可信身份验证技术解析
门禁控制系统正在摆脱传统卡片和读卡器的限制,迈入可配置凭证卡、非接触式技术的全新领域。在新领域中,手机及其他设备可携带通过空中下载或互联网接收的“数字密钥”。随着人们的移动性与日俱增,对身份验证的安全性及可靠性的新需求应运而生,推动虚拟身份验证取代密钥卡门禁。为了应付无间断连接及完全分布式智能设备的爆炸式增长所带来的挑战,有必要制定一种基础架构方案来支持不断演变的门禁控制系统应用,并推动所有相关的新产品开发工作。近距离无线通信(Near Field Communications,以下简称NFC)是有望实现上述目标的技术,但要确保其安全性,业界就必须建立一种基于综合监管链的身份验证方法——通过这种方法,系统或网络中的所有端点都能够得以验证,从而让各端点之间的身份验证信息在任何时候都能够可靠传输。接下来,本文将以HID Global最近开发的Trusted Identity Platform(以下简称TIP)为例对此加以介绍。
2 系统简介
TIP是一种安全可信的网络,可提供身份验证传输框架,实现安全产品和服务的交付。它是一种用于创建、交付和管理安全身份验证的综合性框架。简单来说,该基础架构是一个中央安全库,通过安全的网络连接,并以公开的加密密钥管理安全政策为依据,为已知端点(如凭证卡、读卡器和打印机)服务交付。HID Global将其称为“受规限”系统——连接到该系统的所有设备都是已知的,因而能够可靠安全地交换信息。TIP架构具有充分的可扩展性,其传输协议和加密模式符合各种标准,可支持多种应用。TIP系统还可以实现虚拟化及云端基础模式,因而能够在不影响安全性的情况下通过互联网提供服务交付。
TIP提供一种受保护的身份验证传输网络,可对网络中的所有端点或节点进行验证,因而各节点之间的信息传输都是可信的。
图1 TIP模型图
TIP模型(如图1所示)包含三个核心要素,即安全库(Secure Vault)、安全通信(Secure Messaging)方法、密钥管理策略和规范(Key Management Policy and Practices)。安全库为已知且可信的端点提供加密密钥安全存储功能,安全通信方法即使用符合行业标准的对称密钥方法将信息传输至各个端点,密钥管理策略和规范即设定“安全库”的访问规则以及向各端点分发密钥的规则。
评论