過去數(shù)十年，我們采用塑膠卡片驗證身份以及其他一卡通的應用，但隨著智能手機的流行，用戶期望以更便利的方式來完成這些應用。NFC技術的出現(xiàn)恰好應對了這方面的訴求，NFC技術能夠在幾厘米的近距離內實現(xiàn)數(shù)據(jù)交換，從而為支持NFC的手機實現(xiàn)多種非接觸式應用和交易，包括付款和公交車票、鑰匙（門禁卡）、數(shù)據(jù)傳輸（包括電子商務卡）以及瀏覽網絡資料。

 

        目前NFC 技術的應用集中在電子支付，但未來NFC技術將進一步融合到門禁解決方案，從而為安防市場帶來的新的發(fā)展機會。用戶只需將虛擬憑證卡配置到NFC 手機中，就能開啟門禁。這不僅免去了用戶攜帶其他門禁憑證卡的麻煩，而且安全經理能輕松監(jiān)控出入口人員的進出。同時，基于 NFC 的門禁系統(tǒng)將創(chuàng)造一個更便捷安全交易平臺。安全經理不但能遠程發(fā)送、更改及注銷虛擬憑證卡，而此平臺是建基于標準的身份驗證系統(tǒng)，能支持各種身份驗證節(jié)點（包括讀卡器、證卡、配備 NFC 的手機等）注冊為“可信節(jié)點”，確保在世界任何地點都能安全地進行配置。

 

NFC 技術在門禁領域的的全球化應用與發(fā)展

 

        隨著用戶對移動性的日益增長，NFC 技術正被廣泛應用于多個領域包括移動支付與交易、交通付費、客戶忠誠度計劃及網絡信息訪問等。越來越多的移動設備廠商如諾基亞、三星（谷歌）、Research in Motion（RIM）、LG和中興通訊正陸續(xù)推出的支持NFC的手機，這將進一步促進NFC 技術在移動門禁領域的應用與發(fā)展。

 

        瑞典斯德哥爾摩 Clarion 酒店內部試用NFC 技術，用支持 NFC 的手機取代酒店房卡。Clarion酒店與 HID Global 母公司 ASSA ABLOY、Choice Hotels Scandinavia、TeliaSonera、VingCard Elsafe 以及Giesecke & Devrient合作，挑選出部分 Clarion 酒店客人作為參與對象，并向其提供具備 NFC 功能和相關軟件的三星手機，客人在到達酒店前可使用手機登記入住，同時間數(shù)碼房卡會發(fā)至客人的手機。抵達后，客人不必排隊登記便可直接入住，將手機貼近門鎖便可打開房門。離開房間時，房門會自動鎖上，客人通過手機直接辦理退房手續(xù)。

 

        此外，HID Global在企業(yè)成功進行移動門禁試驗，驗證了員工能夠用支持NFC智能手機開門，而且不影響企業(yè)的安全性。在Netflix公司美國總部進行的移動門禁實驗證明了用智能手機開門優(yōu)點眾多，而且提高了安全性。讀卡器及憑證卡進行雙重驗證，降低了憑證卡資料被竊取及重復被盜用的威脅，而因為只有用戶知道手機可當作鑰匙使用，并擁有進入手機的密碼，以及知道怎樣激活手機內的虛擬鑰匙，而且大部分人都不會出借自己的手機，這可以防止虛擬憑證卡被濫用。

 

        目前，NFC 技術在國內外的應用仍有待發(fā)展，要使技術普及就必須通過業(yè)界的廣泛合作。HID Global 已積極與NFC設備制造商合作，例如與日本索尼聯(lián)合推出了支持NFC 的非接觸式智能卡讀卡器平臺，專門應用于筆記本電腦和移動設備，并通過在該平臺的安全組件存儲密鑰，保護身份信息存儲的可靠性與完整性，通過將門禁控制功能和近距離無線通訊（NFC）功能嵌入到筆記本電腦和其他移動設備中，實現(xiàn)基于移動設備的門禁控制、電腦安全登錄、車船機票費支付、銷售點收費和忠誠度計劃。

