越来越多的安排选用新的事务模型,在这些模型中,单一证卡或智能手机可以支撑多种门禁办法及用于多种场景和多种身份交融。用户带着独立证卡或其他设备既可用于开门、登录电脑和依据云端运用,一同也可以完结其他高价值的运用,包含电子付出、考勤办理和安全打印办理等。
在这一套流程中,为单一证卡或智能手机供给IT和门禁体系凭据卡的需求日益增加。除了便利性外,将凭据卡交融到单一证卡或设备也可以明显进步安全性并下降运营本钱。此外,还可以会集办理身份和门禁,整合使命,使安排快速、有用地在其基础设备内运用强壮的身份验证,以维护一切重要的门禁和IT资源。
新的集成凭据卡办理模型使安排朝四个重要方向开展:从证卡到智能手机;从读卡器到更便利的“轻触”式门禁;从公开密钥基础设备(Public Key Infrastructure,简称PKI)到更安全的简化处理方案;以及从传统PKI到真实交融的强壮身份验证门禁。
本白皮书专心于与IT和门禁交融处理方案相关的促进要素、应战、布置挑选和成果,也介绍了运用云端运用及服务、数据拜访和门禁运用时,无缝用户体会的价值地点。此外,本白皮书还解说了将会集用户身份用于多个IT安全运用和门禁体系的一致注册流程的优势。
了解交融的促进要素
曾经,各个安排专心于在周边树立强壮的安防体系,以维护他们的门禁和IT资源。传统的门禁办法依托用户出示ID卡进入大楼,然后在大楼内部,运用静态暗码验证身份以拜访IT资源。鉴于现在的高档持续性要挟(Advanced Persistent Threat)的性质以及与自带设备(Bring Your Own Device)相关的一切内部危险,这些安全拜访办法存在缺乏。
安排要求可以在他们的基础设备内更好地操控拜访和运用强壮的身份验证,以作为他们多层安全战略的一部分。可是,为企业数据维护挑选有用的身份验证一般十分困难。市面上可用的绝大部分处理方案,或许在安全性方面存在问题,或许为安排带来的本钱和复杂度问题,或许为用户带来体会方面的缺乏。
职工期望便利地运用单一证卡或设备即可快速、轻松地拜访其事务所需的资源。而为了完结该方针,安排有必要布置一个可以保证从收支到拜访公司计算机、数据、运用和云端的全体安全处理方案。他们有必要将传统上独立的门禁和IT安全整合到一同,以和谐办理用户的身份和门禁。
交融门禁的价值
真实交融的门禁包含一个安全战略、一个身份凭据卡和一个审阅日志。一些安排经过界说门禁和资源运用权限的单一战略、单一主用户库以及用于简化陈述和审计的单一日志记载,现已成功地完结了用户办理的交融。该办法可协助企业:
●供给便利性——替换一次性暗码(One Time Password,简称OTP)设备运用,用户无需带着多个设备或从头输入OTP,即可拜访他们所需的一切门禁和IT资源。
●进步安全性——在整个IT基础设备的要害体系、运用乃至大门上完结强认证(而不是仅仅在周边)。
●下降本钱——削减对多种门禁处理方案的出资,会集办理,而且将使命整合到包含发证、换证和刊出证件的整套办理和流程中。
探究多种布置方案
在交融的门禁形式中,身份凭据卡可经过多种形式颁布,例如射频卡、智能卡(如ID卡),乃至智能手机。依据企业的要求和现有基础设备,树立该处理方案有多种办法。以下是三种最常见的形式:
传统非触摸式证卡:使现有的依据证卡的门禁体系运用iCLASS、iCLASS Seos MIFARE和MIFARE DESFire等技能,将身份验证扩展到企业网络和运用。软件需布置到终究用户的作业站,并将非触摸式读卡器衔接至或嵌入到该作业站,由此无需实践刺进读卡器即可“读取”该证卡。这为用户带来了便利,他们可以运用相同的证卡开门、轻触登录个人电脑或便携式电脑,然后拜访他们的计算机、公司运用程式和云端服务。
该办法不运用经过证书授权将公开密钥和用户身份绑缚到一同的PKI.用于美国联邦安排的PKI强认证,是各个联邦安排及其承包商的计算机桌面登录和数字文档签名的要害元素。数字证书包含用户公开密钥,其保存在个人身份验证(Personal Identification Verification,简称PIV)卡上,该证卡运用了智能卡和生物辨认技能(一种数字签名的指纹模板),而且支撑多因子验证办法。除了依靠同享的身份验证密钥,也可以运用一对公开密钥和私家密钥,这些密钥联系到一同,以便一个密钥具有的信息只能运用另一个密钥进行解码或验证。Federal Bridge用于树立彼此认证安排的PKI之间的互信途径(即,独自和独立的基础设备,每个具有本身的根证书授权),然后保证参加Federal Bridge的政府安排之间安全交流数字签名和证书。
