi)門(mén)、登錄電腦和基于云端應用，同時(shí)也能夠實(shí)現其他高價(jià)值的應用，包括電子支付、考勤管理和安全打印管理等。

在這一套流程中，為單一證卡或智能手機提供IT和門(mén)禁系統憑證卡的需求日益增加。除了便利性外，將憑證卡融合到單一證卡或設備也可以顯著(zhù)提高安全性并降低運營(yíng)成本。此外，還可以集中管理身份和門(mén)禁，整合任務(wù)，使機構快速、有效地在其基礎設施內使用強大的身份驗證，以保護所有重要的門(mén)禁和IT資源。

新的集成憑證卡管理模型使組織朝四個(gè)重要方向發(fā)展：從證卡到智能手機；從讀卡器到更方便的“輕觸”式門(mén)禁；從公開(kāi)密鑰基礎設施（Public Key Infrastructure，簡(jiǎn)稱(chēng)PKI）到更安全的簡(jiǎn)化解決方案；以及從傳統PKI到真正融合的強大身份驗證門(mén)禁。

本白皮書(shū)專(zhuān)注于與IT和門(mén)禁融合解決方案相關(guān)的促成因素、挑戰、部署選擇和結果，也介紹了使用云端應用及服務(wù)、數據訪(fǎng)問(wèn)和門(mén)禁應用時(shí)，無(wú)縫用戶(hù)體驗的價(jià)值所在。此外，本白皮書(shū)還解釋了將集中用戶(hù)身份用于多個(gè)IT安全應用和門(mén)禁系統的統一注冊流程的優(yōu)勢。

了解融合的促成因素

以前，各個(gè)機構專(zhuān)注于在周邊建立強大的安防系統，以保護他們的門(mén)禁和IT資源。傳統的門(mén)禁方法依靠用戶(hù)出示ID卡進(jìn)入大樓，然后在大樓內部，使用靜態(tài)密碼驗證身份以訪(fǎng)問(wèn)IT資源。鑒于目前的高級持續性威脅（Advanced Persistent Threat）的性質(zhì)以及與自帶設備（Bring Your Own Device）相關(guān)的所有內部風(fēng)險，這些安全訪(fǎng)問(wèn)方法存在不足。

機構要求能夠在他們的基礎設施內更好地控制訪(fǎng)問(wèn)和使用強大的身份驗證，以作為他們多層安全策略的一部分。但是，為企業(yè)數據保護選擇有效的身份驗證通常非常困難。市面上可用的絕大部分解決方案，或者在安全性方面存在問(wèn)題，或者為機構帶來(lái)的成本和復雜度問(wèn)題，或者為用戶(hù)帶來(lái)體驗方面的不足。

員工希望方便地使用單一證卡或設備即可快速、輕松地訪(fǎng)問(wèn)其業(yè)務(wù)所需的資源。而為了實(shí)現該目標，機構必須部署一個(gè)可以保障從出入到訪(fǎng)問(wèn)公司計算機、數據、應用和云端的整體安全解決方案。他們必須將傳統上獨立的門(mén)禁和IT安全整合到一起，以協(xié)調管理用戶(hù)的身份和門(mén)禁。

融合門(mén)禁的價(jià)值

真正融合的門(mén)禁包括一個(gè)安全策略、一個(gè)身份憑證卡和一個(gè)審核日志。一些組織通過(guò)定義門(mén)禁和資源使用權限的單一策略、單一主用戶(hù)庫以及用于簡(jiǎn)化報告和審計的單一日志記錄，已經(jīng)成功地實(shí)現了用戶(hù)管理的融合。該方法可幫助企業(yè)：

●提供便利性——替換一次性密碼（One Time Password，簡(jiǎn)稱(chēng)OTP）設備應用，用戶(hù)無(wú)需攜帶多個(gè)設備或重新輸入OTP，即可訪(fǎng)問(wèn)他們所需的所有門(mén)禁和IT資源。

●提高安全性——在整個(gè)IT基礎設施的關(guān)鍵系統、應用甚至大門(mén)上實(shí)現強認證（而不是僅僅在周邊）。

●降低成本——減少對多種門(mén)禁解決方案的投資，集中管理，并且將任務(wù)整合到包括發(fā)證、換證和注銷(xiāo)證件的整套管理和流程中。



探索多種部署方案

在融合的門(mén)禁模式中，身份憑證卡可通過(guò)多種形式頒發(fā)，例如射頻卡、智能卡（如ID卡），甚至智能手機。根據企業(yè)的要求和現有基礎設施，建立該解決方案有多種方法。以下是三種最常見(jiàn)的模式：