 

        HID Global另與恩智浦半導體聯(lián)合推出全球通用的NFC手機移動門禁解決方案。員工用來進入公司大樓和車庫的非接觸式智能卡的功能，現(xiàn)在可以應用到支持NFC且儲存了虛擬門禁憑證卡的手機上。這些虛擬憑證卡儲存于手機中的恩智浦嵌入式Secure Element（eSE）元件中，能與當前廣泛使用的門禁控制讀卡器及系統(tǒng)兼容。HID Global的iCLASS SE讀卡器與恩智浦的MIFARE DESFire及NFC技術相結合，可確保門禁管理實現(xiàn)更高的互操作性，使企業(yè)加快NFC技術的應用。

 

身份驗證生態(tài)系統(tǒng)保障NFC 技術應用的安全性

 

        為確保NFC技術應用的安全性，就是提供完善的的監(jiān)管鏈，保證各個終端之間身份信息安全交換，，對系統(tǒng)或網絡中的所有端點都能夠得以驗證。

 

        HID 的Trusted Identity Platform™ (TIP) 作為一種身份驗證系統(tǒng)，可提供身份驗證傳輸框架，實現(xiàn)安全產品和服務的交付。它能夠將讀卡器、筆記本電腦、配備 NFC 功能的手機等其他產品轉換為可信賴的身份驗證節(jié)點，無論它們處于何種位置或采取何種連接方式，都可以安全地進行信息交換。簡單來說，該基礎架構是一個中央安全庫，通過安全的網絡連接，并以公開的加密密鑰管理安全政策為依據(jù)，為已知端點（如憑證卡、讀卡器和打印機）服務交付。

 

        只有在實施了TIP節(jié)點協(xié)議后，端點才會啟用，進而被“安全庫”識別并注冊為可靠的網絡成員。而后，該端點就可與“安全庫”進行通信。憑證卡、讀卡器及打印機等端點通過軟件工作流程與“安全庫”進行通信，其訪問和處理規(guī)則都受到HID Global的“密鑰管理策略和規(guī)范”的嚴格管控——只有經認證的設備才能夠加入該網絡（與任何計算機都可訪問任何網站的互聯(lián)網不同），從而形成了隱性的、嚴格的身份驗證機制。

 

        各端點之間的TIP消息采用符合行業(yè)標準的加密方法進行加密，以便進行符合公開安全政策的安全信息傳輸。這些TIP信息數(shù)據(jù)包由兩個嵌套的對稱密鑰進行保護，其中含有“安全身份驗證對象”（Secure Identity Object，簡稱SIO）信息。多個SIO可嵌套到一個TIP信息中，向各種不同的設備（如門禁卡、智能手機及計算機）提供多種指令。如有必要，每個設備都可具有不同的門禁控制特性。例如，SIO就是模擬iCLASS卡上的憑證程序數(shù)據(jù)。

 

        “安全庫”與端點設備之間的驗證通過后，該設備在網絡中就被視為是“可信的”�？尚旁O備無需再與安全庫進行通信，可以獨立工作。在這種方式下，各端點（如憑證卡及讀卡器）之間的信息傳輸是“可信的”，而由此產生的信息傳輸（例如打開一道門或登錄到計算機）也就被視為是“可信的”。

 

        NFC 移動設備就可作為TIP端點而受到支持，因而能夠使用不同的SIO進行編程，進而實現(xiàn)模擬卡片或者更為復雜的應用，不但可以獲授權通過門禁系統(tǒng)，還可實施由其自身進行解釋的復雜門禁控制規(guī)則。

 

門禁市場的移動化與融合趨勢初露端倪

 

        便攜式身份驗證憑證卡將方便用戶獲得、提供、分享和修改存放在電子錢包中的個人電子鑰匙。憑藉門禁控制信息和記錄保存與支持NFC的手機中、而不是在門鎖中，用戶更容易保障場所和物品安全。系統(tǒng)可遠程取消儲存于智能手機內的虛擬憑證卡，并重新發(fā)配憑證，以及更改能使用該虛擬憑證卡的人員及時間。

