保障訪問IT和門禁系統(tǒng)的安全方案的探討

越來越多的機(jī)構(gòu)采用新的業(yè)務(wù)模型，在這些模型中，單一證卡或智能手機(jī)可以支持多種門禁方式及用于多種場景和多種身份融合。用戶攜帶獨立證卡或其他設(shè)備既可用于開門、登錄電腦和基于云端應(yīng)用，同時也能夠?qū)崿F(xiàn)其他高價值的應(yīng)用，包括電子支付、考勤管理和安全打印管理等。

在這一套流程中，為單一證卡或智能手機(jī)提供IT和門禁系統(tǒng)憑證卡的需求日益增加。除了便利性外，將憑證卡融合到單一證卡或設(shè)備也可以顯著提高安全性并降低運營成本。此外，還可以集中管理身份和門禁，整合任務(wù)，使機(jī)構(gòu)快速、有效地在其基礎(chǔ)設(shè)施內(nèi)使用強(qiáng)大的身份驗證，以保護(hù)所有重要的門禁和IT資源。

新的集成憑證卡管理模型使組織朝四個重要方向發(fā)展：從證卡到智能手機(jī)；從讀卡器到更方便的“輕觸”式門禁；從公開密鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，簡稱PKI）到更安全的簡化解決方案；以及從傳統(tǒng)PKI到真正融合的強(qiáng)大身份驗證門禁。

本白皮書專注于與IT和門禁融合解決方案相關(guān)的促成因素、挑戰(zhàn)、部署選擇和結(jié)果，也介紹了使用云端應(yīng)用及服務(wù)、數(shù)據(jù)訪問和門禁應(yīng)用時，無縫用戶體驗的價值所在。此外，本白皮書還解釋了將集中用戶身份用于多個IT安全應(yīng)用和門禁系統(tǒng)的統(tǒng)一注冊流程的優(yōu)勢。

了解融合的促成因素

以前，各個機(jī)構(gòu)專注于在周邊建立強(qiáng)大的安防系統(tǒng)，以保護(hù)他們的門禁和IT資源。傳統(tǒng)的門禁方法依靠用戶出示ID卡進(jìn)入大樓，然后在大樓內(nèi)部，使用靜態(tài)密碼驗證身份以訪問IT資源。鑒于目前的高級持續(xù)性威脅（Advanced Persistent Threat）的性質(zhì)以及與自帶設(shè)備（Bring Your Own Device）相關(guān)的所有內(nèi)部風(fēng)險，這些安全訪問方法存在不足。

機(jī)構(gòu)要求能夠在他們的基礎(chǔ)設(shè)施內(nèi)更好地控制訪問和使用強(qiáng)大的身份驗證，以作為他們多層安全策略的一部分。但是，為企業(yè)數(shù)據(jù)保護(hù)選擇有效的身份驗證通常非常困難。市面上可用的絕大部分解決方案，或者在安全性方面存在問題，或者為機(jī)構(gòu)帶來的成本和復(fù)雜度問題，或者為用戶帶來體驗方面的不足。

員工希望方便地使用單一證卡或設(shè)備即可快速、輕松地訪問其業(yè)務(wù)所需的資源。而為了實現(xiàn)該目標(biāo)，機(jī)構(gòu)必須部署一個可以保障從出入到訪問公司計算機(jī)、數(shù)據(jù)、應(yīng)用和云端的整體安全解決方案。他們必須將傳統(tǒng)上獨立的門禁和IT安全整合到一起，以協(xié)調(diào)管理用戶的身份和門禁。

融合門禁的價值

真正融合的門禁包括一個安全策略、一個身份憑證卡和一個審核日志。一些組織通過定義門禁和資源使用權(quán)限的單一策略、單一主用戶庫以及用于簡化報告和審計的單一日志記錄，已經(jīng)成功地實現(xiàn)了用戶管理的融合。該方法可幫助企業(yè)：

●提供便利性——替換一次性密碼（One Time Password，簡稱OTP）設(shè)備應(yīng)用，用戶無需攜帶多個設(shè)備或重新輸入OTP，即可訪問他們所需的所有門禁和IT資源。

●提高安全性——在整個IT基礎(chǔ)設(shè)施的關(guān)鍵系統(tǒng)、應(yīng)用甚至大門上實現(xiàn)強(qiáng)認(rèn)證（而不是僅僅在周邊）。

●降低成本——減少對多種門禁解決方案的投資，集中管理，并且將任務(wù)整合到包括發(fā)證、換證和注銷證件的整套管理和流程中。



探索多種部署方案

在融合的門禁模式中，身份憑證卡可通過多種形式頒發(fā)，例如射頻卡、智能卡（如ID卡），甚至智能手機(jī)。根據(jù)企業(yè)的要求和現(xiàn)有基礎(chǔ)設(shè)施，建立該解決方案有多種方法。以下是三種最常見的模式：

