保障访问IT和门禁系统的安全方案的探讨

传统的非接触式方法解决了PKI的许多关键管理挑战，但是该方法支持的应用有限，并且无法提供与PKI解决方案一样的安全强度。非接触式PKI模型正部署到医院、学校和其他应用环境中，在这些环境中，多个用户需要快速接连访问相同的工作站。此外，该模型还被用于过渡解决方案，法令要求工作站和应用受到强认证的保护，例如刑事司法信息系统（CJIS）。

双芯片证卡：在智能卡上嵌入非接触式芯片用于物理门禁，嵌入接触式芯片用于计算机桌面登录。使用卡管理系统（Credential Management System，简称CMS），可以在接触式芯片上管理PKI证书和OTP密钥等凭证卡。



双芯片证卡模型在内部网络拥有敏感的知识产权或有客户数据的大中型企业中广受欢迎，因为该模型可以提供强大的安全性。此外，该模型使企业能够简化IT安全基础设施的管理，并利用现有的门禁投资，因为在许多情况下，CMS可以直接集成到门禁管理系统（通常被称为门禁头端）中。

双接口芯片证卡：利用单一的PKI芯片，拥有接触式和非接触式接口，以支持门禁和计算机桌面登录。该证卡可以支持接触式读卡器，用于计算机桌面登录应用，例如登录计算机或为电子邮件签名，也支持PKI身份验证，用于门禁。



双接口证卡模型主要适用于美国联邦政府组织，OMB-11-11法令要求将FIPS 201规定的PIV凭证卡用于门禁。默认情况下，非接触式接口上的PKI用于门禁会导致效率降低。为了解决该问题，FIPS 201-2计划允许使用有关身份验证和密钥商定协议的隐私访问控制身份和票务开放协议（OPACITY），这将使关键任务的效率提高大约四倍。它还将提供安全的无线通信，从而允许用户在非接触式接口使用PIN和生物识别技术。这将进一步加强门禁和计算机桌面登录的身份验证。

为大门增加强身份验证

融合的一项重要优势是，组织能够利用现有的身份凭证卡投资，在公司网络、系统和大门上，建立完全互操作的多层安全解决方案。强认证不仅越来越多地用于远程登录，而且还用于桌面计算机、关键应用、服务器、云端系统和设施。这将要求为出入口增加强身份验证。

实施强大身份验证的场所之一是用户持有PIV卡的联邦机构。为了使用PIV卡进入大楼，根据认证中心提供的证书撤销列表检查PIV卡的数字证书。PKI身份验证是一种非常高效且可互操作的方法，不仅用于计算机桌面登录以保护数据，而且用于门禁以保护设施，后者被称为"出入口PKI"。

随着预算的批准，联邦机构正在分阶段实施出入口PKI.为了确保实现该目标，他们正在配置基础设施，以便当条件就绪时，使基础设施快速、轻松地升级到PKI强大身份验证方式，以用于门禁。例如，他们首先将PIV持卡人注册到前端系统中，然后部署美国总务管理局（General Services Administration）规定的过渡性读卡器。该读卡器无需使用任何FIPS-201身份验证技术，即可读取证卡的唯一识别符，并且将其与注册的持卡人匹配。以后，可以现场重新配置这些过渡性读卡器，以支持多因子身份验证。

随着FIPS 201的发展以及越来越多的产品的支持，预计出入口PKI将被广泛采用。此外，将有机会使用商业身份验证（Commercial Identification Verification，简称CIV）卡以较低的成本部署PKI.CIV卡在技术上与PIV卡相似，但是不包括与联邦政府所信任的额外要求。与联邦机构不同，CIV卡用户不需要从可信方购买证书，或支付年度维护费用，而是生成自身的证书。虽然为证书存储增加额外空间使证卡增加少量成本，但该少量成本将带来有价值的额外优势--更强大的出入身份验证。以城市机场为例，该场所将能够同时使用CIV证卡和联邦交通安全管理局（Transportation Security Administration）员工携带的PIV证卡。机场管理层将能够建立单一的门禁系统，以同时支持机场员工和在机场工作的联邦机构员工，并且通过强认证确保更高的安全性。