傳統非接觸式證卡：使現有的基于證卡的門(mén)禁系統利用iCLASS、iCLASS Seos MIFARE和MIFARE DESFire等技術(shù)，將身份驗證擴展到企業(yè)網(wǎng)絡(luò )和應用。軟件需部署到最終用戶(hù)的工作站，并將非接觸式讀卡器連接至或嵌入到該工作站，由此無(wú)需實(shí)際插入讀卡器即可“讀取”該證卡。這為用戶(hù)帶來(lái)了便利，他們可以使用相同的證卡開(kāi)門(mén)、輕觸登錄個(gè)人電腦或便攜式電腦，從而訪(fǎng)問(wèn)他們的計算機、公司應用程式和云端服務(wù)。



該方法不使用通過(guò)證書(shū)授權將公開(kāi)密鑰和用戶(hù)身份捆綁到一起的PKI.用于美國聯(lián)邦機構的PKI強認證，是各個(gè)聯(lián)邦機構及其承包商的計算機桌面登錄和數字文檔簽名的關(guān)鍵元素。數字證書(shū)包括用戶(hù)公開(kāi)密鑰，其保存在個(gè)人身份驗證（Personal Identification Verification，簡(jiǎn)稱(chēng)PIV）卡上，該證卡利用了智能卡和生物識別技術(shù)（一種數字簽名的指紋模板），并且支持多因子驗證方法。除了依賴(lài)共享的身份驗證密鑰，也可以使用一對公開(kāi)密鑰和私人密鑰，這些密鑰聯(lián)系到一起，以便一個(gè)密鑰擁有的信息只能使用另一個(gè)密鑰進(jìn)行解碼或驗證。Federal Bridge用于建立相互認證機構的PKI之間的互信渠道（即，單獨和獨立的基礎設施，每個(gè)擁有自身的根證書(shū)授權），從而保障參與Federal Bridge的政府機構之間安全交換數字簽名和證書(shū)。

傳統的非接觸式方法解決了PKI的許多關(guān)鍵管理挑戰，但是該方法支持的應用有限，并且無(wú)法提供與PKI解決方案一樣的安全強度。非接觸式PKI模型正部署到醫院、學(xué)校和其他應用環(huán)境中，在這些環(huán)境中，多個(gè)用戶(hù)需要快速接連訪(fǎng)問(wèn)相同的工作站。此外，該模型還被用于過(guò)渡解決方案，法令要求工作站和應用受到強認證的保護，例如刑事司法信息系統（CJIS）。

雙芯片證卡：在智能卡上嵌入非接觸式芯片用于物理門(mén)禁，嵌入接觸式芯片用于計算機桌面登錄。使用卡管理系統（Credential Management System，簡(jiǎn)稱(chēng)CMS），可以在接觸式芯片上管理PKI證書(shū)和OTP密鑰等憑證卡。



雙芯片證卡模型在內部網(wǎng)絡(luò )擁有敏感的知識產(chǎn)權或有客戶(hù)數據的大中型企業(yè)中廣受歡迎，因為該模型可以提供強大的安全性。此外，該模型使企業(yè)能夠簡(jiǎn)化IT安全基礎設施的管理，并利用現有的門(mén)禁投資，因為在許多情況下，CMS可以直接集成到門(mén)禁管理系統（通常被稱(chēng)為門(mén)禁頭端）中。

雙接口芯片證卡：利用單一的PKI芯片，擁有接觸式和非接觸式接口，以支持門(mén)禁和計算機桌面登錄。該證卡可以支持接觸式讀卡器，用于計算機桌面登錄應用，例如登錄計算機或為電子郵件簽名，也支持PKI身份驗證，用于門(mén)禁。



雙接口證卡模型主要適用于美國聯(lián)邦政府組織，OMB-11-11法令要求將FIPS 201規定的PIV憑證卡用于門(mén)禁。默認情況下，非接觸式接口上的PKI用于門(mén)禁會(huì )導致效率降低。為了解決該問(wèn)題，FIPS 201-2計劃允許使用有關(guān)身份驗證和密鑰商定協(xié)議的隱私訪(fǎng)問(wèn)控制身份和票務(wù)開(kāi)放協(xié)議（OPACITY），這將使關(guān)鍵任務(wù)的效率提高大約四倍。它還將提供安全的無(wú)線(xiàn)通信，從而允許用戶(hù)在非接觸式接口使用PIN和生物識別技術(shù)。這將進(jìn)一步加強門(mén)禁和計算機桌面登錄的身份驗證。

