自备终端(Bring Your Own Device,简称BYOD),即企业允许员工离职时保留自己的手机,这种做法正日益流行。如今智能手机功能也越来越多,我们不仅能用自己的手机访问电 脑、网络和有关的信息资料,还能用手机开门和进入安全区域。在自备终端环境中部署这类网络访问和门禁应用需要配置相关的基础设施,具备正确的技术,同时进 行安全性评估和适当规划。
门禁功能最近才被添加到智能手机里 。在最简单的应用情况下,要实现移动门禁控制,仅需用智能手机上运行的虚拟凭证卡软件取代塑胶卡片,并复制基于卡片的门禁控制规则即可。系统仍然需要在读 卡器和存储门禁规则的中央硬件控制面板(或服务器)之间做出门禁决策。在这种情况下,读卡器仍然连接到中央门禁控制系统。
如今的智能手机还能产生一次性动态密码(One Time Password, 简称OTP),以安全地登录到另一部移动设备或桌面电脑,并访问网络。此外,具备虚拟凭证卡的智能手机可用来购买物品,例如在公司食堂买饭,还可用来安全 地使用打印设备。考虑到自备智能手机具有如此丰富的功能,越来越多的员工开始用自己的手机访问系统、数据和公司设施, IT部门应该积极研发相关的解决方案,从而更好地保护这些资源。移动门禁控制系统要顺利、安全地与现有门禁控制系统及传统塑胶门禁卡共存,这需要满足几项 要求。首先,从智能手机到门禁读卡器,必须有一种数据通信方式。用支持近距离无线通信(Near Field Communications,简称NFC)的手机和/或支持NFC的附加设备可以实现这种数据通信,例如microSD卡就是这样一种附加设备,确保不 支持NFC的设备也能安全升级。
其次,必须有一个由读卡器、门锁以及其他硬件组成的生态系统,这些生态系统组件可以读取虚拟凭证卡,并以适当的行动来回应,例如打开门锁,或允许访 问电脑和网络。目前,已经有超过65万家酒店安装了能用支持NFC的智能手机打开的门锁。同样地,可互操作的在线门禁读卡器、机电门锁以及连接桌面电脑或 PC登录的读卡器也正在部署,而且第三方厂商也在开发支持NFC的硬件解决方案,包括生物识别设备、考勤终端和电动汽车充电站等等。
最后,对于智能手机上使用的虚拟密钥和虚拟凭证卡,必须有一种建立和管理的方式。这不仅要求要用一种新的方式来描述身份信息,还要求这种身份信息的描述要在一种可靠的身份认证框架之内进行,以便自备智能手机能安全地在门禁控制网络中使用。
这种身份信息的描述必须支持多种与安全身份信息有关的加密数据模型, 包括生物识别数据、考勤数据等。可靠的身份认证框架确保在被验证终端之间有一条安全的通信渠道。用来确认自备终端安全可靠的技术需要使用手机的安全组件, 该组件通常是一个嵌入式电路,或者是一个插入式模块,常常被称为用户识别模块(SIM)。
通过建立一个由安全可靠的终端组成的生态系统,自备智能手机在门禁系统中可以得到有效管理,这样,手机、读卡器和门锁之间的身份信息配置/取消配置以及其他所有信息的处理就变得安全可靠了。该框架与成熟可靠的智能手机技术相结合,可建立一个极其安全的移动身份验证环境。
运用这个框架,无论移动设备位于何处、怎样连接,企业都可以向这些移动设备发布虚拟凭证卡和虚拟密钥。一种方式是通过互联网,类似于传统上购买塑胶 凭证卡的模式,但通过USB或支持Wi-Fi的连接器连接自备终端。或者,虚拟凭证卡可以由服务供应商空中传送,类似于今天的智能手机用户下载应用和歌曲 的方式。为了通过空中获得虚拟凭证卡,支持NFC的智能手机需要与可信服务管理器(Trusted Service Manager,简称TSM)通信,然后或者直接连接到移动网络运营商,或者连接到其TSM,这样虚拟凭证卡就可以提供给智能手机的SIM卡了。视乎企业 的信息安全政策,用户可通过NFC“轻触即提供(tap-n-give)”的配置,与授权用户共享虚拟凭证卡和虚拟密钥。