在整个门禁和计算机桌面登录基础设施中扩展强认证，对企业至关重要。机构需要一系列的身份验证方法，以及轻松支持不同用户并保护不同资源的灵活性。通过简单易用的解决方案，企业可以从托管设备和非托管设备，安全访问企业资源。企业无需建立或维护多个身份验证基础设施，即可使用单一的解决方案安全访问从设施、大门、复印机到VPN、终端服务、云端应用的所有企业资源。

移动设备何去何从？

众所周知，用户越来越多的使用移动设备，并且将自带设备（BYOD）带入机构环境中，使用智能手机、笔记本计算机和平板电脑访问所需的企业资源。根据ABI的统计，截止2015年，将有70亿台无线设备接入网络，这接近于全球每人一部移动设备。

各个组织正在努力支持这些移动设备的接入，同时寻找将用户的移动设备作为携带门禁和计算机桌面登录凭证卡平台的方法。目前已有试点单位（例如亚利桑那州立大学的一个设施）证明了使用手机携带门禁凭证卡的可行性。联邦政府也正在考虑移动门禁。FIPS-201-2预计包括一些扩充部分，例如，可以在手机安全元件（SE，与证卡使用相同的加密服务）中携带的派生凭证卡概念。

移动门禁要求重新考虑如何管理门禁凭证卡以及如何将他们移植到智能手机的问题，以便机构可以选择在他们的门禁系统中使用智能卡或移动设备。为此，HID Global为其iCLASS SE平台建立了一个新的数据模型，称为Secure Identity Object （SIO），该数据模型可以在任何设备上代表多种形式的身份信息，这些设备能够在公司的Trusted Identity Platform （TIP）安全边界和中央身份验证管理生态系统内进行工作。TIP使用安全信道在通过验证的手机、手机安全元件、其他安全介质和设备之间传输身份信息。TIP和SIO的集成不仅提高了安全性，而且提供了适应未来需求的灵活性，例如为卡添加新的应用。它旨在提供可靠的安全性，因此在BYOD环境中特别具有吸引力。

通过移动门禁模型，智能手机可以支持任何门禁数据，包括用于门禁、电子支付、生物识别、PC登录以及许多其他应用的数据。身份验证凭证卡将存储到移动设备的安全元件上，而云身份提供模型将消除凭证卡被复制的风险，同时使发行临时凭证卡、取消挂失凭证卡、监控和修改安全参数更轻松。用户将能够在手机上携带多种门禁凭证卡以及OTP电脑登录密钥，这样他们只需轻触个人平板电脑，即可完成身份验证登录网络。通过将手机上的移动密钥和云应用单点登录能力集成到一起，可以将传统的双因子身份验证和精简的多个云应用登录整合到用户很少丢失或遗忘的单一设备上。此外，同一部手机也可以用于开门和许多其他应用。

由于用于门禁和计算机桌面登录的手机和其他移动设备通常不属于机构，因此需要解决一些挑战。例如，当学生从大学毕业时，不会向学校上交手机，同样当员工辞职时，员工也不会向公司上交手机。在保护企业数据和资源的同时，保障BYOD用户的个人隐私也非常关键。IT部门无法有效控制这些自带设备，或者设备所携带的具有潜在危险的个人应用，并且也不太可能将带有杀毒软件和其他防护软件的标准镜像加载到自带设备中。我们需要寻找解决这些挑战以及其他挑战的创新途径。尽管存在风险，使用配备安全元件或类似保护设备的手机，为建立强大的新身份验证模型提供了机会，使手机成为凭证卡的安全、便携的存储库，这样手机既可以应用于远程数据访问的轻触强认证，也可以应用于大楼或公寓的门禁，应用前景非常广阔。

移动性正推动融合，门禁安全小组和IT安全小组针对移动性合作提出新的解决方案。最终提出的解决方案以高性价比的方式轻松管理手机上门禁卡和IT访问凭证卡，同时提供与使用实体证卡相同的安全性。