自备智能手机实现门禁控制和电脑桌面登录

　　主题：自备终端（BYOD）发展趋势；用员工自己的移动设备来控制对工作设施及设备的使用，会对信息安全产生怎样的影响；在不使公司有安全风险或不损害员工隐私的前提下，有哪些方式能安全地实现这样的设施及设备使用。

　　自备智能手机，实现门禁控制和电脑桌面登录

　　自备终端（Bring Your Own Device，简称BYOD），即企业允许员工离职时保留自己的手机，这种做法正日益流行。如今智能手机功能也越来越多，我们不仅能用自己的手机访问电脑、网络和有关的信息资料，还能用手机开门和进入安全区域。在自备终端环境中部署这类网络访问和门禁应用需要配置相关的基础设施，具备正确的技术，同时进行安全性评估和适当规划。

　　门禁功能最近才被添加到智能手机里 。在最简单的应用情况下，要实现移动门禁控制，仅需用智能手机上运行的虚拟凭证卡软件取代塑胶卡片，并复制基于卡片的门禁控制规则即可。系统仍然需要在读卡器和存储门禁规则的中央硬件控制面板（或服务器）之间做出门禁决策。在这种情况下，读卡器仍然连接到中央门禁控制系统。

　　如今的智能手机还能产生一次性动态密码（One Time Password, 简称OTP），以安全地登录到另一部移动设备或桌面电脑，并访问网络。此外，具备虚拟凭证卡的智能手机可用来购买物品，例如在公司食堂买饭，还可用来安全地使用打印设备。考虑到自备智能手机具有如此丰富的功能，越来越多的员工开始用自己的手机访问系统、数据和公司设施， IT部门应该积极研发相关的解决方案，从而更好地保护这些资源。移动门禁控制系统要顺利、安全地与现有门禁控制系统及传统塑胶门禁卡共存，这需要满足几项要求。首先，从智能手机到门禁读卡器，必须有一种数据通信方式。用支持近距离无线通信（Near Field Communications，简称NFC）的手机和/或支持NFC的附加设备可以实现这种数据通信，例如microSD卡就是这样一种附加设备，确保不支持NFC的设备也能安全升级。

　　其次，必须有一个由读卡器、门锁以及其他硬件组成的生态系统，这些生态系统组件可以读取虚拟凭证卡，并以适当的行动来回应，例如打开门锁，或允许访问电脑和网络。目前，已经有超过65万家酒店安装了能用支持NFC的智能手机打开的门锁。同样地，可互操作的在线门禁读卡器、机电门锁以及连接桌面电脑或PC登录的读卡器也正在部署，而且第三方厂商也在开发支持NFC的硬件解决方案，包括生物识别设备、考勤终端和电动汽车充电站等等。

　　最后，对于智能手机上使用的虚拟密钥和虚拟凭证卡，必须有一种建立和管理的方式。这不仅要求要用一种新的方式来描述身份信息，还要求这种身份信息的描述要在一种可靠的身份认证框架之内进行，以便自备智能手机能安全地在门禁控制网络中使用。

　　这种身份信息的描述必须支持多种与安全身份信息有关的加密数据模型， 包括生物识别数据、考勤数据等。可靠的身份认证框架确保在被验证终端之间有一条安全的通信渠道。用来确认自备终端安全可靠的技术需要使用手机的安全组件，该组件通常是一个嵌入式电路，或者是一个插入式模块，常常被称为用户识别模块（SIM）。

　　通过建立一个由安全可靠的终端组成的生态系统，自备智能手机在门禁系统中可以得到有效管理，这样，手机、读卡器和门锁之间的身份信息配置/取消配置以及其他所有信息的处理就变得安全可靠了。该框架与成熟可靠的智能手机技术相结合，可建立一个极其安全的移动身份验证环境。