安全的移动配置模型消除了塑胶卡片可能被复制的传统风险,而且使发行临时凭证卡、在凭证卡丢失或被盗时撤销凭证卡变得更容易,同时在需要的情况下, 例如对信息安全的威胁级别上升时,监视和修改安全参数也更容易了。系统管理员可以使用管理服务,通过空中取消虚拟凭证卡的配置,或者在门禁控制系统数据库 中删除访问权。企业还可以动态地、基于背景情况进行设定,例如撤销双因子验证,企业甚至可以支持可变的信息安全级别,并使用附加的数据元素。例如,当安全 威胁升级时,可以动态地取消双因子验证,而且可以推送给手机一个应用,要求用户输入4位PIN码,或者要求在手机发送信息开门之前,做出一个刷卡的手势。
随着门禁和电脑桌面登录应用转向自备智能手机,有几个问题需要解决。首先,要保护个人隐私,同时保护企业免受会造成损害的个人应用的影响,所有应用 和其他ID凭证卡都必须局限于在个人和企业之间使用。另一个挑战是,怎样利用虚拟密钥及虚拟凭证卡达成其他应用,例如,让应用支持PIN码输入,以使密钥 “解锁”,完成验证或签署过程。此外,中间件API必须标准化,这样ID凭证卡功能才能应用。
另外,也许有必要支持衍生凭证卡,例如从美国联邦工作人员的个人身份验证(Personal Identity Verification, 简称PIV)卡衍生的那些凭证卡。局限于企业和个人之间这种使用方式与衍生凭证卡相结合,还会催生对分层生命周期管理的需求,例如,如果移动设备丢失,那 么凭借分层生命周期管理,就可以取消所有凭证卡,而如果取消个人身份验证卡,那么将自动取消仅用于工作环境的移动ID凭证卡。也许移动ID的多维管理问 题,才正是自备终端模式中最具挑战性的部分。
门禁和电脑桌面登录功能要在自备智能手机上共存,就需要确保云端存储的安全性。有4种可能的方法。第一种是在公用互联网上采用一种开放的访问模型, 在这种模型中,用户名和密码由软件即服务(SaaS)供应商管理。尽管这种方法易于采用,但是所提供的数据保护能力是最弱的。第二种是采用虚拟专用网络 (Virtual Private Network ,简称VPN),并要求远程用户在输入用户名和密码之前,先就虚拟专用网络进行验证(最有可能的是通过一次性动态密码解决方案实现)。不过,虚拟专用网络 对用户而言不够方便,不能很好地扩展以容纳自备设备,因为虚拟专用网络要求在很多不同的设备上安装虚拟专用网络客户端和个人应用,而且虚拟专用网络没有针 对互联网安全威胁提供额外保护。
第三种方法是强大的本机验证,这种方法也不够便利,因为每个应用都要求独特的、唯一的安全解决方案。第四种也是最好的一种方法,是联合身份管理,采 用这种方法时,用户就一个中央门户进行验证,以访问多种应用。这种方式支持很多不同的验证方法,不需要在最终用户的设备上安装任何东西,而且可对任何被访 问的应用集中提供审计记录,因此能满足法规遵从要求。这种方法也能经得起高级持续性威胁(Advanced Persistent Threats, 简称APTs)、专门的黑客攻击、前员工的恶意行为以及员工欺诈等内部安全威胁。联合身份管理还适用于存储在其他地方的内部应用,使用户能在一个位置上方 便地访问各种应用。不过,无论选择哪种方法,对于企业一方和自备终端所有者一方而言,都有可能存在其他需要解决的政策及采用问题。企业想要自备终端所有者 放弃一定的权利,以使他们能用自己的手机开门和登录电脑桌面,而自备终端所有者不想使用某些功能,因为他们害怕泄露隐私。
自备终端具备大量优点,尤其是员工的智能手机能成为一种载体,寄存了企业中种类日益增多的门禁和电脑桌面登录密钥及凭证卡。即将出现的新一代移动门 禁控制解决方案将提供更大的便利性和管理灵活性,同时可确保在智能手机、电脑和网络资源、门禁控制系统以及云端和空中交付身份信息的基础设施之间,安全地 处理数据。