傳統(tǒng)非接觸式證卡：使現(xiàn)有的基于證卡的門禁系統(tǒng)利用iCLASS、iCLASS Seos MIFARE和MIFARE DESFire等技術(shù)，將身份驗證擴(kuò)展到企業(yè)網(wǎng)絡(luò)和應(yīng)用。軟件需部署到最終用戶的工作站，并將非接觸式讀卡器連接至或嵌入到該工作站，由此無需實際插入讀卡器即可“讀取”該證卡。這為用戶帶來了便利，他們可以使用相同的證卡開門、輕觸登錄個人電腦或便攜式電腦，從而訪問他們的計算機(jī)、公司應(yīng)用程式和云端服務(wù)。



該方法不使用通過證書授權(quán)將公開密鑰和用戶身份捆綁到一起的PKI.用于美國聯(lián)邦機(jī)構(gòu)的PKI強(qiáng)認(rèn)證，是各個聯(lián)邦機(jī)構(gòu)及其承包商的計算機(jī)桌面登錄和數(shù)字文檔簽名的關(guān)鍵元素。數(shù)字證書包括用戶公開密鑰，其保存在個人身份驗證（Personal Identification Verification，簡稱PIV）卡上，該證卡利用了智能卡和生物識別技術(shù)（一種數(shù)字簽名的指紋模板），并且支持多因子驗證方法。除了依賴共享的身份驗證密鑰，也可以使用一對公開密鑰和私人密鑰，這些密鑰聯(lián)系到一起，以便一個密鑰擁有的信息只能使用另一個密鑰進(jìn)行解碼或驗證。Federal Bridge用于建立相互認(rèn)證機(jī)構(gòu)的PKI之間的互信渠道（即，單獨和獨立的基礎(chǔ)設(shè)施，每個擁有自身的根證書授權(quán)），從而保障參與Federal Bridge的政府機(jī)構(gòu)之間安全交換數(shù)字簽名和證書。

傳統(tǒng)的非接觸式方法解決了PKI的許多關(guān)鍵管理挑戰(zhàn)，但是該方法支持的應(yīng)用有限，并且無法提供與PKI解決方案一樣的安全強(qiáng)度。非接觸式PKI模型正部署到醫(yī)院、學(xué)校和其他應(yīng)用環(huán)境中，在這些環(huán)境中，多個用戶需要快速接連訪問相同的工作站。此外，該模型還被用于過渡解決方案，法令要求工作站和應(yīng)用受到強(qiáng)認(rèn)證的保護(hù)，例如刑事司法信息系統(tǒng)（CJIS）。

雙芯片證卡：在智能卡上嵌入非接觸式芯片用于物理門禁，嵌入接觸式芯片用于計算機(jī)桌面登錄。使用卡管理系統(tǒng)（Credential Management System，簡稱CMS），可以在接觸式芯片上管理PKI證書和OTP密鑰等憑證卡。



雙芯片證卡模型在內(nèi)部網(wǎng)絡(luò)擁有敏感的知識產(chǎn)權(quán)或有客戶數(shù)據(jù)的大中型企業(yè)中廣受歡迎，因為該模型可以提供強(qiáng)大的安全性。此外，該模型使企業(yè)能夠簡化IT安全基礎(chǔ)設(shè)施的管理，并利用現(xiàn)有的門禁投資，因為在許多情況下，CMS可以直接集成到門禁管理系統(tǒng)（通常被稱為門禁頭端）中。

雙接口芯片證卡：利用單一的PKI芯片，擁有接觸式和非接觸式接口，以支持門禁和計算機(jī)桌面登錄。該證卡可以支持接觸式讀卡器，用于計算機(jī)桌面登錄應(yīng)用，例如登錄計算機(jī)或為電子郵件簽名，也支持PKI身份驗證，用于門禁。



雙接口證卡模型主要適用于美國聯(lián)邦政府組織，OMB-11-11法令要求將FIPS 201規(guī)定的PIV憑證卡用于門禁。默認(rèn)情況下，非接觸式接口上的PKI用于門禁會導(dǎo)致效率降低。為了解決該問題，F(xiàn)IPS 201-2計劃允許使用有關(guān)身份驗證和密鑰商定協(xié)議的隱私訪問控制身份和票務(wù)開放協(xié)議（OPACITY），這將使關(guān)鍵任務(wù)的效率提高大約四倍。它還將提供安全的無線通信，從而允許用戶在非接觸式接口使用PIN和生物識別技術(shù)。這將進(jìn)一步加強(qiáng)門禁和計算機(jī)桌面登錄的身份驗證。

