智能手機(jī)在門禁系統(tǒng)中的應(yīng)用

過去我們用門禁卡進(jìn)行身份認(rèn)證，但在今日的移動世界中，將身份信息嵌入到各種便攜式設(shè)備的應(yīng)用已經(jīng)成功實(shí)現(xiàn)。虛擬憑證卡技術(shù)促使業(yè)界轉(zhuǎn)變，身份認(rèn)證不再局限于利用傳統(tǒng)的門禁卡，而是擴(kuò)大至很多不同形式，允許我們能利用移動設(shè)備，如智能手機(jī)、USB加密鎖、記憶棒、基于微處理器的SmartMX卡開門、購物以及安全地進(jìn)行其他交易。

HID Global目前正在與手機(jī)制造商和近距離無線通信（Near Field Communications, 簡稱NFC）半導(dǎo)體供應(yīng)商合作，將新一代門禁控制技術(shù)直接嵌入到手機(jī)中，利用虛擬憑證卡開啟大門。不久前，HID Global宣布與黑莓手機(jī)制造商Research in Motion公司合作，在支持NFC的黑莓（BlackBerry?）智能手機(jī)中，配置iCLASS?虛擬憑證卡和移動安全身份識別技術(shù)。新技術(shù)允許用戶以黑莓手機(jī)與新一代iCLASS SE?讀卡器交換信息進(jìn)行身份認(rèn)證。此外，嵌入了虛擬憑證卡的智能手機(jī)不僅能當(dāng)作鑰匙開門，還可以用來進(jìn)行手機(jī)支付及其他各種應(yīng)用。

美國亞利桑那州立大學(xué)已經(jīng)實(shí)施了該試驗(yàn)項(xiàng)目，首次在支持NFC的手機(jī)中使用移動門禁技術(shù)。2011年8月，HID Global在該大學(xué)的幾個宿舍大門部署了iCLASS SE讀卡器，并在選定的宿舍房間門上安裝了由ASSA ABLOY公司提供、支持HID技術(shù)的Sargent Profile系列機(jī)電門鎖。參與試驗(yàn)的學(xué)生和員工利用嵌入了HID iCLASS? SE 虛擬憑證卡的智能手機(jī)進(jìn)入宿舍。

內(nèi)置NFC技術(shù)的手機(jī)允許手機(jī)和門鎖交換門禁控制數(shù)據(jù)，參加者只需將手機(jī)對準(zhǔn)門前的讀卡器，便能打開門鎖，使用方法和之前的iCLASS 門禁卡一樣。該技術(shù)還支持空中配置和數(shù)字密鑰管理，從而簡化了門禁系統(tǒng)的管理。

突破傳統(tǒng)的智能卡模式

隨著技術(shù)進(jìn)步，門禁卡能進(jìn)行更多復(fù)雜的應(yīng)用。就如今天的13.56 MHz非接觸式智能卡，不但能綁定持卡人，更能與讀卡器進(jìn)行雙重身份驗(yàn)證保障安全。此外，非接觸式智能卡的安全存儲功能使其支持多種應(yīng)用，例如生物識別、小額電子支付以及安全PC桌面登錄。 直到現(xiàn)在，我們?nèi)匀恍枰@類卡片去辨識讀卡器和中央控制器之間存儲的門禁系統(tǒng)規(guī)則，進(jìn)行安全身份識別，從而決定是否開門。

隨著我們進(jìn)入一個移動性增強(qiáng)、應(yīng)用更先進(jìn)以及安全威脅與日俱增的新時代，業(yè)界也逐漸邁向新一代的便攜式身份驗(yàn)證門禁控制架構(gòu)。新一代門禁控制技術(shù)如iCLASS SE,使憑證卡可以安全地嵌入到固定及移動設(shè)備中，并進(jìn)行安全設(shè)置，不僅改善了安全性，而且使門禁控制技術(shù)能應(yīng)用于虛擬憑證卡。

支持便攜式身份驗(yàn)證的第一步是，建立一個可靠的身份認(rèn)證框架，驗(yàn)證網(wǎng)絡(luò)內(nèi)所有終端設(shè)備（例如憑證卡、打印機(jī)、讀卡器和支持NFC的手機(jī)），以使終端設(shè)備之間的數(shù)據(jù)能安全傳輸。HID Global的Trusted Identity Platform（簡稱TIP）是其中一款支持安全數(shù)據(jù)傳輸?shù)目蚣?。TIP建立了一個可擴(kuò)展的框架和交付基礎(chǔ)設(shè)施，可提供3種重要功能：硬件和軟件之間的即用安全通道；最佳密鑰管理和安全設(shè)置流程；與IT基礎(chǔ)設(shè)施的無縫集成。