传统的非触摸式办法处理了PKI的许多要害办理应战,可是该办法支撑的运用有限,而且无法供给与PKI处理方案相同的安全强度。非触摸式PKI模型正布置到医院、校园和其他运用环境中,在这些环境中,多个用户需求快速连续拜访相同的作业站。此外,该模型还被用于过渡处理方案,法则要求作业站和运用遭到强认证的维护,例如刑事司法信息体系(CJIS)。
双芯片证卡:在智能卡上嵌入非触摸式芯片用于物理门禁,嵌入触摸式芯片用于计算机桌面登录。运用卡办理体系(Credential Management System,简称CMS),可以在触摸式芯片上办理PKI证书和OTP密钥等凭据卡。
双芯片证卡模型在内部网络具有灵敏的知识产权或有客户数据的大中型企业中广受欢迎,因为该模型可以供给强壮的安全性。此外,该模型使企业可以简化IT安全基础设备的办理,并运用现有的门禁出资,因为在许多情况下,CMS可以直接集成到门禁办理体系(一般被称为门禁头端)中。
双接口芯片证卡:运用单一的PKI芯片,具有触摸式和非触摸式接口,以支撑门禁和计算机桌面登录。该证卡可以支撑触摸式读卡器,用于计算机桌面登录运用,例如登录计算机或为电子邮件签名,也支撑PKI身份验证,用于门禁。
双接口证卡模型首要适用于美国联邦政府安排,OMB-11-11法则要求将FIPS 201规则的PIV凭据卡用于门禁。默许情况下,非触摸式接口上的PKI用于门禁会导致功率下降。为了处理该问题,FIPS 201-2方案答应运用有关身份验证和密钥商定协议的隐私拜访操控身份和票务敞开协议(OPACITY),这将使要害使命的功率进步大约四倍。它还将供给安全的无线通信,然后答运用户在非触摸式接口运用PIN和生物辨认技能。这将进一步加强门禁和计算机桌面登录的身份验证。
为大门增加强身份验证
交融的一项重要优势是,安排可以运用现有的身份凭据卡出资,在公司网络、体系和大门上,树立彻底互操作的多层安全处理方案。强认证不只越来越多地用于长途登录,而且还用于桌面计算机、要害运用、服务器、云端体系和设备。这将要求为收支口增加强身份验证。
施行强壮身份验证的场所之一是用户持有PIV卡的联邦安排。为了运用PIV卡进入大楼,依据认证中心供给的证书吊销列表查看PIV卡的数字证书。PKI身份验证是一种十分高效且可互操作的办法,不只用于计算机桌面登录以维护数据,而且用于门禁以维护设备,后者被称为“收支口PKI”。
跟着预算的同意,联邦安排正在分阶段施行收支口PKI.为了保证完结该方针,他们正在装备基础设备,以便利条件安排妥当时,使基础设备快速、轻松地升级到PKI强壮身份验证办法,以用于门禁。例如,他们首先将PIV持卡人注册到前端体系中,然后布置美国总务办理局(General Services Administration)规则的过渡性读卡器。该读卡器无需运用任何FIPS-201身份验证技能,即可读取证卡的仅有辨认符,而且将其与注册的持卡人匹配。今后,可以现场从头装备这些过渡性读卡器,以支撑多因子身份验证。
跟着FIPS 201的开展以及越来越多的产品的支撑,估计收支口PKI将被广泛选用。此外,将有时机运用商业身份验证(Commercial Identification Verification,简称CIV)卡以较低的本钱布置PKI.CIV卡在技能上与PIV卡相似,可是不包含与联邦政府所信赖的额定要求。与联邦安排不同,CIV卡用户不需求从可信方购买证书,或付出年度维护费用,而是生本钱身的证书。虽然为证书存储增加额定空间使证卡增加少数本钱,但该少数本钱将带来有价值的额定优势——更强壮的收支身份验证。以城市机场为例,该场所将可以一同运用CIV证卡和联邦交通安全办理局(Transportation Security Administration)职工带着的PIV证卡。机场办理层将可以树立单一的门禁体系,以一同支撑机场职工和在机场作业的联邦安排职工,而且经过强认证保证更高的安全性。
在整个门禁和计算机桌面登录基础设备中扩展强认证,对企业至关重要。安排需求一系列的身份验证办法,以及轻松支撑不同用户并维护不同资源的灵活性。经过简略易用的处理方案,企业可以从保管设备和非保管设备,安全拜访企业资源。企业无需树立或维护多个身份验证基础设备,即可运用单一的处理方案安全拜访从设备、大门、复印机到VPN、终端服务、云端运用的一切企业资源。
移动设备何去何从?