為大門增加強(qiáng)身份驗證

融合的一項重要優(yōu)勢是，組織能夠利用現(xiàn)有的身份憑證卡投資，在公司網(wǎng)絡(luò)、系統(tǒng)和大門上，建立完全互操作的多層安全解決方案。強(qiáng)認(rèn)證不僅越來越多地用于遠(yuǎn)程登錄，而且還用于桌面計算機(jī)、關(guān)鍵應(yīng)用、服務(wù)器、云端系統(tǒng)和設(shè)施。這將要求為出入口增加強(qiáng)身份驗證。

實施強(qiáng)大身份驗證的場所之一是用戶持有PIV卡的聯(lián)邦機(jī)構(gòu)。為了使用PIV卡進(jìn)入大樓，根據(jù)認(rèn)證中心提供的證書撤銷列表檢查PIV卡的數(shù)字證書。PKI身份驗證是一種非常高效且可互操作的方法，不僅用于計算機(jī)桌面登錄以保護(hù)數(shù)據(jù)，而且用于門禁以保護(hù)設(shè)施，后者被稱為“出入口PKI”。

隨著預(yù)算的批準(zhǔn)，聯(lián)邦機(jī)構(gòu)正在分階段實施出入口PKI.為了確保實現(xiàn)該目標(biāo)，他們正在配置基礎(chǔ)設(shè)施，以便當(dāng)條件就緒時，使基礎(chǔ)設(shè)施快速、輕松地升級到PKI強(qiáng)大身份驗證方式，以用于門禁。例如，他們首先將PIV持卡人注冊到前端系統(tǒng)中，然后部署美國總務(wù)管理局（General Services Administration）規(guī)定的過渡性讀卡器。該讀卡器無需使用任何FIPS-201身份驗證技術(shù)，即可讀取證卡的唯一識別符，并且將其與注冊的持卡人匹配。以后，可以現(xiàn)場重新配置這些過渡性讀卡器，以支持多因子身份驗證。

隨著FIPS 201的發(fā)展以及越來越多的產(chǎn)品的支持，預(yù)計出入口PKI將被廣泛采用。此外，將有機(jī)會使用商業(yè)身份驗證（Commercial Identification Verification，簡稱CIV）卡以較低的成本部署PKI.CIV卡在技術(shù)上與PIV卡相似，但是不包括與聯(lián)邦政府所信任的額外要求。與聯(lián)邦機(jī)構(gòu)不同，CIV卡用戶不需要從可信方購買證書，或支付年度維護(hù)費用，而是生成自身的證書。雖然為證書存儲增加額外空間使證卡增加少量成本，但該少量成本將帶來有價值的額外優(yōu)勢——更強(qiáng)大的出入身份驗證。以城市機(jī)場為例，該場所將能夠同時使用CIV證卡和聯(lián)邦交通安全管理局（Transportation Security Administration）員工攜帶的PIV證卡。機(jī)場管理層將能夠建立單一的門禁系統(tǒng)，以同時支持機(jī)場員工和在機(jī)場工作的聯(lián)邦機(jī)構(gòu)員工，并且通過強(qiáng)認(rèn)證確保更高的安全性。

在整個門禁和計算機(jī)桌面登錄基礎(chǔ)設(shè)施中擴(kuò)展強(qiáng)認(rèn)證，對企業(yè)至關(guān)重要。機(jī)構(gòu)需要一系列的身份驗證方法，以及輕松支持不同用戶并保護(hù)不同資源的靈活性。通過簡單易用的解決方案，企業(yè)可以從托管設(shè)備和非托管設(shè)備，安全訪問企業(yè)資源。企業(yè)無需建立或維護(hù)多個身份驗證基礎(chǔ)設(shè)施，即可使用單一的解決方案安全訪問從設(shè)施、大門、復(fù)印機(jī)到VPN、終端服務(wù)、云端應(yīng)用的所有企業(yè)資源。

移動設(shè)備何去何從？

眾所周知，用戶越來越多的使用移動設(shè)備，并且將自帶設(shè)備（BYOD）帶入機(jī)構(gòu)環(huán)境中，使用智能手機(jī)、筆記本計算機(jī)和平板電腦訪問所需的企業(yè)資源。根據(jù)ABI的統(tǒng)計，截止2015年，將有70億臺無線設(shè)備接入網(wǎng)絡(luò)，這接近于全球每人一部移動設(shè)備。

各個組織正在努力支持這些移動設(shè)備的接入，同時尋找將用戶的移動設(shè)備作為攜帶門禁和計算機(jī)桌面登錄憑證卡平臺的方法。目前已有試點單位（例如亞利桑那州立大學(xué)的一個設(shè)施）證明了使用手機(jī)攜帶門禁憑證卡的可行性。聯(lián)邦政府也正在考慮移動門禁。FIPS-201-2預(yù)計包括一些擴(kuò)充部分，例如，可以在手機(jī)安全元件（SE，與證卡使用相同的加密服務(wù)）中攜帶的派生憑證卡概念。