一個可信的框架必須：在憑證卡一邊采用了安全、開放和獨(dú)立的Secure Identity Object（SIO）數(shù)據(jù)結(jié)構(gòu)；在讀卡器一邊則采用了相應(yīng)的SIO解碼器。SIO是一種基于標(biāo)準(zhǔn)的、獨(dú)立于設(shè)備的數(shù)據(jù)對象，可存放在任何數(shù)量的身份驗(yàn)證設(shè)備上。SIO和SIO解碼器執(zhí)行的功能與傳統(tǒng)的卡片和讀卡器類似，只是所使用的數(shù)據(jù)結(jié)構(gòu)更安全、更靈活。

SIO有3個優(yōu)點(diǎn)：可移植、安全以及可擴(kuò)展。首先，因?yàn)镾IO是可移植的，所以既可以放在傳統(tǒng)的非接觸式憑證卡上，又可以放在采用其他卡片技術(shù)的存儲卡、SmartMX等基于微處理器的卡片、支持NFC功能的智能手機(jī)、USB加密鎖、計(jì)算機(jī)硬盤以及很多其他形式的介面上。這就使存儲在一種裝置中的數(shù)據(jù)對象能輕而易舉且不受嚴(yán)格限制地移植到另一種裝置中，從而實(shí)現(xiàn)了互操作性。

其次，獨(dú)立于設(shè)備的SIO除保障設(shè)備安全之外，另增加了一層安全保障，給數(shù)據(jù)多增加了一個保護(hù)層，這層保護(hù)可提供額外的多樣化密鑰、驗(yàn)證和加密功能，以防止安全保障遭到破壞。另外，利用設(shè)備獨(dú)有的特性，將數(shù)據(jù)對象綁定在特定的設(shè)備上，可防止卡片被拷貝。

第三，SIO由開放標(biāo)準(zhǔn)定義，其中包括ASN.1標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由ISO/IEC和ITU-T聯(lián)合制定，是一種數(shù)據(jù)定義，允許數(shù)據(jù)對象的定義無限可擴(kuò)展。這種無限可擴(kuò)展的定義可支持任何數(shù)據(jù)段，包括用于門禁控制、生物識別、小額電子支付、考勤以及其他很多應(yīng)用的數(shù)據(jù)。與今天門禁控制卡和讀卡器系統(tǒng)中使用的其他很多固定字段結(jié)構(gòu)不同，SIO及相關(guān)解碼器采用的字段結(jié)構(gòu)允許安全功能不斷增加，而傳統(tǒng)架構(gòu)則會落后、停滯不前、為固定定義所限制。此外，如前所述，由于這種靈活的SIO數(shù)據(jù)定義，客戶能靈活地采用安全保護(hù)措施。

未來的應(yīng)用

市場愈來愈多高端智能手機(jī)具備NFC技術(shù)，隨著電子支付的使用增加及支持NFC的手機(jī)價格下降，NFC智能手機(jī)將更為普及。根據(jù)IHS iSuppli市場調(diào)查公司統(tǒng)計(jì)，2011年全球交付的NFC手機(jī)約有9,300萬部，到2015年將激增至5億部，亦即全球30%的手機(jī)具備NFC功能。

NFC智能手機(jī)未來將會帶來更多基于虛擬憑證的應(yīng)用。盡管今天的航空公司采用了便利的二維條碼（QR code） 技術(shù)，但是旅客已經(jīng)顯示出有興趣利用智能手機(jī)當(dāng)作登機(jī)牌使用。這進(jìn)一步證實(shí)，用今天的手機(jī)完成各種交易越來越受歡迎。

目前，不少日本的快餐店、地鐵站、出租車和自動售貨機(jī)已經(jīng)安裝了NFC支付系統(tǒng)。大學(xué)生不僅能用支持NFC的智能手機(jī)進(jìn)出大樓，還能用其支付停車費(fèi)、購物、搭乘校園公交車、借閱圖書館資料以及在參加考試和登錄計(jì)算機(jī)時驗(yàn)證身份。將來亦有望利用NFC智能手機(jī)在電動汽車充電站進(jìn)行電子支付。駕駛員將車開到充電表前，通過支持NFC的手機(jī)使用充電服務(wù)并支付服務(wù)費(fèi)；又或允許醫(yī)療機(jī)構(gòu)通過智能手機(jī)查看病人健康記錄。病人在醫(yī)院看診時，可以通過出示自己的手機(jī)而不必填寫表格，就能憑虛擬憑證卡內(nèi)儲存的資料為醫(yī)護(hù)人員提供信息。