 

        現(xiàn)在，越來越多的用戶正尋求“無約束”的安全體驗，可互操作、靈活以及將憑證卡應用于移動設備的開放標準的解決方案將成為用戶的新寵。用戶打開辦公室大門或登錄企業(yè)電腦所需的所有身份信息都安全地嵌入在手機中，而不是儲存在可能遭遇復制或被盜的塑膠卡片中，而且用戶無需記住密碼（或將密碼寫在便利貼上，然后再將便利貼粘到電腦顯示屏上）。

 

        為支持這種趨勢，在支持NFC的手機將嵌入虛擬憑證卡，身份信息管理將轉移到云端, 用戶通過自備終端(Bring Your Own Device)自由登錄軟件即服務（Software as a Service）以及企業(yè)內部應用程序，并利用自備的NFC手機實現(xiàn)門禁應用。同時，移動門禁解決方案通過支持開放標準，提供可互操作的產品以及有效應對未來變化的門禁基礎設施，進而確保企業(yè)未來仍可利用今天的技術投資，減低投資費用，并提升門禁系統(tǒng)管理的便利與管理效率。

 

        另一方面，在卡片以及在支持NFC的移動設備層面上，門禁系統(tǒng)都將繼續(xù)融合。用戶越來越希望無需使用一次性動態(tài)密碼 (One-time Password Token) 或密鑰卡，僅用單一憑證卡就能開樓門、登錄網絡、訪問應用和其他系統(tǒng)以及安全地遠程訪問網絡。使用單一憑證卡更加方便，而且能在整個IT基礎設施內的關鍵系統(tǒng)和應用進行強大身份驗證，因此改善了安全性。這種方式使企業(yè)能利用現(xiàn)有憑證卡投資，增加電腦桌面網絡登錄，并在企業(yè)網絡、系統(tǒng)和設施建立一個完全可互操作的、多層的安全解決方案，降低部署和運營費用。融合解決放案還有助于企業(yè)滿足監(jiān)管要求，執(zhí)行一致的政策，在企業(yè)內實現(xiàn)一致的審計記錄，同時通過合并任務來削減費用。

 

        移動門禁解決方案是理想的融合平臺。隨著NFC的采用，用戶將更有興趣將非接觸式卡片技術的應用擴展到樓宇門禁領域以外，進一步將其應用到IT領域的身份驗證上。門禁安全團隊與信息安全團隊將開始更緊密地合作。手機應用將產生一次性動態(tài)密碼或通過短信接收這種密碼，各種其他門禁密鑰和虛擬憑證卡將通過便利的、基于云的配置模式，從空中發(fā)送到手機，這種配置模式消除了憑證卡被復制的風險，并可發(fā)行臨時憑證卡、取消丟失或被盜的憑證卡，以及在需要時監(jiān)視和修改安全參數(shù)。這種趨勢還有助于改善生物識別模式的經濟效益，它將智能手機變成了儲存模板的便攜式數(shù)據(jù)庫，可簡化系統(tǒng)啟動，跨多個地點支持無限多的用戶群，消除模板管理所需的冗余布線要求。不過，這種趨勢還將導致需要充足的云端安全數(shù)據(jù)，這樣智能手機才能用來登錄網絡和應用。至于應對數(shù)據(jù)向云端的遷移，有效的方式有可能是聯(lián)合身份信息管理，采用這種方式，用戶在一個中央門戶接受身份驗證，就可訪問多種應用。 

 

        受目前NFC 技術的普及及相關產業(yè)鏈還有待完善，未來幾年中，支持NFC的智能手機不可能完全取代智能卡。NFC智能手機中的移動門禁虛擬憑證卡將與智能卡和身份卡共存，以便企業(yè)能選擇，在其門禁控制系統(tǒng)中，是使用智能卡、移動設備還是二者同時使用。