移動門禁要求重新考慮如何管理門禁憑證卡以及如何將他們移植到智能手機(jī)的問題，以便機(jī)構(gòu)可以選擇在他們的門禁系統(tǒng)中使用智能卡或移動設(shè)備。為此，HID Global為其iCLASS SE平臺建立了一個新的數(shù)據(jù)模型，稱為Secure Identity Object （SIO），該數(shù)據(jù)模型可以在任何設(shè)備上代表多種形式的身份信息，這些設(shè)備能夠在公司的Trusted Identity Platform （TIP）安全邊界和中央身份驗證管理生態(tài)系統(tǒng)內(nèi)進(jìn)行工作。TIP使用安全信道在通過驗證的手機(jī)、手機(jī)安全元件、其他安全介質(zhì)和設(shè)備之間傳輸身份信息。TIP和SIO的集成不僅提高了安全性，而且提供了適應(yīng)未來需求的靈活性，例如為卡添加新的應(yīng)用。它旨在提供可靠的安全性，因此在BYOD環(huán)境中特別具有吸引力。

通過移動門禁模型，智能手機(jī)可以支持任何門禁數(shù)據(jù)，包括用于門禁、電子支付、生物識別、PC登錄以及許多其他應(yīng)用的數(shù)據(jù)。身份驗證憑證卡將存儲到移動設(shè)備的安全元件上，而云身份提供模型將消除憑證卡被復(fù)制的風(fēng)險，同時使發(fā)行臨時憑證卡、取消掛失憑證卡、監(jiān)控和修改安全參數(shù)更輕松。用戶將能夠在手機(jī)上攜帶多種門禁憑證卡以及OTP電腦登錄密鑰，這樣他們只需輕觸個人平板電腦，即可完成身份驗證登錄網(wǎng)絡(luò)。通過將手機(jī)上的移動密鑰和云應(yīng)用單點登錄能力集成到一起，可以將傳統(tǒng)的雙因子身份驗證和精簡的多個云應(yīng)用登錄整合到用戶很少丟失或遺忘的單一設(shè)備上。此外，同一部手機(jī)也可以用于開門和許多其他應(yīng)用。

由于用于門禁和計算機(jī)桌面登錄的手機(jī)和其他移動設(shè)備通常不屬于機(jī)構(gòu)，因此需要解決一些挑戰(zhàn)。例如，當(dāng)學(xué)生從大學(xué)畢業(yè)時，不會向?qū)W校上交手機(jī)，同樣當(dāng)員工辭職時，員工也不會向公司上交手機(jī)。在保護(hù)企業(yè)數(shù)據(jù)和資源的同時，保障BYOD用戶的個人隱私也非常關(guān)鍵。IT部門無法有效控制這些自帶設(shè)備，或者設(shè)備所攜帶的具有潛在危險的個人應(yīng)用，并且也不太可能將帶有殺毒軟件和其他防護(hù)軟件的標(biāo)準(zhǔn)鏡像加載到自帶設(shè)備中。我們需要尋找解決這些挑戰(zhàn)以及其他挑戰(zhàn)的創(chuàng)新途徑。盡管存在風(fēng)險，使用配備安全元件或類似保護(hù)設(shè)備的手機(jī)，為建立強(qiáng)大的新身份驗證模型提供了機(jī)會，使手機(jī)成為憑證卡的安全、便攜的存儲庫，這樣手機(jī)既可以應(yīng)用于遠(yuǎn)程數(shù)據(jù)訪問的輕觸強(qiáng)認(rèn)證，也可以應(yīng)用于大樓或公寓的門禁，應(yīng)用前景非常廣闊。

移動性正推動融合，門禁安全小組和IT安全小組針對移動性合作提出新的解決方案。最終提出的解決方案以高性價比的方式輕松管理手機(jī)上門禁卡和IT訪問憑證卡，同時提供與使用實體證卡相同的安全性。

實現(xiàn)真正融合的優(yōu)勢

將門禁和IT資源訪問集成到單一設(shè)備上，可以用于許多應(yīng)用，因而改善了用戶體驗，同時提高了安全性并降低了部署和運營成本。未來將不再需要多個提供和注冊IT和門禁身份的獨立流程。取而代之的是在單一身份管理中采用一個統(tǒng)一工作流程，從而實現(xiàn)機(jī)構(gòu)的融合。各個機(jī)構(gòu)將能夠保障大樓和IT資源的無縫安全訪問，例如計算機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)和云端。一個有效的解決方案將能根據(jù)需要擴(kuò)展以保障其他資源的安全訪問，以支持完全互操作的多重安全策略，并可在當(dāng)前和未來保護(hù)機(jī)構(gòu)的大樓、網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的安全。