众所周知,用户越来越多的运用移动设备,而且将自带设备(BYOD)带入安排环境中,运用智能手机、笔记本计算机和平板电脑拜访所需的企业资源。依据ABI的计算,截止2015年,将有70亿台无线设备接入网络,这接近于全球每人一部移动设备。
各个安排正在尽力支撑这些移动设备的接入,一同寻觅将用户的移动设备作为带着门禁和计算机桌面登录凭据卡渠道的办法。现在已有试点单位(例如亚利桑那州立大学的一个设备)证明了运用手机带着门禁凭据卡的可行性。联邦政府也正在考虑移动门禁。FIPS-201-2估计包含一些扩大部分,例如,可以在手机安全元件(SE,与证卡运用相同的加密服务)中带着的派生凭据卡概念。
移动门禁要求从头考虑怎么办理门禁凭据卡以及怎么将他们移植到智能手机的问题,以便安排可以挑选在他们的门禁体系中运用智能卡或移动设备。为此,HID Global为其iCLASS SE渠道树立了一个新的数据模型,称为Secure Identity Object (SIO),该数据模型可以在任何设备上代表多种形式的身份信息,这些设备可以在公司的Trusted Identity Platform (TIP)安全鸿沟和中心身份验证办理生态体系内进行作业。TIP运用安全信道在经过验证的手机、手机安全元件、其他安全介质和设备之间传输身份信息。TIP和SIO的集成不只进步了安全性,而且供给了习惯未来需求的灵活性,例如为卡增加新的运用。它旨在供给牢靠的安全性,因此在BYOD环境中特别具有吸引力。
经过移动门禁模型,智能手机可以支撑任何门禁数据,包含用于门禁、电子付出、生物辨认、PC登录以及许多其他运用的数据。身份验证凭据卡将存储到移动设备的安全元件上,而云身份供给模型将消除凭据卡被仿制的危险,一同使发行暂时凭据卡、撤销挂失凭据卡、监控和修正安全参数更轻松。用户将可以在手机上带着多种门禁凭据卡以及OTP电脑登录密钥,这样他们只需轻触个人平板电脑,即可完结身份验证登录网络。经过将手机上的移动密钥和云运用单点登录才能集成到一同,可以将传统的双因子身份验证和精简的多个云运用登录整合到用户很少丢掉或忘记的单一设备上。此外,同一部手机也可以用于开门和许多其他运用。
因为用于门禁和计算机桌面登录的手机和其他移动设备一般不属于安排,因此需求处理一些应战。例如,当学生从大学毕业时,不会向校园上交手机,相同当职工辞去职务时,职工也不会向公司上交手机。在维护企业数据和资源的一同,保证BYOD用户的个人隐私也十分要害。IT部分无法有用操控这些自带设备,或许设备所带着的具有潜在危险的个人运用,而且也不太可能将带有杀毒软件和其他防护软件的规范镜像加载到自带设备中。咱们需求寻觅处理这些应战以及其他应战的立异途径。虽然存在危险,运用装备安全元件或相似维护设备的手机,为树立强壮的新身份验证模型供给了时机,使手机成为凭据卡的安全、便携的存储库,这样手机既可以运用于长途数据拜访的轻触强认证,也可以运用于大楼或公寓的门禁,运用远景十分宽广。
移动性正推进交融,门禁安全小组和IT安全小组针对移动性协作提出新的处理方案。终究提出的处理方案以高性价比的办法轻松办理手机上门禁卡和IT拜访凭据卡,一同供给与运用实体证卡相同的安全性。
完结真实交融的优势
将门禁和IT资源拜访集成到单一设备上,可以用于许多运用,因此改进了用户体会,一同进步了安全性并下降了布置和运营本钱。未来将不再需求多个供给和注册IT和门禁身份的独立流程。取而代之的是在单一身份办理中选用一个一致作业流程,然后完结安排的交融。各个安排将可以保证大楼和IT资源的无缝安全拜访,例如计算机、网络、数据和云端。一个有用的处理方案将能依据需求扩展以保证其他资源的安全拜访,以支撑彻底互操作的多重安全战略,并可在当时和未来维护安排的大楼、网络、体系和运用的安全。
