保障访问IT和门禁系统的安全方案的探讨

　　越来越多的机构采用新的业务模型，在这些模型中，单一证卡或智能手机可以支持多种门禁方式及用于多种场景和多种身份融合。用户携带独立证卡或其他设备既可用于开门、登录电脑和基于云端应用，同时也能够实现其他高价值的应用，包括电子支付、考勤管理和安全打印管理等。

　　在这一套流程中，为单一证卡或智能手机提供IT和门禁系统凭证卡的需求日益增加。除了便利性外，将凭证卡融合到单一证卡或设备也可以显著提高安全性并降低运营成本。此外，还可以集中管理身份和门禁，整合任务，使机构快速、有效地在其基础设施内使用强大的身份验证，以保护所有重要的门禁和IT资源。

　　新的集成凭证卡管理模型使组织朝四个重要方向发展：从证卡到智能手机；从读卡器到更方便的“轻触”式门禁；从公开密钥基础设施（Public Key Infrastructure, 简称PKI）到更安全的简化解决方案；以及从传统PKI到真正融合的强大身份验证门禁。

　　本白皮书专注于与IT和门禁融合解决方案相关的促成因素、挑战、部署选择和结果，也介绍了使用云端应用及服务、数据访问和门禁应用时，无缝用户体验的价值所在。此外，本白皮书还解释了将集中用户身份用于多个IT安全应用和门禁系统的统一注册流程的优势。

　　了解融合的促成因素

　　以前，各个机构专注于在周边建立强大的安防系统，以保护他们的门禁和IT资源。传统的门禁方法依靠用户出示ID卡进入大楼，然后在大楼内部，使用静态密码验证身份以访问IT资源。鉴于目前的高级持续性威胁（Advanced Persistent Threat）的性质以及与自带设备（Bring Your Own Device）相关的所有内部风险，这些安全访问方法存在不足。

　　机构要求能够在他们的基础设施内更好地控制访问和使用强大的身份验证，以作为他们多层安全策略的一部分。但是，为企业数据保护选择有效的身份验证通常非常困难。市面上可用的绝大部分解决方案，或者在安全性方面存在问题，或者为机构带来的成本和复杂度问题，或者为用户带来体验方面的不足。

　　员工希望方便地使用单一证卡或设备即可快速、轻松地访问其业务所需的资源。而为了实现该目标，机构必须部署一个可以保障从出入到访问公司计算机、数据、应用和云端的整体安全解决方案。他们必须将传统上独立的门禁和IT安全整合到一起，以协调管理用户的身份和门禁。

　　融合门禁的价值

　　真正融合的门禁包括一个安全策略、一个身份凭证卡和一个审核日志。一些组织通过定义门禁和资源使用权限的单一策略、单一主用户库以及用于简化报告和审计的单一日志记录，已经成功地实现了用户管理的融合。该方法可帮助企业：

　　●提供便利性——替换一次性密码（One Time Password, 简称OTP）设备应用，用户无需携带多个设备或重新输入OTP，即可访问他们所需的所有门禁和IT资源。

　　●提高安全性——在整个IT基础设施的关键系统、应用甚至大门上实现强认证（而不是仅仅在周边）。

　　●降低成本——减少对多种门禁解决方案的投资，集中管理，并且将任务整合到包括发证、换证和注销证件的整套管理和流程中。

　　探索多种部署方案

　　在融合的门禁模式中，身份凭证卡可通过多种形式颁发，例如射频卡、智能卡（如ID卡），甚至智能手机。根据企业的要求和现有基础设施，建立该解决方案有多种方法。以下是三种最常见的模式：

　　传统非接触式证卡：使现有的基于证卡的门禁系统利用iCLASS、iCLASS Seos MIFARE和MIFARE DESFire等技术，将身份验证扩展到企业网络和应用。软件需部署到最终用户的工作站，并将非接触式读卡器连接至或嵌入到该工作站，由此无需实际插入读卡器即可“读取”该证卡。这为用户带来了便利，他们可以使用相同的证卡开门、轻触登录个人电脑或便携式电脑，从而访问他们的计算机、公司应用程式和云端服务。

　　该方法不使用通过证书授权将公开密钥和用户身份捆绑到一起的PKI。用于美国联邦机构的PKI强认证，是各个联邦机构及其承包商的计算机桌面登录和数字文档签名的关键元素。数字证书包括用户公开密钥，其保存在个人身份验证（Personal Identification Verification, 简称PIV）卡上，该证卡利用了智能卡和生物识别技术（一种数字签名的指纹模板），并且支持多因子验证方法。除了依赖共享的身份验证密钥，也可以使用一对公开密钥和私人密钥，这些密钥联系到一起，以便一个密钥拥有的信息只能使用另一个密钥进行解码或验证。Federal Bridge用于建立相互认证机构的PKI之间的互信渠道（即，单独和独立的基础设施，每个拥有自身的根证书授权），从而保障参与Federal Bridge的政府机构之间安全交换数字签名和证书。