為大門(mén)增加強身份驗證

融合的一項重要優(yōu)勢是，組織能夠利用現有的身份憑證卡投資，在公司網(wǎng)絡(luò )、系統和大門(mén)上，建立完全互操作的多層安全解決方案。強認證不僅越來(lái)越多地用于遠程登錄，而且還用于桌面計算機、關(guān)鍵應用、服務(wù)器、云端系統和設施。這將要求為出入口增加強身份驗證。

實(shí)施強大身份驗證的場(chǎng)所之一是用戶(hù)持有PIV卡的聯(lián)邦機構。為了使用PIV卡進(jìn)入大樓，根據認證中心提供的證書(shū)撤銷(xiāo)列表檢查PIV卡的數字證書(shū)。PKI身份驗證是一種非常高效且可互操作的方法，不僅用于計算機桌面登錄以保護數據，而且用于門(mén)禁以保護設施，后者被稱(chēng)為“出入口PKI”。

隨著(zhù)預算的批準，聯(lián)邦機構正在分階段實(shí)施出入口PKI.為了確保實(shí)現該目標，他們正在配置基礎設施，以便當條件就緒時(shí)，使基礎設施快速、輕松地升級到PKI強大身份驗證方式，以用于門(mén)禁。例如，他們首先將PIV持卡人注冊到前端系統中，然后部署美國總務(wù)管理局（General Services Administration）規定的過(guò)渡性讀卡器。該讀卡器無(wú)需使用任何FIPS-201身份驗證技術(shù)，即可讀取證卡的唯一識別符，并且將其與注冊的持卡人匹配。以后，可以現場(chǎng)重新配置這些過(guò)渡性讀卡器，以支持多因子身份驗證。

隨著(zhù)FIPS 201的發(fā)展以及越來(lái)越多的產(chǎn)品的支持，預計出入口PKI將被廣泛采用。此外，將有機會(huì )使用商業(yè)身份驗證（Commercial Identification Verification，簡(jiǎn)稱(chēng)CIV）卡以較低的成本部署PKI.CIV卡在技術(shù)上與PIV卡相似，但是不包括與聯(lián)邦政府所信任的額外要求。與聯(lián)邦機構不同，CIV卡用戶(hù)不需要從可信方購買(mǎi)證書(shū)，或支付年度維護費用，而是生成自身的證書(shū)。雖然為證書(shū)存儲增加額外空間使證卡增加少量成本，但該少量成本將帶來(lái)有價(jià)值的額外優(yōu)勢——更強大的出入身份驗證。以城市機場(chǎng)為例，該場(chǎng)所將能夠同時(shí)使用CIV證卡和聯(lián)邦交通安全管理局（Transportation Security Administration）員工攜帶的PIV證卡。機場(chǎng)管理層將能夠建立單一的門(mén)禁系統，以同時(shí)支持機場(chǎng)員工和在機場(chǎng)工作的聯(lián)邦機構員工，并且通過(guò)強認證確保更高的安全性。

在整個(gè)門(mén)禁和計算機桌面登錄基礎設施中擴展強認證，對企業(yè)至關(guān)重要。機構需要一系列的身份驗證方法，以及輕松支持不同用戶(hù)并保護不同資源的靈活性。通過(guò)簡(jiǎn)單易用的解決方案，企業(yè)可以從托管設備和非托管設備，安全訪(fǎng)問(wèn)企業(yè)資源。企業(yè)無(wú)需建立或維護多個(gè)身份驗證基礎設施，即可使用單一的解決方案安全訪(fǎng)問(wèn)從設施、大門(mén)、復印機到VPN、終端服務(wù)、云端應用的所有企業(yè)資源。

移動(dòng)設備何去何從？

眾所周知，用戶(hù)越來(lái)越多的使用移動(dòng)設備，并且將自帶設備（BYOD）帶入機構環(huán)境中，使用智能手機、筆記本計算機和平板電腦訪(fǎng)問(wèn)所需的企業(yè)資源。根據ABI的統計，截止2015年，將有70億臺無(wú)線(xiàn)設備接入網(wǎng)絡(luò )，這接近于全球每人一部移動(dòng)設備。

各個(gè)組織正在努力支持這些移動(dòng)設備的接入，同時(shí)尋找將用戶(hù)的移動(dòng)設備作為攜帶門(mén)禁和計算機桌面登錄憑證卡平臺的方法。目前已有試點(diǎn)單位（例如亞利桑那州立大學(xué)的一個(gè)設施）證明了使用手機攜帶門(mén)禁憑證卡的可行性。聯(lián)邦政府也正在考慮移動(dòng)門(mén)禁。FIPS-201-2預計包括一些擴充部分，例如，可以在手機安全元件（SE，與證卡使用相同的加密服務(wù)）中攜帶的派生憑證卡概念。

