文/赵建邦

作者系HID Global 大中华区营销总监

2012年，门禁行业为基于NFC移动设备部署移动门禁解决方案奠定了基础。为了促进移动门禁的广泛采用，整个系统必须支持广泛使用且具备安全组件的NFC手机，及所有主流操作系统。在智能手机安全组件内保护所有密钥和加密操作的安全，以确保在NFC手机、手机的安全组件以及其他安全介质和设备之间，在可靠的身份认证框架之内，有一个安全的通信通道来传送信息。安全组件通常是一种嵌入式防篡改集成电路，或一种称为用户识别模块（SIM）的插件模块。整个系统还必须包括能读取手机中虚拟密钥的读卡器、门锁及其他硬件，由移动网络运营商、可信服务管理器（Trusted Service Managers，简称TSM）以及可提供和管理虚拟凭证卡的其他提供商组成的生态系统。时机的把握和生态系统的发展将影响NFC用于具体应用的速度，例如移动支付、交通票务、门禁等应用。

移动门禁将与卡片门禁并存

移动门禁最大的好处之一，是用户打开办公室大门或登录企业电脑所需的所有身份信息都安全地嵌入在手机中，而不是储存在可能遭遇复制或被盗的塑胶卡片中，而且用户无需记住密码（或将密码写在便利贴上，然后再将便利贴粘到电脑显示屏上）。尽管有这些和其他一些好处，但是在未来几年中，支持NFC的智能手机不可能完全取代智能卡。相反，NFC智能手机中的移动门禁虚拟凭证卡将与智能卡和身份卡共存，以便企业能选择，在其门禁控制系统中，是使用智能卡、移动设备还是二者同时使用。很多企业仍然会让员工携带传统卡片，因为这类卡片可用来进行照片识别。很重要的一点是，用户要提前规划，以在门禁控制系统中支持两种类型的凭证卡。

移动技术加速与门禁系统融合

用户越来越希望，无需一次性动态密码或密钥卡，仅用单一凭证卡就能开楼门、登录网络、访问应用和其他系统以及安全地远程访问网络。使用单一凭证卡更加方便，而且能在整个IT基础设施内而不仅仅是在系统边缘，针对关键系统和应用进行强大的身份验证，因此极大地改善了安全性。这种方式使企业能利用现有凭证卡投资，无缝增加电脑桌面网络登录控制，跨企业网络、系统和设施建立一个完全可互操作的、多层的安全解决方案，因此能降低部署和运行费用。融合式解决放案还有助于企业满足监管要求，执行一致的政策，在企业内实现一致的审计记录，同时通过合并任务来削减费用。

移动门禁解决方案是理想的融合平台。随着NFC的采用，人们将更有兴趣将非接触式卡片技术的应用扩展到楼宇门禁领域以外，进一步将其应用到IT领域的身份验证上。实体设施安全团队与IT安全团队将开始更紧密地合作。手机应用将产生一次性动态密码或通过短信息接收这种密码，各种其他门禁密钥和虚拟凭证卡将通过便利的、基于云的配置模式，从空中发送到手机，这种配置模式消除了凭证卡被复制的风险，并使发行临时凭证卡、取消丢失或被盗的凭证卡更容易了，且在需要时监视和修改安全参数也更容易了。这种趋势还有助于改善生物识别模式的经济性，它将智能手机变成了储存模板的便携式数据库，可简化系统启动，跨多个地点支持无限多的用户群，消除模板管理所需的冗余布线要求。不过，这种趋势还将导致需要充足的云端安全数据，这样智能手机才能用来登录网络和应用。至于应对数据向云端的迁移，最有效的方式有可能是联合身份信息管理，采用这种方式，用户在一个中央门户接受身份验证，就可访问多种应用。

感应卡向磁条卡智能卡技术迁移

卡片技术将继续从感应卡向磁条卡直至智能卡发展。今天门禁应用的黄金标准是非接触式智能卡，这种智能卡基于开放标准，具备通用卡片边缘——又称卡片命令接口，这改善了在可靠的身份认证框架之内，与广泛的产品生态系统的互操作性。最新的卡片改善了安全性、隐私保护以及向虚拟凭证卡的可移植性，同时用户附加了越来越多的可视及虚拟安全层，日益增强了卡片及身份卡的安全性。可视部分包括分辨率更高的图像、通过层压形成的全息卡片以及不可更改的、激光刻写的个人特征数据。卡片还越来越多地容纳了更大的数字存储容量，以便能包括生物识别以及其他多因子身份验证信息，增强身份验证能力。打印技术也会继续进步，以支持上述趋势，简化卡片制作及发行，同时使卡片更加安全。

此外，智能卡将进入新的市场。例如，美国正在探讨，用什么样的解决方案来实现基于芯片卡技术的Europay Mastercard Visa（EMV）信用及借记支付标准。迁移到智能卡可以实现更高的安全性，另一个好处是，可在单一解决方案中整合多种应用以及门禁和电脑桌面登陆功能，而且可以选择将这些应用和功能放在支持NFC的智能手机上。尽管迁移确实需要更改一些东西，但是采用多种技术的卡片和读卡器与现场可编程卡片及系统相结合，可以最大限度地减少对日常工作流程的干扰，而且员工和企业很快就能从更安全、用户更易用的环境受益，这种环境为未来扩展功能和应用奠定了基础。

移动门禁借助云服务获得创新服务支持

企业已经开始向一些云服务提供商外包传统身份卡项目，这些云服务提供商的规模和资源足以应对大量时限紧迫的订单，而单独的凭证卡发行商或集成商却难以独立承接这类订单。现在，随着移动门禁的出现，服务范围也将扩大，将包括部署和管理用户NFC智能手机携带的虚拟凭证卡。

企业将以两种方式配置移动门禁虚拟凭证卡。第一种是通过互联网门户进行的，该门户与用来配置传统塑胶凭证卡的互联网门户类型相同（移动设备通过USB或Wi-Fi链路连接到网络）。第二种方式是通过移动网络运营商通过空中进行的，类似于智能手机用户下载应用和歌曲的方式。通用门禁可信服务管理器（TSM）将无缝地连接到移动网络运营商、运营商的TSM以及NFC智能手机，NFC智能手机接收加密密钥和虚拟凭证卡，将其存储在手机的SIM卡或微型SD卡等安全组件中。新应用也将推送到手机中，以便多因子验证成为与情景有关的、实时的托管式服务。