安全的移动配置模型消除了塑胶卡片可能被复制的传统风险,而且使发行临时凭证卡、在凭证卡丢失或被盗时撤销凭证卡变得更容易,同时在需要的情况下,例如对信息安全的威胁级别上升时,监视和修改安全参数也更容易了。系统管理员可以使用管理服务,通过空中取消虚拟凭证卡的配置,或者在门禁控制系统数据库中删除访问权。企业还可以动态地、基于背景情况进行设定,例如撤销双因子验证,企业甚至可以支持可变的信息安全级别,并使用附加的数据元素。例如,当安全威胁升级时,可以动态地取消双因子验证,而且可以推送给手机一个应用,要求用户输入4位PIN码,或者要求在手机发送信息开门之前,做出一个刷卡的手势。
随着门禁和电脑桌面登录应用转向自备智能手机,有几个问题需要解决。首先,要保护个人隐私,同时保护企业免受会造成损害的个人应用的影响,所有应用和其他ID凭证卡都必须局限于在个人和企业之间使用。另一个挑战是,怎样利用虚拟密钥及虚拟凭证卡达成其他应用,例如,让应用支持PIN码输入,以使密钥“解锁”,完成验证或签署过程。此外,中间件API必须标准化,这样ID凭证卡功能才能应用。
另外,也许有必要支持衍生凭证卡,例如从美国联邦工作人员的个人身份验证(Personal Identity Verification, 简称PIV)卡衍生的那些凭证卡。局限于企业和个人之间这种使用方式与衍生凭证卡相结合,还会催生对分层生命周期管理的需求,例如,如果移动设备丢失,那么凭借分层生命周期管理,就可以取消所有凭证卡,而如果取消个人身份验证卡,那么将自动取消仅用于工作环境的移动ID凭证卡。也许移动ID的多维管理问题,才正是自备终端模式中最具挑战性的部分。
门禁和电脑桌面登录功能要在自备智能手机上共存,就需要确保云端存储的安全性。有4种可能的方法。第一种是在公用互联网上采用一种开放的访问模型,在这种模型中,用户名和密码由软件即服务(SaaS)供应商管理。尽管这种方法易于采用,但是所提供的数据保护能力是最弱的。第二种是采用虚拟专用网络(Virtual Private Network ,简称VPN),并要求远程用户在输入用户名和密码之前,先就虚拟专用网络进行验证(最有可能的是通过一次性动态密码解决方案实现)。不过,虚拟专用网络对用户而言不够方便,不能很好地扩展以容纳自备设备,因为虚拟专用网络要求在很多不同的设备上安装虚拟专用网络客户端和个人应用,而且虚拟专用网络没有针对互联网安全威胁提供额外保护。
第三种方法是强大的本机验证,这种方法也不够便利,因为每个应用都要求独特的、唯一的安全解决方案。第四种也是最好的一种方法,是联合身份管理,采用这种方法时,用户就一个中央门户进行验证,以访问多种应用。这种方式支持很多不同的验证方法,不需要在最终用户的设备上安装任何东西,而且可对任何被访问的应用集中提供审计记录,因此能满足法规遵从要求。这种方法也能经得起高级持续性威胁(Advanced Persistent Threats, 简称APTs)、专门的黑客攻击、前员工的恶意行为以及员工欺诈等内部安全威胁。联合身份管理还适用于存储在其他地方的内部应用,使用户能在一个位置上方便地访问各种应用。不过,无论选择哪种方法,对于企业一方和自备终端所有者一方而言,都有可能存在其他需要解决的政策及采用问题。企业想要自备终端所有者放弃一定的权利,以使他们能用自己的手机开门和登录电脑桌面,而自备终端所有者不想使用某些功能,因为他们害怕泄露隐私。
自备终端具备大量优点,尤其是员工的智能手机能成为一种载体,寄存了企业中种类日益增多的门禁和电脑桌面登录密钥及凭证卡。即将出现的新一代移动门禁控制解决方案将提供更大的便利性和管理灵活性,同时可确保在智能手机、电脑和网络资源、门禁控制系统以及云端和空中交付身份信息的基础设施之间,安全地处理数据。
【想第一时间了解安防行业的重磅新闻吗?请立即关注中安网官方微信(微信号:cpscomcn)——安防行业第一人气微信,万千精彩,千万不要错过!!!
网友评论
共有0条评论 点击查看全部>>24小时阅读排行
本周阅读排行
