可信身份驗證技術解析
加入技術交流群
門禁控制系統正在擺脫傳統卡片和讀卡器的限制,邁入可配置憑證卡、非接觸式技術的全新領域。在新領域中,手機及其他設備可攜帶通過空中下載或互聯網接收的“數字密鑰”。隨著人們的移動性與日俱增,對身份驗證的安全性及可靠性的新需求應運而生,推動虛擬身份驗證取代密鑰卡門禁。為了應付無間斷連接及完全分布式智能設備的爆炸式增長所帶來的挑戰,有必要制定一種基礎架構方案來支持不斷演變的門禁控制系統應用,并推動所有相關的新產品開發工作。近距離無線通信(Near Field Communications,以下簡稱NFC)是有望實現上述目標的技術,但要確保其安全性,業界就必須建立一種基于綜合監管鏈的身份驗證方法——通過這種方法,系統或網絡中的所有端點都能夠得以驗證,從而讓各端點之間的身份驗證信息在任何時候都能夠可靠傳輸。接下來,本文將以HID Global最近開發的Trusted Identity Platform(以下簡稱TIP)為例對此加以介紹。
2 系統簡介
TIP是一種安全可信的網絡,可提供身份驗證傳輸框架,實現安全產品和服務的交付。它是一種用于創建、交付和管理安全身份驗證的綜合性框架。簡單來說,該基礎架構是一個中央安全庫,通過安全的網絡連接,并以公開的加密密鑰管理安全政策為依據,為已知端點(如憑證卡、讀卡器和打印機)服務交付。HID Global將其稱為“受規限”系統——連接到該系統的所有設備都是已知的,因而能夠可靠安全地交換信息。TIP架構具有充分的可擴展性,其傳輸協議和加密模式符合各種標準,可支持多種應用。TIP系統還可以實現虛擬化及云端基礎模式,因而能夠在不影響安全性的情況下通過互聯網提供服務交付。
TIP提供一種受保護的身份驗證傳輸網絡,可對網絡中的所有端點或節點進行驗證,因而各節點之間的信息傳輸都是可信的。
圖1 TIP模型圖
TIP模型(如圖1所示)包含三個核心要素,即安全庫(Secure Vault)、安全通信(Secure Messaging)方法、密鑰管理策略和規范(Key Management Policy and Practices)。安全庫為已知且可信的端點提供加密密鑰安全存儲功能,安全通信方法即使用符合行業標準的對稱密鑰方法將信息傳輸至各個端點,密鑰管理策略和規范即設定“安全庫”的訪問規則以及向各端點分發密鑰的規則。
評論