移動(dòng)門(mén)禁要求重新考慮如何管理門(mén)禁憑證卡以及如何將他們移植到智能手機的問(wèn)題，以便機構可以選擇在他們的門(mén)禁系統中使用智能卡或移動(dòng)設備。為此，HID Global為其iCLASS SE平臺建立了一個(gè)新的數據模型，稱(chēng)為Secure Identity Object （SIO），該數據模型可以在任何設備上代表多種形式的身份信息，這些設備能夠在公司的Trusted Identity Platform （TIP）安全邊界和中央身份驗證管理生態(tài)系統內進(jìn)行工作。TIP使用安全信道在通過(guò)驗證的手機、手機安全元件、其他安全介質(zhì)和設備之間傳輸身份信息。TIP和SIO的集成不僅提高了安全性，而且提供了適應未來(lái)需求的靈活性，例如為卡添加新的應用。它旨在提供可靠的安全性，因此在BYOD環(huán)境中特別具有吸引力。

通過(guò)移動(dòng)門(mén)禁模型，智能手機可以支持任何門(mén)禁數據，包括用于門(mén)禁、電子支付、生物識別、PC登錄以及許多其他應用的數據。身份驗證憑證卡將存儲到移動(dòng)設備的安全元件上，而云身份提供模型將消除憑證卡被復制的風(fēng)險，同時(shí)使發(fā)行臨時(shí)憑證卡、取消掛失憑證卡、監控和修改安全參數更輕松。用戶(hù)將能夠在手機上攜帶多種門(mén)禁憑證卡以及OTP電腦登錄密鑰，這樣他們只需輕觸個(gè)人平板電腦，即可完成身份驗證登錄網(wǎng)絡(luò )。通過(guò)將手機上的移動(dòng)密鑰和云應用單點(diǎn)登錄能力集成到一起，可以將傳統的雙因子身份驗證和精簡(jiǎn)的多個(gè)云應用登錄整合到用戶(hù)很少丟失或遺忘的單一設備上。此外，同一部手機也可以用于開(kāi)門(mén)和許多其他應用。

由于用于門(mén)禁和計算機桌面登錄的手機和其他移動(dòng)設備通常不屬于機構，因此需要解決一些挑戰。例如，當學(xué)生從大學(xué)畢業(yè)時(shí)，不會(huì )向學(xué)校上交手機，同樣當員工辭職時(shí)，員工也不會(huì )向公司上交手機。在保護企業(yè)數據和資源的同時(shí)，保障BYOD用戶(hù)的個(gè)人隱私也非常關(guān)鍵。IT部門(mén)無(wú)法有效控制這些自帶設備，或者設備所攜帶的具有潛在危險的個(gè)人應用，并且也不太可能將帶有殺毒軟件和其他防護軟件的標準鏡像加載到自帶設備中。我們需要尋找解決這些挑戰以及其他挑戰的創(chuàng )新途徑。盡管存在風(fēng)險，使用配備安全元件或類(lèi)似保護設備的手機，為建立強大的新身份驗證模型提供了機會(huì )，使手機成為憑證卡的安全、便攜的存儲庫，這樣手機既可以應用于遠程數據訪(fǎng)問(wèn)的輕觸強認證，也可以應用于大樓或公寓的門(mén)禁，應用前景非常廣闊。

移動(dòng)性正推動(dòng)融合，門(mén)禁安全小組和IT安全小組針對移動(dòng)性合作提出新的解決方案。最終提出的解決方案以高性?xún)r(jià)比的方式輕松管理手機上門(mén)禁卡和IT訪(fǎng)問(wèn)憑證卡，同時(shí)提供與使用實(shí)體證卡相同的安全性。

實(shí)現真正融合的優(yōu)勢

將門(mén)禁和IT資源訪(fǎng)問(wèn)集成到單一設備上，可以用于許多應用，因而改善了用戶(hù)體驗，同時(shí)提高了安全性并降低了部署和運營(yíng)成本。未來(lái)將不再需要多個(gè)提供和注冊IT和門(mén)禁身份的獨立流程。取而代之的是在單一身份管理中采用一個(gè)統一工作流程，從而實(shí)現機構的融合。各個(gè)機構將能夠保障大樓和IT資源的無(wú)縫安全訪(fǎng)問(wèn)，例如計算機、網(wǎng)絡(luò )、數據和云端。一個(gè)有效的解決方案將能根據需要擴展以保障其他資源的安全訪(fǎng)問(wèn)，以支持完全互操作的多重安全策略，并可在當前和未來(lái)保護機構的大樓、網(wǎng)絡(luò )、系統和應用的安全。